Bagikan melalui


Tentang VPN Point-to-Site

Koneksi gateway VPN Point-to-Site (P2S) memungkinkan Anda membuat koneksi aman ke jaringan virtual dari komputer klien individu. Pembuatan koneksi P2S dimulai dari komputer klien. Solusi ini berguna untuk telecommuter yang ingin terhubung ke Azure VNets dari lokasi yang jauh, seperti dari rumah atau konferensi. VPN P2S juga merupakan solusi yang berguna untuk digunakan daripada VPN S2S ketika Anda hanya memiliki beberapa klien yang perlu terhubung ke VNet. Konfigurasi titik-ke-situs memerlukan jenis VPN berbasis rute.

Artikel ini berlaku untuk model penyebaran saat ini. Lihat P2S - Klasik untuk penyebaran warisan.

Protokol apa yang digunakan P2S?

VPN Point-to-site dapat menggunakan salah satu protokol berikut:

  • Protokol OpenVPNĀ®, suatu protokol VPN berbasis SSL/TLS. Solusi VPN TLS dapat menembus firewall, karena sebagian besar firewall membuka port TCP 443 keluar, yang digunakan TLS. OpenVPN dapat digunakan untuk terhubung dari Android, iOS (versi 11.0 dan yang lebih baru), perangkat Windows, Linux, dan Mac (MacOS versi 10.13 dan yang lebih baru).

  • Secure Socket Tunneling Protocol (SSTP), protokol VPN hak milik berbasis TLS. Solusi VPN TLS dapat menembus firewall, karena sebagian besar firewall membuka port TCP 443 keluar, yang digunakan TLS. SSTP hanya didukung pada perangkat Windows. Azure mendukung semua versi Windows yang memiliki SSTP dan mendukung TLS 1.2 (Windows 8.1 dan yang lebih baru).

  • IKEv2 VPN, suatu solusi VPN IPsec berbasis standar. VPN IKEv2 dapat digunakan untuk menyambung dari perangkat Mac (MacOS versi 10.11 dan yang lebih baru).

Bagaimana klien VPN P2S diautentikasi?

Sebelum Azure menerima koneksi VPN P2S, pengguna harus diautentikasi terlebih dahulu. Ada tiga jenis autentikasi yang bisa Anda pilih saat mengonfigurasi gateway P2S Anda. Opsinya adalah:

  • Sertifikat Azure
  • Microsoft Entra ID
  • RADIUS dan Server Domain Direktori Aktif

Anda dapat memilih beberapa jenis autentikasi untuk konfigurasi gateway P2S Anda. Jika Anda memilih beberapa jenis autentikasi, klien VPN yang Anda gunakan harus didukung oleh setidaknya satu jenis autentikasi dan jenis terowongan yang sesuai. Misalnya, jika Anda memilih "IKEv2 dan OpenVPN" untuk jenis terowongan, dan "ID Microsoft Entra dan Radius" atau "ID Microsoft Entra dan Sertifikat Azure" untuk jenis autentikasi, ID Microsoft Entra hanya akan menggunakan jenis terowongan OpenVPN karena tidak didukung oleh IKEv2.

Tabel berikut ini memperlihatkan mekanisme autentikasi yang kompatibel dengan jenis terowongan yang dipilih. Setiap mekanisme memerlukan perangkat lunak klien VPN yang sesuai pada perangkat penghubung untuk dikonfigurasi dengan pengaturan yang tepat yang tersedia dalam file konfigurasi profil klien VPN.

Jenis Terowongan Mekanisme Autentikasi
OpenVPN Subset ID Microsoft Entra, Radius Auth, dan Sertifikat Azure
SSTP Sertifikat Radius Auth/ Azure
IKEv2 Sertifikat Radius Auth/ Azure
IKEv2 dan OpenVPN Radius Auth/ Sertifikat Azure/ ID Microsoft Entra dan Radius Auth/ ID Microsoft Entra dan Sertifikat Azure
IKEv2 dan SSTP Sertifikat Radius Auth/ Azure

Autentikasi sertifikat

Saat mengonfigurasi gateway P2S untuk autentikasi sertifikat, Anda mengunggah kunci publik sertifikat akar tepercaya ke gateway Azure. Anda dapat menggunakan sertifikat akar yang dihasilkan menggunakan solusi Enterprise, atau Anda dapat membuat sertifikat yang ditandatangani sendiri.

Untuk mengautentikasi, setiap klien yang tersambung harus memiliki sertifikat klien terinstal yang dihasilkan dari sertifikat akar tepercaya. Ini selain perangkat lunak klien VPN. Validasi sertifikat klien dilakukan oleh gateway VPN dan terjadi selama pembentukan koneksi VPN P2S.

