Сведения о VPN-подключениях типа "точка — сеть"

Подключение типа "точка — сеть" через VPN-шлюз позволяет создать безопасное подключение к виртуальной сети с отдельного клиентского компьютера. Подключение типа "точка — сеть" сначала устанавливается на клиентском компьютере. Это эффективное решение для сотрудников, которым нужно подключаться к виртуальным сетям Azure из удаленного расположения, например, если они находятся дома или на конференции. Такую конфигурацию также удобно использовать вместо VPN-подключения типа "сеть — сеть" при наличии небольшого числа клиентов, которым требуется подключение к виртуальной сети. Эта статья посвящена модели развертывания Resource Manager.

Какой протокол используется для подключения "точка — сеть"?

В VPN-подключении "точка — сеть" может использоваться один из следующих протоколов:

  • Протокол OpenVPN® — это VPN-протокол на основе SSL/TLS. Это решение для VPN-подключений на основе TLS позволяет проходить через брандмауэры, так как большинство брандмауэров открывают для исходящего трафика TCP-порт 443, которым пользуется TLS. OpenVPN можно использовать для подключения с устройств Android, iOS (начиная с версии 11.0), Windows, Linux и Mac (macOS, начиная с версии 10.13).

  • SSTP (Secure Socket Tunneling Protocol) — проприетарный VPN-протокол на основе TLS. Это решение для VPN-подключений на основе TLS позволяет проходить через брандмауэры, так как большинство брандмауэров открывают для исходящего трафика TCP-порт 443, которым пользуется TLS. Протокол SSTP поддерживается только на устройствах Windows. Azure поддерживает все версии Windows с протоколом SSTP и поддержкой протокола TLS 1.2 (Windows 8.1 и более поздние версии).

  • IKEv2 VPN — решение VPN на основе стандартов IPsec. IKEv2 VPN можно использовать для подключения с устройств Mac (macOS версии 10.11 и выше).

Примечание

Протоколы IKEv2 и OpenVPN для подключений типа "точка — сеть" доступны только для модели развертывания с использованием Resource Manager. Они недоступны для классической модели развертывания.

Как выполняется аутентификация VPN-клиентов при подключениях типа "точка — сеть"?

Прежде чем Azure примет VPN-подключение "точка — сеть", пользователь сначала должен пройти аутентификацию. В Azure существует два механизма для аутентификации подключающегося пользователя.

Собственная аутентификация Azure на основе сертификата

При использовании собственной аутентификации Azure на основе сертификата подключающийся пользователь проверяется с помощью сертификата клиента на устройстве. Сертификаты клиентов создаются из доверенного корневого сертификата и устанавливается на каждом клиентском компьютере. Можно использовать корневой сертификат, созданный с помощью корпоративного решения, или создать самозаверяющий сертификат.

Проверка сертификатов клиентов выполняется VPN-шлюзом, когда устанавливается VPN-подключение "точка — сеть". Для проверки требуется корневой сертификат, который следует передать в Azure.

Аутентификация с использованием собственной службы проверки подлинности Azure Active Directory

Проверка подлинности Azure AD позволяет пользователям подключаться к Azure, используя свои учетные данные Azure Active Directory. Встроенная проверка подлинности Azure AD поддерживается только для протокола OpenVPN, а также требует использования VPN-клиента Azure. Поддерживаемые клиентские операционные системы Windows 10 или более поздней версии и macOS.

Собственная служба проверки подлинности Azure AD позволяет применять условный доступ Azure AD, а также функции многофакторной проверки подлинности (MFA) для VPN.

По сути, вам необходимо выполнить перечисленные ниже действия, чтобы настроить проверку подлинности Azure AD.

  1. Настройка клиента AAD

  2. Включение аутентификации Azure AD на шлюзе

  3. Загрузите последнюю версию установочных файлов VPN-клиента Azure, используя одну из следующих ссылок:

    • Выполните установку с использованием установочных файлов клиента: https://aka.ms/azvpnclientdownload.
    • Установите напрямую после входа на клиентский компьютер: Microsoft Store.

Аутентификация с помощью сервера домена Active Directory (AD)

Аутентификация домена AD позволяет пользователям подключаться к Azure с помощью учетных данных домена организации. Для этой проверки требуется сервер RADIUS, который интегрирован с сервером AD. Организации могут также использовать существующие серверы RADIUS.

