Een punt-naar-site-VPN-verbinding configureren met behulp van Azure-certificaatverificatie: Azure Portal

Dit artikel helpt u bij het veilig verbinden van afzonderlijke clients met Windows, Linux of macOS met een Azure-VNet. punt-naar-site-VPN-verbindingen zijn handig wanneer u verbinding wilt maken met uw VNet vanaf een externe locatie, bijvoorbeeld wanneer u thuis of een vergadering werkt. U kunt P2S ook in plaats van een site-naar-site-VPN gebruiken wanneer u maar een paar clients hebt die verbinding moeten maken met een VNet. punt-naar-site-verbindingen vereisen geen VPN-apparaat of een openbaar IP-adres. P2S maakt de VPN-verbinding via SSTP (Secure Socket Tunneling Protocol) of IKEv2. Zie Over punt-naar-site-VPN voor meer informatie over punt-naar-site-VPN.

Verbinding maken vanaf een computer met een Azure VNet - punt-naar-site-verbindingsdiagram.

Zie Over punt-naar-site-VPN voor meer informatie over punt-naar-site-VPN. Zie Een punt-naar-site-VPN configureren met behulp van Azure PowerShell als u deze configuratie wilt maken met behulp van de Azure PowerShell.

Punt-naar-site systeemeigen Azure-certificaatverificatieverbindingen gebruiken de volgende items, die u in deze oefening configureert:

  • Een RouteBased VPN-gateway.
  • De openbare sleutel (CER-bestand) voor een basiscertificaat dat is geüpload naar Azure. Nadat het certificaat is geüpload, wordt het beschouwd als een vertrouwd certificaat en wordt het gebruikt voor verificatie.
  • Een clientcertificaat dat is gegenereerd op basis van het basiscertificaat. Het clientcertificaat dat is geïnstalleerd op elke clientcomputer die met het VNet verbinding zal maken. Dit certificaat wordt gebruikt voor clientverificatie.
  • CONFIGURATIE VAN VPN-client. De VPN-client wordt geconfigureerd met behulp van configuratiebestanden van de VPN-client. Deze bestanden bevatten de benodigde informatie voor de client om verbinding te maken met het VNet. Met de bestanden wordt de bestaande VPN-client geconfigureerd die is ingebouwd in het besturingssysteem. Elke client die verbinding maakt, moet worden geconfigureerd met behulp van de instellingen in de configuratiebestanden.

Vereisten

Controleer of u een Azure-abonnement hebt. Als u nog geen Azure-abonnement hebt, kunt u uw voordelen als MSDN-abonnee activeren of u aanmelden voor een gratis account.

Voorbeeldwaarden

U kunt de volgende waarden gebruiken om een testomgeving te maken of ze raadplegen om meer inzicht te krijgen in de voorbeelden in dit artikel:

VNet

  • VNet-naam: VNet1
  • Adresruimte: 10.1.0.0/16
    In dit voorbeeld gebruiken we slechts één adresruimte. U kunt meer dan één adresruimte voor uw VNet hebben.
  • Subnetnaam: FrontEnd
  • Subnetadresbereik: 10.1.0.0/24
  • Abonnement: Als u meer dan één abonnement hebt, controleert u of u het juiste abonnement gebruikt.
  • Resourcegroep: TestRG1
  • Locatie: VS - oost

Gateway voor een virtueel netwerk

  • Naam van virtuele netwerkgateway: VNet1GW
  • Gatewaytype: VPN
  • VPN-type: Op route gebaseerd
  • SKU: VpnGw2
  • Generatie: Generatie 2
  • Adresbereik gatewaysubnet: 10.1.255.0/27
  • Openbare IP-adresnaam: VNet1GWpip

Verbindingstype en clientadresgroep

  • Verbindingstype: Punt-naar-site
  • Clientadresgroep: 172.16.201.0/24
    VPN-clients die verbinding maken met het VNet met behulp van deze punt-naar-site-verbinding, ontvangen een IP-adres van de clientadresgroep.

Een VNet maken

In deze sectie gaat u een virtueel netwerk maken.

Notitie

Wanneer u een virtueel netwerk als onderdeel van een cross-premises-architectuur gebruikt, dient u eerst met uw on-premises netwerkbeheerder een IP-adresbereik te reserveren dat u specifiek voor dit virtuele netwerk kunt gebruiken. Als er een dubbel adresbereik bestaat aan beide zijden van de VPN-verbinding, wordt verkeer niet correct gerouteerd. Als u dit virtuele netwerk wilt verbinden met een ander virtueel netwerk, mogen de adresruimte en het andere virtuele netwerk elkaar daarnaast niet overlappen. Houd hier rekening mee als u uw netwerkconfiguratie gaan plannen.

  1. Meld u aan bij Azure Portal.

  2. Typ virtueel netwerk in Resources, service en documenten (G+/) zoeken. Selecteer Virtueel netwerk in de Marketplace-resultaten om de pagina Virtueel netwerk te openen.

