Share via

Praca zdalna przy użyciu połączenia punkt-lokacja bramy sieci VPN platformy Azure

  • Artykuł

Uwaga

W tym artykule opisano sposób korzystania z usługi Azure VPN Gateway, platformy Azure, sieci microsoft i ekosystemu partnerskiego platformy Azure do pracy zdalnej i rozwiązywania problemów z siecią, które napotykasz z powodu kryzysu covid-19.

W tym artykule opisano opcje, które są dostępne dla organizacji w celu skonfigurowania dostępu zdalnego dla swoich użytkowników lub uzupełnienia istniejących rozwiązań o dodatkowej pojemności podczas epidemii COVID-19.

Rozwiązanie typu punkt-lokacja platformy Azure jest oparte na chmurze i można je szybko aprowizować, aby zaspokoić zwiększone zapotrzebowanie użytkowników na pracę z domu. Można ją łatwo skalować w górę i wyłączać tak samo łatwo i szybko, gdy zwiększona pojemność nie jest już potrzebna.

Informacje o sieci VPN typu punkt-lokacja

Połączenie bramy VPN Gateway typu punkt-lokacja pozwala utworzyć bezpieczne połączenie z siecią wirtualną z indywidualnego komputera klienckiego. Połączenie typu punkt-lokacja jest ustanawiane przez uruchomienie z komputera klienckiego. To rozwiązanie jest przydatne w przypadku osób pracujących zdalnie, które chcą łączyć się z sieciami wirtualnymi platformy Azure lub lokalnymi centrami danych z lokalizacji zdalnej, na przykład z domu lub konferencji. W tym artykule opisano, jak umożliwić użytkownikom zdalną pracę w oparciu o różne scenariusze.

W poniższej tabeli przedstawiono systemy operacyjne klienta i dostępne opcje uwierzytelniania. Warto wybrać metodę uwierzytelniania opartą na systemie operacyjnym klienta, który jest już używany. Na przykład wybierz pozycję OpenVPN z uwierzytelnianiem opartym na certyfikatach, jeśli masz kombinację systemów operacyjnych klienta, które muszą się połączyć. Należy również pamiętać, że sieć VPN typu punkt-lokacja jest obsługiwana tylko w bramach sieci VPN opartych na trasach.

Screenshot that shows client operating systems and available authentication options.

Scenariusz 1 — użytkownicy potrzebują dostępu tylko do zasobów na platformie Azure

W tym scenariuszu użytkownicy zdalni muszą mieć dostęp tylko do zasobów, które znajdują się na platformie Azure.

Diagram that shows a point-to-site scenario for users that need access to resources in Azure only.

Na wysokim poziomie potrzebne są następujące kroki, aby umożliwić użytkownikom bezpieczne łączenie się z zasobami platformy Azure:

  1. Utwórz bramę sieci wirtualnej (jeśli nie istnieje).

  2. Skonfiguruj sieć VPN typu punkt-lokacja w bramie.

    • Aby uwierzytelnić certyfikat, użyj tego linku.
    • W przypadku protokołu OpenVPN użyj tego linku.
    • W przypadku uwierzytelniania firmy Microsoft Entra użyj tego linku.
    • Aby rozwiązać problemy z połączeniami punkt-lokacja, postępuj zgodnie z tym linkiem.

  3. Pobierz i dystrybuuj konfigurację klienta sieci VPN.

  4. Dystrybuuj certyfikaty (jeśli wybrano uwierzytelnianie certyfikatów) do klientów.

  5. Połączenie do sieci VPN platformy Azure.

Scenariusz 2 — użytkownicy potrzebują dostępu do zasobów na platformie Azure i/lub zasobów lokalnych

W tym scenariuszu użytkownicy zdalni muszą uzyskiwać dostęp do zasobów, które znajdują się na platformie Azure i w lokalnych centrach danych.

Diagram that shows a point-to-site scenario for users that need access to resources in Azure.

