Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Połączenie bramy sieci VPN typu punkt-lokacja (P2S) umożliwia utworzenie bezpiecznego połączenia z siecią wirtualną z indywidualnego komputera klienckiego. Połączenie typu punkt-lokacja jest ustanawiane przez uruchomienie z komputera klienckiego. W tym artykule omówiono sposoby przezwyciężenia limitu 128 połączeń współbieżnych protokołu SSTP przez przejście do protokołu OpenVPN lub protokołu IKEv2.
Jakiego protokołu używa połączenie punkt-lokacja?
Sieć VPN typu punkt-lokacja może używać jednego z następujących protokołów:
Protokół OpenVPN®, oparty na protokole VPN SSL/TLS. Rozwiązanie sieci VPN SSL może przechodzić przez zapory, ponieważ większość zapór otwiera port TCP 443 wychodzący, którego używa protokół SSL. Protokół OpenVPN może służyć do nawiązywania połączeń z systemów Android, iOS (w wersjach 11.0 lub nowszych), windows, Linux i Mac (macOS w wersji 12.x lub nowszej).
Secure Socket Tunneling Protocol (SSTP) — zastrzeżony protokół VPN oparty na protokole SSL. Rozwiązanie ssl VPN może przeniknąć przez zapory, ponieważ większość zapór otwiera port TCP 443 wychodzący, którego używa protokół SSL. Protokół SSTP jest obsługiwany tylko na urządzeniach z systemem Windows. Platforma Azure obsługuje wszystkie wersje systemu Windows, które mają SSTP (Windows 7 lub nowszy). Protokół SSTP obsługuje maksymalnie 128 jednoczesnych połączeń bez względu na SKU bramy.
Sieć VPN z protokołem IKEv2 to oparte na standardach rozwiązanie sieci VPN korzystające z protokołu IPsec. Sieć VPN IKEv2 może służyć do nawiązywania połączenia z urządzeń Mac (system macOS w wersji 10.11 lub nowszej).
Uwaga
Podstawowa bramka SKU nie obsługuje protokołów IKEv2 ani OpenVPN. Jeśli używasz SKU Basic, musisz usunąć i ponownie utworzyć produkcyjną bramę sieci wirtualnej.
Migrowanie z protokołu SSTP do protokołu IKEv2 lub OpenVPN
Mogą wystąpić przypadki, gdy chcesz obsługiwać więcej niż 128 współbieżnych połączeń P2S z bramą sieci VPN, ale używasz protokołu SSTP. W takim przypadku należy przejść do protokołu IKEv2 lub OpenVPN.
Opcja 1 — dodawanie protokołu IKEv2 oprócz protokołu SSTP w bramie
Jest to najprostsza opcja. Protokoły SSTP i IKEv2 mogą współistnieć w tej samej bramie i zapewniają większą liczbę połączeń współbieżnych. Możesz włączyć protokół IKEv2 w istniejącej bramie i pobrać pakiet konfiguracji klienta zawierający zaktualizowane ustawienia.
Dodanie protokołu IKEv2 do istniejącej bramy sieci VPN SSTP nie wpłynie na istniejących klientów i można skonfigurować je do używania protokołu IKEv2 w małych partiach lub po prostu skonfigurować nowych klientów do korzystania z protokołu IKEv2. Jeśli klient systemu Windows jest skonfigurowany zarówno dla protokołu SSTP, jak i IKEv2, najpierw próbuje nawiązać połączenie przy użyciu protokołu IKEV2, a jeśli to się nie powiedzie, wróci do protokołu SSTP.
Protokół IKEv2 używa niestandardowych portów UDP, dlatego należy upewnić się, że te porty nie są blokowane w zaporze użytkownika. Używane porty to UDP 500 i 4500.
- Aby dodać protokół IKEv2 do istniejącej bramy, przejdź do bramy sieci wirtualnej w portalu.
- W okienku po lewej stronie wybierz pozycję Konfiguracja punkt-do-miejsca.
- Na stronie Konfiguracja punkt-do-lokacji, typ tunelu wybierz z listy rozwijanej pozycję IKEv2 i SSTP (SSL).
- Zastosuj zmiany.
