Сведения о VPN-подключениях типа "точка — сеть"
Подключение типа "точка — сеть" через VPN-шлюз позволяет создать безопасное подключение к виртуальной сети с отдельного клиентского компьютера. Подключение типа "точка — сеть" сначала устанавливается на клиентском компьютере. Это эффективное решение для сотрудников, которым нужно подключаться к виртуальным сетям Azure из удаленного расположения, например, если они находятся дома или на конференции. Такую конфигурацию также удобно использовать вместо VPN-подключения типа "сеть — сеть" при наличии небольшого числа клиентов, которым требуется подключение к виртуальной сети. Эта статья посвящена модели развертывания Resource Manager.
Какой протокол используется для подключения "точка — сеть"?
В VPN-подключении "точка — сеть" может использоваться один из следующих протоколов:
Протокол OpenVPN® — это VPN-протокол на основе SSL/TLS. Это решение для VPN-подключений на основе TLS позволяет проходить через брандмауэры, так как большинство брандмауэров открывают для исходящего трафика TCP-порт 443, которым пользуется TLS. OpenVPN можно использовать для подключения с устройств Android, iOS (начиная с версии 11.0), Windows, Linux и Mac (macOS, начиная с версии 10.13).
SSTP (Secure Socket Tunneling Protocol) — проприетарный VPN-протокол на основе TLS. Это решение для VPN-подключений на основе TLS позволяет проходить через брандмауэры, так как большинство брандмауэров открывают для исходящего трафика TCP-порт 443, которым пользуется TLS. Протокол SSTP поддерживается только на устройствах Windows. Azure поддерживает все версии Windows с протоколом SSTP и поддержкой протокола TLS 1.2 (Windows 8.1 и более поздние версии).
IKEv2 VPN — решение VPN на основе стандартов IPsec. IKEv2 VPN можно использовать для подключения с устройств Mac (macOS версии 10.11 и выше).
Примечание
Протоколы IKEv2 и OpenVPN для подключений типа "точка — сеть" доступны только для модели развертывания с использованием Resource Manager. Они недоступны для классической модели развертывания.
Как выполняется аутентификация VPN-клиентов при подключениях типа "точка — сеть"?
Прежде чем Azure примет VPN-подключение "точка — сеть", пользователь сначала должен пройти аутентификацию. В Azure существует два механизма для аутентификации подключающегося пользователя.
Собственная аутентификация Azure на основе сертификата
При использовании собственной аутентификации Azure на основе сертификата подключающийся пользователь проверяется с помощью сертификата клиента на устройстве. Сертификаты клиентов создаются из доверенного корневого сертификата и устанавливается на каждом клиентском компьютере. Можно использовать корневой сертификат, созданный с помощью корпоративного решения, или создать самозаверяющий сертификат.
Проверка сертификатов клиентов выполняется VPN-шлюзом, когда устанавливается VPN-подключение "точка — сеть". Для проверки требуется корневой сертификат, который следует передать в Azure.
Аутентификация с использованием собственной службы проверки подлинности Azure Active Directory
Проверка подлинности Azure AD позволяет пользователям подключаться к Azure, используя свои учетные данные Azure Active Directory. Встроенная проверка подлинности Azure AD поддерживается только для протокола OpenVPN, а также требует использования VPN-клиента Azure. Поддерживаемые клиентские операционные системы Windows 10 или более поздней версии и macOS.
Собственная служба проверки подлинности Azure AD позволяет применять условный доступ Azure AD, а также функции многофакторной проверки подлинности (MFA) для VPN.
По сути, вам необходимо выполнить перечисленные ниже действия, чтобы настроить проверку подлинности Azure AD.
Загрузите последнюю версию установочных файлов VPN-клиента Azure, используя одну из следующих ссылок:
- Выполните установку с использованием установочных файлов клиента: https://aka.ms/azvpnclientdownload.
- Установите напрямую после входа на клиентский компьютер: Microsoft Store.
Аутентификация с помощью сервера домена Active Directory (AD)
Аутентификация домена AD позволяет пользователям подключаться к Azure с помощью учетных данных домена организации. Для этой проверки требуется сервер RADIUS, который интегрирован с сервером AD. Организации могут также использовать существующие серверы RADIUS.