    Schermopname van de resultaten van de Azure Portal zoekbalk en het selecteren van Virtual Network in Marketplace.

  3. Selecteer Maken op de pagina Virtueel netwerk. Hiermee opent u de pagina Virtueel netwerk maken .

  4. Configureer op het tabblad Basisinformatie de VNet-instellingen voor Projectdetails en Exemplaardetails. U ziet een groen vinkje wanneer de waarden die u invoert, zijn gevalideerd. De waarden die in het voorbeeld worden weergegeven, kunnen worden aangepast aan de instellingen die u nodig hebt.

    Schermopname van het tabblad Basisbeginselen.

    • Abonnement: controleer of het weergegeven abonnement het juiste is. U kunt abonnementen wijzigen met behulp van de vervolgkeuzelijst.
    • Resourcegroep: selecteer een bestaande resourcegroep of selecteer Nieuwe maken om een nieuwe te maken. Zie Overzicht van Azure Resource Manager voor meer informatie over resourcegroepen.
    • Naam: Voer de naam in van het virtuele netwerk.
    • Regio: selecteer de locatie voor uw VNet. De locatie bepaalt waar de resources die u naar dit VNet implementeert, zich bevinden.
  5. Selecteer IP-adressen om naar het tabblad IP-adressen te gaan. Configureer de instellingen op het tabblad IP-adressen .

    • IPv4-adresruimte: Standaard wordt er automatisch een adresruimte gemaakt. U kunt de adresruimte selecteren en deze aanpassen aan uw eigen waarden. U kunt ook meer adresruimten toevoegen door het vak onder de bestaande adresruimte te selecteren en de waarden voor de extra adresruimte op te geven. U kunt bijvoorbeeld het veld IPv4-adres wijzigen in 10.1.0.0/16 van de standaardwaarden die automatisch worden ingevuld.
    • + Subnet toevoegen: als u de standaardadresruimte gebruikt, wordt automatisch een standaardsubnet gemaakt. Als u de adresruimte wijzigt, moet u een subnet toevoegen. Selecteer + Subnet toevoegen om het venster Subnet toevoegen te openen. Configureer de volgende instellingen en selecteer vervolgens Toevoegen onderaan de pagina om de waarden toe te voegen.
      • Subnetnaam: Voorbeeld: FrontEnd.
      • Subnetadresbereik: Het adresbereik voor dit subnet. Bijvoorbeeld 10.1.0.0/24.
  6. Selecteer Beveiliging om naar het tabblad Beveiliging te gaan. Laat voor deze oefening de standaardwaarden staan.

    • BastionHost: Uitschakelen
    • DDoS Protection Standard: Uitschakelen
    • Firewall: uitschakelen
  7. Selecteer Beoordelen en maken om de instellingen voor het virtuele netwerk te valideren.

  8. Nadat de instellingen zijn gevalideerd, selecteert u Maken om het virtuele netwerk te maken.

De VPN-gateway maken

In deze stap maakt u de virtuele netwerkgateway VNet. Het maken van een gateway duurt vaak 45 minuten of langer, afhankelijk van de geselecteerde gateway-SKU.

Notitie

De Basic-gateway-SKU biedt geen ondersteuning voor IKEv2- of RADIUS-verificatie. Als u van plan bent om Mac-clients verbinding te laten maken met uw virtuele netwerk, moet u de Basic-SKU niet gebruiken.

De virtuele netwerkgateway maakt gebruik van een specifiek subnet: het gatewaysubnet. Het gatewaysubnet maakt deel uit van het IP-adresbereik van het virtuele netwerk dat u opgeeft bij het configureren ervan. Het bevat de IP-adressen waarvan de resources en services van de virtuele netwerkgateway gebruikmaken.

Wanneer u het gatewaysubnet maakt, geeft u op hoeveel IP-adressen het subnet bevat. Hoeveel IP-adressen er nodig zijn, is afhankelijk van de configuratie van de VPN-gateway die u wilt maken. Sommige configuraties vereisen meer IP-adressen dan andere. We raden u aan om een gatewaysubnet te maken die gebruikmaakt van een /27 of /28.

Als u een fout ziet die aangeeft dat de adresruimte overlapt met een subnet of dat het subnet niet is opgenomen in de adresruimte voor uw virtuele netwerk, controleert u het VNet-adresbereik. U hebt mogelijk onvoldoende beschikbare IP-adressen in het adresbereik dat u voor het virtuele netwerk hebt gemaakt. Als uw standaardsubnet bijvoorbeeld het gehele adresbereik omvat, zijn er geen IP-adressen over om extra subnetten te maken. U kunt uw subnetten in de bestaande adresruimte aanpassen om IP-adressen vrij te maken of een aanvullend adresbereik opgeven en daar het gatewaysubnet maken.