Uwaga
W przypadku włączenia zarówno protokołu SSTP, jak i protokołu IKEv2 w bramie, pula adresów punkt-do-miejsca zostanie statycznie podzielona między oba protokoły, więc klienci używający różnych protokołów będą przydzielani adresom IP z odpowiedniego podzakresu. Należy pamiętać, że maksymalna liczba klientów SSTP to zawsze 128. Dotyczy to nawet wtedy, gdy zakres adresów jest większy niż /24, co powoduje większą liczbę adresów dostępnych dla klientów IKEv2. W przypadku mniejszych zakresów pula jest równie o połowę zmniejszona. Selektory ruchu używane przez bramę mogą nie zawierać zakresu adresów punkt-do-sieci CIDR, ale mogą zawierać dwa CIDR podzakresów.
Opcja 2 — usuwanie protokołu SSTP i włączanie protokołu OpenVPN w bramie
Ponieważ protokoły SSTP i OpenVPN są protokołem opartym na protokole TLS, nie mogą współistnieć w tej samej bramie. Jeśli zdecydujesz się odejść od protokołu SSTP do protokołu OpenVPN, musisz wyłączyć protokół SSTP i włączyć protokół OpenVPN w bramie. Ta operacja powoduje, że istniejący klienci utracą łączność z bramą sieci VPN do momentu skonfigurowania nowego profilu na kliencie.
Jeśli chcesz, możesz włączyć protokół OpenVPN wraz z protokołem IKEv2. Protokół OpenVPN jest oparty na protokole TLS i używa standardowego portu TCP 443.
- Aby przełączyć się na sieć OpenVPN, przejdź do bramy sieci wirtualnej w portalu.
- W okienku po lewej stronie wybierz pozycję Konfiguracja połączenia punkt-lokacja.
- Na stronie konfiguracji połączenia punkt-do-sieci, z listy rozwijanej wybierz opcję OpenVPN (SSL) lub IKEv2 i OpenVPN (SSL).
- Zastosuj zmiany.
Po skonfigurowaniu bramy istniejący klienci nie będą mogli nawiązać połączenia do momentu wdrożenia i skonfigurowania klientów OpenVPN. Jeśli używasz systemu Windows 10 lub nowszego, możesz również użyć klienta sieci VPN platformy Azure.
Często zadawane pytania
Jakie są wymagania dotyczące konfiguracji klienta?
Uwaga
W przypadku klientów z systemem Windows należy mieć uprawnienia administratora na urządzeniu klienckim w celu zainicjowania połączenia sieci VPN z urządzenia klienckiego do usługi Azure.
Użytkownicy używają natywnych klientów sieci VPN na urządzeniach z systemami Windows i Mac dla połączeń punkt-lokacja. Platforma Azure udostępnia plik zip konfiguracji klienta sieci VPN, który zawiera ustawienia wymagane przez tych klientów natywnych do nawiązania połączenia z platformą Azure.
- W przypadku urządzeń z systemem Windows konfiguracja klienta sieci VPN składa się z pakietu instalatora instalowanego przez użytkowników na swoich urządzeniach.
- W przypadku urządzeń Mac składa się z pliku mobileconfig instalowanego przez użytkowników na swoich urządzeniach.
Plik zip zawiera również wartości niektórych ważnych ustawień po stronie platformy Azure, których można użyć do utworzenia własnego profilu dla tych urządzeń. Niektóre wartości obejmują adres bramy sieci VPN, skonfigurowane typy tuneli, trasy i certyfikat główny na potrzeby weryfikacji bramy.
Uwaga
Od 1 lipca 2018 r. z usługi Azure VPN Gateway zostanie usunięta obsługa techniczna protokołów TLS 1.0 i 1.1. Usługa VPN Gateway będzie obsługiwać tylko protokół TLS 1.2. Dotyczy to tylko połączeń punkt-lokacja; Nie będzie to miało wpływu na połączenia typu lokacja-lokacja. Jeśli używasz protokołu TLS dla sieci VPN typu punkt-lokacja na klientach z systemem Windows 10 lub nowszym, nie musisz podejmować żadnych działań. Jeśli używasz protokołu TLS dla połączeń punkt-lokacja na klientach z systemami Windows 7 i Windows 8, zapoznaj się z często zadawanymi pytaniami dotyczącymi usługi VPN Gateway, aby uzyskać instrukcje dotyczące aktualizacji.
Które warianty SKU bramy obsługują sieć VPN punkt-do-sieci?
