Dela via

Skapa en P2S-användar-VPN-anslutning med Azure Virtual WAN – Microsoft Entra-autentisering

  • Artikel

Den här artikeln visar hur du använder Virtual WAN för att ansluta till dina resurser i Azure. I den här artikeln skapar du en punkt-till-plats-anslutning för användar-VPN till Virtual WAN som använder Microsoft Entra-autentisering. Microsoft Entra-autentisering är endast tillgängligt för gatewayer som använder OpenVPN-protokollet.

Kommentar

Microsoft Entra ID-autentisering stöds endast för OpenVPN-protokollanslutningar® och kräver Azure VPN-klienten.

I den här artikeln kan du se hur du:

  • Skapa ett virtuellt WAN
  • Skapa en VPN-konfiguration för användare
  • Ladda ned en VIRTUELL WAN-användar-VPN-profil
  • Skapa en virtuell hubb
  • Redigera en hubb för att lägga till P2S-gateway
  • Ansluta ett virtuellt nätverk till en virtuell hubb
  • Ladda ned och tillämpa vpn-klientkonfigurationen för användare
  • Visa virtuellt WAN

Virtual WAN-diagram.

Innan du börjar

Kontrollera att du har uppfyllt följande villkor innan du påbörjar konfigurationen:

  • Du har ett virtuellt nätverk som du vill ansluta till. Kontrollera att inget av undernäten i dina lokala nätverk överlappar de virtuella nätverk som du vill ansluta till. Information om hur du skapar ett virtuellt nätverk i Azure-portalen finns i Snabbstart.

  • Det virtuella nätverket har inga virtuella nätverksgatewayer. Om ditt virtuella nätverk har en gateway (antingen VPN eller ExpressRoute) måste du ta bort alla gatewayer. Den här konfigurationen kräver att virtuella nätverk är anslutna i stället till virtual WAN-hubbgatewayen.

  • Hämta ett IP-adressintervall för din hubbregion. Hubben är ett virtuellt nätverk som skapas och används av Virtual WAN. Adressintervallet som du anger för hubben kan inte överlappa något av dina befintliga virtuella nätverk som du ansluter till. Det kan inte heller överlappa dina adressintervall som du ansluter till lokalt. Om du inte känner till IP-adressintervallen som finns i din lokala nätverkskonfiguration kan du samordna med någon som kan ange den informationen åt dig.

  • Om du inte har någon Azure-prenumeration kan du skapa ett kostnadsfritt konto.

Skapa ett virtuellt WAN

Öppna en webbläsare, navigera till Azure Portal och logga in med ditt Azure-konto.

  1. I portalen i fältet Sök efter resurser skriver du Virtual WAN i sökrutan och väljer Retur.

  2. Välj Virtuella WAN:er i resultatet. På sidan Virtuella WAN:er väljer du + Skapa för att öppna sidan Skapa WAN .

  3. På sidan Skapa WAN fyller du i fälten på fliken Grundläggande . Ändra exempelvärdena så att de gäller för din miljö.

    Skärmbild som visar fönstret Skapa WAN med fliken Grundläggande markerad.

    • Prenumeration: Välj den prenumeration som du vill använda.
    • Resursgrupp: Skapa ny eller använd befintlig.
    • Plats för resursgrupp: Välj en resursplats i listrutan. Ett WAN är en global resurs och finns inte i en viss region. Du måste dock välja en region för att kunna hantera och hitta den WAN-resurs som du skapar.
    • Namn: Ange det namn som du vill anropa ditt virtuella WAN.
    • Typ: Basic eller Standard. Välj Standard. Om du väljer Grundläggande förstår du att grundläggande virtuella WAN:er bara kan innehålla Basic-hubbar. Grundläggande hubbar kan bara användas för plats-till-plats-anslutningar.

  4. När du har fyllt i fälten väljer du Granska +Skapa längst ned på sidan.

  5. När valideringen har slutförts klickar du på Skapa för att skapa det virtuella WAN-nätverket.

Skapa en VPN-konfiguration för användare

En VPN-konfiguration för användare definierar parametrarna för att ansluta fjärrklienter. Det är viktigt att skapa VPN-konfigurationen för användare innan du konfigurerar din virtuella hubb med P2S-inställningar, eftersom du måste ange den VPN-konfiguration för användare som du vill använda.

  1. Gå till sidan Virtual WAN ->User VPN configurations (Vpn-konfigurationer för användare) och klicka på +Skapa vpn-konfiguration för användare.

