Een punt-naar-site-verbinding met een VNet configureren met BEHULP van RADIUS-verificatie: PowerShell

  • Artikel

In dit artikel wordt beschreven hoe u een VNet maakt met een punt-naar-site-verbinding (P2S) die gebruikmaakt van RADIUS-verificatie. Deze configuratie is alleen beschikbaar voor het Resource Manager-implementatiemodel. U kunt deze configuratie maken met behulp van PowerShell of Azure Portal.

Met een punt-naar-site-VPN-gateway kunt u een beveiligde verbinding met uw virtuele netwerk maken vanaf een afzonderlijke clientcomputer. P2S VPN-verbindingen zijn handig wanneer u vanaf een externe locatie verbinding wilt maken met uw VNet, bijvoorbeeld wanneer u thuis of een vergadering thuis werkt. Een P2S VPN is ook een handige oplossing voor gebruik in plaats van een site-naar-site-VPN wanneer u slechts een paar clients hebt die verbinding moeten maken met een VNet.

Er wordt een P2S-VPN-verbinding gestart vanaf Windows en Mac-apparaten. Dit artikel helpt u bij het configureren van een P2S-configuratie die gebruikmaakt van een RADIUS-server voor verificatie. Raadpleeg de volgende artikelen als u wilt verifiëren met behulp van een andere methode:

P2S-verbindingen vereisen geen VPN-apparaat of een openbaar IP-adres. P2S maakt de VPN-verbinding via SSTP (Secure Socket Tunneling Protocol), OpenVPN of IKEv2.

  • SSTP is een OP TLS gebaseerde VPN-tunnel die alleen wordt ondersteund op Windows-clientplatforms. Het kan firewalls binnendringen, waardoor het een goede optie is om Windows-apparaten vanaf elke locatie te verbinden met Azure. Aan de serverzijde ondersteunen we alleen TLS-versie 1.2. Voor verbeterde prestaties, schaalbaarheid en beveiliging kunt u in plaats daarvan het OpenVPN-protocol gebruiken.

  • OpenVPN® Protocol, een OP SSL/TLS gebaseerd VPN-protocol. Een TLS VPN-oplossing kan firewalls binnendringen, omdat de meeste firewalls TCP-poort 443 uitgaand openen, die door TLS wordt gebruikt. OpenVPN kan worden gebruikt om verbinding te maken vanaf Android, iOS (versies 11.0 en hoger), Windows-, Linux- en Mac-apparaten (macOS-versies 10.13 en hoger).

  • IKEv2 VPN, een op standaarden gebaseerde IPsec VPN-oplossing. IKEv2 VPN kan worden gebruikt om verbinding te maken vanaf Windows-, Linux- en Mac-apparaten (macOS-versies 10.11 en hoger).

Voor deze configuratie zijn de volgende verbindingen vereist:

  • Een RouteBased VPN-gateway.
  • Een RADIUS-server voor het afhandelen van gebruikersverificatie. De RADIUS-server kan on-premises of in het Azure-VNet worden geïmplementeerd. U kunt ook twee RADIUS-servers configureren voor hoge beschikbaarheid.
  • Het configuratiepakket voor het VPN-clientprofiel. Het configuratiepakket voor het VPN-clientprofiel is een pakket dat u genereert. Het biedt de instellingen die vereist zijn voor een VPN-client om verbinding te maken via P2S.

Over Active Directory-domeinverificatie (AD) voor P2S-VPN's

Met AD-domeinverificatie kunnen gebruikers zich aanmelden bij Azure met behulp van hun organisatiedomeinreferenties. Hiervoor is een RADIUS-server vereist die kan worden geïntegreerd met de AD-server. Organisaties kunnen ook gebruikmaken van hun bestaande RADIUS-implementatie.

De RADIUS-server kan zich on-premises of in uw Azure-VNet bevinden. Tijdens de verificatie fungeert de VPN-gateway als passthrough en stuurt deze verificatieberichten heen en weer tussen de RADIUS-server en het verbindingsapparaat door. Het is belangrijk dat de VPN-gateway de RADIUS-server kan bereiken. Als de RADIUS-server zich on-premises bevindt, is een VPN-site-naar-site-verbinding van Azure naar de on-premises site vereist.

Naast Active Directory kan een RADIUS-server ook worden geïntegreerd met andere externe identiteitssystemen. Hiermee opent u tal van verificatieopties voor P2S-VPN's, waaronder MFA-opties. Raadpleeg de documentatie van de leverancier van de RADIUS-server om de lijst met identiteitssystemen op te halen waarmee deze is geïntegreerd.

