Настройка VPN-клиента для конфигурации "точка — сеть": проверка подлинности с паролем RADIUS

  • Статья

Для установления подключения "точка— сеть" к виртуальной сети необходимо настроить клиентское устройство, из которого будет выполняться подключение. VPN-подключения "точка — сеть" можно создавать с клиентских устройств Windows, macOS и Linux. Эта статья поможет создать и установить конфигурацию VPN-клиента для проверки подлинности RADIUS с именем пользователя и паролем.

При использовании проверки подлинности RADIUS доступны различные варианты проверки подлинности: на основе сертификата, на основе пароля и другие методы и протоколы проверки подлинности. Настройка VPN-клиента отличается для каждого типа аутентификации. Для настройки VPN-клиента используются файлы конфигурации клиента, содержащие необходимые параметры.

Примечание.

Начиная с 1 июля 2018 года прекращается поддержка TLS 1.0 и TLS 1.1 в VPN-шлюзе Azure. VPN-шлюз будет поддерживать только TLS 1.2. Затрагиваются только подключения "точка — сеть", но не подключения "сеть — сеть". Если вы используете TLS для VPN-подключений "точка — сеть" на клиентах с Windows 10 или более поздней версии, никаких действий не требуется. Если вы используете TLS для подключений "точка — сеть" клиентов с Windows 7 и Windows 8, обратитесь к разделу VPN-шлюз: вопросы и ответы за инструкциями по обновлению.

Рабочий процесс

Ниже приведен рабочий процесс настройки аутентификации RADIUS для подключений типа "точка — сеть".

  1. Настройте VPN-шлюз Azure для подключения "точка — сеть".
  2. Настройте сервер RADIUS для аутентификации.
  3. Получите конфигурацию VPN-клиента для выбранного варианта проверки подлинности и используйте ее для настройки VPN-клиента (эта статья).
  4. Настройте и установите подключение "точка — сеть".

Внимание

Если вы создали профиль конфигурации VPN-клиента, а затем внесли изменения в конфигурацию VPN-подключения "точка — сеть" (например, изменили тип VPN-протокола или проверки подлинности), создайте и установите новую конфигурацию VPN-клиента на устройствах пользователей.

Вы можете настроить проверку подлинности по имени пользователя и паролю с или без Active Directory. При любом сценарии убедитесь, что у всех пользователей есть учетные данные (имя пользователя и пароль), которые могут использоваться при аутентификации RADIUS.

При настройке аутентификации по имени пользователя и паролю можно создать только конфигурацию для протокола аутентификации по имени пользователя и паролю EAP-MSCHAPv2. В командах для параметра -AuthenticationMethod укажите значение EapMSChapv2.

Создание файлов конфигурации VPN-клиента

Вы можете создать файлы конфигурации VPN-клиента с помощью портала Azure или с помощью Azure PowerShell.

Портал Azure

  1. Перейдите к шлюзу виртуальной сети.
  2. Щелкните Конфигурация точка-сеть.
  3. Щелкните Загрузить VPN-клиент.
  4. Выберите клиента и заполните любую запрашиваемую информацию.
  5. Щелкните Загрузить, чтобы создать файл .zip.
  6. Файл .zip будет загружен, как правило, в папку "Загрузки".

Azure PowerShell

Создайте файлы конфигурации VPN-клиента для аутентификации имени пользователя и пароля. Вы можете создать файлы конфигурации VPN-клиента с помощью следующей команды:

New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapMSChapv2"

Выполненная команда возвращает ссылку. Скопируйте и вставьте ссылку в веб-браузер, чтобы скачать файл VpnClientConfiguration.zip. Распакуйте файл. Отобразятся следующие папки:

  • WindowsAmd64 и WindowsX86. Эти папки содержат пакеты установщика 64- и 32-разрядной версий Windows соответственно.
  • Generic. Эта папка содержит общие сведения для создания конфигурации VPN-клиента. Эта папка не требуется, чтобы настроить проверку подлинности по имени пользователя и пароля.
  • Mac. Если при создании шлюза виртуальной сети настроен протокол IKEv2, отобразится папка с именем Mac, которая содержит файл mobileconfig. Этот файл используется для настройки клиентов Mac.

Если вы уже создали файлы конфигурации клиента, получить их можно с помощью командлета Get-AzVpnClientConfiguration. Но если изменить конфигурацию VPN-подключения "точка — сеть", например изменить тип VPN-протокола или проверки подлинности, конфигурация не обновится автоматически. Необходимо выполнить командлет New-AzVpnClientConfiguration для создания скачиваемого файла конфигурации.

Чтобы получить созданные файлы конфигурации, используйте следующую команду:

Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW"

Клиент Windows VPN

На каждом клиентском компьютере Windows можно использовать один и тот же пакет конфигурации VPN-клиента, если его версия соответствует архитектуре клиента. Список поддерживаемых клиентских операционных систем см. в разделе с вопросами и ответами.

Чтобы настроить в Windows собственный VPN-клиент для аутентификации на основе сертификата, сделайте следующее:

  1. Выберите файлы конфигурации VPN-клиента, которые соответствуют архитектуре компьютера Windows. Для 64-разрядной архитектуры процессора выберите пакет установщика VpnClientSetupAmd64. Для 32-разрядной архитектуры процессора выберите пакет установщика VpnClientSetupX86.

  2. Дважды щелкните пакет, чтобы установить его. При появлении всплывающего окна SmartScreen выберите Дополнительно>Выполнить в любом случае.

  3. На клиентском компьютере перейдите в раздел Параметры сети и выберите VPN. Для VPN-подключения отображается имя виртуальной сети, к которой оно устанавливается.

