Tentang Titik-ke-situs VPN

Koneksi gateway VPN Point-to-Site (P2S) memungkinkan Anda membuat koneksi aman ke jaringan virtual dari komputer klien individu. Koneksi P2S dibuat dengan memulai koneksi dari komputer klien. Solusi ini berguna untuk telecommuter yang ingin terhubung ke Azure VNets dari lokasi yang jauh, seperti dari rumah atau konferensi. VPN P2S juga merupakan solusi yang berguna untuk digunakan daripada VPN S2S ketika Anda hanya memiliki beberapa klien yang perlu terhubung ke VNet. Artikel ini berlaku untuk model penyebaran Resource Manager.

Protokol apa yang digunakan P2S?

VPN Titik-ke-situs dapat menggunakan salah satu protokol berikut:

  • Protokol OpenVPNĀ®, suatu protokol VPN berbasis SSL/TLS. Solusi VPN TLS dapat menembus firewall, karena sebagian besar firewall membuka port TCP 443 keluar, yang digunakan TLS. OpenVPN dapat digunakan untuk terhubung dari Android, iOS (versi 11.0 dan yang lebih baru), perangkat Windows, Linux, dan Mac (MacOS versi 10.13 dan yang lebih baru).

  • Secure Socket Tunneling Protocol (SSTP), protokol VPN hak milik berbasis TLS. Solusi VPN TLS dapat menembus firewall, karena sebagian besar firewall membuka port TCP 443 keluar, yang digunakan TLS. SSTP hanya didukung di perangkat Windows. Azure mendukung semua versi Windows yang memiliki SSTP dan mendukung TLS 1.2 (Windows 8.1 dan yang lebih baru).

  • IKEv2 VPN, suatu solusi VPN IPsec berbasis standar. VPN IKEv2 dapat digunakan untuk menyambung dari perangkat Mac (MacOS versi 10.11 dan yang lebih baru).

Catatan

IKEv2 dan OpenVPN untuk P2S hanya tersedia untuk model penyebaran Resource Manager. Keduanya tidak tersedia untuk model penyebaran klasik.

Bagaimana klien VPN P2S diautentikasi?

Sebelum Azure menerima koneksi VPN P2S, pengguna harus diautentikasi terlebih dahulu. Ada dua mekanisme yang ditawarkan Azure untuk mengautentikasi pengguna yang terhubung.

Mengautentikasi menggunakan autentikasi sertifikat Azure asli

Saat menggunakan autentikasi sertifikat Azure asli, sertifikat klien yang ada di perangkat digunakan untuk mengautentikasi pengguna yang terhubung. Sertifikat klien dihasilkan dari sertifikat akar tepercaya lalu diinstal pada setiap komputer klien. Anda dapat menggunakan sertifikat akar yang dihasilkan menggunakan solusi Enterprise, atau Anda dapat membuat sertifikat yang ditandatangani sendiri.

Validasi sertifikat klien dilakukan oleh gateway VPN dan terjadi selama pembentukan koneksi VPN P2S. Sertifikat akar diperlukan untuk validasi dan harus diunggah ke Azure.

Mengautentikasi menggunakan autentikasi Azure Active Directory asli

Autentikasi Azure AD memungkinkan pengguna terhubung ke Azure menggunakan info masuk Azure Active Directory-nya. Autentikasi Azure AD asli hanya didukung untuk protokol OpenVPN dan Windows 10 dan yang lebih baru dan juga memerlukan penggunaan Azure VPN Client.

Dengan autentikasi Azure Active Directory asli, Anda dapat memanfaatkan akses bersyarat Azure AD serta fitur Autentikasi Multifaktor (Multi-Factor Authentication/MFA) untuk VPN.

