Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Koneksi gateway VPN Point-to-Site (P2S) memungkinkan Anda membuat koneksi aman ke jaringan virtual dari komputer klien individu. Pembuatan koneksi P2S dimulai dari komputer klien. Solusi ini berguna untuk telekomuter yang ingin terhubung ke Azure jaringan virtual dari lokasi terpencil, seperti dari rumah atau konferensi. VPN P2S juga merupakan solusi yang berguna untuk digunakan alih-alih VPN situs-ke-situs (S2S) ketika Anda hanya memiliki beberapa klien yang perlu terhubung ke jaringan virtual. Konfigurasi titik-ke-situs memerlukan jenis VPN berbasis rute .
Protokol apa yang digunakan P2S?
VPN Point-to-site dapat menggunakan salah satu protokol berikut:
Protokol OpenVPNĀ®, suatu protokol VPN berbasis SSL/TLS. Solusi VPN TLS dapat menembus firewall, karena sebagian besar firewall membuka port TCP 443 keluar, yang digunakan TLS. OpenVPN dapat digunakan untuk terhubung dari perangkat Android, iOS (versi 11.0 ke atas), Windows, Linux, dan Mac (macOS versi 10.13 ke atas). Versi yang didukung adalah TLS 1.2 dan TLS 1.3 berdasarkan jabat tangan TLS.
Secure Socket Tunneling Protocol (SSTP), protokol VPN berbasis TLS eksklusif. Solusi VPN TLS dapat menembus firewall, karena sebagian besar firewall membuka port TCP 443 keluar, yang digunakan TLS. SSTP hanya didukung pada perangkat Windows. Azure mendukung semua versi Windows yang memiliki SSTP dan mendukung TLS 1.2 (Windows 8.1 dan yang lebih baru).
IKEv2 VPN, solusi VPN IPsec berbasis standar. VPN IKEv2 dapat digunakan untuk menyambung dari perangkat Mac (MacOS versi 10.11 dan yang lebih baru).
Bagaimana klien VPN P2S diautentikasi?
Sebelum Azure menerima koneksi VPN P2S, pengguna harus diautentikasi terlebih dahulu. Ada tiga jenis autentikasi yang bisa Anda pilih saat mengonfigurasi gateway P2S Anda. Opsinya adalah:
Anda dapat memilih beberapa jenis autentikasi untuk konfigurasi gateway P2S Anda. Jika Anda memilih beberapa jenis autentikasi, klien VPN yang Anda gunakan harus didukung oleh setidaknya satu jenis autentikasi dan jenis terowongan yang sesuai. Misalnya, jika Anda memilih "IKEv2 dan OpenVPN" untuk jenis terowongan, dan "Microsoft Entra ID dan Radius" atau "sertifikat Microsoft Entra ID dan Azure" untuk jenis autentikasi, Microsoft Entra ID hanya akan menggunakan jenis terowongan OpenVPN karena tidak didukung oleh IKEv2.
Tabel berikut ini memperlihatkan mekanisme autentikasi yang kompatibel dengan jenis terowongan yang dipilih. Setiap mekanisme memerlukan perangkat lunak klien VPN yang sesuai pada perangkat penghubung untuk dikonfigurasi dengan pengaturan yang tepat yang tersedia dalam file konfigurasi profil klien VPN.
| Jenis Terowongan | Mekanisme Autentikasi |
|---|---|
| OpenVPN | Setiap subset dari Microsoft Entra ID, Radius Auth, dan Sertifikat Microsoft Azure |
| SSTP | Sertifikat Radius Auth/ Azure |
| IKEv2 | Sertifikat Radius Auth/ Azure |
| IKEv2 dan OpenVPN | Sertifikat Radius Auth/Azure/Microsoft Entra ID dan Radius Auth/Microsoft Entra ID dan Sertifikat Azure |
| IKEv2 dan SSTP | Sertifikat Radius Auth/ Azure |
Autentikasi sertifikat
Saat mengonfigurasi gateway P2S untuk autentikasi sertifikat, Anda mengunggah kunci publik sertifikat akar tepercaya ke gateway Azure. Anda dapat menggunakan sertifikat akar yang dihasilkan menggunakan solusi Enterprise, atau Anda dapat membuat sertifikat yang ditandatangani sendiri.
Untuk mengautentikasi, setiap klien yang tersambung harus memiliki sertifikat klien terinstal yang dihasilkan dari sertifikat akar tepercaya. Ini selain perangkat lunak klien VPN. Validasi sertifikat klien dilakukan oleh gateway VPN dan terjadi selama pembentukan koneksi VPN P2S.
