Share via


Serverinstellingen configureren voor verificatie van P2S VPN Gateway-certificaten - PowerShell

Dit artikel helpt u bij het configureren van een punt-naar-site-VPN (P2S) om afzonderlijke clients met Windows, Linux of macOS veilig te verbinden met een virtueel Azure-netwerk (VNet) met behulp van Azure PowerShell. Dit artikel bevat basisstappen voor PowerShell-configuratie. Zie het Azure Portal-artikel Een punt-naar-site-VPN configureren met behulp van Azure Portal voor uitgebreidere informatie over het maken van dit type P2S VPN.

P2S VPN-verbindingen zijn handig wanneer u vanaf een externe locatie verbinding wilt maken met uw VNet, bijvoorbeeld wanneer u thuis of een vergadering thuis werkt. U kunt P2S ook in plaats van een site-naar-site-VPN gebruiken wanneer u maar een paar clients hebt die verbinding moeten maken met een VNet. P2S-verbindingen vereisen geen VPN-apparaat of een openbaar IP-adres. P2S maakt de VPN-verbinding via SSTP (Secure Socket Tunneling Protocol) of IKEv2.

Diagram van punt-naar-site-verbinding die laat zien hoe u vanaf een computer verbinding maakt met een Azure-VNet.

Zie Over P2S VPN voor meer informatie over P2S VPN.

P2S Azure-certificaatverificatieverbindingen gebruiken de volgende items, die u in deze oefening configureert:

  • Een op route gebaseerde VPN-gateway (niet op basis van beleid). Zie VPN Gateway-instellingen voor meer informatie over het VPN-type.
  • De openbare sleutel (CER-bestand) voor een basiscertificaat dat is geüpload naar Azure. Zodra het certificaat is geüpload, wordt het beschouwd als een vertrouwd certificaat en wordt het gebruikt voor verificatie.
  • Een clientcertificaat dat is gegenereerd op basis van het basiscertificaat. Het clientcertificaat dat is geïnstalleerd op elke clientcomputer die met het VNet verbinding zal maken. Dit certificaat wordt gebruikt voor clientverificatie.
  • Configuratiebestanden voor VPN-clients. De VPN-client wordt geconfigureerd met behulp van configuratiebestanden van de VPN-client. Deze bestanden bevatten de benodigde informatie voor de client om verbinding te maken met het VNet. Elke client die verbinding maakt, moet worden geconfigureerd met behulp van de instellingen in de configuratiebestanden.

Vereisten

Controleer of u een Azure-abonnement hebt. Als u nog geen Azure-abonnement hebt, kunt u uw voordelen als MSDN-abonnee activeren of u aanmelden voor een gratis account.

Azure PowerShell

U kunt Azure Cloud Shell gebruiken of PowerShell lokaal uitvoeren. Zie Azure PowerShell installeren en configureren voor meer informatie.

  • Veel van de stappen in dit artikel kunnen de Azure Cloud Shell gebruiken. U kunt Cloud Shell echter niet gebruiken om certificaten te genereren. Als u de openbare sleutel van het basiscertificaat wilt uploaden, moet u azure PowerShell lokaal of Azure Portal gebruiken.

  • U ziet mogelijk waarschuwingen met de tekst 'Het uitvoerobjecttype van deze cmdlet wordt gewijzigd in een toekomstige release'. Dit is verwacht gedrag en u kunt deze waarschuwingen veilig negeren.

Aanmelden

Als u Azure Cloud Shell gebruikt, wordt u automatisch omgeleid om u aan te melden bij uw account nadat u Cloudshell hebt geopend. U hoeft niet uit te voeren Connect-AzAccount. Zodra u zich hebt aangemeld, kunt u nog steeds abonnementen wijzigen met behulp van Get-AzSubscription en Select-AzSubscription.

Als u PowerShell lokaal uitvoert, opent u de PowerShell-console met verhoogde bevoegdheden en maakt u verbinding met uw Azure-account. De Connect-AzAccount cmdlet vraagt u om referenties. Nadat u zich hebt geverifieerd, worden uw accountinstellingen gedownload, zodat deze beschikbaar zijn voor Azure PowerShell. U kunt het abonnement wijzigen met behulp van Get-AzSubscription en Select-AzSubscription -SubscriptionName "Name of subscription".

