Werken op afstand met punt-naar-site van Azure VPN Gateway
Notitie
In dit artikel wordt beschreven hoe u azure VPN Gateway, Azure, Het Microsoft-netwerk en het Azure-partnerecosysteem kunt gebruiken om op afstand te werken en netwerkproblemen te beperken die u ondervindt vanwege een COVID-19-crisis.
In dit artikel worden de opties beschreven die beschikbaar zijn voor organisaties om externe toegang in te stellen voor hun gebruikers of om hun bestaande oplossingen aan te vullen met extra capaciteit tijdens de COVID-19-epidemie.
De punt-naar-site-oplossing van Azure is cloudgebaseerd en kan snel worden ingericht om tegemoet te komen aan de toegenomen vraag van gebruikers om thuis te werken. Het kan gemakkelijk omhoog worden geschaald en uitgeschakeld, net zo eenvoudig en snel wanneer de verhoogde capaciteit niet meer nodig is.
Over Punt-naar-site VPN
Met een point-to-site-VPN-gatewayverbinding (P2S) kunt u vanaf een afzonderlijke clientcomputer een beveiligde verbinding maken met uw virtuele netwerk. Een P2S-verbinding wordt tot stand gebracht door deze te starten vanaf de clientcomputer. Deze oplossing is handig voor telecommuters die verbinding willen maken met Azure VNets of on-premises datacenters vanaf een externe locatie, zoals thuis of een conferentie. In dit artikel wordt beschreven hoe u gebruikers in staat stelt om op afstand te werken op basis van verschillende scenario's.
In de volgende tabel ziet u de clientbesturingssystemen en de verificatieopties die voor hen beschikbaar zijn. Het is handig om de verificatiemethode te selecteren op basis van het client-besturingssysteem dat al wordt gebruikt. Selecteer bijvoorbeeld OpenVPN met verificatie op basis van certificaten als u een combinatie van clientbesturingssystemen hebt die verbinding moeten maken. Houd er ook rekening mee dat punt-naar-site-VPN alleen wordt ondersteund op op route gebaseerde VPN-gateways.
Scenario 1: gebruikers hebben alleen toegang nodig tot resources in Azure
In dit scenario hoeven de externe gebruikers alleen toegang te krijgen tot resources die zich in Azure bevinden.
Op hoog niveau zijn de volgende stappen nodig om gebruikers in staat te stellen veilig verbinding te maken met Azure-resources:
Maak een virtuele netwerkgateway (als deze niet bestaat).
Configureer punt-naar-site-VPN op de gateway.
- Volg deze koppeling voor certificaatverificatie.
- Volg deze koppeling voor OpenVPN.
- Volg deze koppeling voor Microsoft Entra-verificatie.
- Volg deze koppeling voor het oplossen van problemen met punt-naar-site-verbindingen.
Download en distribueer de CONFIGURATIE van de VPN-client.
Distribueer de certificaten (als certificaatverificatie is geselecteerd) naar de clients.
Verbinding maken naar Azure VPN.
Scenario 2: gebruikers hebben toegang nodig tot resources in Azure en/of on-premises resources
In dit scenario moeten de externe gebruikers toegang hebben tot resources die zich in Azure en in het on-premises datacenter(en) bevinden.
Op hoog niveau zijn de volgende stappen nodig om gebruikers in staat te stellen veilig verbinding te maken met Azure-resources:
- Maak een virtuele netwerkgateway (als deze niet bestaat).
- Punt-naar-site-VPN configureren op de gateway (zie Scenario 1).
- Configureer een site-naar-site-tunnel op de gateway van het virtuele Azure-netwerk waarvoor BGP is ingeschakeld.
- Configureer het on-premises apparaat om verbinding te maken met de gateway van het virtuele Azure-netwerk.
- Het punt-naar-site-profiel downloaden vanuit Azure Portal en distribueren naar clients
Zie deze koppeling voor meer informatie over het instellen van een site-naar-site-VPN-tunnel.
Veelgestelde vragen over systeemeigen Azure-certificaatverificatie
Hoeveel VPN-clienteindpunten kan ik hebben in mijn punt-naar-site-configuratie?