  1. In Resources, services en documenten (G+/) zoeken typt u virtuele netwerkgateway. Zoek Virtuele netwerkgateway in de zoekresultaten van Marketplace en selecteer deze om de pagina Virtuele netwerkgateway maken te openen.

    Schermopname van het veld Zoeken.

  2. Vul op het tabblad Basisinformatie de waarden in voor Projectdetails en Exemplaardetails.

    Schermopname van exemplaarvelden.

    • Abonnement: Selecteer in de vervolgkeuzelijst het abonnement dat u wilt gebruiken.
    • Resourcegroep: Deze instelling wordt automatisch ingevuld wanneer u het virtuele netwerk op deze pagina selecteert.
    • Naam: naam van uw gateway. Een naam opgeven voor een gateway is niet hetzelfde als een naam opgeven voor een gatewaysubnet. Hier gaat het om de naam van het gatewayobject dat u maakt.
    • Regio: Selecteer de regio waarin u deze resource wilt maken. De regio voor de gateway moet hetzelfde zijn als die voor het virtuele netwerk.
    • Gatewaytype: selecteer VPN. VPN-gateways maken gebruik van een gateway van het virtuele netwerk van het type VPN.
    • VPN-typeselecteer het VPN-type dat wordt opgegeven voor uw configuratie. De meeste configuraties vereisen een op route gebaseerd VPN-type.
    • SKU: selecteer de gateway-SKU die u wilt gebruiken in de vervolgkeuzelijst. Welke SKU's worden weergegeven in de vervolgkeuzelijst, is afhankelijk van het VPN-type dat u selecteert. Zorg ervoor dat u een SKU selecteert die ondersteuning biedt voor de functies die u wilt gebruiken. Zie Gateway-SKU's voor informatie over gateway-SKU's.
    • Generatie: selecteer de generatie die u wilt gebruiken. Zie Gateway-SKU's voor meer informatie.
    • Virtueel netwerk: Kies in de vervolgkeuzelijst het virtuele netwerk waaraan u deze gateway wilt toevoegen. Als u het VNet waarvoor u een gateway wilt maken niet ziet, controleert u of u in de vorige instellingen het juiste abonnement en de juiste regio hebt geselecteerd.
    • Adresbereik gatewaysubnet: Dit veld wordt alleen weergegeven als uw VNet geen gatewaysubnet heeft. U kunt het beste /27 of groter (/26,/25 enzovoort) opgeven. Hierdoor zijn er voldoende IP-adressen beschikbaar voor toekomstige wijzigingen, zoals het toevoegen van een ExpressRoute-gateway. Het maken van een bereik dat kleiner is dan /28 wordt afgeraden. Als u al een gatewaysubnet hebt, kunt u de gegevens van het gatewaysubnet weergeven door naar uw virtuele netwerk te navigeren. Selecteer Subnetten om het bereik weer te geven. Als u het bereik wilt wijzigen, kunt u het gatewaysubnet verwijderen en opnieuw maken.
  1. Geef op in de waarden voor Openbaar IP-adres. Met deze instellingen wordt het openbare IP-adresobject opgegeven dat wordt gekoppeld aan de VPN-gateway. Het openbare IP-adres wordt aan dit object toegewezen wanneer de VPN-gateway wordt gemaakt. Het openbare IP-adres verandert alleen wanneer de gateway wordt verwijderd en opnieuw wordt gemaakt. Het verandert niet wanneer de grootte van uw VPN Gateway verandert, wanneer deze gateway opnieuw wordt ingesteld of wanneer andere interne onderhoudswerkzaamheden of upgrades worden uitgevoerd.

    Schermopname van het veld Openbaar IP-adres.

    • Openbaar IP-adrestype: u kunt Basic of Standard kiezen.
    • Openbaar IP-adres: Laat Nieuwe maken geselecteerd.
    • Openbare IP-adresnaam: Typ in het tekstvak een naam voor het exemplaar van uw openbare IP-adres.
    • Openbare IP-adres-SKU: dit veld wordt bepaald door de waarde Type openbaar IP-adres .
    • Toewijzing: deze instelling is gebaseerd op de waarde type openbaar IP-adres .
    • Actief-actiefmodus inschakelen: selecteer alleen Modus actief-actief inschakelen als u een gatewayconfiguratie voor actief-actief maakt. Anders laat u deze instelling Uitgeschakeld.
    • Laat BGP configureren ingesteld Uitgeschakeld, tenzij dit voor uw configuratie-instelling nodig is. Als u deze instelling nodig hebt, is de standaard-ASN 65515, hoewel deze waarde kan worden gewijzigd.
  2. Selecteer Beoordelen en maken om de validatie uit te voeren.