Alur Kerja Sertifikat

Pada tingkat tinggi, Anda perlu melakukan langkah-langkah berikut untuk mengonfigurasi autentikasi Sertifikat:

  1. Aktifkan autentikasi Sertifikat pada gateway P2S, bersama dengan pengaturan tambahan yang diperlukan (kumpulan alamat klien, dll.), dan unggah informasi kunci publik OS akar.
  2. Membuat dan mengunduh file konfigurasi profil klien VPN (paket konfigurasi profil).
  3. Instal sertifikat klien pada setiap komputer klien yang menghubungkan.
  4. Konfigurasikan klien VPN di komputer klien menggunakan pengaturan yang ditemukan dalam paket konfigurasi profil VPN.
  5. Terhubung.

Autentikasi ID Microsoft Entra

Anda dapat mengonfigurasi gateway P2S untuk memungkinkan pengguna VPN mengautentikasi menggunakan kredensial ID Microsoft Entra. Dengan autentikasi ID Microsoft Entra, Anda dapat menggunakan fitur Microsoft Entra Conditional Access dan autentikasi multifaktor (MFA) untuk VPN. Autentikasi ID Microsoft Entra hanya didukung untuk protokol OpenVPN. Untuk mengautentikasi dan menyambungkan, klien harus menggunakan Klien Azure VPN.

VPN Gateway sekarang mendukung ID Aplikasi baru yang terdaftar di Microsoft dan nilai Audiens terkait untuk versi terbaru Klien Azure VPN. Saat mengonfigurasi gateway VPN P2S menggunakan nilai Audiens baru, Anda melewati proses pendaftaran manual aplikasi Klien Azure VPN untuk penyewa Microsoft Entra Anda. ID Aplikasi sudah dibuat dan penyewa Anda secara otomatis dapat menggunakannya tanpa langkah pendaftaran tambahan. Proses ini lebih aman daripada mendaftarkan Klien Azure VPN secara manual karena Anda tidak perlu mengotorisasi aplikasi atau menetapkan izin melalui peran Administrator global.

Sebelumnya, Anda diharuskan mendaftarkan (mengintegrasikan) aplikasi Klien Azure VPN secara manual dengan penyewa Microsoft Entra Anda. Mendaftarkan aplikasi klien membuat ID Aplikasi yang mewakili identitas aplikasi Klien Azure VPN dan memerlukan otorisasi menggunakan peran Administrator Global. Untuk lebih memahami perbedaan antara jenis objek aplikasi, lihat Bagaimana dan mengapa aplikasi ditambahkan ke ID Microsoft Entra.

Jika memungkinkan, kami sarankan Anda mengonfigurasi gateway P2S baru menggunakan ID Aplikasi klien Azure VPN yang terdaftar di Microsoft dan nilai Audiens yang sesuai, alih-alih mendaftarkan aplikasi Klien Azure VPN secara manual dengan penyewa Anda. Jika Anda memiliki gateway Azure VPN yang dikonfigurasi sebelumnya yang menggunakan autentikasi ID Microsoft Entra, Anda dapat memperbarui gateway dan klien untuk memanfaatkan ID Aplikasi baru yang terdaftar di Microsoft. Memperbarui gateway P2S dengan nilai Audiens baru diperlukan jika Anda ingin klien Linux terhubung. Klien Azure VPN untuk Linux tidak kompatibel mundur dengan nilai Audiens yang lebih lama. Jika Anda memiliki gateway P2S yang sudah ada yang ingin Anda perbarui untuk menggunakan nilai Audiens baru, lihat Mengubah Audiens untuk gateway VPN P2S.

Pertimbangan dan batasan:

  • Gateway VPN P2S hanya dapat mendukung satu nilai Audiens. Ini tidak dapat mendukung beberapa nilai Audiens secara bersamaan.

  • Saat ini, ID Aplikasi terdaftar Microsoft yang lebih baru tidak mendukung nilai Audiens sebanyak aplikasi yang lebih lama dan terdaftar secara manual. Jika Anda memerlukan nilai Audiens untuk apa pun selain Azure Public atau Custom, gunakan metode dan nilai yang terdaftar secara manual yang lebih lama.

  • Klien Azure VPN untuk Linux tidak kompatibel mundur dengan gateway P2S yang dikonfigurasi untuk menggunakan nilai Audiens yang lebih lama yang selaras dengan aplikasi yang terdaftar secara manual. Klien Azure VPN untuk Linux mendukung nilai Audiens Kustom.

  • Meskipun ada kemungkinan bahwa Klien Azure VPN untuk Linux mungkin bekerja pada distribusi dan rilis Linux lainnya, Klien Azure VPN untuk Linux hanya didukung pada rilis berikut:

    • Ubuntu 20.04
    • Ubuntu 22.04
  • Klien Azure VPN untuk macOS dan Windows kompatibel mundur dengan gateway P2S yang dikonfigurasi untuk menggunakan nilai Audiens yang lebih lama yang selaras dengan aplikasi yang terdaftar secara manual. Anda juga dapat menggunakan nilai Audiens Kustom dengan klien ini.