Pada tingkat tinggi, Anda perlu melakukan langkah-langkah berikut untuk mengonfigurasi autentikasi Azure Active Directory:

  1. Mengonfigurasi penyewa Azure Active Directory

  2. Mengaktifkan autentikasi Azure Active Directory di gateway

  3. Unduh versi terbaru file penginstalan Klien VPN Azure menggunakan salah satu link berikut:

Mengautentikasi menggunakan Server Domain Active Directory (AD)

Autentikasi Domain AD memungkinkan pengguna menyambungkan ke Azure menggunakan kredensial domain organisasi mereka. Ini membutuhkan server RADIUS yang terintegrasi dengan server AD. Organisasi juga dapat memanfaatkan penyebaran RADIUS yang ada.

Server RADIUS dapat digunakan lokal atau di Azure VNet Anda. Selama autentikasi, Azure VPN Gateway bertindak sebagai pass through dan meneruskan pesan autentikasi bolak-balik antara server RADIUS dan perangkat penghubung. Jadi keterjangkauan Gateway ke server RADIUS penting. Jika server RADIUS ada lokal, maka koneksi VPN S2S dari Azure ke situs lokal diperlukan untuk keterjangkauan.

Server RADIUS juga dapat diintegrasikan dengan layanan sertifikat AD. Ini memungkinkan Anda menggunakan server RADIUS dan penyebaran sertifikat perusahaan Anda untuk autentikasi sertifikat P2S sebagai alternatif untuk autentikasi sertifikat Azure. Keuntungannya adalah Anda tidak perlu mengunggah sertifikat root dan sertifikat yang dicabut ke Azure.

Server RADIUS juga dapat diintegrasikan dengan sistem identitas eksternal lainnya. Ini membuka banyak opsi autentikasi untuk P2S VPN, termasuk opsi multifaktor.

Diagram yang memperlihatkan VPN titik-ke-situs dengan situs lokal.

Apa saja persyaratan konfigurasi klien?

Catatan

Untuk klien Windows, Anda harus memiliki hak administrator pada perangkat klien untuk memulai koneksi VPN dari perangkat klien ke Azure.

Pengguna menggunakan klien VPN asli pada perangkat Windows dan Mac untuk P2S. Azure menyediakan file zip konfigurasi klien VPN yang berisi pengaturan yang diperlukan oleh klien asli ini agar terhubung ke Azure.

  • Untuk perangkat Windows, konfigurasi klien VPN terdiri dari paket alat penginstal yang diinstal oleh pengguna di perangkatnya.
  • Untuk perangkat Mac, terdiri dari file mobileconfig yang diinstal oleh pengguna di perangkatnya.

File zip tersebut juga menyediakan nilai beberapa pengaturan penting di sisi Azure yang dapat digunakan untuk membuat profil Anda sendiri untuk perangkat ini. Beberapa nilai tersebut meliputi alamat gateway VPN, jenis terowongan yang dikonfigurasi, rute, dan sertifikat akar untuk validasi gateway.

Catatan

Mulai 1 Juli 2018, dukungan dihapus untuk TLS 1.0 dan 1.1 dari Gateway VPN Azure. VPN Gateway hanya akan mendukung TLS 1.2. Hanya koneksi titik-ke-situs yang terpengaruh; koneksi titik-ke-situs tidak akan terpengaruh. Jika Anda menggunakan TLS untuk VPN titik-ke-situs di Windows 10 atau klien yang lebih baru, Anda tidak perlu melakukan tindakan apa pun. Jika Anda menggunakan TLS untuk koneksi titik ke situs pada klien Windows 7 dan Windows 8, lihat Tanya Jawab Umum VPN Gateway untuk petunjuk pembaruan.

SKU gateway mana yang mendukung VPN P2S?

