Управление безопасным доступом к ресурсам в периферийных виртуальных сетях для пользовательских VPN-клиентов

  • Статья

В этой статье показано, как использовать Виртуальная глобальная сеть и Брандмауэр Azure правила и фильтры для управления безопасным доступом к ресурсам в Azure через подключения типа "точка — сеть" IKEv2 или OpenVPN. Эта конфигурация удобна, если у вас есть удаленные пользователи, которым требуется ограничить доступ к ресурсам Azure или защитить ресурсы в Azure.

Действия, описанные в этой статье, помогут вам создать архитектуру, представленную на следующей схеме, чтобы разрешить пользовательским VPN-клиентам получать доступ к определенному ресурсу (виртуальная машина 1) в периферийной виртуальной сети, подключенной к виртуальному концентратору, но не к другим ресурсам (виртуальная машина 2). Используйте этот пример архитектуры в качестве основного принципа.

Схема: защищенный виртуальный концентратор.

Необходимые компоненты

  • у вас есть подписка Azure. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись.

  • У вас есть виртуальная сеть, к которой вы хотите подключиться.

    • Ни одна из подсетей локальной сети не должна перекрывать виртуальные сети, к которым вы хотите подключиться.
    • Сведения о создании виртуальной сети на портале Azure см. в кратком руководстве.

  • В вашей виртуальной сети не должно быть шлюзов виртуальной сети.

    • Если в виртуальной сети уже есть шлюзы (VPN или ExpressRoute), необходимо удалить их все, прежде чем продолжать работу.
    • Эта конфигурация требует, чтобы виртуальные сети подключались только к шлюзу концентратора Виртуальной глобальной сети.

  • Выберите диапазон IP-адресов, который вы хотите использовать для пространства частных адресов виртуального концентратора. Эти сведения используются при настройке виртуального концентратора. Виртуальный концентратор — это виртуальная сеть, которая создается и используется Виртуальной глобальной сетью. Это основа вашей Виртуальной глобальной сети в регионе. Диапазон адресного пространства должен соответствовать определенным правилам:

    • Диапазон адресов, который вы указываете для концентратора, не может пересекаться с любой из существующих виртуальных сетей, к которым вы подключаетесь.
    • Указанный диапазон не может пересекаться с диапазонами локальных адресов, к которым вы подключаетесь.
    • Если вы не знаете диапазоны IP-адресов в своей конфигурации локальной сети, обратитесь к специалисту, который сможет предоставить вам нужную информацию.
  • У вас есть значения, доступные для конфигурации проверки подлинности, которую вы хотите использовать. Например, сервер RADIUS, проверка подлинности Microsoft Entra или создание и экспорт сертификатов.

Создание виртуальной глобальной сети

  1. На портале в строке Поиск ресурсов введите Виртуальная глобальная сеть и нажмите ВВОД.

  2. Выберите Виртуальные глобальные сети в результатах. На странице "Виртуальные глобальные сети" щелкните + Создать, чтобы открыть страницу Создание глобальной сети.

  3. На странице Создание глобальной сети на вкладке Основные сведения заполните поля. Замените примеры значений на соответствующие для вашей среды.

    Снимок экрана, на котором показана панель

    • Подписка. Выберите подписку, которую вы хотите использовать.
    • Группа ресурсов. Создайте новую группу ресурсов или используйте имеющуюся.
    • Расположение группы ресурсов. Выберите расположение ресурсов из раскрывающегося списка. Глобальная сеть — это глобальный ресурс, который не располагается в определенном регионе. Но вы должны выбрать регион, чтобы находить созданный вами ресурс глобальной сети и управлять им.
    • Имя. Введите имя своей виртуальной глобальной сети.
    • Тип. "Базовый" или "Стандартный". Выберите Стандартное. Если вы выбрали "Базовый", учтите, что виртуальные сети уровня "Базовый" могут включать центры только такого же уровня. Центры уровня "Базовый" можно использовать только для подключений "сеть — сеть".