Na wysokim poziomie potrzebne są następujące kroki, aby umożliwić użytkownikom bezpieczne łączenie się z zasobami platformy Azure:

  1. Utwórz bramę sieci wirtualnej (jeśli nie istnieje).
  2. Konfigurowanie sieci VPN typu punkt-lokacja w bramie (zobacz Scenariusz 1).
  3. Skonfiguruj tunel typu lokacja-lokacja w bramie sieci wirtualnej platformy Azure z włączonym protokołem BGP.
  4. Skonfiguruj urządzenie lokalne, aby nawiązać połączenie z bramą sieci wirtualnej platformy Azure.
  5. Pobieranie profilu punkt-lokacja z witryny Azure Portal i dystrybuowanie ich do klientów

Aby dowiedzieć się, jak skonfigurować tunel VPN typu lokacja-lokacja, zobacz ten link.

Często zadawane pytania dotyczące natywnego uwierzytelniania certyfikatu platformy Azure

Ile punktów końcowych klienta sieci VPN można mieć w konfiguracji punkt-lokacja?

To zależy od jednostki SKU bramy. Aby uzyskać więcej informacji o liczbie obsługiwanych połączeń, zobacz Jednostki SKU bramy.

Jakich systemów operacyjnych klienta można używać z punkt-lokacja?

Obsługiwane są następujące systemy operacyjne klientów:

  • Windows Server 2008 R2 (tylko 64-bitowy)
  • Windows 8.1 (32-bitowy i 64-bitowy)
  • Windows Server 2012 (tylko 64-bitowy)
  • Windows Server 2012 R2 (tylko 64-bitowy)
  • Windows Server 2016 (tylko 64-bitowy)
  • Windows Server 2019 (tylko 64-bitowy)
  • Windows Server 2022 (tylko 64-bitowy)
  • Windows 10
  • Windows 11
  • System macOS w wersji 10.11 lub nowszej
  • Linux (StrongSwan)
  • iOS

Czy można przechodzić przez serwery proxy i zapory przy użyciu funkcji punkt-lokacja?

Platforma Azure obsługuje trzy typy połączeń punkt-lokacja w sieci VPN:

  • Protokół Secure Socket Tunneling Protocol (SSTP). Protokół SSTP jest własnym rozwiązaniem firmy Microsoft bazującym na protokole SSL. Może przechodzić przez zapory, ponieważ większość zapór otwiera wychodzący port TCP 443, z którego korzysta protokół SSL.

  • OpenVPN. OpenVPN to rozwiązanie bazujące na protokole SSL. Może przechodzić przez zapory, ponieważ większość zapór otwiera port TCP 443, z którego korzysta protokół SSL.

  • Sieć VPN z protokołem IKEv2. Sieć VPN IKEv2 to oparte na standardach rozwiązanie sieci VPN IPsec, które używa wychodzących portów UDP 500 i 4500 i protokołu IP nr 50. Zapory nie zawsze otwierają te porty, więc istnieje możliwość, że sieć VPN IKEv2 nie może przejść przez serwery proxy i zapory.

Jeśli ponownie uruchomię komputer kliencki skonfigurowany dla połączenia typu punkt-lokacja, czy sieć VPN zostanie automatycznie ponownie nawiązana?

Automatyczne ponowne łączenie jest funkcją używanego klienta. System Windows obsługuje automatyczne ponowne nawiązywanie połączenia, konfigurując funkcję klienta zawsze włączonej sieci VPN .

Czy punkt-lokacja obsługuje sieci DDNS na klientach sieci VPN?

Sieci DDNS nie są obecnie obsługiwane w sieci VPN typu punkt-lokacja.

Czy można mieć współistnienie konfiguracji lokacja-lokacja i punkt-lokacja dla tej samej sieci wirtualnej?

Tak. W przypadku modelu wdrażania przy użyciu usługi Resource Manager dla bramy trzeba mieć sieć VPN opartą na trasach. W przypadku klasycznego modelu wdrażania należy użyć bramy dynamicznej. Nie obsługujemy punkt-lokacja dla bram sieci VPN routingu statycznego ani bram sieci VPN Opartych na zasadach.

Czy można skonfigurować klienta typu punkt-lokacja w celu nawiązania połączenia z wieloma bramami sieci wirtualnej w tym samym czasie?