Diagram of RADIUS authentication P2S connection.

Belangrijk

Alleen een site-naar-site-VPN-verbinding kan worden gebruikt om verbinding te maken met een ON-premises RADIUS-server. Een ExpressRoute-verbinding kan niet worden gebruikt.

Voordat u begint

Controleer of u een Azure-abonnement hebt. Als u nog geen Azure-abonnement hebt, kunt u uw voordelen als MSDN-abonnee activeren of u aanmelden voor een gratis account.

Werken met Azure PowerShell

In dit artikel worden PowerShell-cmdlets gebruikt. U kunt Azure Cloud Shell gebruiken om de cmdlets uit te voeren. Cloud Shell is een gratis interactieve shell die u kunt gebruiken om de stappen in dit artikel uit te voeren. In deze shell zijn algemene Azure-hulpprogramma's vooraf geïnstalleerd en geconfigureerd voor gebruik met uw account.

Als u Cloud Shell wilt openen, selecteert u Cloudshell openen in de rechterbovenhoek van een codeblok. U kunt Cloud Shell ook openen op een afzonderlijk browsertabblad door naar https://shell.azure.com/powershell. Selecteer Kopiëren om de codeblokken te kopiëren, plak deze in Cloud Shell en selecteer de Enter-toets om ze uit te voeren.

U kunt ook de Azure PowerShell-cmdlets lokaal op uw computer installeren en uitvoeren. PowerShell-cmdlets worden regelmatig bijgewerkt. Als u de meest recente versie niet hebt geïnstalleerd, kunnen de waarden in de instructies mislukken. Gebruik de Get-Module -ListAvailable Az cmdlet om de versies van Azure PowerShell te vinden die op uw computer zijn geïnstalleerd. Zie De Azure PowerShell-module installeren als u deze wilt installeren of bijwerken.

Voorbeeldwaarden

U kunt de volgende voorbeeldwaarden gebruiken om een testomgeving te maken of ze raadplegen om meer inzicht te krijgen in de voorbeelden in dit artikel. U kunt de stappen gebruiken als een overzicht en de waarden ongewijzigd gebruiken, of u kunt ze wijzigen zodat ze overeenkomen met uw omgeving.

  • Naam: VNet1
  • Adresruimte: 10.1.0.0/16 en 10.254.0.0/16
    Voor dit voorbeeld gebruiken we meer dan één adresruimte om te verduidelijken dat deze configuratie met meerdere adresruimten werkt. Er zijn echter geen meerdere adresruimten vereist voor deze configuratie.
  • Subnetnaam: FrontEnd
    • Subnetadresbereik: 10.1.0.0/24
  • Subnetnaam: BackEnd
    • Subnetadresbereik: 10.254.1.0/24
  • Subnetnaam: GatewaySubnet
    De naam van het subnet GatewaySubnet is verplicht voor een goede werking van de VPN-gateway.
    • GatewaySubnet-adresbereik: 10.1.255.0/27
  • VPN-clientadresgroep: 172.16.201.0/24
    VPN-clients die verbinding maken met het VNet met behulp van deze P2S-verbinding, ontvangen een IP-adres van de VPN-clientadresgroep.
  • Abonnement: Als u meer dan één abonnement hebt, controleert u of u het juiste abonnement gebruikt.
  • Resourcegroep: TestRG1
  • Locatie: VS - oost
  • DNS-server: IP-adres van de DNS-server die u wilt gebruiken voor naamomzetting voor uw VNet. (optioneel)
  • Gatewaynaam: Vnet1GW
  • Openbare IP-naam: VNet1GWPIP
  • VPNType: op route gebaseerd

1. Stel de variabelen in

Declareer de waarden die u wilt gebruiken. Gebruik het volgende voorbeeld, en vervang zo nodig de waarden door uw eigen waarden. Als u uw PowerShell-/Cloud Shell-sessie op een willekeurig moment tijdens de oefening sluit, kopieert en plakt u de waarden opnieuw om de variabelen opnieuw te declareren.