  4. Заполнив поля, нажмите кнопку Просмотреть и создать внизу страницы.

  5. После прохождения проверки нажмите кнопку Создать, чтобы создать виртуальную глобальную сеть.

Определение параметров конфигурации P2S

Конфигурация подключения типа "точка — сеть" (P2S) определяет параметры для подключения удаленных клиентов. Этот раздел поможет вам определить параметры конфигурации P2S, а затем создать конфигурацию, которая будет использоваться для профиля VPN-клиента. Подходящие инструкции зависят от используемого метода проверки подлинности.

методы проверки подлинности;

При выборе метода проверки подлинности у вас есть три варианта. Каждый метод имеет определенные требования. Выберите один из следующих методов и выполните соответствующие выполните действия.

  • Проверка подлинности Microsoft Entra: получите следующее:

    • Идентификатор приложения VPN-приложения Azure Enterprise, зарегистрированного в клиенте Microsoft Entra.
    • Издатель. Пример: https://sts.windows.net/your-Directory-ID.
    • Клиент Microsoft Entra. Пример: https://login.microsoftonline.com/your-Directory-ID.

  • Проверка подлинности на основе RADIUS. Получите IP-адрес сервера RADIUS, секрет сервера RADIUS и сведения о сертификате.

  • Сертификаты Azure. Для этой конфигурации требуются сертификаты. Их необходимо создать самостоятельно или получить. Для каждого клиента требуется отдельный сертификат клиента. Кроме того, необходимо отправить сведения о корневом сертификате (открытый ключ). Дополнительные сведения о необходимых сертификатах см. в разделе Создание и экспорт сертификатов.

  1. Перейдите к созданной виртуальной глобальной сети.

  2. В меню слева выберите Пользовательские конфигурации VPN.

  3. На странице Пользовательские конфигурации VPN выберите Создать пользовательскую конфигурацию VPN.

    Снимок экрана с изображением страницы пользовательских конфигураций VPN.

  4. На странице Создание пользовательской конфигурации VPN на вкладке Основные в разделе Сведения об экземпляре введите значение для поля Имя для вашей конфигурации VPN.

    Снимок экрана с изображением переключателя IPsec в положении пользовательских настроек.

  5. В раскрывающемся списке Тип туннеля выберите нужное значение. Доступные типы туннелей: IKEV2 VPN, OpenVPN и OpenVPN и IKEv2. Каждый тип туннеля имеет свои обязательные параметры. Выбранный тип туннеля соответствует доступным вариантам проверки подлинности.

    Требования и параметры:

    IKEv2 VPN

    • Требования. Если задан типа туннеля IKEv2, то отобразится сообщение о необходимости выбрать способ проверки подлинности. Для IKEv2 можно указать несколько методов проверки подлинности. Вы можете выбрать сертификат Azure, проверку подлинности на основе RADIUS или оба варианта.

    • Пользовательские параметры IPsec. Чтобы задать настройки для этапа IKE 1 и этапа IKE 2, установите переключатель IPsec в положение Пользовательские и выберите значения параметров. Дополнительные сведения о настройке см. в статье о пользовательских параметрах IPsec.

    OpenVPN.

    • Требования. Если задан типа туннеля OpenVPN, то отобразится сообщение о необходимости выбрать механизм проверки подлинности. Если в качестве типа туннеля выбран OpenVPN, вы можете указать несколько способов проверки подлинности. Вы можете выбрать любой подмножество сертификата Azure, идентификатора Microsoft Entra или проверки подлинности на основе RADIUS. Для проверки подлинности на основе протокола RADIUS можно указать дополнительный IP-адрес RADIUS-сервера и секрет сервера.