Een VNet maken

  1. Maak een resourcegroep met New-AzResourceGroup.

    New-AzResourceGroup -Name "TestRG1" -Location "EastUS"
    
  2. Maak het virtuele netwerk met behulp van New-AzVirtualNetwork.

    $vnet = New-AzVirtualNetwork `
    -ResourceGroupName "TestRG1" `
    -Location "EastUS" `
    -Name "VNet1" `
    -AddressPrefix 10.1.0.0/16
    
  3. Maak subnetten met new-AzVirtualNetworkSubnetConfig met de volgende namen: FrontEnd en GatewaySubnet (een gatewaysubnet moet de naam GatewaySubnet hebben).

    $subnetConfigFrontend = Add-AzVirtualNetworkSubnetConfig `
      -Name Frontend `
      -AddressPrefix 10.1.0.0/24 `
      -VirtualNetwork $vnet
    
    $subnetConfigGW = Add-AzVirtualNetworkSubnetConfig `
      -Name GatewaySubnet `
      -AddressPrefix 10.1.255.0/27 `
      -VirtualNetwork $vnet
    
  4. Schrijf de subnetconfiguraties naar het virtuele netwerk met Set-AzVirtualNetwork, waarmee de subnetten in het virtuele netwerk worden gemaakt:

    $vnet | Set-AzVirtualNetwork
    

De VPN-gateway maken

Een openbaar IP-adres aanvragen

Een VPN Gateway moet een openbaar IP-adres hebben. U vraagt eerst de resource van het IP-adres aan en verwijst hier vervolgens naar bij het maken van uw virtuele netwerkgateway. Het IP-adres wordt statisch toegewezen aan de resource wanneer de VPN-gateway wordt gemaakt. Het openbare IP-adres verandert alleen wanneer de gateway wordt verwijderd en opnieuw wordt gemaakt. Het verandert niet wanneer de grootte van uw VPN Gateway verandert, wanneer deze gateway opnieuw wordt ingesteld of wanneer andere interne onderhoudswerkzaamheden of upgrades worden uitgevoerd.

  1. Vraag een openbaar IP-adres aan voor uw VPN-gateway met behulp van New-AzPublicIpAddress.

    $gwpip = New-AzPublicIpAddress -Name "GatewayIP" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static -Sku Standard
    
  2. Maak de ip-adresconfiguratie van de gateway met behulp van New-AzVirtualNetworkGatewayIpConfig. Er wordt naar deze configuratie verwezen wanneer u de VPN-gateway maakt.

    $vnet = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG1"
    $gwsubnet = Get-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
    $gwipconfig = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId $gwsubnet.Id -PublicIpAddressId $gwpip.Id
    

De VPN-gateway maken

In deze stap configureert en maakt u de gateway van het virtuele netwerk voor uw VNet. Zie Tunnel- en verificatietype opgeven in de Azure-portalversie van dit artikel voor meer informatie over verificatie en tunneltype .

  • -GatewayType moet Vpn zijn en -VpnType moet RouteBased zijn.
  • -VpnClientProtocol wordt gebruikt om de soorten tunnels op te geven die u wilt inschakelen. De tunnelopties zijn OpenVPN, SSTP en IKEv2. U kunt ervoor kiezen om een van deze of een ondersteunde combinatie in te schakelen. Als u meerdere typen wilt inschakelen, geeft u de namen op, gescheiden door een komma. OpenVPN en SSTP kunnen niet samen worden ingeschakeld. De strongSwan-client op Android en Linux en de systeemeigen IKEv2 VPN-client op iOS en macOS gebruiken alleen de IKEv2-tunnel om verbinding te maken. Windows-clients proberen eerst IKEv2. Als daarmee geen verbinding kan worden gemaakt, vallen ze terug op SSTP. U kunt de OpenVPN-client gebruiken om verbinding te maken met het type OpenVPN-tunnel.
  • De virtuele netwerkgateway Basic-SKU biedt geen ondersteuning voor IKEv2-, OpenVPN- of RADIUS-verificatie. Als u van plan bent mac-clients verbinding te laten maken met uw virtuele netwerk, gebruikt u de Basic-SKU niet.
  • Het kan 45 minuten of langer duren voordat een VPN-gateway is gebouwd, afhankelijk van de gateway-SKU die u selecteert.
  1. Maak de virtuele netwerkgateway met het gatewaytype Vpn met behulp van New-AzVirtualNetworkGateway.

