Mengonfigurasi klien VPN untuk point-to-site: RADIUS - autentikasi kata sandi
Untuk menghubungkan ke jaringan virtual melalui point-to-site (P2S), Anda perlu mengonfigurasi perangkat klien yang akan Anda hubungkan. Anda dapat membuat koneksi P2S VPN dari perangkat klien Windows, OS X, dan Linux. Artikel ini membantu Anda membuat dan menginstal konfigurasi klien VPN untuk autentikasi RADIUS nama pengguna/sandi.
Saat Anda menggunakan autentikasi RADIUS, ada beberapa instruksi autentikasi: autentikasi sertifikat, autentikasi kata sandi, serta metode dan protokol autentikasi lainnya. Konfigurasi klien VPN berbeda untuk setiap jenis autentikasi. Untuk mengKonfigurasi klien VPN, Anda menggunakan file konfigurasi klien yang berisi pengaturan yang diperlukan.
Catatan
Mulai 1 Juli 2018, dukungan dihapus untuk TLS 1.0 dan 1.1 dari Gateway VPN Azure. VPN Gateway hanya akan mendukung TLS 1.2. saja Hanya koneksi titik ke situs yang terpengaruh; sambungan situs ke situs tidak akan terpengaruh. Jika Anda menggunakan TLS untuk VPN titik ke situs pada klien Windows 10, Anda tidak perlu mengambil tindakan apa pun. Jika Anda menggunakan TLS untuk koneksi titik ke situs pada klien Windows 7 dan Windows 8, lihat Tanya Jawab Umum VPN Gateway untuk petunjuk pembaruan.
Alur kerja
Alur kerja konfigurasi untuk autentikasi RADIUS P2S adalah sebagai berikut:
- Siapkan Azure VPN gateway untuk konektivitas P2S.
- Siapkan server RADIUS Anda untuk autentikasi.
- Dapatkan konfigurasi klien VPN untuk opsi autentikasi pilihan Anda dan gunakan untuk mengatur klien VPN (artikel ini).
- Lengkapi konfigurasi P2S Anda dan hubungkan.
Penting
Jika ada perubahan pada konfigurasi VPN Point-to-site setelah Anda membuat file konfigurasi klien VPN, misalnya jenis protokol VPN atau jenis autentikasi, pastikan untuk membuat dan memasang konfigurasi klien VPN baru untuk perangkat pengguna Anda.
Anda dapat mengonfigurasi autentikasi nama pengguna/kata sandi untuk menggunakan Direktori Aktif, atau untuk tidak menggunakan Direktori Aktif. Dengan salah satu skenario, pastikan bahwa semua pengguna yang terhubung memiliki kredensial nama pengguna/kata sandi yang dapat diautentikasi melalui RADIUS.
Saat mengonfigurasi autentikasi nama pengguna/kata sandi, Anda hanya bisa membuat konfigurasi untuk autentikasi protokol nama pengguna/kata sandi EAP-MSCHAPv2. Dalam perintah, -AuthenticationMethod
adalah EapMSChapv2
.
Membuat file konfigurasi klien VPN
Anda dapat membuat file konfigurasi klien VPN dengan menggunakan portal Azure, atau dengan menggunakan Azure PowerShell.
Portal Azure
- Navigasikan ke gateway jaringan virtual.
- Klik Konfigurasi Point-to-Site.
- Klik Unduh klien VPN.
- Pilih klien dan isi informasi apa pun yang diminta.
- Klik Unduh untuk menghasilkan file .zip Anda.
- File .zip diunduh, biasanya ke folder Unduhan Anda.
Azure PowerShell
Buat file konfigurasi klien VPN untuk digunakan dengan autentikasi nama pengguna/kata sandi. Anda dapat membuat file konfigurasi klien VPN menggunakan perintah berikut:
New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapMSChapv2"
Menjalankan perintah menampilkan tautan. Salin dan tempel tautan ke browser web untuk mengunduh VpnClientConfiguration.zip. Ekstrak file zip untuk melihat folder berikut:
- WindowsAmd64 dan WindowsX86: Folder ini masing-masing berisi paket alat penginstal Windows 64-bit dan 32-bit.
- Generik: Folder ini berisi informasi umum yang Anda gunakan untuk membuat konfigurasi klien VPN Anda sendiri. Anda tidak memerlukan folder ini untuk konfigurasi autentikasi nama pengguna/kata sandi.
- Mac: Jika Anda mengonfigurasi IKEv2 saat membuat gateway jaringan virtual, Anda akan melihat folder bernama Mac yang berisi file mobileconfig. Anda menggunakan file ini untuk mengonfigurasi klien Mac.
Jika Anda sudah membuat file konfigurasi klien, Anda dapat mengambilnya dengan menggunakan Get-AzVpnClientConfiguration
cmdlet. Tetapi jika Anda membuat perubahan pada konfigurasi VPN P2S Anda, seperti jenis protokol VPN atau jenis autentikasi, konfigurasi tidak diperbarui secara otomatis. Anda harus menjalankan New-AzVpnClientConfiguration
cmdlet untuk membuat unduhan konfigurasi baru.
Untuk mengambil file konfigurasi klien yang dihasilkan sebelumnya, gunakan perintah berikut:
Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW"
Klien Windows VPN
Anda dapat menggunakan paket konfigurasi klien VPN yang sama di setiap komputer klien Windows, selama versinya cocok dengan arsitektur untuk klien. Untuk daftar sistem operasi klien yang didukung, lihat FAQ.