Сервер RADIUS можно развернуть локально или в виртуальной сети Azure. Во время аутентификации VPN-шлюз Azure выполняет роль транзитного шлюза и переадресовывает сообщения аутентификации между сервером RADIUS и подключаемым устройством. Поэтому необходимо обеспечить доступность сервера RADIUS для шлюза. Если сервер RADIUS развернут локально, для обеспечения доступности требуется VPN-подключение "сеть — сеть" из Azure к локальному сайту.

Сервер RADIUS также можно интегрировать со службами сертификации AD. Эта интеграция позволяет использовать развернутый сервер RADIUS с корпоративным сертификатом для аутентификации сертификата подключения "точка — сеть" вместо аутентификации Azure на основе сертификата. Преимущество этой аутентификации заключается в том, что не нужно передавать в Azure корневые сертификаты и отмененные сертификаты.

Сервер RADIUS также можно интегрировать с другими системами внешних идентификаторов. Благодаря этой возможности для VPN-подключений "точка — сеть" доступно множество вариантов аутентификации, в том числе и варианты многофакторной аутентификации.

Схема: VPN-подключение

Требования к конфигурации клиента

Примечание

Чтобы инициировать VPN-подключение с клиентского устройства Windows к Azure, необходимо иметь права администратора для клиентского устройства.

Для подключения "точка — сеть" пользователи используют собственные VPN-клиенты на устройствах Windows и Mac. В Azure есть ZIP-файл конфигурации VPN-клиента, содержащий параметры, необходимые для подключения к Azure с этих собственных клиентов.

  • Конфигурация VPN-клиента для устройств Windows состоит из пакета установщика, который пользователи устанавливают на своих устройствах.
  • Конфигурация для устройств Mac содержит файл mobileconfig, который пользователи устанавливают на своих устройствах.

ZIP-файл также содержит значения важных параметров, которые можно настроить в Azure и использовать для создания собственного профиля для этих устройств. К этим значениям относится адрес VPN-шлюза, настроенные типы туннелей, маршруты и корневой сертификат для проверки шлюза.

Примечание

Начиная с 1 июля 2018 года прекращается поддержка TLS 1.0 и TLS 1.1 в VPN-шлюзе Azure. VPN-шлюз будет поддерживать только TLS 1.2. Затрагиваются только подключения "точка — сеть", но не подключения "сеть — сеть". Если вы используете TLS для VPN-подключений "точка — сеть" на клиентах с Windows 10 или более поздней версии, никаких действий не требуется. Если вы используете TLS для подключений "точка — сеть" клиентов с Windows 7 и Windows 8, обратитесь к разделу VPN-шлюз: вопросы и ответы за инструкциями по обновлению.

Какие номера SKU шлюза поддерживают VPN-подключение "точка — сеть"?

Виртуальная частная сеть
Шлюз
Поколение
SKU Подключение "сеть — сеть" или "виртуальная сеть — виртуальная сеть"
Туннели
P2S
Подключения SSTP
P2S
Подключения IKEv2/OpenVPN
Статистическое
Тест пропускной способности
BGP Избыточность между зонами
Поколение1 Основной Макс. 10 Макс. 128 Не поддерживается 100 Мбит/с Не поддерживается Нет
Поколение1 VpnGw1 Макс. 30 Макс. 128 Макс. 250 650 Мбит/с Поддерживается Нет
Поколение1 VpnGw2 Макс. 30 Макс. 128 Макс. 500 1 Гбит/с Поддерживается Нет
Поколение1 VpnGw3 Макс. 30 Макс. 128 Макс. 1000 1,25 Гбит/с Поддерживается Нет
Поколение1 VpnGw1AZ Макс. 30 Макс. 128 Макс. 250 650 Мбит/с Поддерживается Да
Поколение1 VpnGw2AZ Макс. 30 Макс. 128 Макс. 500 1 Гбит/с Поддерживается Да
Поколение1 VpnGw3AZ Макс. 30 Макс. 128 Макс. 1000 1,25 Гбит/с Поддерживается Да
Поколение2 VpnGw2 Макс. 30 Макс. 128 Макс. 500 1,25 Гбит/с Поддерживается Нет
Поколение2 VpnGw3 Макс. 30 Макс. 128 Макс. 1000 2,5 Гбит/с Поддерживается Нет
Поколение2 VpnGw4 Макс. 100* Макс. 128 Макс. 5000 5 Гбит/с Поддерживается Нет
Поколение2 VpnGw5 Макс. 100* Макс. 128 Макс. 10000 10 Гбит/с Поддерживается Нет
Поколение2 VpnGw2AZ Макс. 30 Макс. 128 Макс. 500 1,25 Гбит/с Поддерживается Да
Поколение2 VpnGw3AZ Макс. 30 Макс. 128 Макс. 1000 2,5 Гбит/с Поддерживается Да
Поколение2 VpnGw4AZ Макс. 100* Макс. 128 Макс. 5000 5 Гбит/с Поддерживается Да
Поколение2 VpnGw5AZ Макс. 100* Макс. 128 Макс. 10000 10 Гбит/с Поддерживается Да

