Konfigurera serverinställningar för P2S VPN Gateway-anslutningar – certifikatautentisering – Azure-portalen

  • Artikel

Den här artikeln hjälper dig att konfigurera nödvändiga P2S-serverinställningar (punkt-till-plats) för VPN Gateway så att du på ett säkert sätt kan ansluta enskilda klienter som kör Windows, Linux eller macOS till ett virtuellt Azure-nätverk. P2S VPN-anslutningar är användbara när du vill ansluta till ditt virtuella nätverk från en fjärrplats, till exempel när du distansar hemifrån eller en konferens. Du kan också använda P2S i stället för en plats-till-plats-VPN (S2S) när du bara har ett fåtal klienter som behöver ansluta till ett virtuellt nätverk (VNet). P2S-anslutningar kräver ingen VPN-enhet eller en offentlig IP-adress.

Diagram över punkt-till-plats-anslutning som visar hur du ansluter från en dator till ett virtuellt Azure-nätverk.

Det finns olika konfigurationsalternativ för P2S. Mer information om punkt-till-plats-VPN finns i Om punkt-till-plats-VPN. Den här artikeln hjälper dig att skapa en P2S-konfiguration som använder certifikatautentisering och Azure-portalen. Information om hur du skapar den här konfigurationen med Hjälp av Azure PowerShell finns i artikeln Konfigurera P2S – Certifikat – PowerShell . För RADIUS-autentisering, se artikeln P2S RADIUS . Information om Microsoft Entra-autentisering finns i artikeln microsoft entra-ID för P2S.

P2S Azure-certifikatautentiseringsanslutningar använder följande objekt, som du konfigurerar i den här övningen:

  • En RouteBased VPN gateway.
  • Den offentliga nyckeln (CER-fil) för ett rotcertifikat, som överförts till Azure. När certifikatet har laddats upp betraktas det som ett betrott certifikat och används för autentisering.
  • Ett klientcertifikat som genereras från rotcertifikatet. Klientcertifikatet installeras på varje klientdator som ska ansluta till VNet. Det här certifikatet används för klientautentisering.
  • VPN-klientkonfigurationsfiler. VPN-klienten konfigureras med vpn-klientkonfigurationsfiler. Dessa filer innehåller nödvändig information för att klienten ska kunna ansluta till det virtuella nätverket. Alla klienter som ansluter måste vara konfigurerade med inställningarna i konfigurationsfilerna.

Förutsättningar

Kontrollera att du har en Azure-prenumeration. Om du inte har någon Azure-prenumeration kan du aktivera dina MSDN-prenumerantförmåner eller registrera dig för ett kostnadsfritt konto.

Exempelvärden

Du kan använda följande värden till att skapa en testmiljö eller hänvisa till dem för att bättre förstå exemplen i den här artikeln.

VNet

  • Namn på virtuellt nätverk: VNet1
  • Adressutrymme: 10.1.0.0/16
    I det här exemplet använder vi bara ett adressutrymme. Du kan ha fler än ett adressutrymme för ditt virtuella nätverk.
  • Undernätsnamn: FrontEnd
  • Adressintervall för undernät: 10.1.0.0/24
  • Prenumeration: Om du har fler än en prenumeration kontrollerar du att du använder rätt.
  • Resursgrupp: TestRG1
  • Plats: USA, östra

Virtuell nätverksgateway

  • Namn på virtuell nätverksgateway: VNet1GW
  • Typ av gateway: VPN
  • Typ av VPN: Routningsbaserad
  • SKU: VpnGw2
  • Generation: Generation2
  • Adressintervall för gatewayundernät: 10.1.255.0/27
  • Namn på offentlig IP-adress: VNet1GWpip

Anslut ionstyp och klientadresspool

  • Anslutningstyp: Punkt-till-plats
  • Klientadresspool: 172.16.201.0/24
    VPN-klienter som ansluter till det virtuella nätverket med den här punkt-till-plats-anslutningen får en IP-adress från klientadresspoolen.

Skapa ett virtuellt nätverk

I det här avsnittet skapar du ett virtuellt nätverk. Se avsnittet Exempelvärden för de föreslagna värden som ska användas för den här konfigurationen.

