Udostępnij za pośrednictwem

Konfiguracja wymuszonego tunelowania dla sieci VPN typu punkt-do-lokacji Virtual WAN

Wymuszone tunelowanie umożliwia wysyłanie całego ruchu (w tym ruchu powiązanego z Internetem) z użytkowników zdalnych do platformy Azure. In Virtual WAN, forced tunneling for Point-to-site VPN remote users signifies that the 0.0.0.0/0 default route is advertised to remote VPN users.

Create a Virtual WAN hub

The steps in this article assume that you've already deployed a virtual WAN with one or more hubs.

Aby utworzyć nową wirtualną sieć WAN i nowe centrum, wykonaj kroki opisane w następujących artykułach:

Konfigurowanie sieci VPN typu punkt-lokacja

The steps in this article also assume that you already deployed a Point-to-site VPN gateway in the Virtual WAN hub. It also assumes you have created Point-to-site VPN profiles to assign to the gateway.

Aby utworzyć bramę sieci VPN typu punkt-lokacja i powiązane profile, zobacz Tworzenie bramy sieci VPN typu punkt-lokacja.

Istnieje kilka sposobów konfigurowania tunelowania wymuszonego i anonsowania trasy domyślnej (0.0.0.0/0) do klientów sieci VPN użytkownika zdalnego połączonych z usługą Virtual WAN.

  • You can specify a static 0.0.0.0/0 route in the defaultRouteTable with next hop Virtual Network Connection. This will force all internet-bound traffic to be sent to a Network Virtual Appliance deployed in that spoke Virtual Network. Aby uzyskać bardziej szczegółowe instrukcje, rozważ alternatywny przepływ pracy opisany w Route through NVAs.
  • Za pomocą usługi Azure Firewall Manager można skonfigurować usługę Virtual WAN do wysyłania całego ruchu powiązanego z Internetem za pośrednictwem usługi Azure Firewall wdrożonej w koncentratorze usługi Virtual WAN. Aby uzyskać instrukcje konfiguracji i samouczek, zobacz dokumentację dotyczącą zabezpieczania koncentratorów wirtualnych w usłudze Azure Firewall Manager. Alternatywnie można to skonfigurować za pomocą zasad routingu ruchu internetowego. Aby uzyskać więcej informacji, zobacz Zamiar routingu i zasady routingu.
  • Menedżer zapory umożliwia wysyłanie ruchu internetowego za pośrednictwem trzeciego dostawcy zabezpieczeń. Aby uzyskać więcej informacji na temat tej możliwości, zobacz Zaufane dostawcy zabezpieczeń.
  • You can configure one of your branches (Site-to-site VPN, ExpressRoute circuit) to advertise the 0.0.0.0/0 route to Virtual WAN.

Po skonfigurowaniu jednej z powyższych czterech metod upewnij się, że flaga EnableInternetSecurity jest włączona dla bramy sieci VPN typu punkt-lokacja. Ta flaga musi być ustawiona na wartość true, aby Twoi klienci byli prawidłowo skonfigurowani do wymuszonego tunelowania.

Aby włączyć flagę EnableInternetSecurity, użyj następującego polecenia programu PowerShell, zastępując odpowiednie wartości dla danego środowiska.

Update-AzP2sVpnGateway -ResourceGroupName "sampleRG" -Name "p2sgwsamplename" -EnableInternetSecurityFlag

Pobierz profil sieci VPN typu punkt-do-lokacji

To download the Point-to-site VPN profile, see global and hub profiles. Informacje w pliku zip pobranym z witryny Azure Portal mają kluczowe znaczenie dla prawidłowego konfigurowania klientów.

Konfigurowanie wymuszonego tunelowania dla klientów sieci VPN platformy Azure (OpenVPN)

Kroki konfigurowania wymuszonego tunelowania różnią się w zależności od systemu operacyjnego urządzenia użytkownika końcowego.

