Om punkt-till-plats-VPN

Med en VPN-gatewayanslutning för punkt-till-plats (P2S) kan du skapa en säker anslutning till ditt virtuella nätverk från en enskild klientdator. En P2S-anslutning upprättas genom att du startar den från klientdatorn. Den här lösningen är praktisk för distansarbetare som behöver ansluta till virtuella Azure-nätverk från en fjärransluten plats, t.ex. hemifrån eller från en konferens. VPN för punkt-till-plats är också ett bra alternativ till VPN för plats-till-plats om du bara har ett fåtal klienter som behöver ansluta till ett virtuellt nätverk. Den här artikeln gäller för distributionsmodellen Resource Manager.

Vilket protokoll används av P2S?

Punkt-till-plats-VPN kan använda något av följande protokoll:

  • OpenVPN® Protocol, ett SSL/TLS-baserat VPN-protokoll. En TLS VPN-lösning kan penetrera brandväggar eftersom de flesta brandväggar öppnar utgående TCP-port 443, som TLS använder. OpenVPN kan användas för att ansluta från Android, iOS (version 11.0 och senare), Windows-, Linux- och Mac-enheter (macOS-version 10.13 och senare).

  • Secure Socket Tunneling Protocol (SSTP), ett patentskyddat TLS-baserat VPN-protokoll. En TLS VPN-lösning kan penetrera brandväggar eftersom de flesta brandväggar öppnar utgående TCP-port 443, som TLS använder. SSTP stöds endast på Windows-enheter. Azure stöder alla versioner av Windows som har SSTP och stöder TLS 1.2 (Windows 8.1 och senare).

  • IKEv2 VPN, en standardbaserad IPsec VPN-lösning. IKEv2 VPN kan användas för att ansluta från Mac-enheter (macOS version 10.11 och senare).

Anteckning

IKEv2 och OpenVPN för P2S är endast tillgängliga för Resource Manager distributionsmodellen. De är inte tillgängliga för den klassiska distributionsmodellen.

Hur autentiseras P2S VPN-klienter?

Innan Azure accepterar en P2S VPN-anslutning måste användaren autentiseras först. Det finns två mekanismer som Azure erbjuder för att autentisera en anslutande användare.

Autentisera med intern Azure-certifikatautentisering

När du använder den interna Azure-certifikatautentiseringen används ett klientcertifikat som finns på enheten för att autentisera den anslutande användaren. Klientcertifikat genereras från ett betrott rotcertifikat och installeras sedan på varje klientdator. Du kan använda ett rotcertifikat som har genererats med en Enterprise-lösning, eller så kan du generera ett självsignerat certifikat.

Verifieringen av klientcertifikatet utförs av VPN-gatewayen och sker under etableringen av P2S VPN-anslutningen. Rotcertifikatet krävs för valideringen och måste laddas upp till Azure.

Autentisera med intern Azure Active Directory-autentisering

Azure AD autentisering gör det möjligt för användare att ansluta till Azure med sina Azure Active Directory-autentiseringsuppgifter. Intern Azure AD autentisering stöds endast för OpenVPN-protokollet och kräver även användning av Azure VPN-klienten. Klientoperativsystem som stöds är Windows 10 eller senare och macOS.

Med inbyggd Azure AD-autentisering kan du använda Azure AD:s villkorliga åtkomst samt multifaktorautentiseringsfunktioner (MFA) för VPN.

På hög nivå måste du utföra följande steg för att konfigurera Azure AD autentisering:

  1. Konfigurera en Azure AD-klientorganisation

  2. Aktivera Azure AD autentisering på gatewayen

  3. Ladda ned den senaste versionen av Azure VPN-klientens installationsfiler med någon av följande länkar:

Autentisera med Active Directory -domänserver (AD)

MED AD-domänautentisering kan användare ansluta till Azure med sina autentiseringsuppgifter för organisationens domän. Det kräver en RADIUS-server som integreras med AD-servern. Organisationer kan också utnyttja sin befintliga RADIUS-distribution.

RADIUS-servern kan distribueras lokalt eller i ditt virtuella Azure-nätverk. Under autentiseringen fungerar Azure VPN Gateway som en genomströmning och vidarebefordrar autentiseringsmeddelanden fram och tillbaka mellan RADIUS-servern och den anslutna enheten. Gateway-nåbarheten till RADIUS-servern är därför viktig. Om RADIUS-servern finns lokalt krävs en VPN S2S-anslutning från Azure till den lokala platsen för att nå den.

RADIUS-servern kan också integreras med AD-certifikattjänster. På så sätt kan du använda RADIUS-servern och företagscertifikatdistributionen för P2S-certifikatautentisering som ett alternativ till Azure-certifikatautentiseringen. Fördelen är att du inte behöver ladda upp rotcertifikat och återkallade certifikat till Azure.

En RADIUS-server kan också integreras med andra externa identitetssystem. Detta öppnar upp många autentiseringsalternativ för P2S VPN, inklusive multifaktoralternativ.

Diagram som visar en punkt-till-plats-VPN med en lokal plats.

