Delen via


Over Punt-naar-site VPN

Met een point-to-site-VPN-gatewayverbinding (P2S) kunt u vanaf een afzonderlijke clientcomputer een beveiligde verbinding maken met uw virtuele netwerk. Een P2S-verbinding wordt tot stand gebracht door deze te starten vanaf de clientcomputer. Deze oplossing is handig voor telewerkers die verbinding willen maken met een Azure VNet vanaf een externe locatie, zoals vanaf thuis of een conferentie. P2S-VPN is ook een uitstekende oplossing in plaats van een S2S-VPN wanneer u maar een paar clients hebt die verbinding moeten maken met een VNet. Punt-naar-site-configuraties vereisen een op route gebaseerd VPN-type.

Dit artikel is van toepassing op het huidige implementatiemodel. Zie P2S - Klassiek voor verouderde implementaties.

Welk protocol gebruikt P2S?

Punt-naar-site-VPN kan een van de volgende protocollen gebruiken:

  • OpenVPN® Protocol, een OP SSL/TLS gebaseerd VPN-protocol. Een TLS VPN-oplossing kan firewalls binnendringen, omdat de meeste firewalls TCP-poort 443 uitgaand openen, die door TLS wordt gebruikt. OpenVPN kan worden gebruikt om verbinding te maken vanaf Android, iOS (versies 11.0 en hoger), Windows-, Linux- en Mac-apparaten (macOS-versies 10.13 en hoger).

  • Secure Socket Tunneling Protocol (SSTP), een eigen VPN-protocol op basis van TLS. Een TLS VPN-oplossing kan firewalls binnendringen, omdat de meeste firewalls TCP-poort 443 uitgaand openen, die door TLS wordt gebruikt. SSTP wordt alleen ondersteund op Windows-apparaten. ondersteuning voor Azure alle versies van Windows met SSTP en tls 1.2 (Windows 8.1 en hoger) ondersteunen.

  • IKEv2 VPN, een op standaarden gebaseerde IPsec VPN-oplossing. IKEv2 VPN kan worden gebruikt om verbinding te maken vanaf Mac-apparaten (macOS-versies 10.11 en hoger).

Hoe worden P2S VPN-clients geverifieerd?

Voordat Azure een P2S VPN-verbinding accepteert, moet de gebruiker eerst worden geverifieerd. Er zijn drie verificatietypen die u kunt selecteren wanneer u uw P2S-gateway configureert. De opties zijn:

  • Azure-certificaat
  • Microsoft Entra ID
  • RADIUS en Active Directory-domein Server

U kunt meerdere verificatietypen selecteren voor de configuratie van uw P2S-gateway. Als u meerdere verificatietypen selecteert, moet de VPN-client die u gebruikt, worden ondersteund door ten minste één verificatietype en het bijbehorende tunneltype. Als u bijvoorbeeld 'IKEv2 en OpenVPN' selecteert voor tunneltypen, en 'Microsoft Entra ID en Radius' of 'Microsoft Entra ID en Azure Certificate' voor verificatietype, gebruikt Microsoft Entra-id alleen het Type OpenVPN-tunnel omdat dit niet wordt ondersteund door IKEv2.

In de volgende tabel ziet u verificatiemechanismen die compatibel zijn met geselecteerde tunneltypen. Voor elk mechanisme moet de bijbehorende VPN-clientsoftware op het verbindingsapparaat worden geconfigureerd met de juiste instellingen die beschikbaar zijn in de configuratiebestanden van het VPN-clientprofiel.

Tunneltype Verificatiemechanisme
OpenVPN Elke subset van Microsoft Entra-id, Radius-verificatie en Azure-certificaat
SSTP Radius-verificatie/Azure-certificaat
IKEv2 Radius-verificatie/Azure-certificaat
IKEv2 en OpenVPN Radius Auth/Azure Certificate/Microsoft Entra ID en Radius Auth/Microsoft Entra ID en Azure Certificate
IKEv2 en SSTP Radius-verificatie/Azure-certificaat

Verificatie via certificaat

Wanneer u uw P2S-gateway configureert voor certificaatverificatie, uploadt u de openbare sleutel van het vertrouwde basiscertificaat naar de Azure-gateway. U kunt een basiscertificaat gebruiken dat is gegenereerd met behulp van een enterprise-oplossing of u kunt een zelfondertekend certificaat genereren.

Voor verificatie moet elke client die verbinding maakt een geïnstalleerd clientcertificaat hebben dat wordt gegenereerd op basis van het vertrouwde basiscertificaat. Dit is naast VPN-clientsoftware. De validatie van het clientcertificaat wordt uitgevoerd door de VPN-gateway en vindt plaats tijdens het instellen van de P2S VPN-verbinding.