Tabel berikut ini memperlihatkan versi Klien Azure VPN yang didukung untuk setiap ID Aplikasi dan nilai Audiens yang tersedia terkait.

ID Aplikasi Nilai Audiens yang Didukung Klien yang Didukung
Terdaftar microsoft (Pratinjau) - Azure Public: c632b3df-fb67-4d84-bdcf-b95ad541b5c8 - Linux
- Windows
- macOS
Terdaftar secara manual - Azure Public: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
- Azure Jerman: 538ee9e6-310a-468d-afef-ea97365856a9
- Microsoft Azure dioperasikan oleh 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa
- Windows
- macOS
Adat <custom-app-id> - Linux
- Windows
- macOS

Alur Kerja ID Microsoft Entra

Pada tingkat tinggi, Anda perlu melakukan langkah-langkah berikut untuk mengonfigurasi autentikasi ID Microsoft Entra:

  1. Jika menggunakan pendaftaran aplikasi manual, lakukan langkah-langkah yang diperlukan pada penyewa Entra.
  2. Aktifkan autentikasi ID Microsoft Entra di gateway P2S, bersama dengan pengaturan tambahan yang diperlukan (kumpulan alamat klien, dll.).
  3. Membuat dan mengunduh file konfigurasi profil klien VPN (paket konfigurasi profil).
  4. Unduh, instal, dan konfigurasikan Klien AZURE VPN di komputer klien.
  5. Terhubung.

Server Domain Direktori Aktif (AD)

Autentikasi Domain AD memungkinkan pengguna menyambungkan ke Azure menggunakan kredensial domain organisasi mereka. Ini membutuhkan server RADIUS yang terintegrasi dengan server AD. Organisasi juga dapat menggunakan penyebaran RADIUS yang ada.

Server RADIUS dapat digunakan lokal atau di Azure VNet Anda. Selama autentikasi, Azure VPN Gateway bertindak sebagai pass through dan meneruskan pesan autentikasi bolak-balik antara server RADIUS dan perangkat penghubung. Jadi keterjangkauan Gateway ke server RADIUS penting. Jika server RADIUS ada lokal, maka koneksi VPN S2S dari Azure ke situs lokal diperlukan untuk keterjangkauan.

Server RADIUS juga dapat diintegrasikan dengan layanan sertifikat AD. Ini memungkinkan Anda menggunakan server RADIUS dan penyebaran sertifikat perusahaan Anda untuk autentikasi sertifikat P2S sebagai alternatif untuk autentikasi sertifikat Azure. Keuntungannya adalah Anda tidak perlu mengunggah sertifikat root dan sertifikat yang dicabut ke Azure.

Server RADIUS juga dapat diintegrasikan dengan sistem identitas eksternal lainnya. Ini membuka banyak opsi autentikasi untuk P2S VPN, termasuk opsi multifaktor.

Diagram yang memperlihatkan VPN titik-ke-situs dengan situs lokal.

Untuk langkah-langkah konfigurasi gateway P2S, lihat Mengonfigurasi P2S - RADIUS.

Apa saja persyaratan konfigurasi klien?

Persyaratan konfigurasi klien bervariasi, berdasarkan klien VPN yang Anda gunakan, jenis autentikasi, dan protokol. Tabel berikut ini memperlihatkan klien yang tersedia dan artikel terkait untuk setiap konfigurasi.

Autentikasi Jenis terowongan OS Klien Klien VPN
Sertifikat
IKEv2, SSTP Windows Klien VPN asli
IKEv2 macOS Klien VPN asli
IKEv2 Linux strongSwan
OpenVPN Windows Klien Azure VPN
Klien OpenVPN
OpenVPN macOS Klien OpenVPN
OpenVPN iOS Klien OpenVPN
OpenVPN Linux Klien Azure VPN
Klien OpenVPN
Microsoft Entra ID
OpenVPN Windows Klien Azure VPN
OpenVPN macOS Klien Azure VPN
OpenVPN Linux Klien Azure VPN

SKU gateway mana yang mendukung P2S VPN?

Tabel berikut ini memperlihatkan SKU gateway menurut terowongan, koneksi, dan throughput. Untuk informasi selengkapnya, lihat Tentang SKU gateway.

