Serverinstellingen configureren voor P2S VPN Gateway-verbindingen - certificaatverificatie - Azure Portal

  • Artikel

Dit artikel helpt u bij het configureren van de benodigde punt-naar-site(P2S)-serverinstellingen voor VPN Gateway, zodat u veilig afzonderlijke clients met Windows, Linux of macOS kunt verbinden met een Azure-VNet. P2S VPN-verbindingen zijn handig wanneer u vanaf een externe locatie verbinding wilt maken met uw VNet, bijvoorbeeld wanneer u thuis of een vergadering thuis werkt. U kunt P2S ook gebruiken in plaats van een site-naar-site-VPN (S2S) wanneer u slechts een paar clients hebt die verbinding moeten maken met een virtueel netwerk (VNet). P2S-verbindingen vereisen geen VPN-apparaat of een openbaar IP-adres.

Diagram van punt-naar-site-verbinding die laat zien hoe u vanaf een computer verbinding maakt met een Azure-VNet.

Er zijn verschillende configuratieopties beschikbaar voor P2S. Zie Over punt-naar-site-VPN voor meer informatie over punt-naar-site-VPN. Dit artikel helpt u bij het maken van een P2S-configuratie die gebruikmaakt van certificaatverificatie en Azure Portal. Als u deze configuratie wilt maken met behulp van Azure PowerShell, raadpleegt u het artikel P2S - Certificaat - PowerShell configureren. Zie het artikel P2S RADIUS voor RADIUS-verificatie . Zie het artikel P2S Microsoft Entra ID voor Microsoft Entra-verificatie voor Microsoft Entra-verificatie.

P2S Azure-certificaatverificatieverbindingen gebruiken de volgende items, die u in deze oefening configureert:

  • Een RouteBased VPN-gateway.
  • De openbare sleutel (CER-bestand) voor een basiscertificaat dat is geüpload naar Azure. Zodra het certificaat is geüpload, wordt het beschouwd als een vertrouwd certificaat en wordt het gebruikt voor verificatie.
  • Een clientcertificaat dat is gegenereerd op basis van het basiscertificaat. Het clientcertificaat dat is geïnstalleerd op elke clientcomputer die met het VNet verbinding zal maken. Dit certificaat wordt gebruikt voor clientverificatie.
  • Configuratiebestanden voor VPN-clients. De VPN-client wordt geconfigureerd met behulp van configuratiebestanden van de VPN-client. Deze bestanden bevatten de benodigde informatie voor de client om verbinding te maken met het VNet. Elke client die verbinding maakt, moet worden geconfigureerd met behulp van de instellingen in de configuratiebestanden.

Vereisten

Controleer of u een Azure-abonnement hebt. Als u nog geen Azure-abonnement hebt, kunt u uw voordelen als MSDN-abonnee activeren of u aanmelden voor een gratis account.

Voorbeeldwaarden

U kunt de volgende waarden gebruiken om een testomgeving te maken of ze raadplegen om meer inzicht te krijgen in de voorbeelden in dit artikel:

VNet

  • VNet-naam: VNet1
  • Adresruimte: 10.1.0.0/16
    In dit voorbeeld gebruiken we slechts één adresruimte. U kunt meer dan één adresruimte voor uw VNet hebben.
  • Subnetnaam: FrontEnd
  • Subnetadresbereik: 10.1.0.0/24
  • Abonnement: Als u meer dan één abonnement hebt, controleert u of u het juiste abonnement gebruikt.
  • Resourcegroep: TestRG1
  • Locatie: VS - oost

Gateway voor een virtueel netwerk

  • Gatewaynaam van het virtuele netwerk: VNet1GW
  • Gatewaytype: VPN
  • VPN-type: op route gebaseerd
  • SKU: VpnGw2
  • Generatie: Generation2
  • Adresbereik van gatewaysubnet: 10.1.255.0/27
  • Openbare IP-adresnaam: VNet1GWpip

Verbinding maken type en clientadresgroep

  • Verbindingstype: punt-naar-site-verbinding
  • Clientadresgroep: 172.16.201.0/24
    VPN-clients die verbinding maken met het VNet met behulp van deze punt-naar-site-verbinding, ontvangen een IP-adres van de clientadresgroep.

Een VNet maken

In deze sectie maakt u een VNet. Raadpleeg de sectie Voorbeeldwaarden voor de voorgestelde waarden die u voor deze configuratie wilt gebruiken.

Notitie

Wanneer u een virtueel netwerk gebruikt als onderdeel van een cross-premises architectuur, moet u contact opnemen met uw on-premises netwerkbeheerder om een IP-adresbereik te maken dat u specifiek voor dit virtuele netwerk kunt gebruiken. Als er een dubbel adresbereik bestaat aan beide zijden van de VPN-verbinding, wordt verkeer niet correct gerouteerd. Als u dit virtuele netwerk wilt verbinden met een ander virtueel netwerk, kan de adresruimte niet overlappen met het andere virtuele netwerk. Houd hier rekening mee als u uw netwerkconfiguratie gaan plannen.