    OpenVPN и IKEv2

    • Требования. При выборе типа туннеля OpenVPN и IKEv2 вы увидите сообщение, направляющее вас к выбору механизма проверки подлинности. Если в качестве типа туннеля выбраны OpenVPN и IKEv2, можно указать несколько методов проверки подлинности. Вы можете выбрать идентификатор Microsoft Entra вместе с сертификатом Azure или проверкой подлинности на основе RADIUS. Для проверки подлинности на основе протокола RADIUS можно указать дополнительный IP-адрес RADIUS-сервера и секрет сервера.

  6. Настройте способы проверки подлинности, которые вы хотите использовать. Каждый метод проверки подлинности находится на отдельной вкладке: сертификат Azure, проверка подлинности RADIUS и идентификатор Microsoft Entra. Некоторые способы проверки подлинности доступны только для определенных типов туннелей.

    На вкладке способа проверки подлинности, который вы хотите настроить, выберите Да, чтобы просмотреть доступные параметры конфигурации.

    • Пример: проверка подлинности на основе сертификата

      Для настройки этого параметра тип туннеля на странице "Основное" может быть IKEv2, OpenVPN или OpenVPN и IKEv2.

      Снимок экрана: выбран пункт

    • Пример: проверка подлинности RADIUS

      Чтобы настроить этот параметр, тип туннеля на странице "Основы" можно использовать Ikev2, OpenVPN или OpenVPN и IKEv2.

      Снимок экрана: страница проверки подлинности RADIUS.

    • Пример проверки подлинности Microsoft Entra

      Чтобы настроить этот параметр, тип туннеля на странице "Основы" должен быть OpenVPN. Проверка подлинности на основе идентификаторов Microsoft Entra поддерживается только в OpenVPN.

      Страница проверки подлинности Microsoft Entra.

  7. Когда вы закончите настройку параметров, щелкните Проверка и создание внизу страницы.

  8. Нажмите Создать, чтобы создать пользовательскую конфигурацию VPN.

Создание концентратора и шлюза

В этом разделе вы создадите виртуальный концентратор с помощью шлюза типа "точка — сеть". При настройке можно использовать следующие примеры значений:

  • Диапазон частных IP-адресов концентратора: 10.1.0.0/16
  • Пул адресов клиента: 10.5.0.0/16
  • Пользовательские DNS-серверы: можно указать до 5 DNS-серверов.

Страница "Основные сведения"

  1. Откройте только что созданную виртуальную глобальную сеть. На странице "Виртуальная глобальная сеть" в разделе Возможность подключения выберите Концентраторы.

  2. На странице Центры выберите +Новый центр, чтобы открыть страницу Создание виртуального центра.

    Снимок экрана, на котором показана область

  3. На вкладке Основные сведения страницы Создание виртуального концентратора заполните следующие поля:

    • Регион: выберите регион, в котором требуется развернуть виртуальный центр.
    • Имя: имя виртуального центра.
    • Пространство частных адресов концентратора: диапазон адресов концентратора в нотации CIDR. Минимальное адресное пространство /24 для создания концентратора.
    • Емкость виртуального концентратора: выберите вариант из раскрывающегося списка. Дополнительные сведения о параметрах виртуальных концентраторов см. на этой странице.
    • Предпочтения маршрутизации концентратора: оставьте значение по умолчанию. Дополнительные сведения см. в разделе Предпочтение маршрутизации виртуального концентратора.

Страница "Конфигурация типа "точка — сеть"

  1. Перейдите на вкладку Точка — сеть, чтобы открыть страницу настройки подключения "точка — сеть". Чтобы просмотреть параметры подключения, нажмите кнопку Да.

    Снимок экрана конфигурации виртуального концентратора с выбранной вкладкой

  2. Настройте следующие параметры:

    • Единицы масштабирования шлюза — совокупная емкость VPN-шлюза пользователя. Если вы выбрали 40 или более единиц, спланируйте пул адресов клиентов соответствующим образом. Сведения о том, как этот параметр влияет на пул адресов клиента, см. в статье Общие сведения о пулах клиентских адресов. Для получения информации о единицах масштабирования шлюза см. раздел с часто задаваемыми вопросами.