Kommentar

När du använder ett virtuellt nätverk som en del av en arkitektur mellan platser måste du samordna med din lokala nätverksadministratör för att skapa ett IP-adressintervall som du kan använda specifikt för det här virtuella nätverket. Om det finns ett duplicerat adressintervall på båda sidorna av VPN-anslutningen dirigeras trafiken på ett oväntat sätt. Om du vill ansluta det här virtuella nätverket till ett annat virtuellt nätverk kan adressutrymmet inte överlappa det andra virtuella nätverket. Planera din nätverkskonfiguration på lämpligt sätt.

  1. Logga in på Azure-portalen.

  2. I Sök efter resurser, tjänster och dokument (G+/) överst på portalsidan anger du det virtuella nätverket. Välj Virtuellt nätverk från Marketplace-sökresultatet för att öppna sidan Virtuellt nätverk.

  3. På sidan Virtuellt nätverk väljer du Skapa för att öppna sidan Skapa virtuellt nätverk.

  4. På fliken Grundläggande konfigurerar du inställningarna för det virtuella nätverket för projektinformation och instansinformation. Du ser en grön bockmarkering när de värden du anger verifieras. Du kan justera de värden som visas i exemplet enligt de inställningar som du behöver.

    Skärmbild som visar fliken Grundläggande.

    • Prenumeration: Verifiera att prenumerationen som visas är korrekt. Du kan ändra prenumerationer med hjälp av listrutan.
    • Resursgrupp: Välj en befintlig resursgrupp eller välj Skapa ny för att skapa en ny. Mer information om resursgrupper finns i Översikt över Azure Resource Manager.
    • Namn: Namnge ditt virtuella nätverk.
    • Region: Välj plats för det virtuella nätverket. Platsen avgör var de resurser som du distribuerar till det virtuella nätverket ska finnas.

  5. Välj Nästa eller Säkerhet för att gå till fliken Säkerhet . I den här övningen lämnar du standardvärdena för alla tjänster på den här sidan.

  6. Välj IP-adresser för att gå till fliken IP-adresser . Konfigurera inställningarna på fliken IP-adresser .

    • IPv4-adressutrymme: Som standard skapas ett adressutrymme automatiskt. Du kan välja adressutrymmet och justera det så att det återspeglar dina egna värden. Du kan också lägga till ett annat adressutrymme och ta bort standardvärdet som skapades automatiskt. Du kan till exempel ange startadressen som 10.1.0.0 och ange adressutrymmets storlek som /16. Välj sedan Lägg till för att lägga till adressutrymmet.

    • + Lägg till undernät: Om du använder standardadressutrymmet skapas ett standardundernät automatiskt. Om du ändrar adressutrymmet lägger du till ett nytt undernät i adressutrymmet. Välj + Lägg till undernät för att öppna fönstret Lägg till undernät . Konfigurera följande inställningar och välj sedan Lägg till längst ned på sidan för att lägga till värdena.

      • Undernätsnamn: Ett exempel är FrontEnd.
      • Adressintervall för undernätet: Adressintervallet för det här undernätet. Exempel är 10.1.0.0 och /24.

  7. Granska sidan IP-adresser och ta bort eventuella adressutrymmen eller undernät som du inte behöver.

  8. Välj Granska + skapa för att verifiera inställningarna för det virtuella nätverket.

  9. När inställningarna har verifierats väljer du Skapa för att skapa det virtuella nätverket.

Skapa VPN-gatewayen

I det här steget ska du skapa den virtuella nätverksgatewayen för ditt virtuella nätverk. Att skapa en gateway kan ofta ta 45 minuter eller mer, beroende på vald gateway-SKU.

Kommentar

Basic Gateway SKU stöder inte IKEv2- eller RADIUS-autentisering. Om du planerar att låta Mac-klienter ansluta till ditt virtuella nätverk ska du inte använda basic-SKU:n.

Den virtuella nätverksgatewayen kräver ett specifikt undernät med namnet GatewaySubnet. Gateway-undernätet är en del av IP-adressintervallet för ditt virtuella nätverk och innehåller DE IP-adresser som de virtuella nätverksgatewayresurserna och tjänsterna använder.

När du skapar gatewayundernätet anger du det antal IP-adresser som undernätet innehåller. Hur många IP-adresser som behövs beror på vilken konfiguration av VPN-gatewayen som du vill skapa. Vissa konfigurationer kräver fler IP-adresser än andra. Det är bäst att ange /27 eller större (/26, /25 osv.) för gatewayundernätet.