$VNetName  = "VNet1"
$FESubName = "FrontEnd"
$BESubName = "Backend"
$GWSubName = "GatewaySubnet"
$VNetPrefix1 = "10.1.0.0/16"
$VNetPrefix2 = "10.254.0.0/16"
$FESubPrefix = "10.1.0.0/24"
$BESubPrefix = "10.254.1.0/24"
$GWSubPrefix = "10.1.255.0/27"
$VPNClientAddressPool = "172.16.201.0/24"
$RG = "TestRG1"
$Location = "East US"
$GWName = "VNet1GW"
$GWIPName = "VNet1GWPIP"
$GWIPconfName = "gwipconf1"

2. Maak de resourcegroep, het VNet en het openbare IP-adres

Met de volgende stappen maakt u een resourcegroep en een virtueel netwerk in de resourcegroep met drie subnetten. Wanneer u waarden vervangt, is het belangrijk dat u uw gatewaysubnet altijd een naam geeft met name GatewaySubnet. Als u er iets anders op noemt, mislukt het maken van de gateway.

  1. Maak een resourcegroep.

    New-AzResourceGroup -Name "TestRG1" -Location "East US"

  2. Maak de subnetconfiguraties voor het virtuele netwerk, noem deze FrontEnd, BackEnd en GatewaySubnet. Deze voorvoegsels moeten deel uitmaken van de VNet-adresruimte die u hebt opgegeven.

    $fesub = New-AzVirtualNetworkSubnetConfig -Name "FrontEnd" -AddressPrefix "10.1.0.0/24"  
$besub = New-AzVirtualNetworkSubnetConfig -Name "Backend" -AddressPrefix "10.254.1.0/24"  
$gwsub = New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix "10.1.255.0/27"

  3. Maak het virtuele netwerk.

    In dit voorbeeld is de serverparameter-DnsServer optioneel. Als u een waarde opgeeft, wordt er geen nieuwe DNS-server gemaakt. Het IP-adres van de DNS-server dat u opgeeft, moet een DNS-server zijn waarmee de namen kunnen worden omgezet voor de resources waarmee u verbinding maakt vanuit uw VNet. In dit voorbeeld hebben we een privé-IP-adres gebruikt, maar waarschijnlijk is dit niet het IP-adres van uw DNS-server. Zorg ervoor dat u uw eigen waarden gebruikt. De waarde die u opgeeft, wordt gebruikt door de resources die u in het VNet implementeert, niet door de P2S-verbinding.

    New-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG1" -Location "East US" -AddressPrefix "10.1.0.0/16","10.254.0.0/16" -Subnet $fesub, $besub, $gwsub -DnsServer 10.2.1.3

  4. Een VPN Gateway moet een openbaar IP-adres hebben. U vraagt eerst de resource van het IP-adres aan en verwijst hier vervolgens naar bij het maken van uw virtuele netwerkgateway. Het IP-adres wordt dynamisch aan de resource toegewezen wanneer de VPN Gateway wordt gemaakt. VPN Gateway ondersteunt momenteel alleen dynamische toewijzing van openbare IP-adressen. U kunt geen toewijzing van een statisch openbaar IP-adres aanvragen. Dit betekent echter niet dat het IP-adres wordt gewijzigd nadat het is toegewezen aan uw VPN-gateway. Het openbare IP-adres verandert alleen wanneer de gateway wordt verwijderd en opnieuw wordt gemaakt. Het verandert niet wanneer de grootte van uw VPN Gateway verandert, wanneer deze gateway opnieuw wordt ingesteld of wanneer andere interne onderhoudswerkzaamheden of upgrades worden uitgevoerd.

    Geef de variabelen op om een dynamisch toegewezen openbaar IP-adres aan te vragen.

    $vnet = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG1"  
$subnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet 
$pip = New-AzPublicIpAddress -Name "VNet1GWPIP" -ResourceGroupName "TestRG1" -Location "East US" -AllocationMethod Dynamic 
$ipconf = New-AzVirtualNetworkGatewayIpConfig -Name "gwipconf1" -Subnet $subnet -PublicIpAddress $pip

3. Uw RADIUS-server instellen

Voordat u de gateway voor het virtuele netwerk maakt en configureert, moet uw RADIUS-server correct worden geconfigureerd voor verificatie.

  1. Als u geen RADIUS-server hebt geïmplementeerd, implementeert u er een. Raadpleeg de installatiehandleiding van uw RADIUS-leverancier voor implementatiestappen.  
  2. Configureer de VPN-gateway als een RADIUS-client op de RADIUS. Wanneer u deze RADIUS-client toevoegt, geeft u het gatewaysubnet van het virtuele netwerk op dat u hebt gemaakt.
  3. Zodra de RADIUS-server is ingesteld, haalt u het IP-adres van de RADIUS-server en het gedeelde geheim op dat RADIUS-clients moeten gebruiken om met de RADIUS-server te communiceren. Als de RADIUS-server zich in het Azure-VNet bevindt, gebruikt u het CA-IP-adres van de VM van de RADIUS-server.