  1. Meld u aan bij het Azure-portaal.

  2. Voer in Zoekbronnen, service en documenten (G+/) boven aan de portalpagina het virtuele netwerk in. Selecteer Virtueel netwerk in de zoekresultaten van Marketplace om de pagina Virtueel netwerk te openen.

  3. Selecteer Maken op de pagina Virtueel netwerk om de pagina Virtueel netwerk maken te openen.

  4. Configureer op het tabblad Basis de instellingen van het virtuele netwerk voor projectdetails en instantiedetails. U ziet een groen vinkje wanneer de waarden die u invoert, worden gevalideerd. U kunt de waarden in het voorbeeld aanpassen op basis van de instellingen die u nodig hebt.

    Schermopname van het tabblad Basisinformatie.

    • Abonnement: controleer of het weergegeven abonnement het juiste is. U kunt abonnementen wijzigen met behulp van de vervolgkeuzelijst.
    • Resourcegroep: Selecteer een bestaande resourcegroep of selecteer Nieuwe maken om een nieuwe te maken. Zie Overzicht van Azure Resource Manager voor meer informatie over resourcegroepen.
    • Naam: geef de naam op voor het virtuele netwerk.
    • Regio: Selecteer de locatie voor uw virtuele netwerk. De locatie bepaalt waar de resources die u in dit virtuele netwerk implementeert, zich bevinden.

  5. Selecteer Volgende of Beveiliging om naar het tabblad Beveiliging te gaan. Laat voor deze oefening de standaardwaarden voor alle services op deze pagina staan.

  6. Selecteer IP-adressen om naar het tabblad IP-adressen te gaan. Configureer de instellingen op het tabblad IP-adressen .

    • IPv4-adresruimte: standaard wordt er automatisch een adresruimte gemaakt. U kunt de adresruimte selecteren en deze aanpassen om uw eigen waarden weer te geven. U kunt ook een andere adresruimte toevoegen en de standaardwaarde verwijderen die automatisch is gemaakt. U kunt bijvoorbeeld het beginadres opgeven als 10.1.0.0 en de adresruimtegrootte opgeven als /16. Selecteer Vervolgens Toevoegen om die adresruimte toe te voegen.

    • + Subnet toevoegen: Als u de standaardadresruimte gebruikt, wordt automatisch een standaardsubnet gemaakt. Als u de adresruimte wijzigt, voegt u een nieuw subnet toe binnen die adresruimte. Selecteer + Subnet toevoegen om het venster Subnet toevoegen te openen. Configureer de volgende instellingen en selecteer vervolgens Toevoegen onder aan de pagina om de waarden toe te voegen.

      • Subnetnaam: Een voorbeeld is FrontEnd.
      • Subnetadresbereik: Het adresbereik voor dit subnet. Voorbeelden zijn 10.1.0.0 en /24.

  7. Controleer de pagina IP-adressen en verwijder eventuele adresruimten of subnetten die u niet nodig hebt.

  8. Selecteer Beoordelen en maken om de instellingen voor het virtuele netwerk te valideren.

  9. Nadat de instellingen zijn gevalideerd, selecteert u Maken om het virtuele netwerk te maken.

De VPN-gateway maken

In deze stap maakt u de virtuele netwerkgateway VNet. Het maken van een gateway duurt vaak 45 minuten of langer, afhankelijk van de geselecteerde gateway-SKU.

Notitie

De Basic-gateway-SKU biedt geen ondersteuning voor IKEv2- of RADIUS-verificatie. Als u van plan bent mac-clients verbinding te laten maken met uw VNet, gebruikt u de Basic-SKU niet.

Voor de virtuele netwerkgateway is een specifiek subnet met de naam GatewaySubnet vereist. Het gatewaysubnet maakt deel uit van het IP-adresbereik voor uw virtuele netwerk en bevat de IP-adressen die door de resources en services van de virtuele netwerkgateway worden gebruikt.

Wanneer u het gatewaysubnet maakt, geeft u op hoeveel IP-adressen het subnet bevat. Hoeveel IP-adressen er nodig zijn, is afhankelijk van de configuratie van de VPN-gateway die u wilt maken. Sommige configuraties vereisen meer IP-adressen dan andere. U kunt het beste /27 of groter (/26, /25, enzovoort) opgeven voor uw gatewaysubnet.

Als er een fout wordt weergegeven waarin wordt aangegeven dat de adresruimte overlapt met een subnet of dat het subnet zich niet in de adresruimte voor uw virtuele netwerk bevindt, controleert u het adresbereik van het virtuele netwerk. Mogelijk hebt u niet voldoende IP-adressen beschikbaar in het adresbereik dat u voor uw virtuele netwerk hebt gemaakt. Als uw standaardsubnet bijvoorbeeld het hele adresbereik omvat, zijn er geen IP-adressen meer subnetten te maken. U kunt uw subnetten in de bestaande adresruimte aanpassen om IP-adressen vrij te maken of een ander adresbereik opgeven en daar het gatewaysubnet maken.