    In dit voorbeeld gebruiken we de VpnGw2- generatie 2-SKU. Als u ValidateSet-fouten ziet met betrekking tot de gatewaySKU-waarde en deze opdrachten lokaal uitvoert, controleert u of u de nieuwste versie van de PowerShell-cmdlets hebt geïnstalleerd. De nieuwste versie bevat de nieuwe gevalideerde waarden voor de meest recente gateway-SKU's.

    New-AzVirtualNetworkGateway -Name "VNet1GW" -ResourceGroupName "TestRG1" `
    -Location "EastUS" -IpConfigurations $gwipconfig -GatewayType Vpn `
    -VpnType RouteBased -EnableBgp $false -GatewaySku VpnGw2 -VpnGatewayGeneration "Generation2" -VpnClientProtocol IkeV2,OpenVPN
    
  2. Zodra uw gateway is gemaakt, kunt u deze bekijken met behulp van het volgende voorbeeld.

    Get-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroup TestRG1
    

De VPN-clientadrespool toevoegen

Nadat de VPN-gateway is gemaakt, kunt u de VPN-clientadrespool toevoegen. De VPN-clientadrespool is het bereik vanwaaruit de VPN-clients een IP-adres ontvangen wanneer er verbinding wordt gemaakt. Gebruik een privé-IP-adresbereik dat niet overlapt met de on-premises locatie waarmee u verbinding maakt of met het VNet waarmee u verbinding wilt maken.

  1. Declareer de volgende variabelen:

    $VNetName  = "VNet1"
    $VPNClientAddressPool = "172.16.201.0/24"
    $RG = "TestRG1"
    $Location = "EastUS"
    $GWName = "VNet1GW"
    
  2. Voeg de ADRESgroep van de VPN-client toe:

    $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
    Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -VpnClientAddressPool $VPNClientAddressPool
    

Certificaten genereren

Belangrijk

U kunt geen certificaten genereren met behulp van Azure Cloud Shell. U moet een van de methoden gebruiken die in deze sectie worden beschreven. Als u PowerShell wilt gebruiken, moet u deze lokaal installeren.

Certificaten worden door Azure gebruikt voor het verifiëren van VPN-clients voor P2S-VPN's. U uploadt de informatie van de openbare sleutel over het basiscertificaat naar Azure. De openbare sleutel wordt dan beschouwd als vertrouwd. Clientcertificaten moeten worden gegenereerd op basis van het vertrouwde basiscertificaat en geïnstalleerd op elke clientcomputer. Dit gebeurt in het certificaatarchief Certificates-Current user/Personal. Het certificaat wordt gebruikt om de client te verifiëren bij het maken van verbinding met het VNet.

Als u zelfondertekende certificaten gebruikt, moeten ze worden gemaakt met behulp van specifieke parameters. U kunt een zelfondertekend certificaat maken met behulp van de instructies voor PowerShell voor Windows-computers met Windows 10 of hoger. Als u windows 10 of hoger niet gebruikt, gebruikt u In plaats daarvan MakeCert .

Het is belangrijk dat u de stappen in de instructies opvolgt bij het maken van zelfondertekende basiscertificaten en clientcertificaten. Anders zijn de certificaten die u genereert niet compatibel met P2S-verbindingen en ontvangt u een verbindingsfout.

Basiscertificaat

  1. Het .cer-bestand voor het basiscertificaat verkrijgen. U kunt een basiscertificaat gebruiken dat is gegenereerd met een commerciële oplossing (aanbevolen) of een zelfondertekend certificaat genereren. Nadat u het basiscertificaat hebt gemaakt, exporteert u de gegevens van het openbare certificaat (niet de persoonlijke sleutel) als een X.509 CER-bestand dat is gecodeerd met Base64. U uploadt dit bestand later naar Azure.

    • Bedrijfscertificaat: Als u een bedrijfsoplossing gebruikt, kunt u uw bestaande certificaatketen gebruiken. Haal het CER-bestand op dat u wilt gebruiken voor het basiscertificaat.

