Konfigurera en punkt-till-plats-VPN-anslutning till ett virtuellt nätverk med flera autentiseringstyper: Azure-portalen

  • Artikel

Den här artikeln hjälper dig att på ett säkert sätt ansluta enskilda klienter som kör Windows, Linux eller macOS till ett virtuellt Azure-nätverk. PUNKT-till-plats-VPN-anslutningar är användbara när du vill ansluta till ditt virtuella nätverk från en fjärrplats, till exempel när du distansar hemifrån eller en konferens. Du kan också använda P2S i stället för en plats-till-plats-VPN-anslutning när du bara har ett fåtal klienter som behöver ansluta till ett VNet. Punkt-till-plats-anslutningar kräver ingen VPN-enhet eller en offentlig IP-adress. P2S skapar VPN-anslutningen via SSTP (Secure Socket Tunneling Protocol) eller IKEv2. Mer information om punkt-till-plats-VPN finns i Om punkt-till-plats-VPN.

Connect from a computer to an Azure VNet - point-to-site connection diagram

Mer information om punkt-till-plats-VPN finns i Om punkt-till-plats-VPN. Information om hur du skapar den här konfigurationen med Hjälp av Azure PowerShell finns i Konfigurera ett punkt-till-plats-VPN med Azure PowerShell.

Förutsättningar

Kontrollera att du har en Azure-prenumeration. Om du inte har någon Azure-prenumeration kan du aktivera dina MSDN-prenumerantförmåner eller registrera dig för ett kostnadsfritt konto.

Flera autentiseringstyper på samma VPN-gateway stöds endast med OpenVPN-tunneltyp.

Exempelvärden

Du kan använda följande värden till att skapa en testmiljö eller hänvisa till dem för att bättre förstå exemplen i den här artikeln.

  • Namn på virtuellt nätverk: VNet1
  • Adressutrymme: 10.1.0.0/16
    I det här exemplet använder vi bara ett adressutrymme. Du kan ha fler än ett adressutrymme för ditt virtuella nätverk.
  • Undernätsnamn: FrontEnd
  • Adressintervall för undernät: 10.1.0.0/24
  • Prenumeration: Kontrollera att du använder rätt prenumeration om du har mer än en.
  • Resursgrupp: TestRG1
  • Plats: USA, östra
  • GatewaySubnet: 10.1.255.0/27
  • SKU: VpnGw2
  • Generation: Generation 2
  • Typ av gateway: VPN
  • Typ av VPN: Routningsbaserad
  • Namn på offentlig IP-adress: VNet1GWpip
  • Anslutningstyp: Punkt-till-plats
  • Klientadresspool: 172.16.201.0/24
    VPN-klienter som ansluter till det virtuella nätverket med den här punkt-till-plats-anslutningen får en IP-adress från klientadresspoolen.

Skapa ett virtuellt nätverk

Kontrollera att du har en Azure-prenumeration innan du börjar. Om du inte har någon Azure-prenumeration kan du aktivera dina MSDN-prenumerantförmåner eller registrera dig för ett kostnadsfritt konto.

Kommentar

När du använder ett virtuellt nätverk som en del av en arkitektur mellan platser måste du samordna med din lokala nätverksadministratör för att skapa ett IP-adressintervall som du kan använda specifikt för det här virtuella nätverket. Om det finns ett duplicerat adressintervall på båda sidorna av VPN-anslutningen dirigeras trafiken på ett oväntat sätt. Om du vill ansluta det här virtuella nätverket till ett annat virtuellt nätverk kan adressutrymmet inte överlappa det andra virtuella nätverket. Planera din nätverkskonfiguration på lämpligt sätt.

  1. Logga in på Azure-portalen.

  2. I Sök efter resurser, tjänster och dokument (G+/) överst på portalsidan anger du det virtuella nätverket. Välj Virtuellt nätverk från Marketplace-sökresultatet för att öppna sidan Virtuellt nätverk.

  3. På sidan Virtuellt nätverk väljer du Skapa för att öppna sidan Skapa virtuellt nätverk.

  4. På fliken Grundläggande konfigurerar du inställningarna för det virtuella nätverket för projektinformation och instansinformation. Du ser en grön bockmarkering när de värden du anger verifieras. Du kan justera de värden som visas i exemplet enligt de inställningar som du behöver.

    Screenshot that shows the Basics tab.

