Konfigurowanie klienta sieci VPN dla połączenia punkt-lokacja: RADIUS — uwierzytelnianie hasłem

  • Artykuł

Aby nawiązać połączenie z siecią wirtualną za pośrednictwem połączenia punkt-lokacja (P2S), należy skonfigurować urządzenie klienckie, z którego będziesz się łączyć. Połączenia sieci VPN punkt-lokacja można tworzyć na urządzeniach klienckich z systemami Windows, macOS i Linux. Ten artykuł ułatwia tworzenie i instalowanie konfiguracji klienta sieci VPN na potrzeby uwierzytelniania usługi RADIUS dla nazwy użytkownika/hasła.

W przypadku korzystania z uwierzytelniania usługi RADIUS istnieje wiele instrukcji uwierzytelniania: uwierzytelnianie certyfikatu, uwierzytelnianie hasłem i inne metody uwierzytelniania i protokoły. Konfiguracja klienta sieci VPN jest inna dla każdego typu uwierzytelniania. Aby skonfigurować klienta sieci VPN, należy użyć plików konfiguracji klienta, które zawierają wymagane ustawienia.

Uwaga

Od 1 lipca 2018 r. z usługi Azure VPN Gateway zostanie usunięta obsługa techniczna protokołów TLS 1.0 i 1.1. Usługa VPN Gateway będzie obsługiwać tylko protokół TLS 1.2. Dotyczy to tylko połączeń punkt-lokacja; Nie będzie to miało wpływu na połączenia typu lokacja-lokacja. Jeśli używasz protokołu TLS dla sieci VPN typu punkt-lokacja na klientach z systemem Windows 10 lub nowszym, nie musisz podejmować żadnych działań. Jeśli używasz protokołu TLS dla połączeń punkt-lokacja na klientach z systemami Windows 7 i Windows 8, zapoznaj się z często zadawanymi pytaniami dotyczącymi usługi VPN Gateway, aby uzyskać instrukcje dotyczące aktualizacji.

Przepływ pracy

Przepływ pracy konfiguracji uwierzytelniania usługi RADIUS punkt-lokacja jest następujący:

  1. Skonfiguruj bramę sieci VPN platformy Azure na potrzeby łączności punkt-lokacja.
  2. Skonfiguruj serwer RADIUS na potrzeby uwierzytelniania.
  3. Uzyskaj konfigurację klienta sieci VPN dla wybranej opcji uwierzytelniania i użyj jej do skonfigurowania klienta sieci VPN (w tym artykule).
  4. Ukończ konfigurację połączenia punkt-lokacja i połącz się.

Ważne

Jeśli po wygenerowaniu profilu konfiguracji klienta sieci VPN sieci VPN typu punkt-lokacja zostaną wprowadzone jakieś zmiany, takie jak typ protokołu sieci VPN lub typ uwierzytelniania, należy wygenerować i zainstalować nową konfigurację klienta sieci VPN na urządzeniach użytkowników.

Możesz skonfigurować uwierzytelnianie nazwy użytkownika/hasła, aby używać usługi Active Directory lub nie używać usługi Active Directory. W obu scenariuszach upewnij się, że wszyscy łączący się użytkownicy mają poświadczenia nazwy użytkownika/hasła, które można uwierzytelnić za pośrednictwem usługi RADIUS.

Podczas konfigurowania uwierzytelniania nazwy użytkownika/hasła można utworzyć tylko konfigurację dla protokołu uwierzytelniania nazwy użytkownika/hasła protokołu EAP-MSCHAPv2. W poleceniach -AuthenticationMethod ma wartość EapMSChapv2.

Generowanie plików konfiguracji klienta sieci VPN

Pliki konfiguracji klienta sieci VPN można wygenerować przy użyciu witryny Azure Portal lub programu Azure PowerShell.

Azure Portal

  1. Przejdź do bramy sieci wirtualnej.
  2. Kliknij pozycję Konfiguracja punkt-lokacja.
  3. Kliknij pozycję Pobierz klienta sieci VPN.
  4. Wybierz klienta i wypełnij wszystkie żądane informacje.
  5. Kliknij przycisk Pobierz , aby wygenerować plik .zip.
  6. Plik .zip zostanie pobrany, zazwyczaj do folderu Pobrane.