    • Zelfondertekend basiscertificaat: als u geen bedrijfscertificaatoplossing gebruikt, maakt u een zelfondertekend basiscertificaat. Anders zijn de certificaten die u maakt niet compatibel met uw P2S-verbindingen en ontvangen clients een verbindingsfout wanneer ze verbinding proberen te maken. U kunt Azure PowerShell, MakeCert of OpenSSL gebruiken. In de stappen in de volgende artikelen wordt beschreven hoe u een compatibel, zelfondertekend basiscertificaat genereert:

      • PowerShell-instructies voor Windows 10 of hoger: voor deze instructies is PowerShell vereist op een computer met Windows 10 of hoger. Clientcertificaten die worden gegenereerd op basis van het basiscertificaat kunnen op alle ondersteunde P2S-clients worden ondersteund.
      • MakeCert-instructies: Gebruik MakeCert om certificaten te genereren als u geen toegang hebt tot een computer met Windows 10 of hoger. MakeCert is inmiddels afgeschaft, maar u kunt het nog wel gebruiken om certificaten te genereren. Clientcertificaten die u genereert op basis van het basiscertificaat kunnen worden geïnstalleerd op alle ondersteunde P2S-clients.
      • Linux - OpenSSL-instructies
      • Linux - strongSwan-instructies
  2. Nadat u het basiscertificaat hebt gemaakt, exporteert u de openbare certificaatgegevens (niet de persoonlijke sleutel) als een met Base64 gecodeerd X.509-.cer-bestand.

Clientcertificaat

  1. Op elke clientcomputer die u verbinding maakt met een VNet met een punt-naar-site-verbinding, moet een clientcertificaat zijn geïnstalleerd. U genereert het clientcertificaat op basis van het basiscertificaat en installeert het clientcertificaat op elke clientcomputer. Als u geen geldig clientcertificaat hebt geïnstalleerd en de client probeert verbinding te maken met het VNet, mislukt de verificatie.

    U kunt een uniek certificaat genereren voor elke client of hetzelfde certificaat gebruiken voor meerdere clients. Het voordeel van het genereren van unieke clientcertificaten is dat het mogelijk is om één certificaat in te trekken. Anders moet u, als meerdere clients hetzelfde certificaat voor verificatie gebruiken en u het certificaat intrekt, nieuwe certificaten genereren en installeren voor elke client die dat certificaat voor verificatie gebruikt.

    U kunt clientcertificaten genereren op de volgende manieren:

    • Commercieel certificaat

      • Als u een commerciële certificeringsoplossing gebruikt, genereert u een clientcertificaat met de algemene waarde-indeling name@yourdomain.com. Gebruik deze indeling in plaats van de indeling domeinnaam\gebruikersnaam.

      • Zorg ervoor dat het clientcertificaat dat u verleent, is gebaseerd op de certificaatsjabloon voor Gebruiker met Clientverificatie als het eerste item in de lijst. U kunt het certificaat controleren door op het clientcertificaat te dubbelklikken en Enhanced Key Usage (Uitgebreid sleutelgebruik) weer te geven op het tabblad Details.

    • Zelfondertekend basiscertificaat: volg de stappen in een van de volgende P2S-certificaatartikelen, zodat de clientcertificaten die u maakt compatibel zijn met uw P2S-verbindingen.

      Als u een clientcertificaat genereert op basis van een zelfondertekend basiscertificaat, wordt het certificaat automatisch geïnstalleerd op de computer die u hebt gebruikt om het certificaat te genereren. Als u een clientcertificaat op een andere clientcomputer wilt installeren, moet u het certificaat samen met de gehele certificaatketen exporteren als PFX-bestand. Hiermee maakt u een PFX-bestand met alle gegevens van het basiscertificaat die nodig zijn voor de verificatie van de client.

      De stappen in deze artikelen zijn bedoeld om een compatibel clientcertificaat te maken dat u kunt exporteren en distribueren.

      • PowerShell-instructies voor Windows 10 of hoger: voor deze instructies is Windows 10 of hoger vereist en PowerShell om certificaten te genereren. De gegenereerde certificaten kunnen worden geïnstalleerd op alle ondersteunde P2S-clients.

