Основные понятия VPN пользователя (точка — сеть)

В следующей статье описываются основные понятия и настраиваемые клиентом параметры, связанные с Виртуальная глобальная сеть конфигурациями и шлюзами пользовательского VPN типа "точка — сеть" (P2S). Эта статья разделена на несколько разделов, включая разделы о концепциях конфигурации VPN-сервера P2S и разделы о концепциях VPN-шлюза P2S.

Основные понятия конфигурации VPN-сервера

Конфигурации VPN-сервера определяют параметры проверки подлинности, шифрования и группы пользователей, используемые для проверки подлинности пользователей, а также назначения IP-адресов и шифрования трафика. Шлюзы P2S связаны с конфигурациями VPN-сервера P2S.

Общие понятия

Концепция Описание Примечания
Тип туннеля Протоколы, используемые между VPN-шлюзом "точка — сеть" и подключающимися пользователями. Доступные параметры: IKEv2, OpenVPN или и то, и другое. Для конфигураций сервера IKEv2 доступна только проверка подлинности RADIUS и сертификатов. Для конфигураций открытого VPN-сервера доступны radius, проверка подлинности на основе сертификатов и Azure Active Directory. Кроме того, несколько методов проверки подлинности в одной конфигурации сервера (например, сертификат и RADIUS в одной конфигурации) поддерживаются только для OpenVPN. IKEv2 также имеет ограничение на уровне протокола 255 маршрутов, а OpenVPN — 1000 маршрутов.
Пользовательские параметры IPsec Параметры шифрования, используемые VPN-шлюзом P2S для шлюзов, использующих IKEv2. Доступные параметры см. в статье Пользовательские параметры IPsec для VPN типа "точка — сеть". Этот параметр не применяется к шлюзам, использующим проверку подлинности OpenVPN.

Основные понятия проверки подлинности на основе сертификатов Azure

Следующие понятия связаны с конфигурациями сервера, в которых используется проверка подлинности на основе сертификатов.

Концепция Описание Примечания
Имя корневого сертификата Имя, используемое Azure для идентификации корневых сертификатов клиентов. Может быть настроено любое имя. У вас может быть несколько корневых сертификатов.
Данные открытого сертификата Корневые сертификаты, из которых выдаются сертификаты клиента. Введите строку, соответствующую общедоступным данным корневого сертификата. Пример получения общедоступных данных корневого сертификата см. в шаге 8 в следующем документе о создании сертификатов.
Отозванный сертификат Имя, используемое Azure для идентификации отозванных сертификатов. Может быть настроено любое имя.
Отозванный отпечаток сертификата Отпечаток сертификатов конечных пользователей, которые не должны подключаться к шлюзу. Входные данные для этого параметра — один или несколько отпечатков сертификата. Каждый сертификат пользователя должен быть отозван по отдельности. Отзыв промежуточного или корневого сертификата не приведет к автоматической отмене всех дочерних сертификатов.

Основные понятия проверки подлинности RADIUS

Если VPN-шлюз P2S настроен для использования проверки подлинности на основе RADIUS, VPN-шлюз P2S выступает в качестве прокси-сервера политики сети (NPS) для перенаправления запросов проверки подлинности в клиентские серверы RADIUS. Шлюзы могут использовать один или два сервера RADIUS для обработки запросов проверки подлинности. Запросы проверки подлинности автоматически балансируют нагрузку на серверах RADIUS, если указано несколько.

Концепция Описание Примечания
Секрет сервера-источника Секрет сервера, настроенный на основном сервере RADIUS клиента, который используется для шифрования по протоколу RADIUS. Любая общая строка секрета.
IP-адрес основного сервера Частный IP-адрес сервера RADIUS Этот IP-адрес должен быть частным IP-адресом, доступным виртуальным концентратором. Убедитесь, что подключение, на котором размещен сервер RADIUS, распространяется на defaultRouteTable концентратора со шлюзом.
Секрет сервера-получателя Секрет сервера, настроенный на втором сервере RADIUS, который используется для шифрования по протоколу RADIUS. Любая предоставленная общая строка секрета.
IP-адрес сервера-получателя Частный IP-адрес сервера RADIUS Этот IP-адрес должен быть частным IP-адресом, доступным виртуальным концентратором. Убедитесь, что подключение, на котором размещен сервер RADIUS, распространяется на defaultRouteTable концентратора со шлюзом.
Корневой сертификат сервера RADIUS Общедоступные данные корневого сертификата сервера RADIUS. Это поле является необязательным. Введите строки, соответствующие общедоступным данным корневого сертификата RADIUS. Можно ввести несколько корневых сертификатов. Все клиентские сертификаты, представленные для проверки подлинности, должны быть выданы из указанных корневых сертификатов. Пример получения открытых данных сертификата см. в шаге 8 в следующем документе о создании сертификатов.
Отозванные сертификаты клиента Отпечатки отозванных сертификатов клиента RADIUS. Клиенты, которые представляют отозванные сертификаты, не смогут подключаться. Это поле является необязательным. Каждый сертификат пользователя должен быть отозван по отдельности. Отзыв промежуточного или корневого сертификата не приведет к автоматической отмене всех дочерних сертификатов.

