Delen via

Een P2S-gebruikers-VPN-verbinding maken met behulp van Azure Virtual WAN - Microsoft Entra-verificatie

  • Artikel

In dit artikel leest u hoe u Virtual WAN gebruikt om verbinding te maken met uw resources in Azure. In dit artikel maakt u een punt-naar-site-gebruikers-VPN-verbinding met Virtual WAN die gebruikmaakt van Microsoft Entra-verificatie. Microsoft Entra-verificatie is alleen beschikbaar voor gateways die gebruikmaken van het OpenVPN-protocol.

Notitie

Microsoft Entra ID-verificatie wordt alleen ondersteund voor OpenVPN-protocolverbindingen® en vereist de Azure VPN-client.

In dit artikel leert u het volgende:

  • Een virtueel WAN maken
  • Een gebruikers-VPN-configuratie maken
  • Een VPN-profiel voor virtuele WAN-gebruikers downloaden
  • Een virtuele hub maken
  • Een hub bewerken om een P2S-gateway toe te voegen
  • Een VNet verbinden met een virtuele hub
  • De gebruikers-VPN-clientconfiguratie downloaden en toepassen
  • Uw virtuele WAN weergeven

Schermopname van virtual WAN-diagram.

Voordat u begint

Controleer of u aan de volgende criteria hebt voldaan voordat u begint met de configuratie:

  • U hebt een virtueel netwerk waarmee u verbinding wilt maken. Controleer of geen van de subnetten van uw on-premises netwerken overlapt met de virtuele netwerken waarmee u verbinding wilt maken. Zie de snelstart als u een virtueel netwerk in de Azure-portal wilt maken.

  • Uw virtuele netwerk heeft geen gateways voor virtuele netwerken. Als uw virtuele netwerk een gateway heeft (VPN of ExpressRoute), moet u alle gateways verwijderen. Voor deze configuratie moeten virtuele netwerken in plaats daarvan zijn verbonden met de Virtual WAN-hubgateway.

  • Zorg dat u een IP-adresbereik krijgt voor uw hubregio. De hub is een virtueel netwerk dat wordt gemaakt en gebruikt door Virtual WAN. Het adresbereik dat u voor de hub opgeeft, kan niet overlappen met een van uw bestaande virtuele netwerken waarmee u verbinding maakt. Het kan ook niet overlappen met uw adresbereiken waarmee u on-premises verbinding maakt. Als u niet bekend bent met de IP-adresbereiken in uw on-premises netwerkconfiguratie, moet u contact opnemen met iemand die deze gegevens voor u kan verstrekken.

  • Als u nog geen Azure-abonnement hebt, maakt u een gratis account.

Een virtueel WAN maken

Open een browser, ga naar Azure Portal en meld u aan met uw Azure-account.

  1. Typ Virtual WAN in het zoekvak in de portal in de zoekbalk en selecteer Enter.

  2. Selecteer Virtuele WAN's in de resultaten. Selecteer + Maken op de pagina Virtuele WAN's om de pagina WAN maken te openen.

  3. Vul op de pagina WAN maken op het tabblad Basisbeginselen de velden in. Wijzig de voorbeeldwaarden die u wilt toepassen op uw omgeving.

    Schermopname toont het deelvenster 'WAN maken' waarbij het tabblad Basisprincipes geselecteerd is.

    • Abonnement: selecteer het abonnement dat u wilt gebruiken.
    • Resourcegroep: Maak een nieuwe resourcegroep of gebruik bestaande.
    • Locatie van de resourcegroep: kies een resourcelocatie in de vervolgkeuzelijst. Een WAN is een globale resource en woont niet in een bepaalde regio. U moet echter een regio selecteren om de WAN-resource die u maakt te kunnen beheren en vinden.
    • Naam: typ de naam die u wilt aanroepen van uw virtuele WAN.
    • Type: Basic of Standard. Selecteer Standaard. Als u Basic selecteert, moet u begrijpen dat virtuele WAN's van Basic alleen Basic-hubs kunnen bevatten. Basishubs kunnen alleen worden gebruikt voor site-naar-site-verbindingen.

  4. Nadat u klaar bent met het invullen van de velden, selecteert u Onder aan de pagina Controleren +Maken.

  5. Zodra de validatie is geslaagd, klikt u op Maken om het virtuele WAN te maken.

Een gebruikers-VPN-configuratie maken

Een GEBRUIKERS-VPN-configuratie definieert de parameters voor het verbinden van externe clients. Het is belangrijk om de gebruikers-VPN-configuratie te maken voordat u uw virtuele hub configureert met P2S-instellingen, omdat u de gebruikers-VPN-configuratie moet opgeven die u wilt gebruiken.

