Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Met een punt-naar-site (P2S) VPN-gatewayverbinding kunt u vanaf een individuele clientcomputer een veilige verbinding maken met uw virtuele netwerk. Een P2S-verbinding wordt tot stand gebracht door deze te starten vanaf de clientcomputer. In dit artikel wordt beschreven hoe u de 128 gelijktijdige verbindingslimiet van SSTP kunt overwinnen door over te stappen op het OpenVPN-protocol of IKEv2.
Welk protocol gebruikt P2S?
Punt-naar-site-VPN kan een van de volgende protocollen gebruiken:
OpenVPN® Protocol, een OP SSL/TLS gebaseerd VPN-protocol. Een SSL VPN-oplossing kan via firewalls worden doorgegeven, omdat de meeste firewalls TCP-poort 443 uitgaand openen, die ssl gebruikt. OpenVPN kan worden gebruikt om verbinding te maken vanaf Android, iOS (versie 11.0 en hoger), Windows-, Linux- en Mac-apparaten (macOS-versies 12.x en hoger).
Secure Socket Tunneling Protocol (SSTP), een eigen VPN-protocol op basis van SSL. Een SSL VPN-oplossing kan firewalls binnendringen, omdat de meeste firewalls TCP-poort 443 uitgaand openen, die ssl gebruikt. SSTP wordt alleen ondersteund op Windows-apparaten. ondersteuning voor Azure alle versies van Windows met SSTP (Windows 7 en hoger). SSTP ondersteunt maximaal 128 gelijktijdige verbindingen, ongeacht de gateway-SKU.
IKEv2 VPN, een op standaarden gebaseerde IPsec VPN-oplossing. IKEv2 VPN kan worden gebruikt om verbinding te maken vanaf Mac-apparaten (macOS-versies 10.11 en hoger).
Notitie
De Basic-gateway-SKU biedt geen ondersteuning voor IKEv2- of OpenVPN-protocollen. Als u de Basic-SKU gebruikt, moet u een virtuele netwerkgateway voor productie-SKU verwijderen en opnieuw maken.
Migreren van SSTP naar IKEv2 of OpenVPN
Er kunnen gevallen zijn wanneer u meer dan 128 gelijktijdige P2S-verbindingen met een VPN-gateway wilt ondersteunen, maar SSTP gebruikt. In dat geval moet u overstappen op HET IKEv2- of OpenVPN-protocol.
Optie 1: IKEv2 toevoegen naast SSTP op de gateway
Dit is de eenvoudigste optie. SSTP en IKEv2 kunnen naast elkaar bestaan op dezelfde gateway en u een hoger aantal gelijktijdige verbindingen geven. U kunt IKEv2 inschakelen op de bestaande gateway en het clientconfiguratiepakket met de bijgewerkte instellingen downloaden.
Het toevoegen van IKEv2 aan een bestaande SSTP VPN-gateway heeft geen invloed op bestaande clients en u kunt ze configureren voor het gebruik van IKEv2 in kleine batches of alleen de nieuwe clients configureren voor het gebruik van IKEv2. Als een Windows-client is geconfigureerd voor zowel SSTP als IKEv2, probeert deze eerst verbinding te maken met IKEV2 en als dat mislukt, valt deze terug op SSTP.
IKEv2 maakt gebruik van niet-standaard UDP-poorten, dus u moet ervoor zorgen dat deze poorten niet worden geblokkeerd op de firewall van de gebruiker. De poorten die worden gebruikt, zijn UDP 500 en 4500.
- Als u IKEv2 wilt toevoegen aan een bestaande gateway, gaat u naar uw virtuele netwerkgateway in de portal.
- Selecteer in het linkerdeelvenster punt-naar-site-configuratie.
- Selecteer op de pagina punt-naar-site-configuratie voor tunneltype IKEv2 en SSTP (SSL) in de vervolgkeuzelijst.
- Pas uw wijzigingen toe.