Het artikel Network Policy Server (NPS) bevat richtlijnen voor het configureren van een Windows RADIUS-server (NPS) voor AD-domeinverificatie.

4. De VPN-gateway maken

Configureer en maak de VPN-gateway voor uw VNet.

  • Het -GatewayType moet Vpn zijn en het -VpnType moet 'RouteBased' zijn.
  • Het kan 45 minuten of langer duren voordat een VPN-gateway is voltooid, afhankelijk van de gateway-SKU die u selecteert.
New-AzVirtualNetworkGateway -Name $GWName -ResourceGroupName $RG `
-Location $Location -IpConfigurations $ipconf -GatewayType Vpn `
-VpnType RouteBased -EnableBgp $false -GatewaySku VpnGw1

5. De RADIUS-server en clientadresgroep toevoegen

  • De -RadiusServer kan worden opgegeven op naam of op IP-adres. Als u de naam opgeeft en de server zich on-premises bevindt, kan de VPN-gateway de naam mogelijk niet oplossen. Als dat het geval is, is het beter om het IP-adres van de server op te geven.
  • De -RadiusSecret moet overeenkomen met wat is geconfigureerd op uw RADIUS-server.
  • De -VpnClientAddressPool is het bereik van waaruit de verbindende VPN-clients een IP-adres ontvangen. Gebruik een privé-IP-adresbereik dat niet overlapt met de on-premises locatie waaruit u verbinding maakt of met het VNet waarmee u verbinding wilt maken. Zorg ervoor dat u een groot genoeg adresgroep hebt geconfigureerd.  

  1. Maak een beveiligde tekenreeks voor het RADIUS-geheim.

    $Secure_Secret=Read-Host -AsSecureString -Prompt "RadiusSecret"

  2. U wordt gevraagd om het RADIUS-geheim in te voeren. De tekens die u invoert, worden niet weergegeven en worden in plaats daarvan vervangen door het teken '*'.

    RadiusSecret:***

  3. Voeg de ADRESgroep van de VPN-client en de INFORMATIE van de RADIUS-server toe.

    Voor SSTP-configuraties:

    $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
-VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "SSTP" `
-RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret

    Voor OpenVPN-configuraties®:

    $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -VpnClientRootCertificates @()
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
-VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "OpenVPN" `
-RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret

    Voor IKEv2-configuraties:

    $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
-VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "IKEv2" `
-RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret

    Voor SSTP + IKEv2:

    $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
-VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol @( "SSTP", "IkeV2" ) `
-RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret

    Gebruik de volgende syntaxis om twee RADIUS-servers op te geven. Wijzig indien nodig de waarde -VpnClientProtocol .

    $radiusServer1 = New-AzRadiusServer -RadiusServerAddress 10.1.0.15 -RadiusServerSecret $radiuspd -RadiusServerScore 30
$radiusServer2 = New-AzRadiusServer -RadiusServerAddress 10.1.0.16 -RadiusServerSecret $radiuspd -RadiusServerScore 1

$radiusServers = @( $radiusServer1, $radiusServer2 )

Set-AzVirtualNetworkGateway -VirtualNetworkGateway $actual -VpnClientAddressPool 201.169.0.0/16 -VpnClientProtocol "IkeV2" -RadiusServerList $radiusServers

6. Configureer de VPN-client en maak verbinding

De configuratiepakketten voor het VPN-clientprofiel bevatten de instellingen waarmee u VPN-clientprofielen kunt configureren voor een verbinding met het Azure-VNet.

Zie een van de volgende artikelen voor het genereren van een VPN-clientconfiguratiepakket en het configureren van een VPN-client:

Nadat u de VPN-client hebt geconfigureerd, maakt u verbinding met Azure.

De verbinding verifiëren

  1. Als u wilt controleren of uw VPN-verbinding actief is, opent u een opdrachtprompt met verhoogde bevoegdheid en voert u ipconfig/all in.

