Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Подключение "точка — сеть" (P2S) к VPN-шлюзу позволяет установить безопасное соединение с вашей виртуальной сетью на индивидуальном клиентском компьютере. Подключение P2S устанавливается путем его запуска с клиентского компьютера. В этой статье рассказывается о способах преодоления 128 одновременных ограничений подключения SSTP путем перехода на протокол OpenVPN или IKEv2.
Какой протокол используется при подключении "точка — сеть"?
В VPN-подключении "точка — сеть" может использоваться один из следующих протоколов:
Протокол OpenVPN® — это VPN-протокол на основе SSL/TLS. Решение SSL VPN может проходить через брандмауэры, так как большинство брандмауэров открывают исходящий TCP-порт 443, который использует SSL. OpenVPN можно использовать для подключения из Android, iOS (версии 11.0 и выше), устройств Windows, Linux и Mac (macOS версии 12.x и выше).
SSTP (Secure Socket Tunneling Protocol) — разработанный корпорацией Майкрософт VPN-протокол на основе SSL. Это решение для VPN-подключений на основе SSL позволяет проходить через брандмауэры, так как большинство брандмауэров открывают для SSL внешний TCP-порт 443. Протокол SSTP поддерживается только на устройствах Windows. Azure поддерживает все версии Windows с протоколом SSTP (Windows 7 и более поздние версии). SSTP поддерживает лишь до 128 одновременных подключений независимо от SKU шлюза.
IKEv2 VPN — решение VPN на основе стандартов IPsec. IKEv2 VPN можно использовать для подключения с устройств Mac (macOS версии 10.11 и выше).
Примечание.
Номер SKU шлюза "Базовый" не поддерживает протоколы IKEv2 или OpenVPN. Если вы используете базовый номер SKU, необходимо удалить и повторно создать рабочий шлюз виртуальной сети SKU.
Переход с SSTP на IKEv2 или OpenVPN
Могут возникнуть случаи, когда вы хотите поддерживать более 128 одновременных подключений P2S к VPN-шлюзу, но используют SSTP. В этом случае необходимо перейти на протокол IKEv2 или OpenVPN.
Вариант 1. Добавление IKEv2 в дополнение к SSTP на шлюзе
Это самый простой вариант. SSTP и IKEv2 можно использовать на одном шлюзе параллельно, чтобы увеличить число одновременных подключений. Вы можете включить IKEv2 в существующем шлюзе и скачать пакет конфигурации клиента, содержащий обновленные параметры.
Добавление IKEv2 в существующий VPN-шлюз SSTP не повлияет на существующие клиенты, и вы можете настроить их для использования IKEv2 небольшими группами либо просто настроить новые клиенты для IKEv2. Если клиент Windows настроен как для SSTP, так и для IKEv2, он пытается подключиться с помощью IKEV2 в первую очередь и в случае сбоя, он возвращается к SSTP.
IKEv2 использует нестандартные UDP-порты, поэтому необходимо убедиться, что эти порты не заблокированы в брандмауэре пользователя. Используются порты UDP 500 и 4500.
- Чтобы добавить IKEv2 в существующий шлюз, перейдите к шлюзу виртуальной сети на портале.
- В области слева выберите конфигурацию "Точка — сеть".
- На странице конфигурации "Точка-сеть" в раскрывающемся списке выберите тип туннеля IKEv2 и SSTP (SSL).
- Примените изменения.
Примечание.
Если в шлюзе включены SSTP и IKEv2, пул адресов "точка-сеть" будет статически разделен между этими двумя, поэтому каждому клиенту, использующему разные протоколы, будет назначен IP-адрес из соответственного поддиапазона. Обратите внимание, что максимальное число клиентов SSTP всегда равно 128. Это применимо, даже если диапазон адресов превышает /24, что приводит к большему количеству адресов, доступных для клиентов IKEv2. Для небольших диапазонов пул делится пополам. Селекторы трафика, используемые шлюзом, могут не включать диапазон адресов CIDR для подключения "точка-то-сеть", а содержать два диапазона CIDR подсетей.
Вариант 2. Удаление SSTP и включение OpenVPN на шлюзе
Так как SSTP и OpenVPN являются протоколом на основе TLS, они не могут сосуществовать на одном шлюзе. Если вы решили отказаться от SSTP в пользу OpenVPN, вам потребуется отключить SSTP и включить OpenVPN на вашем шлюзе. Эта операция приводит к тому, что существующие клиенты теряют подключение к VPN-шлюзу, пока новый профиль не будет настроен на клиенте.
При желании вы можете включить OpenVPN вместе с IKEv2. Протокол OpenVPN основан на TLS и использует стандартный TCP-порт 443.
- Чтобы перейти на OpenVPN, перейдите к шлюзу виртуальной сети на портале.
- В области слева выберите конфигурацию "Точка — сеть".
- На странице конфигурации "Точка — сеть" в раскрывающемся списке выберите OpenVPN (SSL) или IKEv2 и OpenVPN (SSL).
- Примените изменения.
После настройки шлюза существующие клиенты не смогут подключиться, пока не будут развернуты и настроены клиенты OpenVPN. Если вы используете ОС Windows 10 или более поздней версии, вы также можете воспользоваться VPN-клиентом Azure.
Часто задаваемые вопросы
Каковы требования к конфигурации клиента?
Примечание.
Чтобы инициировать VPN-подключение с клиентского устройства Windows к Azure, необходимо иметь права администратора для клиентского устройства.
Для подключения "точка — сеть" пользователи используют собственные VPN-клиенты на устройствах Windows и Mac. В Azure есть ZIP-файл конфигурации VPN-клиента, содержащий параметры, необходимые для подключения к Azure с этих собственных клиентов.