Alur kerja autentikasi sertifikat
Pada tingkat tinggi, Anda perlu melakukan langkah-langkah berikut untuk mengonfigurasi autentikasi Sertifikat:
- Aktifkan autentikasi Sertifikat pada gateway P2S, bersama dengan pengaturan tambahan yang diperlukan (kumpulan alamat klien, dll.), dan unggah informasi kunci publik OS akar.
- Membuat dan mengunduh file konfigurasi profil klien VPN (paket konfigurasi profil).
- Instal sertifikat klien pada setiap komputer klien yang menghubungkan.
- Konfigurasikan klien VPN di komputer klien menggunakan pengaturan yang ditemukan dalam paket konfigurasi profil VPN.
- Terhubung.
autentikasi Microsoft Entra ID
Anda dapat mengonfigurasi gateway P2S anda untuk memungkinkan pengguna VPN mengautentikasi menggunakan kredensial Microsoft Entra ID. Dengan autentikasi Microsoft Entra ID, Anda dapat menggunakan fitur Akses Bersyarkat dan autentikasi multifaktor (MFA) Microsoft Entra untuk VPN. autentikasi Microsoft Entra ID hanya didukung untuk protokol OpenVPN. Untuk mengautentikasi dan menyambungkan, klien harus menggunakan Klien VPN Azure.
VPN Gateway sekarang mendukung ID Aplikasi baru yang terdaftar di Microsoft dan nilai Audiens yang sesuai untuk versi terbaru klien VPN Azure. Saat mengonfigurasi gateway VPN P2S menggunakan nilai Audiens baru, Anda melewati proses pendaftaran manual aplikasi Klien VPN Azure yang diperlukan sebelumnya untuk penyewa Microsoft Entra Anda. ID Aplikasi sudah dibuat dan penyewa Anda secara otomatis dapat menggunakannya tanpa langkah pendaftaran tambahan. Proses ini lebih aman daripada mendaftarkan Klien VPN Azure secara manual karena Anda tidak perlu mengotorisasi aplikasi atau menetapkan izin melalui peran Administrator Aplikasi Cloud. Untuk lebih memahami perbedaan antara jenis objek aplikasi, lihat Cara dan mengapa aplikasi ditambahkan ke Microsoft Entra ID.
- Jika gateway VPN Pengguna P2S Anda dikonfigurasi menggunakan nilai Audiens untuk aplikasi Klien VPN Azure yang dikonfigurasi secara manual, Anda dapat dengan mudah ubah gateway dan pengaturan klien untuk memanfaatkan ID Aplikasi baru yang terdaftar di Microsoft.
- Jika Anda ingin membuat atau memodifikasi nilai Audiens kustom, lihat Membuat ID aplikasi audiens kustom untuk P2S VPN.
- Jika Anda ingin mengonfigurasi atau membatasi akses ke P2S berdasarkan pengguna dan grup, lihat Skenario: Mengonfigurasi akses VPN P2S berdasarkan pengguna dan grup.
Pertimbangan
Important
Klien VPN Azure untuk Linux dihentikan pada 31 Agustus 2026. Setelah tanggal ini, klien tidak akan lagi didukung. Untuk informasi selengkapnya, silakan lihat panduan migrasi dan ringkasan Azure VPN Client for Linux Retirement untuk VPN Gateway dan Virtual WAN.
- Gateway VPN P2S hanya dapat mendukung satu nilai Audiens. Ini tidak dapat mendukung beberapa nilai Audiens secara bersamaan.
Meskipun ada kemungkinan bahwa Klien VPN Azure untuk Windows mungkin bekerja pada versi sistem operasi lainnya, Klien VPN Azure untuk Windows hanya didukung pada rilis berikut:
- Rilis Windows yang didukung: Windows 10, Windows 11 pada arsitektur X64, X86, dan ARM64.
- Versi terbaru klien VPN Azure untuk macOS dan Windows kompatibel dengan versi sebelumnya dari gateway P2S yang dikonfigurasi untuk menggunakan nilai Audiens lama yang sesuai dengan aplikasi yang terdaftar secara manual. Klien ini juga mendukung nilai Audiens Kustom.
Azure nilai Audiens Klien VPN
Tabel berikut ini memperlihatkan versi Klien VPN Azure yang didukung untuk setiap ID Aplikasi dan nilai Audiens yang tersedia terkait.
| ID Aplikasi | Nilai Audiens yang Didukung | Klien yang Didukung |
|---|---|---|
| Terdaftar di Microsoft | Nilai audiens c632b3df-fb67-4d84-bdcf-b95ad541b5c8 berlaku untuk:- Azure Publik - Azure Government - Azure Jerman - Microsoft Azure dioperasikan oleh 21Vianet |
-Windows - macOS |
| Terdaftar secara manual | - Azure Publik: 41b23e61-6c1e-4545-b367-cd054e0ed4b4- Pemerintah Azure: 51bb15d4-3a4f-4ebf-9dca-40096fe32426- Azure Jerman: 538ee9e6-310a-468d-afef-ea97365856a9- Microsoft Azure dioperasikan oleh 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa |
-Windows - macOS |
| Kustom | <custom-app-id> |
-Windows - macOS |
alur kerja autentikasi Microsoft Entra ID
Pada tingkat tinggi, Anda perlu melakukan langkah-langkah berikut untuk mengonfigurasi autentikasi Microsoft Entra ID:
- Jika menggunakan pendaftaran aplikasi manual, lakukan langkah-langkah yang diperlukan pada tenant Microsoft Entra.