Сервер RADIUS можно развернуть локально или в виртуальной сети Azure. Во время аутентификации VPN-шлюз Azure выполняет роль транзитного шлюза и переадресовывает сообщения аутентификации между сервером RADIUS и подключаемым устройством. Поэтому необходимо обеспечить доступность сервера RADIUS для шлюза. Если сервер RADIUS развернут локально, для обеспечения доступности требуется VPN-подключение "сеть — сеть" из Azure к локальному сайту.
Сервер RADIUS также можно интегрировать со службами сертификации AD. Эта интеграция позволяет использовать развернутый сервер RADIUS с корпоративным сертификатом для аутентификации сертификата подключения "точка — сеть" вместо аутентификации Azure на основе сертификата. Преимущество этой аутентификации заключается в том, что не нужно передавать в Azure корневые сертификаты и отмененные сертификаты.
Сервер RADIUS также можно интегрировать с другими системами внешних идентификаторов. Благодаря этой возможности для VPN-подключений "точка — сеть" доступно множество вариантов аутентификации, в том числе и варианты многофакторной аутентификации.
Требования к конфигурации клиента
Примечание
Чтобы инициировать VPN-подключение с клиентского устройства Windows к Azure, необходимо иметь права администратора для клиентского устройства.
Для подключения "точка — сеть" пользователи используют собственные VPN-клиенты на устройствах Windows и Mac. В Azure есть ZIP-файл конфигурации VPN-клиента, содержащий параметры, необходимые для подключения к Azure с этих собственных клиентов.
- Конфигурация VPN-клиента для устройств Windows состоит из пакета установщика, который пользователи устанавливают на своих устройствах.
- Конфигурация для устройств Mac содержит файл mobileconfig, который пользователи устанавливают на своих устройствах.
ZIP-файл также содержит значения важных параметров, которые можно настроить в Azure и использовать для создания собственного профиля для этих устройств. К этим значениям относится адрес VPN-шлюза, настроенные типы туннелей, маршруты и корневой сертификат для проверки шлюза.
Примечание
Начиная с 1 июля 2018 года прекращается поддержка TLS 1.0 и TLS 1.1 в VPN-шлюзе Azure. VPN-шлюз будет поддерживать только TLS 1.2. Затрагиваются только подключения "точка — сеть", но не подключения "сеть — сеть". Если вы используете TLS для VPN-подключений "точка — сеть" на клиентах с Windows 10 или более поздней версии, никаких действий не требуется. Если вы используете TLS для подключений "точка — сеть" клиентов с Windows 7 и Windows 8, обратитесь к разделу VPN-шлюз: вопросы и ответы за инструкциями по обновлению.
Какие номера SKU шлюза поддерживают VPN-подключение "точка — сеть"?
| Виртуальная частная сеть Шлюз Поколение |
SKU | Подключение "сеть — сеть" или "виртуальная сеть — виртуальная сеть" Туннели |
P2S Подключения SSTP |
P2S Подключения IKEv2/OpenVPN |
Статистическое Тест пропускной способности |
BGP | Избыточность между зонами |
|---|---|---|---|---|---|---|---|
| Поколение1 | Основной | Макс. 10 | Макс. 128 | Не поддерживается | 100 Мбит/с | Не поддерживается | Нет |
| Поколение1 | VpnGw1 | Макс. 30 | Макс. 128 | Макс. 250 | 650 Мбит/с | Поддерживается | Нет |
| Поколение1 | VpnGw2 | Макс. 30 | Макс. 128 | Макс. 500 | 1 Гбит/с | Поддерживается | Нет |
| Поколение1 | VpnGw3 | Макс. 30 | Макс. 128 | Макс. 1000 | 1,25 Гбит/с | Поддерживается | Нет |
| Поколение1 | VpnGw1AZ | Макс. 30 | Макс. 128 | Макс. 250 | 650 Мбит/с | Поддерживается | Да |
