Настройка VPN-подключения "точка — сеть" к виртуальной сети с помощью нескольких типов проверки подлинности: портал Azure

  • Статья

Эта статья поможет вам установить безопасное подключение отдельных клиентов под управлением Windows, macOS или Linux к виртуальной сети Azure. VPN-подключения типа "точка — сеть" эффективны для подключения к виртуальной сети из удаленного расположения, например, если вы дома или на конференции. Вы также можете использовать подключение "точка — сеть" вместо VPN-подключения "сеть — сеть" при наличии небольшого количества клиентов, которым требуется подключение к виртуальной сети. Для подключения типа "точка-сеть" не требуется VPN-устройство или общедоступный IP-адрес. Подключение "точка — сеть" — это VPN-подключение по протоколу SSTP (Secure Socket Tunneling Protocol) или IKEv2. Дополнительные сведения см. в статье О VPN-подключении типа "точка — сеть".

Connect from a computer to an Azure VNet - point-to-site connection diagram

Дополнительные сведения см. в статье О VPN-подключении типа "точка — сеть". Чтобы создать эту конфигурацию в Azure PowerShell, ознакомьтесь со статьей О настройке VPN-подключения типа "точка — сеть" с помощью Azure PowerShell.

Необходимые компоненты

Убедитесь в том, что у вас уже есть подписка Azure. Если у вас нет подписки Azure, вы можете активировать преимущества для подписчиков MSDN или зарегистрировать бесплатную учетную запись.

Несколько типов проверки подлинности на одном VPN-шлюзе поддерживаются только для туннеля типа OpenVPN.

Пример значений

Следующие значения можно использовать для создания тестовой среды или для лучшего понимания примеров в этой статье.

  • Имя виртуальной сети: VNet1
  • Диапазон адресов: 10.1.0.0/16
    В этом примере мы используем только одно адресное пространство, но для виртуальной сети можно настроить несколько.
  • Имя подсети: FrontEnd.
  • Адресное пространство подсети: 10.1.0.0/24.
  • Подписка. Если у вас есть несколько подписок, убедитесь, что используется правильная.
  • Группа ресурсов: TestRG1.
  • Расположение: восточная часть США.
  • Подсеть шлюза: 10.1.255.0/27
  • SKU: VpnGw2
  • Поколение. Поколение 2
  • Тип шлюза: VPN
  • Тип VPN: на основе маршрутов
  • Имя общедоступного IP-адреса: VNet1GWpip.
  • Тип подключения: "точка — сеть"
  • Пул адресов клиента: 172.16.201.0/24
    VPN-клиенты, подключающиеся к виртуальной сети с помощью этого подключения типа "точка — сеть", получают IP-адреса из пула адресов клиента.

Создание виртуальной сети

Прежде чем начать, убедитесь в том, что у вас есть подписка Azure. Если у вас нет подписки Azure, вы можете активировать преимущества для подписчиков MSDN или зарегистрировать бесплатную учетную запись.

Примечание.

При использовании виртуальной сети в рамках кросс-локальной архитектуры обязательно обратитесь к локальному администратору сети, чтобы определить диапазон IP-адресов, который можно использовать специально для этой виртуальной сети. Если повторяющийся диапазон адресов существует на обеих сторонах VPN-подключения, трафик будет маршрутизироваться неправильно. Кроме того, если вы хотите подключить эту виртуальную сеть к другой виртуальной сети, адресное пространство не может перекрываться с другой виртуальной сетью. Спланируйте конфигурацию сети соответствующим образом.

  1. Войдите на портал Azure.

  2. В области поиска ресурсов, служб и документов (G+/) в верхней части страницы портала введите виртуальную сеть. Выберите виртуальную сеть из результатов поиска Marketplace , чтобы открыть страницу виртуальной сети .

  3. На странице "Виртуальная сеть" выберите "Создать", чтобы открыть страницу "Создать виртуальную сеть".

  4. На вкладке "Основы" настройте параметры виртуальной сети для сведений о проекте и сведения о экземпляре. При проверке значений, которые вы вводите, отображается зеленая проверка. Значения, отображаемые в примере, можно настроить в соответствии с нужными параметрами.

    Screenshot that shows the Basics tab.

    • Подписка. Убедитесь, что указана правильная подписка. Вы можете изменить подписки с помощью раскрывающегося списка.
    • Группа ресурсов: выберите существующую группу ресурсов или нажмите кнопку "Создать" , чтобы создать новую. Дополнительные сведения о группах ресурсов см. в статье Общие сведения об Azure Resource Manager.
    • Имя. Введите имя виртуальной сети.
    • Регион. Выберите расположение для виртуальной сети. Расположение определяет, где будут работать ресурсы, развернутые в этой виртуальной сети.