- Aktifkan autentikasi Microsoft Entra ID di gateway P2S, bersama dengan pengaturan tambahan yang diperlukan (kumpulan alamat klien, dll.).
- Membuat dan mengunduh file konfigurasi profil klien VPN (paket konfigurasi profil).
- Unduh, instal, dan konfigurasikan Klien VPN Azure di komputer klien.
- Terhubung.
RADIUS - Server Domain Direktori Aktif (AD) autentikasi
Autentikasi Domain AD memungkinkan pengguna tersambung ke Azure menggunakan kredensial domain organisasi mereka. Ini membutuhkan server RADIUS yang terintegrasi dengan server AD. Organisasi juga dapat menggunakan penyebaran RADIUS yang ada.
Server RADIUS dapat disebarkan secara lokal atau di jaringan virtual Azure Anda. Selama autentikasi, Azure VPN Gateway bertindak sebagai pass through dan meneruskan pesan autentikasi bolak-balik antara server RADIUS dan perangkat penghubung. Jadi keterjangkauan Gateway ke server RADIUS penting. Jika server RADIUS ada di tempat, koneksi VPN S2S dari Azure ke situs lokal diperlukan untuk keterjangkauan.
Server RADIUS juga dapat diintegrasikan dengan layanan sertifikat AD. Ini memungkinkan Anda menggunakan server RADIUS dan penyebaran sertifikat perusahaan Anda untuk autentikasi sertifikat P2S sebagai alternatif untuk autentikasi sertifikat Azure. Keuntungannya adalah Anda tidak perlu mengunggah sertifikat akar dan sertifikat yang dicabut ke Azure.
Server RADIUS juga dapat diintegrasikan dengan sistem identitas eksternal lainnya. Ini membuka banyak opsi autentikasi untuk P2S VPN, termasuk opsi multifaktor.
Untuk langkah-langkah konfigurasi gateway P2S, lihat Mengonfigurasi P2S - RADIUS.
Apa saja persyaratan konfigurasi klien?
Persyaratan konfigurasi klien bervariasi, berdasarkan klien VPN yang Anda gunakan, jenis autentikasi, dan protokol. Tabel berikut ini memperlihatkan klien yang tersedia dan artikel terkait untuk setiap konfigurasi.
| Metode autentikasi | Jenis terowongan | OS Pelanggan | Klien VPN |
|---|---|---|---|
| Sertifikat | |||
| IKEv2, SSTP | Windows | Klien VPN asli | |
| IKEv2 | macOS | Klien VPN asli | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows |
Klien VPN Azure Klien OpenVPN versi 2.x Klien OpenVPN versi 3.x |
|
| OpenVPN | macOS | Klien OpenVPN | |
| OpenVPN | iOS | Klien OpenVPN | |
| OpenVPN | Linux |
Azure Vpn Client Klien OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Klien VPN Azure | |
| OpenVPN | macOS | Azure Vpn Client | |
| OpenVPN | Linux | Azure Vpn Client |
Versi Klien VPN Azure apa yang tersedia?
Untuk informasi tentang versi Klien VPN Azure yang tersedia, tanggal rilis, dan apa yang baru dalam setiap rilis, lihat Azure versi Klien VPN.
SKU gateway mana yang mendukung P2S VPN?
Tabel berikut ini memperlihatkan SKU gateway menurut terowongan, koneksi, dan throughput. Untuk informasi selengkapnya, lihat Tentang gateway SKU.