W zależności od używanego oprogramowania klienckiego sieci VPN może być możliwe nawiązanie połączenia z wieloma bramami sieci wirtualnej, pod warunkiem, że połączone sieci wirtualne nie mają konfliktowych przestrzeni adresowych między nimi lub sieć z klienta nawiązuje połączenie. Klient sieci VPN platformy Azure obsługuje wiele połączeń sieci VPN, ale w danym momencie może być połączone tylko jedno połączenie.

Czy można skonfigurować klienta typu punkt-lokacja w celu nawiązania połączenia z wieloma sieciami wirtualnymi w tym samym czasie?

Tak, połączenia klienta typu punkt-lokacja z bramą sieci wirtualnej wdrożonej w sieci wirtualnej równorzędnej z innymi sieciami wirtualnymi mogą mieć dostęp do innych równorzędnych sieci wirtualnych. Klienci typu punkt-lokacja będą mogli łączyć się z równorzędnymi sieciami wirtualnymi, o ile równorzędne sieci wirtualne korzystają z funkcji UseRemoteGateway/AllowGatewayTransit. Aby uzyskać więcej informacji, zobacz About point-to-site routing (Informacje o routingu punkt-lokacja).

Ile przepływności można oczekiwać za pośrednictwem połączeń typu lokacja-lokacja lub połączenia typu punkt-lokacja?

Trudno jest utrzymać dokładną przepływność tuneli VPN. Protokoły IPsec i SSTP należą do niejawnie ciężkich protokołów sieci VPN. Przepływność ograniczają również opóźnienia i przepustowość między lokalizacjami lokalnymi i Internetem. W przypadku bramy sieci VPN z tylko połączeniami sieci VPN typu punkt-lokacja IKEv2 całkowita przepływność, której można oczekiwać, zależy od jednostki SKU bramy. Aby uzyskać więcej informacji o przepływności, zobacz Gateway SKUs (Jednostki SKU bramy).

Czy mogę użyć dowolnego oprogramowania klienta sieci VPN dla typu punkt-lokacja, który obsługuje protokół SSTP i/lub IKEv2?

L.p. Możesz używać wyłącznie natywnego klienta sieci VPN w systemie Windows dla protokołu SSTP i natywnego klienta sieci VPN na komputerach Mac dla protokołu IKEv2. Możesz jednak nawiązać połączenie za pośrednictwem protokołu OpenVPN, używając klienta OpenVPN na wszystkich platformach. Zapoznaj się z listą obsługiwanych systemów operacyjnych klienta.

Czy mogę zmienić typ uwierzytelniania połączenia typu punkt-lokacja?

Tak. W portalu przejdź do strony bramy sieci VPN —> punkt-lokacja . W polu Typ uwierzytelniania wybierz typy uwierzytelniania, których chcesz użyć. Pamiętaj, że po wprowadzeniu zmiany typu uwierzytelniania bieżący klienci mogą nie być w stanie nawiązać połączenia, dopóki nowy profil konfiguracji klienta sieci VPN nie zostanie wygenerowany, pobrany i zastosowany do każdego klienta sieci VPN.

Czy platforma Azure obsługuje sieć VPN z protokołem IKEv2 w systemie Windows?

Protokół IKEv2 jest obsługiwany w systemach Windows 10 i Server 2016. Aby jednak używać protokołu IKEv2 w niektórych wersjach systemu operacyjnego, należy zainstalować aktualizacje i ustawić lokalnie wartość klucza rejestru. Wersje systemu operacyjnego wcześniejsze niż Windows 10 nie są obsługiwane i mogą używać tylko protokołu SSTP lub OpenVPN®.

Uwaga

System operacyjny Windows tworzy nowsze wersje niż Windows 10 w wersji 1709 i Windows Server 2016 w wersji 1607 nie wymagają tych kroków.

Aby przygotowywać system Windows 10 lub Server 2016 pod kątem protokołu IKEv2:

  1. Zainstaluj aktualizację na podstawie wersji systemu operacyjnego:

    Wersja systemu operacyjnego Data Numer/link
    Windows Server 2016
    Windows 10 w wersji 1607    		 17 stycznia 2018 r. KB4057142
    Windows 10 w wersji 1703 17 stycznia 2018 r. KB4057144
    Windows 10 w wersji 1709 22 marca 2018 r. KB4089848

  2. Ustaw wartość klucza rejestru. Utwórz lub ustaw klucz rejestru REG_DWORD „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload”na wartość 1.