  5. Нажмите кнопку "Далее" или "Безопасность", чтобы перейти на вкладку "Безопасность". В этом упражнении оставьте значения по умолчанию для всех служб на этой странице.

  6. Выберите IP-адреса, чтобы перейти на вкладку IP-адресов . На вкладке IP-адресов настройте параметры.

    • Диапазон адресов IPv4. По умолчанию диапазон IP-адресов создается автоматически. Вы можете выбрать диапазон адресов и внести нужные значения параметров. Вы также можете добавить другое адресное пространство и удалить значение по умолчанию, которое было создано автоматически. Например, можно указать начальный адрес как 10.1.0.0 и указать размер адресного пространства как /16. Затем нажмите кнопку "Добавить ", чтобы добавить это адресное пространство.

    • + Добавить подсеть. Если используется диапазон IP-адресов по умолчанию, подсеть по умолчанию создается автоматически. Если изменить адресное пространство, добавьте новую подсеть в адресное пространство. Выберите + Добавить подсеть, чтобы открыть окно Добавление подсети. Настройте следующие параметры и нажмите кнопку "Добавить " в нижней части страницы, чтобы добавить значения.

      • Имя подсети: пример — FrontEnd.
      • Диапазон адресов подсети. Диапазон адресов для этой подсети. Примерами являются 10.1.0.0 и /24.

  7. Просмотрите страницу IP-адресов и удалите все адресные пространства или подсети, которые вам не нужны.

  8. Выберите Проверка и создание, чтобы проверить настройки виртуальной сети.

  9. После проверки параметров нажмите кнопку "Создать ", чтобы создать виртуальную сеть.

Шлюз виртуальной сети

На этом шаге вы создадите шлюз для своей виртуальной сети. Создание шлюза часто занимает 45 минут и более, в зависимости от выбранного SKU шлюза.

Примечание.

Шлюз категории "Базовый" не поддерживает тип туннеля OpenVPN.

Для шлюза виртуальной сети требуется определенная подсеть с именем GatewaySubnet. Подсеть шлюза является частью диапазона IP-адресов для виртуальной сети и содержит IP-адреса, используемые ресурсами и службами шлюза виртуальной сети.

При создании подсети шлюза указывается количество IP-адресов, которое содержит подсеть. Необходимое количество IP-адресов зависит от конфигурации VPN-шлюза, который вы хотите создать. Некоторым конфигурациям требуется больше IP-адресов, чем прочим. Лучше всего указать /27 или больше (/26, /25 и т. д.) для подсети шлюза.

Если отображается сообщение об ошибке, указывающее, что адресное пространство перекрывается подсетью или что подсеть не содержится в адресном пространстве виртуальной сети, проверка диапазон адресов виртуальной сети. Возможно, у вас недостаточно IP-адресов, доступных в диапазоне адресов, созданном для виртуальной сети. Например, если подсеть по умолчанию охватывает весь диапазон адресов, для создания дополнительных подсетей нет IP-адресов. Вы можете настроить подсети в существующем адресном пространстве, чтобы освободить IP-адреса или указать другой диапазон адресов и создать там подсеть шлюза.

  1. В разделе "Ресурсы поиска", службы и документы (G+/) введите шлюз виртуальной сети. Найдите шлюз виртуальной сети в результатах поиска Marketplace и выберите его, чтобы открыть страницу "Создание шлюза виртуальной сети".

    Screenshot that shows the Search field.

  2. На вкладке Основные введите значения в полях Сведения о проекте и Сведения об экземпляре.

    Screenshot that shows the Instance fields.

    • Подписка. Выберите подписку, которую вы хотите использовать в раскрывающемся списке.

    • Группа ресурсов. Этот параметр автоматически заполняется при выборе виртуальной сети на этой странице.

    • Имя. Назовите свой шлюз. Именование шлюза не совпадает с именованием подсети шлюза. Это имя объекта шлюза, который вы создаете.

    • Регион. Выберите регион, в котором требуется создать ресурс. Шлюз должен находиться в том же регионе, где и виртуальная сеть.

    • Тип шлюза. Выберите VPN. VPN-шлюзы используют тип шлюза виртуальной сети VPN.