Dit is afhankelijk van de gateway-SKU. Zie Gateway-SKU's voor meer informatie over het aantal ondersteunde verbindingen.
Welke clientbesturingssystemen kan ik gebruiken met punt-naar-site?
De volgende clientbesturingssystemen worden ondersteund:
- Windows Server 2008 R2 (alleen 64-bits)
- Windows 8.1 (32-bits en 64-bits)
- Windows Server 2012 (alleen 64-bits)
- Windows Server 2012 R2 (alleen 64-bits)
- Windows Server 2016 (alleen 64-bits)
- Windows Server 2019 (alleen 64-bits)
- Windows Server 2022 (alleen 64-bits)
- Windows 10
- Windows 11
- macOS versie 10.11 of hoger
- Linux (StrongSwan)
- iOS
Kan ik proxy's en firewalls doorkruisen met behulp van punt-naar-site-functionaliteit?
Azure ondersteunt drie soorten point-to-site-VPN-opties:
Secure Socket Tunneling Protocol (SSTP). SSTP is een bedrijfseigen, op SSL gebaseerde oplossing van Microsoft die firewalls kan passeren, omdat de meeste firewalls de uitgaande TCP-poort 443 openen die door SSL wordt gebruikt.
OpenVPN. OpenVPN is een op SSL gebaseerde oplossing van Microsoft die firewalls kan passeren, omdat de meeste firewalls de uitgaande TCP-poort 443 openen die door SSL wordt gebruikt.
IKEv2 VPN. IKEv2 VPN is een op standaarden gebaseerde IPsec VPN-oplossing die gebruikmaakt van uitgaande UDP-poorten 500 en 4500 en IP-protocol nr. 50. Firewalls openen deze poorten niet altijd, dus er is een mogelijkheid dat IKEv2 VPN geen proxy's en firewalls kan doorkruisen.
Als ik een clientcomputer die is geconfigureerd voor punt-naar-site opnieuw opstart, wordt de VPN automatisch opnieuw verbonden?
Automatisch opnieuw verbinding maken is een functie van de client die wordt gebruikt. Windows ondersteunt automatisch opnieuw verbinding maken door de functie AlwaysOn VPN-client te configureren.
Biedt punt-naar-site ondersteuning voor DDNS op de VPN-clients?
DDNS wordt momenteel niet ondersteund in punt-naar-site-VPN's.
Kan ik site-naar-site- en punt-naar-site-configuraties naast elkaar gebruiken voor hetzelfde virtuele netwerk?
Ja. Voor het Resource Manager-implementatiemodel moet u een RouteBased VPN-type hebben voor uw gateway. Voor het klassieke implementatiemodel hebt u een dynamische gateway nodig. Punt-naar-site wordt niet ondersteund voor VPN-gateways voor statische routering of PolicyBased VPN-gateways.
Kan ik een punt-naar-site-client configureren om tegelijkertijd verbinding te maken met meerdere virtuele netwerkgateways?
Afhankelijk van de gebruikte VPN-clientsoftware, kunt u mogelijk verbinding maken met meerdere virtuele netwerkgateways, mits de virtuele netwerken waarmee verbinding wordt gemaakt geen conflicterende adresruimten hebben tussen deze gateways of het netwerk van waaruit de client verbinding maakt. Hoewel de Azure VPN Client ondersteuning biedt voor veel VPN-verbindingen, kan er maar één verbinding tegelijk Verbonden zijn.
Kan ik een punt-naar-site-client configureren om tegelijkertijd verbinding te maken met meerdere virtuele netwerken?
Ja, punt-naar-site-clientverbindingen met een virtuele netwerkgateway die is geïmplementeerd in een VNet dat is gekoppeld aan andere VNets, heeft mogelijk toegang tot andere gekoppelde VNets. punt-naar-site-clients kunnen verbinding maken met gekoppelde VNets zolang de gekoppelde VNets gebruikmaken van de functies UseRemoteGateway/AllowGatewayTransit. Zie Over punt-naar-site-routering voor meer informatie.
Hoeveel doorvoer kan ik verwachten via site-naar-site- of punt-naar-site-verbindingen?
