Aracılığıyla paylaş

P2S Kullanıcı VPN'leri için kullanıcı gruplarını ve IP adresi havuzlarını yapılandırma

  • Makale

P2S Kullanıcı VPN'leri, Kullanıcı Grupları oluşturarak kullanıcılara kimlik veya kimlik doğrulaması kimlik bilgileri temelinde belirli adres havuzlarından IP adresleri atama olanağı sağlar. Bu makale kullanıcı gruplarını, grup üyelerini yapılandırmanıza ve grupları önceliklendirmenize yardımcı olur. Kullanıcı gruplarıyla çalışma hakkında daha fazla bilgi için bkz . Kullanıcı grupları hakkında.

Önkoşullar

Başlamadan önce, bir veya daha fazla kimlik doğrulama yöntemi kullanan bir sanal WAN yapılandırdığınızdan emin olun. Adımlar için bkz. Öğretici: Sanal WAN Kullanıcı VPN P2S bağlantısı oluşturma.

İş Akışı

Bu makalede, P2S VPN bağlantınız için kullanıcı grupları ve IP adresi havuzları ayarlamanıza yardımcı olması için aşağıdaki iş akışı kullanılır.

  1. Yapılandırma gereksinimlerini göz önünde bulundurun

  2. Kimlik doğrulama mekanizması seçme

  3. Kullanıcı Grubu Oluşturma

  4. Ağ geçidi ayarlarını yapılandırma

1. Adım: Yapılandırma gereksinimlerini göz önünde bulundurun

Bu bölümde, kullanıcı grupları ve IP adresi havuzları için yapılandırma gereksinimleri ve sınırlamaları listelenir.

  • En Fazla Grup: Tek bir P2S VPN ağ geçidi en fazla 90 gruba başvurabilir.

  • En Fazla Üye Sayısı: Bir ağ geçidine atanan tüm gruplarda ilke/grup üyelerinin toplam sayısı 390'dır.

  • Birden Çok Atama: Bir grup aynı ağ geçidindeki birden çok bağlantı yapılandırmasına atanmışsa, grup ve üyeleri birden çok kez sayılır. Örnek: Üç VPN bağlantısı yapılandırmasına atanmış 10 üyeli bir ilke grubu, 10 üyeli bir grup değil, 30 üyeli üç grup olarak sayılır.

  • Eşzamanlı Kullanıcılar: Toplam eş zamanlı kullanıcı sayısı, ağ geçidinin ölçek birimi ve her kullanıcı grubuna ayrılan IP adresi sayısı tarafından belirlenir. Ağ geçidiyle ilişkilendirilmiş ilke/grup üyesi sayısına göre belirlenmemiş.

  • Vpn sunucusu yapılandırmasının bir parçası olarak bir grup oluşturulduktan sonra, grubun adı ve varsayılan ayarı değiştirilemez.

  • Grup adları ayrı olmalıdır.

  • Daha düşük sayısal önceliğe sahip gruplar, daha yüksek sayısal önceliğe sahip gruplara göre işlenir. Bağlanan bir kullanıcı birden çok grubun üyesiyse ağ geçidi, IP adresleri atama amacıyla bu kullanıcıyı daha düşük sayısal önceliğe sahip bir grubun üyesi olarak kabul eder.

  • Mevcut noktadan siteye VPN ağ geçitleri tarafından kullanılan gruplar silinemez.

  • Bu gruba karşılık gelen yukarı aşağı ok düğmelerine tıklayarak gruplarınızın önceliklerini yeniden sıralayabilirsiniz.

  • Adres havuzları, aynı sanal WAN'daki diğer bağlantı yapılandırmalarında (aynı veya farklı ağ geçitleri) kullanılan adres havuzlarıyla çakışamaz.

  • Adres havuzları ayrıca sanal ağ adres alanları, sanal hub adres alanları veya şirket içi adreslerle çakışamaz.

  • Adres havuzları /24 değerinden küçük olamaz. Örneğin, /25 veya /26 aralığını atayamazsınız.

2. Adım: Kimlik doğrulama mekanizması seçme

Aşağıdaki bölümlerde, kullanıcı grupları oluşturulurken kullanılabilecek kullanılabilir kimlik doğrulama mekanizmaları listelanmıştır.

Microsoft Entra grupları

Active Directory grupları oluşturmak ve yönetmek için bkz . Microsoft Entra gruplarını ve grup üyeliğini yönetme.

  • Microsoft Entra grup nesne kimliği (grup adı değil) Sanal WAN noktadan siteye Kullanıcı VPN yapılandırmasının bir parçası olarak belirtilmelidir.
  • Microsoft Entra kullanıcıları birden çok Active Directory grubunun parçası olarak atanabilir, ancak Sanal WAN kullanıcıları en düşük sayısal önceliğe sahip Sanal WAN kullanıcı/ilke grubunun parçası olarak kabul eder.

RADIUS - NPS satıcıya özgü öznitelikler

Ağ İlkesi Sunucusu (NPS) satıcıya özgü öznitelik yapılandırma bilgileri için bkz . RADIUS - satıcıya özgü öznitelikler için NPS yapılandırma.