Klienci systemu Windows

Uwaga

W przypadku klientów z systemem Windows wymuszone tunelowanie przy użyciu klienta sieci VPN platformy Azure jest dostępne tylko w przypadku oprogramowania w wersji 2:1900:39.0 lub nowszej.

  1. Sprawdź, czy wersja klienta sieci VPN platformy Azure jest zgodna z wymuszonym tunelowaniem. W tym celu kliknij trzy kropki w dolnej części klienta sieci VPN platformy Azure, a następnie kliknij pozycję Pomoc. Alternatywnie skrót klawiatury, aby przejść do Pozycji Pomoc, to Ctrl-H. Numer wersji można znaleźć w górnej części ekranu. Upewnij się, że numer wersji to 2:1900:39.0 lub nowszy.

  2. Otwórz plik zip pobrany z poprzedniej sekcji. Powinien zostać wyświetlony folder o nazwie AzureVPN. Otwórz folder i otwórz azurevpnconfig.xml w ulubionym narzędziu do edycji XML.

  3. W azureconfig.xml istnieje pole o nazwie version (wersja). Jeśli numer między tagami wersji to 1, zmień numer wersji na 2.

    <version>2</version>

  4. Zaimportuj profil do klienta sieci VPN platformy Azure. Aby uzyskać więcej informacji na temat importowania profilu, zobacz Instrukcje importowania klienta sieci VPN platformy Azure.

  5. Połącz się z nowo dodanym połączeniem. You are now force-tunneling all traffic to Azure Virtual WAN.

Klienci z systemem macOS

Gdy klient systemu macOS nauczy się trasy domyślnej z usługi Azure, wymuszone tunelowanie zostanie automatycznie skonfigurowane na urządzeniu klienckim. Nie ma dodatkowych kroków do podjęcia. Aby uzyskać instrukcje dotyczące korzystania z klienta sieci VPN platformy Azure dla systemu macOS w celu nawiązania połączenia z bramą sieci VPN typu punkt-lokacja usługi Virtual WAN, zobacz Przewodnik konfiguracji systemu macOS.

Konfigurowanie wymuszonego tunelowania dla klientów IKEv2

W przypadku klientów IKEv2 nie można bezpośrednio używać profilów wykonywalnych pobranych z witryny Azure Portal. Aby prawidłowo skonfigurować klienta, należy uruchomić skrypt programu PowerShell lub rozpowszechnić profil sieci VPN za pośrednictwem usługi Intune.

Na podstawie metody uwierzytelniania skonfigurowanej na bramie sieci VPN typu punkt-lokacja, użyj innego pliku konfiguracji EAP. Poniżej przedstawiono przykładowe pliki konfiguracji protokołu EAP.

IKEv2 z uwierzytelnianiem certyfikatu użytkownika

Aby użyć certyfikatów użytkownika do uwierzytelniania użytkowników zdalnych, użyj poniższego przykładowego skryptu programu PowerShell. Aby poprawnie zaimportować zawartość plików XML vpnSettings i EAP do programu PowerShell, przejdź do odpowiedniego katalogu przed uruchomieniem polecenia Get-Content programu PowerShell.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"

# get the VPN Server FQDN from the profile downloaded from Azure Portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false

W poniższym przykładzie przedstawiono plik XML protokołu EAP na potrzeby uwierzytelniania opartego na certyfikatach użytkownika. Zastąp pole IssuerHash odciskiem palca certyfikatu głównego, aby upewnić się, że urządzenie klienckie wybierze prawidłowy certyfikat do przedstawienia serwerowi sieci VPN na potrzeby uwierzytelniania.

