P2S VPN-clients configureren: certificaatverificatie - systeemeigen VPN-client - macOS
Als uw punt-naar-site-VPN-gateway (P2S) is geconfigureerd voor het gebruik van IKEv2 en certificaatverificatie, kunt u verbinding maken met uw virtuele netwerk met behulp van de systeemeigen VPN-client die deel uitmaakt van uw macOS-besturingssysteem. In dit artikel wordt u begeleid bij de stappen voor het configureren van de systeemeigen VPN-client en het maken van verbinding met uw virtuele netwerk.
Voordat u begint
Controleer voordat u begint met het configureren van uw client of u het juiste artikel hebt. De volgende tabel bevat de configuratieartikelen die beschikbaar zijn voor Azure VPN Gateway P2S VPN-clients. De stappen verschillen, afhankelijk van het verificatietype, het tunneltype en het client-besturingssysteem.
| Verificatie | Tunneltype | Clientbesturingssysteem | VPN-client |
|---|---|---|---|
| Certificaat | |||
| IKEv2, SSTP | Windows | Systeemeigen VPN-client | |
| IKEv2 | macOS | Systeemeigen VPN-client | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Azure VPN-client OpenVPN-clientversie 2.x OpenVPN-clientversie 3.x |
|
| OpenVPN | macOS | OpenVPN-client | |
| OpenVPN | iOS | OpenVPN-client | |
| OpenVPN | Linux | Azure VPN-client OpenVPN-client |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Azure VPN-client | |
| OpenVPN | macOS | Azure VPN-client | |
| OpenVPN | Linux | Azure VPN-client |
Vereisten
In dit artikel wordt ervan uitgegaan dat u de volgende vereisten al hebt uitgevoerd:
- U hebt uw VPN-gateway gemaakt en geconfigureerd voor punt-naar-site-certificaatverificatie en het Type OpenVPN-tunnel. Zie Serverinstellingen configureren voor P2S VPN Gateway-verbindingen- certificaatverificatie voor stappen.
- U hebt de configuratiebestanden van de VPN-client gegenereerd en gedownload. Zie Configuratiebestanden voor VPN-clientprofielen genereren voor stappen.
- U kunt clientcertificaten genereren of de juiste clientcertificaten verkrijgen die nodig zijn voor verificatie.
Workflow
De werkstroom voor dit artikel is als volgt:
- Genereer clientcertificaten als u dit nog niet hebt gedaan.
- Bekijk de configuratiebestanden van het VPN-clientprofiel in het configuratiepakket voor het VPN-clientprofiel dat u hebt gegenereerd.
- Installeer certificaten.
- Configureer de systeemeigen VPN-client die uw besturingssysteem al heeft geïnstalleerd.
- Verbinding maken met Azure.
Certificaten genereren
Voor certificaatverificatie moet een clientcertificaat op elke clientcomputer worden geïnstalleerd. Het clientcertificaat dat u wilt gebruiken, moet worden geëxporteerd met de persoonlijke sleutel en moet alle certificaten in het certificeringspad bevatten. Daarnaast moet u voor sommige configuraties ook informatie over het basiscertificaat installeren.
Zie Certificaten genereren en exporteren voor meer informatie over het werken met certificaten.
De configuratiebestanden van het VPN-clientprofiel weergeven
Alle benodigde configuratie-instellingen voor de VPN-clients bevinden zich in een ZIP-bestand voor de configuratie van een VPN-clientprofiel. U kunt configuratiebestanden voor clientprofielen genereren met behulp van PowerShell of met behulp van Azure Portal. Met beide methoden wordt hetzelfde zip-bestand geretourneerd.
De configuratiebestanden voor het VPN-clientprofiel zijn specifiek voor de configuratie van de P2S VPN-gateway voor het virtuele netwerk. Als er wijzigingen zijn aangebracht in de P2S VPN-configuratie nadat u de bestanden hebt gegenereerd, zoals wijzigingen in het VPN-protocoltype of verificatietype, moet u nieuwe configuratiebestanden voor vpn-clientprofielen genereren en de nieuwe configuratie toepassen op alle VPN-clients die u wilt verbinden.