    Skärmbild av konfigurationen Skapa användare V P N.

  2. På sidan Grundläggande anger du parametrarna.

    Skärmbild av sidan Grundläggande.

    • Konfigurationsnamn – Ange det namn som du vill anropa vpn-konfigurationen för användare.
    • Tunneltyp – Välj OpenVPN på den nedrullningsbara menyn.

  3. Klicka på Microsoft Entra-ID för att öppna sidan.

    Skärmbild av microsoft entra-ID-sidan.

    Växla Microsoft Entra-ID till Ja och ange följande värden baserat på din klientinformation. Du kan visa nödvändiga värden på sidan Microsoft Entra-ID för Företagsprogram i portalen.

    • Autentiseringsmetod – Välj Microsoft Entra-ID.

    • Målgrupp – Ange program-ID för Azure VPN Enterprise-programmet som är registrerat i din Microsoft Entra-klientorganisation.

    • Utfärdare - https://sts.windows.net/<your Directory ID>/

    • Microsoft Entra-klientorganisation: TenantID för Microsoft Entra-klientorganisationen. Kontrollera att det inte finns någon / i slutet av Microsoft Entra-klient-URL:en.

      • Ange https://login.microsoftonline.com/{AzureAD TenantID} för Azure Public AD
      • Ange https://login.microsoftonline.us/{AzureAD TenantID} för Azure Government AD
      • Ange https://login-us.microsoftonline.de/{AzureAD TenantID} för Azure Germany AD
      • Ange https://login.chinacloudapi.cn/{AzureAD TenantID} för China 21Vianet AD

  4. Klicka på Skapa för att skapa vpn-konfigurationen för användare. Du väljer den här konfigurationen senare i övningen.

Skapa en tom hubb

I den här övningen skapar vi en tom virtuell hubb i det här steget och i nästa avsnitt lägger du till en P2S-gateway i den här hubben. Du kan dock kombinera de här stegen och skapa hubben med P2S-gatewayinställningarna samtidigt. Resultatet är detsamma i båda riktningarna. När du har konfigurerat inställningarna klickar du på Granska + skapa för att verifiera och sedan på Skapa.

  1. Gå till det virtuella WAN som du skapade. På den virtuella WAN-sidan till vänster väljer du Hubbar under Anslutningen.

  2. På sidan Hubbar väljer du +Ny hubb för att öppna sidan Skapa virtuell hubb .

    Skärmbild som visar fönstret Skapa virtuell hubb med fliken Grundläggande markerad.

  3. På fliken Skapa virtuell hubb slutför du följande fält:

    • Region: Välj den region där du vill distribuera den virtuella hubben.
    • Namn: Namnet som du vill att den virtuella hubben ska vara känd för.
    • Navets privata adressutrymme: Hubbens adressintervall i CIDR-notation. Det minsta adressutrymmet är /24 för att skapa en hubb.
    • Kapacitet för virtuell hubb: Välj från listrutan. Mer information finns i Inställningar för virtuell hubb.
    • Inställningar för hubbdirigering: Lämna som standard. Mer information finns i Inställningar för routning av virtuell hubb.

Lägga till en P2S-gateway till en hubb

Det här avsnittet visar hur du lägger till en gateway till en redan befintlig virtuell hubb. Det här steget kan ta upp till 30 minuter för hubben att slutföra uppdateringen.

  1. Gå till sidan Hubbar under det virtuella WAN-nätverket.

  2. Klicka på namnet på den hubb som du vill redigera för att öppna sidan för hubben.

  3. Klicka på Redigera virtuell hubb överst på sidan för att öppna sidan Redigera virtuell hubb .

  4. På sidan Redigera virtuell hubb markerar du kryssrutorna för Inkludera VPN-gateway för VPN-webbplatser och Inkludera punkt-till-plats-gateway för att visa inställningarna. Konfigurera sedan värdena.

    Skärmbild som visar den virtuella redigerade hubben.

  5. När du har konfigurerat inställningarna klickar du på Bekräfta för att uppdatera hubben. Det kan ta upp till 30 minuter att uppdatera en hubb.

Ansluta VNet till hubb

I det här avsnittet skapar du en anslutning mellan din virtuella hubb och ditt virtuella nätverk.