  1. Voer in Zoekbronnen, -services en -documenten (G+/) de gateway van het virtuele netwerk in. Zoek virtuele netwerkgateway in de zoekresultaten van Marketplace en selecteer deze om de pagina Gateway van het virtuele netwerk maken te openen.

    Schermopname van het zoekveld.

  2. Vul op het tabblad Basisinformatie de waarden in voor projectdetails en instantiedetails.

    Schermopname van de velden Exemplaar.

    • Abonnement: Selecteer het abonnement dat u wilt gebruiken in de vervolgkeuzelijst.

    • Resourcegroep: Deze instelling wordt automatisch ingevuld wanneer u uw virtuele netwerk op deze pagina selecteert.

    • Naam: naam van uw gateway. De naam van uw gateway is niet hetzelfde als het benoemen van een gatewaysubnet. Hier gaat het om de naam van het gatewayobject dat u maakt.

    • Regio: Selecteer de regio waarin u deze resource wilt maken. De regio voor de gateway moet hetzelfde zijn als die voor het virtuele netwerk.

    • Gatewaytype: selecteer VPN. VPN-gateways maken gebruik van een gateway van het virtuele netwerk van het type VPN.

    • SKU: Selecteer in de vervolgkeuzelijst de gateway-SKU die ondersteuning biedt voor de functies die u wilt gebruiken. Zie Gateway-SKU's. In de portal zijn de SKU's die beschikbaar zijn in de vervolgkeuzelijst, afhankelijk van de VPN type door u geselecteerde SKU's. De Basic-SKU kan alleen worden geconfigureerd met behulp van Azure CLI of PowerShell. U kunt de Basic-SKU niet configureren in Azure Portal.

    • Generatie: selecteer de generatie die u wilt gebruiken. U wordt aangeraden een Generation2-SKU te gebruiken. Zie Gateway-SKU's voor meer informatie.

    • Virtueel netwerk: Selecteer in de vervolgkeuzelijst het virtuele netwerk waaraan u deze gateway wilt toevoegen. Als u het virtuele netwerk waarvoor u een gateway wilt maken niet ziet, controleert u of u het juiste abonnement en de juiste regio hebt geselecteerd in de vorige instellingen.

    • Gatewaysubnetadresbereik of subnet: het gatewaysubnet is vereist om een VPN-gateway te maken.

      Op dit moment heeft dit veld een aantal verschillende gedragingen, afhankelijk van de adresruimte van het virtuele netwerk en of u al een subnet met de naam GatewaySubnet voor uw virtuele netwerk hebt gemaakt.

      Als u geen gatewaysubnet hebt en u geen optie ziet om er een te maken op deze pagina, gaat u terug naar uw virtuele netwerk en maakt u het gatewaysubnet. Ga vervolgens terug naar deze pagina en configureer de VPN-gateway.

  1. Geef de waarden op voor het openbare IP-adres. Met deze instellingen geeft u het openbare IP-adresobject op dat wordt gekoppeld aan de VPN-gateway. Het openbare IP-adres wordt toegewezen aan dit object wanneer de VPN-gateway wordt gemaakt. De enige keer dat het primaire openbare IP-adres wordt gewijzigd, is wanneer de gateway wordt verwijderd en opnieuw wordt gemaakt. Het verandert niet wanneer de grootte van uw VPN Gateway verandert, wanneer deze gateway opnieuw wordt ingesteld of wanneer andere interne onderhoudswerkzaamheden of upgrades worden uitgevoerd.

    Schermopname van het veld Openbaar IP-adres.

    • Type openbaar IP-adres: als u voor deze oefening de optie hebt om het adrestype te kiezen, selecteert u Standard.
    • Openbaar IP-adres: Laat Nieuwe maken geselecteerd.
    • Naam van openbaar IP-adres: Voer in het tekstvak een naam in voor uw exemplaar van het openbare IP-adres.
    • Openbare IP-adres-SKU: Instelling wordt automatisch geselecteerd.
    • Toewijzing: De toewijzing wordt doorgaans automatisch geselecteerd en kan dynamisch of statisch zijn.
    • Actief-actiefmodus inschakelen: Selecteer Uitgeschakeld. Schakel deze instelling alleen in als u een actief-actief-gatewayconfiguratie maakt.
    • BGP configureren: Selecteer Uitgeschakeld, tenzij voor uw configuratie specifiek deze instelling is vereist. Als u deze instelling wel nodig hebt, is de standaard-ASN 65515, hoewel deze waarde kan worden gewijzigd.

  2. Selecteer Beoordelen en maken om de validatie uit te voeren.

  3. Nadat de validatie is geslaagd, selecteert u Maken om de VPN-gateway te implementeren.

U kunt de implementatiestatus zien op de pagina Overzicht voor uw gateway. Nadat de gateway is gemaakt, kunt u het IP-adres bekijken dat eraan is toegewezen door naar het VNet in de portal te kijken. De gateway wordt weergegeven als verbonden apparaat.