Notitie
Wanneer U zowel SSTP als IKEv2 hebt ingeschakeld op de gateway, wordt de punt-naar-site-adresgroep statisch verdeeld tussen de twee, zodat clients die verschillende protocollen gebruiken, IP-adressen uit beide subbereiken toegewezen krijgen. Houd er rekening mee dat het maximum aantal SSTP-clients altijd 128 is. Dit geldt zelfs als het adresbereik groter is dan /24, wat resulteert in een grotere hoeveelheid adressen die beschikbaar zijn voor IKEv2-clients. Voor kleinere bereiken is het zwembad even gehalveerd. Verkeersselectors die door de gateway worden gebruikt, bevatten mogelijk niet het punt-naar-site-adresbereik CIDR, maar de twee subbereik-CIDR's.
Optie 2: SSTP verwijderen en OpenVPN inschakelen op de gateway
Omdat SSTP en OpenVPN beide op TLS gebaseerde protocollen zijn, kunnen ze niet naast elkaar bestaan op dezelfde gateway. Als u besluit om van SSTP naar OpenVPN weg te gaan, moet u SSTP uitschakelen en OpenVPN inschakelen op de gateway. Deze bewerking zorgt ervoor dat de bestaande clients de verbinding met de VPN-gateway verliezen totdat het nieuwe profiel op de client is geconfigureerd.
U kunt OpenVPN naast IKEv2 inschakelen als u wilt. OpenVPN is gebaseerd op TLS en maakt gebruik van de standaard TCP 443-poort.
- Als u wilt overschakelen naar OpenVPN, gaat u naar uw virtuele netwerkgateway in de portal.
- Selecteer in het linkerdeelvenster punt-naar-site-configuratie.
- Selecteer op de pagina punt-naar-site-configuratie voor tunneltype OpenVPN (SSL) of IKEv2 en OpenVPN (SSL) in de vervolgkeuzelijst.
- Pas uw wijzigingen toe.
Zodra de gateway is geconfigureerd, kunnen bestaande clients pas verbinding maken als u de OpenVPN-clients implementeert en configureert. Als u Windows 10 of hoger gebruikt, kunt u ook de Azure VPN-client gebruiken.
Veelgestelde vragen
Wat zijn de configuratievereisten voor de client?
Notitie
Voor Windows-clients moet u beheerdersrechten hebben voor het clientapparaat om de VPN-verbinding van het clientapparaat naar Azure te kunnen starten.
Gebruikers gebruiken de systeemeigen VPN-clients op Windows- en Mac-apparaten voor P2S. Azure biedt een ZIP-bestand voor vpn-clientconfiguratie dat instellingen bevat die door deze systeemeigen clients zijn vereist om verbinding te maken met Azure.
- Voor Windows-apparaten bestaat de CONFIGURATIE van de VPN-client uit een installatiepakket dat gebruikers op hun apparaten installeren.
- Voor Mac-apparaten bestaat het uit het mobileconfig-bestand dat gebruikers op hun apparaten installeren.
Het zip-bestand bevat ook de waarden van enkele van de belangrijke instellingen aan de Azure-zijde die u kunt gebruiken om uw eigen profiel voor deze apparaten te maken. Enkele van de waarden zijn het VPN-gatewayadres, geconfigureerde tunneltypen, routes en het basiscertificaat voor gatewayvalidatie.
Notitie
Vanaf 1 juli 2018 is ondersteuning voor TLS 1.0 en 1.1 uit Azure VPN Gateway verwijderd. VPN Gateway ondersteunt alleen TLS 1.2. Alleen punt-naar-site-verbindingen worden beïnvloed; site-naar-site-verbindingen worden niet beïnvloed. Als u TLS gebruikt voor punt-naar-site-VPN's op Windows 10- of hoger-clients, hoeft u geen actie te ondernemen. Als u TLS gebruikt voor punt-naar-site-verbindingen op Windows 7- en Windows 8-clients, raadpleegt u de veelgestelde vragen over VPN Gateway voor update-instructies.