  1. Navigeer naar de pagina VPN-configuraties van virtual WAN en> klik op +Gebruikers-VPN-configuratie maken.

    Schermopname van de configuratie Gebruiker V P N maken.

  2. Geef op de pagina Basisinformatie de parameters op.

    Schermopname van de pagina Basisinformatie.

    • Configuratienaam : voer de naam in die u wilt aanroepen van uw gebruikers-VPN-configuratie.
    • Tunneltype - Selecteer OpenVPN in de vervolgkeuzelijst.

  3. Klik op Microsoft Entra ID om de pagina te openen.

    Schermopname van de pagina Microsoft Entra-id.

    Schakel Microsoft Entra-id in op Ja en geef de volgende waarden op op basis van uw tenantgegevens. U kunt de benodigde waarden bekijken op de pagina Microsoft Entra ID voor Bedrijfstoepassingen in de portal.

    • Verificatiemethode - Selecteer Microsoft Entra-id.

    • Doelgroep : typ de toepassings-id van de Azure VPN Enterprise-toepassing die is geregistreerd in uw Microsoft Entra-tenant.

    • Verlener - https://sts.windows.net/<your Directory ID>/

    • Microsoft Entra-tenant: TenantID voor de Microsoft Entra-tenant. Zorg ervoor dat de URL van de Microsoft Entra-tenant niet / aan het einde van de URL van de Microsoft Entra-tenant staat.

      • Enter https://login.microsoftonline.com/{AzureAD TenantID} voor Azure Public AD
      • Enter https://login.microsoftonline.us/{AzureAD TenantID} voor Azure Government AD
      • Enter https://login-us.microsoftonline.de/{AzureAD TenantID} voor Azure Germany AD
      • Enter https://login.chinacloudapi.cn/{AzureAD TenantID} voor China 21Vianet AD

  4. Klik op Maken om de gebruikers-VPN-configuratie te maken. U selecteert deze configuratie later in de oefening.

Een lege hub maken

Voor deze oefening maken we in deze stap een lege virtuele hub en in de volgende sectie voegt u een P2S-gateway toe aan deze hub. U kunt deze stappen echter combineren en de hub maken met de P2S-gatewayinstellingen in één keer. Het resultaat is in beide gevallen hetzelfde. Nadat u de instellingen hebt geconfigureerd, klikt u op Controleren en maken om te valideren en vervolgens op Maken.

  1. Ga naar het virtuele WAN dat u hebt gemaakt. Selecteer Hubs in het linkerdeelvenster van de virtuele WAN-pagina onder De connectiviteit.

  2. Selecteer +New Hub op de pagina Hubs om de pagina Virtuele hub maken te openen.

    Schermopname van het deelvenster Virtuele hub maken waarbij het tabblad Basisprincipes geselecteerd is.

  3. Op de pagina Basisinstellingen van de pagina Virtuele hub maken vult u de volgende velden in:

    • Regio: Selecteer de regio waarin u de virtuele hub wilt implementeren.
    • Naam: de naam waarmee u de virtuele hub wilt weten.
    • Privé-adresruimte van de hub: het adresbereik van de hub in CIDR-notatie. De minimale adresruimte is /24 om een hub te maken.
    • Capaciteit van virtuele hub: Selecteer in de vervolgkeuzelijst. Zie Instellingen voor virtuele hubs voor meer informatie.
    • Voorkeur voor hubroutering: laat de standaardinstelling staan. Zie routeringsvoorkeur voor virtuele hubs voor meer informatie.

Een P2S-gateway toevoegen aan een hub

In deze sectie wordt beschreven hoe u een gateway toevoegt aan een bestaande virtuele hub. Deze stap kan tot 30 minuten duren voordat de hub is bijgewerkt.

  1. Navigeer naar de pagina Hubs onder het virtuele WAN.

  2. Klik op de naam van de hub die u wilt bewerken om de pagina voor de hub te openen.

  3. Klik boven aan de pagina op Virtuele hub bewerken om de pagina Virtuele hub bewerken te openen.

  4. Schakel op de pagina Virtuele hub bewerken de selectievakjes in voor Vpn-gateway opnemen voor vpn-sites en punt-naar-site-gateway opnemen om de instellingen weer te geven. Configureer vervolgens de waarden.

    Schermopname van de virtuele hub bewerken.

  5. Nadat u de instellingen hebt geconfigureerd, klikt u op Bevestigen om de hub bij te werken. Het kan tot 30 minuten duren voordat een hub is bijgewerkt.

VNet verbinden met hub

In deze sectie maakt u een verbinding tussen uw virtuele hub en uw VNet.

  1. Ga in Azure Portal naar uw Virtual WAN in het linkerdeelvenster en selecteer Virtuele netwerkverbindingen.

  2. Selecteer + Verbinding toevoegen op de pagina Virtuele netwerkverbindingen.

  3. Configureer de verbindingsinstellingen op de pagina Verbinding toevoegen. Zie Over routering voor informatie over routeringsinstellingen.

