Udostępnij za pośrednictwem

Konfigurowanie tunelu zawsze włączonego urządzenia sieci VPN dla wirtualnej sieci WAN

Funkcja Always On została wprowadzona w kliencie sieci VPN systemu Windows 10. Zawsze włączone jest możliwość obsługi połączenia sieci VPN. W przypadku opcji Zawsze włączone aktywny profil sieci VPN może łączyć się automatycznie i pozostać połączony na podstawie wyzwalaczy, takich jak logowanie użytkownika, zmiana stanu sieci lub aktywny ekran urządzenia.

Bramy z funkcją Always On można używać do ustanawiania trwałych tuneli użytkownika i tuneli urządzeń na platformie Azure.

Zawsze włączone połączenia sieci VPN obejmują jeden z dwóch typów tuneli:

  • Tunel urządzenia: łączy się z określonymi serwerami sieci VPN, zanim użytkownicy zalogują się do urządzenia. Scenariusze łączności logowania wstępnego i zarządzanie urządzeniami korzystają z tunelu urządzenia.

  • Tunel użytkownika: łączy się tylko po zalogowaniu się użytkowników do urządzenia. Za pomocą tuneli użytkownika można uzyskiwać dostęp do zasobów organizacji za pośrednictwem serwerów sieci VPN.

Tunele urządzeń i tunele użytkowników działają niezależnie od profilów sieci VPN. Można je połączyć w tym samym czasie i mogą używać różnych metod uwierzytelniania i innych ustawień konfiguracji sieci VPN, zgodnie z potrzebami.

Wymagania wstępne

Należy utworzyć konfigurację punkt-lokacja i edytować przypisanie koncentratora wirtualnego. Aby uzyskać instrukcje, zobacz następujące sekcje:

Konfigurowanie tunelu urządzenia

Aby pomyślnie ustanowić tunel urządzenia, należy spełnić następujące wymagania:

  • Urządzenie musi być komputerem przyłączonym do domeny z systemem Windows 10 Enterprise lub Education w wersji 1809 lub nowszej.
  • Tunel można skonfigurować tylko dla wbudowanego rozwiązania sieci VPN systemu Windows i jest ustanawiany przy użyciu protokołu IKEv2 z uwierzytelnianiem certyfikatu komputera.
  • Na urządzenie można skonfigurować tylko jeden tunel urządzenia.
  1. Zainstaluj certyfikaty klienta na kliencie systemu Windows 10 lub nowszym przy użyciu artykułu klient sieci VPN typu punkt-lokacja. Certyfikat musi znajdować się w magazynie komputerów lokalnych.
  2. Utwórz profil sieci VPN i skonfiguruj tunel urządzenia w kontekście konta SYSTEM LOKALNY, korzystając z tych instrukcji.

Przykład konfiguracji tunelu urządzenia

Po skonfigurowaniu bramy sieci wirtualnej i zainstalowaniu certyfikatu klienta w magazynie komputerów lokalnych na kliencie systemu Windows 10 lub nowszym użyj następujących przykładów, aby skonfigurować tunel urządzenia klienckiego:

  1. Skopiuj następujący tekst i zapisz go jako devicecert.ps1.

    Param(
[string]$xmlFilePath,
[string]$ProfileName
)

$a = Test-Path $xmlFilePath
echo $a

$ProfileXML = Get-Content $xmlFilePath

echo $XML

$ProfileNameEscaped = $ProfileName -replace ' ', '%20'

$Version = 201606090004

$ProfileXML = $ProfileXML -replace '<', '&lt;'
$ProfileXML = $ProfileXML -replace '>', '&gt;'
$ProfileXML = $ProfileXML -replace '"', '&quot;'

$nodeCSPURI = './Vendor/MSFT/VPNv2'
$namespaceName = "root\cimv2\mdm\dmmap"
$className = "MDM_VPNv2_01"

$session = New-CimSession

try
{
$newInstance = New-Object Microsoft.Management.Infrastructure.CimInstance $className, $namespaceName
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create("ParentID", "$nodeCSPURI", 'String', 'Key')
$newInstance.CimInstanceProperties.Add($property)
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create("InstanceID", "$ProfileNameEscaped", 'String', 'Key')
$newInstance.CimInstanceProperties.Add($property)
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create("ProfileXML", "$ProfileXML", 'String', 'Property')
$newInstance.CimInstanceProperties.Add($property)

