Share via


Een VPN-client configureren voor punt-naar-site: RADIUS - certificaatverificatie

Als u verbinding wilt maken met een virtueel netwerk via punt-naar-site (P2S), moet u het clientapparaat configureren waarmee u verbinding maakt. Dit artikel helpt u bij het maken en installeren van de VPN-clientconfiguratie voor RADIUS-certificaatverificatie.

Wanneer u RADIUS-verificatie gebruikt, zijn er meerdere verificatie-instructies: certificaatverificatie, wachtwoordverificatie en andere verificatiemethoden en protocollen. De configuratie van de VPN-client verschilt voor elk type verificatie. Als u een VPN-client wilt configureren, gebruikt u clientconfiguratiebestanden die de vereiste instellingen bevatten.

Notitie

Vanaf 1 juli 2018 is ondersteuning voor TLS 1.0 en 1.1 uit Azure VPN Gateway verwijderd. VPN Gateway ondersteunt alleen TLS 1.2. Alleen punt-naar-site-verbindingen worden beïnvloed; site-naar-site-verbindingen worden niet beïnvloed. Als u TLS gebruikt voor punt-naar-site-VPN's op Windows 10- of hoger-clients, hoeft u geen actie te ondernemen. Als u TLS gebruikt voor punt-naar-site-verbindingen op Windows 7- en Windows 8-clients, raadpleegt u de veelgestelde vragen over VPN Gateway voor update-instructies.

Workflow

De configuratiewerkstroom voor P2S RADIUS-verificatie is als volgt:

  1. Stel de Azure VPN-gateway in voor P2S-connectiviteit.

  2. Stel uw RADIUS-server in voor verificatie.

  3. Haal de VPN-clientconfiguratie op voor de verificatieoptie van uw keuze en gebruik deze om de VPN-client in te stellen (dit artikel).

  4. Voltooi uw P2S-configuratie en maak verbinding.

Belangrijk

Als er wijzigingen zijn aangebracht in de punt-naar-site-VPN-configuratie nadat u het configuratieprofiel voor de VPN-client hebt gegenereerd, zoals het type VPN-protocol of het verificatietype, moet u een nieuwe VPN-clientconfiguratie genereren en installeren op de apparaten van uw gebruikers.

U kunt VPN-clientconfiguratiebestanden maken voor RADIUS-certificaatverificatie die gebruikmaakt van het EAP-TLS-protocol. Normaal gesproken wordt een door het bedrijf uitgegeven certificaat gebruikt om een gebruiker voor VPN te verifiëren. Zorg ervoor dat alle verbindende gebruikers een certificaat op hun apparaten hebben geïnstalleerd en dat uw RADIUS-server het certificaat kan valideren.

In de opdrachten -AuthenticationMethod is EapTls. Tijdens certificaatverificatie valideert de client de RADIUS-server door het certificaat te valideren. -RadiusRootCert is het .cer bestand dat het basiscertificaat bevat dat wordt gebruikt om de RADIUS-server te valideren.

Voor elk VPN-clientapparaat is een geïnstalleerd clientcertificaat vereist. Soms heeft een Windows-apparaat meerdere clientcertificaten. Tijdens de verificatie kan dit resulteren in een pop-updialoogvenster met alle certificaten. De gebruiker moet vervolgens het certificaat kiezen dat moet worden gebruikt. Het juiste certificaat kan worden gefilterd door het basiscertificaat op te geven waarnaar het clientcertificaat moet worden gekoppeld.

-ClientRootCert is het .cer-bestand dat het basiscertificaat bevat. Het is een optionele parameter. Als het apparaat waarmee u verbinding wilt maken slechts één clientcertificaat heeft, hoeft u deze parameter niet op te geven.

VPN-clientconfiguratiebestanden genereren

U kunt de configuratiebestanden van de VPN-client genereren met behulp van De Azure-portal of met behulp van Azure PowerShell.

Azure Portal

  1. Navigeer naar de gateway van het virtuele netwerk.

  2. Klik op Punt-naar-site-configuratie.

  3. Klik op VPN-client downloaden.

  4. Selecteer de client en vul alle gevraagde gegevens in. Afhankelijk van de configuratie wordt u mogelijk gevraagd om het Radius-basiscertificaat te uploaden naar de portal. Exporteer het certificaat in de vereiste met Base-64 gecodeerde X.509 (. CER)-indeling en open deze met behulp van een teksteditor, zoals Kladblok. U ziet tekst die vergelijkbaar is met het volgende voorbeeld. De sectie die blauw is gemarkeerd, bevat de informatie die u naar Azure kopieert en uploadt.

    Schermopname van het CER-bestand dat is geopend in Kladblok, met de certificaatgegevens gemarkeerd.

    Als uw bestand er niet uitziet zoals in het voorbeeld, betekent dit meestal dat u het niet hebt geëxporteerd met behulp van de met Base-64 gecodeerde X.509(. CER)-indeling. Als u een andere teksteditor dan Kladblok gebruikt, moet u er bovendien rekening mee houden dat sommige editors onbedoelde opmaak op de achtergrond kunnen introduceren. Dit kan problemen veroorzaken bij het uploaden van de tekst van dit certificaat naar Azure.