      • MakeCert-instructies: Gebruik MakeCert als u geen toegang hebt tot een Computer met Windows 10 of hoger voor het genereren van certificaten. MakeCert is inmiddels afgeschaft, maar u kunt het nog wel gebruiken om certificaten te genereren. U kunt de gegenereerde certificaten installeren op alle ondersteunde P2S-clients.

      • Linux: Zie strongSwan - of OpenSSL-instructies .

  2. Nadat u een clientcertificaat hebt gemaakt, exporteert u het. Elke clientcomputer vereist een clientcertificaat om verbinding te maken en te verifiëren.

Informatie over de openbare sleutel van het basiscertificaat uploaden

Controleer of het maken van de VPN-gateway is voltooid. Als dat het geval is, uploadt u het CER-bestand (met de gegevens van de openbare sleutel) voor een vertrouwd basiscertificaat naar Azure. Zodra een .cer-bestand is geüpload, kan Azure dit gebruiken om clients te verifiëren die een clientcertificaat hebben geïnstalleerd dat is gegenereerd op basis van het vertrouwde basiscertificaat. Indien nodig kunt u later aanvullende vertrouwde basiscertificaatbestanden uploaden (maximaal 20).

Notitie

U kunt het .cer bestand niet uploaden met behulp van Azure Cloud Shell. U kunt PowerShell lokaal op uw computer gebruiken of u kunt de Stappen van Azure Portal gebruiken.

  1. Declareer de variabele voor uw certificaatnaam, waarbij u de waarde vervangt door uw eigen waarde.

    $P2SRootCertName = "P2SRootCert.cer"
    
  2. Vervang het pad naar het bestand door uw eigen pad en voer vervolgens de cmdlets uit.

    $filePathForCert = "C:\cert\P2SRootCert.cer"
    $cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert)
    $CertBase64 = [system.convert]::ToBase64String($cert.RawData)
    
  3. Upload de gegevens van de openbare sleutel naar Azure. Zodra de certificaatgegevens zijn geüpload, beschouwt Azure deze als een vertrouwd basiscertificaat. Zorg er bij het uploaden voor dat u PowerShell lokaal op uw computer uitvoert, of in plaats daarvan kunt u de Stappen van Azure Portal gebruiken. Wanneer het uploaden is voltooid, ziet u een PowerShell-retour met PublicCertData. Het duurt ongeveer 10 minuten voordat het uploadproces van het certificaat is voltooid.

    Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName -VirtualNetworkGatewayname "VNet1GW" -ResourceGroupName "TestRG1" -PublicCertData $CertBase64
    

Een geëxporteerd clientcertificaat installeren

Met de volgende stappen kunt u installeren op een Windows-client. Zie Een clientcertificaat installeren voor meer informatie.

  1. Zodra het clientcertificaat is geëxporteerd, zoekt en kopieert u het PFX-bestand naar de clientcomputer.
  2. Dubbelklik op de clientcomputer op het PFX-bestand om het te installeren. Laat de opslaglocatie staan als huidige gebruiker en selecteer vervolgens Volgende.
  3. Laat de pagina Te exporteren bestand ongewijzigd. Selecteer Volgende.
  4. Voer op de pagina Persoonlijke sleutelbeveiliging het wachtwoord voor het certificaat in of controleer of de beveiligingsprincipaal juist is en selecteer vervolgens Volgende.
  5. Laat op de pagina Certificaatarchief de standaardlocatie staan en selecteer vervolgens Volgende.
  6. Selecteer Voltooien. Selecteer Ja in de beveiligingswaarschuwing voor de certificaatinstallatie. U kunt 'Ja' voor deze beveiligingswaarschuwing selecteren omdat u het certificaat hebt gegenereerd.
  7. Het certificaat wordt nu geïmporteerd.

Zorg ervoor dat het certificaat is geëxporteerd als een PFX-bestand, samen met de volledige certificaatketen (dit is de standaardinstelling). Anders zijn de gegevens van het basiscertificaat niet aanwezig op de clientcomputer en kan de client niet worden geverifieerd.

Het configuratiepakket voor het VPN-clientprofiel genereren en downloaden

Elke VPN-client wordt geconfigureerd met behulp van de bestanden in een configuratiepakket voor een VPN-clientprofiel dat u genereert en downloadt. Het configuratiepakket bevat instellingen die specifiek zijn voor de VPN-gateway die u hebt gemaakt. Als u wijzigingen aanbrengt in de gateway, zoals het wijzigen van een tunneltype, certificaat of verificatietype, moet u een ander configuratiepakket voor vpn-clientprofielen genereren en installeren op elke client. Anders kunnen uw VPN-clients mogelijk geen verbinding maken.