| Поколение1 | VpnGw2AZ | Макс. 30 | Макс. 128 | Макс. 500 | 1 Гбит/с | Поддерживается | Да |
| Поколение1 | VpnGw3AZ | Макс. 30 | Макс. 128 | Макс. 1000 | 1,25 Гбит/с | Поддерживается | Да |
| Поколение2 | VpnGw2 | Макс. 30 | Макс. 128 | Макс. 500 | 1,25 Гбит/с | Поддерживается | Нет |
| Поколение2 | VpnGw3 | Макс. 30 | Макс. 128 | Макс. 1000 | 2,5 Гбит/с | Поддерживается | Нет |
| Поколение2 | VpnGw4 | Макс. 100* | Макс. 128 | Макс. 5000 | 5 Гбит/с | Поддерживается | Нет |
| Поколение2 | VpnGw5 | Макс. 100* | Макс. 128 | Макс. 10000 | 10 Гбит/с | Поддерживается | Нет |
| Поколение2 | VpnGw2AZ | Макс. 30 | Макс. 128 | Макс. 500 | 1,25 Гбит/с | Поддерживается | Да |
| Поколение2 | VpnGw3AZ | Макс. 30 | Макс. 128 | Макс. 1000 | 2,5 Гбит/с | Поддерживается | Да |
| Поколение2 | VpnGw4AZ | Макс. 100* | Макс. 128 | Макс. 5000 | 5 Гбит/с | Поддерживается | Да |
| Поколение2 | VpnGw5AZ | Макс. 100* | Макс. 128 | Макс. 10000 | 10 Гбит/с | Поддерживается | Да |
(*) Если требуется больше 100 VPN-туннелей S2S, используйте Виртуальную глобальную сеть.
Переход между номерами SKU VpnGw разрешен в рамках одного поколения, за исключением номера SKU уровня "Базовый". Номер SKU уровня "Базовый" является устаревшим с ограничениями функций. Чтобы перейти с уровня "Базовый" на другой SKU, необходимо удалить шлюз VPN уровня "Базовый" и создать шлюз с требуемой комбинацией поколения и размера SKU. (См. статью Работа с устаревшими SKU.)
Эти ограничения подключений являются раздельными. Например, у вас может быть 128 SSTP-подключений, а также 250 IKEv2 для номера SKU VpnGw1.
Дополнительные сведения о ценах можно просмотреть на этой странице .
См. сведения о соглашении об уровне обслуживания.
Если у вас много P2S подключений, это может негативно повлиять на подключения S2S. Статистические эталоны пропускной способности были протестированы путем поиска максимально эффективных сочетаний соединений S2S и P2S. Одно подключение P2S или S2S может иметь намного более низкую пропускную способность.
Обратите внимание, что результаты любых тестов производительности не считаются гарантией, поскольку зависят от условий трафика в Интернете и поведения приложения
Чтобы помочь нашим клиентам измерить относительную производительность для разных ценовых категорий с помощью разных алгоритмов, мы использовали общедоступные средства iPerf и CTSTraffic для оценки производительности подключений типа "сеть — сеть". В приведенной ниже таблице перечислены результаты тестов производительности для ценовой категории VpnGw. Как видите, наилучшая производительность достигается при использовании алгоритма GCMAES256 для обеспечения целостности и шифрования IPsec. Мы получили среднюю производительность при использовании AES256 для шифрования IPsec и SHA256 для обеспечения целостности. Когда мы использовали DES3 для шифрования IPsec и SHA256 для обеспечения целостности, мы получили низкую производительность.
VPN-туннель подключается к экземпляру VPN-шлюза. Пропускная способность каждого экземпляра указана в таблице выше и доступна в совокупности во всех каналах, подключающихся к этому экземпляру.
В приведенной ниже таблице представлены наблюдаемые значения пропускной способности и количества пакетов в секунду для каждого туннеля с разными ценовыми категориями шлюза. Все тестирования выполнялись между шлюзами (конечными точками) в разных регионах Azure при работе 100 подключений со стандартными условиями загрузки.