Om du ser ett fel som anger att adressutrymmet överlappar ett undernät eller att undernätet inte finns i adressutrymmet för det virtuella nätverket kontrollerar du adressintervallet för det virtuella nätverket. Du kanske inte har tillräckligt med TILLGÄNGLIGA IP-adresser i adressintervallet som du skapade för ditt virtuella nätverk. Om ditt standardundernät till exempel omfattar hela adressintervallet finns det inga IP-adresser kvar för att skapa fler undernät. Du kan antingen justera dina undernät inom det befintliga adressutrymmet för att frigöra IP-adresser eller ange ett annat adressintervall och skapa gatewayundernätet där.

  1. I Sök efter resurser, tjänster och dokument (G+/)anger du virtuell nätverksgateway. Leta upp virtuell nätverksgateway i Marketplace-sökresultatetoch välj den för att öppna sidan Skapa virtuell nätverksgateway.

    Skärmbild som visar fältet Sök.

  2. På fliken Grundläggande fyller du i värdena för projektinformation och instansinformation.

    Skärmbild som visar instansfälten.

    • Prenumeration: Välj den prenumeration som du vill använda i listrutan.

    • Resursgrupp: Den här inställningen fylls i automatiskt när du väljer ditt virtuella nätverk på den här sidan.

    • Namn: namnge din gateway. Att namnge din gateway är inte detsamma som att namnge ett gatewayundernät. Det är namnet på gatewayobjektet som du skapar.

    • Region: Välj den region där du vill skapa den här resursen. Gatewayens region måste vara samma som det virtuella nätverket.

    • Gatewaytyp: välj VPN. En VPN-gateway använder VPN som virtuell nätverksgateway.

    • SKU: I listrutan väljer du den gateway-SKU som stöder de funktioner som du vill använda. Se Gateway-SKU :er. I portalen beror de SKU:er som är tillgängliga i listrutan på vilka VPN type du väljer. Grundläggande SKU kan bara konfigureras med Hjälp av Azure CLI eller PowerShell. Du kan inte konfigurera Basic SKU i Azure-portalen.

    • Generation: Välj den generation som du vill använda. Vi rekommenderar att du använder en Generation2 SKU. Se Gateway SKU:er för mer information.

    • Virtuellt nätverk: I listrutan väljer du det virtuella nätverk som du vill lägga till den här gatewayen till. Om du inte kan se det virtuella nätverk som du vill skapa en gateway för kontrollerar du att du har valt rätt prenumeration och region i föregående inställningar.

    • Gateway-undernätsadressintervall eller undernät: Gateway-undernätet krävs för att skapa en VPN-gateway.

      För närvarande har det här fältet ett par olika beteenden, beroende på adressutrymmet för det virtuella nätverket och om du redan har skapat ett undernät med namnet GatewaySubnet för ditt virtuella nätverk.

      Om du inte har ett gateway-undernät och du inte ser alternativet att skapa ett på den här sidan går du tillbaka till det virtuella nätverket och skapar gatewayundernätet. Gå sedan tillbaka till den här sidan och konfigurera VPN-gatewayen.

  1. Ange värden för offentlig IP-adress. De här inställningarna anger det offentliga IP-adressobjekt som associeras med VPN-gatewayen. Den offentliga IP-adressen tilldelas det här objektet när VPN-gatewayen skapas. Den enda gången som den primära offentliga IP-adressen ändras är när gatewayen tas bort och återskapas. Den ändras inte vid storleksändring, återställning eller annat internt underhåll/uppgraderingar av din VPN-gateway.

    Skärmbild som visar fältet Offentlig IP-adress.

    • Offentlig IP-adresstyp: Om du har möjlighet att välja adresstyp i den här övningen väljer du Standard.
    • Offentlig IP-adress: Låt Skapa ny vara markerad.
    • Namn på offentlig IP-adress: I textrutan anger du ett namn för din offentliga IP-adressinstans.
    • SKU för offentlig IP-adress: Inställningen är automatiskt avmarkerad.
    • Tilldelning: Tilldelningen är vanligtvis automatiskt markerad och kan vara dynamisk eller statisk.
    • Aktivera aktivt-aktivt läge: Välj Inaktiverad. Aktivera endast den här inställningen om du skapar en aktiv-aktiv gateway-konfiguration.
    • Konfigurera BGP: Välj Inaktiverad, såvida inte konfigurationen specifikt kräver den här inställningen. Om du behöver den här inställningen är standard-ASN 65515, även om det här värdet kan ändras.