    Schermopname van de pagina Verbinding toevoegen.

    • Verbindingsnaam: geef de verbinding een naam.
    • Hubs: selecteer de hub die u aan deze verbinding wilt koppelen.
    • Abonnement: Controleer het abonnement.
    • Resourcegroep: Selecteer de resourcegroep die het virtuele netwerk bevat waarmee u verbinding wilt maken.
    • Virtueel netwerk: selecteer het virtuele netwerk dat u wilt verbinden met deze hub. Het virtuele netwerk dat u selecteert, kan geen bestaande virtuele netwerkgateway hebben.
    • Doorgeven aan geen: dit is standaard ingesteld op Nee . Als u de schakeloptie wijzigt in Ja , worden de configuratieopties voor doorgeven aan routetabellen en doorgeven aan labels niet beschikbaar voor configuratie.
    • Routetabel koppelen: In de vervolgkeuzelijst kunt u een routetabel selecteren die u wilt koppelen.
    • Doorgeven aan labels: Labels zijn een logische groep routetabellen. Voor deze instelling selecteert u in de vervolgkeuzelijst.
    • Statische routes: configureer indien nodig statische routes. Configureer statische routes voor virtuele netwerkapparaten (indien van toepassing). Virtual WAN ondersteunt één ip-adres voor de volgende hop voor statische route in een virtuele netwerkverbinding. Als u bijvoorbeeld een afzonderlijk virtueel apparaat hebt voor inkomend en uitgaand verkeer, kunt u het beste de virtuele apparaten in afzonderlijke VNets hebben en de VNets koppelen aan de virtuele hub.
    • Volgend hop-IP-adres overslaan voor workloads binnen dit VNet: met deze instelling kunt u NVA's en andere workloads in hetzelfde VNet implementeren zonder dat al het verkeer via de NVA wordt afgedwongen. Deze instelling kan alleen worden geconfigureerd wanneer u een nieuwe verbinding configureert. Als u deze instelling wilt gebruiken voor een verbinding die u al hebt gemaakt, verwijdert u de verbinding en voegt u vervolgens een nieuwe verbinding toe.
    • Statische route doorgeven: deze instelling wordt momenteel geïmplementeerd. Met deze instelling kunt u statische routes doorgeven die zijn gedefinieerd in de sectie Statische routes om tabellen te routeren die zijn opgegeven in Doorgeven aan routetabellen. Daarnaast worden routes doorgegeven aan routetabellen met labels die zijn opgegeven als Doorgeven aan labels. Deze routes kunnen worden doorgegeven tussen hubs, met uitzondering van de standaardroute 0/0. Deze functie wordt geïmplementeerd. Als u deze functie wilt inschakelen, opent u een ondersteuningsaanvraag

  4. Nadat u de instellingen hebt voltooid die u wilt configureren, klikt u op Maken om de verbinding te maken.

VPN-profiel van gebruiker downloaden

Alle benodigde configuratie-instellingen voor de VPN-clients bevinden zich in een ZIP-bestand voor de VPN-clientconfiguratie. Met de instellingen in het zip-bestand kunt u de VPN-clients eenvoudig configureren. De configuratiebestanden van de VPN-client die u genereert, zijn specifiek voor de gebruikers-VPN-configuratie voor uw gateway. U kunt globale profielen (WAN-niveau) of een profiel voor een specifieke hub downloaden. Zie Algemene profielen en hubprofielen downloaden voor meer informatie en aanvullende instructies. De volgende stappen helpen u bij het downloaden van een globaal WAN-profiel.

  1. Als u een globaal profielconfiguratiepakket voor VPN-clients op WAN-niveau wilt genereren, gaat u naar het virtuele WAN (niet de virtuele hub).

  2. Selecteer in het linkerdeelvenster gebruikers-VPN-configuraties.

  3. Selecteer de configuratie waarvoor u het profiel wilt downloaden. Als u meerdere hubs hebt toegewezen aan hetzelfde profiel, vouwt u het profiel uit om de hubs weer te geven en selecteert u vervolgens een van de hubs die het profiel gebruiken.

  4. Selecteer VPN-profiel voor virtuele WAN-gebruikers downloaden.

  5. Selecteer EAPTLS op de downloadpagina en vervolgens een profiel genereren en downloaden. Er wordt een profielpakket (zip-bestand) met de clientconfiguratie-instellingen gegenereerd en gedownload naar uw computer. De inhoud van het pakket is afhankelijk van de verificatie- en tunnelkeuzes voor uw configuratie.