Основные понятия проверки подлинности Azure Active Directory

Следующие понятия связаны с конфигурациями серверов, в которых используется проверка подлинности на основе Azure Active Directory. Проверка подлинности на основе Azure Active Directory доступна, только если тип туннеля — OpenVPN.

Концепция Описание Доступные параметры
Аудитория Идентификатор приложения корпоративного приложения VPN Azure, зарегистрированного в клиенте Azure AD. Дополнительные сведения о том, как зарегистрировать приложение AZURE VPN в клиенте и найти идентификатор приложения, см. в статье Настройка клиента для подключений к vpn-подключению пользователя P2S по протоколу OpenVPN.
Издатель Полный URL-адрес, соответствующий службе маркеров безопасности (STS), связанной с Active Directory. Строка в следующем формате: https://sts.windows.net/<your Directory ID>/
Арендатор Azure Active Directory Полный URL-адрес, соответствующий клиенту Active Directory, используемому для проверки подлинности на шлюзе. Зависит от облака, в котором развернут клиент Active Directory. Сведения об использовании облака см. ниже.

Идентификатор клиента Azure AD

В следующей таблице описан формат URL-адреса Azure Active Directory в зависимости от того, в каком облаке развертывается Azure Active Directory.

Cloud Формат параметров
общедоступное облако Azure; https://login.microsoftonline.com/{AzureAD TenantID}
Azure Government Cloud (Облако Azure для государственных организаций) https://login.microsoftonline.us/{AzureAD TenantID}
Облако Для Китая 21Vianet https://login.chinacloudapi.cn/{AzureAD TenantID}

Основные понятия группы пользователей (с несколькими пулами)

Следующие понятия, связанные с группами пользователей (с несколькими пулами) в Виртуальная глобальная сеть. Группы пользователей позволяют назначать разные IP-адреса подключающимся пользователям на основе их учетных данных, позволяя настраивать списки контроль доступа (ACL) и правила брандмауэра для защиты рабочих нагрузок. Дополнительные сведения и примеры см. в статье Основные понятия с несколькими пулами.

Конфигурация сервера содержит определения групп, а затем группы используются на шлюзах для сопоставления групп конфигурации сервера с IP-адресами.

Концепция Описание Примечания
Группа пользователей или группа политик Группа пользователей или группа политик — это логическое представление группы пользователей, которым должны быть назначены IP-адреса из одного пула адресов. Дополнительные сведения см. в разделе о группах пользователей.
Группа по умолчанию Когда пользователи пытаются подключиться к шлюзу с помощью функции группы пользователей, пользователи, которые не соответствуют ни одной группе, назначенной шлюзу, автоматически считаются частью группы по умолчанию и получают IP-адрес, связанный с этой группой. Каждую группу в конфигурации сервера можно указать как группу по умолчанию или группу, не являющейся группой по умолчанию, и этот параметр нельзя изменить после создания группы. Каждому VPN-шлюзу типа "точка — сеть" можно назначить только одну группу по умолчанию, даже если конфигурация назначенного сервера содержит несколько групп по умолчанию.
Приоритет группы Если шлюзу назначено несколько групп, подключающийся пользователь может предоставить учетные данные, соответствующие нескольким группам. Виртуальная глобальная сеть процессов группы, назначенные шлюзу в порядке увеличения приоритета. Приоритеты — это положительные целые числа, и сначала обрабатываются группы с более низкими числовыми приоритетами. Каждая группа должна иметь отдельный приоритет.
Параметры и члены группы Группы пользователей состоят из участников. Члены не соответствуют отдельным пользователям, а определяют критерии или условия соответствия, используемые для определения группы, в которую входит подключающийся пользователь. После назначения группы шлюзу подключающийся пользователь, учетные данные которого соответствуют критериям, указанным для одного из участников группы, считается частью этой группы и может быть назначен соответствующий IP-адрес. Полный список доступных критериев см. в разделе Доступные параметры группы.

Основные понятия конфигурации шлюза

В следующих разделах описываются основные понятия, связанные с VPN-шлюзом "точка — сеть". Каждый шлюз связан с одной конфигурацией VPN-сервера и имеет множество других настраиваемых параметров.