Belangrijk

Wanneer u met gatewaysubnetten werkt, moet u voorkomen dat u een netwerkbeveiligingsgroep (NSG) koppelt aan het gatewaysubnet. Als u een netwerkbeveiligingsgroep koppelt aan dit subnet, werkt uw virtuele netwerkgateway (VPN en ExpressRoute-gateways) mogelijk niet meer zoals verwacht. Zie Wat is een netwerkbeveiligingsgroep? voor meer informatie over netwerkbeveiligingsgroepen.

Certificaten genereren

Certificaten worden door Azure gebruikt om clients te verifiëren die verbinding maken met een VNet via een punt-naar-site-VPN-verbinding. Als u beschikt over het basiscertificaat, uploadt u de gegevens van de openbare sleutel naar Azure. Het basiscertificaat wordt vervolgens beschouwd als 'vertrouwd' door Azure voor verbinding via P2S met het VNet.

U kunt ook clientcertificaten genereren op basis van het vertrouwde basiscertificaat en deze vervolgens op elke clientcomputer installeren. Het clientcertificaat wordt gebruikt om de client te verifiëren bij het maken van verbinding met het VNet.

Het basiscertificaat moet worden gegenereerd en geëxtraheerd voordat u de punt-naar-site-configuratie maakt in de volgende secties.

Een basiscertificaat genereren

Het .cer-bestand voor het basiscertificaat verkrijgen. U kunt een basiscertificaat gebruiken dat is gegenereerd met een commerciële oplossing (aanbevolen) of een zelfondertekend certificaat genereren. Nadat u het basiscertificaat hebt gemaakt, exporteert u de gegevens van het openbare certificaat (niet de persoonlijke sleutel) als een X.509 CER-bestand dat is gecodeerd met Base64. U uploadt dit bestand later naar Azure.

  • Bedrijfscertificaat: Als u een bedrijfsoplossing gebruikt, kunt u uw bestaande certificaatketen gebruiken. Haal het CER-bestand op dat u wilt gebruiken voor het basiscertificaat.

  • Zelfondertekend basiscertificaat: als u geen bedrijfscertificaatoplossing gebruikt, maakt u een zelfondertekend basiscertificaat. Anders zijn de certificaten die u maakt niet compatibel met uw P2S-verbindingen en ontvangen clients een verbindingsfout wanneer ze verbinding proberen te maken. U kunt Azure PowerShell, MakeCert of OpenSSL gebruiken. In de stappen in de volgende artikelen wordt beschreven hoe u een compatibel, zelfondertekend basiscertificaat genereert:

    • PowerShell-instructies voor Windows 10 of hoger: voor deze instructies is PowerShell vereist op een computer met Windows 10 of hoger. Clientcertificaten die worden gegenereerd op basis van het basiscertificaat kunnen op alle ondersteunde P2S-clients worden ondersteund.
    • MakeCert-instructies: Gebruik MakeCert om certificaten te genereren als u geen toegang hebt tot een computer met Windows 10 of hoger. MakeCert is inmiddels afgeschaft, maar u kunt het nog wel gebruiken om certificaten te genereren. Clientcertificaten die u genereert op basis van het basiscertificaat kunnen worden geïnstalleerd op alle ondersteunde P2S-clients.
    • Linux - OpenSSL-instructies
    • Linux - strongSwan-instructies

Clientcertificaten genereren

Op elke clientcomputer die u verbinding maakt met een VNet met een punt-naar-site-verbinding, moet een clientcertificaat zijn geïnstalleerd. U genereert het clientcertificaat op basis van het basiscertificaat en installeert het clientcertificaat op elke clientcomputer. Als u geen geldig clientcertificaat hebt geïnstalleerd en de client probeert verbinding te maken met het VNet, mislukt de verificatie.

U kunt een uniek certificaat genereren voor elke client of hetzelfde certificaat gebruiken voor meerdere clients. Het voordeel van het genereren van unieke clientcertificaten is dat het mogelijk is om één certificaat in te trekken. Anders moet u, als meerdere clients hetzelfde certificaat voor verificatie gebruiken en u het certificaat intrekt, nieuwe certificaten genereren en installeren voor elke client die dat certificaat voor verificatie gebruikt.

U kunt clientcertificaten genereren op de volgende manieren:

  • Commercieel certificaat

    • Als u een commerciële certificeringsoplossing gebruikt, genereert u een clientcertificaat met de algemene waarde-indeling name@yourdomain.com. Gebruik deze indeling in plaats van de indeling domeinnaam\gebruikersnaam.

    • Zorg ervoor dat het clientcertificaat dat u verleent, is gebaseerd op de certificaatsjabloon voor Gebruiker met Clientverificatie als het eerste item in de lijst. U kunt het certificaat controleren door op het clientcertificaat te dubbelklikken en Enhanced Key Usage (Uitgebreid sleutelgebruik) weer te geven op het tabblad Details.

