Mengonfigurasi klien VPN untuk point-to-site: RADIUS - autentikasi kata sandi

  • Artikel

Untuk menghubungkan ke jaringan virtual melalui point-to-site (P2S), Anda perlu mengonfigurasi perangkat klien yang akan Anda hubungkan. Anda dapat membuat koneksi P2S VPN dari perangkat klien Windows, OS X, dan Linux. Artikel ini membantu Anda membuat dan menginstal konfigurasi klien VPN untuk autentikasi RADIUS nama pengguna/sandi.

Saat Anda menggunakan autentikasi RADIUS, ada beberapa instruksi autentikasi: autentikasi sertifikat, autentikasi kata sandi, serta metode dan protokol autentikasi lainnya. Konfigurasi klien VPN berbeda untuk setiap jenis autentikasi. Untuk mengKonfigurasi klien VPN, Anda menggunakan file konfigurasi klien yang berisi pengaturan yang diperlukan.

Catatan

Mulai 1 Juli 2018, dukungan dihapus untuk TLS 1.0 dan 1.1 dari Gateway VPN Azure. VPN Gateway hanya akan mendukung TLS 1.2. saja Hanya koneksi titik ke situs yang terpengaruh; sambungan situs ke situs tidak akan terpengaruh. Jika Anda menggunakan TLS untuk VPN titik ke situs pada klien Windows 10, Anda tidak perlu mengambil tindakan apa pun. Jika Anda menggunakan TLS untuk koneksi titik ke situs pada klien Windows 7 dan Windows 8, lihat Tanya Jawab Umum VPN Gateway untuk petunjuk pembaruan.

Alur kerja

Alur kerja konfigurasi untuk autentikasi RADIUS P2S adalah sebagai berikut:

  1. Siapkan Azure VPN gateway untuk konektivitas P2S.
  2. Siapkan server RADIUS Anda untuk autentikasi.
  3. Dapatkan konfigurasi klien VPN untuk opsi autentikasi pilihan Anda dan gunakan untuk mengatur klien VPN (artikel ini).
  4. Lengkapi konfigurasi P2S Anda dan hubungkan.

Penting

Jika ada perubahan pada konfigurasi VPN Point-to-site setelah Anda membuat file konfigurasi klien VPN, misalnya jenis protokol VPN atau jenis autentikasi, pastikan untuk membuat dan memasang konfigurasi klien VPN baru untuk perangkat pengguna Anda.

Anda dapat mengonfigurasi autentikasi nama pengguna/kata sandi untuk menggunakan Direktori Aktif atau tidak menggunakan Direktori Aktif. Dengan salah satu skenario, pastikan bahwa semua pengguna yang terhubung memiliki kredensial nama pengguna/kata sandi yang dapat diautentikasi melalui RADIUS.

Saat mengonfigurasi autentikasi nama pengguna/kata sandi, Anda hanya bisa membuat konfigurasi untuk autentikasi protokol nama pengguna/kata sandi EAP-MSCHAPv2. Dalam perintah, -AuthenticationMethod adalah EapMSChapv2.

Membuat file konfigurasi klien VPN

Anda dapat membuat file konfigurasi klien VPN dengan menggunakan portal Azure, atau dengan menggunakan Azure PowerShell.

Portal Azure

  1. Navigasikan ke gateway jaringan virtual.
  2. Klik Konfigurasi Point-to-Site.
  3. Klik Unduh klien VPN.
  4. Pilih klien dan isi informasi apa pun yang diminta.
  5. Klik Unduh untuk menghasilkan file .zip Anda.
  6. File .zip akan diunduh, biasanya ke folder Unduhan Anda.