    • Конфигурация "точка-сеть" — выберите конфигурацию VPN пользователя, созданную на предыдущем шаге.

    • Предпочтение маршрутизации — этот параметр позволяет выбрать способ передачи трафика между Azure и Интернетом. Вы можете выбрать передачу трафика через сеть Майкрософт или сети поставщиков услуг Интернета (общедоступный Интернет). Эти варианты условно называются режимами "холодной картошки" и "горячей картошки" соответственно. Общедоступный IP-адрес в виртуальной глобальной сети назначается службой на основе выбранного варианта маршрутизации. Дополнительные сведения о вариантах маршрутизации через сеть Майкрософт или поставщик услуг Интернета см. в статье Что такое предпочтение маршрутизации?

    • Использовать удаленный или локальный сервер RADIUS: если пользовательский VPN-шлюз Виртуальной глобальной сети Azure настроен для использования проверки подлинности на основе RADIUS, пользовательский VPN-шлюз выступает в качестве прокси-сервера и отправляет RADIUS-запросы на доступ к серверу RADIUS. Параметр "Использовать удаленный или локальный сервер RADIUS" отключен по умолчанию, то есть пользовательский VPN-шлюз будет иметь возможность перенаправлять запросы на проверку подлинности только на серверы RADIUS в виртуальных сетях, подключенных к концентратору шлюза. Включение этого параметра позволит пользовательскому VPN-шлюзу пользователя проходить проверку подлинности с помощью серверов RADIUS, подключенных к удаленным концентраторам или развернутых локально.

      Примечание.

      Настройка удаленного или локального сервера RADIUS и связанных IP-адресов прокси используется только в том случае, если шлюз настроен для использования проверки подлинности на основе RADIUS. Если шлюз не настроен на использование проверки подлинности на основе RADIUS, этот параметр будет проигнорирован.

      Параметр "Использовать удаленный или локальный RADIUS-сервер" необходимо включить, если пользователи вместо профиля на основе концентратора будут подключаться к глобальному профилю VPN. Дополнительные сведения см. в статье о глобальных профилях и профилях на основе концентратора.

      Создав VPN-шлюз пользователя, перейдите к этому шлюзу и обратите внимание на значение в поле IP-адресов прокси-сервера RADIUS. IP-адреса прокси-сервера RADIUS являются исходными адресами пакетов RADIUS, которые пользовательский VPN-шлюз отправляет на сервер RADIUS. Поэтому сервер RADIUS должен быть настроен для приема запросов проверки подлинности от IP-адресов прокси-сервера RADIUS. Если поле IP-адресов прокси-сервера RADIUS не заполнено или отсутствует, настройте сервер RADIUS на прием запросов проверки подлинности из диапазона IP-адресов концентратора.

      Кроме того, не забудьте задать связи и распространение подключения (виртуальной сети или локальной сети), на котором размещается сервер RADIUS, распространяется на стандартную версиюRouteTable концентратора, развернутого с ПОМОЩЬЮ VPN-шлюза "Точка — сеть", и что конфигурация VPN типа "точка — сеть" распространяется на таблицу маршрутов подключения, на котором размещен сервер RADIUS. Это обязательно, чтобы убедиться, что шлюз может взаимодействовать с сервером RADIUS и наоборот.

      Снимок экрана: пользовательская конфигурация VPN с IP-адресами прокси-сервера RADIUS.

    • Клиентский пул адресов — пул адресов, из которого IP-адреса будут автоматически назначаться VPN-клиентам. Пулы адресов должны отличаться. Перекрытие между пулами адресов недопустимо. Дополнительные сведения см. в статье О пулах клиентских адресов.