Certificaatwerkstroom

Op hoog niveau moet u de volgende stappen uitvoeren om certificaatverificatie te configureren:

  1. Schakel certificaatverificatie in op de P2S-gateway, samen met de aanvullende vereiste instellingen (clientadresgroep, enzovoort) en upload de openbare sleutelgegevens van de basis-CA.
  2. Configuratiebestanden voor VPN-clientprofielen genereren en downloaden (profielconfiguratiepakket).
  3. Installeer het clientcertificaat op elke clientcomputer die verbinding maakt.
  4. Configureer de VPN-client op de clientcomputer met behulp van de instellingen in het configuratiepakket van het VPN-profiel.
  5. Verbinding maken.

Microsoft Entra ID-verificatie

U kunt uw P2S-gateway zo configureren dat VPN-gebruikers zich kunnen verifiëren met behulp van Microsoft Entra ID-referenties. Met Microsoft Entra ID-verificatie kunt u functies voor voorwaardelijke toegang en meervoudige verificatie (MFA) van Microsoft Entra gebruiken voor VPN. Microsoft Entra ID-verificatie wordt alleen ondersteund voor het OpenVPN-protocol. Clients moeten de Azure VPN-client gebruiken om te verifiëren en verbinding te maken.

VPN Gateway ondersteunt nu een nieuwe door Microsoft geregistreerde app-id en bijbehorende doelgroepwaarden voor de nieuwste versies van de Azure VPN-client. Wanneer u een P2S VPN-gateway configureert met behulp van de nieuwe doelgroepwaarden, slaat u het handmatige registratieproces van de Azure VPN-client-app voor uw Microsoft Entra-tenant over. De app-id is al gemaakt en uw tenant kan deze automatisch gebruiken zonder extra registratiestappen. Dit proces is veiliger dan het handmatig registreren van de Azure VPN-client, omdat u de app niet hoeft te autoriseren of machtigingen toewijst via de rol globale beheerder.

Voorheen moest u de Azure VPN Client-app handmatig registreren (integreren) met uw Microsoft Entra-tenant. Als u de client-app registreert, wordt een app-id gemaakt die de identiteit van de Azure VPN-clienttoepassing vertegenwoordigt. Hiervoor is autorisatie vereist met behulp van de rol Globale beheerder. Zie Hoe en waarom toepassingen worden toegevoegd aan Microsoft Entra ID voor meer inzicht in het verschil tussen de typen toepassingsobjecten.

Indien mogelijk raden we u aan nieuwe P2S-gateways te configureren met behulp van de door Microsoft geregistreerde Azure VPN-client-app-id en de bijbehorende doelgroepwaarden, in plaats van de Azure VPN-client-app handmatig te registreren bij uw tenant. Als u een eerder geconfigureerde Azure VPN-gateway hebt die gebruikmaakt van Microsoft Entra ID-verificatie, kunt u de gateway en clients bijwerken om te profiteren van de nieuwe door Microsoft geregistreerde app-id. Het bijwerken van de P2S-gateway met de nieuwe doelgroepwaarde is vereist als u wilt dat Linux-clients verbinding maken. De Azure VPN-client voor Linux is niet achterwaarts compatibel met de oudere doelgroepwaarden. Als u een bestaande P2S-gateway hebt die u wilt bijwerken om een nieuwe doelgroepwaarde te gebruiken, raadpleegt u Doelgroep wijzigen voor een P2S VPN-gateway.

Overwegingen en beperkingen:

  • Een P2S VPN-gateway kan slechts één doelgroepwaarde ondersteunen. Het biedt geen ondersteuning voor meerdere doelgroepwaarden tegelijk.

  • Op dit moment biedt de nieuwere door Microsoft geregistreerde app-id geen ondersteuning voor zoveel doelgroepwaarden als de oudere, handmatig geregistreerde app. Als u een doelgroepwaarde nodig hebt voor iets anders dan Openbaar of Aangepast van Azure, gebruikt u de oudere handmatig geregistreerde methode en waarden.

  • De Azure VPN-client voor Linux is niet achterwaarts compatibel met P2S-gateways die zijn geconfigureerd voor het gebruik van de oudere doelgroepwaarden die overeenkomen met de handmatig geregistreerde app. De Azure VPN-client voor Linux biedt ondersteuning voor aangepaste doelgroepwaarden.

  • Hoewel het mogelijk is dat de Azure VPN-client voor Linux kan werken in andere Linux-distributies en -releases, wordt de Azure VPN-client voor Linux alleen ondersteund in de volgende releases:

    • Ubuntu 20.04
    • Ubuntu 22.04
  • De Azure VPN-client voor macOS en Windows is achterwaarts compatibel met P2S-gateways die zijn geconfigureerd voor het gebruik van de oudere doelgroepwaarden die overeenkomen met de handmatig geregistreerde app. U kunt ook aangepaste doelgroepwaarden voor deze clients gebruiken.