Wanneer u VPN-clientconfiguratiebestanden genereert, is de waarde voor '-AuthenticationMethod' 'EapTls'. Genereer de configuratiebestanden van de VPN-client met behulp van de volgende opdracht:

$profile=New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls"

$profile.VPNProfileSASUrl

Kopieer de URL naar uw browser om het zip-bestand te downloaden.

VPN-clients configureren en verbinding maken met Azure

Zie de volgende artikelen voor stappen voor het configureren van uw VPN-clients en verbinding maken met Azure:

Verificatie Tunneltype Clientbesturingssysteem VPN-client
Certificaat
IKEv2, SSTP Windows Systeemeigen VPN-client
IKEv2 macOS Systeemeigen VPN-client
IKEv2 Linux strongSwan
OpenVPN Windows Azure VPN-client
OpenVPN-clientversie 2.x
OpenVPN-clientversie 3.x
OpenVPN macOS OpenVPN-client
OpenVPN iOS OpenVPN-client
OpenVPN Linux Azure VPN-client
OpenVPN-client
Microsoft Entra ID
OpenVPN Windows Azure VPN-client
OpenVPN macOS Azure VPN-client
OpenVPN Linux Azure VPN-client

Een verbinding controleren

Deze instructies zijn van toepassing op Windows-clients.

  1. Als u wilt controleren of uw VPN-verbinding actief is, opent u een opdrachtprompt met verhoogde bevoegdheid en voert u ipconfig/all in.

  2. Bekijk de resultaten. U ziet dat het IP-adres dat u hebt ontvangen een van de adressen in de P2S VPN-clientadresgroep is die u hebt opgegeven in uw configuratie. De resultaten zijn vergelijkbaar met het volgende voorbeeld:

    PPP adapter VNet1:
       Connection-specific DNS Suffix .:
       Description.....................: VNet1
       Physical Address................:
       DHCP Enabled....................: No
       Autoconfiguration Enabled.......: Yes
       IPv4 Address....................: 172.16.201.13(Preferred)
       Subnet Mask.....................: 255.255.255.255
       Default Gateway.................:
       NetBIOS over Tcpip..............: Enabled
    

Verbinding maken met een virtuele machine

Deze instructies zijn van toepassing op Windows-clients.

U kunt verbinding maken met een virtuele machine die is geïmplementeerd in uw virtuele netwerk door een verbinding met extern bureaublad met uw VIRTUELE machine te maken. De beste manier om eerst te controleren of u verbinding met uw VM kunt maken is door verbinding te maken met behulp van het privé-IP-adres in plaats van de computernaam. Op die manier test u of u verbinding kunt maken, niet of naamomzetting correct is geconfigureerd.

  1. Zoek het privé-IP-adres. U kunt het privé-IP-adres van een virtuele machine vinden door de eigenschappen voor de VIRTUELE machine te bekijken in Azure Portal of met behulp van PowerShell.

    • Azure Portal: zoek uw VIRTUELE machine in Azure Portal. Bekijk de eigenschappen voor de VM. Het privé-IP-adres wordt vermeld.

    • PowerShell: gebruik het voorbeeld om een lijst met VM's en privé-IP-adressen uit uw resourcegroepen weer te geven. U hoeft het voorbeeld niet te wijzigen voordat u het gebruikt.

      $VMs = Get-AzVM
      $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null
      
      foreach ($Nic in $Nics) {
      $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
      $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
      $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
      Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. Controleer of u bent verbonden met uw virtuele netwerk.

  3. Open Verbinding met extern bureaublad door RDP of Verbinding met extern bureaublad in te voeren in het zoekvak op de taakbalk. Selecteer vervolgens Verbinding met extern bureaublad. U kunt verbinding met extern bureaublad ook openen met behulp van de mstsc opdracht in PowerShell.

  4. Voer het privé-IP-adres van de VM in Verbinding met extern bureaublad in. U kunt Opties weergeven selecteren om andere instellingen aan te passen en vervolgens verbinding te maken.