Pak het bestand uit om de mappen weer te geven. Wanneer u systeemeigen macOS-clients configureert, gebruikt u de bestanden in de map Algemeen . De algemene map is aanwezig als IKEv2 is geconfigureerd op de gateway. Als u de map Algemeen niet ziet, controleert u de volgende items en genereert u het zip-bestand opnieuw.
- Controleer het tunneltype voor uw configuratie. Waarschijnlijk is IKEv2 niet geselecteerd als tunneltype.
- Controleer of de gateway niet is geconfigureerd met de Basic-SKU. De BASIC SKU van DE VPN Gateway biedt geen ondersteuning voor IKEv2. U moet de gateway opnieuw opbouwen met de juiste SKU en tunneltype als u wilt dat macOS-clients verbinding maken.
De map Algemeen bevat de volgende bestanden.
- VpnSettings.xml, die belangrijke instellingen bevat, zoals serveradres en tunneltype.
- VpnServerRoot.cer, dat het basiscertificaat bevat dat is vereist voor het valideren van de Azure VPN-gateway tijdens het instellen van de P2S-verbinding.
Certificaten installeren
U hebt zowel het basiscertificaat als het onderliggende certificaat op uw Mac nodig. Het onderliggende certificaat moet worden geëxporteerd met de persoonlijke sleutel en moet alle certificaten in het certificeringspad bevatten.
Basiscertificaat
- Kopieer het basiscertificaatbestand (het .cer-bestand) naar uw Mac. Dubbelklik op het certificaat. Afhankelijk van uw besturingssysteem wordt het certificaat automatisch geïnstalleerd of ziet u de pagina Certificaten toevoegen.
- Als u de pagina Certificaten toevoegen ziet, klikt u op de pijlen en selecteert u aanmelden in de vervolgkeuzelijst.
- Klik op Toevoegen om het bestand te importeren.
Clientcertificaat
Het clientcertificaat (PFX-bestand) wordt gebruikt voor verificatie en is vereist. Normaal gesproken kunt u op het clientcertificaat klikken om te installeren. Zie Een clientcertificaat installeren voor meer informatie over het installeren van een clientcertificaat.
Controleren of certificaten zijn geïnstalleerd
Controleer of zowel de client als het basiscertificaat zijn geïnstalleerd.
- Open Sleutelhangertoegang.
- Ga naar het tabblad Certificaten .
- Controleer of zowel de client als het basiscertificaat zijn geïnstalleerd.
VPN-clientprofiel configureren
Gebruik de stappen in de Mac-gebruikershandleiding die geschikt zijn voor de versie van uw besturingssysteem om een configuratie van een VPN-clientprofiel toe te voegen met de volgende instellingen.
Selecteer IKEv2 als het VPN-type.
Selecteer voor Weergavenaam een beschrijvende naam voor het profiel.
Gebruik voor zowel serveradres als externe id de waarde van de VpnServer-tag in het VpnSettings.xml-bestand .
Selecteer Certificaat voor verificatie-instellingen.
Kies voor het certificaat het onderliggende certificaat dat u wilt gebruiken voor verificatie. Als u meerdere certificaten hebt, kunt u Certificaat weergeven selecteren voor meer informatie over elk certificaat.
Typ bij Lokale id de naam van het onderliggende certificaat dat u hebt geselecteerd.
Nadat u klaar bent met het configureren van het VPN-clientprofiel, slaat u het profiel op.
Verbinden
De stappen om verbinding te maken zijn specifiek voor de versie van het macOS-besturingssysteem. Raadpleeg de Mac-gebruikershandleiding. Selecteer de versie van het besturingssysteem die u gebruikt en volg de stappen om verbinding te maken.
Zodra de verbinding tot stand is gebracht, wordt de status weergegeven als Verbonden. Het IP-adres wordt toegewezen vanuit de VPN-clientadresgroep.
Volgende stappen
Volg de aanvullende server- of verbindingsinstellingen op. Zie de stappen voor punt-naar-site-configuratie.