  1. I Azure-portalen går du till ditt virtuella WAN I den vänstra rutan väljer du Virtuella nätverksanslutningar.

  2. På sidan Virtuella nätverksanslutningar väljer du + Lägg till anslutning.

  3. På sidan Lägg till anslutning konfigurerar du anslutningsinställningarna. Information om routningsinställningar finns i Om routning.

    Skärmbild av sidan Lägg till anslutning.

    • Anslutningsnamn: Namnge anslutningen.
    • Hubbar: Välj den hubb som du vill associera med den här anslutningen.
    • Prenumeration: Verifiera prenumerationen.
    • Resursgrupp: Välj den resursgrupp som innehåller det virtuella nätverk som du vill ansluta till.
    • Virtuellt nätverk: Välj det virtuella nätverk som du vill ansluta till den här hubben. Det virtuella nätverk som du väljer kan inte ha en redan befintlig virtuell nätverksgateway.
    • Sprid till ingen: Detta är inställt på Nej som standard. Om du ändrar växlingen till Ja blir konfigurationsalternativen för Spridning till Routningstabeller och Spridning till etiketter otillgängliga för konfiguration.
    • Associera routningstabell: I listrutan kan du välja en routningstabell som du vill associera.
    • Sprid till etiketter: Etiketter är en logisk grupp med routningstabeller. För den här inställningen väljer du i listrutan.
    • Statiska vägar: Konfigurera statiska vägar om det behövs. Konfigurera statiska vägar för virtuella nätverksinstallationer (om tillämpligt). Virtual WAN har stöd för en enda IP-adress för nästa hopp för statisk väg i en virtuell nätverksanslutning. Om du till exempel har en separat virtuell installation för inkommande och utgående trafikflöden är det bäst att ha de virtuella enheterna i separata virtuella nätverk och koppla de virtuella nätverken till den virtuella hubben.
    • Kringgå Nästa hopp-IP för arbetsbelastningar i det här virtuella nätverket: Med den här inställningen kan du distribuera NVA:er och andra arbetsbelastningar till samma virtuella nätverk utan att tvinga all trafik via NVA. Den här inställningen kan bara konfigureras när du konfigurerar en ny anslutning. Om du vill använda den här inställningen för en anslutning som du redan har skapat tar du bort anslutningen och lägger sedan till en ny anslutning.
    • Sprid statisk väg: Den här inställningen distribueras för närvarande. Med den här inställningen kan du sprida statiska vägar som definierats i avsnittet Statiska vägar för att dirigera tabeller som anges i Sprid till routningstabeller. Dessutom sprids vägar till routningstabeller med etiketter som har angetts som Sprid till etiketter. Dessa vägar kan spridas mellan hubbar, förutom standardvägen 0/0. Den här funktionen håller på att lanseras. Om du behöver den här funktionen aktiverad kontaktar du vwanpm@microsoft.com

  4. När du har slutfört de inställningar som du vill konfigurera klickar du på Skapa för att skapa anslutningen.

Ladda ned användar-VPN-profil

Alla nödvändiga konfigurationsinställningar för VPN-klienterna finns i en ZIP-fil för VPN-klientkonfiguration. Inställningarna i zip-filen hjälper dig att enkelt konfigurera VPN-klienterna. De VPN-klientkonfigurationsfiler som du genererar är specifika för VPN-konfigurationen för din gateway. Du kan ladda ned globala profiler (WAN-nivå) eller en profil för en specifik hubb. Mer information och ytterligare instruktioner finns i Ladda ned globala profiler och hubbprofiler. Följande steg beskriver hur du laddar ned en global WAN-nivåprofil.

  1. Om du vill generera ett VPN-klientkonfigurationspaket på WAN-nivå går du till det virtuella WAN-nätverket (inte den virtuella hubben).

  2. I den vänstra rutan väljer du Vpn-konfigurationer för användare.

  3. Välj den konfiguration som du vill ladda ned profilen för. Om du har flera hubbar tilldelade till samma profil expanderar du profilen för att visa hubbarna och väljer sedan en av de hubbar som använder profilen.

  4. Välj Ladda ned VPN-profil för virtuella WAN-användare.

  5. På nedladdningssidan väljer du EAPTLS och sedan Generera och ladda ned profil. Ett profilpaket (zip-fil) som innehåller klientkonfigurationsinställningarna genereras och laddas ned till datorn. Innehållet i paketet beror på autentiserings- och tunnelvalen för din konfiguration.

Konfigurera VPN-klienter för användare

Varje dator som ansluter måste ha en klient installerad. Du konfigurerar varje klient med hjälp av vpn-användarklientprofilfilerna som du laddade ned i föregående steg. Använd artikeln som gäller det operativsystem som du vill ansluta till.