Het is moeilijk om de exacte doorvoer van de VPN-tunnels te onderhouden. IPSec en SSTP zijn cryptografisch zware VPN-protocollen. Doorvoer wordt ook beperkt door de latentie en bandbreedte tussen uw locatie en het internet. Voor een VPN-gateway met alleen IKEv2-punt-naar-site-VPN-verbindingen is de totale doorvoer die u kunt verwachten, afhankelijk van de gateway-SKU. Zie Gateway-SKU's voor meer informatie over doorvoer.
Kan ik een software-VPN-client gebruiken voor punt-naar-site die ondersteuning biedt voor SSTP en/of IKEv2?
Nee U kunt alleen de systeemeigen VPN-client van Windows voor SSTP en de systeemeigen VPN-client van Mac voor IKEv2 gebruiken. U kunt echter de OpenVPN-client op alle platforms gebruiken om verbinding te maken via het OpenVPN-protocol. Raadpleeg de lijst met ondersteunde clientbesturingssystemen.
Kan ik het verificatietype voor een punt-naar-site-verbinding wijzigen?
Ja. Navigeer in de portal naar de VPN-gateway -> punt-naar-site-configuratiepagina . Selecteer voor verificatietype de verificatietypen die u wilt gebruiken. Nadat u een wijziging hebt aangebracht in een verificatietype, kunnen huidige clients mogelijk geen verbinding maken totdat een nieuw VPN-clientconfiguratieprofiel is gegenereerd, gedownload en toegepast op elke VPN-client.
Biedt Azure ondersteuning voor IKEv2-VPN met Windows?
IKEv2 wordt ondersteund op Windows 10 en Server 2016. Als u IKEv2 echter in bepaalde versies van het besturingssysteem wilt gebruiken, moet u updates installeren en een registersleutelwaarde lokaal instellen. Besturingssysteemversies vóór Windows 10 worden niet ondersteund en kunnen alleen SSTP of OpenVPN® Protocol gebruiken.
Notitie
Voor het windows-besturingssysteem worden nieuwere versies dan Windows 10 versie 1709 en Windows Server 2016 versie 1607 niet vereist.
Windows 10 of Server 2016 voorbereiden voor IKEv2:
Installeer de update op basis van uw besturingssysteemversie:
Besturingssysteemversie Datum Aantal/koppeling Windows Server 2016
Windows 10 versie 160717 januari 2018 KB4057142 Windows 10 versie 1703 17 januari 2018 KB4057144 Windows 10 versie 1709 22 maart 2018 KB4089848 De registersleutelwaarde instellen. Maak of stel de REG_DWORD-sleutel 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload' in het register in op 1.
Wat is de LIMIET van de IKEv2-verkeersselector voor punt-naar-site-verbindingen?
Windows 10 versie 2004 (uitgebracht september 2021) verhoogde de limiet voor verkeersselector tot 255. Versies van Windows ouder dan deze hebben een verkeersselectorlimiet van 25.
De limiet voor verkeersselectors in Windows bepaalt het maximum aantal adresruimten in uw virtuele netwerk en de maximale som van uw lokale netwerken, VNet-naar-VNet-verbindingen en gekoppelde VNet's die zijn verbonden met de gateway. Op Windows gebaseerde punt-naar-site-clients kunnen geen verbinding maken via IKEv2 als ze deze limiet overschrijden.
Wat gebeurt er als ik zowel SSTP als IKEv2 voor P2S-VPN-verbindingen configureer?
Wanneer u zowel SSTP als IKEv2 configureert in een gemengde omgeving (bestaande uit Windows- en Mac-apparaten), zal de Windows VPN-client altijd eerst IKEv2-tunnel proberen, maar terugvallen op SSTP als de IKEv2-verbinding niet lukt. MacOSX maakt alleen verbinding via IKEv2.
Wanneer U zowel SSTP als IKEv2 hebt ingeschakeld op de gateway, wordt de punt-naar-site-adresgroep statisch verdeeld tussen de twee, zodat clients die verschillende protocollen gebruiken IP-adressen uit beide subbereiken krijgen toegewezen. Houd er rekening mee dat de maximale hoeveelheid SSTP-clients altijd 128 is, zelfs als het adresbereik groter is dan /24, wat resulteert in een grotere hoeveelheid adressen die beschikbaar zijn voor IKEv2-clients. Voor kleinere bereiken wordt het zwembad even gehalveerd. Verkeersselectors die door de gateway worden gebruikt, bevatten mogelijk niet het CIDR-adresbereik punt-naar-site, maar de twee subbereik-CIDR's.