    • Пользовательские DNS-серверы — IP-адрес DNS-серверов, которые будут использоваться клиентами. Можно указать максимум 5 адресов.

  3. Чтобы проверить параметры, выберите Просмотр и создание.

  4. После завершения проверки нажмите кнопку Создать. На создание концентратора требуется не менее 30 минут.

Создание файлов конфигурации VPN-клиента

В этом разделе вы создадите и скачаете файлы профиля конфигурации. Эти файлы используются для настройки собственного VPN-клиента на клиентском компьютере.

  1. Чтобы создать пакет конфигурации VPN-клиента глобального профиля уровня глобальной сети, перейдите в виртуальную глобальную сеть (а не виртуальный концентратор).

  2. В области слева выберите Пользовательские конфигурации VPN.

  3. Выберите конфигурацию, для которой нужно скачать профиль. Если у вас несколько центров, назначенных одному профилю, разверните профиль, чтобы отобразить концентраторы, а затем выберите один из центров, использующих профиль.

  4. Нажмите Скачать профиль VPN пользователя виртуальной глобальной сети.

  5. На странице скачивания выберите EAPTLS, а затем — Создать и скачать профиль. Будет создан и скачан на ваш компьютер пакет профиля (ZIP-файл) с параметрами конфигурации клиента. Содержимое пакета зависит от параметров проверки подлинности и туннеля для конфигурации.

Настройка VPN-клиентов

Используйте загруженный профиль для настройки клиентов удаленного доступа. Процедуры для каждой операционной системы отличаются, поэтому следуйте инструкциям, применимым к вашей операционной системе.

IKEv2

Если в пользовательской конфигурации VPN вы указали тип VPN-туннеля IKEv2, можно настроить собственный VPN-клиент (Windows и macOS Catalina или более поздней версии).

Ниже приведены инструкции для Windows. Инструкции для macOS см. в разделе IKEv2-macOS.

  1. Выберите файлы конфигурации VPN-клиента, которые соответствуют архитектуре компьютера Windows. Для 64-разрядной архитектуры процессора выберите пакет установщика VpnClientSetupAmd64. Для 32-разрядной архитектуры процессора выберите пакет установщика VpnClientSetupX86.

  2. Дважды щелкните пакет, чтобы установить его. При появлении всплывающего окна SmartScreen щелкните Подробнее, а затем Выполнить в любом случае.

  3. На клиентском компьютере перейдите в раздел Параметры сети и щелкните VPN. Для VPN-подключения отображается имя виртуальной сети, к которой оно устанавливается.

  4. Установите сертификат клиента на каждом компьютере, который требуется подключить через эту пользовательскую конфигурацию VPN. Сертификат клиента требуется при использовании собственной аутентификации Azure на основе сертификата. Дополнительную информацию о создании сертификатов см. в разделе Настройка подключения "точка — сеть" к виртуальной сети с использованием собственной аутентификации Azure на основе сертификата и портала Azure. Инструкции по установке сертификата клиента см. в разделе Установка сертификата клиента для аутентификации Azure на основе сертификата при подключениях типа "точка — сеть".

OpenVPN.

Если в пользовательской конфигурации VPN вы указали тип туннеля OpenVPN, можно скачать и настроить VPN-клиент Azure либо в некоторых случаях можно использовать клиентское программное обеспечение OpenVPN. Инструкции см. по ссылке, соответствующей вашей конфигурации.

Подключение периферийной виртуальной сети

В этом разделе вы создадите подключение между своим концентратором и периферийной виртуальной сетью.

  1. В портал Azure перейдите к Виртуальная глобальная сеть В левой области выберите подключения виртуальной сети.

  2. На странице подключений к виртуальной сети нажмите кнопку +Добавить подключение.

  3. На странице "Добавление подключения" настройте параметры подключения. Сведения о параметрах маршрутизации см. в разделе "Сведения о маршрутизации".

