Dela via

Ladda ned globala VPN-profiler och hubb-VPN-profiler för VPN-användare

  • Artikel

Azure Virtual WAN erbjuder två typer av anslutningsprofiler för VPN-användarklienter: globala profiler och hubbprofiler. Vilken typ av profil du väljer beror på om du vill att VPN-klienten ska ansluta till en geografiskt belastningsutjämningsprofil på WAN-nivå (global profil), eller om du vill begränsa VPN-klienten till att endast ansluta till en viss hubb (hubbprofil). Den här artikeln hjälper dig att generera VPN-klientkonfigurationsfiler för båda typerna av profiler.

Globala profiler

Den globala profil som är associerad med en VPN-konfiguration för användare pekar på en Global Traffic Manager. Global Traffic Manager innehåller alla aktiva VPN-hubbar för användare som använder den användar-VPN-konfigurationen. Du kan dock välja att exkludera hubbar från Global Traffic Manager om det behövs. En användare som är ansluten till den globala profilen dirigeras till den hubb som är närmast användarens geografiska plats. Detta är särskilt användbart om du har användare som reser mellan flera platser ofta.

En VPN-konfiguration för användare är till exempel associerad med två olika hubbar för samma virtuella WAN, en i USA, västra och en i Sydostasien. Om en användare ansluter till den globala profil som är associerad med VPN-konfigurationen för användare ansluter de till närmaste Virtual WAN-hubb baserat på deras plats.

Viktigt!

Om en punkt-till-plats-VPN-konfiguration som används för en global profil har konfigurerats för att autentisera användare med hjälp av RADIUS-protokollet kontrollerar du att "Använd fjärr-/lokal RADIUS-server" är aktiverat för alla punkt-till-plats-VPN-gatewayer med den konfigurationen. Se dessutom till att RADIUS-servern är konfigurerad för att acceptera autentiseringsbegäranden från RADIUS-proxyns IP-adresser för alla punkt-till-plats-VPN-gatewayer med den här VPN-konfigurationen.

Ladda ned en global VPN-profil

Använd följande steg för att generera och ladda ned konfigurationsfiler för VPN-klientprofiler:

  1. Gå till Virtual WAN.

  2. I den vänstra rutan väljer du Vpn-konfigurationer för användare.

  3. På sidan VPN-konfigurationer för användare visas alla VPN-konfigurationer för användare som du har skapat för ditt virtuella WAN. I kolumnen Hubb ser du de hubbar som är associerade med varje VPN-konfiguration för användare. > Klicka på för att expandera och visa hubbnamnen.

    Screenshot that shows hubs list expanded.

  4. I följande exempel visas flera rader med hubbar som använder samma VPN-konfiguration för användare. När hubbar använder samma VPN-konfiguration för användare i en global profil kan du klicka på valfri hubbrad som har den användar-VPN-konfiguration som du vill använda. Profilfilerna som du genererar från den här sidan justeras till användar-VPN-konfigurationen, inte en viss hubb. Om du vill begränsa vpn-användarna till att bara ansluta till en hubb (du vill inte använda en global profil) använder du hubbprofilstegen i stället.

    Screenshot that shows selections for downloading a global profile.

    I exemplet valde vi raden med Hub2, men om du väljer Hub3 eller Hub1 genereras samma profilkonfigurationsfiler. Men om vi valde raden med Hub6 skulle profilkonfigurationsfilerna vara annorlunda eftersom Hub6 använder en annan VPN-konfiguration för användare.

    Klicka på en rad som innehåller den ANVÄNDAR-VPN-konfiguration som du vill använda. Detta markerar hela raden. Klicka sedan på Ladda ned VPN-profil för virtuella WAN-användare.

  5. På sidan Ladda ned virtuellt WAN-användar-VPN väljer du EAPTLS och klickar sedan på Generera och ladda ned profil. Ett profilpaket (zip-fil) som innehåller vpn-klientkonfigurationsinställningar genereras och laddas ned till datorn. Innehållet i paketet beror på hubbar och val av autentiserings- och tunneltyp för den konfiguration som du har valt.

    Screenshot the authentication type and generate and download profile.

Inkludera eller exkludera en hubb från en global profil

Som standard ingår varje hubb som använder samma VPN-användarkonfiguration i den globala VPN-profil som du genererar och laddar ned. Du kan dock välja att undanta en hubb från den globala VPN-profilen. Om du gör det kommer VPN-klienten inte att lastbalanseras för att ansluta till hubbens gateway.

  1. Om du vill kontrollera om en hubb ingår i den globala VPN-profilen går du till Virtual WAN.

  2. På sidan Översikt väljer du Hubbar.

  3. På sidan Hubbar klickar du på hubben.

  4. På sidan Virtuell hubb går du till den vänstra rutan och väljer Användar-VPN (punkt-till-plats).

  5. På sidan Användar-VPN (punkt-till-plats) läser du Tillståndet för gatewaybilagor för att avgöra om den här hubben ingår i den globala VPN-profilen. Om tillståndet är kopplat inkluderas hubben. Om tillståndet är frånkopplat ingår inte hubben.