  2. Välj Granska + skapa för att köra verifieringen.

  3. När verifieringen har slutförts väljer du Skapa för att distribuera VPN-gatewayen.

Du kan se distributionsstatusen på sidan Översikt för din gateway. När gatewayen har skapats kan du visa DEN IP-adress som har tilldelats den genom att titta på det virtuella nätverket i portalen. Gatewayen visas som en ansluten enhet.

Viktigt!

När du arbetar med gatewayundernät bör du undvika att associera en nätverkssäkerhetsgrupp (NSG) med gatewayundernätet. Om du kopplar en nätverkssäkerhetsgrupp till det här undernätet kan det leda till att din virtuella nätverksgateway (VPN- och ExpressRoute-gatewayer) slutar fungera som förväntat. Mer information om nätverkssäkerhetsgrupper finns i Vad är en nätverkssäkerhetsgrupp?.

Generera certifikat

Certifikat används av Azure för att autentisera klienter som ansluter till ett virtuellt nätverk via en punkt-till-plats-VPN-anslutning. När du har hämtat ett rotcertifikat laddar du upp information om den offentliga nyckeln till Azure. Rotcertifikatet anses sedan vara "betrott" av Azure för anslutning via P2S till det virtuella nätverket.

Du skapar också klientcertifikat från det betrodda rotcertifikatet och installerar dem sedan på varje klientdator. Klientcertifikatet används för att autentisera klienten när den påbörjar en anslutning till det virtuella nätverket.

Rotcertifikatet måste genereras och extraheras innan du skapar punkt-till-plats-konfigurationen i nästa avsnitt.

Generera ett rotcertifikat

Hämta .cer-filen för rotcertifikatet. Du kan antingen använda ett rotcertifikat som har genererats med en företagslösning (rekommenderas) eller generera ett självsignerat certifikat. När du har skapat rotcertifikatet exporterar du offentliga certifikatdata (inte den privata nyckeln) som en Base64-kodad X.509 .cer-fil. Du laddar upp den här filen senare till Azure.

  • Företagscertifikat: Om du använder en företagslösning kan du använda din befintliga certifikatkedja. Hämta .cer-filen för det rotcertifikat som du vill använda.

  • Självsignerat rotcertifikat: Om du inte använder en företagscertifikatlösning skapar du ett självsignerat rotcertifikat. Annars är de certifikat som du skapar inte kompatibla med dina P2S-anslutningar och klienterna får ett anslutningsfel när de försöker ansluta. Du kan använda Azure PowerShell, MakeCert eller OpenSSL. Stegen i följande artiklar beskriver hur du genererar ett kompatibelt självsignerat rotcertifikat:

Generera klientcertifikat

Varje klientdator som du ansluter till ett virtuellt nätverk med en punkt-till-plats-anslutning måste ha ett klientcertifikat installerat. Du kan generera det från rotcertifikatet och installera det på varje klientdator. Om du inte installerar ett giltigt klientcertifikat misslyckas autentiseringen när klienten försöker ansluta till det virtuella nätverket.

Du kan antingen generera ett unikt certifikat för varje klient eller använda samma certifikat för flera klienter. Fördelen med att generera unika klientcertifikat är möjligheten att återkalla ett enskilt certifikat. Om flera klienter i stället använder samma klientcertifikat och du behöver återkalla det, så måste du generera och installera nya certifikat för varje klient som använder certifikatet.

Du kan generera klientcertifikat på följande sätt:

  • Företagscertifikat:

    • Om du använder en lösning för företagscertifikat genererar du ett klientcertifikat med det allmänna namnvärdesformatet name@yourdomain.com. Använd det här formatet i stället för formatet domännamn\användarnamn.

    • Se till att klientcertifikatet baseras på en användarcertifikatmall där Klientautentisering är den första posten i användningslistan. Du kan kontrollera certifikatet genom att dubbelklicka på det och visa Förbättrad nyckelanvändning på fliken Information.

  • Självsignerat rotcertifikat: Följ stegen i någon av följande P2S-certifikatartiklar så att klientcertifikaten som du skapar är kompatibla med dina P2S-anslutningar.

