Настройка VPN-клиента Azure для подключений проверки подлинности сертификатов P2S — Windows

  • Статья

Если VPN-шлюз типа "точка — сеть" (P2S) настроен для использования Проверки подлинности OpenVPN и сертификата, вы можете подключиться к виртуальной сети с помощью VPN-клиента Azure или клиента OpenVPN. В этой статье описаны действия по настройке VPN-клиента Azure и подключению к виртуальной сети.

Подготовка к работе

В этой статье предполагается, что вы уже выполнили следующие предварительные требования:

Перед началом действий по настройке клиента убедитесь, что вы находитесь в правильной статье конфигурации VPN-клиента. В следующей таблице показаны статьи о конфигурации, доступные для VPN-шлюз VPN-клиентов типа "точка — сеть". Шаги различаются в зависимости от типа проверки подлинности, типа туннеля и клиентской ОС.

Проверка подлинности Тип туннеля Создание файлов конфигурации Настройка VPN-клиента
Сертификат Azure IKEv2, SSTP Windows Собственный VPN-клиент
Сертификат Azure OpenVPN Windows - Клиент OpenVPN
- VPN-клиент Azure
Сертификат Azure IKEv2, OpenVPN macOS-iOS macOS-iOS
Сертификат Azure IKEv2, OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS — сертификат - Статья Статья
RADIUS — пароль - Статья Статья
RADIUS — другие методы - Статья Статья

Требования к подключению

Чтобы подключиться к Azure, для каждого подключающегося клиентского компьютера требуются следующие элементы:

  • Программное обеспечение VPN-клиента Azure должно быть установлено на каждом клиентском компьютере.
  • Профиль VPN-клиента Azure должен быть настроен с помощью скачаемого файла конфигурации azurevpnconfig.xml .
  • Клиентский компьютер должен иметь сертификат клиента, установленный локально.

Просмотр файлов конфигурации

Пакет конфигурации профиля VPN-клиента содержит определенные папки. Файлы в папках содержат параметры, необходимые для настройки профиля VPN-клиента на клиентском компьютере. Файлы и параметры, которые они содержат, относятся к VPN-шлюзу, а тип проверки подлинности и туннелирование VPN-шлюза настроен для использования.

Найдите и распакуйте созданный пакет конфигурации профиля VPN-клиента. Для проверки подлинности сертификата и OpenVPN вы увидите папку AzureVPN . Найдите файл azurevpnconfig.xml. Этот файл содержит параметры, используемые для настройки профиля VPN-клиента.

Если файл не отображается, проверьте следующее:

Загрузка VPN-клиента Azure

  1. Загрузите последнюю версию установочных файлов VPN-клиента Azure, используя одну из следующих ссылок:

    • Выполните установку с использованием установочных файлов клиента: https://aka.ms/azvpnclientdownload.
    • Установите напрямую после входа на клиентский компьютер: Microsoft Store.

  2. Установите клиент Azure на все компьютеры.

  3. Убедитесь в том, что у VPN-клиента Azure есть разрешение на запуск в фоновом режиме. Инструкции см. в статье Фоновые приложения Windows.

  4. Чтобы проверить установленную версию клиента, откройте VPN-клиент Azure. Перейдите в нижнюю часть клиента и щелкните ... -> ? Справка. В правой области отображается номер версии клиента.

Настройка профиля VPN-клиента Azure

  1. Откройте VPN-клиент Azure.

  2. Выберите + в нижней левой части страницы и нажмите кнопку "Импорт".

  3. В окне перейдите к файлу azurevpnconfig.xml , выберите его, а затем нажмите кнопку "Открыть".

  4. В раскрывающемся списке Сведения о сертификате выберите имя дочернего сертификата (сертификат клиента). Например, P2SChildCert. Можно также (необязательно) выбрать дополнительный профиль.

    Снимок экрана: страница конфигурации профиля клиента VPN Azure.

    Если сертификат клиента не отображается в раскрывающемся списке "Сведения о сертификате", необходимо отменить и устранить проблему, прежде чем продолжить. Возможно, что имеет место одна из следующих ситуаций:

    • Сертификат клиента не установлен локально на клиентском компьютере.
    • На локальном компьютере установлено несколько сертификатов с одинаковым именем (типично для тестовых сред).
    • Дочерний сертификат поврежден.

  5. После проверки импорта (импорт без ошибок) нажмите кнопку "Сохранить".

  6. На панели слева найдите VPN-подключение, а затем выберите Подключение.

Необязательные параметры для VPN-клиента Azure

В следующих разделах рассматриваются необязательные параметры конфигурации, доступные для VPN-клиента Azure.

Вторичный профиль

VPN-клиент Azure обеспечивает высокий уровень доступности для профилей клиентов. Добавление дополнительного профиля клиента дает клиенту более устойчивый способ доступа к VPN. Если в регионе произошел сбой или сбой подключения к основному профилю VPN-клиента, VPN-клиент Azure будет автоматически подключаться к дополнительному профилю клиента, не вызывая каких-либо сбоев.

Для этой функции требуется vpn-клиент Azure версии 2.2124.51.0, который в настоящее время находится в процессе развертывания. В этом примере мы добавим вторичный профиль в уже существующий профиль.

Используя параметры в этом примере, если клиент не может подключиться к виртуальной сети1, он будет автоматически подключаться к виртуальной сети2, не вызывая сбоев.

  1. Добавьте другой профиль VPN-клиента в VPN-клиент Azure. В этом примере мы добавили профиль для подключения к виртуальной сети2.

  2. Затем перейдите к профилю VNet1 и нажмите кнопку "...", а затем настройте.

  3. В раскрывающемся списке "Вторичный профиль" выберите профиль для виртуальной сети2. Затем сохраните параметры.

    Снимок экрана: страница конфигурации профиля VPN-клиента Azure с дополнительным профилем.

Настраиваемые параметры: DNS и маршрутизация

Vpn-клиент Azure можно настроить с дополнительными параметрами конфигурации, такими как дополнительные DNS-серверы, настраиваемые DNS-серверы, принудительное туннелирование, пользовательские маршруты и другие параметры. Описание доступных параметров и действий по настройке см. в дополнительных параметрах VPN-клиента Azure.

Следующие шаги

Этапынастройки "точка — сеть" — VPN-клиенты типа "точка — сеть": проверка подлинности на основе сертификатов — Windows