Delen via

Een AlwaysOn-VPN-apparaattunnel configureren

De functie AlwaysOn is geïntroduceerd in de Windows 10 VPN-client. AlwaysOn is de mogelijkheid om een VPN-verbinding te onderhouden. Met AlwaysOn kan het actieve VPN-profiel automatisch verbinding maken en verbonden blijven op basis van triggers, zoals gebruikersaanmelding, netwerkstatuswijziging of apparaatscherm actief.

U kunt gateways met AlwaysOn gebruiken om permanente gebruikerstunnels en apparaattunnels naar Azure tot stand te brengen.

AlwaysOn VPN-verbindingen omvatten een van de twee typen tunnels:

  • Apparaattunnel: maakt verbinding met opgegeven VPN-servers voordat gebruikers zich aanmelden bij het apparaat. Voor aanmeldingsconnectiviteitsscenario's en apparaatbeheer wordt een apparaattunnel gebruikt.

  • Gebruikerstunnel: maakt alleen verbinding nadat gebruikers zich hebben aangemeld bij het apparaat. Met behulp van gebruikerstunnels hebt u toegang tot organisatiebronnen via VPN-servers.

Apparaattunnels en gebruikerstunnels werken onafhankelijk van hun VPN-profielen. Ze kunnen tegelijkertijd worden verbonden en ze kunnen naar wens verschillende verificatiemethoden en andere VPN-configuratie-instellingen gebruiken.

Dit artikel helpt u bij het configureren van een AlwaysOn VPN-apparaattunnel. Zie Een AlwaysOn VPN-gebruikerstunnel configureren voor meer informatie over het configureren van een gebruikerstunnel.

De gateway configureren

Configureer de VPN-gateway voor het gebruik van IKEv2 en verificatie op basis van certificaten met behulp van het artikel Een punt-naar-site-VPN-verbinding configureren.

De apparaattunnel configureren

Aan de volgende vereisten moet worden voldaan om een apparaattunnel tot stand te brengen:

  • Het apparaat moet een computer zijn die lid is van een domein waarop Windows 10 Enterprise of Education versie 1809 of hoger wordt uitgevoerd.
  • De tunnel kan alleen worden geconfigureerd voor de ingebouwde WINDOWS VPN-oplossing en wordt ingesteld met BEHULP van IKEv2 met verificatie via computercertificaten.
  • Er kan slechts één apparaattunnel per apparaat worden geconfigureerd.
  1. Installeer clientcertificaten op de Windows 10- of hoger-client met behulp van het punt-naar-site VPN-clientartikel . Het certificaat moet zich in het archief van de lokale computer bevinden.
  2. Maak een VPN-profiel en configureer apparaattunnel in de context van het LOCAL SYSTEM-account met behulp van deze instructies.

Configuratievoorbeeld voor apparaattunnel

Nadat u de gateway van het virtuele netwerk hebt geconfigureerd en het clientcertificaat hebt geïnstalleerd in het archief lokale machines op de Windows 10- of hoger-client, gebruikt u de volgende voorbeelden om een clientapparaattunnel te configureren:

  1. Kopieer de volgende tekst en sla deze op als devicecert.ps1.

    Param(
[string]$xmlFilePath,
[string]$ProfileName
)

$a = Test-Path $xmlFilePath
echo $a

$ProfileXML = Get-Content $xmlFilePath

echo $XML

$ProfileNameEscaped = $ProfileName -replace ' ', '%20'

$Version = 201606090004

$ProfileXML = $ProfileXML -replace '<', '&lt;'
$ProfileXML = $ProfileXML -replace '>', '&gt;'
$ProfileXML = $ProfileXML -replace '"', '&quot;'

$nodeCSPURI = './Vendor/MSFT/VPNv2'
$namespaceName = "root\cimv2\mdm\dmmap"
$className = "MDM_VPNv2_01"