    När du skapar ett klientcertifikat från ett självsignerat rotcertifikat installeras det automatiskt på den dator som du använde för att skapa det. Om du vill installera klientcertifikatet på en annan klientdator ska du exportera det som .pfx tillsammans med hela certifikatkedjan. Då skapas en .pfx-fil som innehåller den rotcertifikatinformation som krävs för att autentisera klienten.

    Stegen i de här artiklarna genererar ett kompatibelt klientcertifikat som du sedan kan exportera och distribuera.

    • PowerShell-instruktioner för Windows 10 eller senare: Dessa instruktioner kräver Windows 10 eller senare och PowerShell för att generera certifikat. Certifikaten som skapas kan installeras på valfri P2S-klient som stöds.

    • MakeCert-instruktioner: Använd MakeCert om du inte har åtkomst till en Windows 10- eller senare dator för att generera certifikat. MakeCert är inaktuellt, men du kan fortfarande använda det för att generera certifikat. Du kan installera de genererade certifikaten på valfri P2S-klient som stöds.

    • Linux-instruktioner.

Lägg till adresspoolen

Konfigurationssidan punkt-till-plats innehåller den konfigurationsinformation som behövs för P2S VPN. När alla P2S-inställningar har konfigurerats och gatewayen har uppdaterats används punkt-till-plats-konfigurationssidan för att visa eller ändra P2S VPN-inställningar.

  1. Gå till den gateway som du skapade i föregående avsnitt.
  2. I den vänstra rutan väljer du Punkt-till-plats-konfiguration.
  3. Klicka på Konfigurera nu för att öppna konfigurationssidan.

Klientens adresspool är ett intervall med privata IP-adresser som du anger. Klienterna som ansluter via ett punkt-till-plats-VPN tar dynamiskt emot en IP-adress från det här intervallet. Använd ett privat IP-adressintervall som inte överlappar den lokala plats som du ansluter från eller det virtuella nätverk som du vill ansluta till. Om du konfigurerar flera protokoll och SSTP är ett av protokollen delas den konfigurerade adresspoolen mellan de konfigurerade protokollen på samma sätt.

Skärmbild av punkt-till-plats-konfigurationssidan – adresspool.

  1. På konfigurationssidan Punkt-till-plats i Adresspool lägger du till det intervall med privata IP-adresser som du vill använda. VPN-klienter tar dynamiskt emot en IP-adress från intervallet som du anger. Den minsta nätmasken är 29 bitar för aktiv/passiv och 28 bitar för aktiv/aktiv konfiguration.

  2. Konfigurera sedan tunnel- och autentiseringstyp.

Ange tunnel- och autentiseringstyp

Kommentar

Om du inte ser tunneltyp eller autentiseringstyp på sidan Punkt-till-plats-konfiguration använder gatewayen basic-SKU:n. Basic SKU stöder inte IKEv2- eller RADIUS-autentisering. Om du vill använda de här inställningarna måste du ta bort och återskapa gatewayen med en annan gateway-SKU.

I det här avsnittet anger du tunneltypen och autentiseringstypen. De här inställningarna kan bli komplexa, beroende på vilken tunneltyp du behöver och vpn-klientprogramvaran som ska användas för att upprätta anslutningen från användarens operativsystem. Stegen i den här artikeln beskriver grundläggande konfigurationsinställningar och alternativ.

Du kan välja alternativ som innehåller flera tunneltyper från listrutan , till exempel IKEv2 och OpenVPN (SSL) eller IKEv2 och SSTP (SSL), men endast vissa kombinationer av tunneltyper och autentiseringstyper stöds. Microsoft Entra-autentisering kan till exempel bara användas när du väljer OpenVPN (SSL) från listrutan tunneltyp och inte IKEv2 och OpenVPN (SSL).

Dessutom påverkar tunneltypen och den autentiseringstyp du väljer vpn-klientprogramvaran som kan användas för att ansluta till Azure. Vissa VPN-klientprogram kan bara ansluta via IKEv2, andra kan bara ansluta via OpenVPN. Och vissa klientprogram, även om de stöder en viss tunneltyp, kanske inte stöder den autentiseringstyp du väljer.

Som du ser är det viktigt att planera tunneltypen och autentiseringstypen när du har en mängd olika VPN-klienter som ansluter från olika operativsystem. Tänk på följande kriterier när du väljer din tunneltyp i kombination med Azure-certifikatautentisering . Andra autentiseringstyper har olika överväganden.