    Screenshot that shows the attachment state of a gateway.

  6. Om du vill inkludera eller exkludera (koppla eller koppla bort) hubben från den globala VPN-profilen väljer du Inkludera/exkludera gateway från global profil.

  7. På sidan Inkludera/exkludera gör du något av följande val.

    • Klicka på Exkludera om du vill ta bort hubbens gateway från den globala VPN-profilen för Virtual WAN. Användare som använder hubbprofilen kommer fortfarande att kunna ansluta till hubbens gateway. Användare som använder den här globala profilen kommer inte att kunna ansluta till hubbens gateway.

    • Klicka på Inkludera om du vill inkludera hubbens gateway i den globala VPN-profilen för Virtual WAN. Användare som använder den här globala profilen kommer att kunna ansluta till den här hubbens gateway.

Metodtips för global profil

Lägga till flera serververifieringscertifikat

Det här avsnittet gäller anslutningar med tunneltypen OpenVPN och Azure VPN Client version 2.1963.44.0 eller senare.

När du konfigurerar en hubb-P2S-gateway tilldelar Azure ett internt certifikat till gatewayen. Detta skiljer sig från den rotcertifikatinformation som du anger när du vill använda certifikatautentisering som autentiseringsmetod. Det interna certifikat som har tilldelats till hubben används för alla autentiseringstyper. Det här värdet visas i profilkonfigurationsfilerna som du genererar som servervalidation/cert/hash. VPN-klienten använder det här värdet som en del av anslutningsprocessen.

Om du har flera hubbar i olika geografiska regioner kan varje hubb använda ett annat serververifieringscertifikat på Azure-nivå. Den globala profilen innehåller hashvärdet för serververifieringscertifikatet för alla hubbar. Det innebär att om certifikatet för hubben inte fungerar korrekt av någon anledning har klienten fortfarande det nödvändiga värdet för serververifieringscertifikatets hash för de andra hubbarna.

Viktigt!

Att konfigurera Azure VPN-klienten med certifikatshashvärdet för alla hubbar krävs endast om hubbarna har olika serverrotutfärdare.

Vi rekommenderar att du uppdaterar konfigurationsfilen för VPN-klientprofilen så att den innehåller certifikatshashvärdet för alla hubbar som är kopplade till den globala profilen och sedan konfigurerar Azure VPN-klienten med den uppdaterade filen.

  1. Generera och ladda ned de globala profilfilerna . Använd en textredigerare för att öppna filen azurevpnconfig.xml .

  2. I följande xml-exempel konfigurerar du Azure VPN-klienten med hjälp av den globala profilkonfigurationsfilen som innehåller hash för serververifieringscertifikat för varje hubb.

      </protocolconfig>
  <serverlist>
    <ServerEntry>
      <displayname
        i:nil="true" />
      <fqdn>wan.kycyz81dpw483xnf3fg62v24f.vpn.azure.com</fqdn>
    </ServerEntry>
  </serverlist>
  <servervalidation>
    <cert>
      <hash>A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436</hash>
      <issuer
        i:nil="true" />
    </cert>
    <cert>
      <hash>59470697201baejC4B2D7D66D40C6DD2FB19C5436</hash>
      <issuer
        i:nil="true" />
    </cert>
    <cert>
      <hash>cab20a7f63f00f2bae76202gdfe36db3a03a9cb9</hash>
      <issuer
        i:nil="true" />
    </cert>

Hubbprofiler

Använd den här typen av profil när du vill att VPN-användare endast ska kunna ansluta till en enda angiven hubb. De filer som du genererar och laddar ned på hubbnivå innehåller andra inställningar än de filer som du genererar och laddar ned på WAN-nivåns globala profil.

Ladda ned en HUB VPN-profil

Använd följande steg för att generera och ladda ned konfigurationsfiler för VPN-klientprofiler:

  1. Gå till den virtuella hubben.

  2. I den vänstra rutan väljer du Användar-VPN (punkt-till-plats).

  3. Välj Ladda ned VPN-profil för virtuell hubbanvändare.

    Screenshot that shows how to download a hub profile.

  4. På nedladdningssidan väljer du EAPTLS och sedan Generera och ladda ned profil. Ett profilpaket (zip-fil) som innehåller klientkonfigurationsinställningarna genereras och laddas ned till datorn. Innehållet i paketet beror på hubben och valet av autentiserings- och tunneltyp för din konfiguration.

Nästa steg

Mer information om vpn-användare finns i Skapa punkt-till-plats-anslutningar för användar-VPN.