Общие понятия шлюза

Концепция Описание Примечания
Единица масштабирования шлюза Единица масштабирования шлюза определяет, какой объем совокупной пропускной способности и одновременных пользователей может поддерживать VPN-шлюз "точка — сеть". Единицы масштабирования шлюза могут варьироваться от 1 до 200, поддерживая от 500 до 100 000 пользователей на шлюз.
Конфигурация сервера P2S Определяет параметры проверки подлинности, используемые VPN-шлюзом "точка — сеть" для проверки подлинности входящих пользователей. Любая конфигурация сервера P2S, связанная с шлюзом Виртуальная глобальная сеть. Конфигурация сервера должна быть успешно создана, чтобы шлюз ссылаться на нее.
Предпочтение маршрутизации Позволяет выбрать способ маршрутизации трафика между Azure и Интернетом. Вы можете выбрать маршрутизацию трафика через сеть Майкрософт или через сеть провайдера (общедоступную сеть). Дополнительные сведения об этом параметре см. в статье Что такое предпочтение маршрутизации? Этот параметр нельзя изменить после создания шлюза.
Настраиваемые серверы DNS IP-адреса DNS-серверов, подключающих пользователей, должны перенаправлять DNS-запросы. Любой маршрутизируемый IP-адрес.
Распространение маршрута по умолчанию Если в концентраторе Виртуальная глобальная сеть настроен маршрут 0.0.0.0/0 по умолчанию (статический маршрут в таблице маршрутов по умолчанию или 0.0.0.0/0, объявленный из локальной среды, этот параметр определяет, объявляется ли маршрут 0.0.0.0/0 для подключающихся пользователей. Для этого поля можно задать значение true или false.

Основные понятия, относящиеся к RADIUS

Концепция Описание Примечания
Использование параметра удаленного или локального сервера RADIUS Определяет, может ли Виртуальная глобальная сеть пересылать пакеты проверки подлинности RADIUS на серверы RADIUS, размещенные локально или в виртуальная сеть, подключенные к другому виртуальному концентратору. Этот параметр имеет два значения: true или false. Если Виртуальная глобальная сеть настроено на использование проверки подлинности на основе RADIUS, Виртуальная глобальная сеть шлюз P2S выступает в качестве прокси-сервера RADIUS, который отправляет запросы на проверку подлинности на серверы RADIUS. Этот параметр (если значение равно true) позволяет шлюзу Виртуальная глобальная сеть взаимодействовать с RADIUS-серверами, развернутыми локально или в виртуальная сеть, подключенных к другому концентратору. Если значение равно false, Виртуальная глобальная сеть сможет пройти проверку подлинности только на серверах RADIUS, размещенных в виртуальных сетях, подключенных к концентратору с помощью шлюза.
IP-адреса прокси-сервера RADIUS Пакеты проверки подлинности RADIUS, отправляемые VPN-шлюзом P2S на сервер RADIUS, имеют исходные IP-адреса, указанные в поле IP-адреса прокси-сервера RADIUS. Эти IP-адреса должны быть указаны как клиенты RADIUS на сервере RADIUS. Этот параметр не настраивается напрямую. Если для параметра Use Remote/On-premises RADIUS server (Использовать удаленный или локальный сервер RADIUS) задано значение true, IP-адреса прокси RADIUS автоматически настраиваются в качестве IP-адресов из пулов адресов клиентов, указанных в шлюзе. Если этот параметр имеет значение false, IP-адреса являются IP-адресами из адресного пространства концентратора. IP-адреса прокси RADIUS можно найти на портал Azure на странице VPN-шлюза P2S.

Основные понятия конфигурации подключения

В VPN-шлюзе типа "точка — сеть" может существовать одна или несколько конфигураций подключения. Каждая конфигурация подключения имеет конфигурацию маршрутизации (см. ниже предупреждения) и представляет группу или сегмент пользователей, которым назначены IP-адреса из одного пула адресов.

Концепция Описание Примечания
Имя конфигурации Имя конфигурации VPN типа "точка — сеть" Можно указать любое имя. Вы можете использовать несколько конфигураций подключений на шлюзе, если используете функцию групп пользователей или нескольких пулов. Если вы не используете эту функцию, для каждого шлюза может быть только одна конфигурация.
Пользовательские группы Группы пользователей, соответствующие конфигурации Любые группы пользователей, указанные в конфигурации VPN-сервера. Этот параметр является необязательным. Дополнительные сведения см. в разделе о группах пользователей.
Пулы адресов Пулы адресов — это частные IP-адреса, которым назначаются подключающиеся пользователи. Пулы адресов можно указать как любой блок CIDR, который не перекрывается с адресными пространствами виртуальных концентраторов, IP-адресами, используемыми в виртуальных сетях, подключенных к Виртуальная глобальная сеть или адресами, объявленными из локальной среды. В зависимости от единицы масштабирования, указанной на шлюзе, может потребоваться несколько блоков CIDR. Дополнительные сведения см. в статье о пулах адресов.
Конфигурация маршрутизации Каждое подключение к Виртуальному концентратору имеет конфигурацию маршрутизации, которая определяет таблицу маршрутов, с которой связано подключение, и таблицы маршрутов, в которые распространяется таблица маршрутизации. Все подключения ветви к одному концентратору (ExpressRoute, VPN, NVA) должны быть связаны с defaultRouteTable и распространяться на один и тот же набор таблиц маршрутизации. Наличие разных вариантов распространения для подключений ветвей может привести к непредвиденному поведению маршрутизации, так как Виртуальная глобальная сеть выберет конфигурацию маршрутизации для одной ветви и применит ее ко всем ветвям и, следовательно, маршруты, полученные из локальной среды.

Дальнейшие действия

Добавьте здесь ссылки на несколько статей для дальнейших действий.