VPN
Gateway
Generation
SKU S2S/VNet-to-VNet
Tunnel
P2S
Koneksi SSTP
P2S
IKEv2/OpenVPN Connections
Agregat
Tolok Ukur Throughput
BGP Zone-redundant
Generasi1 Dasar Maks. 10 Maks. 128 Tidak Didukung 100 Mbps Tidak Didukung Tidak
Generasi1 VpnGw1 Maks. 30 Maks. 128 Maks. 250 650 Mbps Didukung Tidak
Generasi1 VpnGw2 Maks. 30 Maks. 128 Maks. 500 1 Gbps Didukung Tidak
Generasi1 VpnGw3 Maks. 30 Maks. 128 Maks. 1000 1,25 Gbps Didukung Tidak
Generasi1 VpnGw1AZ Maks. 30 Maks. 128 Maks. 250 650 Mbps Didukung Ya
Generasi1 VpnGw2AZ Maks. 30 Maks. 128 Maks. 500 1 Gbps Didukung Ya
Generasi1 VpnGw3AZ Maks. 30 Maks. 128 Maks. 1000 1,25 Gbps Didukung Ya
Generation2 VpnGw2 Maks. 30 Maks. 128 Maks. 500 1,25 Gbps Didukung Tidak
Generation2 VpnGw3 Maks. 30 Maks. 128 Maks. 1000 2,5 Gbps Didukung Tidak
Generation2 VpnGw4 Maks. 100* Maks. 128 Maks. 5000 5 Gbps Didukung Tidak
Generation2 VpnGw5 Maks. 100* Maks. 128 Maks. 10000 10 Gbps Didukung Tidak
Generation2 VpnGw2AZ Maks. 30 Maks. 128 Maks. 500 1,25 Gbps Didukung Ya
Generation2 VpnGw3AZ Maks. 30 Maks. 128 Maks. 1000 2,5 Gbps Didukung Ya
Generation2 VpnGw4AZ Maks. 100* Maks. 128 Maks. 5000 5 Gbps Didukung Ya
Generation2 VpnGw5AZ Maks. 100* Maks. 128 Maks. 10000 10 Gbps Didukung Ya

(*) Gunakan Virtual WAN jika Anda membutuhkan lebih dari 100 tunnel VPN S2S.

  • Pada generasi yang sama, Anda dapat mengubah ukuran SKU VpnGw, tetapi tidak dapat mengubah ukuran SKU Dasar. SKU Dasar adalah SKU warisan dan memiliki keterbatasan fitur. Untuk berpindah dari SKU Dasar ke SKU lain, Anda harus menghapus gateway VPN dari SKU Dasar dan membuat gateway baru dengan kombinasi ukuran Generasi dan SKU yang diinginkan. (lihat Bekerja dengan SKU Lama).

  • Batas koneksi ini terpisah. Misalnya, Anda dapat memiliki koneksi SSTP 128 dan juga koneksi 250 IKEv2 pada SKU VpnGw1.

  • Informasi harga dapat ditemukan di halaman Harga.

  • Informasi SLA (Perjanjian Tingkat Layanan) dapat ditemukan di halaman SLA.

  • Jika Anda memiliki banyak koneksi P2S, itu dapat berdampak negatif pada koneksi S2S Anda. Aggregate Throughput Benchmark diuji dengan memaksimalkan kombinasi koneksi S2S dan P2S. Koneksi P2S atau S2S tunggal dapat memiliki throughput yang jauh lebih rendah.

  • Perhatikan bahwa semua tolok ukur tidak dijamin karena kondisi lalu lintas Internet dan perilaku aplikasi Anda

Untuk membantu pelanggan memahami performa relatif SKU menggunakan algoritma yang berbeda, kami menggunakan ketersediaan publik iPerf dan CTSTraffic yang tersedia untuk mengukur performa untuk koneksi situs-ke-situs. Tabel di bawah mencantumkan hasil pengujian performa untuk SKU VpnGw. Seperti yang Anda lihat, performa terbaik diperoleh ketika kami menggunakan algoritma GCMAES256 untuk Enkripsi dan Integritas IPsec. Kami mendapat performa rata-rata saat menggunakan AES256 untuk Enkripsi IPsec dan SHA256 untuk Integritas. Ketika menggunakan DES3 untuk Enkripsi IPsec dan SHA256 untuk Integritas, kami mendapatkan performa terendah.

Tunnel VPN terhubung ke instans gateway VPN. Setiap throughput instans disebutkan dalam tabel throughput di atas dan tersedia secara agregat di semua tunnel yang terhubung ke instans tersebut.