  • Windows:

    • Windows-datorer som ansluter via den interna VPN-klienten som redan är installerad i operativsystemet kommer att prova IKEv2 först och om det inte ansluter återgår de till SSTP (om du valde både IKEv2 och SSTP från listrutan tunneltyp).
    • Om du väljer tunneltypen OpenVPN kan du ansluta med en OpenVPN-klient eller Azure VPN-klienten.
    • Azure VPN-klienten har stöd för ytterligare valfria konfigurationsinställningar , till exempel anpassade vägar och tvingad tunneltrafik.

  • macOS och iOS:

    • Den interna VPN-klienten för iOS och macOS kan bara använda tunneltypen IKEv2 för att ansluta till Azure.
    • Azure VPN-klienten stöds inte för certifikatautentisering just nu, även om du väljer tunneltypen OpenVPN.
    • Om du vill använda OpenVPN-tunneltypen med certifikatautentisering kan du använda en OpenVPN-klient.
    • För macOS kan du använda Azure VPN-klienten med Tunneltypen OpenVPN och Microsoft Entra-autentisering (inte certifikatautentisering).

  • Android och Linux:

    • StrongSwan-klienten på Android och Linux kan bara använda IKEv2-tunneltypen för att ansluta. Om du vill använda OpenVPN-tunneltypen använder du en annan VPN-klient.

Tunneltyp

På sidan Punkt-till-plats-konfiguration väljer du typ av tunnel. I den här övningen går du till listrutan och väljer IKEv2 och OpenVPN(SSL).

Skärmbild av punkt-till-plats-konfigurationssidan – tunneltyp.

Authentication type

I den här övningen väljer du Azure-certifikat för autentiseringstypen. Om du är intresserad av andra autentiseringstyper kan du läsa artiklarna för Microsoft Entra-ID och RADIUS.

Skärmbild av punkt-till-plats-konfigurationssidan – autentiseringstyp.

Ladda upp information om offentlig nyckel för rotcertifikat

I det här avsnittet laddar du upp offentliga rotcertifikatdata till Azure. När informationen har laddats upp kan Azure använda den för att autentisera klienter som har ett installerat klientcertifikat skapat från det betrodda rotcertifikatet.

  1. Kontrollera att du exporterade rotcertifikatet som en Base-64-kodad X.509 (. CER-fil i föregående steg. Du behöver exportera certifikatet i det här formatet så att du kan öppna certifikatet med textredigerare. Du behöver inte exportera den privata nyckeln.

  2. Öppna certifikatet med en textredigerare, till exempel Anteckningar. När du kopierar certifikatdata ska du se till att kopiera texten som en kontinuerlig rad utan vagnreturer och radmatningar. Du kan behöva ändra vyn i textredigeraren till ”Visa symbol/Visa alla tecken” så att vagnreturer och radmatningar visas. Kopiera enbart följande avsnitt som en kontinuerlig rad:

    Skärmbild som visar rotcertifikatinformation i Anteckningar.

  3. Navigera till din virtuella nätverksgateway –> punkt-till-plats-konfigurationssidan i avsnittet Rotcertifikat . Det här avsnittet visas bara om du har valt Azure-certifikat för autentiseringstypen.

  4. I avsnittet Rotcertifikat kan du lägga till upp till 20 betrodda rotcertifikat.

    • Klistra in certifikatdata i fältet Offentliga certifikatdata .
    • Namnge certifikatet.

    Skärmbild av certifikatdatafältet.

  5. Ytterligare vägar behövs inte för den här övningen. Mer information om den anpassade routningsfunktionen finns i Annonsera anpassade vägar.

  6. Välj Spara överst på sidan för att spara alla konfigurationsinställningar.

    Skärmbild av P2S-konfiguration med Spara valt.

Installera exporterat klientcertifikat

Varje VPN-klient som vill ansluta måste ha ett klientcertifikat. När du genererar ett klientcertifikat installerar den dator som du använde vanligtvis automatiskt klientcertifikatet åt dig. Om du vill skapa en P2S-anslutning från en annan dator måste du installera ett klientcertifikat på den dator som vill ansluta. När du installerar ett klientcertifikat behöver du lösenordet som skapades när klientcertifikatet exporterades.