  5. Klik op Downloaden om het .zip-bestand te genereren.

  6. Het .zip bestand wordt gedownload, meestal naar de map Downloads.

Azure PowerShell

Genereer configuratiebestanden voor VPN-clients voor gebruik met certificaatverificatie. U kunt de configuratiebestanden van de VPN-client genereren met behulp van de volgende opdracht:

New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls" -RadiusRootCert <full path name of .cer file containing the RADIUS root> -ClientRootCert <full path name of .cer file containing the client root> | fl

Als u de opdracht uitvoert, wordt een koppeling geretourneerd. Kopieer en plak de koppeling naar een webbrowser om VpnClientConfiguration.zip te downloaden. Pak het bestand uit om de volgende mappen weer te geven:

  • WindowsAmd64 en WindowsX86: deze mappen bevatten respectievelijk de windows 64-bits en 32-bits installatiepakketten.
  • GenericDevice: Deze map bevat algemene informatie die wordt gebruikt om uw eigen VPN-clientconfiguratie te maken.

Als u al clientconfiguratiebestanden hebt gemaakt, kunt u deze ophalen met behulp van de Get-AzVpnClientConfiguration cmdlet. Maar als u wijzigingen aanbrengt in uw P2S VPN-configuratie, zoals het type VPN-protocol of verificatietype, wordt de configuratie niet automatisch bijgewerkt. U moet de New-AzVpnClientConfiguration cmdlet uitvoeren om een nieuwe configuratiedownload te maken.

Gebruik de volgende opdracht om eerder gegenereerde clientconfiguratiebestanden op te halen:

Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" | fl

Systeemeigen Windows VPN-client

U kunt de systeemeigen VPN-client gebruiken als u IKEv2 of SSTP hebt geconfigureerd.

  1. Selecteer een configuratiepakket en installeer het op het clientapparaat. Kies voor een 64-bits processorarchitectuur het installatiepakket VpnClientSetupAmd64 . Kies voor een 32-bits processorarchitectuur het installatiepakket VpnClientSetupX86 . Als u een SmartScreen-pop-upvenster ziet, selecteert u toch Meer informatie>uitvoeren. U kunt het pakket ook opslaan en op andere clientcomputers installeren.

  2. Elke client vereist een clientcertificaat voor verificatie. Installeer het clientcertificaat. Zie Clientcertificaten voor punt-naar-site voor informatie over clientcertificaten. Zie Een certificaat installeren op Windows-clients om een certificaat te installeren dat is gegenereerd.

  3. Blader op de clientcomputer naar Netwerkinstellingen en selecteer VPN. De VPN-verbinding bevat de naam van het virtuele netwerk waarmee verbinding wordt gemaakt.

Systeemeigen MAC-VPN-client (macOS)

U moet een afzonderlijk profiel maken voor elk Mac-apparaat dat verbinding maakt met het virtuele Azure-netwerk. Dit komt doordat voor deze apparaten het gebruikerscertificaat is vereist dat verificatie in het profiel wordt opgegeven. Daarnaast kunt u alleen de systeemeigen MACOS VPN-client gebruiken als u het IKEv2-tunneltype in uw configuratie hebt opgenomen. De map Algemeen bevat alle informatie die nodig is om een profiel te maken:

  • VpnSettings.xml bevat belangrijke instellingen, zoals serveradres en tunneltype.
  • VpnServerRoot.cer bevat het basiscertificaat dat is vereist voor het valideren van de VPN-gateway tijdens het instellen van de P2S-verbinding.
  • RadiusServerRoot.cer bevat het basiscertificaat dat is vereist voor het valideren van de RADIUS-server tijdens de verificatie.

Gebruik de volgende stappen om de systeemeigen VPN-client op een Mac te configureren voor certificaatverificatie:

  1. Importeer de basiscertificaten VpnServerRoot en RadiusServerRoot naar uw Mac. Kopieer elk bestand naar uw Mac, dubbelklik erop en selecteer Vervolgens Toevoegen.

  2. Elke client vereist een clientcertificaat voor verificatie. Installeer het clientcertificaat op het clientapparaat.

  3. Open het dialoogvenster Netwerk onder Netwerkvoorkeuren. Selecteer + deze optie om een nieuw VPN-clientverbindingsprofiel te maken voor een P2S-verbinding met het virtuele Azure-netwerk.

    De interfacewaarde is VPN en de waarde van het VPN-type is IKEv2. Geef een naam op voor het profiel in het vak Servicenaam en selecteer Vervolgens Maken om het profiel voor de VPN-clientverbinding te maken.

  4. Kopieer in de map Algemeen vanuit het bestand VpnSettings.xml de tagwaarde VpnServer . Plak deze waarde in de vakken Serveradres en Externe id van het profiel. Laat het vak Lokale id leeg.

  5. Selecteer Verificatie-instellingen en selecteer Certificaat.

  6. Klik op Selecteren om het certificaat te kiezen dat u wilt gebruiken voor verificatie.

  7. Kies Een identiteit waarin een lijst met certificaten wordt weergegeven waaruit u kunt kiezen. Selecteer het juiste certificaat en selecteer vervolgens Doorgaan.

  8. Geef in het vak Lokale id de naam van het certificaat op (uit stap 6). In dit voorbeeld is het ikev2Client.com. Selecteer vervolgens de knop Toepassen om de wijzigingen op te slaan.

  9. Selecteer Toepassen in het dialoogvenster Netwerk om alle wijzigingen op te slaan. Selecteer vervolgens Verbinding maken om de P2S-verbinding met het virtuele Azure-netwerk te starten.

Volgende stappen

Ga terug naar het P2S-configuratieartikel om uw verbinding te controleren.

Zie Problemen met punt-naar-site-verbindingen in Azure oplossen voor informatie over het oplossen van problemen met P2S.