    • Prenumeration: Verifiera att prenumerationen som visas är korrekt. Du kan ändra prenumerationer med hjälp av listrutan.
    • Resursgrupp: Välj en befintlig resursgrupp eller välj Skapa ny för att skapa en ny. Mer information om resursgrupper finns i Översikt över Azure Resource Manager.
    • Namn: Namnge ditt virtuella nätverk.
    • Region: Välj plats för det virtuella nätverket. Platsen avgör var de resurser som du distribuerar till det virtuella nätverket ska finnas.

  5. Välj Nästa eller Säkerhet för att gå till fliken Säkerhet . I den här övningen lämnar du standardvärdena för alla tjänster på den här sidan.

  6. Välj IP-adresser för att gå till fliken IP-adresser . Konfigurera inställningarna på fliken IP-adresser .

    • IPv4-adressutrymme: Som standard skapas ett adressutrymme automatiskt. Du kan välja adressutrymmet och justera det så att det återspeglar dina egna värden. Du kan också lägga till ett annat adressutrymme och ta bort standardvärdet som skapades automatiskt. Du kan till exempel ange startadressen som 10.1.0.0 och ange adressutrymmets storlek som /16. Välj sedan Lägg till för att lägga till adressutrymmet.

    • + Lägg till undernät: Om du använder standardadressutrymmet skapas ett standardundernät automatiskt. Om du ändrar adressutrymmet lägger du till ett nytt undernät i adressutrymmet. Välj + Lägg till undernät för att öppna fönstret Lägg till undernät . Konfigurera följande inställningar och välj sedan Lägg till längst ned på sidan för att lägga till värdena.

      • Undernätsnamn: Ett exempel är FrontEnd.
      • Adressintervall för undernätet: Adressintervallet för det här undernätet. Exempel är 10.1.0.0 och /24.

  7. Granska sidan IP-adresser och ta bort eventuella adressutrymmen eller undernät som du inte behöver.

  8. Välj Granska + skapa för att verifiera inställningarna för det virtuella nätverket.

  9. När inställningarna har verifierats väljer du Skapa för att skapa det virtuella nätverket.

Virtuell nätverksgateway

I det här steget ska du skapa den virtuella nätverksgatewayen för ditt virtuella nätverk. Att skapa en gateway kan ofta ta 45 minuter eller mer, beroende på vald gateway-SKU.

Kommentar

Basic Gateway SKU stöder inte OpenVPN-tunneltyp.

Den virtuella nätverksgatewayen kräver ett specifikt undernät med namnet GatewaySubnet. Gateway-undernätet är en del av IP-adressintervallet för ditt virtuella nätverk och innehåller DE IP-adresser som de virtuella nätverksgatewayresurserna och tjänsterna använder.

När du skapar gatewayundernätet anger du det antal IP-adresser som undernätet innehåller. Hur många IP-adresser som behövs beror på vilken konfiguration av VPN-gatewayen som du vill skapa. Vissa konfigurationer kräver fler IP-adresser än andra. Det är bäst att ange /27 eller större (/26, /25 osv.) för gatewayundernätet.

Om du ser ett fel som anger att adressutrymmet överlappar ett undernät eller att undernätet inte finns i adressutrymmet för det virtuella nätverket kontrollerar du adressintervallet för det virtuella nätverket. Du kanske inte har tillräckligt med TILLGÄNGLIGA IP-adresser i adressintervallet som du skapade för ditt virtuella nätverk. Om ditt standardundernät till exempel omfattar hela adressintervallet finns det inga IP-adresser kvar för att skapa fler undernät. Du kan antingen justera dina undernät inom det befintliga adressutrymmet för att frigöra IP-adresser eller ange ett annat adressintervall och skapa gatewayundernätet där.

  1. I Sök efter resurser, tjänster och dokument (G+/)anger du virtuell nätverksgateway. Leta upp virtuell nätverksgateway i Marketplace-sökresultatetoch välj den för att öppna sidan Skapa virtuell nätverksgateway.

    Screenshot that shows the Search field.

  2. På fliken Grundläggande fyller du i värdena för projektinformation och instansinformation.

    Screenshot that shows the Instance fields.

    • Prenumeration: Välj den prenumeration som du vill använda i listrutan.

    • Resursgrupp: Den här inställningen fylls i automatiskt när du väljer ditt virtuella nätverk på den här sidan.

    • Namn: namnge din gateway. Att namnge din gateway är inte detsamma som att namnge ett gatewayundernät. Det är namnet på gatewayobjektet som du skapar.

    • Region: Välj den region där du vill skapa den här resursen. Gatewayens region måste vara samma som det virtuella nätverket.

    • Gatewaytyp: välj VPN. En VPN-gateway använder VPN som virtuell nätverksgateway.