Als u problemen ondervindt bij het maken van verbinding met een VIRTUELE machine via uw VPN-verbinding, controleert u de volgende punten:

  • Controleer of uw VPN-verbinding tot stand is gebracht.
  • Controleer of u verbinding maakt met het privé-IP-adres voor de VM.
  • Als u verbinding kunt maken met de virtuele machine met behulp van het privé-IP-adres, maar niet de computernaam, controleert u of u DNS juist hebt geconfigureerd. Zie Naamomzetting voor VM's voor meer informatie over de werking van naamomzetting voor VM's.

Zie Problemen met Extern-bureaubladverbindingen met een VM oplossen voor meer informatie over Extern-bureaubladverbindingen.

  • Controleer of het configuratiepakket voor de VPN-client is gegenereerd nadat de IP-adressen van de DNS-server zijn opgegeven voor het VNet. Als u de IP-adressen van de DNS-server hebt bijgewerkt, genereert en installeert u een nieuw configuratiepakket voor de VPN-client.

  • Gebruik ipconfig om het IPv4-adres te controleren dat is toegewezen aan de Ethernet-adapter op de computer waaruit u verbinding maakt. Als het IP-adres zich binnen het adresbereik bevindt van het VNet waarmee u verbinding maakt, of binnen het adresbereik van uw VPNClientAddressPool, wordt dit een overlappende adresruimte genoemd. Als uw adresruimte op deze manier overlapt, kan het netwerkverkeer Azure niet bereiken en blijft het in het lokale netwerk.

Een basiscertificaat toevoegen of verwijderen

U kunt vertrouwde basiscertificaat toevoegen in en verwijderen uit Azure. Wanneer u een basiscertificaat verwijdert, kunnen clients met een certificaat dat is gegenereerd op basis van dat basiscertificaat niet worden geverifieerd, en kunnen ze dus geen verbinding maken. Als u wilt dat clients kunnen worden geverifieerd en verbinding kunnen maken, moet u een nieuw clientcertificaat installeren dat is gegenereerd op basis van een basiscertificaat dat wordt vertrouwd (is geüpload) in Azure. Voor deze stappen moeten Azure PowerShell-cmdlets lokaal op uw computer zijn geïnstalleerd (niet Azure Cloud Shell). U kunt azure Portal ook gebruiken om basiscertificaten toe te voegen.

Ga als volgende te werk om het volgende toe te voegen

U kunt maximaal 20 CER-basiscertificaatbestanden toevoegen aan Azure. Met de volgende stappen kunt u een basiscertificaat toevoegen.

  1. Bereid het CER-bestand voor dat u wilt uploaden:

    $filePathForCert = "C:\cert\P2SRootCert3.cer"
    $cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2($filePathForCert)
    $CertBase64_3 = [system.convert]::ToBase64String($cert.RawData)
    
  2. Upload het -bestand. U kunt slechts één bestand tegelijk uploaden.

    Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName -VirtualNetworkGatewayname "VNet1GW" -ResourceGroupName "TestRG1" -PublicCertData $CertBase64_3
    
  3. Controleren of het certificaatbestand is geüpload:

    Get-AzVpnClientRootCertificate -ResourceGroupName "TestRG1" `
    -VirtualNetworkGatewayName "VNet1GW"
    

Verwijderen:

  1. Declareer de variabelen. Wijzig de variabelen in het voorbeeld zodat deze overeenkomen met het certificaat dat u wilt verwijderen.

    $GWName = "Name_of_virtual_network_gateway"
    $RG = "Name_of_resource_group"
    $P2SRootCertName2 = "ARMP2SRootCert2.cer"
    $MyP2SCertPubKeyBase64_2 = "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"
    
  2. Verwijder het certificaat.

    Remove-AzVpnClientRootCertificate -VpnClientRootCertificateName $P2SRootCertName2 -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG -PublicCertData $MyP2SCertPubKeyBase64_2
    
  3. Gebruik het volgende voorbeeld om te controleren of het certificaat is verwijderd.

    Get-AzVpnClientRootCertificate -ResourceGroupName "TestRG1" `
    -VirtualNetworkGatewayName "VNet1GW"
    