  • Zelfondertekend basiscertificaat: volg de stappen in een van de volgende P2S-certificaatartikelen, zodat de clientcertificaten die u maakt compatibel zijn met uw P2S-verbindingen.

    Als u een clientcertificaat genereert op basis van een zelfondertekend basiscertificaat, wordt het certificaat automatisch geïnstalleerd op de computer die u hebt gebruikt om het certificaat te genereren. Als u een clientcertificaat op een andere clientcomputer wilt installeren, moet u het certificaat samen met de gehele certificaatketen exporteren als PFX-bestand. Hiermee maakt u een PFX-bestand met alle gegevens van het basiscertificaat die nodig zijn voor de verificatie van de client.

    De stappen in deze artikelen zijn bedoeld om een compatibel clientcertificaat te maken dat u kunt exporteren en distribueren.

    • PowerShell-instructies voor Windows 10 of hoger: voor deze instructies is Windows 10 of hoger vereist en PowerShell om certificaten te genereren. De gegenereerde certificaten kunnen worden geïnstalleerd op alle ondersteunde P2S-clients.

    • MakeCert-instructies: Gebruik MakeCert als u geen toegang hebt tot een Computer met Windows 10 of hoger voor het genereren van certificaten. MakeCert is inmiddels afgeschaft, maar u kunt het nog wel gebruiken om certificaten te genereren. U kunt de gegenereerde certificaten installeren op alle ondersteunde P2S-clients.

    • Instructies voor Linux.

De adresgroep toevoegen

De pagina Punt-naar-site-configuratie bevat de configuratiegegevens die nodig zijn voor de P2S VPN. Zodra alle P2S-instellingen zijn geconfigureerd en de gateway is bijgewerkt, wordt de punt-naar-site-configuratiepagina gebruikt om P2S VPN-instellingen weer te geven of te wijzigen.

  1. Ga naar de gateway die u in de vorige sectie hebt gemaakt.
  2. Selecteer in het linkerdeelvenster punt-naar-site-configuratie.
  3. Klik op Nu configureren om de configuratiepagina te openen.

De clientadrespool bestaat uit een privé-IP-adresbereik dat u opgeeft. De clients die verbinding maken via een punt-naar-site-VPN ontvangen dynamisch een IP-adres uit dit bereik. Gebruik een privé-IP-adresbereik dat niet overlapt met de on-premises locatie waaruit u verbinding maakt of het VNet waarmee u verbinding wilt maken. Als u meerdere protocollen configureert en SSTP een van de protocollen is, wordt de geconfigureerde adresgroep gelijk verdeeld tussen de geconfigureerde protocollen.

Schermopname van de pagina punt-naar-site-configuratie - adresgroep.

  1. Op de pagina Punt-naar-site-configuratie kunt u in het vak Adresgroep het bereik met privé-IP-adressen toevoegen dat u wilt gebruiken. VPN-clients ontvangen dynamisch een IP-adres uit het bereik dat u opgeeft. Het minimale subnetmasker is 29 bits voor actief/passief en 28 bits voor actieve/actieve configuratie.

  2. Configureer vervolgens het tunnel- en verificatietype.

Tunnel en verificatietype opgeven

Notitie

Als u geen tunneltype of verificatietype ziet op de configuratiepagina van punt-naar-site, gebruikt uw gateway de Basic-SKU. De Basic-SKU biedt geen ondersteuning voor IKEv2- of RADIUS-verificatie. Als u deze instellingen wilt gebruiken, moet u de gateway verwijderen en opnieuw maken met behulp van een andere gateway-SKU.

In deze sectie geeft u het tunneltype en het verificatietype op. Deze instellingen kunnen complex worden, afhankelijk van het tunneltype dat u nodig hebt en de VPN-clientsoftware die wordt gebruikt om de verbinding te maken vanaf het besturingssysteem van de gebruiker. De stappen in dit artikel helpen u bij het doorlopen van basisconfiguratie-instellingen en -keuzes.

U kunt opties selecteren die meerdere tunneltypen bevatten in de vervolgkeuzelijst, zoals IKEv2 en OpenVPN(SSL) of IKEv2 en SSTP (SSL), maar alleen bepaalde combinaties van tunneltypen en verificatietypen worden ondersteund. Microsoft Entra-verificatie kan bijvoorbeeld alleen worden gebruikt wanneer u OpenVPN (SSL) selecteert in de vervolgkeuzelijst van het tunneltype en niet IKEv2 en OpenVPN (SSL).

Daarnaast hebben het tunneltype en het verificatietype dat u kiest invloed op de VPN-clientsoftware die kan worden gebruikt om verbinding te maken met Azure. Sommige VPN-clientsoftware kan alleen verbinding maken via IKEv2, andere kunnen alleen verbinding maken via OpenVPN. En sommige clientsoftware, terwijl het ondersteuning biedt voor een bepaald tunneltype, ondersteunt mogelijk niet het verificatietype dat u kiest.

