Udostępnij za pośrednictwem

Konfigurowanie tunelu zawsze włączonego urządzenia sieci VPN

Funkcja Always On została wprowadzona w kliencie sieci VPN systemu Windows 10. Zawsze włączone jest możliwość obsługi połączenia sieci VPN. W przypadku opcji Zawsze włączone aktywny profil sieci VPN może łączyć się automatycznie i pozostać połączony na podstawie wyzwalaczy, takich jak logowanie użytkownika, zmiana stanu sieci lub aktywny ekran urządzenia.

Bramy z funkcją Always On można używać do ustanawiania trwałych tuneli użytkownika i tuneli urządzeń na platformie Azure.

Zawsze włączone połączenia sieci VPN obejmują jeden z dwóch typów tuneli:

  • Tunel urządzenia: łączy się z określonymi serwerami sieci VPN, zanim użytkownicy zalogują się do urządzenia. Scenariusze łączności logowania wstępnego i zarządzanie urządzeniami korzystają z tunelu urządzenia.

  • Tunel użytkownika: łączy się tylko po zalogowaniu się użytkowników do urządzenia. Za pomocą tuneli użytkownika można uzyskiwać dostęp do zasobów organizacji za pośrednictwem serwerów sieci VPN.

Tunele urządzeń i tunele użytkowników działają niezależnie od profilów sieci VPN. Można je połączyć w tym samym czasie i mogą używać różnych metod uwierzytelniania i innych ustawień konfiguracji sieci VPN, zgodnie z potrzebami.

Ten artykuł ułatwia skonfigurowanie tunelu zawsze włączonego urządzenia sieci VPN. Aby uzyskać informacje na temat konfigurowania tunelu użytkownika, zobacz Konfigurowanie tunelu użytkownika zawsze włączonej sieci VPN.

Konfigurowanie bramy

Skonfiguruj bramę sieci VPN tak, aby korzystała z protokołu IKEv2 i uwierzytelniania opartego na certyfikatach przy użyciu artykułu Konfigurowanie połączenia sieci VPN typu punkt-lokacja .

Konfigurowanie tunelu urządzenia

Aby pomyślnie ustanowić tunel urządzenia, należy spełnić następujące wymagania:

  • Urządzenie musi być komputerem przyłączonym do domeny z systemem Windows 10 Enterprise lub Education w wersji 1809 lub nowszej.
  • Tunel można skonfigurować tylko dla wbudowanego rozwiązania sieci VPN systemu Windows i jest ustanawiany przy użyciu protokołu IKEv2 z uwierzytelnianiem certyfikatu komputera.
  • Na urządzenie można skonfigurować tylko jeden tunel urządzenia.
  1. Zainstaluj certyfikaty klienta na kliencie systemu Windows 10 lub nowszym przy użyciu artykułu klient sieci VPN typu punkt-lokacja. Certyfikat musi znajdować się w magazynie komputerów lokalnych.
  2. Utwórz profil sieci VPN i skonfiguruj tunel urządzenia w kontekście konta SYSTEM LOKALNY, korzystając z tych instrukcji.

Przykład konfiguracji tunelu urządzenia

Po skonfigurowaniu bramy sieci wirtualnej i zainstalowaniu certyfikatu klienta w magazynie komputerów lokalnych na kliencie systemu Windows 10 lub nowszym użyj następujących przykładów, aby skonfigurować tunel urządzenia klienckiego:

  1. Skopiuj następujący tekst i zapisz go jako devicecert.ps1.

    Param(
[string]$xmlFilePath,
[string]$ProfileName
)

$a = Test-Path $xmlFilePath
echo $a

$ProfileXML = Get-Content $xmlFilePath

echo $XML

$ProfileNameEscaped = $ProfileName -replace ' ', '%20'

$Version = 201606090004

$ProfileXML = $ProfileXML -replace '<', '&lt;'
$ProfileXML = $ProfileXML -replace '>', '&gt;'
$ProfileXML = $ProfileXML -replace '"', '&quot;'

$nodeCSPURI = './Vendor/MSFT/VPNv2'
$namespaceName = "root\cimv2\mdm\dmmap"
$className = "MDM_VPNv2_01"

