Over Punt-naar-site VPN

Met een point-to-site-VPN-gatewayverbinding (P2S) kunt u vanaf een afzonderlijke clientcomputer een beveiligde verbinding maken met uw virtuele netwerk. Een P2S-verbinding wordt tot stand gebracht door deze te starten vanaf de clientcomputer. Deze oplossing is handig voor telewerkers die verbinding willen maken met een Azure VNet vanaf een externe locatie, zoals vanaf thuis of een conferentie. P2S-VPN is ook een uitstekende oplossing in plaats van een S2S-VPN wanneer u maar een paar clients hebt die verbinding moeten maken met een VNet. Dit artikel is van toepassing op het Resource Manager implementatiemodel.

Welk protocol gebruikt P2S?

Punt-naar-site-VPN kan een van de volgende protocollen gebruiken:

  • OpenVPN® Protocol, een OP SSL/TLS gebaseerd VPN-protocol. Een TLS VPN-oplossing kan firewalls binnendringen, omdat de meeste firewalls TCP-poort 443 uitgaand openen, die TLS gebruikt. OpenVPN kan worden gebruikt om verbinding te maken vanaf Android, iOS (versies 11.0 en hoger), Windows-, Linux- en Mac-apparaten (macOS-versies 10.13 en hoger).

  • Secure Socket Tunneling Protocol (SSTP), een eigen VPN-protocol op basis van TLS. Een TLS VPN-oplossing kan firewalls binnendringen, omdat de meeste firewalls TCP-poort 443 uitgaand openen, die TLS gebruikt. SSTP wordt alleen ondersteund op Windows-apparaten. Azure ondersteunt alle versies van Windows met SSTP en ondersteuning voor TLS 1.2 (Windows 8.1 en hoger).

  • IKEv2 VPN, een op standaarden gebaseerde IPsec VPN-oplossing. IKEv2 VPN kan worden gebruikt om verbinding te maken vanaf Mac-apparaten (macOS-versies 10.11 en hoger).

Notitie

IKEv2 en OpenVPN voor P2S zijn alleen beschikbaar voor het Resource Manager implementatiemodel. Ze zijn niet beschikbaar voor het klassieke implementatiemodel.

Hoe worden P2S VPN-clients geverifieerd?

Voordat Azure een P2S VPN-verbinding accepteert, moet de gebruiker eerst worden geverifieerd. Er zijn twee mechanismen die Azure biedt om een verbinding makende gebruiker te verifiëren.

Verifiëren met behulp van systeemeigen Azure-certificaatverificatie

Wanneer u de systeemeigen Azure-certificaatverificatie gebruikt, wordt een clientcertificaat dat aanwezig is op het apparaat gebruikt om de verbinding makende gebruiker te verifiëren. Clientcertificaten worden gegenereerd op basis van een vertrouwd basiscertificaat en vervolgens geïnstalleerd op elke clientcomputer. U kunt een basiscertificaat gebruiken dat is gegenereerd met behulp van een Enterprise-oplossing of u kunt een zelfondertekend certificaat genereren.

De validatie van het clientcertificaat wordt uitgevoerd door de VPN-gateway en vindt plaats tijdens het opzetten van de P2S VPN-verbinding. Het basiscertificaat is vereist voor de validatie en moet worden geüpload naar Azure.

Verifiëren met systeemeigen Azure Active Directory-verificatie

met Azure AD verificatie kunnen gebruikers verbinding maken met Azure met behulp van hun Azure Active Directory-referenties. Systeemeigen Azure AD-verificatie wordt alleen ondersteund voor het OpenVPN-protocol en vereist ook het gebruik van de Azure VPN Client. De ondersteunde clientbewerkingssystemen worden Windows 10 of hoger en macOS.

Met systeemeigen Azure AD-verificatie kunt u gebruikmaken van de voorwaardelijke toegang van Azure AD en MFA-functies (Multi-Factor Authentication) voor VPN.

