Share via

Vpn-profielen voor gebruikers-VPN-clients downloaden

  • Artikel

Azure Virtual WAN biedt twee typen verbindingsprofielen voor gebruikers-VPN-clients: globale profielen en hubprofielen. Het type profiel dat u kiest, is afhankelijk van of u wilt dat de VPN-client verbinding maakt met een profiel op geografisch niveau met gelijke taakverdeling (globaal profiel) of dat u de VPN-client wilt beperken om alleen verbinding te maken met een bepaalde hub (hubprofiel). Dit artikel helpt u bij het genereren van VPN-clientconfiguratiebestanden voor beide typen profielen.

Globale profielen

Het globale profiel dat is gekoppeld aan een gebruikers-VPN-configuratie verwijst naar een Global Traffic Manager. Global Traffic Manager bevat alle actieve VPN-hubs van gebruikers die gebruikmaken van die VPN-configuratie van de gebruiker. U kunt er echter voor kiezen om hubs uit te sluiten van Global Traffic Manager, indien nodig. Een gebruiker die is verbonden met het globale profiel, wordt omgeleid naar de hub die zich het dichtst bij de geografische locatie van de gebruiker bevindt. Dit is vooral handig als u gebruikers hebt die vaak tussen meerdere locaties reizen.

Een gebruikers-VPN-configuratie is bijvoorbeeld gekoppeld aan twee verschillende hubs voor hetzelfde virtuele WAN, één in VS - west en één in Azië - zuidoost. Als een gebruiker verbinding maakt met het globale profiel dat is gekoppeld aan de gebruikers-VPN-configuratie, maakt deze verbinding met de dichtstbijzijnde Virtual WAN-hub op basis van hun locatie.

Belangrijk

Als een punt-naar-site-VPN-configuratie die wordt gebruikt voor een globaal profiel is geconfigureerd om gebruikers te verifiëren met het RADIUS-protocol, moet u ervoor zorgen dat Externe/on-premises RADIUS-server gebruiken is ingeschakeld voor alle punt-naar-site VPN-gateways met behulp van die configuratie. Zorg er bovendien voor dat uw RADIUS-server is geconfigureerd voor het accepteren van verificatieaanvragen van de IP-adressen van de RADIUS-proxy van alle punt-naar-site-VPN-gateways met behulp van deze VPN-configuratie.

Een globaal VPN-profiel downloaden

Voer de volgende stappen uit om configuratiebestanden voor VPN-clientprofielen te genereren en te downloaden:

  1. Ga naar virtual WAN.

  2. Selecteer in het linkerdeelvenster gebruikers-VPN-configuraties.

  3. Op de pagina VPN-configuraties voor gebruikers ziet u alle VPN-configuraties van gebruikers die u voor uw virtuele WAN hebt gemaakt. In de kolom Hub ziet u de hubs die zijn gekoppeld aan elke gebruikers-VPN-configuratie. Klik op de > knop om de hubnamen uit te vouwen en weer te geven.

    Screenshot that shows hubs list expanded.

  4. In het volgende voorbeeld ziet u meerdere rijen met hubs die dezelfde gebruikers-VPN-configuratie gebruiken. Wanneer hubs in een globaal profiel dezelfde gebruikers-VPN-configuratie gebruiken, kunt u klikken op een hubrij met de gewenste gebruikers-VPN-configuratie. De profielbestanden die u op deze pagina genereert, zijn afgestemd op de gebruikers-VPN-configuratie, niet op een bepaalde hub. Als u wilt beperken dat uw VPN-gebruikers verbinding maken met slechts één hub (u wilt geen globaal profiel gebruiken), gebruikt u in plaats daarvan de hubprofielstappen .

    Screenshot that shows selections for downloading a global profile.

    In het voorbeeld hebben we de regel met Hub2 geselecteerd, maar als u Hub3 of Hub1 selecteert, worden dezelfde profielconfiguratiebestanden gegenereerd. Als we echter de regel met Hub6 hebben geselecteerd, zijn de profielconfiguratiebestanden anders omdat Hub6 gebruikmaakt van een andere gebruikers-VPN-configuratie.

    Klik op een regel met de gebruikers-VPN-configuratie die u wilt gebruiken. Hiermee wordt de hele lijn gemarkeerd. Klik vervolgens op VPN-profiel van virtuele WAN-gebruiker downloaden.

  5. Selecteer EAPTLS op de pagina VPN van de virtuele WAN-gebruiker downloaden en klik vervolgens op Genereren en downloaden. Er wordt een profielpakket (zip-bestand) met configuratie-instellingen voor de VPN-client gegenereerd en gedownload naar uw computer. De inhoud van het pakket is afhankelijk van de hubs en de opties voor verificatie en tunneltype voor de configuratie die u hebt geselecteerd.

    Screenshot the authentication type and generate and download profile.

Een hub opnemen of uitsluiten van een globaal profiel

Standaard wordt elke hub die gebruikmaakt van dezelfde gebruikers-VPN-configuratie opgenomen in het globale VPN-profiel dat u genereert en downloadt. U kunt er echter voor kiezen om een hub uit te sluiten van het globale VPN-profiel. Als u dit wel doet, wordt de VPN-client niet verdeeld om verbinding te maken met de gateway van die hub.