Zoals u kunt zien, is het plannen van het tunneltype en verificatietype belangrijk wanneer u verschillende VPN-clients hebt die verbinding maken vanuit verschillende besturingssystemen. Houd rekening met de volgende criteria wanneer u uw tunneltype kiest in combinatie met Azure-certificaatverificatie . Andere verificatietypen hebben verschillende overwegingen.

  • Windows:

    • Windows-computers die verbinding maken via de systeemeigen VPN-client die al in het besturingssysteem zijn geïnstalleerd, proberen EERST IKEv2 en als dat niet is verbonden, vallen ze terug op SSTP (als u zowel IKEv2 als SSTP hebt geselecteerd in de vervolgkeuzelijst van het tunneltype).
    • Als u het Type OpenVPN-tunnel selecteert, kunt u verbinding maken met behulp van een OpenVPN-client of de Azure VPN-client.
    • De Azure VPN-client kan aanvullende optionele configuratie-instellingen ondersteunen, zoals aangepaste routes en geforceerde tunneling.

  • macOS en iOS:

    • De systeemeigen VPN-client voor iOS en macOS kan alleen het IKEv2-tunneltype gebruiken om verbinding te maken met Azure.
    • De Azure VPN-client wordt momenteel niet ondersteund voor certificaatverificatie, zelfs niet als u het Type OpenVPN-tunnel selecteert.
    • Als u het OpenVPN-tunneltype met certificaatverificatie wilt gebruiken, kunt u een OpenVPN-client gebruiken.
    • Voor macOS kunt u de Azure VPN-client gebruiken met het type OpenVPN-tunnel en Microsoft Entra-verificatie (niet certificaatverificatie).

  • Android en Linux:

    • De strongSwan-client op Android en Linux kan alleen het IKEv2-tunneltype gebruiken om verbinding te maken. Als u het Type OpenVPN-tunnel wilt gebruiken, gebruikt u een andere VPN-client.

Tunneltype

Selecteer op de pagina punt-naar-site-configuratie het tunneltype. Voor deze oefening selecteert u IKEv2 en OpenVPN (SSL) in de vervolgkeuzelijst.

Schermopname van de pagina Punt-naar-site-configuratie - tunneltype.

Authentication type

Selecteer voor deze oefening het Azure-certificaat voor het verificatietype. Als u geïnteresseerd bent in andere verificatietypen, raadpleegt u de artikelen voor Microsoft Entra ID en RADIUS.

Schermopname van de pagina Punt-naar-site-configuratie - verificatietype.

Informatie over de openbare sleutel van het basiscertificaat uploaden

In deze sectie uploadt u gegevens van een openbaar basiscertificaat naar Azure. Als het uploaden is voltooid, kan Azure daarmee clients met een geïnstalleerd clientcertificaat (gemaakt op basis van het vertrouwde basiscertificaat) verifiëren.

  1. Zorg ervoor dat u het basiscertificaat hebt geëxporteerd als een met Base-64 gecodeerde X.509 (. CER) -bestand in de vorige stappen. U moet het certificaat in deze indeling exporteren, zodat u het certificaat met een teksteditor kunt openen. U hoeft de persoonlijke sleutel niet te exporteren.

  2. Open het certificaat met een teksteditor zoals Kladblok. Zorg er bij het kopiëren van de certificaatgegevens voor dat u de tekst als één ononderbroken regel kopieert zonder regelterugloop of regelinvoer. Mogelijk moet u de weergave in de teksteditor wijzigen naar Symbool weergeven/Alle tekens weergeven om de regelterugloop en regelinvoer te zien. Kopieer alleen het volgende gedeelte als één ononderbroken regel:

    Schermopname van basiscertificaatgegevens in Kladblok.

  3. Navigeer naar de gateway van het virtuele netwerk-> punt-naar-site-configuratiepagina in de sectie Basiscertificaat . Deze sectie is alleen zichtbaar als u een Azure-certificaat hebt geselecteerd voor het verificatietype.

  4. In de sectie Basiscertificaat kunt u maximaal 20 vertrouwde basiscertificaten toevoegen.

    • Plak de certificaatgegevens in het veld Openbare certificaatgegevens .
    • Geef het certificaat een naam .

    Schermopname van het veld certificaatgegevens.

  5. Aanvullende routes zijn niet nodig voor deze oefening. Zie Aangepaste routes adverteren voor meer informatie over de aangepaste routeringsfunctie.

  6. Selecteer Opslaan boven aan de pagina om alle configuratie-instellingen op te slaan.

    Schermopname van P2S-configuratie met Opslaan geselecteerd.