Op hoog niveau moet u de volgende stappen uitvoeren om Azure AD verificatie te configureren:

  1. Een Azure Active Directory-tenant configureren

  2. Verificatie Azure AD inschakelen op de gateway

  3. Download de nieuwste versie van de Azure VPN Client installeer bestanden met behulp van een van de volgende koppelingen:

Verifiëren met behulp van Active Directory (AD) Domain Server

Met AD-domeinverificatie kunnen gebruikers verbinding maken met Azure met behulp van hun organisatiedomeinreferenties. Hiervoor is een RADIUS-server vereist die kan worden geïntegreerd met de AD-server. Organisaties kunnen ook gebruikmaken van hun bestaande RADIUS-implementatie.

De RADIUS-server kan on-premises of in uw Azure-VNet worden geïmplementeerd. Tijdens de verificatie fungeert de Azure VPN Gateway als passthrough- en doorgestuurde verificatieberichten tussen de RADIUS-server en het verbindingsapparaat. Gatewaybereikbaarheid voor de RADIUS-server is dus belangrijk. Als de RADIUS-server on-premises aanwezig is, is een VPN S2S-verbinding van Azure naar de on-premises site vereist voor de bereikbaarheid.

De RADIUS-server kan ook worden geïntegreerd met AD-certificaatservices. Hiermee kunt u de RADIUS-server en de implementatie van uw bedrijfscertificaat voor P2S-certificaatverificatie gebruiken als alternatief voor de Azure-certificaatverificatie. Het voordeel is dat u geen basiscertificaten en ingetrokken certificaten hoeft te uploaden naar Azure.

Een RADIUS-server kan ook worden geïntegreerd met andere externe identiteitssystemen. Hiermee opent u tal van verificatieopties voor P2S VPN, waaronder multi-factor opties.

Diagram met een punt-naar-site-VPN met een on-premises site.

Wat zijn de configuratievereisten voor de client?

Notitie

Voor Windows-clients moet u beheerdersrechten hebben op het clientapparaat om de VPN-verbinding van het clientapparaat naar Azure te initiëren.

Gebruikers gebruiken de systeemeigen VPN-clients op Windows- en Mac-apparaten voor P2S. Azure biedt een ZIP-bestand voor vpn-clientconfiguratie dat instellingen bevat die door deze systeemeigen clients zijn vereist om verbinding te maken met Azure.

  • Voor Windows-apparaten bestaat de CONFIGURATIE van de VPN-client uit een installatiepakket dat gebruikers op hun apparaten installeren.
  • Voor Mac-apparaten bestaat het uit het mobileconfig-bestand dat gebruikers op hun apparaten installeren.

Het ZIP-bestand biedt ook de waarden van enkele van de belangrijke instellingen aan de Azure-zijde die u kunt gebruiken om uw eigen profiel voor deze apparaten te maken. Enkele van de waarden zijn het VPN-gatewayadres, geconfigureerde tunneltypen, routes en het basiscertificaat voor gatewayvalidatie.

Notitie

Vanaf 1 juli 2018 is ondersteuning voor TLS 1.0 en 1.1 uit Azure VPN Gateway verwijderd. VPN Gateway ondersteunt alleen TLS 1.2. Alleen punt-naar-site-verbindingen worden beïnvloed; site-naar-site-verbindingen worden niet beïnvloed. Als u TLS gebruikt voor punt-naar-site-VPN's op Windows 10 of latere clients, hoeft u geen actie te ondernemen. Als u TLS gebruikt voor punt-naar-site-verbindingen op Windows 7- en Windows 8-clients, raadpleegt u de VPN Gateway veelgestelde vragen over update-instructies.

Welke gateway-SKU's ondersteunen P2S VPN?