Tabel di bawah menunjukkan bandwidth yang diamati dan throughput paket per detik per tunnel untuk SKU gateway yang berbeda. Semua pengujian dilakukan antara gateway (titik akhir) dalam Azure di berbagai wilayah dengan 100 koneksi dan dalam kondisi beban standar.

Generasi SKU Algoritma
digunakan
Throughput
diamati per tunnel
Paket per detik per tunnel
diamati
Generasi1 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
130 Mbps
62.000
47.000
12.000
Generasi1 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gbps
650 Mbps
140 Mbps
100.000
61.000
13.000
Generasi1 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
700 Mbps
140 Mbps
120.000
66.000
13.000
Generasi1 VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
130 Mbps
62.000
47.000
12.000
Generasi1 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gbps
650 Mbps
140 Mbps
110.000
61.000
13.000
Generasi1 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
700 Mbps
140 Mbps
120.000
66.000
13.000
Generation2 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
550 Mbps
130 Mbps
120.000
52.000
12.000
Generation2 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1.5 Gbps
700 Mbps
140 Mbps
140.000
66.000
13.000
Generation2 VpnGw4 GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbps
700 Mbps
140 Mbps
220.000
66.000
13.000
Generation2 VpnGw5 GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbps
700 Mbps
140 Mbps
220.000
66.000
13.000
Generation2 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
550 Mbps
130 Mbps
120.000
52.000
12.000
Generation2 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1.5 Gbps
700 Mbps
140 Mbps
140.000
66.000
13.000
Generation2 VpnGw4AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbps
700 Mbps
140 Mbps
220.000
66.000
13.000
Generation2 VpnGw5AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbps
700 Mbps
140 Mbps
220.000
66.000
13.000

Catatan

SKU Dasar tidak mendukung autentikasi RADIUS atau IKEv2.

Kebijakan IKE/IPsec apa yang dikonfigurasi pada gateway VPN untuk P2S?

IKEv2

Sandi Integritas PRF Grup DH
GCM_AES256 GCM_AES256 SHA384 GROUP_24
GCM_AES256 GCM_AES256 SHA384 GROUP_14
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP256
GCM_AES256 GCM_AES256 SHA256 GROUP_24
GCM_AES256 GCM_AES256 SHA256 GROUP_14
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP256
AES256 SHA384 SHA384 GROUP_24
AES256 SHA384 SHA384 GROUP_14
AES256 SHA384 SHA384 GROUP_ECP384
AES256 SHA384 SHA384 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_24
AES256 SHA256 SHA256 GROUP_14
AES256 SHA256 SHA256 GROUP_ECP384
AES256 SHA256 SHA256 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_2

IPsec

Sandi Integritas Grup PFS
GCM_AES256 GCM_AES256 GROUP_NONE
GCM_AES256 GCM_AES256 GROUP_24
GCM_AES256 GCM_AES256 GROUP_14
GCM_AES256 GCM_AES256 GROUP_ECP384
GCM_AES256 GCM_AES256 GROUP_ECP256
AES256 SHA256 GROUP_NONE
AES256 SHA256 GROUP_24
AES256 SHA256 GROUP_14
AES256 SHA256 GROUP_ECP384
AES256 SHA256 GROUP_ECP256
AES256 SHA1 GROUP_NONE

Kebijakan TLS apa yang dikonfigurasi pada gateway VPN untuk P2S?

TLS

Kebijakan
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256

Bagaimana cara mengonfigurasi koneksi P2S?

Konfigurasi P2S membutuhkan beberapa langkah tertentu. Artikel berikut berisi langkah-langkah untuk memandu Anda melalui konfigurasi P2S, dan tautan untuk mengonfigurasi perangkat klien VPN:

Untuk menghapus konfigurasi koneksi P2S

Anda dapat menghapus konfigurasi koneksi dengan menggunakan PowerShell atau CLI. Contohnya, Lihat FAQ.

Bagaimana cara kerja perutean P2S?

Lihat artikel berikut ini:

Tanya Jawab Umum

Ada beberapa bagian FAQ untuk P2S, berdasarkan autentikasi.

Langkah berikutnya

"OpenVPN" adalah merek dagang OpenVPN Inc.