Vilka är klientkonfigurationskraven?

Anteckning

För Windows-klienter måste du ha administratörsbehörighet på klientenheten för att kunna initiera VPN-anslutningen från klientenheten till Azure.

Användare använder de interna VPN-klienterna på Windows- och Mac-enheter för P2S. Azure tillhandahåller en ZIP-fil för VPN-klientkonfiguration som innehåller inställningar som krävs av dessa interna klienter för att ansluta till Azure.

  • För Windows-enheter består VPN-klientkonfigurationen av ett installationspaket som användarna installerar på sina enheter.
  • För Mac-enheter består den av mobileconfig-filen som användarna installerar på sina enheter.

Zip-filen innehåller också värdena för några av de viktiga inställningarna på Azure-sidan som du kan använda för att skapa en egen profil för dessa enheter. Några av värdena är VPN-gatewayadressen, konfigurerade tunneltyper, vägar och rotcertifikatet för gatewayvalidering.

Anteckning

Från och med 1 juli 2018 tas stödet för TLS 1.0 och 1.1 bort från Azure VPN Gateway. VPN Gateway kommer endast att stödja TLS 1.2. Endast punkt-till-plats-anslutningar påverkas. plats-till-plats-anslutningar påverkas inte. Om du använder TLS för punkt-till-plats-VPN på Windows 10 eller senare klienter behöver du inte vidta några åtgärder. Om du använder TLS för punkt-till-plats-anslutningar i Windows 7 och Windows 8-klienter kan du läsa VPN Gateway vanliga frågor och svar om uppdateringsinstruktioner.

Vilka gateway-SKU:er stöder P2S VPN?

VPN
Gateway
Generation
SKU S2S/VNet-till-VNet
Tunnlar
P2S
SSTP-anslutningar
P2S
IKEv2/OpenVPN-anslutningar
Aggregera
Benchmark för dataflöde
BGP Zonredundant
Generation 1 Basic Max. 10 Max. 128 Stöds inte 100 Mbit/s Stöds inte No
Generation 1 VpnGw1 Max. 30 Max. 128 Max. 250 650 Mbit/s Stöds No
Generation1 VpnGw2 Max. 30 Max. 128 Max. 500 1 Gbit/s Stöds No
Generation1 VpnGw3 Max. 30 Max. 128 Max. 1000 1,25 Gbit/s Stöds No
Generation1 VpnGw1AZ Max. 30 Max. 128 Max. 250 650 Mbit/s Stöds Yes
Generation1 VpnGw2AZ Max. 30 Max. 128 Max. 500 1 Gbit/s Stöds Yes
Generation1 VpnGw3AZ Max. 30 Max. 128 Max. 1000 1,25 Gbit/s Stöds Yes
Generation2 VpnGw2 Max. 30 Max. 128 Max. 500 1,25 Gbit/s Stöds No
Generation2 VpnGw3 Max. 30 Max. 128 Max. 1000 2,5 Gbit/s Stöds No
Generation2 VpnGw4 Max. 100* Max. 128 Max. 5000 5 Gbit/s Stöds No
Generation2 VpnGw5 Max. 100* Max. 128 Max. 10000 10 Gbit/s Stöds No
Generation2 VpnGw2AZ Max. 30 Max. 128 Max. 500 1,25 Gbit/s Stöds Yes
Generation2 VpnGw3AZ Max. 30 Max. 128 Max. 1000 2,5 Gbit/s Stöds Yes
Generation2 VpnGw4AZ Max. 100* Max. 128 Max. 5000 5 Gbit/s Stöds Yes
Generation2 VpnGw5AZ Max. 100* Max. 128 Max. 10000 10 Gbit/s Stöds Yes

(*) Använd Virtual WAN om du behöver fler än 100 S2S VPN-tunnlar.

  • Storleksändringen av VpnGw-SKU:er tillåts inom samma generation, förutom storleksändring av basic-SKU:n. Basic SKU är en äldre SKU och har funktionsbegränsningar. För att kunna flytta från Basic till en annan SKU måste du ta bort VPN-gatewayen Basic SKU och skapa en ny gateway med önskad kombination av generation och SKU-storlek. (se Arbeta med äldre SKU:er).

  • Dessa anslutningsgränser är separata. Du kan exempelvis ha 128 SSTP-anslutningar och även 250 IKEv2-anslutningar på en VpnGw1-SKU.

  • Information om priser finns på sidan Priser.

  • Information om SLA (serviceavtal) finns på sidan SLA.

  • Om du har många P2S-anslutningar kan det påverka dina S2S-anslutningar negativt. Prestandamått för aggregerat dataflöde testades genom att maximera en kombination av S2S- och P2S-anslutningar. En enda P2S- eller S2S-anslutning kan ha ett mycket lägre dataflöde.