VPN
Gateway
Generatie
SKU S2S/VNet-naar-VNet
Tunnels
P2S
SSTP-verbindingen
P2S
IKEv2/OpenVPN-verbindingen
Samenvoegen
Benchmark voor doorvoer
BGP Zone-redundant
Generatie1 Basic Met maximaal 10 Met maximaal 128 Niet ondersteund 100 Mbps Niet ondersteund Nee
Generatie1 VpnGw1 Met maximaal 30 Met maximaal 128 Met maximaal 250 650 Mbps Ondersteund Nee
Generatie1 VpnGw2 Met maximaal 30 Met maximaal 128 Met maximaal 500 1 Gbps Ondersteund Nee
Generatie1 VpnGw3 Met maximaal 30 Met maximaal 128 Met maximaal 1000 1,25 Gbps Ondersteund Nee
Generatie1 VpnGw1AZ Met maximaal 30 Met maximaal 128 Met maximaal 250 650 Mbps Ondersteund Ja
Generatie1 VpnGw2AZ Met maximaal 30 Met maximaal 128 Met maximaal 500 1 Gbps Ondersteund Ja
Generatie1 VpnGw3AZ Met maximaal 30 Met maximaal 128 Met maximaal 1000 1,25 Gbps Ondersteund Ja
Generatie2 VpnGw2 Met maximaal 30 Met maximaal 128 Met maximaal 500 1,25 Gbps Ondersteund Nee
Generatie2 VpnGw3 Met maximaal 30 Met maximaal 128 Met maximaal 1000 2,5 Gbps Ondersteund Nee
Generatie2 VpnGw4 Met maximaal 100* Met maximaal 128 Met maximaal 5000 5 Gbps Ondersteund Nee
Generatie2 VpnGw5 Met maximaal 100* Met maximaal 128 Met maximaal 10.000 10 Gbps Ondersteund Nee
Generatie2 VpnGw2AZ Met maximaal 30 Met maximaal 128 Met maximaal 500 1,25 Gbps Ondersteund Ja
Generatie2 VpnGw3AZ Met maximaal 30 Met maximaal 128 Met maximaal 1000 2,5 Gbps Ondersteund Ja
Generatie2 VpnGw4AZ Met maximaal 100* Met maximaal 128 Met maximaal 5000 5 Gbps Ondersteund Ja
Generatie2 VpnGw5AZ Met maximaal 100* Met maximaal 128 Met maximaal 10.000 10 Gbps Ondersteund Ja

(*) Gebruik Virtual WAN als u meer dan 100 S2S VPN-tunnels nodig hebt.

  • Het wijzigen van de grootte van VpnGw-SKU's is toegestaan binnen dezelfde generatie, behalve het wijzigen van de grootte van de Basic-SKU. De Basic-SKU is een verouderde SKU waarvoor beperkingen in de functionaliteit gelden. Als u wilt overstappen van Basic naar een andere SKU, moet u de BASIC SKU VPN-gateway verwijderen en een nieuwe gateway maken met de gewenste combinatie van generatie en SKU-grootte. (zie Werken met verouderde SKU's).

  • Er gelden afzonderlijke verbindingslimieten. U kunt bijvoorbeeld 128 SSTP-verbindingen en ook 250 IKEv2-verbindingen hebben in een SKU van het type VpnGw1.

  • Prijsinformatie vindt u op de pagina Prijzen.

  • Gegevens over de SLA (Service Level Agreement) vindt u op de pagina SLA.

  • Als u veel P2S-verbindingen hebt, kan dit een negatieve invloed hebben op uw S2S-verbindingen. De cumulatieve doorvoerbenchmarks zijn getest door een combinatie van S2S- en P2S-verbindingen te maximaliseren. Eén P2S- of S2S-verbinding kan een veel lagere doorvoer hebben.

  • Houd er rekening mee dat alle benchmarks niet worden gegarandeerd vanwege de omstandigheden van internetverkeer en uw toepassingsgedrag

Om onze klanten inzicht te geven in de relatieve prestaties van SKU's met behulp van verschillende algoritmen, hebben we openbaar beschikbare iPerf- en CTSTraffic-hulpprogramma's gebruikt om prestaties voor site-naar-site-verbindingen te meten. De onderstaande tabel bevat de resultaten van prestatietests voor VpnGw-SKU's. Zoals u kunt zien, worden de beste prestaties gerealiseerd bij gebruik van het GCMAES256-algoritme voor zowel IPsec-versleuteling als integriteit. Gemiddelde prestaties worden gerealiseerd bij gebruik van AES256 voor IPsec-versleuteling en SHA256 voor integriteit. De minst goede prestaties worden gerealiseerd bij gebruik van DES3 voor IPsec-versleuteling en SHA256 voor integriteit.

