Konfigurowanie klienta sieci VPN dla połączenia punkt-lokacja: RADIUS — inne metody i protokoły

  • Artykuł

Aby nawiązać połączenie z siecią wirtualną za pośrednictwem połączenia punkt-lokacja (P2S), należy skonfigurować urządzenie klienckie, z którego będziesz się łączyć. Ten artykuł ułatwia tworzenie i instalowanie konfiguracji klienta sieci VPN na potrzeby uwierzytelniania usługi RADIUS, które używa metod innych niż uwierzytelnianie za pomocą certyfikatu lub hasła.

W przypadku korzystania z uwierzytelniania usługi RADIUS istnieje wiele instrukcji uwierzytelniania: uwierzytelnianie certyfikatu, uwierzytelnianie hasłem i inne metody uwierzytelniania i protokoły. Konfiguracja klienta sieci VPN jest inna dla każdego typu uwierzytelniania. Aby skonfigurować klienta sieci VPN, należy użyć plików konfiguracji klienta, które zawierają wymagane ustawienia.

Uwaga

Od 1 lipca 2018 r. z usługi Azure VPN Gateway zostanie usunięta obsługa techniczna protokołów TLS 1.0 i 1.1. Usługa VPN Gateway będzie obsługiwać tylko protokół TLS 1.2. Dotyczy to tylko połączeń punkt-lokacja; Nie będzie to miało wpływu na połączenia typu lokacja-lokacja. Jeśli używasz protokołu TLS dla sieci VPN typu punkt-lokacja na klientach z systemem Windows 10 lub nowszym, nie musisz podejmować żadnych działań. Jeśli używasz protokołu TLS dla połączeń punkt-lokacja na klientach z systemami Windows 7 i Windows 8, zapoznaj się z często zadawanymi pytaniami dotyczącymi usługi VPN Gateway, aby uzyskać instrukcje dotyczące aktualizacji.

Przepływ pracy

Przepływ pracy konfiguracji uwierzytelniania usługi RADIUS punkt-lokacja jest następujący:

  1. Skonfiguruj bramę sieci VPN platformy Azure na potrzeby łączności punkt-lokacja.

  2. Skonfiguruj serwer RADIUS na potrzeby uwierzytelniania.

  3. Uzyskaj konfigurację klienta sieci VPN dla wybranej opcji uwierzytelniania i użyj jej do skonfigurowania klienta sieci VPN (w tym artykule).

  4. Ukończ konfigurację połączenia punkt-lokacja i połącz się.

Ważne

Jeśli po wygenerowaniu profilu konfiguracji klienta sieci VPN sieci VPN typu punkt-lokacja zostaną wprowadzone jakieś zmiany, takie jak typ protokołu sieci VPN lub typ uwierzytelniania, należy wygenerować i zainstalować nową konfigurację klienta sieci VPN na urządzeniach użytkowników.

Aby użyć innego typu uwierzytelniania (na przykład OTP) lub użyć innego protokołu uwierzytelniania (takiego jak PEAP-MSCHAPv2 zamiast EAP-MSCHAPv2), musisz utworzyć własny profil konfiguracji klienta sieci VPN. Jeśli masz skonfigurowaną sieć VPN typu punkt-lokacja z usługami RADIUS i OpenVPN, obecnie protokół PAP jest obsługiwaną tylko metodą uwierzytelniania między bramą a serwerem RADIUS. Aby utworzyć profil, potrzebne są informacje, takie jak adres IP bramy sieci wirtualnej, typ tunelu i trasy tunelu podzielonego. Te informacje można uzyskać, wykonując następujące kroki.

Generowanie plików konfiguracji klienta sieci VPN

Pliki konfiguracji klienta sieci VPN można wygenerować przy użyciu witryny Azure Portal lub programu Azure PowerShell.

Azure Portal

  1. Przejdź do bramy sieci wirtualnej.
  2. Kliknij pozycję Konfiguracja punkt-lokacja.
  3. Kliknij pozycję Pobierz klienta sieci VPN.
  4. Wybierz klienta i wypełnij wszystkie żądane informacje.
  5. Kliknij przycisk Pobierz , aby wygenerować plik .zip.
  6. Plik .zip zostanie pobrany, zazwyczaj do folderu Pobrane.

Azure PowerShell

Użyj polecenia cmdlet Get-AzVpnClientConfiguration, aby wygenerować konfigurację klienta sieci VPN dla protokołu EapMSChapv2.

Wyświetlanie plików i konfigurowanie klienta sieci VPN

Rozpakuj plik VpnClientConfiguration.zip i poszukaj folderu GenericDevice . Ignoruj foldery zawierające instalatory systemu Windows dla architektur 64-bitowych i 32-bitowych.

Folder GenericDevice zawiera plik XML o nazwie Vpn Ustawienia. Ten plik zawiera wszystkie wymagane informacje:

  • VpnServer: nazwa FQDN bramy sieci VPN platformy Azure. Jest to adres, z który klient nawiązuje połączenie.
  • VpnType: typ tunelu używany do nawiązywania połączenia.
  • Trasy: trasy, które należy skonfigurować w profilu, tak aby tylko ruch powiązany z siecią wirtualną platformy Azure był wysyłany przez tunel punkt-lokacja.

Folder GenericDevice zawiera również plik .cer o nazwie VpnServerRoot. Ten plik zawiera certyfikat główny wymagany do zweryfikowania bramy sieci VPN platformy Azure podczas konfigurowania połączenia punkt-lokacja. Zainstaluj certyfikat na wszystkich urządzeniach, które będą łączyć się z siecią wirtualną platformy Azure.

Użyj ustawień w plikach, aby skonfigurować klienta sieci VPN.

Następne kroki

Wróć do artykułu, aby ukończyć konfigurację P2S.

Aby uzyskać informacje dotyczące rozwiązywania problemów typu punkt-lokacja, zobacz Rozwiązywanie problemów z połączeniami punkt-lokacja platformy Azure.