(*) Если требуется больше 100 VPN-туннелей S2S, используйте Виртуальную глобальную сеть.

  • Переход между номерами SKU VpnGw разрешен в рамках одного поколения, за исключением номера SKU уровня "Базовый". Номер SKU уровня "Базовый" является устаревшим с ограничениями функций. Чтобы перейти с уровня "Базовый" на другой SKU, необходимо удалить шлюз VPN уровня "Базовый" и создать шлюз с требуемой комбинацией поколения и размера SKU. (См. статью Работа с устаревшими SKU.)

  • Эти ограничения подключений являются раздельными. Например, у вас может быть 128 SSTP-подключений, а также 250 IKEv2 для номера SKU VpnGw1.

  • Дополнительные сведения о ценах можно просмотреть на этой странице .

  • См. сведения о соглашении об уровне обслуживания.

  • Если у вас много P2S подключений, это может негативно повлиять на подключения S2S. Статистические эталоны пропускной способности были протестированы путем поиска максимально эффективных сочетаний соединений S2S и P2S. Одно подключение P2S или S2S может иметь намного более низкую пропускную способность.

  • Обратите внимание, что результаты любых тестов производительности не считаются гарантией, поскольку зависят от условий трафика в Интернете и поведения приложения

Чтобы помочь нашим клиентам измерить относительную производительность для разных ценовых категорий с помощью разных алгоритмов, мы использовали общедоступные средства iPerf и CTSTraffic для оценки производительности подключений типа "сеть — сеть". В приведенной ниже таблице перечислены результаты тестов производительности для ценовой категории VpnGw. Как видите, наилучшая производительность достигается при использовании алгоритма GCMAES256 для обеспечения целостности и шифрования IPsec. Мы получили среднюю производительность при использовании AES256 для шифрования IPsec и SHA256 для обеспечения целостности. Когда мы использовали DES3 для шифрования IPsec и SHA256 для обеспечения целостности, мы получили низкую производительность.

VPN-туннель подключается к экземпляру VPN-шлюза. Пропускная способность каждого экземпляра указана в таблице выше и доступна в совокупности во всех каналах, подключающихся к этому экземпляру.

В приведенной ниже таблице представлены наблюдаемые значения пропускной способности и количества пакетов в секунду для каждого туннеля с разными ценовыми категориями шлюза. Все тестирования выполнялись между шлюзами (конечными точками) в разных регионах Azure при работе 100 подключений со стандартными условиями загрузки.