    • SKU: I listrutan väljer du den gateway-SKU som stöder de funktioner som du vill använda. Se Gateway-SKU :er. I portalen beror de SKU:er som är tillgängliga i listrutan på vilka VPN type du väljer. Grundläggande SKU kan bara konfigureras med Hjälp av Azure CLI eller PowerShell. Du kan inte konfigurera Basic SKU i Azure-portalen.

    • Generation: Välj den generation som du vill använda. Vi rekommenderar att du använder en Generation2 SKU. Se Gateway SKU:er för mer information.

    • Virtuellt nätverk: I listrutan väljer du det virtuella nätverk som du vill lägga till den här gatewayen till. Om du inte kan se det virtuella nätverk som du vill skapa en gateway för kontrollerar du att du har valt rätt prenumeration och region i föregående inställningar.

    • Gateway-undernätsadressintervall eller undernät: Gateway-undernätet krävs för att skapa en VPN-gateway.

      För närvarande har det här fältet ett par olika beteenden, beroende på adressutrymmet för det virtuella nätverket och om du redan har skapat ett undernät med namnet GatewaySubnet för ditt virtuella nätverk.

      Om du inte har ett gateway-undernät och du inte ser alternativet att skapa ett på den här sidan går du tillbaka till det virtuella nätverket och skapar gatewayundernätet. Gå sedan tillbaka till den här sidan och konfigurera VPN-gatewayen.

  1. Ange värden för offentlig IP-adress. De här inställningarna anger det offentliga IP-adressobjekt som associeras med VPN-gatewayen. Den offentliga IP-adressen tilldelas det här objektet när VPN-gatewayen skapas. Den enda gången som den primära offentliga IP-adressen ändras är när gatewayen tas bort och återskapas. Den ändras inte vid storleksändring, återställning eller annat internt underhåll/uppgraderingar av din VPN-gateway.

    Screenshot that shows the Public IP address field.

    • Offentlig IP-adresstyp: Om du har möjlighet att välja adresstyp i den här övningen väljer du Standard.
    • Offentlig IP-adress: Låt Skapa ny vara markerad.
    • Namn på offentlig IP-adress: I textrutan anger du ett namn för din offentliga IP-adressinstans.
    • SKU för offentlig IP-adress: Inställningen är automatiskt avmarkerad.
    • Tilldelning: Tilldelningen är vanligtvis automatiskt markerad och kan vara dynamisk eller statisk.
    • Aktivera aktivt-aktivt läge: Välj Inaktiverad. Aktivera endast den här inställningen om du skapar en aktiv-aktiv gateway-konfiguration.
    • Konfigurera BGP: Välj Inaktiverad, såvida inte konfigurationen specifikt kräver den här inställningen. Om du behöver den här inställningen är standard-ASN 65515, även om det här värdet kan ändras.

  2. Välj Granska + skapa för att köra verifieringen.

  3. När verifieringen har slutförts väljer du Skapa för att distribuera VPN-gatewayen.

Du kan se distributionsstatusen på sidan Översikt för din gateway. Det kan ofta ta 45 minuter eller mer att skapa och distribuera en gateway. När gatewayen är skapad, kan du se IP-adressen som har tilldelats den genom att se på det virtuella nätverket i portalen. Gatewayen visas som en ansluten enhet.

Viktigt!

När du arbetar med gatewayundernät bör du undvika att associera en nätverkssäkerhetsgrupp (NSG) med gatewayundernätet. Om du kopplar en nätverkssäkerhetsgrupp till det här undernätet kan det leda till att din virtuella nätverksgateway (VPN- och ExpressRoute-gatewayer) slutar fungera som förväntat. Mer information om nätverkssäkerhetsgrupper finns i Vad är en nätverkssäkerhetsgrupp?.

Klientadresspool

Klientens adresspool är ett intervall med privata IP-adresser som du anger. Klienterna som ansluter via ett punkt-till-plats-VPN tar dynamiskt emot en IP-adress från det här intervallet. Använd ett intervall för privata IP-adresser som inte överlappar med den lokala platsen som du ansluter från, eller med det virtuella nätverk som du vill ansluta till. Om du konfigurerar flera protokoll och SSTP är ett av protokollen delas den konfigurerade adresspoolen mellan de konfigurerade protokollen på samma sätt.

  1. När den virtuella nätverksgatewayen har skapats går du till avsnittet Inställningar på sidan för den virtuella nätverksgatewayen. I Inställningar väljer du Punkt-till-plats-konfiguration. Välj Konfigurera nu för att öppna konfigurationssidan.