Jaki jest limit selektora ruchu IKEv2 dla połączeń punkt-lokacja?

System Windows 10 w wersji 2004 (wydany we wrześniu 2021 r.) zwiększył limit selektora ruchu do 255. Wersje systemu Windows starsze niż limit selektora ruchu wynosi 25.

Limit selektorów ruchu w systemie Windows określa maksymalną liczbę przestrzeni adresowych w sieci wirtualnej oraz maksymalną sumę sieci lokalnych, połączeń między sieciami wirtualnymi i równorzędnymi sieciami wirtualnymi połączonymi z bramą. Klienci punkt-lokacja systemu Windows nie będą mogli nawiązać połączenia za pośrednictwem protokołu IKEv2, jeśli przekroczą ten limit.

Co się stanie po jednoczesnym skonfigurowaniu protokołów SSTP i IKEv2 dla połączeń sieci VPN P2S?

Podczas konfigurowania protokołu SSTP i IKEv2 w środowisku mieszanym (składającym się z urządzeń z systemami Windows i Mac) klient sieci VPN systemu Windows zawsze spróbuje najpierw tunel IKEv2, ale wróci do protokołu SSTP, jeśli połączenie IKEv2 nie powiedzie się. Klienci z systemem MacOSX będą łączyć się tylko za pomocą protokołu IKEv2.

W przypadku włączenia zarówno protokołu SSTP, jak i IKEv2 w bramie pula adresów punkt-lokacja zostanie statycznie podzielona między te dwa, więc klienci używający różnych protokołów będą przypisywani adresy IP z dowolnego podzakresu. Należy pamiętać, że maksymalna liczba klientów SSTP jest zawsze 128, nawet jeśli zakres adresów jest większy niż /24, co powoduje większą liczbę adresów dostępnych dla klientów IKEv2. W przypadku mniejszych zakresów pula będzie równie o połowę zmniejszona. Selektory ruchu używane przez bramę mogą nie zawierać trasy CIDR zakresu adresów punkt-lokacja, ale dwóch reguł CIDR zakresu podrzędnego.

Jakie platformy, oprócz systemów Windows i Mac, platforma Azure obsługuje dla sieci VPN P2S?

pomoc techniczna platformy Azure systemu Windows, Mac i Linux dla sieci VPN P2S.

Mam już wdrożoną usługę Azure VPN Gateway. Czy mogę w niej włączyć sieć VPN z protokołem RADIUS i/lub IKEv2?

Tak, jeśli używana jednostka SKU bramy obsługuje protokół RADIUS i/lub IKEv2, możesz włączyć te funkcje w bramach, które zostały już wdrożone przy użyciu programu PowerShell lub witryny Azure Portal. Podstawowa jednostka SKU nie obsługuje protokołu RADIUS ani IKEv2.

Jak mogę usunąć konfigurację połączenia P2S?

Konfigurację P2S można usunąć przy użyciu następujących poleceń interfejsu wiersza polecenia platformy Azure i programu PowerShell:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Interfejs wiersza polecenia platformy Azure

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Co zrobić, jeśli otrzymuję niezgodność certyfikatu podczas nawiązywania połączenia przy użyciu uwierzytelniania certyfikatu?

Usuń zaznaczenie pola wyboru "Zweryfikuj tożsamość serwera, weryfikując certyfikat", lub dodaj nazwę FQDN serwera wraz z certyfikatem podczas ręcznego tworzenia profilu. Możesz to zrobić, uruchamiając rasphone z wiersza polecenia i wybierając profil z listy rozwijanej.

Pomijanie weryfikacji tożsamości serwera nie jest ogólnie zalecane, ale w przypadku uwierzytelniania certyfikatu platformy Azure ten sam certyfikat jest używany do walidacji serwera w protokole tunelowania sieci VPN (IKEv2/SSTP) i protokołu EAP. Ponieważ certyfikat serwera i nazwa FQDN są już weryfikowane przez protokół tunelowania sieci VPN, jest ono nadmiarowe, aby zweryfikować to samo ponownie w protokole EAP.

point-to-site auth

Czy mogę użyć własnego wewnętrznego głównego urzędu certyfikacji PKI do generowania certyfikatów dla łączności punkt-lokacja?