Welke platformen, naast Windows en Mac, worden door Azure ondersteund voor P25-VPN?
ondersteuning voor Azure s Windows, Mac en Linux voor P2S VPN.
Ik heb al een Azure VPN-gateway geïmplementeerd. Kan ik er RADIUS en/of IKEv2 VPN voor inschakelen?
Ja, als de gateway-SKU die u gebruikt RADIUS en/of IKEv2 ondersteunt, kunt u deze functies inschakelen op gateways die u al hebt geïmplementeerd met behulp van PowerShell of Azure Portal. De Basic-SKU biedt geen ondersteuning voor RADIUS of IKEv2.
Hoe kan ik de configuratie van een P2S-verbinding verwijderen?
Een P2S-configuratie kan worden verwijderd met behulp van Azure CLI en PowerShell met behulp van de volgende opdrachten:
Azure PowerShell
$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`
$gw.VPNClientConfiguration = $null`
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`
Azure CLI
az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"
Wat moet ik doen als een certificaat niet overeenkomt wanneer ik verbinding maak met certificaatverificatie?
Schakel 'De identiteit van de server controleren door het certificaat te valideren' uit of voeg de FQDN van de server toe samen met het certificaat wanneer u handmatig een profiel maakt. U doet dit door rasphone uit te voeren vanuit de opdrachtprompt en het profiel te selecteren uit het vervolgkeuzemenu.
Het omzeilen van serveridentiteitsvalidatie wordt in het algemeen niet aanbevolen, maar met Azure-certificaatverificatie wordt hetzelfde certificaat gebruikt voor servervalidatie in het VPN-tunnelingprotocol (IKEv2/SSTP) en het EAP-protocol. Omdat het servercertificaat en de FQDN al zijn gevalideerd door het VPN-tunnelingprotocol, is het redundant om hetzelfde opnieuw te valideren in EAP.
Kan ik mijn eigen interne PKI basis-CA gebruiken om certificaten te genereren voor een punt-naar-site-verbinding?
Ja. Voorheen konen alleen zelfondertekende basiscertificaten worden gebruikt. U kunt nog steeds 20 basiscertificaten uploaden.
Kan ik certificaten gebruiken uit Azure Key Vault?
Nee
Welke hulpprogramma's kan ik gebruiken om certificaten te maken?
U kunt uw Enterprise PKI-oplossing (uw interne PKI), Azure PowerShell, MakeCert en OpenSSL gebruiken.
Zijn er instructies voor het instellen van het certificaat en de parameters?
Interne PKI/Enterprise PKI-oplossing: zie de stappen om certificaten te genereren.
Azure PowerShell: zie het Azure PowerShell-artikel voor een stappenplan.
MakeCert: zie het MakeCert-artikel voor een stappenplan.
OpenSSL:
Bij het exporteren van certificaten, moet u het basiscertificaat naar Base64 converteren.
Voor het clientcertificaat:
- Bij het maken van de persoonlijke sleutel, moet u de lengte 4096 opgeven.
- Bij het maken van het certificaat moet u voor de paramter -extensies de waarde usr_cert opgeven.
Veelgestelde vragen over RADIUS-verificatie
Hoeveel VPN-clienteindpunten kan ik hebben in mijn punt-naar-site-configuratie?
Dit is afhankelijk van de gateway-SKU. Zie Gateway-SKU's voor meer informatie over het aantal ondersteunde verbindingen.
Welke clientbesturingssystemen kan ik gebruiken met punt-naar-site?
De volgende clientbesturingssystemen worden ondersteund:
- Windows Server 2008 R2 (alleen 64-bits)
- Windows 8.1 (32-bits en 64-bits)
- Windows Server 2012 (alleen 64-bits)
- Windows Server 2012 R2 (alleen 64-bits)
- Windows Server 2016 (alleen 64-bits)
- Windows Server 2019 (alleen 64-bits)
- Windows Server 2022 (alleen 64-bits)
- Windows 10
- Windows 11
- macOS versie 10.11 of hoger
- Linux (StrongSwan)
- iOS
Kan ik proxy's en firewalls doorkruisen met behulp van punt-naar-site-functionaliteit?