$session = New-CimSession

try
{
$newInstance = New-Object Microsoft.Management.Infrastructure.CimInstance $className, $namespaceName
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create("ParentID", "$nodeCSPURI", 'String', 'Key')
$newInstance.CimInstanceProperties.Add($property)
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create("InstanceID", "$ProfileNameEscaped", 'String', 'Key')
$newInstance.CimInstanceProperties.Add($property)
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create("ProfileXML", "$ProfileXML", 'String', 'Property')
$newInstance.CimInstanceProperties.Add($property)

$session.CreateInstance($namespaceName, $newInstance)
$Message = "Created $ProfileName profile."
Write-Host "$Message"
}
catch [Exception]
{
$Message = "Unable to create $ProfileName profile: $_"
Write-Host "$Message"
exit
}
$Message = "Complete."
Write-Host "$Message"

  2. Kopieer de volgende tekst en sla deze op als VPNProfile.xml in dezelfde map als devicecert.ps1. Bewerk de volgende tekst zodat deze overeenkomt met uw omgeving.

    • <Servers>azuregateway-1234-56-78dc.cloudapp.net</Servers> <= Can be found in the VpnSettings.xml in the downloaded profile zip file
    • <Address>192.168.3.5</Address> <= IP of resource in the vnet or the vnet address space
    • <Address>192.168.3.4</Address> <= IP of resource in the vnet or the vnet address space
    <VPNProfile>  
  <NativeProfile>  
<Servers>azuregateway-1234-56-78dc.cloudapp.net</Servers>  
<NativeProtocolType>IKEv2</NativeProtocolType>  
<Authentication>  
  <MachineMethod>Certificate</MachineMethod>  
</Authentication>  
<RoutingPolicyType>SplitTunnel</RoutingPolicyType>  
 <!-- disable the addition of a class based route for the assigned IP address on the VPN interface -->
<DisableClassBasedDefaultRoute>true</DisableClassBasedDefaultRoute>  
  </NativeProfile> 
  <!-- use host routes(/32) to prevent routing conflicts -->  
  <Route>  
<Address>192.168.3.5</Address>  
<PrefixSize>32</PrefixSize>  
  </Route>  
  <Route>  
<Address>192.168.3.4</Address>  
<PrefixSize>32</PrefixSize>  
  </Route>  
<!-- need to specify always on = true --> 
  <AlwaysOn>true</AlwaysOn> 
<!-- new node to specify that this is a device tunnel -->  
 <DeviceTunnel>true</DeviceTunnel>
<!--new node to register client IP address in DNS to enable manage out -->
<RegisterDNS>true</RegisterDNS>
</VPNProfile>

  3. Download PsExec van Sysinternals en pak de bestanden uit naar C:\PSTools.

  4. Start PowerShell vanaf een CMD-prompt voor beheerders door het volgende uit te voeren:

    Voor 32-bits Windows:

    PsExec.exe -s -i powershell

    Voor 64-bits Windows:

    PsExec64.exe -s -i powershell

    Schermopname van een opdrachtpromptvenster met een opdracht om de 64-bits versie van PowerShell te starten.

  5. Ga in PowerShell naar de map waar devicecert.ps1 en VPNProfile.xml zich bevinden en voer de volgende opdracht uit:

    .\devicecert.ps1 .\VPNProfile.xml MachineCertTest

    Schermopname van een PowerShell-venster waarop MachineCertTest is uitgevoerd met behulp van het script devicesert.

  6. Voer een rasphone uit.

    Schermopname van een dialoogvenster Uitvoeren met rasphone geselecteerd.

  7. Zoek de vermelding MachineCertTest en klik op Verbinding maken.

    Schermopname van een dialoogvenster Netwerkverbindingen met MachineCertTest geselecteerd en een knop Verbinding maken.

  8. Als de verbinding slaagt, start u de computer opnieuw op. De tunnel maakt automatisch verbinding.

Een profiel verwijderen

Voer de volgende opdracht uit om het profiel te verwijderen:

Remove-VpnConnection -Name MachineCertTest

Volgende stappen

Zie Problemen met punt-naar-site-verbinding met Azure voor probleemoplossing