다음을 통해 공유

지점 및 사이트 간 VPN 클라이언트 구성: RADIUS - 암호 인증

  • 아티클

P2S(지점 및 사이트 간) 연결을 통해 가상 네트워크에 연결하려면 연결할 클라이언트 디바이스를 구성해야 합니다. Windows, macOS 및 Linux 클라이언트 디바이스에서 P2S VPN 연결을 만들 수 있습니다. 이 문서는 사용자 이름/암호 RADIUS 인증을 위한 VPN 클라이언트 구성을 만들고 설치하는 데 도움이 됩니다.

RADIUS 인증을 사용하는 경우 인증서 인증, 암호 인증기타 인증 방법 및 프로토콜과 같은 여러 인증 지침이 있습니다. VPN 클라이언트 구성은 각 인증 유형마다 다릅니다. VPN 클라이언트를 구성하려면 필요한 설정을 포함하는 클라이언트 구성 파일을 사용합니다.

참고 항목

2018년 7월 1일부터 Azure VPN 게이트웨이에서 1.1 및 TLS 1.0에 대한 지원이 제거될 예정입니다. VPN Gateway는 TLS 1.2만 지원합니다. 지점 및 사이트 간 연결만 영향을 받으며 사이트 간 연결은 영향을 받지 않습니다. Windows 10 이상 클라이언트에서 지점 및 사이트 간 VPN에 TLS를 사용하는 경우 작업을 취할 필요가 없습니다. Windows 7 및 Windows 8 클라이언트에서 지점-사이트 간 연결에 TLS를 사용하는 경우 VPN Gateway FAQ에서 업데이트 지침을 참조하세요.

워크플로

P2S RADIUS 인증에 대한 구성 워크플로는 다음과 같습니다.

  1. P2S 연결을 위한 Azure VPN 게이트웨이를 설정합니다.
  2. 인증을 위한 RADIUS 서버를 설정합니다.
  3. 선택한 인증 옵션에 대한 VPN 클라이언트 구성을 가져오고 이 구성을 사용하여 VPN 클라이언트를 설정합니다(이 문서).
  4. P2S 구성을 완료하고 연결합니다.

Important

VPN 프로토콜 유형 또는 인증 유형 등 VPN 클라이언트 구성 프로필을 생성한 후 지점 및 사이트 간 구성을 변경한 경우, 새 VPN 클라이언트 구성을 생성하고 사용자 디바이스에 설치해야 합니다.

Active Directory를 사용하거나 Active Directory를 사용하지 않도록 사용자 이름/암호 인증을 구성할 수 있습니다. 각 시나리오에서 모든 연결 사용자는 RADIUS를 통해 인증할 수 있는 사용자 이름/암호 자격 증명을 가지고 있어야 합니다.

사용자 이름/암호 인증을 구성할 때 EAP-MSCHAPv2 사용자 이름/암호 인증 프로토콜용 구성만 만들 수 있습니다. 명령에서 -AuthenticationMethodEapMSChapv2입니다.

VPN 클라이언트 구성 파일 생성

Azure Portal 또는 Azure PowerShell를 사용하여 VPN 클라이언트 구성 파일을 생성할 수 있습니다.

Azure Portal

  1. 가상 네트워크 게이트웨이로 이동합니다.
  2. 지점 및 사이트 간 구성을 클릭합니다.
  3. VPN 클라이언트 다운로드를 클릭합니다.
  4. 클라이언트를 선택하고 요청된 정보를 입력합니다.
  5. 다운로드를 클릭하여 .zip 파일을 생성합니다.
  6. .zip 파일은 일반적으로 다운로드 폴더에 다운로드됩니다.

Azure PowerShell

사용자 이름/암호 인증에 사용할 VPN 클라이언트 구성 파일을 생성합니다. 다음 명령을 사용하여 VPN 클라이언트 구성 파일을 생성할 수 있습니다.