    • Номер SKU. В раскрывающемся списке выберите номер SKU шлюза, поддерживающий функции, которые вы хотите использовать. См . номера SKU шлюза. На портале номера SKU, доступные в раскрывающемся списке, зависят от выбранного VPN type . Базовый номер SKU можно настроить только с помощью Azure CLI или PowerShell. Вы не можете настроить номер SKU "Базовый" в портал Azure.

    • Поколение. Выберите поколение, которое необходимо использовать. Рекомендуется использовать номер SKU поколения 2. Дополнительные сведения см. в разделе о номерах SKU шлюзов.

    • Виртуальная сеть: в раскрывающемся списке выберите виртуальную сеть, в которую нужно добавить этот шлюз. Если вы не видите виртуальную сеть, для которой вы хотите создать шлюз, убедитесь, что выбрана правильная подписка и регион в предыдущих параметрах.

    • Диапазон адресов подсети шлюза или подсеть. Для создания VPN-шлюза требуется подсеть шлюза.

      В настоящее время это поле имеет несколько различных действий в зависимости от адресного пространства виртуальной сети и того, создали ли вы подсеть с именем GatewaySubnet для виртуальной сети.

      Если у вас нет подсети шлюза и вы не видите возможность создать ее на этой странице, вернитесь в виртуальную сеть и создайте подсеть шлюза. Затем вернитесь на эту страницу и настройте VPN-шлюз.

  1. Укажите значения общедоступного IP-адреса. Эти параметры задают объект общедоступного IP-адреса, который связывается с VPN-шлюзом. Общедоступный IP-адрес назначается этому объекту при создании VPN-шлюза. Единственное время изменения основного общедоступного IP-адреса — при удалении и повторном создании шлюза. При изменении размера, сбросе или других внутренних операциях обслуживания или обновления IP-адрес VPN-шлюза не изменяется.

    Screenshot that shows the Public IP address field.

    • Тип общедоступного IP-адреса. Если у вас есть возможность выбрать тип адреса, выберите "Стандартный".
    • Общедоступный IP-адрес. Оставьте выбранный параметр Создать новый.
    • Имя общедоступного IP-адреса: в текстовом поле введите имя экземпляра общедоступного IP-адреса.
    • Номер SKU общедоступного IP-адреса: параметр выбирается автоматически.
    • Назначение: назначение обычно выбирается автоматически и может быть динамическим или статическим.
    • Включение активно-активного режима: выберите "Отключено". Включите этот параметр только в том случае, если вы создаете конфигурацию шлюза active-active.
    • Настройка BGP: выберите "Отключено", если для настройки не требуется этот параметр. Если он вам нужен, то по умолчанию для ASN устанавливается значение 65515, но вы можете его изменить.

  2. Выберите Просмотр и создание, чтобы выполнить проверку.

  3. После прохождения проверки нажмите кнопку "Создать ", чтобы развернуть VPN-шлюз.

Состояние развертывания можно отслеживать на странице обзора шлюза. Создание и развертывание шлюза обычно занимает не менее 45 минут. После создания шлюза вы можете просмотреть назначенный ему IP-адрес в разделе сведений о виртуальной сети на портале. Шлюз будет отображаться как подключенное устройство.

Внимание

При работе с подсетями шлюза избегайте связывания группы безопасности сети (NSG) с подсетью шлюза. Связывание группы безопасности сети с этой подсетью может привести к остановке работы шлюза виртуальной сети (VPN и шлюзов ExpressRoute). Дополнительные сведения о группах безопасности сети см. в статье Фильтрация сетевого трафика с помощью групп безопасности сети.

Пул адресов клиента

Пул адресов клиента представляет собой диапазон частных IP-адресов, указанных вами. Клиенты, которые подключаются через подключение типа "точка — сеть", динамически получают IP-адреса из этого диапазона. Используйте диапазон частных IP-адресов, не пересекающихся с локальным расположением, из которого будет выполняться подключение, или виртуальной сетью, к которой вы хотите подключиться. Если вы настроите несколько протоколов и один из них будет SSTP, то заданный пул адресов поровну разделится между этими протоколами.

  1. После создания шлюза виртуальной сети перейдите к разделу Параметры на странице шлюза виртуальной сети. В разделе Параметры выберите Конфигурация "точка — сеть". Нажмите Настроить, чтобы открыть страницу конфигурации.

    Screenshot of point-to-site configuration page.