    Screenshot of point-to-site configuration page.

  2. På sidan Punkt-till-plats-konfiguration kan du konfigurera en mängd olika inställningar. I rutan Adresspool lägger du till det privata IP-adressintervall som du vill använda. VPN-klienter tar dynamiskt emot en IP-adress från intervallet som du anger. Den minsta nätmasken är 29 bitar för aktiv/passiv och 28 bitar för aktiv/aktiv konfiguration.

    Screenshot of client address pool.

  3. Fortsätt till nästa avsnitt för att konfigurera autentiserings- och tunneltyper.

Autentiserings- och tunneltyper

I det här avsnittet konfigurerar du autentiseringstyp och tunneltyp. Om du inte ser tunneltyp eller autentiseringstyp på sidan Punkt-till-plats-konfiguration använder gatewayen basic-SKU:n. Bas-SKU:n stöder inte IKEv2- eller RADIUS-autentisering. Om du vill använda de här inställningarna måste du ta bort och återskapa gatewayen med en annan gateway-SKU.

Viktigt!

Azure-portalen håller på att uppdatera Azure Active Directory-fält till Entra. Om du ser Microsoft Entra-ID som refereras och du inte ser dessa värden i portalen ännu kan du välja Azure Active Directory-värden.

Screenshot of authentication types and tunnel type.

Tunneltyp

På sidan Punkt-till-plats-konfiguration väljer du önskade typer. Alternativen är:

  • OpenVPN (SSL)
  • SSTP (SSL)
  • IKEv2
  • IKEv2 och OpenVPN (SSL)
  • IKEv2 och SSTP (SSL)

Authentication type

Som Autentiseringstyp väljer du önskade typer. Alternativen är:

  • Azure-certifikat
  • RADIUS
  • Microsoft Entra ID

Se tabellen nedan för att kontrollera vilka autentiseringsmekanismer som är kompatibla med valda tunneltyper.

Tunneltyp Autentiseringsmekanism
OpenVPN Alla delmängder av Microsoft Entra ID, Radius Auth och Azure Certificate
SSTP Radius-autentisering/Azure-certifikat
IKEv2 Radius-autentisering/Azure-certifikat
IKEv2 och OpenVPN Radius Auth/ Azure Certificate/ Microsoft Entra ID och Radius Auth/ Microsoft Entra ID och Azure Certificate
IKEv2 och SSTP Radius-autentisering/Azure-certifikat

Kommentar

För tunneltypen "IKEv2 och OpenVPN" och valda autentiseringsmekanismer "Microsoft Entra ID och Radius" eller "Microsoft Entra ID och Azure Certificate" fungerar Microsoft Entra-ID endast för OpenVPN eftersom det inte stöds av IKEv2

Beroende på vilka autentiseringstyper som valts visas olika konfigurationsinställningsfält som måste fyllas i. Fyll i nödvändig information och välj Spara överst på sidan för att spara alla konfigurationsinställningar.

Mer information om autentiseringstyp finns i:

VPN-klientkonfigurationspaket

VPN-klienter måste konfigureras med klientkonfigurationsinställningar. VPN-klientkonfigurationspaketet innehåller filer med inställningarna för att konfigurera VPN-klienter för att ansluta till ett virtuellt nätverk via en P2S-anslutning.

Instruktioner för att generera och installera VPN-klientkonfigurationsfiler finns i artikeln som gäller din konfiguration:

Autentisering Tunneltyp Generera konfigurationsfiler Konfigurera VPN-klient
Azure-certifikat IKEv2, SSTP Windows Intern VPN-klient
Azure-certifikat OpenVPN Windows - OpenVPN-klient
- Azure VPN-klient
Azure-certifikat IKEv2, OpenVPN macOS-iOS macOS-iOS
Azure-certifikat IKEv2, OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS – certifikat - Artikel Artikel
RADIUS – lösenord - Artikel Artikel
RADIUS – andra metoder - Artikel Artikel

Vanliga frågor och svar om punkt-till-plats

Information om punkt-till-plats-frågor och svar finns i punkt-till-plats-avsnitten i vanliga frågor och svar om VPN Gateway.

Nästa steg

När anslutningen är klar kan du lägga till virtuella datorer till dina virtuella nätverk. Mer information finns i Virtuella datorer. Mer information om virtuella datorer och nätverk finns i Azure and Linux VM network overview (Översikt över nätverk för virtuella Azure- och Linux-datorer).

Information om P2S-felsökning finns i Felsöka punkt-till-plats-anslutningar i Azure.