Gunakan langkah-langkah berikut untuk mengonfigurasi klien VPN Windows asli di Mac untuk autentikasi sertifikat:
Pilih file konfigurasi klien VPN yang sesuai dengan arsitektur komputer Windows. Untuk arsitektur prosesor 64-bit, pilih paket alat penginstal VpnClientSetupAmd64. Untuk arsitektur prosesor 32-bit, pilih paket alat penginstal VpnClientSetupX86.
Untuk memasang paket, klik dua kali paket tersebut. Jika Anda melihat pop-up SmartScreen, pilih Info selengkapnya>Tetap jalankan.
Pada komputer klien, telusuri ke Pengaturan Jaringan dan pilih VPN. Koneksi VPN menampilkan nama jaringan virtual yang disambungkannya.
Klien VPN Mac (macOS)
Pilih file VpnClientSetup mobileconfig dan kirim ke masing-masing pengguna. Anda dapat menggunakan email atau metode lain.
Temukan file mobileconfig di Mac.
Langkah Opsional - Jika Anda ingin menentukan DNS kustom, tambahkan baris berikut ke file mobileconfig:
<key>DNS</key> <dict> <key>ServerAddresses</key> <array> <string>10.0.0.132</string> </array> <key>SupplementalMatchDomains</key> <array> <string>TestDomain.com</string> </array> </dict>
Klik dua kali profil untuk memasangnya, dan pilih Lanjutkan. Nama profil sama dengan nama jaringan virtual Anda.
Pilih Lanjutkan untuk mempercayai pengirim profil dan lanjutkan dengan penginstalan.
Selama instalasi profil, Anda dapat menentukan nama pengguna dan kata sandi untuk autentikasi VPN. Tidak wajib memasukkan informasi ini. Jika ya, informasi tersebut disimpan dan digunakan secara otomatis saat Anda memulai koneksi. Pilih Instal untuk melanjutkan.
Masukkan nama pengguna dan kata sandi untuk hak yang diperlukan untuk memasang profil di komputer Anda. Pilih OK.
Setelah profil diinstal, profil terlihat dalam kotak dialog Profil. Anda juga dapat membuka kotak dialog ini nanti dari Preferensi Sistem.
Untuk mengakses koneksi VPN, buka kotak dialog Jaringan dari Preferensi Sistem.
Koneksi VPN muncul sebagai IkeV2-VPN. Anda dapat mengubah nama dengan memperbarui mobileconfig.
Pilih Pengaturan Autentikasi. Pilih Nama pengguna dalam daftar dan masukkan kredensial Anda. Jika Anda memasukkan kredensial sebelumnya, maka Nama pengguna secara otomatis dipilih dalam daftar dan nama pengguna dan kata sandi telah diisi sebelumnya. Pilih OK untuk menyimpan pengaturan.
Kembali ke kotak dialog Jaringan, pilih Terapkan untuk menyimpan perubahan. Untuk memulai koneksi, pilih Hubungkan.
Klien VPN Linux - strongSwan
Instruksi berikut dibuat melalui strongSwan 5.5.1 pada Ubuntu 17.0.4.
Buka Terminal untuk memasang strongSwan dan Manajer Jaringannya dengan menjalankan perintah sesuai contoh. Jika Anda menerima kesalahan yang terkait dengan
libcharon-extra-plugins
, ganti denganstrongswan-plugin-eap-mschapv2
.Pilih ikon Manajer Jaringan (panah atas/panah bawah), dan pilih Edit Koneksi.
Pilih tombol Tambahkan untuk membuat koneksi baru.
Pilih IPsec/IKEv2 (strongswan) dari menu drop-down, lalu pilih Buat. Anda dapat mengganti nama koneksi Anda di langkah ini.
Buka file VpnSettings.xml dari folder Generik yang terkandung dalam file konfigurasi klien yang diunduh. Temukan tag yang dipanggil
VpnServer
dan salin nama, dimulai denganazuregateway
dan diakhiri dengan.cloudapp.net
.Tempelkan nama di bidang Alamat koneksi VPN baru Anda di bagian Gateway. Selanjutnya, pilih ikon folder di akhir bidang Sertifikat, telusuri ke folder Generik, dan pilih file VpnServerRoot.
Di bagian Klien koneksi, pilih EAP untuk Autentikasi, dan masukkan nama pengguna dan kata sandi Anda. Anda mungkin harus memilih ikon kunci di sebelah kanan untuk menyimpan informasi ini. Lalu, pilih Simpan.
Pilih ikon Manajer Jaringan (panah atas/panah bawah), dan pilih Koneksi VPN. Anda melihat koneksi VPN yang Anda buat. Untuk memulai koneksi, pilih koneksi tersebut.
Langkah tambahan untuk komputer virtual Azure
Jika Anda menjalankan prosedur pada komputer virtual Azure yang menjalankan Linux, ada langkah tambahan yang harus dilakukan.
Edit file /etc/netplan/50-cloud-init.yaml untuk menyertakan parameter berikut untuk antarmuka
renderer: NetworkManager
Setelah mengedit file, jalankan dua perintah berikut untuk memuat konfigurasi baru
sudo netplan generate
sudo netplan apply
Hentikan/Mulai atau Sebarkan ulang komputer virtual.
Langkah berikutnya
Kembali ke artikel untuk menyelesaikan konfigurasi P2S Anda.
Untuk informasi pemecahan masalah P2S, lihat Memecahkan masalah koneksi point-to-site Azure.