Azure ondersteunt drie soorten point-to-site-VPN-opties:
Secure Socket Tunneling Protocol (SSTP). SSTP is een bedrijfseigen, op SSL gebaseerde oplossing van Microsoft die firewalls kan passeren, omdat de meeste firewalls de uitgaande TCP-poort 443 openen die door SSL wordt gebruikt.
OpenVPN. OpenVPN is een op SSL gebaseerde oplossing van Microsoft die firewalls kan passeren, omdat de meeste firewalls de uitgaande TCP-poort 443 openen die door SSL wordt gebruikt.
IKEv2 VPN. IKEv2 VPN is een op standaarden gebaseerde IPsec VPN-oplossing die gebruikmaakt van uitgaande UDP-poorten 500 en 4500 en IP-protocol nr. 50. Firewalls openen deze poorten niet altijd, dus er is een mogelijkheid dat IKEv2 VPN geen proxy's en firewalls kan doorkruisen.
Als ik een clientcomputer die is geconfigureerd voor punt-naar-site opnieuw opstart, wordt de VPN automatisch opnieuw verbonden?
Automatisch opnieuw verbinding maken is een functie van de client die wordt gebruikt. Windows ondersteunt automatisch opnieuw verbinding maken door de functie AlwaysOn VPN-client te configureren.
Biedt punt-naar-site ondersteuning voor DDNS op de VPN-clients?
DDNS wordt momenteel niet ondersteund in punt-naar-site-VPN's.
Kan ik site-naar-site- en punt-naar-site-configuraties naast elkaar gebruiken voor hetzelfde virtuele netwerk?
Ja. Voor het Resource Manager-implementatiemodel moet u een RouteBased VPN-type hebben voor uw gateway. Voor het klassieke implementatiemodel hebt u een dynamische gateway nodig. Punt-naar-site wordt niet ondersteund voor VPN-gateways voor statische routering of PolicyBased VPN-gateways.
Kan ik een punt-naar-site-client configureren om tegelijkertijd verbinding te maken met meerdere virtuele netwerkgateways?
Afhankelijk van de gebruikte VPN-clientsoftware, kunt u mogelijk verbinding maken met meerdere virtuele netwerkgateways, mits de virtuele netwerken waarmee verbinding wordt gemaakt geen conflicterende adresruimten hebben tussen deze gateways of het netwerk van waaruit de client verbinding maakt. Hoewel de Azure VPN Client ondersteuning biedt voor veel VPN-verbindingen, kan er maar één verbinding tegelijk Verbonden zijn.
Kan ik een punt-naar-site-client configureren om tegelijkertijd verbinding te maken met meerdere virtuele netwerken?
Ja, punt-naar-site-clientverbindingen met een virtuele netwerkgateway die is geïmplementeerd in een VNet dat is gekoppeld aan andere VNets, heeft mogelijk toegang tot andere gekoppelde VNets. punt-naar-site-clients kunnen verbinding maken met gekoppelde VNets zolang de gekoppelde VNets gebruikmaken van de functies UseRemoteGateway/AllowGatewayTransit. Zie Over punt-naar-site-routering voor meer informatie.
Hoeveel doorvoer kan ik verwachten via site-naar-site- of punt-naar-site-verbindingen?
Het is moeilijk om de exacte doorvoer van de VPN-tunnels te onderhouden. IPSec en SSTP zijn cryptografisch zware VPN-protocollen. Doorvoer wordt ook beperkt door de latentie en bandbreedte tussen uw locatie en het internet. Voor een VPN-gateway met alleen IKEv2-punt-naar-site-VPN-verbindingen is de totale doorvoer die u kunt verwachten, afhankelijk van de gateway-SKU. Zie Gateway-SKU's voor meer informatie over doorvoer.
Kan ik een software-VPN-client gebruiken voor punt-naar-site die ondersteuning biedt voor SSTP en/of IKEv2?