Så här konfigurerar du macOS VPN-klienter (förhandsversion)

Anvisningar för macOS-klienter finns i Konfigurera en VPN-klient – macOS (förhandsversion).

Så här konfigurerar du Windows VPN-klienter

  1. Ladda ned den senaste versionen av Azure VPN-klientens installationsfiler med någon av följande länkar:

  2. Installera Azure VPN-klienten på varje dator.

  3. Kontrollera att Azure VPN-klienten har behörighet att köras i bakgrunden. Anvisningar finns i Windows-bakgrundsappar.

  4. Om du vill verifiera den installerade klientversionen öppnar du Azure VPN-klienten. Gå till slutet av klienten och klicka på ... -> ? Hjälp. I den högra rutan kan du se klientversionsnumret.

Importera en VPN-klientprofil (Windows)

  1. På sidan väljer du Importera.

    Skärmbild som visar importsidan.

  2. Bläddra till xml-profilfilen och välj den. När filen är markerad väljer du Öppna.

    Skärmbild som visar en öppen dialogruta där du kan välja en fil.

  3. Ange namnet på profilen och välj Spara.

    Skärmbild som visar anslutningsnamnet som har lagts till och knappen Spara har valts.

  4. Välj Anslut för att ansluta till VPN.

    Skärmbild som visar knappen Anslut för den anslutning som du nyss skapade.

  5. När du är ansluten blir ikonen grön och säger Ansluten.

    Skärmbild som visar anslutningen i en ansluten status med alternativet att koppla från.

Ta bort en klientprofil – Windows

  1. Välj ellipsen (...) bredvid den klientprofil som du vill ta bort. Välj sedan Ta bort.

    Skärmbild som visar Ta bort markerat från menyn.

  2. Välj Ta bort för att ta bort.

    Skärmbild som visar en bekräftelsedialogruta med alternativet Ta bort eller Avbryt.

Diagnostisera anslutningsproblem – Windows

  1. Om du vill diagnostisera anslutningsproblem kan du använda verktyget Diagnostisera . Välj ellipsen (...) bredvid den VPN-anslutning som du vill diagnostisera för att visa menyn. Välj sedan Diagnostisera.

    Skärmbild som visar Diagnostisera valt från menyn.

  2. På sidan Anslutningsegenskaper väljer du Kör diagnos.

    Skärmbild som visar knappen Kör diagnos för en anslutning.

  3. Logga in med dina autentiseringsuppgifter.

    Skärmbild som visar dialogrutan Logga in för den här åtgärden.

  4. Visa diagnosresultatet.

    Skärmbild som visar resultatet av diagnosen.

Visa virtuellt WAN

  1. Navigera till det virtuella WAN-nätverket.
  2. Varje punkt på kartan på sidan Översikt motsvarar en hubb.
  3. I avsnittet om hubbar och anslutningar kan du visa hubbstatus, plats, region, VPN-anslutningsstatus och byte in och ut.

Rensa resurser

När du inte längre behöver de resurser som du skapade tar du bort dem. Vissa virtual WAN-resurser måste tas bort i en viss ordning på grund av beroenden. Borttagningen kan ta ungefär 30 minuter att slutföra.

  1. Öppna det virtuella WAN som du skapade.

  2. Välj en virtuell hubb som är associerad med det virtuella WAN:et för att öppna hubbsidan.

  3. Ta bort alla gateway-entiteter som följer nedanstående ordning för varje gatewaytyp. Det kan ta 30 minuter att slutföra.

    VPN:

    • Koppla från VPN-webbplatser
    • Ta bort VPN-anslutningar
    • Ta bort VPN-gatewayer

    ExpressRoute:

    • Ta bort ExpressRoute-anslutningar
    • Ta bort ExpressRoute-gatewayer

  4. Upprepa för alla hubbar som är associerade med det virtuella WAN-nätverket.

  5. Du kan antingen ta bort hubbarna i det här läget eller ta bort hubbarna senare när du tar bort resursgruppen.

  6. Gå till resursgruppen i Azure-portalen.

  7. Välj Ta bort resursgrupp. Detta tar bort de andra resurserna i resursgruppen, inklusive hubbarna och det virtuella WAN-nätverket.

Nästa steg

Vanliga frågor och svar om Virtual WAN finns i Vanliga frågor och svar om Virtual WAN.