W poniższej tabeli przedstawiono SKU bramy z podziałem na tunel, połączenie i przepływność. Aby uzyskać dodatkowe tabele i więcej informacji dotyczących tej tabeli, zobacz sekcję Jednostki SKU bramy w artykule Ustawienia bramy SIECI VPN.
|
VPN Brama Pokolenie |
SKU |
Połączenia typu lokacja-lokacja/sieć wirtualna-sieć wirtualna Tunele |
P2S Połączenia SSTP |
P2S Połączenia IKEv2/OpenVPN |
Kruszywo Test porównawczy przepływności |
BGP | Strefowo redundantny | Obsługiwana liczba maszyn wirtualnych w sieci wirtualnej |
|---|---|---|---|---|---|---|---|---|
| Generacja1 | Podstawowa | Maks. 10 | Maks. 128 | Nieobsługiwany | 100 Mb/s | Nieobsługiwany | Nie. | 200 |
| Generacja1 | VpnGw1 | Maks. 30 | Maks. 128 | Maks. 250 | 650 Mb/s | Obsługiwane | Nie. | 450 |
| Generacja1 | VpnGw2 | Maks. 30 | Maks. 128 | Maks. 500 | 1 Gb/s | Wspierane | Nie. | 1300 |
| Generacja1 | VpnGw3 | Maks. 30 | Maks. 128 | Maks. 1000 | 1,25 Gb/s | Obsługiwane | Nie. | 4000 |
| Generacja1 | VpnGw1AZ | Maks. 30 | Maks. 128 | Maks. 250 | 650 Mb/s | Wspierane | Tak | 1000 |
| Generacja1 | VpnGw2AZ | Maks. 30 | Maks. 128 | Maks. 500 | 1 Gb/s | Wspierane | Tak | 2000 |
| Generacja1 | VpnGw3AZ | Maks. 30 | Maks. 128 | Maks. 1000 | 1,25 Gb/s | Obsługiwane | Tak | 5000 |
| Generacja 2 | VpnGw2 | Maks. 30 | Maks. 128 | Maks. 500 | 1,25 Gb/s | Obsługiwane | Nie. | 685 |
| Generacja 2 | VpnGw3 | Maks. 30 | Maks. 128 | Maks. 1000 | 2,5 Gb/s | Obsługiwane | Nie. | 2240 |
| Generacja 2 | VpnGw4 | Maks. 100* | Maks. 128 | Maks. 5000 | 5 Gb/s | Obsługiwane | Nie. | 5300 |
| Generacja 2 | VpnGw5 | Maks. 100* | Maks. 128 | Maks. 10 000 | 10 Gb/s | Obsługiwane | Nie. | 6700 |
| Generacja 2 | VpnGw2AZ | Maks. 30 | Maks. 128 | Maks. 500 | 1,25 Gbps | Obsługiwane | Tak | 2000 |
| Generacja 2 | VpnGw3AZ | Maks. 30 | Maks. 128 | Maks. 1000 | 2,5 Gb/s | Obsługiwane | Tak | 3300 |
| Generacja 2 | VpnGw4AZ | Maks. 100* | Maks. 128 | Maks. 5000 | 5 Gb/s | Obsługiwane | Tak | 4400 |
| Generacja 2 | VpnGw5AZ | Maks. 100* | Maks. 128 | Maks. 10 000 | 10 Gbps | Obsługiwane | Tak | 9000 |
Uwaga
Podstawowa jednostka SKU ma ograniczenia i nie obsługuje uwierzytelniania IKEv2 ani usługi RADIUS.
Jakie zasady protokołu IKE/IPsec są konfigurowane w bramach sieci VPN dla połączeń typu Punkt-do-sieci?
IKEv2
| Szyfr | Integralność | PRF | GRUPA DH |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
Protokół IPsec
| Szyfr | Integralność | Grupa PFS |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | Brak grupy |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
Jakie zasady protokołu TLS są konfigurowane w bramach sieci VPN dla połączenia punkt-do-sieci?
TLS
| Zasady |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| **TLS_AES_256_GCM_SHA384 |
| **TLS_AES_128_GCM_SHA256 |
**Obsługiwane tylko w protokole TLS1.3 z protokołem OpenVPN
Jak mogę skonfigurować połączenie punkt-do-sieci?
Konfiguracja P2S wymaga kilku konkretnych kroków. Poniższe artykuły zawierają kroki umożliwiające przejście przez konfigurację punkt-do-sieci oraz linki do konfigurowania urządzeń klienckich sieci VPN:
Następne kroki
Konfigurowanie połączenia typu punkt-sieć — uwierzytelnianie RADIUS
Skonfiguruj połączenie punkt-do-sieci (P2S) — uwierzytelnianie certyfikatem Azure
"OpenVPN" jest znakiem towarowym OpenVPN Inc.