Konfigurera tvingad tunneltrafik för Virtual WAN P2S VPN
Med tvingad tunneltrafik kan du skicka all trafik (inklusive Internetbunden trafik) från fjärranvändare till Azure. I Virtual WAN innebär tvingad tunneltrafik för punkt-till-plats-VPN-fjärranvändare att standardvägen 0.0.0.0/0 annonseras till vpn-fjärranvändare.
Skapa en Virtual WAN hubb
Stegen i den här artikeln förutsätter att du redan har distribuerat ett virtuellt WAN med en eller flera hubbar.
Om du vill skapa ett nytt virtuellt WAN och en ny hubb använder du stegen i följande artiklar:
Konfigurera punkt-till-plats-VPN
Stegen i den här artikeln förutsätter också att du redan har distribuerat en punkt-till-plats-VPN-gateway i Virtual WAN hubben. Det förutsätter också att du har skapat punkt-till-plats-VPN-profiler som ska tilldelas till gatewayen.
Information om hur du skapar punkt-till-plats-VPN-gatewayen och relaterade profiler finns i Skapa en PUNKT-till-plats-VPN-gateway.
Annonsera standardväg till klienter
Det finns några sätt att konfigurera tvingad tunneltrafik och annonsera standardvägen (0.0.0.0/0) till fjärranvändarens VPN-klienter som är anslutna till Virtual WAN.
- Du kan ange en statisk 0.0.0.0/0-väg i defaultRouteTable med nästa hopp Virtual Network Anslutning. Detta tvingar all internetbunden trafik att skickas till en virtuell nätverksinstallation som distribueras i ekern Virtual Network. Mer detaljerade anvisningar finns i det alternativa arbetsflöde som beskrivs i Route through NVAs (Väg genom NVA:er).
- Du kan använda Azure Firewall Manager för att konfigurera Virtual WAN att skicka all internetbunden trafik via Azure Firewall som distribuerats i Virtual WAN hubben. Konfigurationssteg och en självstudie finns i Azure Firewall Manager-dokumentationen Skydda virtuella hubbar. Du kan också konfigurera detta via en internettrafikroutningsprincip. Mer information finns i Routnings- och routningsprinciper.
- Du kan använda Firewall Manager för att skicka internettrafik via en tredjepartssäkerhetsprovider. Mer information om den här funktionen finns i Betrodda säkerhetsprovidrar.
- Du kan konfigurera en av dina grenar (plats-till-plats-VPN, ExpressRoute-krets) för att annonsera 0.0.0.0/0-vägen till Virtual WAN.
När du har konfigurerat någon av ovanstående fyra metoder kontrollerar du att flaggan EnableInternetSecurity är aktiverad för din PUNKT-till-plats-VPN-gateway. Den här flaggan måste vara inställd på true för att klienterna ska vara korrekt konfigurerade för tvingad tunneltrafik.
Om du vill aktivera flaggan EnableInternetSecurity använder du följande PowerShell-kommando och ersätter lämpliga värden för din miljö.
Update-AzP2sVpnGateway -ResourceGroupName "sampleRG" -Name "p2sgwsamplename" -EnableInternetSecurityFlag
Ladda ned VPN-profilen för punkt-till-plats
Information om hur du laddar ned VPN-profilen för punkt-till-plats finns i globala profiler och hubbprofiler. Informationen i zip-filen som laddas ned från Azure Portal är viktig för att konfigurera klienterna korrekt.
Konfigurera tvingad tunneltrafik för Azure VPN-klienter (OpenVPN)
Stegen för att konfigurera tvingad tunneltrafik skiljer sig åt beroende på slutanvändarens operativsystem.
Windows-klienter
Anteckning
För Windows-klienter är tvingad tunneltrafik med Azure VPN-klienten endast tillgänglig med programvaruversion 2:1900:39.0 eller senare.
Verifiera att versionen av Azure VPN-klienten är kompatibel med tvingad tunneltrafik. Det gör du genom att klicka på de tre punkterna längst ned i Azure VPN-klienten och klicka på Hjälp. Du kan också använda kortkommandot för att navigera till Hjälp med Ctrl-H. Versionsnumret finns längst upp på skärmen. Kontrollera att versionsnumret är 2:1900:39.0 eller senare.
Öppna zip-filen som laddades ned från föregående avsnitt. Du bör se en mapp med namnet AzureVPN. Öppna mappen och öppna azurevpnconfig.xml i det XML-redigeringsverktyg som du vill använda.
I azureconfig.xmlfinns det ett fält med namnet version. Om talet mellan versionstaggar är 1 ändrar du versionsnumret till 2.
<version>2</version>Importera profilen till Azure VPN-klienten. Mer information om hur du importerar en profil finns i Importinstruktioner för Azure VPN-klient.
Anslut till den nyligen tillagda anslutningen. Nu tvingar du all trafik till Azure Virtual WAN.
MacOS-klienter
När en macOS-klient lär sig standardvägen från Azure konfigureras tvingad tunneltrafik automatiskt på klientenheten. Det finns inga extra åtgärder att vidta. Anvisningar om hur du använder macOS Azure VPN-klienten för att ansluta till Virtual WAN punkt-till-plats VPN-gateway finns i konfigurationsguiden för macOS.