$session = New-CimSession

try
{
$newInstance = New-Object Microsoft.Management.Infrastructure.CimInstance $className, $namespaceName
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create("ParentID", "$nodeCSPURI", 'String', 'Key')
$newInstance.CimInstanceProperties.Add($property)
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create("InstanceID", "$ProfileNameEscaped", 'String', 'Key')
$newInstance.CimInstanceProperties.Add($property)
$property = [Microsoft.Management.Infrastructure.CimProperty]::Create("ProfileXML", "$ProfileXML", 'String', 'Property')
$newInstance.CimInstanceProperties.Add($property)

$session.CreateInstance($namespaceName, $newInstance)
$Message = "Created $ProfileName profile."
Write-Host "$Message"
}
catch [Exception]
{
$Message = "Unable to create $ProfileName profile: $_"
Write-Host "$Message"
exit
}
$Message = "Complete."
Write-Host "$Message"

  2. Skopiuj następujący tekst i zapisz go jako VPNProfile.xml w tym samym folderze co devicecert.ps1. Edytuj następujący tekst, aby był zgodny ze środowiskiem.

    • <Servers>azuregateway-1234-56-78dc.cloudapp.net</Servers> <= Can be found in the VpnSettings.xml in the downloaded profile zip file
    • <Address>192.168.3.5</Address> <= IP of resource in the vnet or the vnet address space
    • <Address>192.168.3.4</Address> <= IP of resource in the vnet or the vnet address space
    <VPNProfile>  
  <NativeProfile>  
<Servers>azuregateway-1234-56-78dc.cloudapp.net</Servers>  
<NativeProtocolType>IKEv2</NativeProtocolType>  
<Authentication>  
  <MachineMethod>Certificate</MachineMethod>  
</Authentication>  
<RoutingPolicyType>SplitTunnel</RoutingPolicyType>  
 <!-- disable the addition of a class based route for the assigned IP address on the VPN interface -->
<DisableClassBasedDefaultRoute>true</DisableClassBasedDefaultRoute>  
  </NativeProfile> 
  <!-- use host routes(/32) to prevent routing conflicts -->  
  <Route>  
<Address>192.168.3.5</Address>  
<PrefixSize>32</PrefixSize>  
  </Route>  
  <Route>  
<Address>192.168.3.4</Address>  
<PrefixSize>32</PrefixSize>  
  </Route>  
<!-- need to specify always on = true --> 
  <AlwaysOn>true</AlwaysOn> 
<!-- new node to specify that this is a device tunnel -->  
 <DeviceTunnel>true</DeviceTunnel>
<!--new node to register client IP address in DNS to enable manage out -->
<RegisterDNS>true</RegisterDNS>
</VPNProfile>

  3. Pobierz narzędzie PsExec z narzędzia Sysinternals i wyodrębnij pliki do folderu C:\PSTools.

  4. W wierszu polecenia cmD administratora uruchom program PowerShell, uruchamiając polecenie:

    W przypadku 32-bitowego systemu Windows:

    PsExec.exe -s -i powershell

    W przypadku 64-bitowego systemu Windows:

    PsExec64.exe -s -i powershell

    Zrzut ekranu przedstawia okno wiersza polecenia z poleceniem, aby uruchomić 64-bitową wersję programu PowerShell.

  5. W programie PowerShell przejdź do folderu, w którym znajdują się folder devicecert.ps1 i VPNProfile.xml , i uruchom następujące polecenie:

    .\devicecert.ps1 .\VPNProfile.xml MachineCertTest

    Zrzut ekranu przedstawia okno programu PowerShell z uruchomionym narzędziem MachineCertTest przy użyciu skryptu devicesert.

  6. Uruchom rasphone.

    Zrzut ekranu przedstawia okno dialogowe Uruchom z wybranym rasphone.

  7. Wyszukaj wpis MachineCertTest i kliknij pozycję Połącz.

    Zrzut ekranu przedstawia okno dialogowe Połączenia sieciowe z wybraną funkcją MachineCertTest i przyciskiem Połącz.

  8. Jeśli połączenie powiedzie się, uruchom ponownie komputer. Tunel połączy się automatycznie.

Aby usunąć profil

Aby usunąć profil, uruchom następujące polecenie:

Remove-VpnConnection -Name MachineCertTest

Następne kroki

Aby uzyskać informacje na temat rozwiązywania problemów, zobacz Problemy z połączeniem punkt-lokacja platformy Azure