VPN
Gateway
Generation
SKU S2S/VNet-to-VNet
Tunnel
P2S
Koneksi SSTP
P2S
Koneksi IKEv2/OpenVPN
Agregat
Tolok Ukur Throughput
BGP Zone-redundant Jumlah VM yang Didukung di Virtual Network
Generasi1 Dasar Maks. 10 Maks. 128 Tidak Didukung 100 Mbps Tidak Didukung No 200
Generasi1 VpnGw1 Maks. 30 Maks. 128 Maks. 250 650 Mbps Didukung No 450
Generasi1 VpnGw2 Maks. 30 Maks. 128 Maks. 500 1 Gbps Didukung No 1300
Generasi1 VpnGw3 Maks. 30 Maks. 128 Maks. 1000 1,25 Gbps Didukung No 4000
Generasi1 VpnGw1AZ Maks. 30 Maks. 128 Maks. 250 650 Mbps Didukung Ya 1000
Generasi1 VpnGw2AZ Maks. 30 Maks. 128 Maks. 500 1 Gbps Didukung Ya 2000
Generasi1 VpnGw3AZ Maks. 30 Maks. 128 Maks. 1000 1,25 Gbps Didukung Ya 5000
Generation2 VpnGw2 Maks. 30 Maks. 128 Maks. 500 1,25 Gbps Didukung No 685
Generation2 VpnGw3 Maks. 30 Maks. 128 Maks. 1000 2,5 Gbps Didukung No 2240
Generation2 VpnGw4 Maks. 100* Maks. 128 Maks. 5000 5 Gbps Didukung No 5300
Generation2 VpnGw5 Maks. 100* Maks. 128 Maks. 10000 10 Gbps Didukung No 6700
Generation2 VpnGw2AZ Maks. 30 Maks. 128 Maks. 500 1,25 Gbps Didukung Ya 2000
Generation2 VpnGw3AZ Maks. 30 Maks. 128 Maks. 1000 2,5 Gbps Didukung Ya 3300
Generation2 VpnGw4AZ Maks. 100* Maks. 128 Maks. 5000 5 Gbps Didukung Ya 4400
Generation2 VpnGw5AZ Maks. 100* Maks. 128 Maks. 10000 10 Gbps Didukung Ya 9000

Catatan

SKU Dasar memiliki batasan dan tidak mendukung autentikasi IKEv2, IPv6, atau RADIUS. Untuk informasi selengkapnya, lihat Pengaturan VPN Gateway.

Kebijakan IKE/IPsec apa yang dikonfigurasi pada gateway VPN untuk P2S?

Tabel di bagian ini memperlihatkan nilai untuk kebijakan default. Namun, nilai tersebut tidak mencerminkan nilai yang didukung yang tersedia untuk kebijakan kustom. Untuk kebijakan kustom, lihat nilai yang diterima yang tercantum dalam cmdlet PowerShell New-AzVpnClientIpsecParameter .

IKEv2

Sandi Integritas PRF Grup DH
GCM_AES256 GCM_AES256 SHA384 GROUP_24
GCM_AES256 GCM_AES256 SHA384 GROUP_14
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP256
GCM_AES256 GCM_AES256 SHA256 GROUP_24
GCM_AES256 GCM_AES256 SHA256 GROUP_14
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP256
AES256 SHA384 SHA384 GROUP_24
AES256 SHA384 SHA384 GROUP_14
AES256 SHA384 SHA384 GROUP_ECP384
AES256 SHA384 SHA384 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_24
AES256 SHA256 SHA256 GROUP_14
AES256 SHA256 SHA256 GROUP_ECP384
AES256 SHA256 SHA256 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_2

IPsec

Sandi Integritas Grup PFS
GCM_AES256 GCM_AES256 GROUP_NONE
GCM_AES256 GCM_AES256 GROUP_24
GCM_AES256 GCM_AES256 GROUP_14
GCM_AES256 GCM_AES256 GROUP_ECP384
GCM_AES256 GCM_AES256 GROUP_ECP256
AES256 SHA256 GROUP_NONE
AES256 SHA256 GROUP_24
AES256 SHA256 GROUP_14
AES256 SHA256 GROUP_ECP384
AES256 SHA256 GROUP_ECP256
AES256 SHA1 GROUP_NONE

Kebijakan TLS apa yang dikonfigurasi pada gateway VPN untuk P2S?

TLS

Kebijakan
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256

Bagaimana cara mengkonfigurasi koneksi P2S?

Konfigurasi P2S membutuhkan beberapa langkah tertentu. Artikel berikut berisi langkah-langkah untuk memanding Anda melalui langkah-langkah konfigurasi P2S umum.

Untuk menghapus konfigurasi koneksi P2S

Anda dapat menghapus konfigurasi koneksi dengan menggunakan PowerShell atau CLI. Contohnya, Lihat FAQ.

Bagaimana cara kerja perutean P2S?

Lihat artikel berikut:

Tanya Jawab Umum

Ada beberapa entri FAQ untuk titik-ke-situs. Lihat TANYA JAWAB UMUM VPN Gateway, memberikan perhatian khusus pada bagian Autentikasi sertifikat dan RADIUS, sebagaimana mewajibkan.

Langkah berikutnya