  3. Wanneer de validatie is geslaagd, selecteert u Maken om de VPN-gateway te implementeren.

U kunt de implementatiestatus bekijken op de overzichtspagina van uw gateway. Nadat de gateway is aangemaakt, kunt u het IP-adres dat eraan is toegewezen bekijken door naar het virtuele netwerk in de portal te kijken. De gateway wordt weergegeven als verbonden apparaat.

Belangrijk

Als u met gatewaysubnetten werkt, vermijd dan om een netwerkbeveiligingsgroep (NSG) te koppelen aan het gatewaysubnet. Het koppelen van een netwerkbeveiligingsgroep aan dit subnet kan ertoe leiden dat uw virtuele netwerkgateway (VPN- en ExpressRoute-gateways) niet meer werkt zoals verwacht. Zie Wat is een netwerkbeveiligingsgroep? voor meer informatie over netwerkbeveiligingsgroepen.

Certificaten genereren

Certificaten worden door Azure gebruikt om clients te verifiëren die verbinding maken met een VNet via een punt-naar-site-VPN-verbinding. Als u beschikt over het basiscertificaat, uploadt u de gegevens van de openbare sleutel naar Azure. Het basiscertificaat wordt vervolgens als 'vertrouwd' beschouwd door Azure voor verbinding met het virtuele netwerk via P2S. U kunt ook clientcertificaten genereren op basis van het vertrouwde basiscertificaat en deze vervolgens op elke clientcomputer installeren. Het clientcertificaat wordt gebruikt om de client te verifiëren bij het maken van verbinding met het VNet.

Een basiscertificaat genereren

Het .cer-bestand voor het basiscertificaat verkrijgen. U kunt een basiscertificaat gebruiken dat is gegenereerd met een commerciële oplossing (aanbevolen) of een zelfondertekend certificaat genereren. Nadat u het basiscertificaat hebt gemaakt, exporteert u de gegevens van het openbare certificaat (niet de persoonlijke sleutel) als een X.509 CER-bestand dat is gecodeerd met Base64. U uploadt dit bestand later naar Azure.

  • Commercieel certificaat Als u een bedrijfsoplossing gebruikt, kunt u de bestaande certificaatketen gebruiken. Haal het CER-bestand op dat u wilt gebruiken voor het basiscertificaat.

  • Zelfondertekend basiscertificaat: Als u geen commerciële certificeringsoplossing gebruikt, maakt u een zelfondertekend basiscertificaat. Anders zijn de certificaten die u maakt niet compatibel met uw P2S-verbindingen en treedt er voor clients een verbindingsfout op tijdens het verbinden. U kunt Azure PowerShell, MakeCert of OpenSSL gebruiken. In de stappen in de volgende artikelen wordt beschreven hoe u een compatibel, zelfondertekend basiscertificaat genereert:

    • Windows 10 of nieuwere PowerShell-instructies: voor deze instructies zijn Windows 10 of hoger en PowerShell vereist om certificaten te genereren. Clientcertificaten die worden gegenereerd op basis van het basiscertificaat kunnen op alle ondersteunde P2S-clients worden ondersteund.
    • MakeCert-instructies: gebruik MakeCert als u geen toegang hebt tot een computer met Windows 10 of hoger om certificaten te genereren. MakeCert is inmiddels afgeschaft, maar u kunt het nog wel gebruiken om certificaten te genereren. Clientcertificaten die u genereert op basis van het basiscertificaat kunnen worden geïnstalleerd op alle ondersteunde P2S-clients.
    • Instructies voor Linux.

Clientcertificaten genereren

Op elke clientcomputer die u verbindt met een VNet via een punt-naar-site-verbinding, moet een clientcertificaat zijn geïnstalleerd. U genereert het clientcertificaat op basis van het basiscertificaat en installeert het clientcertificaat op elke clientcomputer. Als u geen geldig clientcertificaat hebt geïnstalleerd en de client probeert verbinding te maken met het VNet, mislukt de verificatie.

U kunt een uniek certificaat genereren voor elke client of hetzelfde certificaat gebruiken voor meerdere clients. Het voordeel van het genereren van unieke clientcertificaten is dat het mogelijk is om één certificaat in te trekken. Anders moet u, als meerdere clients hetzelfde certificaat voor verificatie gebruiken en u het certificaat intrekt, nieuwe certificaten genereren en installeren voor elke client die dat certificaat voor verificatie gebruikt.

U kunt clientcertificaten genereren op de volgende manieren:

  • Commercieel certificaat

    • Als u een commerciële certificeringsoplossing gebruikt, genereert u een clientcertificaat met de algemene waarde-indeling name@yourdomain.com. Gebruik deze indeling in plaats van de indeling domeinnaam\gebruikersnaam.

    • Zorg ervoor dat het clientcertificaat dat u verleent, is gebaseerd op de certificaatsjabloon voor Gebruiker met Clientverificatie als het eerste item in de lijst. U kunt het certificaat controleren door op het clientcertificaat te dubbelklikken en Enhanced Key Usage (Uitgebreid sleutelgebruik) weer te geven op het tabblad Details.