Geëxporteerd clientcertificaat installeren

Elke VPN-client die verbinding wil maken, moet een clientcertificaat hebben. Wanneer u een clientcertificaat genereert, wordt het clientcertificaat doorgaans automatisch voor u geïnstalleerd op de computer die u hebt gebruikt. Als u een P2S-verbinding vanaf een andere computer wilt maken, moet u een clientcertificaat installeren op de computer die verbinding wil maken. Wanneer u een clientcertificaat installeert, hebt u het wachtwoord nodig dat is gemaakt tijdens het exporteren van het clientcertificaat.

Zorg ervoor dat het certificaat is geëxporteerd als een PFX-bestand, samen met de volledige certificaatketen (dit is de standaardinstelling). Anders zijn de gegevens van het basiscertificaat niet aanwezig op de clientcomputer en kan de client niet worden geverifieerd.

Zie voor de installatiestappen Install a client certificate (Een clientcertificaat installeren).

VPN-clients configureren en verbinding maken met Azure

Elke VPN-client wordt geconfigureerd met behulp van de bestanden in een configuratiepakket voor een VPN-clientprofiel dat u genereert en downloadt. Het configuratiepakket bevat instellingen die specifiek zijn voor de VPN-gateway die u hebt gemaakt. Als u wijzigingen aanbrengt in de gateway, zoals het wijzigen van een tunneltype, certificaat of verificatietype, moet u een ander configuratiepakket voor vpn-clientprofielen genereren en installeren op elke client. Anders kunnen uw VPN-clients mogelijk geen verbinding maken.

Zie de volgende artikelen voor stappen voor het genereren van een configuratiepakket voor een VPN-clientprofiel, het configureren van uw VPN-clients en het maken van verbinding met Azure:

De verbinding verifiëren

Deze instructies zijn van toepassing op Windows-clients.

  1. Als u wilt controleren of uw VPN-verbinding actief is, opent u een opdrachtprompt met verhoogde bevoegdheid en voert u ipconfig/all in.

  2. Bekijk de resultaten. U ziet dat het IP-adres dat u hebt ontvangen een van de adressen is binnen de punt-naar-site VPN-clientadresgroep die u hebt opgegeven in uw configuratie. De resultaten zijn vergelijkbaar met het volgende voorbeeld:

    PPP adapter VNet1:
   Connection-specific DNS Suffix .:
   Description.....................: VNet1
   Physical Address................:
   DHCP Enabled....................: No
   Autoconfiguration Enabled.......: Yes
   IPv4 Address....................: 172.16.201.3(Preferred)
   Subnet Mask.....................: 255.255.255.255
   Default Gateway.................:
   NetBIOS over Tcpip..............: Enabled

Verbinding maken met een virtuele machine

Deze instructies zijn van toepassing op Windows-clients.

U kunt verbinding maken met een virtuele machine die is geïmplementeerd in uw virtuele netwerk door een extern bureaublad-Verbinding maken ion met uw virtuele machine te maken. De beste manier om eerst te controleren of u verbinding met uw VM kunt maken is door verbinding te maken met behulp van het privé-IP-adres in plaats van de computernaam. Op die manier test u of u verbinding kunt maken, niet of naamomzetting correct is geconfigureerd.

  1. Zoek het privé-IP-adres. U kunt het privé-IP-adres van een virtuele machine vinden door de eigenschappen voor de VIRTUELE machine te bekijken in Azure Portal of met behulp van PowerShell.

    • Azure Portal: zoek uw VIRTUELE machine in Azure Portal. Bekijk de eigenschappen voor de VM. Het privé-IP-adres wordt vermeld.

    • PowerShell: gebruik het voorbeeld om een lijst met VM's en privé-IP-adressen uit uw resourcegroepen weer te geven. U hoeft het voorbeeld niet te wijzigen voordat u het gebruikt.

      $VMs = Get-AzVM
$Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null

foreach ($Nic in $Nics) {
$VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
$Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
$Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
Write-Output "$($VM.Name): $Prv,$Alloc"
}

  2. Controleer of u bent verbonden met uw virtuele netwerk.

  3. Open Extern bureaublad-Verbinding maken ion door RDP of Extern bureaublad-Verbinding maken ion in te voeren in het zoekvak op de taakbalk. Selecteer vervolgens Extern bureaublad Verbinding maken ion. U kunt extern bureaublad ook openen Verbinding maken ion met behulp van de mstsc opdracht in PowerShell.

  4. Voer het privé-IP-adres van de VM in Verbinding met extern bureaublad in. U kunt Opties weergeven selecteren om andere instellingen aan te passen en vervolgens verbinding te maken.

Als u problemen ondervindt bij het maken van verbinding met een VIRTUELE machine via uw VPN-verbinding, controleert u de volgende punten:

  • Controleer of uw VPN-verbinding tot stand is gebracht.
  • Controleer of u verbinding maakt met het privé-IP-adres voor de VM.
  • Als u verbinding kunt maken met de virtuele machine met behulp van het privé-IP-adres, maar niet de computernaam, controleert u of u DNS juist hebt geconfigureerd. Zie Naamomzetting voor VM's voor meer informatie over de werking van naamomzetting voor VM's.