  2. На странице Конфигурация "точка — сеть" можно настроить различные параметры. В поле Пул адресов добавьте диапазон частных IP-адресов, который вы хотите использовать. VPN-клиенты динамически получают IP-адрес из указанного вами диапазона. Минимальное значение для маски подсети: 29 бит в режиме "активный — пассивный" и 28 бит в режиме "активный — активный".

    Screenshot of client address pool.

  3. Перейдите к следующему разделу, чтобы настроить проверку подлинности и типы туннелей.

Проверка подлинности и типы туннелей

В этом разделе вы узнаете, как настроить тип проверки подлинности и тип туннеля. Если на странице Конфигурация "точка — сеть" не отображаются параметры Тип туннеля или Тип проверки подлинности, это означает, что для шлюза используется SKU "Базовый". SKU "Базовый" не поддерживает проверку подлинности IKEv2 и RADIUS. Если вам нужно использовать эти параметры, удалите и снова создайте шлюз, указав другой SKU шлюза.

Внимание

Портал Azure находится в процессе обновления полей Azure Active Directory до Entra. Если вы видите идентификатор Microsoft Entra, на который вы ссылаетесь, и вы еще не видите эти значения на портале, можно выбрать значения Azure Active Directory.

Screenshot of authentication types and tunnel type.

Тип туннеля

На странице конфигурации "Точка — сеть" выберите нужные типы. Доступные параметры описаны ниже.

  • OpenVPN (SSL)
  • SSTP (SSL)
  • IKEv2
  • IKEV2 и OpenVPN (SSL)
  • IKEv2 и SSTP (SSL)

Тип аутентификации

В поле Тип проверки подлинностивыберите нужные типы. Доступные параметры описаны ниже.

  • Сертификат Azure
  • RADIUS
  • Microsoft Entra ID

См. следующую таблицу, чтобы проверка, какие механизмы проверки подлинности совместимы с выбранными типами туннелей.

Тип туннеля Механизм проверки подлинности
OpenVPN Любое подмножество идентификатора Microsoft Entra, Radius Auth и сертификата Azure
SSTP Проверка подлинности radius или сертификат Azure
IKEv2 Проверка подлинности radius или сертификат Azure
IKEv2 и OpenVPN Radius Auth/ Azure Certificate/ Microsoft Entra ID и Radius Auth/ Идентификатор Microsoft Entra и сертификат Azure
IKEv2 и SSTP Проверка подлинности radius или сертификат Azure

Примечание.

Для типа туннеля "IKEv2 и OpenVPN" и выбранных механизмов проверки подлинности "Идентификатор Microsoft Entra ID и Radius" или "Идентификатор Microsoft Entra и сертификат Azure", идентификатор Microsoft Entra будет работать только для OpenVPN, так как он не поддерживается IKEv2

В зависимости от выбранных типов проверки подлинности вы будете видеть разные поля параметров конфигурации, которые должны быть заполнены. Введите необходимые сведения и нажмите Сохранить в верхней части страницы, чтобы сохранить все параметры конфигурации.

Дополнительные сведения о проверке подлинности см. в разделах:

Пакет конфигурации VPN-клиента

VPN-клиенты должны быть настроены с помощью параметров конфигурации. Пакет конфигурации VPN-клиента содержит файлы с параметрами для настройки, которые позволяют подсоединяться к виртуальной сети с помощью подключения типа "точка — сеть".

Инструкции по созданию и установке файлов конфигурации VPN-клиента см. в статье, относящейся к вашей конфигурации:

Проверка подлинности Тип туннеля Создание файлов конфигурации Настройка VPN-клиента
Сертификат Azure IKEv2, SSTP Windows Собственный VPN-клиент
Сертификат Azure OpenVPN Windows - Клиент OpenVPN
- VPN-клиент Azure
Сертификат Azure IKEv2, OpenVPN macOS-iOS macOS-iOS
Сертификат Azure IKEv2, OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS — сертификат - Статья Статья
RADIUS — пароль - Статья Статья
RADIUS — другие методы - Статья Статья

Часто задаваемые вопросы о подключениях типа "точка — сеть"

Сведения о часто задаваемых вопросах "точка — сеть" см. в посвященных им частям в разделе Часто задаваемые вопросы о VPN-шлюзе.

Следующие шаги

Установив подключение, можно добавить виртуальные машины в виртуальные сети. Дополнительные сведения о виртуальных машинах см. здесь. Дополнительные сведения о сетях и виртуальных машинах см. в статье Azure и Linux: обзор сетей виртуальных машин.

Дополнительные сведения см. в руководстве по устранению неполадок подключения типа "точка — сеть" в Azure.