  • Zelfondertekend basiscertificaat: Volg de stappen in een van de volgende artikelen over P2S-certificaten zodat de clientcertificaten die u maakt compatibel zijn met P2S-verbindingen.

    Als u een clientcertificaat genereert op basis van een zelfondertekend basiscertificaat, wordt het certificaat automatisch geïnstalleerd op de computer die u hebt gebruikt om het certificaat te genereren. Als u een clientcertificaat op een andere clientcomputer wilt installeren, moet u het certificaat samen met de gehele certificaatketen exporteren als PFX-bestand. Hiermee maakt u een PFX-bestand met alle gegevens van het basiscertificaat die nodig zijn voor de verificatie van de client.

    De stappen in deze artikelen zijn bedoeld om een compatibel clientcertificaat te maken dat u kunt exporteren en distribueren.

    • Windows 10 of nieuwere PowerShell-instructies: voor deze instructies is Windows 10 of hoger vereist en powershell om certificaten te genereren. De gegenereerde certificaten kunnen worden geïnstalleerd op alle ondersteunde P2S-clients.

    • MakeCert-instructies: gebruik MakeCert als u geen toegang hebt tot een computer met Windows 10 of hoger voor het genereren van certificaten. MakeCert is inmiddels afgeschaft, maar u kunt het nog wel gebruiken om certificaten te genereren. U kunt de gegenereerde certificaten installeren op alle ondersteunde P2S-clients.

    • Instructies voor Linux.

De VPN-clientadresgroep toevoegen

De clientadrespool bestaat uit een privé-IP-adresbereik dat u opgeeft. De clients die verbinding maken via een punt-naar-site-VPN ontvangen dynamisch een IP-adres uit dit bereik. Gebruik een privé-IP-adresbereik dat niet overlapt met de on-premises locatie van waaruit u verbinding maakt of het VNet waarmee u verbinding wilt maken. Als u meerdere protocollen configureert en SSTP een van de protocollen is, wordt de geconfigureerde adresgroep gelijkmatig verdeeld over de geconfigureerde protocollen.

  1. Nadat de virtuele netwerkgateway is gemaakt, gaat u naar de sectie Instellingen van de pagina van de virtuele netwerkgateway. Selecteer in Instellingende optie Punt-naar-site-configuratie. Selecteer Nu configureren om de configuratiepagina te openen.

    De pagina Punt-naar-site-configuratie.

  2. Voeg op de pagina Punt-naar-site-configuratie in het vak Adresgroep het privé-IP-adresbereik toe dat u wilt gebruiken. VPN-clients ontvangen dynamisch een IP-adres uit het bereik dat u opgeeft. Het minimale subnetmasker is 29 bits voor actief/passief en 28 bits voor actief/actief-configuratie.

  3. Ga door naar de volgende sectie om verificatie- en tunneltypen te configureren.

Tunneltype en verificatietype opgeven

In deze sectie geeft u het tunneltype en het verificatietype op. Als u het tunneltype of verificatietype niet ziet op de pagina Punt-naar-site-configuratie, gebruikt uw gateway de Basic-SKU. De Basic-SKU biedt geen ondersteuning voor IKEv2- of RADIUS-verificatie. Als u deze instellingen wilt gebruiken, moet u de gateway verwijderen en opnieuw maken met behulp van een andere gateway-SKU.

Tunneltype

Selecteer op de pagina Punt-naar-site-configuratie het tunneltype. Let op het volgende wanneer u het tunneltype selecteert:

  • De strongSwan-client op Android en Linux en de systeemeigen IKEv2 VPN-client op iOS en macOS gebruiken alleen het ikEv2-tunneltype om verbinding te maken.
  • Windows-clients proberen eerst IKEv2 en als dat geen verbinding maakt, vallen ze terug op SSTP.
  • U kunt de OpenVPN-client gebruiken om verbinding te maken met het OpenVPN-tunneltype.

Verificatietype

Selecteer Bij Verificatietypede optie Azure-certificaat.

Schermopname van verificatietype met Azure-certificaat geselecteerd.

Informatie over de openbare sleutel van het basiscertificaat uploaden

In deze sectie uploadt u openbare basiscertificaatgegevens naar Azure. Als het uploaden is voltooid, kan Azure daarmee clients met een geïnstalleerd clientcertificaat (gemaakt op basis van het vertrouwde basiscertificaat) verifiëren.

  1. Navigeer naar de pagina Voor de configuratie van uw virtuele netwerkgateway -> punt-naar-site in de sectie Basiscertificaat . Deze sectie is alleen zichtbaar als u Azure-certificaat hebt geselecteerd als verificatietype.

  2. Zorg ervoor dat u het basiscertificaat hebt geëxporteerd als een Met Base-64 gecodeerde X.509 (. CER) -bestand in de vorige stappen. U moet het certificaat in deze indeling exporteren, zodat u het certificaat met een teksteditor kunt openen. U hoeft de persoonlijke sleutel niet te exporteren.