Tak. Wcześniej można było używać tylko certyfikatów głównych z podpisem własnym. Nadal można przesłać 20 certyfikatów głównych.

Czy mogę używać certyfikatów z usługi Azure Key Vault?

L.p.

Jakie narzędzia umożliwiają tworzenie certyfikatów?

Możesz użyć rozwiązania infrastruktury kluczy publicznych przedsiębiorstwa (wewnętrznej infrastruktury kluczy publicznych), programu Azure PowerShell, narzędzia MakeCert lub protokołu OpenSSL.

Czy są dostępne instrukcje dotyczące ustawień i parametrów certyfikatów?

  • Wewnętrzne rozwiązanie infrastruktury kluczy publicznych/rozwiązanie infrastruktury kluczy publicznych w przedsiębiorstwie: zobacz procedurę generowania certyfikatów.

  • Azure PowerShell: procedurę można znaleźć w artykule dotyczącym programu Azure PowerShell.

  • MakeCert: procedurę można znaleźć w artykule dotyczącym narzędzia MakeCert.

  • OpenSSL:

    • W przypadku eksportowania certyfikatów należy przekonwertować certyfikat główny na format Base64.

    • Certyfikat klienta:

      • W przypadku tworzenia klucza prywatnego należy określić długość równą 4096.
      • W przypadku tworzenia certyfikatu dla parametru -extensions należy określić wartość usr_cert.

Często zadawane pytania dotyczące uwierzytelniania usługi RADIUS

Ile punktów końcowych klienta sieci VPN można mieć w konfiguracji punkt-lokacja?

To zależy od jednostki SKU bramy. Aby uzyskać więcej informacji o liczbie obsługiwanych połączeń, zobacz Jednostki SKU bramy.

Jakich systemów operacyjnych klienta można używać z punkt-lokacja?

Obsługiwane są następujące systemy operacyjne klientów:

  • Windows Server 2008 R2 (tylko 64-bitowy)
  • Windows 8.1 (32-bitowy i 64-bitowy)
  • Windows Server 2012 (tylko 64-bitowy)
  • Windows Server 2012 R2 (tylko 64-bitowy)
  • Windows Server 2016 (tylko 64-bitowy)
  • Windows Server 2019 (tylko 64-bitowy)
  • Windows Server 2022 (tylko 64-bitowy)
  • Windows 10
  • Windows 11
  • System macOS w wersji 10.11 lub nowszej
  • Linux (StrongSwan)
  • iOS

Czy można przechodzić przez serwery proxy i zapory przy użyciu funkcji punkt-lokacja?

Platforma Azure obsługuje trzy typy połączeń punkt-lokacja w sieci VPN:

  • Protokół Secure Socket Tunneling Protocol (SSTP). Protokół SSTP jest własnym rozwiązaniem firmy Microsoft bazującym na protokole SSL. Może przechodzić przez zapory, ponieważ większość zapór otwiera wychodzący port TCP 443, z którego korzysta protokół SSL.

  • OpenVPN. OpenVPN to rozwiązanie bazujące na protokole SSL. Może przechodzić przez zapory, ponieważ większość zapór otwiera port TCP 443, z którego korzysta protokół SSL.

  • Sieć VPN z protokołem IKEv2. Sieć VPN IKEv2 to oparte na standardach rozwiązanie sieci VPN IPsec, które używa wychodzących portów UDP 500 i 4500 i protokołu IP nr 50. Zapory nie zawsze otwierają te porty, więc istnieje możliwość, że sieć VPN IKEv2 nie może przejść przez serwery proxy i zapory.

Jeśli ponownie uruchomię komputer kliencki skonfigurowany dla połączenia typu punkt-lokacja, czy sieć VPN zostanie automatycznie ponownie nawiązana?

Automatyczne ponowne łączenie jest funkcją używanego klienta. System Windows obsługuje automatyczne ponowne nawiązywanie połączenia, konfigurując funkcję klienta zawsze włączonej sieci VPN .