In de volgende tabel ziet u de versies van de Azure VPN-client die worden ondersteund voor elke app-id en de bijbehorende beschikbare doelgroepwaarden.

App-id Ondersteunde doelgroepwaarden Ondersteunde clients
Microsoft-geregistreerd (preview) - Openbaar in Azure: c632b3df-fb67-4d84-bdcf-b95ad541b5c8 -Linux
-Ramen
- macOS
Handmatig geregistreerd - Openbaar in Azure: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
- Azure Duitsland: 538ee9e6-310a-468d-afef-ea97365856a9
- Microsoft Azure beheerd door 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa
-Ramen
- macOS
Aanpassen <custom-app-id> -Linux
-Ramen
- macOS

Microsoft Entra ID-werkstroom

Op hoog niveau moet u de volgende stappen uitvoeren om Microsoft Entra ID-verificatie te configureren:

  1. Als u handmatige app-registratie gebruikt, moet u de benodigde stappen uitvoeren op de Entra-tenant.
  2. Schakel Microsoft Entra ID-verificatie in op de P2S-gateway, samen met de aanvullende vereiste instellingen (clientadresgroep, enzovoort).
  3. Configuratiebestanden voor VPN-clientprofielen genereren en downloaden (profielconfiguratiepakket).
  4. Download, installeer en configureer de Azure VPN-client op de clientcomputer.
  5. Verbinding maken.

Active Directory -domeinserver (AD)

Met AD-domeinverificatie kunnen gebruikers verbinding maken met Azure met behulp van hun organisatiedomeinreferenties. Hiervoor is een RADIUS-server vereist die kan worden geïntegreerd met de AD-server. Organisaties kunnen ook hun bestaande RADIUS-implementatie gebruiken.

De RADIUS-server kan on-premises of in uw Azure-VNet worden geïmplementeerd. Tijdens de verificatie fungeert de Azure VPN Gateway als passthrough en stuurt de verificatieberichten heen en weer tussen de RADIUS-server en het verbindende apparaat door. Gatewaybereikbaarheid voor de RADIUS-server is dus belangrijk. Als de RADIUS-server on-premises aanwezig is, is een VPN S2S-verbinding van Azure naar de on-premises site vereist voor bereikbaarheid.

De RADIUS-server kan ook worden geïntegreerd met AD-certificaatservices. Hiermee kunt u de RADIUS-server en de implementatie van uw bedrijfscertificaat voor P2S-certificaatverificatie gebruiken als alternatief voor de Verificatie van Azure-certificaten. Het voordeel is dat u geen basiscertificaten en ingetrokken certificaten hoeft te uploaden naar Azure.

Een RADIUS-server kan ook worden geïntegreerd met andere externe identiteitssystemen. Hiermee opent u tal van verificatieopties voor P2S VPN, waaronder opties voor meerdere factoren.

Diagram met een punt-naar-site-VPN met een on-premises site.

Zie P2S - RADIUS configureren voor stappen voor P2S-gatewayconfiguratie.

Wat zijn de configuratievereisten voor de client?

De clientconfiguratievereisten variëren, afhankelijk van de VPN-client die u gebruikt, het verificatietype en het protocol. In de volgende tabel ziet u de beschikbare clients en de bijbehorende artikelen voor elke configuratie.

Verificatie Tunneltype Clientbesturingssysteem VPN-client
Certificaat
IKEv2, SSTP Windows Systeemeigen VPN-client
IKEv2 macOS Systeemeigen VPN-client
IKEv2 Linux strongSwan
OpenVPN Windows Azure VPN-client
OpenVPN-client
OpenVPN macOS OpenVPN-client
OpenVPN iOS OpenVPN-client
OpenVPN Linux Azure VPN-client
OpenVPN-client
Microsoft Entra ID
OpenVPN Windows Azure VPN-client
OpenVPN macOS Azure VPN-client
OpenVPN Linux Azure VPN-client

Welke gateway-SKU's ondersteunen P2S VPN?

In de volgende tabel ziet u gateway-SKU's per tunnel, verbinding en doorvoer. Zie Over gateway-SKU's voor meer informatie.