Kontrollera att klientcertifikatet har exporterats som PFX-fil tillsammans med hela certifikatkedjan (standardinställningen). I annat fall finns inte rotcertifikatuppgifterna på klientdatorn och klienten kan inte autentiseras.

Installationsanvisningar finns i Install a client certificate (Installera ett klientcertifikat).

Konfigurera VPN-klienter och ansluta till Azure

Varje VPN-klient konfigureras med hjälp av filerna i ett konfigurationspaket för VPN-klientprofilen som du genererar och laddar ned. Konfigurationspaketet innehåller inställningar som är specifika för den VPN-gateway som du skapade. Om du gör ändringar i gatewayen, till exempel om du ändrar en tunneltyp, ett certifikat eller en autentiseringstyp, måste du generera ett annat konfigurationspaket för VPN-klientprofilen och installera det på varje klient. Annars kanske vpn-klienterna inte kan ansluta.

Anvisningar för hur du genererar ett konfigurationspaket för VPN-klientprofiler, konfigurerar VPN-klienter och ansluter till Azure finns i följande artiklar:

Så här verifierar du anslutningen

Dessa anvisningar gäller för Windows-klienter.

  1. Verifiera att VPN-anslutningen är aktiv genom att öppna en upphöjd kommandotolk och köra ipconfig/all.

  2. Granska resultaten. Observera att IP-adressen du fick är en av adresserna i punkt-till-plats-VPN-klientadresspoolen som du angav i konfigurationen. Resultatet är ungefär som i det här exemplet:

    PPP adapter VNet1:
   Connection-specific DNS Suffix .:
   Description.....................: VNet1
   Physical Address................:
   DHCP Enabled....................: No
   Autoconfiguration Enabled.......: Yes
   IPv4 Address....................: 172.16.201.3(Preferred)
   Subnet Mask.....................: 255.255.255.255
   Default Gateway.................:
   NetBIOS over Tcpip..............: Enabled

Ansluta till en virtuell dator

Dessa anvisningar gäller för Windows-klienter.

Du kan ansluta till en virtuell dator som distribueras till ditt virtuella nätverk genom att skapa en fjärrskrivbords-Anslut ion till den virtuella datorn. Det bästa sättet att först kontrollera att du kan ansluta till den virtuella datorn är att ansluta via dess privata IP-adress snarare än datornamnet. På så sätt testar du om du kan ansluta, inte huruvida namnmatchningen är korrekt konfigurerad.

  1. Leta upp den privata IP-adressen. Du hittar den privata IP-adressen för en virtuell dator genom att antingen titta på egenskaperna för den virtuella datorn i Azure-portalen eller med hjälp av PowerShell.

    • Azure-portalen: Leta upp den virtuella datorn i Azure-portalen. Visa egenskaperna för den virtuella datorn. Den privata IP-adressen är angiven.

    • PowerShell: Använd exemplet för att visa en lista över virtuella datorer och privata IP-adresser från dina resursgrupper. Du behöver inte ändra exemplet innan du använder det.

      $VMs = Get-AzVM
$Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null

foreach ($Nic in $Nics) {
$VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
$Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
$Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
Write-Output "$($VM.Name): $Prv,$Alloc"
}

  2. Kontrollera att du är ansluten till ditt virtuella nätverk.

  3. Öppna Fjärrskrivbord Anslut ion genom att ange RDP eller Fjärrskrivbord Anslut ion i sökrutan i aktivitetsfältet. Välj sedan Fjärrskrivbord Anslut ion. Du kan också öppna Fjärrskrivbord Anslut ion med hjälp mstsc av kommandot i PowerShell.

  4. I fjärrskrivbordsanslutningen anger du den virtuella datorns privata IP-adress. Du kan välja Visa alternativ för att justera andra inställningar och sedan ansluta.

Om du har problem med att ansluta till en virtuell dator via VPN-anslutningen kontrollerar du följande punkter:

  • Kontrollera att VPN-anslutningen har genomförts.
  • Kontrollera att du ansluter till den virtuella datorns privata IP-adress.
  • Om du kan ansluta till den virtuella datorn med hjälp av den privata IP-adressen men inte datornamnet kontrollerar du att du har konfigurerat DNS korrekt. Mer information om hur namnmatchning fungerar för virtuella datorer finns i Namnmatchning för virtuella datorer.