Welke gateway-SKU's ondersteunen P2S VPN?
In de volgende tabel ziet u gateway-SKU's per tunnel, verbinding en doorvoer. Zie de sectie Gateway-SKU's van het artikel over VPN Gateway-instellingen voor meer informatie over deze tabel.
|
VPN Gateway Generatie |
SKU |
S2S/VNet-naar-VNet Tunnels |
P2S SSTP-verbindingen |
P2S IKEv2/OpenVPN-verbindingen |
Aggregaat Doorvoerbenchmark |
BGP | Zone-redundant | Ondersteund aantal vm's in het virtuele netwerk |
|---|---|---|---|---|---|---|---|---|
| Generatie1 | Basic | Max. 10 | Max. 128 | Niet ondersteund | 100 Mbps | Niet ondersteund | Nee | 200 |
| Generatie1 | VpnGw1 | Max. 30 | Max. 128 | Max. 250 | 650 Mbps | Ondersteund | Nee | 450 |
| Generatie1 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1 Gbps | Ondersteund | Nee | 1300 |
| Generatie1 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbps | Ondersteund | Nee | 4000 |
| Generatie1 | VpnGw1AZ | Max. 30 | Max. 128 | Max. 250 | 650 Mbps | Ondersteund | Ja | 1000 |
| Generatie1 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1 Gbps | Ondersteund | Ja | 2000 |
| Generatie1 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 1,25 Gbps | Ondersteund | Ja | 5000 |
| Generatie2 | VpnGw2 | Max. 30 | Max. 128 | Max. 500 | 1,25 Gbps | Ondersteund | Nee | 685 |
| Generatie2 | VpnGw3 | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gbps | Ondersteund | Nee | 2240 |
| Generatie2 | VpnGw4 | Max. 100* | Max. 128 | Max. 5000 | 5 Gbps | Ondersteund | Nee | 5300 |
| Generatie2 | VpnGw5 | Max. 100* | Max. 128 | Max. 10000 | 10 Gbps | Ondersteund | Nee | 6700 |
| Generatie2 | VpnGw2AZ | Max. 30 | Max. 128 | Max. 500 | 1,25 Gbps | Ondersteund | Ja | 2000 |
| Generatie2 | VpnGw3AZ | Max. 30 | Max. 128 | Max. 1000 | 2,5 Gbps | Ondersteund | Ja | 3300 |
| Generatie2 | VpnGw4AZ | Max. 100* | Max. 128 | Max. 5000 | 5 Gbps | Ondersteund | Ja | 4400 |
| Generatie2 | VpnGw5AZ | Max. 100* | Max. 128 | Max. 10000 | 10 Gbps | Ondersteund | Ja | 9000 |
Notitie
De Basic-SKU heeft beperkingen en biedt geen ondersteuning voor IKEv2- of RADIUS-verificatie.
Welke IKE-/IPsec-beleidsregels zijn geconfigureerd op VPN-gateways voor P2S?
IKEv2
| Cijfer | Integriteit | PRF | DH-groep |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| Cijfer | Integriteit | PFS-groep |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
Welke TLS-beleidsregels zijn geconfigureerd op VPN-gateways voor P2S?
TLS
| Beleidsregels |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| **TLS_AES_256_GCM_SHA384 |
| **TLS_AES_128_GCM_SHA256 |
**Alleen ondersteund op TLS1.3 met OpenVPN
Hoe kan ik een P2S-verbinding configureren?
Voor een P2S-configuratie zijn nogal wat specifieke stappen vereist. De volgende artikelen bevatten de stappen voor het doorlopen van de P2S-configuratie en koppelingen voor het configureren van de VPN-clientapparaten:
Volgende stappen
"OpenVPN" is een handelsmerk van OpenVPN Inc.