| Поколение | SKU | Алгоритмы которые используются |
Пропускная способность которая наблюдается в туннелях |
Пакетов в секунду в каждом туннеле (наблюдается) |
|---|---|---|---|---|
| Поколение1 | VpnGw1 | GCMAES256 AES256 и SHA256 DES3 и SHA256 |
650 Мбит/с 500 Мбит/с 130 Мбит/с |
62 000 47 000 12 000 |
| Поколение1 | VpnGw2 | GCMAES256 AES256 и SHA256 DES3 и SHA256 |
1,2 Гбит/с 650 Мбит/с 140 Мбит/с |
100 000 61,000 13 000 |
| Поколение1 | VpnGw3 | GCMAES256 AES256 и SHA256 DES3 и SHA256 |
1,25 Гбит/с 700 Мбит/с 140 Мбит/с |
120 000 66 000 13 000 |
| Поколение1 | VpnGw1AZ | GCMAES256 AES256 и SHA256 DES3 и SHA256 |
650 Мбит/с 500 Мбит/с 130 Мбит/с |
62 000 47 000 12 000 |
| Поколение1 | VpnGw2AZ | GCMAES256 AES256 и SHA256 DES3 и SHA256 |
1,2 Гбит/с 650 Мбит/с 140 Мбит/с |
110 000 61,000 13 000 |
| Поколение1 | VpnGw3AZ | GCMAES256 AES256 и SHA256 DES3 и SHA256 |
1,25 Гбит/с 700 Мбит/с 140 Мбит/с |
120 000 66 000 13 000 |
| Поколение2 | VpnGw2 | GCMAES256 AES256 и SHA256 DES3 и SHA256 |
1,25 Гбит/с 550 МB/с 130 Мбит/с |
120 000 52 000 12 000 |
| Поколение2 | VpnGw3 | GCMAES256 AES256 и SHA256 DES3 и SHA256 |
1,5 Гбит/с 700 Мбит/с 140 Мбит/с |
140 000 66 000 13 000 |
| Поколение2 | VpnGw4 | GCMAES256 AES256 и SHA256 DES3 и SHA256 |
2,3 Гбит/с 700 Мбит/с 140 Мбит/с |
220 000 66 000 13 000 |
| Поколение2 | VpnGw5 | GCMAES256 AES256 и SHA256 DES3 и SHA256 |
2,3 Гбит/с 700 Мбит/с 140 Мбит/с |
220 000 66 000 13 000 |
| Поколение2 | VpnGw2AZ | GCMAES256 AES256 и SHA256 DES3 и SHA256 |
1,25 Гбит/с 550 МB/с 130 Мбит/с |
120 000 52 000 12 000 |
| Поколение2 | VpnGw3AZ | GCMAES256 AES256 и SHA256 DES3 и SHA256 |
1,5 Гбит/с 700 Мбит/с 140 Мбит/с |
140 000 66 000 13 000 |
| Поколение2 | VpnGw4AZ | GCMAES256 AES256 и SHA256 DES3 и SHA256 |
2,3 Гбит/с 700 Мбит/с 140 Мбит/с |
220 000 66 000 13 000 |
| Поколение2 | VpnGw5AZ | GCMAES256 AES256 и SHA256 DES3 и SHA256 |
2,3 Гбит/с 700 Мбит/с 140 Мбит/с |
220 000 66 000 13 000 |
- Рекомендации для номера SKU шлюза см. в разделе SKU шлюзов.
Примечание
SKU "Базовый" не поддерживает проверку подлинности IKEv2 и RADIUS.
Какие политики IKE/IPsec настроены на VPN-шлюзах для подключения "точка — сеть"?
IKEv2
| Cipher | Целостность | PRF | Группа DH |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| Cipher | Целостность | Группа PFS |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
Какие политики TLS настроены на VPN-шлюзах для подключения "точка — сеть"?
TLS
| Политики |
|---|
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 |
Как настроить подключение "точка — сеть"?
Для настройки подключения "точка — сеть" необходимо выполнить ряд определенных действий. Они описаны в указанных ниже статьях, которые также содержат ссылки для настройки клиентских устройств VPN.
Удаление конфигурации подключения "точка — сеть"
Конфигурацию подключения можно удалить с помощью PowerShell или CLI. Примеры см. в разделе часто задаваемых вопросов.
Как работает маршрутизация P2S
См. следующие статьи:
Часто задаваемые вопросы
Существует несколько разделов с часто задаваемыми вопросами о P2S на основе проверки подлинности.
Next Steps
OpenVPN является товарным знаком OpenVPN Inc.