Czy punkt-lokacja obsługuje sieci DDNS na klientach sieci VPN?

Sieci DDNS nie są obecnie obsługiwane w sieci VPN typu punkt-lokacja.

Czy można mieć współistnienie konfiguracji lokacja-lokacja i punkt-lokacja dla tej samej sieci wirtualnej?

Tak. W przypadku modelu wdrażania przy użyciu usługi Resource Manager dla bramy trzeba mieć sieć VPN opartą na trasach. W przypadku klasycznego modelu wdrażania należy użyć bramy dynamicznej. Nie obsługujemy punkt-lokacja dla bram sieci VPN routingu statycznego ani bram sieci VPN Opartych na zasadach.

Czy można skonfigurować klienta typu punkt-lokacja w celu nawiązania połączenia z wieloma bramami sieci wirtualnej w tym samym czasie?

W zależności od używanego oprogramowania klienckiego sieci VPN może być możliwe nawiązanie połączenia z wieloma bramami sieci wirtualnej, pod warunkiem, że połączone sieci wirtualne nie mają konfliktowych przestrzeni adresowych między nimi lub sieć z klienta nawiązuje połączenie. Klient sieci VPN platformy Azure obsługuje wiele połączeń sieci VPN, ale w danym momencie może być połączone tylko jedno połączenie.

Czy można skonfigurować klienta typu punkt-lokacja w celu nawiązania połączenia z wieloma sieciami wirtualnymi w tym samym czasie?

Tak, połączenia klienta typu punkt-lokacja z bramą sieci wirtualnej wdrożonej w sieci wirtualnej równorzędnej z innymi sieciami wirtualnymi mogą mieć dostęp do innych równorzędnych sieci wirtualnych. Klienci typu punkt-lokacja będą mogli łączyć się z równorzędnymi sieciami wirtualnymi, o ile równorzędne sieci wirtualne korzystają z funkcji UseRemoteGateway/AllowGatewayTransit. Aby uzyskać więcej informacji, zobacz About point-to-site routing (Informacje o routingu punkt-lokacja).

Ile przepływności można oczekiwać za pośrednictwem połączeń typu lokacja-lokacja lub połączenia typu punkt-lokacja?

Trudno jest utrzymać dokładną przepływność tuneli VPN. Protokoły IPsec i SSTP należą do niejawnie ciężkich protokołów sieci VPN. Przepływność ograniczają również opóźnienia i przepustowość między lokalizacjami lokalnymi i Internetem. W przypadku bramy sieci VPN z tylko połączeniami sieci VPN typu punkt-lokacja IKEv2 całkowita przepływność, której można oczekiwać, zależy od jednostki SKU bramy. Aby uzyskać więcej informacji o przepływności, zobacz Gateway SKUs (Jednostki SKU bramy).

Czy mogę użyć dowolnego oprogramowania klienta sieci VPN dla typu punkt-lokacja, który obsługuje protokół SSTP i/lub IKEv2?

L.p. Możesz używać wyłącznie natywnego klienta sieci VPN w systemie Windows dla protokołu SSTP i natywnego klienta sieci VPN na komputerach Mac dla protokołu IKEv2. Możesz jednak nawiązać połączenie za pośrednictwem protokołu OpenVPN, używając klienta OpenVPN na wszystkich platformach. Zapoznaj się z listą obsługiwanych systemów operacyjnych klienta.

Czy mogę zmienić typ uwierzytelniania połączenia typu punkt-lokacja?

Tak. W portalu przejdź do strony bramy sieci VPN —> punkt-lokacja . W polu Typ uwierzytelniania wybierz typy uwierzytelniania, których chcesz użyć. Pamiętaj, że po wprowadzeniu zmiany typu uwierzytelniania bieżący klienci mogą nie być w stanie nawiązać połączenia, dopóki nowy profil konfiguracji klienta sieci VPN nie zostanie wygenerowany, pobrany i zastosowany do każdego klienta sieci VPN.

Czy platforma Azure obsługuje sieć VPN z protokołem IKEv2 w systemie Windows?