Azure PowerShell

Wygeneruj pliki konfiguracji klienta sieci VPN do użycia z uwierzytelnianiem nazwy użytkownika/hasła. Pliki konfiguracji klienta sieci VPN można wygenerować przy użyciu następującego polecenia:

New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapMSChapv2"

Uruchomienie polecenia zwraca link. Skopiuj i wklej link do przeglądarki internetowej, aby pobrać VpnClientConfiguration.zip. Rozpakuj plik, aby wyświetlić następujące foldery:

  • WindowsAmd64 i WindowsX86: te foldery zawierają odpowiednio pakiety instalatora 64-bitowego i 32-bitowego systemu Windows.
  • Ogólne: ten folder zawiera ogólne informacje używane do tworzenia własnej konfiguracji klienta sieci VPN. Nie potrzebujesz tego folderu do konfiguracji uwierzytelniania nazwy użytkownika/hasła.
  • Mac: Jeśli podczas tworzenia bramy sieci wirtualnej skonfigurowano protokół IKEv2, zostanie wyświetlony folder o nazwie Mac zawierający plik mobileconfig . Ten plik służy do konfigurowania klientów mac.

Jeśli pliki konfiguracji klienta zostały już utworzone, możesz je pobrać przy użyciu Get-AzVpnClientConfiguration polecenia cmdlet . Jeśli jednak wprowadzisz jakiekolwiek zmiany w konfiguracji sieci VPN typu punkt-lokacja, takie jak typ protokołu sieci VPN lub typ uwierzytelniania, konfiguracja nie zostanie zaktualizowana automatycznie. Aby utworzyć nowe pobieranie konfiguracji, należy uruchomić New-AzVpnClientConfiguration polecenie cmdlet.

Aby pobrać wcześniej wygenerowane pliki konfiguracji klienta, użyj następującego polecenia:

Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW"

Klient sieci VPN systemu Windows

Można użyć tego samego pakietu konfiguracji klienta sieci VPN na każdym komputerze klienckim z systemem Windows, o ile wersja jest zgodna z architekturą klienta. Aby uzyskać listę obsługiwanych systemów operacyjnych klienta, zobacz często zadawane pytania.

Wykonaj następujące kroki, aby skonfigurować natywnego klienta sieci VPN systemu Windows na potrzeby uwierzytelniania certyfikatu:

  1. Wybierz pliki konfiguracji klienta sieci VPN, które odpowiadają architekturze komputera z systemem Windows. W przypadku architektury procesora 64-bitowego wybierz pakiet instalatora VpnClientSetupAmd64 . W przypadku architektury procesora 32-bitowego wybierz pakiet instalatora VpnClientSetupX86 .

  2. Aby zainstalować pakiet, kliknij go dwukrotnie. Jeśli zostanie wyświetlone okno podręczne Filtr SmartScreen, wybierz pozycję Więcej informacji>Uruchom mimo to.

  3. Na komputerze klienckim przejdź do pozycji Sieć Ustawienia i wybierz pozycję SIEĆ VPN. Połączenie z siecią VPN zawiera nazwę sieci wirtualnej, z którą jest nawiązywane połączenie.

Klient sieci VPN dla komputerów Mac (macOS)

  1. Wybierz plik MobileConfig VpnClientSetup i wyślij go do każdego z użytkowników. Możesz użyć poczty e-mail lub innej metody.

  2. Znajdź plik mobileconfig na komputerze Mac.

    Screenshot shows location of the mobile config file.

  3. Opcjonalny krok — jeśli chcesz określić niestandardowy system DNS, dodaj następujące wiersze do pliku mobileconfig :

     <key>DNS</key>
 <dict>
   <key>ServerAddresses</key>
     <array>
         <string>10.0.0.132</string>
     </array>
   <key>SupplementalMatchDomains</key>
     <array>
         <string>TestDomain.com</string>
     </array>
 </dict>

  4. Kliknij dwukrotnie profil, aby go zainstalować, a następnie wybierz pozycję Kontynuuj. Nazwa profilu jest taka sama jak nazwa sieci wirtualnej.

    Screenshot shows profile install with continue selected.

  5. Wybierz pozycję Kontynuuj , aby ufać nadawcy profilu i kontynuować instalację.

    Screenshot shows continue message.

  6. Podczas instalacji profilu można określić nazwę użytkownika i hasło na potrzeby uwierzytelniania sieci VPN. Wprowadzenie tych informacji nie jest obowiązkowe. Jeśli to zrobisz, informacje są zapisywane i automatycznie używane podczas inicjowania połączenia. Wybierz pozycję Zainstaluj , aby kontynuować.

    Screenshot shows enter settings for username and password.

  7. Wprowadź nazwę użytkownika i hasło dla uprawnień wymaganych do zainstalowania profilu na komputerze. Wybierz przycisk OK.

    Screenshot shows enter settings for username and password privileges.