VPN-клиент Mac (macOS)

  1. Выберите файл VpnClientSetup mobileconfig и отправьте его всем пользователям. Можно использовать электронную почту или другой способ.

  2. Найдите файл mobileconfig на компьютере Mac.

    Screenshot shows location of the mobile config file.

  3. (Необязательно.) Если вы хотите указать пользовательскую службу DNS, добавьте следующие строки в файл mobileconfig:

     <key>DNS</key>
 <dict>
   <key>ServerAddresses</key>
     <array>
         <string>10.0.0.132</string>
     </array>
   <key>SupplementalMatchDomains</key>
     <array>
         <string>TestDomain.com</string>
     </array>
 </dict>

  4. Дважды щелкните профиль, чтобы установить его, и нажмите кнопку Continue (Продолжить). Имя профиля совпадает с именем виртуальной сети.

    Screenshot shows profile install with continue selected.

  5. Нажмите кнопку Continue (Продолжить), чтобы определить отправителя как надежного и продолжить установку.

    Screenshot shows continue message.

  6. При установке профиля вы можете указать имя пользователя и пароль для проверки подлинности VPN. Эти сведения вводить не обязательно, но если вы их укажете, они сохранятся и будут автоматически подставляться при установке подключения. Нажмите кнопку Install (Установить), чтобы продолжить.

    Screenshot shows enter settings for username and password.

  7. Введите имя пользователя и пароль, чтобы получить разрешения, необходимые для установки профиля на компьютере. Нажмите ОК.

    Screenshot shows enter settings for username and password privileges.

  8. Установленный профиль отображается в диалоговом окне Profiles (Профили). Это диалоговое окно также можно открыть позже в разделе System Preferences (Системные настройки).

    Screenshot shows profiles dialog box.

  9. Чтобы получить доступ к VPN-подключению, откройте в разделе System Preferences (Системные настройки) диалоговое окно Network (Сеть).

    Screenshot shows network dialog box.

  10. VPN-подключение отображается как IkeV2-VPN. Имя можно изменить, обновив файл MOBILECONFIG.

    Screenshot shows connection name.

  11. Выберите Authentication Settings (Параметры проверки подлинности). В списке выберите Username (Имя пользователя) и введите свои учетные данные. Если учетные данные введены ранее, имя пользователя будет выбрано автоматически. Имя пользователя и пароль подставляются предварительно. Нажмите кнопку ОК, чтобы сохранить настройки.

    Screenshot that shows the Authentication settings drop-down with Username selected.

  12. Вернитесь в диалоговое окно Network (Сеть) и выберите Apply (Применить), чтобы сохранить изменения. Чтобы инициировать подключение, выберите Connect (Подключиться).

VPN-клиент Linux — strongSwan

Приведенные ниже инструкции были созданы с помощью strongSwan 5.5.1 в Ubuntu 17.0.4. Фактические экраны могут отличаться в зависимости от вашей версии Linux и strongSwan.

  1. Откройте приложение Terminal, чтобы установить strongSwan и его Network Manager, выполнив команду из примера. Если появляется сообщение об ошибке, связанной с libcharon-extra-plugins, замените этот параметр на strongswan-plugin-eap-mschapv2.

    sudo apt-get install strongswan libcharon-extra-plugins moreutils iptables-persistent network-manager-strongswan

  2. Щелкните значок Network Manager (Диспетчер сети) (стрелка вверх или стрелка вниз), а затем выберите Edit Connections (Изменить подключения).

    Edit connections in Network Manager.

  3. Нажмите кнопку Add (Добавить), чтобы создать подключение.

    Screenshot shows add connection for network connections.

  4. Выберите IPsec/IKEv2 (strongswan) (IPsec или IKEv2 (strongswan)) из раскрывающегося меню, а затем — Create (Создать). На этом шаге можно переименовать подключение.

    Screenshot shows select connection type.

  5. Откройте файл VpnSettings.xml из папки Generic скачанных файлов конфигурации клиента. Найдите тег VpnServer и скопируйте имя, начиная с azuregateway и заканчивая .cloudapp.net.

    Screenshot shows contents of the VpnSettings.xml file.

  6. Вставьте это имя в поле Address (Адрес) нового VPN-подключения в разделе Gateway (Шлюз). Затем щелкните значок папки в конце поля Certificate (Сертификат), перейдите в папку Generic и выберите файл VpnServerRoot.

  7. В разделе Client (Клиент) подключения выберите значение EAP для параметра Authentication (Проверка подлинности) и введите имя пользователя и пароль. Необходимо выбрать значок замка справа, чтобы сохранить эти сведения. Затем нажмите кнопку Сохранить.

    Screenshot shows edit connection settings.

  8. Щелкните значок Network Manager (Диспетчер сети) (стрелка вверх или стрелка вниз), а затем выберите VPN Connections (VPN-подключения). Вы увидите созданное VPN-подключение. Чтобы инициировать подключение, выберите его.

    Screenshot shows connect.

Дополнительные шаги для виртуальной машины Azure

Если вы выполняете процедуру на виртуальной машине Azure под управлением Linux, выполните дополнительные действия.

  1. Измените файл /etc/netplan/50-cloud-init.yaml , чтобы включить следующий параметр для интерфейса.

    renderer: NetworkManager

  2. После редактирования файла выполните следующие две команды, чтобы загрузить новую конфигурацию.

    sudo netplan generate

    sudo netplan apply

  3. Остановка и запуск или повторное развертывание виртуальной машины.

Следующие шаги

Вернитесь к статье, чтобы завершить настройку подключения типа "точка — сеть".

Дополнительные сведения см. в руководстве по устранению неполадок подключения типа "точка — сеть" в Azure.