    Schermopname van exporteren als Base-64 gecodeerdE X.509.

  3. Open het certificaat met een teksteditor zoals Kladblok. Zorg er bij het kopiëren van de certificaatgegevens voor dat u de tekst als één ononderbroken regel kopieert zonder regelterugloop of regelinvoer. Mogelijk moet u de weergave in de teksteditor wijzigen naar Symbool weergeven/Alle tekens weergeven om de regelterugloop en regelinvoer te zien. Kopieer alleen het volgende gedeelte als één ononderbroken regel:

    Schermopname van basiscertificaatgegevens in Kladblok.

  4. In de sectie Basiscertificaat kunt u maximaal 20 vertrouwde basiscertificaten toevoegen.

    • Plak de certificaatgegevens in het veld Openbare certificaatgegevens .
    • Geef het certificaat een naam.

    Schermopname van het certificaatgegevensveld.

  5. Selecteer Opslaan bovenaan de pagina om alle configuratie-instellingen op te slaan.

    Schermopname van P2S-configuratie met Opslaan geselecteerd.

Geëxporteerd clientcertificaat installeren

Als u een P2S-verbinding wilt maken vanaf een andere clientcomputer dan de computer die u gebruikt om de clientcertificaten te genereren, moet u een clientcertificaat installeren. Wanneer u een clientcertificaat installeert, hebt u het wachtwoord nodig dat is gemaakt tijdens het exporteren van het clientcertificaat.

Zorg ervoor dat het certificaat is geëxporteerd als een PFX-bestand, samen met de volledige certificaatketen (dit is de standaardinstelling). Anders zijn de gegevens van het basiscertificaat niet aanwezig op de clientcomputer en kan de client niet worden geverifieerd.

Zie voor de installatiestappen Install a client certificate (Een clientcertificaat installeren).

Instellingen voor VPN-clients configureren

Als u verbinding wilt maken met de virtuele netwerkgateway met behulp van P2S, kan elke computer de VPN-client gebruiken die systeemeigen is geïnstalleerd als onderdeel van het besturingssysteem. Als u bijvoorbeeld naar VPN-instellingen op uw Windows-computer gaat, kunt u VPN-verbindingen toevoegen zonder een afzonderlijke VPN-client te installeren. U configureert elke VPN-client met behulp van een clientconfiguratiepakket. Het clientconfiguratiepakket bevat instellingen die specifiek zijn voor de VPN-gateway die u hebt gemaakt.

Zie Punt-naar-site VPN-clients configureren - certificaatverificatie voor stappen voor het genereren en installeren van CONFIGURATIEbestanden voor vpn-clients.

Verbinding maken met Azure

Verbinding maken vanaf een Windows-VPN-client

Notitie

U moet beheerdersrechten hebben op de Windows-clientcomputer waarmee u de verbinding tot stand brengt.

  1. Als u verbinding wilt maken met uw VNet, gaat u op de clientcomputer naar VPN-instellingen en zoekt u de VPN-verbinding die u hebt gemaakt. Deze naam heeft dezelfde naam als uw virtuele netwerk. Selecteer Verbinding maken. Er verschijnt mogelijk een pop-upbericht dat verwijst naar het certificaat. Selecteer Doorgaan om verhoogde bevoegdheden te gebruiken.

  2. Selecteer op de pagina Verbindingsstatus de optie Verbinden om de verbinding te starten. Als het scherm Certificaat selecteren wordt geopend, controleert u of het weergegeven clientcertificaat het certificaat is dat u voor de verbinding wilt gebruiken. Als dit niet het juiste certificaat is, gebruikt u de vervolgkeuzepijl om het juiste certificaat te selecteren en selecteert u vervolgens OK.

    Verbinding maken vanaf een Windows-computer

  3. De verbinding is tot stand gebracht.

    Verbinding maken vanaf een computer met een Azure VNet - Punt-naar-site-verbindingsdiagram

Als u problemen hebt met de verbinding, controleer dan het volgende:

  • Als u een clientcertificaat hebt geëxporteerd met de Wizard Certificaat exporteren, moet u ervoor zorgen dat u dit als een .pfx-bestand exporteert en dat u Indien mogelijk alle certificaten in het certificeringspad opnemen hebt geselecteerd. Als u het certificaat met behulp van deze waarde exporteert, worden de gegevens van het basiscertificaat ook geëxporteerd. Nadat u het certificaat op de clientcomputer hebt geïnstalleerd, wordt het basiscertificaat in het .pbx-bestand ook geïnstalleerd. Open Gebruikerscertificaten beheren en selecteer Vertrouwde basiscertificeringsinstanties\Certificaten om te controleren of het basiscertificaat is geïnstalleerd. Controleer of het basiscertificaat wordt vermeld, anders werkt de verificatie niet.