Mer information finns i Felsöka fjärrskrivbordsanslutningar till en virtuell dator.

  • Kontrollera att paketet för VPN-klientkonfiguration har skapats efter att IP-adresser för DNS-server har angetts för VNet. Om du uppdaterade IP-adresserna för DNS-servern skapar och installerar du ett nytt paket för VPN-klientkonfiguration.

  • Använd "ipconfig" för att kontrollera den IPv4-adress som tilldelats Ethernet-adaptern på datorn som du ansluter från. Om IP-adressen ligger inom adressintervallet för det virtuella nätverk som du ansluter till, eller inom adressintervallet för vpnClientAddressPool, kallas detta för ett överlappande adressutrymme. När ditt adressutrymme överlappar på det här sättet når inte nätverkstrafiken Azure, utan stannar i det lokala nätverket.

Så här lägger du till eller tar bort betrodda rotcertifikat

Du kan lägga till och ta bort betrodda rotcertifikat från Azure. När du tar bort ett rotcertifikat kommer klienter som har ett certifikat som genererats från roten inte att kunna autentisera och därmed inte kunna ansluta. Om du vill att en klient ska kunna autentisera och ansluta måste du installera ett nytt klientcertifikat som genererats från ett rotcertifikat som är betrott (uppladdat) i Azure.

Du kan lägga till upp till 20 betrodda CER-filer för rotcertifikat i Azure. Anvisningar finns i avsnittet Ladda upp ett betrott rotcertifikat.

Så här tar du bort ett betrott rotcertifikat:

  1. Gå till sidan Punkt-till-plats-konfiguration för din virtuella nätverksgateway.
  2. I avsnittet Rotcertifikat letar du upp det certifikat som du vill ta bort.
  3. Välj ellipsen bredvid certifikatet och välj sedan Ta bort.

Så här återkallar du ett klientcertifikat

Du kan återkalla certifikat. Med listan över återkallade certifikat kan du selektivt neka P2S-anslutning baserat på enskilda klientcertifikat. Det här skiljer sig från att ta bort ett betrott rotcertifikat. Om du tar bort CER-filen för ett betrott rotcertifikat i Azure återkallas åtkomsten för alla klientcertifikat som genererats/signerats med det återkallade rotcertifikatet. När du återkallar ett klientcertifikat, snarare än rotcertifikatet, så kan de andra certifikat som har genererats från rotcertifikatet fortfarande användas för autentisering.

Den vanligaste metoden är att använda rotcertifikatet för att hantera åtkomst på grupp- eller organisationsnivå, och att återkalla klientcertifikat för mer detaljerad åtkomstkontroll för enskilda användare.

Du kan återkalla ett klientcertifikat genom att lägga till tumavtrycket i listan över återkallade certifikat.

  1. Hämta klientcertifikatets tumavtryck. Mer information finns i Gör så här: Hämta tumavtrycket för ett certifikat.
  2. Kopiera informationen till en textredigerare och ta bort alla blanksteg så att den är en kontinuerlig sträng.
  3. Gå till sidan Punkt-till-plats-konfiguration för den virtuella nätverksgatewayen. Det här är den sida du använde när du laddade upp ett betrott rotcertifikat.
  4. I avsnittet Återkallade certifikat anger du ett eget namn på certifikatet (det inte behöver vara certifikatets CN-namn).
  5. Kopiera och klistra in tumavtryckssträngen i fältet Tumavtryck fält.
  6. Tumavtrycket valideras och läggs automatiskt till i listan över återkallade certifikat. Ett meddelande om att listan uppdateras visas på skärmen.
  7. När uppdateringen har slutförts kan certifikatet inte längre användas för att ansluta. Klienter som försöker ansluta med det här certifikatet får ett meddelande om att certifikatet inte längre är giltigt.

Vanliga frågor och svar om punkt-till-plats

Vanliga frågor och svar finns i Vanliga frågor och svar.

Nästa steg

När anslutningen är klar kan du lägga till virtuella datorer i dina virtuella nätverk. Mer information finns i Virtuella datorer. Mer information om virtuella datorer och nätverk finns i Azure and Linux VM network overview (Översikt över nätverk för virtuella Azure- och Linux-datorer).

Information om P2S-felsökning finns i Felsöka punkt-till-plats-anslutningar i Azure.