VPN
Gateway
Generatie
SKU S2S/VNet-naar-VNet
Tunnels
P2S
SSTP-verbindingen
P2S
IKEv2/OpenVPN-verbindingen
Aggregaat
Doorvoerbenchmark
BGP Zone-redundant Ondersteund aantal vm's in het virtuele netwerk
Generatie1 Basic Max. 10 Max. 128 Niet ondersteund 100 Mbps Niet ondersteund Nee 200
Generatie1 VpnGw1 Max. 30 Max. 128 Max. 250 650 Mbps Ondersteund Nee 450
Generatie1 VpnGw2 Max. 30 Max. 128 Max. 500 1 Gbps Ondersteund Nee 1300
Generatie1 VpnGw3 Max. 30 Max. 128 Max. 1000 1,25 Gbps Ondersteund Nee 4000
Generatie1 VpnGw1AZ Max. 30 Max. 128 Max. 250 650 Mbps Ondersteund Ja 1000
Generatie1 VpnGw2AZ Max. 30 Max. 128 Max. 500 1 Gbps Ondersteund Ja 2000
Generatie1 VpnGw3AZ Max. 30 Max. 128 Max. 1000 1,25 Gbps Ondersteund Ja 5000
Generatie2 VpnGw2 Max. 30 Max. 128 Max. 500 1,25 Gbps Ondersteund Nee 685
Generatie2 VpnGw3 Max. 30 Max. 128 Max. 1000 2,5 Gbps Ondersteund Nee 2240
Generatie2 VpnGw4 Max. 100* Max. 128 Max. 5000 5 Gbps Ondersteund Nee 5300
Generatie2 VpnGw5 Max. 100* Max. 128 Max. 10000 10 Gbps Ondersteund Nee 6700
Generatie2 VpnGw2AZ Max. 30 Max. 128 Max. 500 1,25 Gbps Ondersteund Ja 2000
Generatie2 VpnGw3AZ Max. 30 Max. 128 Max. 1000 2,5 Gbps Ondersteund Ja 3300
Generatie2 VpnGw4AZ Max. 100* Max. 128 Max. 5000 5 Gbps Ondersteund Ja 4400
Generatie2 VpnGw5AZ Max. 100* Max. 128 Max. 10000 10 Gbps Ondersteund Ja 9000

Notitie

De Basic-SKU heeft beperkingen en biedt geen ondersteuning voor IKEv2-, IPv6- of RADIUS-verificatie. Zie VPN Gateway-instellingen voor meer informatie.

Welke IKE-/IPsec-beleidsregels zijn geconfigureerd op VPN-gateways voor P2S?

In de tabellen in deze sectie worden de waarden voor het standaardbeleid weergegeven. Ze weerspiegelen echter niet de beschikbare ondersteunde waarden voor aangepast beleid. Zie de geaccepteerde waarden in de Cmdlet New-AzVpnClientIpsecParameter PowerShell voor aangepaste beleidsregels.

IKEv2

Cijfer Integriteit PRF DH-groep
GCM_AES256 GCM_AES256 SHA384 GROUP_24
GCM_AES256 GCM_AES256 SHA384 GROUP_14
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP256
GCM_AES256 GCM_AES256 SHA256 GROUP_24
GCM_AES256 GCM_AES256 SHA256 GROUP_14
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP256
AES256 SHA384 SHA384 GROUP_24
AES256 SHA384 SHA384 GROUP_14
AES256 SHA384 SHA384 GROUP_ECP384
AES256 SHA384 SHA384 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_24
AES256 SHA256 SHA256 GROUP_14
AES256 SHA256 SHA256 GROUP_ECP384
AES256 SHA256 SHA256 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_2

IPsec

Cijfer Integriteit PFS-groep
GCM_AES256 GCM_AES256 GROUP_NONE
GCM_AES256 GCM_AES256 GROUP_24
GCM_AES256 GCM_AES256 GROUP_14
GCM_AES256 GCM_AES256 GROUP_ECP384
GCM_AES256 GCM_AES256 GROUP_ECP256
AES256 SHA256 GROUP_NONE
AES256 SHA256 GROUP_24
AES256 SHA256 GROUP_14
AES256 SHA256 GROUP_ECP384
AES256 SHA256 GROUP_ECP256
AES256 SHA1 GROUP_NONE

Welke TLS-beleidsregels zijn geconfigureerd op VPN-gateways voor P2S?

TLS

Beleidsregels
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256

Hoe kan ik een P2S-verbinding configureren?

Voor een P2S-configuratie zijn nogal wat specifieke stappen vereist. De volgende artikelen bevatten de stappen voor het doorlopen van algemene P2S-configuratiestappen.

De configuratie van een P2S-verbinding verwijderen

U kunt de configuratie van een verbinding verwijderen met behulp van PowerShell of CLI. Zie de veelgestelde vragen voor voorbeelden.

Hoe werkt P2S-routering?

Zie de volgende artikelen:

Veelgestelde vragen

Er zijn meerdere veelgestelde vragen voor punt-naar-site- vermeldingen. Zie de veelgestelde vragen over VPN Gateway, met name aandacht voor de secties Certificaatverificatie en RADIUS , indien van toepassing.

Volgende stappen