Поколение SKU Алгоритмы
которые используются
Пропускная способность
которая наблюдается в туннелях
Пакетов в секунду в каждом туннеле
(наблюдается)
Поколение1 VpnGw1 GCMAES256
AES256 и SHA256
DES3 и SHA256
650 Мбит/с
500 Мбит/с
130 Мбит/с
62 000
47 000
12 000
Поколение1 VpnGw2 GCMAES256
AES256 и SHA256
DES3 и SHA256
1,2 Гбит/с
650 Мбит/с
140 Мбит/с
100 000
61,000
13 000
Поколение1 VpnGw3 GCMAES256
AES256 и SHA256
DES3 и SHA256
1,25 Гбит/с
700 Мбит/с
140 Мбит/с
120 000
66 000
13 000
Поколение1 VpnGw1AZ GCMAES256
AES256 и SHA256
DES3 и SHA256
650 Мбит/с
500 Мбит/с
130 Мбит/с
62 000
47 000
12 000
Поколение1 VpnGw2AZ GCMAES256
AES256 и SHA256
DES3 и SHA256
1,2 Гбит/с
650 Мбит/с
140 Мбит/с
110 000
61,000
13 000
Поколение1 VpnGw3AZ GCMAES256
AES256 и SHA256
DES3 и SHA256
1,25 Гбит/с
700 Мбит/с
140 Мбит/с
120 000
66 000
13 000
Поколение2 VpnGw2 GCMAES256
AES256 и SHA256
DES3 и SHA256
1,25 Гбит/с
550 МB/с
130 Мбит/с
120 000
52 000
12 000
Поколение2 VpnGw3 GCMAES256
AES256 и SHA256
DES3 и SHA256
1,5 Гбит/с
700 Мбит/с
140 Мбит/с
140 000
66 000
13 000
Поколение2 VpnGw4 GCMAES256
AES256 и SHA256
DES3 и SHA256
2,3 Гбит/с
700 Мбит/с
140 Мбит/с
220 000
66 000
13 000
Поколение2 VpnGw5 GCMAES256
AES256 и SHA256
DES3 и SHA256
2,3 Гбит/с
700 Мбит/с
140 Мбит/с
220 000
66 000
13 000
Поколение2 VpnGw2AZ GCMAES256
AES256 и SHA256
DES3 и SHA256
1,25 Гбит/с
550 МB/с
130 Мбит/с
120 000
52 000
12 000
Поколение2 VpnGw3AZ GCMAES256
AES256 и SHA256
DES3 и SHA256
1,5 Гбит/с
700 Мбит/с
140 Мбит/с
140 000
66 000
13 000
Поколение2 VpnGw4AZ GCMAES256
AES256 и SHA256
DES3 и SHA256
2,3 Гбит/с
700 Мбит/с
140 Мбит/с
220 000
66 000
13 000
Поколение2 VpnGw5AZ GCMAES256
AES256 и SHA256
DES3 и SHA256
2,3 Гбит/с
700 Мбит/с
140 Мбит/с
220 000
66 000
13 000
  • Рекомендации для номера SKU шлюза см. в разделе SKU шлюзов.

Примечание

SKU "Базовый" не поддерживает проверку подлинности IKEv2 и RADIUS.

Какие политики IKE/IPsec настроены на VPN-шлюзах для подключения "точка — сеть"?

IKEv2

Cipher Целостность PRF Группа DH
GCM_AES256 GCM_AES256 SHA384 GROUP_24
GCM_AES256 GCM_AES256 SHA384 GROUP_14
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP256
GCM_AES256 GCM_AES256 SHA256 GROUP_24
GCM_AES256 GCM_AES256 SHA256 GROUP_14
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP256
AES256 SHA384 SHA384 GROUP_24
AES256 SHA384 SHA384 GROUP_14
AES256 SHA384 SHA384 GROUP_ECP384
AES256 SHA384 SHA384 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_24
AES256 SHA256 SHA256 GROUP_14
AES256 SHA256 SHA256 GROUP_ECP384
AES256 SHA256 SHA256 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_2

IPsec

Cipher Целостность Группа PFS
GCM_AES256 GCM_AES256 GROUP_NONE
GCM_AES256 GCM_AES256 GROUP_24
GCM_AES256 GCM_AES256 GROUP_14
GCM_AES256 GCM_AES256 GROUP_ECP384
GCM_AES256 GCM_AES256 GROUP_ECP256
AES256 SHA256 GROUP_NONE
AES256 SHA256 GROUP_24
AES256 SHA256 GROUP_14
AES256 SHA256 GROUP_ECP384
AES256 SHA256 GROUP_ECP256
AES256 SHA1 GROUP_NONE

Какие политики TLS настроены на VPN-шлюзах для подключения "точка — сеть"?

TLS

Политики
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256

Как настроить подключение "точка — сеть"?

Для настройки подключения "точка — сеть" необходимо выполнить ряд определенных действий. Они описаны в указанных ниже статьях, которые также содержат ссылки для настройки клиентских устройств VPN.

Удаление конфигурации подключения "точка — сеть"

Конфигурацию подключения можно удалить с помощью PowerShell или CLI. Примеры см. в разделе часто задаваемых вопросов.

Как работает маршрутизация P2S

См. следующие статьи:

Часто задаваемые вопросы

Существует несколько разделов с часто задаваемыми вопросами о P2S на основе проверки подлинности.

Next Steps

OpenVPN является товарным знаком OpenVPN Inc.