- Конфигурация VPN-клиента для устройств Windows состоит из пакета установщика, который пользователи устанавливают на своих устройствах.
- Конфигурация для устройств Mac содержит файл mobileconfig, который пользователи устанавливают на своих устройствах.
ZIP-файл также содержит значения важных параметров, которые можно настроить в Azure и использовать для создания собственного профиля для этих устройств. К этим значениям относится адрес VPN-шлюза, настроенные типы туннелей, маршруты и корневой сертификат для проверки шлюза.
Примечание.
Начиная с 1 июля 2018 года прекращается поддержка TLS 1.0 и TLS 1.1 в VPN-шлюзе Azure. VPN-шлюз будет поддерживать только TLS 1.2. Затрагиваются только подключения "точка — сеть", но не подключения "сеть — сеть". Если вы используете TLS для VPN-подключений "точка — сеть" на клиентах с Windows 10 или более поздней версии, никаких действий не требуется. Если вы используете TLS для подключений "точка — сеть" клиентов с Windows 7 и Windows 8, обратитесь к разделу VPN-шлюз: вопросы и ответы за инструкциями по обновлению.
Какие номера SKU шлюза поддерживают VPN-подключение "точка — сеть"?
В следующей таблице показаны номера SKU шлюза по туннелям, подключению и пропускной способности. Дополнительные таблицы и дополнительные сведения об этой таблице см. в разделе SKU шлюза статьи о параметрах VPN-шлюз.
|
VPN Шлюз Поколение |
SKU |
Подключение "сеть — сеть" или "виртуальная сеть — виртуальная сеть" Туннели |
P2S Подключения SSTP |
Подключение "точка — сеть" Подключения IKEv2/OpenVPN |
Агрегат Тест пропускной способности |
BGP | Зональная избыточность | Поддерживаемое число виртуальных машин в виртуальной сети |
|---|---|---|---|---|---|---|---|---|
| Поколение1 | Базовая | Макс. 10 | Макс. 128 | Не поддерживается | 100 Мбит/с | Не поддерживается | Нет | 200 |
| Поколение1 | VpnGw1 | Макс. 30 | Макс. 128 | Макс. 250 | 650 Мбит/с | Поддерживается | Нет | 450 |
| Поколение1 | VpnGw2 | Макс. 30 | Макс. 128 | Макс. 500 | 1 Гбит/с | Поддерживается | Нет | 1300 |
| Поколение1 | VpnGw3 | Макс. 30 | Макс. 128 | Макс. 1000 | 1,25 Гбит/с | Поддерживается | Нет | 4000 |
| Поколение1 | VpnGw1AZ | Макс. 30 | Макс. 128 | Макс. 250 | 650 Мбит/с | Поддерживается | Да | 1000 |
| Поколение1 | VpnGw2AZ | Макс. 30 | Макс. 128 | Макс. 500 | 1 Гбит/с | Поддерживается | Да | 2000 |
| Поколение1 | VpnGw3AZ | Макс. 30 | Макс. 128 | Макс. 1000 | 1,25 Гбит/с | Поддерживается | Да | 5000 |
| Поколение2 | VpnGw2 | Макс. 30 | Макс. 128 | Макс. 500 | 1,25 Гбит/с | Поддерживается | No | 685 |
| Поколение2 | VpnGw3 | Макс. 30 | Макс. 128 | Макс. 1000 | 2,5 Гбит/с | Поддерживается | Нет | 2240 |
| Поколение2 | VpnGw4 | Макс. 100* | Макс. 128 | Макс. пять тысяч | 5 Гбит/с | Поддерживается | Нет | 5300 |
| Поколение2 | VpnGw5 | Макс. 100* | Макс. 128 | Макс. 10000 | 10 Гбит/с | Поддерживается | Нет | 6700 |
| Поколение2 | VpnGw2AZ | Макс. 30 | Макс. 128 | Макс. 500 | 1,25 Гбит/с | Поддерживается | Да | 2000 |
| Поколение2 | VpnGw3AZ | Макс. 30 | Макс. 128 | Макс. 1000 | 2,5 Гбит/с | Поддерживается | Да | 3300 |
| Поколение2 | VpnGw4AZ | Макс. 100* | Макс. 128 | Макс. 5000 | 5 Гбит/с | Поддерживается | Да | 4400 |
| Поколение2 | VpnGw5AZ | Макс. 100* | Макс. 128 | Макс. 10 000 | 10 Гбит/с | Поддерживается | Да | 9000 |
Примечание.
Базовая SKU имеет ограничения и не поддерживает аутентификацию с использованием IKEv2 или RADIUS.
Какие политики IKE/IPsec настроены на VPN-шлюзах для подключения "точка — сеть"?
IKEv2
| Шифр | Целостность | PRF | Группа DH |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | ГРУППА_2 |
IPsec
| Шифр | Целостность | Группа PFS |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | ГРУППА_ОТСУТСТВУЕТ |
Какие политики TLS настроены на VPN-шлюзах для подключения "точка — сеть" (P2S)?
TLS
| Политики |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| **TLS_AES_256_GCM_SHA384 |
| **TLS_AES_128_GCM_SHA256 |
**Поддерживается только в TLS1.3 с OpenVPN
Как настроить подключение P2S (точка-точка)?
Для настройки подключения "точка — сеть" необходимо выполнить ряд определенных действий. В следующих статьях описаны шаги для настройки P2S, а также приведены ссылки для настройки клиентских устройств VPN.
Следующие шаги
Настройка P2S-подключения с использованием аутентификации RADIUS
Настройка подключения "точка-точка" — аутентификация Azure на основе сертификата
OpenVPN является товарным знаком OpenVPN Inc.