    Снимок экрана: страница

    • Имя подключения: задайте имя для своего подключения.
    • Концентраторы: выберите концентратор, который нужно связать с этим подключением.
    • Подписка: проверьте подписку.
    • Группа ресурсов: выберите группу ресурсов, содержащую виртуальную сеть, к которой требуется подключиться.
    • Виртуальная сеть: выберите виртуальную сеть, которую вы хотите подключить к этому концентратору. В выбранной виртуальной сети не должно быть шлюза виртуальной сети.
    • Нет распространения: по умолчанию для этого параметра выбрано значение Нет. Если установить переключатель в положение Да, варианты конфигурации Распространить в таблицы маршрутизации и Распространить к меткам станут недоступны.
    • Связать таблицу маршрутов: в раскрывающемся списке можно выбрать таблицу маршрутов, которую нужно связать.
    • Распространение на метки: метки — это логическая группа таблиц маршрутов. Для этого параметра выберите в раскрывающемся списке.
    • Статические маршруты: при необходимости настройте статические маршруты. Настройте статические маршруты для сетевых виртуальных устройств (если применимо). Виртуальная глобальная сеть поддерживает один IP-адрес следующего перехода для статического маршрута в виртуальном сетевом соединении. Например, если у вас есть отдельная виртуальная (модуль) для входящего трафика и потоков исходящего трафика, рекомендуется использовать виртуальные (модуль) в отдельных виртуальных сетях и подключить виртуальные сети к виртуальному концентратору.
    • Обход IP-адреса следующего прыжка для рабочих нагрузок в этой виртуальной сети. Этот параметр позволяет развертывать NVAs и другие рабочие нагрузки в одной виртуальной сети, не заставляя весь трафик через NVA. Этот параметр можно настроить только при настройке нового подключения. Если вы хотите использовать этот параметр для уже созданного подключения, удалите подключение, а затем добавьте новое подключение.
    • Распространение статического маршрута: этот параметр в настоящее время развертывается. Этот параметр позволяет распространять статические маршруты, определенные в разделе "Статические маршруты " для маршрутизации таблиц, указанных в разделе "Распространение в таблицы маршрутов". Кроме того, маршруты будут распространяться в таблицы маршрутов с метками, указанными как распространение на метки. Эти маршруты могут распространяться между концентраторами, за исключением маршрута по умолчанию 0/0. Эта функция находится в процессе развертывания. Если эта функция включена, обратитесь к vwanpm@microsoft.com

  4. После завершения настройки параметров нажмите кнопку "Создать ", чтобы создать подключение.

Создание виртуальных машин

В этом разделе вы создадите две виртуальные машины в виртуальной сети — VM1 и VM2. В схеме сети мы используем 10.18.0.4 и 10.18.0.5. При настройке виртуальных машин необходимо выбрать созданную виртуальную сеть (на вкладке "Сети"). Инструкции по созданию виртуальной машины см. в разделе Краткое руководство. Создание виртуальной машины.

Защита виртуального концентратора

У стандартного виртуального концентратора нет встроенных политик безопасности для защиты ресурсов в периферийных виртуальных сетях. Защищенный виртуальный концентратор использует Брандмауэр Azure или решение стороннего поставщика для управления входящим и исходящим трафиком для защиты ресурсов в Azure.

Преобразуйте концентратор в защищенный концентратор, используя следующую статью: Настройка Брандмауэра Azure в концентраторе Виртуальной глобальной сети.

Создание правил для управления трафиком и его фильтрации

Создайте правила, определяющие поведение Брандмауэра Azure. Обеспечивая защиту концентратора, мы гарантируете, что все пакеты, поступающие в виртуальный концентратор, будут подвергаться обработке брандмауэром до получения доступа к ресурсам Azure.

После выполнения этих действий вы создадите архитектуру, которая позволяет пользователям VPN получать доступ к виртуальной машине с частным IP-адресом 10.18.0.4, но не обращаться к виртуальной машине с частным IP-адресом 10.18.0.5

  1. На портале Azure перейдите в раздел Брандмауэр Azure.