New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapMSChapv2"

명령을 실행하면 링크가 반환됩니다. 링크를 복사하여 웹 브라우저에 붙여넣고 VpnClientConfiguration.zip을 다운로드합니다. 파일의 압축을 풀어 다음 폴더를 확인합니다.

  • WindowsAmd64WindowsX86: 이 폴더에는 Windows 64비트 및 32비트 설치 관리자 패키지가 각각 포함되어 있습니다.
  • Generic: 이 폴더는 자체 VPN 클라이언트 구성을 만드는 데 사용하는 일반 정보를 포함합니다. 사용자 이름/암호 인증 구성에는 이 폴더가 필요하지 않습니다.
  • Mac: 가상 네트워크 게이트웨이를 만들 때 IKEv2를 구성한 경우, mobileconfig 파일을 포함하는 Mac이라는 폴더가 보입니다. 이 파일을 사용하여 Mac 클라이언트를 구성합니다.

클라이언트 구성 파일을 이미 만든 경우 Get-AzVpnClientConfiguration cmdlet을 사용하여 검색할 수 있습니다. 단, VPN 프로토콜 유형 또는 인증 유형 등 P2S VPN 구성을 변경하면 구성이 자동으로 업데이트되지 않습니다. New-AzVpnClientConfiguration cmdlet을 실행하여 새 구성 다운로드를 만들어야 합니다.

이전에 생성된 클라이언트 구성 파일을 검색하려면 다음 명령을 사용합니다.

Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW"

Windows VPN 클라이언트

클라이언트의 아키텍처와 일치하는 버전이면 각 Windows 클라이언트 컴퓨터에서 동일한 VPN 클라이언트 구성 패키지를 사용할 수 있습니다. 지원되는 클라이언트 운영 체제의 목록은 FAQ를 참조하세요.

다음 단계에 따라 인증서 인증을 위한 Windows VPN 기본 클라이언트를 구성합니다.

  1. Windows 컴퓨터의 아키텍처에 해당하는 VPN 클라이언트 구성 파일을 선택합니다. 64비트 프로세서 아키텍처의 경우 VpnClientSetupAmd64 설치 관리자 패키지를 선택합니다. 32비트 프로세서 아키텍처의 경우 VpnClientSetupX86 설치 관리자 패키지를 선택합니다.

  2. 패키지를 설치하려면 두 번 클릭합니다. SmartScreen 팝업이 표시되면 자세한 정보>실행을 선택합니다.

  3. 클라이언트 컴퓨터에서 네트워크 설정으로 이동하고 VPN을 선택합니다. VPN 연결에서 연결되는 가상 네트워크의 이름을 표시합니다.

Mac(macOS) VPN 클라이언트

  1. VpnClientSetup mobileconfig 파일을 선택하고 각 사용자에게 보냅니다. 이메일 또는 다른 방법을 사용할 수 있습니다.

  2. Mac에서 mobileconfig 파일을 찾습니다.

  3. 선택적 단계 - 사용자 지정 DNS를 지정하려면 다음 줄을 mobileconfig 파일에 추가합니다.

     <key>DNS</key>
 <dict>
   <key>ServerAddresses</key>
     <array>
         <string>10.0.0.132</string>
     </array>
   <key>SupplementalMatchDomains</key>
     <array>
         <string>TestDomain.com</string>
     </array>
 </dict>

  4. 프로필을 두 번 클릭하여 설치하고 계속을 선택합니다. 프로필 이름은 가상 네트워크의 이름과 같습니다.

  5. 계속을 선택하여 프로필의 받는 사람을 신뢰하고 설치를 계속합니다.

  6. 프로필을 설치하는 동안 VPN 인증을 위한 사용자 이름 및 암호를 지정할 수 있습니다. 이 정보를 입력하는 것은 필수가 아닙니다. 입력하는 경우, 정보가 저장되고 연결을 시작할 때 자동으로 사용됩니다. 설치를 선택하여 계속합니다.