Azure PowerShell

Buat file konfigurasi klien VPN untuk digunakan dengan autentikasi nama pengguna/kata sandi. Anda dapat membuat file konfigurasi klien VPN menggunakan perintah berikut:

New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapMSChapv2"

Menjalankan perintah menampilkan tautan. Salin dan tempel tautan ke browser web untuk mengunduh VpnClientConfiguration.zip. Ekstrak file zip untuk melihat folder berikut:

  • WindowsAmd64 dan WindowsX86: Folder ini masing-masing berisi paket alat penginstal Windows 64-bit dan 32-bit.
  • Generik: Folder ini berisi informasi umum yang Anda gunakan untuk membuat konfigurasi klien VPN Anda sendiri. Anda tidak memerlukan folder ini untuk konfigurasi autentikasi nama pengguna/kata sandi.
  • Mac: Jika Anda mengonfigurasi IKEv2 saat membuat gateway jaringan virtual, Anda akan melihat folder bernama Mac yang berisi file mobileconfig. Anda menggunakan file ini untuk mengonfigurasi klien Mac.

Jika Anda sudah membuat file konfigurasi klien, Anda dapat mengambilnya dengan menggunakan Get-AzVpnClientConfiguration cmdlet. Tetapi jika Anda membuat perubahan pada konfigurasi VPN P2S Anda, seperti jenis protokol VPN atau jenis autentikasi, konfigurasi tidak diperbarui secara otomatis. Anda harus menjalankan New-AzVpnClientConfiguration cmdlet untuk membuat unduhan konfigurasi baru.

Untuk mengambil file konfigurasi klien yang dihasilkan sebelumnya, gunakan perintah berikut:

Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW"

Klien Windows VPN

Anda dapat menggunakan paket konfigurasi klien VPN yang sama di setiap komputer klien Windows, selama versinya cocok dengan arsitektur untuk klien. Untuk daftar sistem operasi klien yang didukung, lihat FAQ.

Gunakan langkah-langkah berikut untuk mengonfigurasi klien VPN Windows asli di Mac untuk autentikasi sertifikat:

  1. Pilih file konfigurasi klien VPN yang sesuai dengan arsitektur komputer Windows. Untuk arsitektur prosesor 64-bit, pilih paket alat penginstal VpnClientSetupAmd64. Untuk arsitektur prosesor 32-bit, pilih paket alat penginstal VpnClientSetupX86.

  2. Untuk memasang paket, klik dua kali paket tersebut. Jika Anda melihat pop-up SmartScreen, pilih Info selengkapnya>Tetap jalankan.

  3. Pada komputer klien, telusuri ke Pengaturan Jaringan dan pilih VPN. Koneksi VPN menampilkan nama jaringan virtual yang disambungkannya.

Klien VPN Mac (macOS)

  1. Pilih file VpnClientSetup mobileconfig dan kirim ke masing-masing pengguna. Anda dapat menggunakan email atau metode lain.

  2. Temukan file mobileconfig di Mac.

    Screenshot shows location of the mobile config file.

  3. Langkah Opsional - Jika Anda ingin menentukan DNS kustom, tambahkan baris berikut ke file mobileconfig:

     <key>DNS</key>
 <dict>
   <key>ServerAddresses</key>
     <array>
         <string>10.0.0.132</string>
     </array>
   <key>SupplementalMatchDomains</key>
     <array>
         <string>TestDomain.com</string>
     </array>
 </dict>

  4. Klik dua kali profil untuk memasangnya, dan pilih Lanjutkan. Nama profil sama dengan nama jaringan virtual Anda.

    Screenshot shows profile install with continue selected.

  5. Pilih Lanjutkan untuk mempercayai pengirim profil dan lanjutkan dengan penginstalan.

    Screenshot shows continue message.

  6. Selama instalasi profil, Anda dapat menentukan nama pengguna dan kata sandi untuk autentikasi VPN. Tidak wajib memasukkan informasi ini. Jika ya, informasi tersebut disimpan dan digunakan secara otomatis saat Anda memulai koneksi. Pilih Instal untuk melanjutkan.

    Screenshot shows enter settings for username and password.

  7. Masukkan nama pengguna dan kata sandi untuk hak yang diperlukan untuk memasang profil di komputer Anda. Pilih OK.

    Screenshot shows enter settings for username and password privileges.

  8. Setelah profil diinstal, profil terlihat dalam kotak dialog Profil. Anda juga dapat membuka kotak dialog ini nanti dari Preferensi Sistem.