  8. Po zainstalowaniu profilu jest on widoczny w oknie dialogowym Profile . Możesz również otworzyć to okno dialogowe później w obszarze Preferencje systemowe.

    Screenshot shows profiles dialog box.

  9. Aby uzyskać dostęp do połączenia sieci VPN, otwórz okno dialogowe Sieć z preferencji systemowych.

    Screenshot shows network dialog box.

  10. Połączenie sieci VPN jest wyświetlane jako IkeV2-VPN. Nazwę można zmienić, aktualizując plik mobileconfig .

    Screenshot shows connection name.

  11. Wybierz pozycję Ustawienia uwierzytelniania. Wybierz pozycję Nazwa użytkownika na liście i wprowadź swoje poświadczenia. Jeśli poświadczenia zostały wprowadzone wcześniej, nazwa użytkownika zostanie automatycznie wybrana na liście, a nazwa użytkownika i hasło zostaną wstępnie wypełniane. Wybierz przycisk OK , aby zapisać ustawienia.

    Screenshot that shows the Authentication settings drop-down with Username selected.

  12. W oknie dialogowym Sieć wybierz pozycję Zastosuj, aby zapisać zmiany. Aby zainicjować połączenie, wybierz pozycję Połączenie.

Klient sieci VPN systemu Linux — strongSwan

Poniższe instrukcje zostały utworzone za pomocą programu strongSwan 5.5.1 w systemie Ubuntu 17.0.4. Rzeczywiste ekrany mogą się różnić w zależności od używanej wersji systemu Linux i strongSwan.

  1. Otwórz terminal, aby zainstalować aplikację strongSwan i jego Menedżera sieci, uruchamiając polecenie w przykładzie. Jeśli wystąpi błąd związany z libcharon-extra-pluginselementem , zastąp go ciągiem strongswan-plugin-eap-mschapv2.

    sudo apt-get install strongswan libcharon-extra-plugins moreutils iptables-persistent network-manager-strongswan

  2. Wybierz ikonę Menedżer sieci (strzałka w górę/strzałka w dół), a następnie wybierz pozycję Edytuj Połączenie ions.

    Edit connections in Network Manager.

  3. Wybierz przycisk Dodaj, aby utworzyć nowe połączenie.

    Screenshot shows add connection for network connections.

  4. Wybierz pozycję IPsec/IKEv2 (strongswan) z menu rozwijanego, a następnie wybierz pozycję Utwórz. Możesz zmienić nazwę połączenia w tym kroku.

    Screenshot shows select connection type.

  5. Otwórz plik Vpn Ustawienia.xml z folderu Generic pobranych plików konfiguracji klienta. Znajdź tag o nazwie VpnServer i skopiuj nazwę, zaczynając od azuregateway i kończąc na .cloudapp.net.

    Screenshot shows contents of the VpnSettings.xml file.

  6. Wklej tę nazwę w polu Adres nowego połączenia sieci VPN w sekcji Brama . Następnie wybierz ikonę folderu na końcu pola Certyfikat, przejdź do folderu Generic i wybierz plik VpnServerRoot.

  7. W sekcji Klient połączenia wybierz pozycję EAP w polu Uwierzytelnianie, a następnie wprowadź nazwę użytkownika i hasło. Może być konieczne wybranie ikony blokady po prawej stronie, aby zapisać te informacje. Następnie wybierz pozycję Zapisz.

    Screenshot shows edit connection settings.

  8. Wybierz ikonę Menedżer sieci (strzałka w górę/strzałka w dół) i umieść kursor na Połączenie sieci VPN. Zostanie wyświetlone utworzone połączenie sieci VPN. Aby zainicjować połączenie, wybierz je.

    Screenshot shows connect.

Dodatkowe kroki dotyczące maszyny wirtualnej platformy Azure

Jeśli wykonujesz procedurę na maszynie wirtualnej platformy Azure z systemem Linux, należy wykonać dodatkowe kroki.

  1. Edytuj plik /etc/netplan/50-cloud-init.yaml, aby dołączyć następujący parametr dla interfejsu

    renderer: NetworkManager

  2. Po edycji pliku uruchom następujące dwa polecenia, aby załadować nową konfigurację

    sudo netplan generate

    sudo netplan apply

  3. Zatrzymaj/uruchom lub ponownie wdróż maszynę wirtualną.

Następne kroki

Wróć do artykułu, aby ukończyć konfigurację P2S.

Aby uzyskać informacje dotyczące rozwiązywania problemów typu punkt-lokacja, zobacz Rozwiązywanie problemów z połączeniami punkt-lokacja platformy Azure.