$session.CreateInstance($namespaceName, $newInstance)
$Message = "Created $ProfileName profile."
Write-Host "$Message"
}
catch [Exception]
{
$Message = "Unable to create $ProfileName profile: $_"
Write-Host "$Message"
exit
}
$Message = "Complete."
Write-Host "$Message"

  2. Skopiuj następujący tekst i zapisz go jako VPNProfile.xml w tym samym folderze co devicecert.ps1. Edytuj następujący tekst, aby był zgodny ze środowiskiem.

    • <Servers>azuregateway-1234-56-78dc.cloudapp.net</Servers> <= Can be found in the VpnSettings.xml in the downloaded profile zip file
    • <Address>192.168.3.5</Address> <= IP of resource in the vnet or the vnet address space
    • <Address>192.168.3.4</Address> <= IP of resource in the vnet or the vnet address space
    <VPNProfile>  
  <NativeProfile>  
<Servers>azuregateway-1234-56-78dc.cloudapp.net</Servers>  
<NativeProtocolType>IKEv2</NativeProtocolType>  
<Authentication>  
  <MachineMethod>Certificate</MachineMethod>  
</Authentication>  
<RoutingPolicyType>SplitTunnel</RoutingPolicyType>  
 <!-- disable the addition of a class based route for the assigned IP address on the VPN interface -->
<DisableClassBasedDefaultRoute>true</DisableClassBasedDefaultRoute>  
  </NativeProfile> 
  <!-- use host routes(/32) to prevent routing conflicts -->  
  <Route>  
<Address>192.168.3.5</Address>  
<PrefixSize>32</PrefixSize>  
  </Route>  
  <Route>  
<Address>192.168.3.4</Address>  
<PrefixSize>32</PrefixSize>  
  </Route>  
<!-- need to specify always on = true --> 
  <AlwaysOn>true</AlwaysOn> 
<!-- new node to specify that this is a device tunnel -->  
 <DeviceTunnel>true</DeviceTunnel>
<!--new node to register client IP address in DNS to enable manage out -->
<RegisterDNS>true</RegisterDNS>
</VPNProfile>

  3. Pobierz narzędzie PsExec z narzędzia Sysinternals i wyodrębnij pliki do folderu C:\PSTools.

  4. W wierszu polecenia cmD administratora uruchom program PowerShell, uruchamiając polecenie:

    W przypadku 32-bitowego systemu Windows:

    PsExec.exe -s -i powershell

    W przypadku 64-bitowego systemu Windows:

    PsExec64.exe -s -i powershell

    Zrzut ekranu przedstawia okno wiersza polecenia z poleceniem, aby uruchomić 64-bitową wersję programu PowerShell.

  5. W programie PowerShell przejdź do folderu, w którym znajdują się folder devicecert.ps1 i VPNProfile.xml , i uruchom następujące polecenie:

    .\devicecert.ps1 .\VPNProfile.xml MachineCertTest

    Zrzut ekranu przedstawia okno programu PowerShell z uruchomionym narzędziem MachineCertTest przy użyciu skryptu devicesert.

  6. Uruchom rasphone.

    Zrzut ekranu przedstawia okno dialogowe Uruchom z wybranym rasphone.

  7. Wyszukaj wpis MachineCertTest i kliknij pozycję Połącz.

    Zrzut ekranu przedstawia okno dialogowe Połączenia sieciowe z wybraną funkcją MachineCertTest i przyciskiem Połącz.

  8. Jeśli połączenie powiedzie się, uruchom ponownie komputer. Tunel połączy się automatycznie.

Aby usunąć profil

Aby usunąć profil, uruchom następujące polecenie:

Zrzut ekranu przedstawia okno programu PowerShell, które uruchamia polecenie Remove-VpnConnection -Name MachineCertTest.

Następne kroki

Aby uzyskać więcej informacji na temat usługi Virtual WAN, zobacz często zadawane pytania.