  • Als u een certificaat hebt gebruikt dat is uitgegeven door een CA-oplossingen voor ondernemingen en u niet kunt verifiëren, controleert u de verificatievolgorde op het clientcertificaat. Controleer de verificatievolgorde door dubbel te klikken in het clientcertificaat, het tabblad Details te selecteren en vervolgens Enhanced Key Usage. Zorg ervoor dat Clientverificatie het eerste item in de lijst is. Als dat niet het geval is, moet u een clientcertificaat op basis van de gebruikerssjabloon verlenen waarin Clientverificatie het eerste item is in de lijst.

  • Zie Troubleshoot P2S connections (Problemen met P2S-verbindingen oplossen) voor extra informatie over het oplossen van problemen met P2S,.

Verbinding maken vanaf een Mac-VPN-client

Zoek in het dialoogvenster Netwerk het clientprofiel dat u wilt gebruiken, geef de instellingen op van de VpnSettings.xmlen selecteer vervolgens Verbinding maken. Zie Punt-naar-site-VPN-clients configureren - certificaatverificatie - macOS voor gedetailleerde instructies.

Als u problemen ondervindt bij het maken van verbinding, controleert u of de gateway van het virtuele netwerk geen Basic-SKU gebruikt. De Basic-SKU wordt niet ondersteund voor Mac-clients.

Schermopname van de knop Verbinding maken.

De verbinding verifiëren

Deze instructies zijn van toepassing op Windows-clients.

  1. Als u wilt controleren of uw VPN-verbinding actief is, opent u een opdrachtprompt met verhoogde bevoegdheid en voert u ipconfig/all in.

  2. Bekijk de resultaten. U ziet dat het IP-adres dat u hebt ontvangen een van de adressen in de punt-naar-site-VPN-clientadresgroep is die u in uw configuratie hebt opgegeven. De resultaten zijn vergelijkbaar met het volgende voorbeeld:

    PPP adapter VNet1:
       Connection-specific DNS Suffix .:
       Description.....................: VNet1
       Physical Address................:
       DHCP Enabled....................: No
       Autoconfiguration Enabled.......: Yes
       IPv4 Address....................: 172.16.201.3(Preferred)
       Subnet Mask.....................: 255.255.255.255
       Default Gateway.................:
       NetBIOS over Tcpip..............: Enabled
    

Verbinding maken met een virtuele machine

Deze instructies zijn van toepassing op Windows-clients.

U kunt verbinding maken met een VM die op uw VNet is geïmplementeerd door een verbinding met extern bureaublad te maken voor uw VM. De beste manier om eerst te controleren of u verbinding met uw VM kunt maken is door verbinding te maken met behulp van het privé-IP-adres in plaats van de computernaam. Op die manier test u of u verbinding kunt maken, niet of naamomzetting correct is geconfigureerd.

  1. Zoek het privé-IP-adres. U vindt het privé-IP-adres van een VM door naar de eigenschappen voor de VM te kijken in Azure Portal of door PowerShell te gebruiken.

    • Azure Portal: vind uw virtuele machine in Azure Portal. Bekijk de eigenschappen voor de VM. Het privé-IP-adres wordt vermeld.

    • PowerShell: gebruik het voorbeeld om een lijst met VM's en privé-IP-adressen uit uw resourcegroepen weer te geven. U hoeft het voorbeeld niet te wijzigen voordat u het gebruikt.

      $VMs = Get-AzVM
      $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null
      
      foreach ($Nic in $Nics) {
      $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
      $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
      $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
      Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. Controleer of u bent verbonden met uw VNet.

  3. Open Verbinding met extern bureaublad door 'RDP' of 'Verbinding met extern bureaublad' te typen in het zoekvak in de taakbalk en selecteer vervolgens Verbinding met extern bureaublad. U kunt Verbinding met extern bureaublad ook openen met behulp van de opdracht 'mstsc' in PowerShell.

  4. Voer het privé-IP-adres van de VM in Verbinding met extern bureaublad in. U kunt Opties weergeven selecteren om aanvullende instellingen aan te passen en vervolgens verbinding maken.

Problemen met een verbinding oplossen

Als u problemen ondervindt bij het maken van verbinding met een virtuele machine via uw VPN-verbinding, controleert u het volgende:

  • Controleer of uw VPN-verbinding tot stand is gebracht.

  • Controleer of u verbinding maakt met het privé-IP-adres voor de VM.

  • Als u verbinding met de VM kunt maken met behulp van het privé-IP-adres, maar niet met de computernaam, controleert u of DNS correct is geconfigureerd. Zie Naamomzetting voor VM's voor meer informatie over de werking van naamomzetting voor VM's.

  • Zie Problemen met Extern-bureaubladverbindingen met een VM oplossen voor meer informatie over Extern-bureaubladverbindingen.