Nee U kunt alleen de systeemeigen VPN-client van Windows voor SSTP en de systeemeigen VPN-client van Mac voor IKEv2 gebruiken. U kunt echter de OpenVPN-client op alle platforms gebruiken om verbinding te maken via het OpenVPN-protocol. Raadpleeg de lijst met ondersteunde clientbesturingssystemen.
Kan ik het verificatietype voor een punt-naar-site-verbinding wijzigen?
Ja. Navigeer in de portal naar de VPN-gateway -> punt-naar-site-configuratiepagina . Selecteer voor verificatietype de verificatietypen die u wilt gebruiken. Nadat u een wijziging hebt aangebracht in een verificatietype, kunnen huidige clients mogelijk geen verbinding maken totdat een nieuw VPN-clientconfiguratieprofiel is gegenereerd, gedownload en toegepast op elke VPN-client.
Biedt Azure ondersteuning voor IKEv2-VPN met Windows?
IKEv2 wordt ondersteund op Windows 10 en Server 2016. Als u IKEv2 echter in bepaalde versies van het besturingssysteem wilt gebruiken, moet u updates installeren en een registersleutelwaarde lokaal instellen. Besturingssysteemversies vóór Windows 10 worden niet ondersteund en kunnen alleen SSTP of OpenVPN® Protocol gebruiken.
Notitie
Voor het windows-besturingssysteem worden nieuwere versies dan Windows 10 versie 1709 en Windows Server 2016 versie 1607 niet vereist.
Windows 10 of Server 2016 voorbereiden voor IKEv2:
Installeer de update op basis van uw besturingssysteemversie:
Besturingssysteemversie Datum Aantal/koppeling Windows Server 2016
Windows 10 versie 160717 januari 2018 KB4057142 Windows 10 versie 1703 17 januari 2018 KB4057144 Windows 10 versie 1709 22 maart 2018 KB4089848 De registersleutelwaarde instellen. Maak of stel de REG_DWORD-sleutel 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload' in het register in op 1.
Wat is de LIMIET van de IKEv2-verkeersselector voor punt-naar-site-verbindingen?
Windows 10 versie 2004 (uitgebracht september 2021) verhoogde de limiet voor verkeersselector tot 255. Versies van Windows ouder dan deze hebben een verkeersselectorlimiet van 25.
De limiet voor verkeersselectors in Windows bepaalt het maximum aantal adresruimten in uw virtuele netwerk en de maximale som van uw lokale netwerken, VNet-naar-VNet-verbindingen en gekoppelde VNet's die zijn verbonden met de gateway. Op Windows gebaseerde punt-naar-site-clients kunnen geen verbinding maken via IKEv2 als ze deze limiet overschrijden.
Wat gebeurt er als ik zowel SSTP als IKEv2 voor P2S-VPN-verbindingen configureer?
Wanneer u zowel SSTP als IKEv2 configureert in een gemengde omgeving (bestaande uit Windows- en Mac-apparaten), zal de Windows VPN-client altijd eerst IKEv2-tunnel proberen, maar terugvallen op SSTP als de IKEv2-verbinding niet lukt. MacOSX maakt alleen verbinding via IKEv2.
Wanneer U zowel SSTP als IKEv2 hebt ingeschakeld op de gateway, wordt de punt-naar-site-adresgroep statisch verdeeld tussen de twee, zodat clients die verschillende protocollen gebruiken IP-adressen uit beide subbereiken krijgen toegewezen. Houd er rekening mee dat de maximale hoeveelheid SSTP-clients altijd 128 is, zelfs als het adresbereik groter is dan /24, wat resulteert in een grotere hoeveelheid adressen die beschikbaar zijn voor IKEv2-clients. Voor kleinere bereiken wordt het zwembad even gehalveerd. Verkeersselectors die door de gateway worden gebruikt, bevatten mogelijk niet het CIDR-adresbereik punt-naar-site, maar de twee subbereik-CIDR's.
Welke platformen, naast Windows en Mac, worden door Azure ondersteund voor P25-VPN?
ondersteuning voor Azure s Windows, Mac en Linux voor P2S VPN.
Ik heb al een Azure VPN-gateway geïmplementeerd. Kan ik er RADIUS en/of IKEv2 VPN voor inschakelen?