VPN-clients voor gebruikers configureren

Op elke computer die verbinding maakt, moet een client zijn geïnstalleerd. U configureert elke client met behulp van de clientprofielbestanden van de VPN-gebruiker die u in de vorige stappen hebt gedownload. Gebruik het artikel dat betrekking heeft op het besturingssysteem waarmee u verbinding wilt maken.

MacOS VPN-clients configureren (preview)

Zie Een VPN-client configureren - macOS (preview) voor instructies voor macOS-clients.

Windows VPN-clients configureren

  1. Download de nieuwste versie van de Azure VPN-clientinstallatiebestanden met behulp van een van de volgende koppelingen:

  2. Installeer de Azure VPN-client op elke computer.

  3. Controleer of de Azure VPN-client gemachtigd is om op de achtergrond uit te voeren. Zie Windows-achtergrond-apps voor stappen.

  4. Als u de geïnstalleerde clientversie wilt controleren, opent u de Azure VPN-client. Ga naar de onderkant van de client en klik op ... -> ? Help. In het rechterdeelvenster ziet u het versienummer van de client.

Een VPN-clientprofiel importeren (Windows)

  1. Selecteer Importeren op de pagina.

    Schermopname van de importpagina.

  2. Blader naar het xml-profielbestand en selecteer het. Selecteer Openen terwijl het bestand is geselecteerd.

    Schermopname van een dialoogvenster Openen waarin u een bestand kunt selecteren.

  3. Geef de naam van het profiel op en selecteer Opslaan.

    Schermopname van de toegevoegde verbindingsnaam en de knop Opslaan geselecteerd.

  4. Selecteer Verbinding maken om verbinding te maken met het VPN.

    Schermopname van de knop Verbinding maken voor de verbinding die u zojuist hebt gemaakt.

  5. Zodra u verbinding hebt gemaakt, wordt het pictogram groen en zegt u Verbonden.

    Schermopname van de verbinding in een verbonden status met de optie om de verbinding te verbreken.

Een clientprofiel verwijderen - Windows

  1. Selecteer het beletselteken (...) naast het clientprofiel dat u wilt verwijderen. Selecteer vervolgens Verwijderen.

    Schermopname met Verwijderen geselecteerd in het menu.

  2. Selecteer Verwijderen om te verwijderen.

    Schermopname van een bevestigingsdialoogvenster met de optie Verwijderen of Annuleren.

Verbindingsproblemen vaststellen - Windows

  1. U kunt het hulpprogramma Diagnose gebruiken om verbindingsproblemen vast te stellen. Selecteer het beletselteken (...) naast de VPN-verbinding die u wilt diagnosticeren om het menu weer te geven. Selecteer Vervolgens Diagnose.

    Schermopname met Diagnose geselecteerd in het menu.

  2. Selecteer Diagnose uitvoeren op de pagina Verbindingseigenschappen.

    Schermopname van de knop Diagnose uitvoeren voor een verbinding.

  3. Meld u aan met uw referenties.

    Schermopname van het dialoogvenster Aanmelden voor deze actie.

  4. Bekijk de diagnoseresultaten.

    Schermopname van de resultaten van de diagnose.

Uw virtuele WAN weergeven

  1. Navigeer naar uw virtuele WAN.
  2. Op de pagina Overzicht vertegenwoordigt elk punt op de kaart een hub.
  3. In de sectie Hubs en verbindingen vindt u informatie over de hubstatus, site, regio, VPN-verbindingsstatus en verzonden en ontvangen bytes.

Resources opschonen

Wanneer u de resources die u hebt gemaakt niet meer nodig hebt, verwijdert u deze. Sommige Virtual WAN-resources moeten in een bepaalde volgorde worden verwijderd vanwege afhankelijkheden. Het verwijderen duurt ongeveer 30 minuten.

  1. Open het virtuele WAN dat u hebt gemaakt.

  2. Selecteer een virtuele hub die is gekoppeld aan het virtuele WAN om de hubpagina te openen.

  3. Verwijder alle gatewayentiteiten volgens de onderstaande volgorde voor elk gatewaytype. Dit kan 30 minuten duren.

    VPN:

    • VPN-sites verbreken
    • VPN-verbindingen verwijderen
    • VPN-gateways verwijderen

    ExpressRoute:

    • ExpressRoute-verbindingen verwijderen
    • ExpressRoute-gateways verwijderen

  4. Herhaal dit voor alle hubs die zijn gekoppeld aan het virtuele WAN.

  5. U kunt de hubs op dit moment verwijderen of de hubs later verwijderen wanneer u de resourcegroep verwijdert.

  6. Navigeer naar de resourcegroep in Azure Portal.

  7. Selecteer Resourcegroep verwijderen. Hiermee verwijdert u de andere resources in de resourcegroep, inclusief de hubs en het virtuele WAN.

Volgende stappen

Zie de veelgestelde vragen over Virtual WAN voor veelgestelde vragen over Virtual WAN.