  2. В разделе "Безопасность" выберите Политики Брандмауэра Azure.

  3. Щелкните Создание политики Брандмауэра Azure.

  4. В разделе Сведения о политикевведите имя и выберите регион, где развернут виртуальный концентратор.

  5. Выберите Далее: Параметры DNS.

  6. Нажмите кнопку "Далее" — правила.

  7. На вкладке Правила выберите элемент Добавление коллекции правил.

  8. Укажите имя коллекции. Задайте тип как Сеть. Добавьте значение приоритета 100.

  9. Введите имя правила, исходного типа, источника, протокола, портов назначения и типа назначения, как показано в следующем примере. Затем выберите Добавить. Это правило позволяет любому IP-адресу из пула VPN-клиентов получить доступ к виртуальной машине с частным IP-адресом 10.18.04, но не к какому-либо другому ресурсу, подключенному к этому виртуальному концентратору. Создайте все необходимые правила, соответствующие требуемой архитектуре и правилам разрешений.

    Правила брандмауэра

  10. Нажмите кнопку "Далее" — аналитика угроз.

  11. Нажмите кнопку Далее: Центры.

  12. На вкладке Концентраторы выберите Связать виртуальные концентраторы.

  13. Выберите созданный ранее виртуальный концентратор и нажмите кнопку Добавить.

  14. Выберите Review + create (Просмотреть и создать).

  15. Нажмите кнопку создания.

Этот процесс может занять 5 минут или больше.

Маршрутизация трафика через Брандмауэр Azure

В этом разделе вам нужно убедиться, что трафик направляется через Брандмауэр Azure.

  1. На портале в разделе Диспетчер брандмауэра выберите Защищенные виртуальные концентраторы.
  2. Выберите созданный виртуальный концентратор.
  3. В разделе Параметры выберите пункт Конфигурация безопасности.
  4. В разделе Частный трафик выберите Брандмауэр Azure.
  5. Убедитесь, что подключение к виртуальной сети и частный трафик подключения филиала защищены Брандмауэром Azure.
  6. Выберите Сохранить.

Примечание.

Если вы хотите проверить трафик, предназначенный для частных конечных точек, с помощью Брандмауэра Azure в защищенном виртуальном концентраторе, см. статью Безопасный трафик для частных конечных точек в Виртуальной глобальной сети Azure. Необходимо добавить префикс /32 для каждой частной конечной точки в префиксы частного трафика в разделе "Безопасность" диспетчера Брандмауэра Azure, чтобы они проверялись с помощью Брандмауэра Azure в защищенном виртуальном концентраторе. Если эти префиксы /32 не настроены, трафик, предназначенный для частных конечных точек, будет обходить Брандмауэр Azure.

Проверить

Проверьте настройку защищенного концентратора.

  1. Подключитесь к защищенному виртуальному концентратору через VPN с клиентского устройства.
  2. Проверьте связь с IP-адресом 10.18.0.4 из клиента. Вы должны получить ответ.
  3. Проверьте связь с IP-адресом 10.18.0.5 из клиента. Ответ не должен отображаться.

Рекомендации

  • Убедитесь, что таблица фактических маршрутов в защищенном виртуальном концентраторе имеет следующий прыжок для частного трафика в брандмауэре. Чтобы получить доступ к таблице фактических маршрутов, перейдите к ресурсу Виртуальный концентратор. В разделе Подключениевыберите Маршрутизация, а затем выберите Фактические маршруты. Здесь выберите таблицу маршрутизации По умолчанию.
  • Убедитесь, что правила созданы в разделе Создание правил. Если пропустить эти действия, созданные вами правила не будут связаны с концентратором, а таблица маршрутизации и поток пакетов не будут использовать Брандмауэр Azure.

Следующие шаги