Ja, als de gateway-SKU die u gebruikt RADIUS en/of IKEv2 ondersteunt, kunt u deze functies inschakelen op gateways die u al hebt geïmplementeerd met behulp van PowerShell of Azure Portal. De Basic-SKU biedt geen ondersteuning voor RADIUS of IKEv2.
Hoe kan ik de configuratie van een P2S-verbinding verwijderen?
Een P2S-configuratie kan worden verwijderd met behulp van Azure CLI en PowerShell met behulp van de volgende opdrachten:
Azure PowerShell
$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`
$gw.VPNClientConfiguration = $null`
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`
Azure CLI
az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"
Wordt RADIUS-verificatie ondersteund op alle Azure VPN Gateway SKU’s?
RADIUS-verificatie wordt ondersteund voor alle SKU's, met uitzondering van de Basic-SKU.
Voor verouderde SKU's wordt RADIUS-verificatie ondersteund op Standard- en High Performance-SKU's. Dit wordt niet ondersteund in de Basic Gateway-SKU.
Wordt RADIUS-verificatie ondersteund voor het klassieke implementatiemodel?
Nee RADIUS-verificatie wordt niet ondersteund voor het klassieke implementatiemodel.
Wat is de time-outperiode voor RADIUS-aanvragen die naar de RADIUS-server worden verzonden?
RADIUS-aanvragen worden na 30 seconden ingesteld op time-out. Door de gebruiker gedefinieerde time-outwaarden worden momenteel niet ondersteund.
Worden RADIUS-servers van derden ondersteund?
Ja, RADIUS-servers van derden worden ondersteund.
Wat zijn de connectiviteitsvereisten om ervoor te zorgen dat de Azure-gateway een on-premises RADIUS-server kan bereiken?
Een site-naar-site-VPN-verbinding met de on-premises site, waarbij de juiste routes zijn geconfigureerd, is vereist.
Kan het verkeer naar een on-premises RADIUS-server (van de Azure VPN-gateway) worden gerouteerd via een ExpressRoute-verbinding?
Nee Het kan alleen worden gerouteerd via een site-naar-site-verbinding.
Is er een wijziging in het aantal SSTP-verbindingen dat met RADIUS-verificatie wordt ondersteund? Wat is het maximumaantal ondersteunde SSTP- en IKEv2-verbindingen?
Er is geen wijziging in het maximum aantal SSTP-verbindingen dat wordt ondersteund op een gateway met RADIUS-verificatie. Dit blijft 128 voor SSTP, maar is afhankelijk van de gateway-SKU voor IKEv2. Zie Gateway-SKU's voor meer informatie over het aantal ondersteunde verbindingen.
Wat is het verschil tussen het uitvoeren van certificaatverificatie met behulp van een RADIUS-server versus het gebruik van systeemeigen Azure-certificaatverificatie (door een vertrouwd certificaat te uploaden naar Azure)?
Bij RADIUS-certificaatverificatie wordt de verificatieaanvraag doorgestuurd naar een RADIUS-server, waar de werkelijke certificaatvalidatie wordt uitgevoerd. Deze optie is nuttig als u via RADIUS wilt integreren met een certificaatverificatie-infrastructuur die u al hebt.
Wanneer u Azure gebruikt voor certificaatverificatie, voert de Azure VPN-gateway de validatie van het certificaat uit. U moet de openbare sleutel van uw certificaat uploaden naar de gateway. U kunt ook een lijst opgeven met ingetrokken certificaten die niet mogen worden gebruikt om verbinding te maken.
Werkt RADIUS-verificatie met zowel IKEv2 als SSTP VPN?
Ja, RADIUS-verificatie wordt ondersteund voor zowel IKEv2 als SSTP VPN.
Werkt RADIUS-verificatie met de OpenVPN client?
RADIUS-verificatie wordt ondersteund voor het OpenVPN-protocol.
Volgende stappen
Een P2S-verbinding configureren - Microsoft Entra-verificatie
Een P2S-verbinding configureren - Systeemeigen Azure-certificaatverificatie
"OpenVPN" is een handelsmerk van OpenVPN Inc.