  • Controleer of het configuratiepakket voor de VPN-client is gegenereerd nadat de IP-adressen van de DNS-server zijn opgegeven voor het VNet. Als u de IP-adressen van de DNS-server hebt bijgewerkt, genereert en installeert u een nieuw configuratiepakket voor de VPN-client.

  • Gebruik 'ipconfig' om het IPv4-adres te controleren dat is toegewezen aan de Ethernet-adapter op de computer van waaruit u verbinding maakt. Als het IP-adres zich binnen het adresbereik van het VNet bevindt waarmee u verbinding maakt, of binnen het adresbereik van uw VPNClientAddressPool, wordt dit een overlappende adresruimte genoemd. Als uw adresruimte op deze manier overlapt, kan het netwerkverkeer Azure niet bereiken en blijft het in het lokale netwerk.

Vertrouwde basiscertificaten toevoegen of verwijderen

U kunt vertrouwde basiscertificaat toevoegen in en verwijderen uit Azure. Wanneer u een basiscertificaat verwijdert, kunnen clients die een certificaat hebben gegenereerd op basis van dat basiscertificaat niet verifiëren en dus geen verbinding maken. Als u wilt dat clients kunnen worden geverifieerd en verbinding kunnen maken, moet u een nieuw clientcertificaat installeren dat is gegenereerd op basis van een basiscertificaat dat wordt vertrouwd (is geüpload) in Azure.

U kunt maximaal 20 vertrouwde .cer-basiscertificaatbestanden toevoegen aan Azure. Zie de sectie Een vertrouwd basiscertificaat uploaden voor instructies.

Een vertrouwd basiscertificaat verwijderen:

  1. Navigeer naar de pagina Punt-naar-site-configuratie voor uw virtuele netwerkgateway.
  2. Zoek in de sectie Basiscertificaat van de pagina het certificaat dat u wilt verwijderen.
  3. Selecteer het beletselteken naast het certificaat en selecteer vervolgens Verwijderen.

Een clientcertificaat intrekken

U kunt clientcertificaten intrekken. Met de certificaatintrekkingslijst kunt u selectief punt-naar-site-connectiviteit weigeren op basis van afzonderlijke clientcertificaten. Dit is anders van het verwijderen van een vertrouwd basiscertificaat. Als u een vertrouwd .cer-basiscertificaat uit Azure verwijdert, wordt de toegang ingetrokken voor alle clientcertificaten die zijn gegenereerd/ondertekend door het ingetrokken basiscertificaat. Als u in plaats van een basiscertificaat een clientcertificaat intrekt, kunt u de certificaten die zijn gegenereerd op basis van het basiscertificaat, blijven gebruiken voor verificatie.

De algemene procedure is het basiscertificaat te gebruiken om de toegang te beheren op het team- of organisatieniveau, terwijl u ingetrokken clientcertificaten gebruikt voor nauwkeuriger toegangsbeheer bij afzonderlijke gebruikers.

U kunt een clientcertificaat intrekken door de vingerafdruk toe te voegen aan de intrekkingslijst.

  1. Haal de vingerafdruk voor het clientcertificaat op. Zie De vingerafdruk van een certificaat ophalen voor meer informatie.
  2. Kopieer de informatie naar een teksteditor en verwijder alle spaties zodat het een doorlopende tekenreeks is.
  3. Navigeer naar de pagina Punt-naar-site-configuratie van de virtuele netwerkgateway. Dit is de pagina die u ook hebt gebruikt voor het uploaden van een vertrouwd basiscertificaat.
  4. In het gedeelte Ingetrokken certificaten voert u een beschrijvende naam in voor het certificaat (dit hoeft niet de CN van het certificaat te zijn).
  5. Kopieer en plak de vingerafdruk naar het veld Vingerafdruk.
  6. De vingerafdruk wordt gevalideerd en automatisch toegevoegd aan de intrekkingslijst. Er wordt een bericht op het scherm weergegeven met de melding dat de lijst wordt bijgewerkt.
  7. Wanneer het bijwerken is voltooid, kan het certificaat niet langer worden gebruikt om verbinding te maken. Clients die verbinding proberen te maken met het certificaat, ontvangen een bericht waarin wordt gemeld dat het certificaat niet meer geldig is.

Veelgestelde vragen over punt-naar-site

Zie de veelgestelde vragen voor veelgestelde vragen.

Volgende stappen

Wanneer de verbinding is voltooid, kunt u virtuele machines aan uw virtuele netwerken toevoegen. Zie Virtuele machines voor meer informatie. Zie Azure and Linux VM Network Overview (Overzicht van Azure- en Linux-VM-netwerken) voor meer informatie over netwerken en virtuele machines.

Voor informatie over probleemoplossing voor P2S bekijkt u Troubleshooting Azure point-to-site connections (Problemen met punt-naar-site-verbindingen in Azure oplossen).