|
VPN Gerbang Jaringan Generasi |
SKU |
S2S/VNet-ke-VNet Terowongan |
P2S Koneksi SSTP |
P2S Koneksi IKEv2/OpenVPN |
Agregat Tolok Ukur Laju Pemrosesan |
BGP | Zone-redundant | Jumlah Mesin Virtual yang Didukung dalam Jaringan Virtual |
|---|---|---|---|---|---|---|---|---|
| Generasi1 | Basic | Maks. 10 | Maks. 128 | Tidak Didukung | 100 Mbps | Tidak Didukung | Tidak | 200 |
| Generasi1 | VpnGw1 | Maks. 30 | Maks. 128 | Maks. 250 | 650 Mbps | Didukung | Tidak | 450 |
| Generasi1 | VpnGw2 | Maks. 30 | Maks. 128 | Maks. 500 | 1 Gbps | Didukung | Tidak | 1300 |
| Generasi1 | VpnGw3 | Maks. 30 | Maks. 128 | Maks. 1000 | 1,25 Gbps | Didukung | Tidak | 4000 |
| Generasi1 | VpnGw1AZ | Maks. 30 | Maks. 128 | Maks. 250 | 650 Mbps | Didukung | Ya | 1000 |
| Generasi1 | VpnGw2AZ | Maks. 30 | Maks. 128 | Maks. 500 | 1 Gbps | Didukung | Ya | 2000 |
| Generasi1 | VpnGw3AZ | Maks. 30 | Maks. 128 | Maks. 1000 | 1,25 Gbps | Didukung | Ya | lima ribu |
| Generation2 | VpnGw2 | Maks. 30 | Maks. 128 | Maks. 500 | 1,25 Gbps | Didukung | Tidak | 685 |
| Generation2 | VpnGw3 | Maks. 30 | Maks. 128 | Maks. 1000 | 2,5 Gbps | Didukung | Tidak | 2240 |
| Generation2 | VpnGw4 | Maks. 100* | Maks. 128 | Maks. lima ribu | 5 Gbps | Didukung | Tidak | 5300 |
| Generation2 | VpnGw5 | Maks. 100* | Maks. 128 | Maks. 10.000 | 10 Gbps | Didukung | Tidak | 6700 |
| Generation2 | VpnGw2AZ | Maks. 30 | Maks. 128 | Maks. 500 | 1,25 Gbps | Didukung | Ya | 2000 |
| Generation2 | VpnGw3AZ | Maks. 30 | Maks. 128 | Maks. 1000 | 2,5 Gbps | Didukung | Ya | 3300 |
| Generation2 | VpnGw4AZ | Maks. 100* | Maks. 128 | Maks. lima ribu | 5 Gbps | Didukung | Ya | 4400 |
| Generation2 | VpnGw5AZ | Maks. 100* | Maks. 128 | Maks. 10.000 | 10 Gbps | Didukung | Ya | 9000 |
Catatan
"Jumlah VM yang Didukung dalam Virtual Network" mengacu pada jumlah sumber daya yang berkomunikasi melalui gateway. Hal ini mencakup:
- Mesin Virtual di jaringan virtual hub dan spoke yang saling dipertautkan
- Titik akhir pribadi
- Perangkat Virtual Jaringan (seperti Application Gateway, Azure Firewall)
- Instans backend layanan PaaS yang disebarkan di jaringan virtual (seperti SQL Managed Instance, App Service Environment)
Catatan
SKU Dasar memiliki batasan dan tidak mendukung autentikasi IKEv2, IPv6, atau RADIUS. Untuk informasi selengkapnya, lihat pengaturan VPN Gateway.
Kebijakan IKE/IPsec apa yang dikonfigurasi pada gateway VPN untuk P2S?
Tabel di bagian ini memperlihatkan nilai untuk kebijakan default. Namun, nilai tersebut tidak mencerminkan nilai yang didukung yang tersedia untuk kebijakan kustom. Untuk kebijakan kustom, lihat nilai yang diterima yang tercantum dalam cmdlet PowerShell New-AzVpnClientIpsecParameter .
IKEv2
| Cipher | Integritas | PRF | Grup DH |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GRUP_2 |
IPsec
| Cipher | Integritas | Grup PFS |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
Kebijakan TLS apa yang dikonfigurasi pada gateway VPN untuk P2S?
TLS
| Kebijakan |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| **TLS_AES_256_GCM_SHA384 |
| **TLS_AES_128_GCM_SHA256 |
**Hanya didukung di TLS1.3 dengan OpenVPN
Bagaimana cara mengkonfigurasi koneksi P2S?
Konfigurasi P2S membutuhkan beberapa langkah tertentu. Artikel berikut berisi langkah-langkah umum konfigurasi P2S serta panduannya.
Untuk menghapus konfigurasi koneksi P2S
Anda dapat menghapus konfigurasi koneksi dengan menggunakan PowerShell atau CLI. Misalnya, lihat FAQ.
Bagaimana cara kerja perutean P2S?
Lihat artikel berikut:
Tanya Jawab Umum
Ada beberapa entri FAQ untuk point-to-site. Lihat FAQ VPN Gateway, dengan memberikan perhatian khusus pada bagian autentikasi sertifikat dan RADIUS, jika sesuai.
Langkah berikutnya
- Konfigurasi koneksi P2S - autentikasi sertifikat Azure
- Konfigurasi sambungan P2S dengan autentikasi Microsoft Entra ID
"OpenVPN" adalah merek dagang OpenVPN Inc.