    Screenshot shows profiles dialog box.

  9. Untuk mengakses koneksi VPN, buka kotak dialog Jaringan dari Preferensi Sistem.

    Screenshot shows network dialog box.

  10. Koneksi VPN muncul sebagai IkeV2-VPN. Anda dapat mengubah nama dengan memperbarui mobileconfig.

    Screenshot shows connection name.

  11. Pilih Pengaturan Autentikasi. Pilih Nama pengguna dalam daftar dan masukkan kredensial Anda. Jika Anda memasukkan kredensial sebelumnya, maka Nama pengguna secara otomatis dipilih dalam daftar dan nama pengguna dan kata sandi telah diisi sebelumnya. Pilih OK untuk menyimpan pengaturan.

    Screenshot that shows the Authentication settings drop-down with Username selected.

  12. Kembali ke kotak dialog Jaringan, pilih Terapkan untuk menyimpan perubahan. Untuk memulai koneksi, pilih Hubungkan.

Klien VPN Linux - strongSwan

Instruksi berikut dibuat melalui strongSwan 5.5.1 pada Ubuntu 17.0.4. Layar aktual mungkin berbeda, tergantung pada versi Linux dan strongSwan Anda.

  1. Buka Terminal untuk memasang strongSwan dan Manajer Jaringannya dengan menjalankan perintah sesuai contoh. Jika Anda menerima kesalahan yang terkait denganlibcharon-extra-plugins, ganti dengan strongswan-plugin-eap-mschapv2.

    sudo apt-get install strongswan libcharon-extra-plugins moreutils iptables-persistent network-manager-strongswan

  2. Pilih ikon Manajer Jaringan (panah atas/panah bawah), dan pilih Edit Koneksi.

    Edit connections in Network Manager.

  3. Pilih tombol Tambahkan untuk membuat koneksi baru.

    Screenshot shows add connection for network connections.

  4. Pilih IPsec/IKEv2 (strongswan) dari menu drop-down, lalu pilih Buat. Anda dapat mengganti nama koneksi Anda di langkah ini.

    Screenshot shows select connection type.

  5. Buka file VpnSettings.xml dari folder Generik yang terkandung dalam file konfigurasi klien yang diunduh. Temukan tag yang dipanggil VpnServer dan salin nama, dimulai dengan azuregatewaydan diakhiri dengan .cloudapp.net.

    Screenshot shows contents of the VpnSettings.xml file.

  6. Tempelkan nama di bidang Alamat koneksi VPN baru Anda di bagian Gateway. Selanjutnya, pilih ikon folder di akhir bidang Sertifikat, telusuri ke folder Generik, dan pilih file VpnServerRoot.

  7. Di bagian Klien koneksi, pilih EAP untuk Autentikasi, dan masukkan nama pengguna dan kata sandi Anda. Anda mungkin harus memilih ikon kunci di sebelah kanan untuk menyimpan informasi ini. Lalu, pilih Simpan.

    Screenshot shows edit connection settings.

  8. Pilih ikon Manajer Jaringan (panah atas/panah bawah), dan pilih Koneksi VPN. Anda melihat koneksi VPN yang Anda buat. Untuk memulai koneksi, pilih koneksi tersebut.

    Screenshot shows connect.

Langkah tambahan untuk komputer virtual Azure

Jika Anda menjalankan prosedur pada komputer virtual Azure yang menjalankan Linux, ada langkah tambahan yang harus dilakukan.

  1. Edit file /etc/netplan/50-cloud-init.yaml untuk menyertakan parameter berikut untuk antarmuka

    renderer: NetworkManager

  2. Setelah mengedit file, jalankan dua perintah berikut untuk memuat konfigurasi baru

    sudo netplan generate

    sudo netplan apply

  3. Hentikan/Mulai atau Sebarkan ulang komputer virtual.

Langkah berikutnya

Kembali ke artikel untuk menyelesaikan konfigurasi P2S Anda.

Untuk informasi pemecahan masalah P2S, lihat Memecahkan masalah koneksi point-to-site Azure.