  7. 컴퓨터에 프로필을 설치하는 데 필요한 권한에 대한 사용자 이름 및 암호를 입력합니다. 확인을 선택합니다.

  8. 프로필이 설치되면 프로필 대화 상자에서 볼 수 있습니다. 이 대화 상자는 나중에 시스템 기본 설정에서 열 수도 있습니다.

  9. VPN 연결에 액세스하려면 시스템 기본 설정에서 네트워크 대화 상자를 엽니다.

  10. VPN 연결은 IkeV2-VPN로 표시됩니다. mobileconfig 파일을 업데이트하여 이름을 변경할 수 있습니다.

  11. 인증 설정을 선택합니다. 목록에서 사용자 이름을 선택하고 자격 증명을 입력합니다. 이전에 자격 증명을 입력한 경우 사용자 이름이 목록에서 자동으로 선택되며 사용자 이름 및 암호가 미리 채워집니다. 확인을 선택하여 설정을 저장합니다.

  12. 네트워크 대화 상자로 돌아가서 적용을 선택하여 변경 내용을 저장합니다. 연결을 시작하려면 연결을 선택합니다.

Linux VPN 클라이언트 - strongSwan

다음 지침은 Ubuntu 17.0.4에서 strongSwan 5.5.1을 통해 작성되었습니다.

  1. 이 예의 명령을 실행하여 터미널을 열고 strongSwan과 네트워크 관리자를 설치합니다. libcharon-extra-plugins와 관련된 오류가 표시되면 strongswan-plugin-eap-mschapv2로 바꿉니다.

  2. 네트워크 관리자 아이콘(위쪽 화살표/아래쪽 화살표)을 선택하고 연결 편집을 선택합니다.

  3. 추가 단추를 선택하여 새 연결을 만듭니다.

  4. 드롭다운 메뉴에서 IPsec/IKEv2(strongswan)를 선택한 후 만들기를 선택합니다. 이 단계에서 연결의 이름을 바꿀 수 있습니다.

  5. 다운로드한 클라이언트 구성 파일의 일반 폴더에서 VpnSettings.xml 파일을 엽니다. VpnServer라는 태그를 찾아서 azuregateway로 시작하여 .cloudapp.net으로 끝나는 이름을 복사합니다.

  6. 게이트웨이 섹션에서 새 VPN 연결의 주소 필드에 이 이름을 붙여넣습니다. 다음으로, 인증서 필드 끝에 있는 폴더 아이콘을 클릭하고 Generic 폴더로 이동하여 VpnServerRoot 파일을 선택합니다.

  7. 연결의 클라이언트 섹션에서 인증EAP를 선택하고 사용자 이름과 암호를 입력합니다. 이 정보를 저장하려면 오른쪽에 있는 자물쇠 아이콘을 선택해야 할 수도 있습니다. 그런 다음 저장을 선택합니다.

  8. 네트워크 관리자 아이콘(위쪽 화살표/아래쪽 화살표)을 선택하고 VPN 연결을 마우스로 가리킵니다. 만든 VPN 연결이 표시됩니다. 연결을 시작하려면 선택합니다.

Azure 가상 머신에 대한 추가 단계

Linux를 실행하는 Azure 가상 머신에서 프로시저를 실행하는 경우 수행할 추가 단계가 있습니다.

  1. 인터페이스에 대해 다음 매개 변수를 포함하도록 /etc/netplan/50-cloud-init.yaml 파일을 편집합니다.

    renderer: NetworkManager

  2. 파일을 편집한 후 다음 두 명령을 실행하여 새 구성을 로드합니다.

    sudo netplan generate

    sudo netplan apply

  3. 가상 머신을 중지/시작 또는 다시 배포합니다.

다음 단계

P2S 구성을 완료하려면 P2S 구성 완료 문서로 돌아갑니다.

P2S 문제 해결 정보는 Azure 지점 및 사이트 간 연결 문제 해결을 참조하세요.