Protokół IKEv2 jest obsługiwany w systemach Windows 10 i Server 2016. Aby jednak używać protokołu IKEv2 w niektórych wersjach systemu operacyjnego, należy zainstalować aktualizacje i ustawić lokalnie wartość klucza rejestru. Wersje systemu operacyjnego wcześniejsze niż Windows 10 nie są obsługiwane i mogą używać tylko protokołu SSTP lub OpenVPN®.

Uwaga

System operacyjny Windows tworzy nowsze wersje niż Windows 10 w wersji 1709 i Windows Server 2016 w wersji 1607 nie wymagają tych kroków.

Aby przygotowywać system Windows 10 lub Server 2016 pod kątem protokołu IKEv2:

  1. Zainstaluj aktualizację na podstawie wersji systemu operacyjnego:

    Wersja systemu operacyjnego Data Numer/link
    Windows Server 2016
    Windows 10 w wersji 1607    		 17 stycznia 2018 r. KB4057142
    Windows 10 w wersji 1703 17 stycznia 2018 r. KB4057144
    Windows 10 w wersji 1709 22 marca 2018 r. KB4089848

  2. Ustaw wartość klucza rejestru. Utwórz lub ustaw klucz rejestru REG_DWORD „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload”na wartość 1.

Jaki jest limit selektora ruchu IKEv2 dla połączeń punkt-lokacja?

System Windows 10 w wersji 2004 (wydany we wrześniu 2021 r.) zwiększył limit selektora ruchu do 255. Wersje systemu Windows starsze niż limit selektora ruchu wynosi 25.

Limit selektorów ruchu w systemie Windows określa maksymalną liczbę przestrzeni adresowych w sieci wirtualnej oraz maksymalną sumę sieci lokalnych, połączeń między sieciami wirtualnymi i równorzędnymi sieciami wirtualnymi połączonymi z bramą. Klienci punkt-lokacja systemu Windows nie będą mogli nawiązać połączenia za pośrednictwem protokołu IKEv2, jeśli przekroczą ten limit.

Co się stanie po jednoczesnym skonfigurowaniu protokołów SSTP i IKEv2 dla połączeń sieci VPN P2S?

Podczas konfigurowania protokołu SSTP i IKEv2 w środowisku mieszanym (składającym się z urządzeń z systemami Windows i Mac) klient sieci VPN systemu Windows zawsze spróbuje najpierw tunel IKEv2, ale wróci do protokołu SSTP, jeśli połączenie IKEv2 nie powiedzie się. Klienci z systemem MacOSX będą łączyć się tylko za pomocą protokołu IKEv2.

W przypadku włączenia zarówno protokołu SSTP, jak i IKEv2 w bramie pula adresów punkt-lokacja zostanie statycznie podzielona między te dwa, więc klienci używający różnych protokołów będą przypisywani adresy IP z dowolnego podzakresu. Należy pamiętać, że maksymalna liczba klientów SSTP jest zawsze 128, nawet jeśli zakres adresów jest większy niż /24, co powoduje większą liczbę adresów dostępnych dla klientów IKEv2. W przypadku mniejszych zakresów pula będzie równie o połowę zmniejszona. Selektory ruchu używane przez bramę mogą nie zawierać trasy CIDR zakresu adresów punkt-lokacja, ale dwóch reguł CIDR zakresu podrzędnego.

Jakie platformy, oprócz systemów Windows i Mac, platforma Azure obsługuje dla sieci VPN P2S?

pomoc techniczna platformy Azure systemu Windows, Mac i Linux dla sieci VPN P2S.

Mam już wdrożoną usługę Azure VPN Gateway. Czy mogę w niej włączyć sieć VPN z protokołem RADIUS i/lub IKEv2?

Tak, jeśli używana jednostka SKU bramy obsługuje protokół RADIUS i/lub IKEv2, możesz włączyć te funkcje w bramach, które zostały już wdrożone przy użyciu programu PowerShell lub witryny Azure Portal. Podstawowa jednostka SKU nie obsługuje protokołu RADIUS ani IKEv2.

Jak mogę usunąć konfigurację połączenia P2S?