  2. Bekijk de resultaten. U ziet dat het IP-adres dat u hebt ontvangen een van de adressen in de P2S VPN-clientadresgroep is die u hebt opgegeven in uw configuratie. De resultaten zijn vergelijkbaar met het volgende voorbeeld:

    PPP adapter VNet1:
   Connection-specific DNS Suffix .:
   Description.....................: VNet1
   Physical Address................:
   DHCP Enabled....................: No
   Autoconfiguration Enabled.......: Yes
   IPv4 Address....................: 172.16.201.3(Preferred)
   Subnet Mask.....................: 255.255.255.255
   Default Gateway.................:
   NetBIOS over Tcpip..............: Enabled

Zie Problemen met punt-naar-site-verbindingen in Azure oplossen om problemen met een P2S-verbinding op te lossen.

Verbinding maken met een virtuele machine

U kunt verbinding maken met een virtuele machine die is geïmplementeerd in uw virtuele netwerk door een extern bureaublad-Verbinding maken ion met uw virtuele machine te maken. De beste manier om eerst te controleren of u verbinding met uw VM kunt maken is door verbinding te maken met behulp van het privé-IP-adres in plaats van de computernaam. Op die manier test u of u verbinding kunt maken, niet of naamomzetting correct is geconfigureerd.

  1. Zoek het privé-IP-adres. U kunt het privé-IP-adres van een virtuele machine vinden door de eigenschappen voor de VIRTUELE machine te bekijken in Azure Portal of met behulp van PowerShell.

    • Azure Portal: zoek uw VIRTUELE machine in Azure Portal. Bekijk de eigenschappen voor de VM. Het privé-IP-adres wordt vermeld.

    • PowerShell: gebruik het voorbeeld om een lijst met VM's en privé-IP-adressen uit uw resourcegroepen weer te geven. U hoeft het voorbeeld niet te wijzigen voordat u het gebruikt.

      $VMs = Get-AzVM
$Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null

foreach ($Nic in $Nics) {
$VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
$Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
$Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
Write-Output "$($VM.Name): $Prv,$Alloc"
}

  2. Controleer of u bent verbonden met uw virtuele netwerk.

  3. Open Extern bureaublad-Verbinding maken ion door RDP of Extern bureaublad-Verbinding maken ion in te voeren in het zoekvak op de taakbalk. Selecteer vervolgens Extern bureaublad Verbinding maken ion. U kunt extern bureaublad ook openen Verbinding maken ion met behulp van de mstsc opdracht in PowerShell.

  4. Voer het privé-IP-adres van de VM in Verbinding met extern bureaublad in. U kunt Opties weergeven selecteren om andere instellingen aan te passen en vervolgens verbinding te maken.

Als u problemen ondervindt bij het maken van verbinding met een VIRTUELE machine via uw VPN-verbinding, controleert u de volgende punten:

  • Controleer of uw VPN-verbinding tot stand is gebracht.
  • Controleer of u verbinding maakt met het privé-IP-adres voor de VM.
  • Als u verbinding kunt maken met de virtuele machine met behulp van het privé-IP-adres, maar niet de computernaam, controleert u of u DNS juist hebt geconfigureerd. Zie Naamomzetting voor VM's voor meer informatie over de werking van naamomzetting voor VM's.

Zie Problemen met Extern-bureaubladverbindingen met een VM oplossen voor meer informatie over Extern-bureaubladverbindingen.

  • Controleer of het configuratiepakket voor de VPN-client is gegenereerd nadat de IP-adressen van de DNS-server zijn opgegeven voor het VNet. Als u de IP-adressen van de DNS-server hebt bijgewerkt, genereert en installeert u een nieuw configuratiepakket voor de VPN-client.

  • Gebruik ipconfig om het IPv4-adres te controleren dat is toegewezen aan de Ethernet-adapter op de computer waaruit u verbinding maakt. Als het IP-adres zich binnen het adresbereik bevindt van het VNet waarmee u verbinding maakt, of binnen het adresbereik van uw VPNClientAddressPool, wordt dit een overlappende adresruimte genoemd. Als uw adresruimte op deze manier overlapt, kan het netwerkverkeer Azure niet bereiken en blijft het in het lokale netwerk.

Veelgestelde vragen

Zie de sectie Point-to-site - RADIUS-verificatie van de veelgestelde vragen voor informatie over veelgestelde vragen.

Volgende stappen

Wanneer de verbinding is voltooid, kunt u virtuele machines aan uw virtuele netwerken toevoegen. Zie Virtuele machines voor meer informatie. Zie Azure and Linux VM Network Overview (Overzicht van Azure- en Linux-VM-netwerken) voor meer informatie over netwerken en virtuele machines.