  • Observera att alla prestandamått inte garanteras på grund av internettrafik och dina programbeteenden

För att hjälpa våra kunder att förstå den relativa prestandan hos SKU:er med olika algoritmer använde vi offentligt tillgängliga iPerf- och CTSTraffic-verktyg för att mäta prestanda för plats-till-plats-anslutningar. I tabellen nedan visas resultatet av prestandatester för VpnGw-SKU:er. Som du ser erhålls bästa prestanda när vi använde GCMAES256-algoritmen för både IPsec-kryptering och integritet. Vi fick genomsnittlig prestanda när du använder AES256 för IPsec-kryptering och SHA256 för integritet. När vi använde DES3 för IPsec-kryptering och SHA256 för integritet fick vi lägsta prestanda.

En VPN-tunnel ansluter till en VPN-gatewayinstans. Varje instansdataflöde anges i dataflödestabellen ovan och är tillgängligt aggregerat över alla tunnlar som ansluter till den instansen.

Tabellen nedan visar den observerade bandbredden och paketen per sekunds dataflöde per tunnel för de olika gateway-SKU:erna. Alla tester utfördes mellan gatewayer (slutpunkter) i Azure i olika regioner med 100 anslutningar och under standardmässiga belastningsförhållanden.

Generation SKU Algoritmer
Används
Dataflöde
observeras per tunnel
Paket per sekund per tunnel
Observerade
Generation1 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbit/s
500 Mbit/s
130 Mbit/s
62,000
47,000
12 000
Generation1 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gbit/s
650 Mbit/s
140 Mbit/s
100 000
61,000
13,000
Generation 1 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbit/s
700 Mbit/s
140 Mbit/s
120,000
66,000
13,000
Generation 1 VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbit/s
500 Mbit/s
130 Mbit/s
62,000
47,000
12 000
Generation 1 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gbit/s
650 Mbit/s
140 Mbit/s
110,000
61,000
13,000
Generation 1 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbit/s
700 Mbit/s
140 Mbit/s
120,000
66,000
13,000
Generation2 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbit/s
550 Mbit/s
130 Mbit/s
120,000
52,000
12 000
Generation2 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gbit/s
700 Mbit/s
140 Mbit/s
140,000
66,000
13,000
Generation2 VpnGw4 GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbit/s
700 Mbit/s
140 Mbit/s
220,000
66,000
13,000
Generation2 VpnGw5 GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbit/s
700 Mbit/s
140 Mbit/s
220,000
66,000
13,000
Generation2 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbit/s
550 Mbit/s
130 Mbit/s
120,000
52,000
12 000
Generation2 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gbit/s
700 Mbit/s
140 Mbit/s
140,000
66,000
13,000
Generation2 VpnGw4AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbit/s
700 Mbit/s
140 Mbit/s
220,000
66,000
13,000
Generation2 VpnGw5AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbit/s
700 Mbit/s
140 Mbit/s
220,000
66,000
13,000

Anteckning

Bas-SKU:n stöder inte IKEv2- eller RADIUS-autentisering.

Vilka IKE/IPsec-principer konfigureras på VPN-gatewayer för P2S?

IKEv2

Chiffer Integritet PRF DH-grupp
GCM_AES256 GCM_AES256 SHA384 GROUP_24
GCM_AES256 GCM_AES256 SHA384 GROUP_14
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP256
GCM_AES256 GCM_AES256 SHA256 GROUP_24
GCM_AES256 GCM_AES256 SHA256 GROUP_14
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP256
AES256 SHA384 SHA384 GROUP_24
AES256 SHA384 SHA384 GROUP_14
AES256 SHA384 SHA384 GROUP_ECP384
AES256 SHA384 SHA384 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_24
AES256 SHA256 SHA256 GROUP_14
AES256 SHA256 SHA256 GROUP_ECP384
AES256 SHA256 SHA256 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_2

Ipsec

Chiffer Integritet PFS-grupp
GCM_AES256 GCM_AES256 GROUP_NONE
GCM_AES256 GCM_AES256 GROUP_24
GCM_AES256 GCM_AES256 GROUP_14
GCM_AES256 GCM_AES256 GROUP_ECP384
GCM_AES256 GCM_AES256 GROUP_ECP256
AES256 SHA256 GROUP_NONE
AES256 SHA256 GROUP_24
AES256 SHA256 GROUP_14
AES256 SHA256 GROUP_ECP384
AES256 SHA256 GROUP_ECP256
AES256 SHA1 GROUP_NONE

Vilka TLS-principer konfigureras på VPN-gatewayer för P2S?

TLS

Principer
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256

Hur gör jag för att konfigurera en P2S-anslutning?

En P2S-konfiguration kräver en hel del specifika steg. Följande artiklar innehåller stegen för att gå igenom P2S-konfigurationen och länkar för att konfigurera VPN-klientenheterna:

Ta bort konfigurationen av en P2S-anslutning

Du kan ta bort konfigurationen av en anslutning med hjälp av PowerShell eller CLI. Exempel finns i Vanliga frågor och svar.

Hur fungerar P2S-routning?

Se följande artiklar:

Vanliga frågor och svar

Det finns flera avsnitt med vanliga frågor och svar för P2S baserat på autentisering.

Nästa steg

"OpenVPN" är ett varumärke som tillhör OpenVPN Inc.