<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
    <EapMethod>
        <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
        <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
        <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
        <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
    </EapMethod>
    <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
        <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
            <Type>13</Type>
            <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                <CredentialsSource>
                    <CertificateStore>
                        <SimpleCertSelection>true</SimpleCertSelection>
                    </CertificateStore>
                </CredentialsSource>
                <ServerValidation>
                    <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                    <ServerNames></ServerNames>
                </ServerValidation>
                <DifferentUsername>false</DifferentUsername>
                <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                    <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                        <CAHashList Enabled="true">
                            <IssuerHash> REPLACE THIS WITH ROOT CERTIFICATE THUMBPRINT </IssuerHash>
                        </CAHashList>
                    </FilteringInfo>
                </TLSExtensions>
            </EapType>
        </Eap>
    </Config>
</EapHostConfig>

IKEv2 z uwierzytelnianiem certyfikatu komputera

Aby użyć certyfikatów maszyny do uwierzytelniania użytkowników zdalnych, użyj poniższego przykładowego skryptu programu PowerShell. Aby poprawnie zaimportować zawartość plików XML vpnSettings i EAP do programu PowerShell, przejdź do odpowiedniego katalogu przed uruchomieniem polecenia Get-Content programu PowerShell.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "UserCertVPNConnection"

# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod MachineCertificate 

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false

Protokół IKEv2 z uwierzytelnianiem serwera RADIUS przy użyciu nazwy użytkownika i hasła (EAP-MSCHAPv2)

Aby użyć uwierzytelniania usługi RADIUS opartego na nazwie użytkownika i hasła (EAP-MASCHAPv2) do uwierzytelniania użytkowników zdalnych, użyj poniższego przykładowego skryptu programu PowerShell. Aby poprawnie zaimportować zawartość plików XML vpnSettings i EAP do programu PowerShell, przejdź do odpowiedniego katalogu przed uruchomieniem polecenia Get-Content programu PowerShell.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"

# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Point-to-sitev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false

Przykładowy plik XML protokołu EAP jest następujący.

<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
    <EapMethod>
        <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">26</Type>
        <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
        <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
        <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
    </EapMethod>
    <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
        <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
            <Type>26</Type>
            <EapType xmlns="http://www.microsoft.com/provisioning/MsChapV2ConnectionPropertiesV1">
                <UseWinLogonCredentials>false</UseWinLogonCredentials>
            </EapType>
        </Eap>
    </Config>
</EapHostConfig>

Protokół IKEv2 z uwierzytelnianiem serwera RADIUS przy użyciu certyfikatów użytkownika (EAP-TLS)

Aby użyć uwierzytelniania RADIUS opartego na certyfikatach (EAP-TLS) do uwierzytelniania użytkowników zdalnych, użyj poniższego przykładowego skryptu programu PowerShell. Pamiętaj, że aby zaimportować zawartość plików VPNSettings i EAP XML do programu PowerShell, należy przejść do odpowiedniego katalogu przed uruchomieniem polecenia Get-Content programu PowerShell.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"

# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false

Poniżej znajduje się przykładowy plik XML protokołu EAP. Change the TrustedRootCA field to the thumbprint of your Certificate Authority's certificate and the IssuerHash to be the thumbprint of the Root Certificate.

<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
    <EapMethod>
        <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
        <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
        <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
        <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
    </EapMethod>
    <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
        <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
            <Type>13</Type>
            <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                <CredentialsSource>
                    <CertificateStore>
                        <SimpleCertSelection>false</SimpleCertSelection>
                    </CertificateStore>
                </CredentialsSource>
                <ServerValidation>
                    <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                    <ServerNames></ServerNames>
                    <TrustedRootCA> CERTIFICATE AUTHORITY THUMBPRINT </TrustedRootCA>
                </ServerValidation>
                <DifferentUsername>true</DifferentUsername>
                <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation>
                <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName>
                <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                    <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                        <CAHashList Enabled="true">
                            <IssuerHash> ROOT CERTIFICATE THUMBPRINT  </IssuerHash>
                        </CAHashList>
                    </FilteringInfo>
                </TLSExtensions>
            </EapType>
        </Eap>
    </Config>
</EapHostConfig>

Następne kroki

Aby uzyskać więcej informacji na temat usługi Virtual WAN, zobacz często zadawane pytania.