  1. Als u wilt controleren of een hub is opgenomen in het globale VPN-profiel, gaat u naar virtual WAN.

  2. Selecteer Hubs op de pagina Overzicht.

  3. Klik op de hubpagina op de hub.

  4. Selecteer op de pagina Virtuele hub, in het linkerdeelvenster, gebruikers-VPN (punt-naar-site).

  5. Zie op de pagina Gebruikers-VPN (punt-naar-site) de status van de gatewaybijlage om te bepalen of deze hub is opgenomen in het globale VPN-profiel. Als de status is gekoppeld, wordt de hub opgenomen. Als de status is losgekoppeld, is de hub niet opgenomen.

    Screenshot that shows the attachment state of a gateway.

  6. Als u de hub wilt opnemen of uitsluiten (koppelen of loskoppelen) van het globale VPN-profiel, selecteert u Gateway opnemen/uitsluiten van globaal profiel.

  7. Maak op de pagina Opnemen/uitsluiten een van de volgende opties.

    • Klik op Uitsluiten als u de gateway van deze hub wilt verwijderen uit het vpn-profiel van de globale virtual WAN-gebruiker. Gebruikers die het hubprofiel gebruiken, kunnen nog steeds verbinding maken met de gateway van deze hub. Gebruikers die dit globale profiel gebruiken, kunnen geen verbinding maken met de gateway van deze hub.

    • Klik op Opnemen als u de gateway van deze hub wilt opnemen in het vpn-profiel van de globale virtual WAN-gebruiker. Gebruikers die dit globale profiel gebruiken, kunnen verbinding maken met de gateway van deze hub.

Aanbevolen procedures voor globale profielen

Meerdere servervalidatiecertificaten toevoegen

Deze sectie heeft betrekking op verbindingen met behulp van het Type OpenVPN-tunnel en de Azure VPN-client versie 2.1963.44.0 of hoger.

Wanneer u een hub P2S-gateway configureert, wijst Azure een intern certificaat toe aan de gateway. Dit verschilt van de basiscertificaatgegevens die u opgeeft wanneer u certificaatverificatie wilt gebruiken als verificatiemethode. Het interne certificaat dat aan de hub is toegewezen, wordt gebruikt voor alle verificatietypen. Deze waarde wordt weergegeven in de profielconfiguratiebestanden die u genereert als servervalidation/cert/hash. De VPN-client gebruikt deze waarde als onderdeel van het verbindingsproces.

Als u meerdere hubs in verschillende geografische regio's hebt, kan elke hub een ander servervalidatiecertificaat op Azure-niveau gebruiken. Het globale profiel bevat de hash-waarde van het servervalidatiecertificaat voor alle hubs. Dit betekent dat als het certificaat voor die hub om welke reden dan ook niet goed werkt, de client nog steeds de vereiste hash-waarde voor het servervalidatiecertificaat voor de andere hubs heeft.

Belangrijk

Het configureren van de Azure VPN-client met certificaat-hashwaarde van alle hubs is alleen vereist als de hubs verschillende serverhoofdverleners hebben.

Als best practice raden we u aan het configuratiebestand voor uw VPN-clientprofiel bij te werken om de certificaat-hashwaarde op te nemen van alle hubs die zijn gekoppeld aan het globale profiel en vervolgens de Azure VPN-client te configureren met behulp van het bijgewerkte bestand.

  1. Genereer en download de globale profielbestanden . Gebruik een teksteditor om het bestand azurevpnconfig.xml te openen.

  2. In het volgende XML-voorbeeld configureert u de Azure VPN-client met behulp van het algemene profielconfiguratiebestand dat de hash van het servervalidatiecertificaat voor elke hub bevat.

      </protocolconfig>
  <serverlist>
    <ServerEntry>
      <displayname
        i:nil="true" />
      <fqdn>wan.kycyz81dpw483xnf3fg62v24f.vpn.azure.com</fqdn>
    </ServerEntry>
  </serverlist>
  <servervalidation>
    <cert>
      <hash>A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436</hash>
      <issuer
        i:nil="true" />
    </cert>
    <cert>
      <hash>59470697201baejC4B2D7D66D40C6DD2FB19C5436</hash>
      <issuer
        i:nil="true" />
    </cert>
    <cert>
      <hash>cab20a7f63f00f2bae76202gdfe36db3a03a9cb9</hash>
      <issuer
        i:nil="true" />
    </cert>

Hubprofielen

Gebruik dit type profiel als u wilt dat VPN-gebruikers slechts verbinding kunnen maken met één opgegeven hub. De bestanden die u op hubniveau genereert en downloadt, bevatten andere instellingen dan de bestanden die u genereert en downloadt in het globale WAN-profiel.

Een VPN-hubprofiel downloaden

Voer de volgende stappen uit om configuratiebestanden voor VPN-clientprofielen te genereren en te downloaden:

  1. Ga naar de virtuele hub.

  2. Selecteer gebruikers-VPN (punt-naar-site) in het linkerdeelvenster.

  3. Selecteer Vpn-profiel voor virtuele hubgebruikers downloaden.

    Screenshot that shows how to download a hub profile.

  4. Selecteer EAPTLS op de downloadpagina en vervolgens een profiel genereren en downloaden. Er wordt een profielpakket (zip-bestand) met de clientconfiguratie-instellingen gegenereerd en gedownload naar uw computer. De inhoud van het pakket is afhankelijk van de hub en de opties voor verificatie en tunneltypen voor uw configuratie.

Volgende stappen

Zie Punt-naar-site-verbindingen voor gebruikers-VPN maken voor meer informatie over VPN-verbindingen van gebruikers.