Zie Problemen met Extern-bureaubladverbindingen met een VM oplossen voor meer informatie over Extern-bureaubladverbindingen.

  • Controleer of het configuratiepakket voor de VPN-client is gegenereerd nadat de IP-adressen van de DNS-server zijn opgegeven voor het VNet. Als u de IP-adressen van de DNS-server hebt bijgewerkt, genereert en installeert u een nieuw configuratiepakket voor de VPN-client.

  • Gebruik ipconfig om het IPv4-adres te controleren dat is toegewezen aan de Ethernet-adapter op de computer waaruit u verbinding maakt. Als het IP-adres zich binnen het adresbereik bevindt van het VNet waarmee u verbinding maakt, of binnen het adresbereik van uw VPNClientAddressPool, wordt dit een overlappende adresruimte genoemd. Als uw adresruimte op deze manier overlapt, kan het netwerkverkeer Azure niet bereiken en blijft het in het lokale netwerk.

Vertrouwde basiscertificaten toevoegen of verwijderen

U kunt vertrouwde basiscertificaat toevoegen in en verwijderen uit Azure. Wanneer u een basiscertificaat verwijdert, kunnen clients met een certificaat dat is gegenereerd op basis van die basis, zich niet verifiëren en dus geen verbinding maken. Als u wilt dat clients kunnen worden geverifieerd en verbinding kunnen maken, moet u een nieuw clientcertificaat installeren dat is gegenereerd op basis van een basiscertificaat dat wordt vertrouwd (is geüpload) in Azure.

U kunt maximaal 20 vertrouwde .cer-basiscertificaatbestanden toevoegen aan Azure. Zie de sectie Een vertrouwd basiscertificaat uploaden voor instructies.

Een vertrouwd basiscertificaat verwijderen:

  1. Navigeer naar de pagina punt-naar-site-configuratie voor uw virtuele netwerkgateway.
  2. Zoek in de sectie Basiscertificaat van de pagina het certificaat dat u wilt verwijderen.
  3. Selecteer het beletselteken naast het certificaat en selecteer vervolgens Verwijderen.

Een clientcertificaat intrekken

U kunt clientcertificaten intrekken. Met de certificaatintrekkingslijst kunt u P2S-connectiviteit selectief weigeren op basis van afzonderlijke clientcertificaten. Dit is anders van het verwijderen van een vertrouwd basiscertificaat. Als u een vertrouwd .cer-basiscertificaat uit Azure verwijdert, wordt de toegang ingetrokken voor alle clientcertificaten die zijn gegenereerd/ondertekend door het ingetrokken basiscertificaat. Als u in plaats van een basiscertificaat een clientcertificaat intrekt, kunt u de certificaten die zijn gegenereerd op basis van het basiscertificaat, blijven gebruiken voor verificatie.

De algemene procedure is het basiscertificaat te gebruiken om de toegang te beheren op het team- of organisatieniveau, terwijl u ingetrokken clientcertificaten gebruikt voor nauwkeuriger toegangsbeheer bij afzonderlijke gebruikers.

U kunt een clientcertificaat intrekken door de vingerafdruk toe te voegen aan de intrekkingslijst.

  1. Haal de vingerafdruk voor het clientcertificaat op. Zie voor meer informatie De vingerafdruk van een certificaat ophalen.
  2. Kopieer de gegevens naar een teksteditor en verwijder alle spaties, zodat deze een doorlopende tekenreeks is.
  3. Navigeer naar de pagina Punt-naar-site-configuratie van de virtuele netwerkgateway. Dit is de pagina die u ook hebt gebruikt voor het uploaden van een vertrouwd basiscertificaat.
  4. In het gedeelte Ingetrokken certificaten voert u een beschrijvende naam in voor het certificaat (dit hoeft niet de CN van het certificaat te zijn).
  5. Kopieer en plak de vingerafdruk naar het veld Vingerafdruk.
  6. De vingerafdruk wordt gevalideerd en automatisch toegevoegd aan de intrekkingslijst. Er wordt een bericht op het scherm weergegeven met de melding dat de lijst wordt bijgewerkt.
  7. Wanneer het bijwerken is voltooid, kan het certificaat niet langer worden gebruikt om verbinding te maken. Clients die verbinding proberen te maken met het certificaat, ontvangen een bericht waarin wordt gemeld dat het certificaat niet meer geldig is.

Veelgestelde vragen over punt-naar-site

Zie de veelgestelde vragen voor veelgestelde vragen.

Volgende stappen

Zodra de verbinding is voltooid, kunt u virtuele machines toevoegen aan uw VNets. Zie Virtuele machines voor meer informatie. Zie Azure and Linux VM Network Overview (Overzicht van Azure- en Linux-VM-netwerken) voor meer informatie over netwerken en virtuele machines.

Voor informatie over probleemoplossing voor P2S bekijkt u Troubleshooting Azure point-to-site connections (Problemen met punt-naar-site-verbindingen in Azure oplossen).