Konfigurera tvingad tunneltrafik för IKEv2-klienter
För IKEv2-klienter kan du inte direkt använda de körbara profiler som laddats ned från Azure Portal. Om du vill konfigurera klienten korrekt måste du köra ett PowerShell-skript eller distribuera VPN-profilen via Intune.
Använd en annan EAP-konfigurationsfil baserat på den autentiseringsmetod som konfigurerats på vpn-gatewayen för punkt-till-plats. Exempel på EAP-konfigurationsfiler finns nedan.
IKEv2 med autentisering med användarcertifikat
Om du vill använda användarcertifikat för att autentisera fjärranvändare använder du PowerShell-exempelskriptet nedan. Om du vill importera innehållet i VpnSettings- och EAP XML-filerna till PowerShell korrekt navigerar du till rätt katalog innan du kör Kommandot Hämta innehåll i PowerShell.
# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"
# get the VPN Server FQDN from the profile downloaded from Azure Portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer
# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)
# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML
# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false
I följande exempel visas en EAP XML-fil för användarcertifikatbaserad autentisering. Ersätt fältet IssuerHash med tumavtrycket för rotcertifikatet för att säkerställa att klientenheten väljer rätt certifikat som ska presenteras för VPN-servern för autentisering.
<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<EapMethod>
<Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
<VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
<VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
<AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
</EapMethod>
<Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
<Type>13</Type>
<EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
<CredentialsSource>
<CertificateStore>
<SimpleCertSelection>true</SimpleCertSelection>
</CertificateStore>
</CredentialsSource>
<ServerValidation>
<DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
<ServerNames></ServerNames>
</ServerValidation>
<DifferentUsername>false</DifferentUsername>
<PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
<AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
<TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
<FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
<CAHashList Enabled="true">
<IssuerHash> REPLACE THIS WITH ROOT CERTIFICATE THUMBPRINT </IssuerHash>
</CAHashList>
</FilteringInfo>
</TLSExtensions>
</EapType>
</Eap>
</Config>
</EapHostConfig>
IKEv2 med autentisering med datorcertifikat
Om du vill använda datorcertifikat för att autentisera fjärranvändare använder du PowerShell-exempelskriptet nedan. Om du vill importera innehållet i VpnSettings- och EAP XML-filerna till PowerShell korrekt navigerar du till rätt katalog innan du kör Kommandot Hämta innehåll i PowerShell.
# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "UserCertVPNConnection"
# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer
# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod MachineCertificate
# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false
IKEv2 med RADIUS-serverautentisering med användarnamn och lösenord (EAP-MSCHAPv2)
Om du vill använda användarnamn- och lösenordsbaserad RADIUS-autentisering (EAP-MASCHAPv2) för att autentisera fjärranvändare använder du PowerShell-exempelskriptet nedan. Om du vill importera innehållet i VpnSettings- och EAP XML-filerna till PowerShell korrekt navigerar du till rätt katalog innan du kör Kommandot Hämta innehåll i PowerShell.
# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"
# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer
# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)
# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Point-to-sitev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML
# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false
Ett exempel på en EAP XML-fil är följande.
<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<EapMethod>
<Type xmlns="http://www.microsoft.com/provisioning/EapCommon">26</Type>
<VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
<VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
<AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
</EapMethod>
<Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
<Type>26</Type>
<EapType xmlns="http://www.microsoft.com/provisioning/MsChapV2ConnectionPropertiesV1">
<UseWinLogonCredentials>false</UseWinLogonCredentials>
</EapType>
</Eap>
</Config>
</EapHostConfig>
IKEv2 med RADIUS-serverautentisering med användarcertifikat (EAP-TLS)
Om du vill använda certifikatbaserad RADIUS-autentisering (EAP-TLS) för att autentisera fjärranvändare använder du PowerShell-exempelskriptet nedan. Observera att för att kunna importera innehållet i VpnSettings- och EAP XML-filerna till PowerShell måste du navigera till rätt katalog innan du kör Kommandot Hämta innehåll i PowerShell.
# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"
# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer
# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)
# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML
# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false
Nedan visas en EAP XML-exempelfil. Ändra fältet TrustedRootCA till tumavtrycket för certifikatutfärdarens certifikat och IssuerHash så att det är tumavtrycket för rotcertifikatet.
<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<EapMethod>
<Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
<VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
<VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
<AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
</EapMethod>
<Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
<Type>13</Type>
<EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
<CredentialsSource>
<CertificateStore>
<SimpleCertSelection>false</SimpleCertSelection>
</CertificateStore>
</CredentialsSource>
<ServerValidation>
<DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
<ServerNames></ServerNames>
<TrustedRootCA> CERTIFICATE AUTHORITY THUMBPRINT </TrustedRootCA>
</ServerValidation>
<DifferentUsername>true</DifferentUsername>
<PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation>
<AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName>
<TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
<FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
<CAHashList Enabled="true">
<IssuerHash> ROOT CERTIFCATE THUMBPRINT </IssuerHash>
</CAHashList>
</FilteringInfo>
</TLSExtensions>
</EapType>
</Eap>
</Config>
</EapHostConfig>
Nästa steg
Mer information om Virtual WAN finns i Vanliga frågor och svar.