Een VPN-tunnel maakt verbinding met een VPN Gateway-exemplaar. Elke instantiedoorvoer wordt vermeld in de bovenstaande doorvoertabel en is beschikbaar geaggregeerd in alle tunnels die verbinding maken met dat exemplaar.

In de onderstaande tabel ziet u de waargenomen bandbreedte en pakketten per seconde doorvoer per tunnel voor de verschillende gateway-SKU's. Alle tests zijn uitgevoerd tussen gateways (eindpunten) binnen Azure in verschillende regio's met 100 verbindingen en onder standaardbelastingsomstandigheden.

Generatie SKU Algoritmen
Gebruikt
Doorvoer
waargenomen per tunnel
Pakketten per seconde per tunnel
Waargenomen
Generatie1 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
130 Mbps
62,000
47,000
12,000
Generatie1 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gbps
650 Mbps
140 Mbps
100.000
61,000
13,000
Generatie1 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
700 Mbps
140 Mbps
120,000
66,000
13,000
Generatie1 VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
130 Mbps
62,000
47,000
12,000
Generatie1 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gbps
650 Mbps
140 Mbps
110,000
61,000
13,000
Generatie1 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
700 Mbps
140 Mbps
120,000
66,000
13,000
Generatie2 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
550 Mbps
130 Mbps
120,000
52,000
12,000
Generatie2 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gbps
700 Mbps
140 Mbps
140,000
66,000
13,000
Generatie2 VpnGw4 GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
Generatie2 VpnGw5 GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
Generatie2 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
550 Mbps
130 Mbps
120,000
52,000
12,000
Generatie2 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gbps
700 Mbps
140 Mbps
140,000
66,000
13,000
Generatie2 VpnGw4AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
Generatie2 VpnGw5AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000

Notitie

De basis-SKU biedt geen ondersteuning voor IKEv2- of RADIUS-verificatie.

Welke IKE-/IPsec-beleidsregels zijn geconfigureerd op VPN-gateways voor P2S?

IKEv2

Cipher Integriteit PRF DH-groep
GCM_AES256 GCM_AES256 SHA384 GROUP_24
GCM_AES256 GCM_AES256 SHA384 GROUP_14
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP256
GCM_AES256 GCM_AES256 SHA256 GROUP_24
GCM_AES256 GCM_AES256 SHA256 GROUP_14
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP256
AES256 SHA384 SHA384 GROUP_24
AES256 SHA384 SHA384 GROUP_14
AES256 SHA384 SHA384 GROUP_ECP384
AES256 SHA384 SHA384 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_24
AES256 SHA256 SHA256 GROUP_14
AES256 SHA256 SHA256 GROUP_ECP384
AES256 SHA256 SHA256 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_2

Ipsec

Cipher Integriteit PFS-groep
GCM_AES256 GCM_AES256 GROUP_NONE
GCM_AES256 GCM_AES256 GROUP_24
GCM_AES256 GCM_AES256 GROUP_14
GCM_AES256 GCM_AES256 GROUP_ECP384
GCM_AES256 GCM_AES256 GROUP_ECP256
AES256 SHA256 GROUP_NONE
AES256 SHA256 GROUP_24
AES256 SHA256 GROUP_14
AES256 SHA256 GROUP_ECP384
AES256 SHA256 GROUP_ECP256
AES256 SHA1 GROUP_NONE

Welke TLS-beleidsregels worden geconfigureerd op VPN-gateways voor P2S?

TLS

Beleidsregels
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256

Hoe kan ik een P2S-verbinding configureren?

Voor een P2S-configuratie zijn nogal wat specifieke stappen vereist. De volgende artikelen bevatten de stappen voor het doorlopen van de P2S-configuratie en koppelingen voor het configureren van de VPN-clientapparaten:

De configuratie van een P2S-verbinding verwijderen

U kunt de configuratie van een verbinding verwijderen met behulp van PowerShell of CLI. Zie de veelgestelde vragen voor voorbeelden.

Hoe werkt P2S-routering?

Zie de volgende artikelen:

Veelgestelde vragen

Er zijn meerdere secties met veelgestelde vragen voor P2S, op basis van verificatie.

Volgende stappen

"OpenVPN" is een handelsmerk van OpenVPN Inc.