Konfigurację P2S można usunąć przy użyciu następujących poleceń interfejsu wiersza polecenia platformy Azure i programu PowerShell:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Interfejs wiersza polecenia platformy Azure

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

Czy uwierzytelnianie za pomocą protokołu RADIUS jest obsługiwane na wszystkich jednostkach SKU bramy Azure VPN Gateway?

Uwierzytelnianie usługi RADIUS jest obsługiwane dla wszystkich jednostek SKU z wyjątkiem jednostki SKU w warstwie Podstawowa.

W przypadku starszych jednostek SKU uwierzytelnianie usługi RADIUS jest obsługiwane w jednostkach SKU o standardowej i wysokiej wydajności. Nie jest obsługiwana w jednostce SKU bramy podstawowej.

Czy uwierzytelnianie za pomocą protokołu RADIUS jest obsługiwane dla klasycznego modelu wdrażania ?

L.p. Uwierzytelnianie usługi RADIUS nie jest obsługiwane w przypadku klasycznego modelu wdrażania.

Jaki jest limit czasu dla żądań usługi RADIUS wysyłanych do serwera RADIUS?

Żądania usługi RADIUS są ustawiane na limit czasu po 30 sekundach. Wartości limitu czasu zdefiniowane przez użytkownika nie są obecnie obsługiwane.

Czy są obsługiwane serwery RADIUS innych firm?

Tak, serwery RADIUS innych firm są obsługiwane.

Jakie wymagania w zakresie łączności należy spełnić, aby mieć pewność, że brama platformy Azure może komunikować się z lokalnym serwerem RADIUS?

Wymagane jest połączenie sieci VPN typu lokacja-lokacja z lokacją lokalną z skonfigurowanymi odpowiednimi trasami.

Czy ruch sieciowy do lokalnego serwera RADIUS (z bramy Azure VPN Gateway) może być kierowany przez połączenie usługi ExpressRoute?

L.p. Można ją kierować tylko za pośrednictwem połączenia lokacja-lokacja.

Czy liczba połączeń SSTP obsługiwanych z użyciem uwierzytelniania za pomocą protokołu RADIUS uległa zmianie? Jaka jest maksymalna liczba obsługiwanych połączeń SSTP i IKEv2?

Nie ma żadnych zmian w maksymalnej liczbie połączeń SSTP obsługiwanych w bramie z uwierzytelnianiem usługi RADIUS. Pozostaje 128 dla protokołu SSTP, ale zależy od jednostki SKU bramy dla protokołu IKEv2. Aby uzyskać więcej informacji o liczbie obsługiwanych połączeń, zobacz Jednostki SKU bramy.

Jaka jest różnica między uwierzytelnianiem certyfikatu przy użyciu serwera RADIUS a użyciem uwierzytelniania certyfikatu natywnego platformy Azure (przez przekazanie zaufanego certyfikatu na platformę Azure)?

W przypadku uwierzytelniania certyfikatu za pomocą protokołu RADIUS żądanie uwierzytelnienia jest przekazywane do serwera RADIUS, który obsługuje faktyczną weryfikację certyfikatu. Ta opcja jest przydatna, gdy chce się przeprowadzić integrację za pośrednictwem protokołu RADIUS z już posiadaną infrastrukturą uwierzytelniania certyfikatów.

Gdy do uwierzytelniania certyfikatów używana jest platforma Azure, weryfikację certyfikatu przeprowadza brama Azure VPN Gateway. Swój klucz publiczny certyfikatu trzeba przekazać do bramy. Można również określić listy odwołanych certyfikatów, dla których nie powinno być zgody na nawiązywanie połączenia.

Czy uwierzytelnianie za pomocą protokołu RADIUS działa z sieciami VPN z protokołem IKEv2 i SSTP?

Tak, uwierzytelnianie za pomocą protokołu RADIUS jest obsługiwane dla sieci z protokołem IKEv2 i protokołem SSTP.

Czy uwierzytelnianie usługi RADIUS działa z klientem OpenVPN?

Uwierzytelnianie usługi RADIUS jest obsługiwane w przypadku protokołu OpenVPN.

Następne kroki

"OpenVPN" jest znakiem towarowym OpenVPN Inc.