Een clientcertificaat intrekken of herstellen

U kunt clientcertificaten intrekken. Met de certificaatintrekkingslijst kunt u P2S-connectiviteit selectief weigeren op basis van afzonderlijke clientcertificaten. Dit is anders van het verwijderen van een vertrouwd basiscertificaat. Als u een vertrouwd .cer-basiscertificaat uit Azure verwijdert, wordt de toegang ingetrokken voor alle clientcertificaten die zijn gegenereerd/ondertekend door het ingetrokken basiscertificaat. Als u in plaats van een basiscertificaat een clientcertificaat intrekt, kunt u de certificaten die zijn gegenereerd op basis van het basiscertificaat, blijven gebruiken voor verificatie.

De algemene procedure is het basiscertificaat te gebruiken om de toegang te beheren op het team- of organisatieniveau, terwijl u ingetrokken clientcertificaten gebruikt voor nauwkeuriger toegangsbeheer bij afzonderlijke gebruikers.

Ga als volgende te werk om het volgende in te trekken

  1. Haal de vingerafdruk voor het clientcertificaat op. Zie voor meer informatie De vingerafdruk van een certificaat ophalen.

  2. Kopieer de gegevens naar een teksteditor en verwijder alle spaties, zodat deze een doorlopende tekenreeks is. Deze reeks wordt in de volgende stap gedeclareerd als een variabele.

  3. Declareer de variabelen. Zorg ervoor dat u de vingerafdruk declareert die u in de vorige stap hebt opgehaald.

    $RevokedClientCert1 = "NameofCertificate"
    $RevokedThumbprint1 = "‎51ab1edd8da4cfed77e20061c5eb6d2ef2f778c7"
    $GWName = "Name_of_virtual_network_gateway"
    $RG = "Name_of_resource_group"
    
  4. Voeg de vingerafdruk toe aan de lijst met ingetrokken certificaten. U ziet Geslaagd als de vingerafdruk is toegevoegd.

    Add-AzVpnClientRevokedCertificate -VpnClientRevokedCertificateName $RevokedClientCert1 `
    -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG `
    -Thumbprint $RevokedThumbprint1
    
  5. Controleer of de vingerafdruk is toegevoegd aan de certificaatintrekkingslijst.

    Get-AzVpnClientRevokedCertificate -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG
    
  6. Nadat de vingerafdruk is toegevoegd, kan het certificaat niet langer worden gebruikt om te verbinden. Clients die verbinding proberen te maken met het certificaat, ontvangen een bericht waarin wordt gemeld dat het certificaat niet meer geldig is.

Ga als volgende te werk om het volgende te herstellen:

U kunt een clientcertificaat opnieuw activeren door de vingerafdruk te verwijderen uit de lijst met ingetrokken clientcertificaten.

  1. Declareer de variabelen. Zorg ervoor dat u de juiste vingerafdruk declareert voor het certificaat dat u opnieuw wilt activeren.

    $RevokedClientCert1 = "NameofCertificate"
    $RevokedThumbprint1 = "‎51ab1edd8da4cfed77e20061c5eb6d2ef2f778c7"
    $GWName = "Name_of_virtual_network_gateway"
    $RG = "Name_of_resource_group"
    
  2. Verwijder de vingerafdruk van het certificaat uit de lijst met ingetrokken certificaten.

    Remove-AzVpnClientRevokedCertificate -VpnClientRevokedCertificateName $RevokedClientCert1 `
    -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG -Thumbprint $RevokedThumbprint1
    
  3. Controleer of de vingerafdruk is verwijderd uit de lijst met ingetrokken vingerafdrukken.

    Get-AzVpnClientRevokedCertificate -VirtualNetworkGatewayName $GWName -ResourceGroupName $RG
    

Veelgestelde vragen over P2S

Zie de veelgestelde vragen over VPN Gateway P2S voor meer informatie over P2S

Volgende stappen

Wanneer de verbinding is voltooid, kunt u virtuele machines aan uw virtuele netwerken toevoegen. Zie Virtuele machines voor meer informatie. Zie Azure and Linux VM Network Overview (Overzicht van Azure- en Linux-VM-netwerken) voor meer informatie over netwerken en virtuele machines.

Voor informatie over het oplossen van problemen met P2S, probleemoplossing: Verbindingsproblemen met Azure P2S.