Sertifikalar

Otomatik olarak imzalanan sertifikalar oluşturmak için bkz . Kullanıcı VPN P2S bağlantıları için sertifika oluşturma ve dışarı aktarma: PowerShell. Belirli bir Ortak Ada sahip bir sertifika oluşturmak için, PowerShell komutunu çalıştırırken New-SelfSignedCertificate Subject parametresini uygun değerle (örneğin, xx@domain.com) değiştirin. Örneğin, aşağıdaki Konuya sahip sertifikalar oluşturabilirsiniz:

Dijital sertifika alanı Value açıklama
Konu CN= cert@marketing.contoso.com Pazarlama departmanı için dijital sertifika
Konu CN= cert@sale.contoso.com Satış departmanı için dijital sertifika
Konu CN= cert@engineering.contoso.com Mühendislik bölümü için dijital sertifika
Konu CN= cert@finance.contoso.com Finans departmanı için dijital sertifika

Not

Dijital sertifika kimlik doğrulamasına sahip birden çok adres havuzu özelliği, Konu alanına göre belirli bir kullanıcı grubu için geçerlidir. Seçim ölçütleri Konu Alternatif Adı (SAN) sertifikalarıyla çalışmaz.

3. Adım: Kullanıcı grubu oluşturma

Kullanıcı grubu oluşturmak için aşağıdaki adımları kullanın.

  1. Azure portalında Sanal WAN -> Kullanıcı VPN yapılandırmaları sayfanıza gidin.

  2. Kullanıcı VPN yapılandırmaları sayfasında, düzenlemek istediğiniz Kullanıcı VPN Yapılandırması'nı ve ardından Yapılandırmayı düzenle'yi seçin.

  3. Kullanıcı VPN yapılandırmasını düzenle sayfasında Kullanıcı Grupları sekmesini açın.

    Kullanıcı Gruplarını etkinleştirme işleminin ekran görüntüsü.

  4. Kullanıcı gruplarını etkinleştirmek için Evet'i seçin. Bu sunucu yapılandırması bir P2S VPN ağ geçidine atandığında, aynı kullanıcı gruplarının parçası olan kullanıcılara aynı adres havuzlarından IP adresleri atanır. Farklı grupların parçası olan kullanıcılara farklı gruplardan IP adresleri atanır. Bu özelliği kullandığınızda, oluşturduğunuz gruplardan biri için Varsayılan grup'u seçmeniz gerekir.

  5. Yeni bir Kullanıcı Grubu oluşturmaya başlamak için name parametresini ilk grubun adıyla doldurun.

  6. Grup Adı'nın yanındaki Grubu Yapılandır'ı seçerek Grup Ayarlarını Yapılandır sayfasını açın.

    Yeni grup oluşturma işleminin ekran görüntüsü.

  7. Grup Ayarlarını Yapılandır sayfasında, bu gruba eklemek istediğiniz her üyenin değerlerini doldurun. Bir grup birden çok grup üyesi içerebilir.

    • Ad alanını doldurarak yeni bir üye oluşturun.

    • Açılan listeden Kimlik Doğrulaması: Ayar Türü'nü seçin. Açılan menü, Kullanıcı VPN yapılandırması için seçilen kimlik doğrulama yöntemlerine göre otomatik olarak doldurulur.

    • Değeri yazın. Geçerli değerler için bkz . Kullanıcı grupları hakkında.

    Kullanıcı Grubu üyeleri için değerleri yapılandırma işleminin ekran görüntüsü.

  8. Grubun ayarlarını oluşturmayı bitirdiğinizde Ekle ve Tamam'ı seçin.

  9. Ek gruplar oluşturun.

  10. Varsayılan olarak en az bir grup seçin. Ağ geçidinde belirtilen herhangi bir grubun parçası olmayan kullanıcılar, ağ geçidindeki varsayılan gruba atanır. Ayrıca, grup oluşturulduktan sonra grubun "varsayılan" durumunu değiştirebileceğinizi unutmayın.

    Varsayılan grubu seçme işleminin ekran görüntüsü.

  11. Grup önceliği sırasını ayarlamak için okları seçin.

    Öncelik sırasını ayarlama işleminin ekran görüntüsü.

  12. Gözden geçir + oluştur'u seçerek oluşturun ve yapılandırın. Kullanıcı VPN yapılandırmasını oluşturduktan sonra ağ geçidi sunucusu yapılandırma ayarlarını kullanıcı grupları özelliğini kullanacak şekilde yapılandırın.

4. Adım: Ağ geçidi ayarlarını yapılandırma

  1. Portalda sanal hub'ınıza gidin ve Kullanıcı VPN'i (Noktadan siteye) seçin.

  2. Noktadan siteye sayfasında Ağ Geçidi ölçek birimleri bağlantısını seçerek Kullanıcı VPN ağ geçidini düzenle'yi açın. Ağ geçidi aktarım hızını belirlemek için açılan listeden Ağ Geçidi ölçek birimleri değerini ayarlayın.

  3. Noktadan siteye sunucu yapılandırması için, kullanıcı grupları için yapılandırdığınız Kullanıcı VPN yapılandırmasını seçin. Bu ayarları henüz yapılandırmadıysanız bkz . Kullanıcı grubu oluşturma.

  4. Yeni bir Yapılandırma Adı yazarak yeni bir noktadan siteye yapılandırma oluşturun.

  5. Bu yapılandırmayla ilişkilendirilecek bir veya daha fazla grup seçin. Bu yapılandırmayla ilişkili grupların parçası olan tüm kullanıcılara aynı IP adresi havuzlarından IP adresleri atanır.

    Bu ağ geçidinin tüm yapılandırmalarında, tam olarak bir varsayılan kullanıcı grubu seçilmiş olmalıdır.

    Grupların seçili olduğu Kullanıcı VPN ağ geçidini düzenle sayfasının ekran görüntüsü.

  6. Adres Havuzları için Yapılandır'ı seçerek Adres Havuzlarını Belirtin sayfasını açın. Bu sayfada, yeni adres havuzlarını bu yapılandırmayla ilişkilendirin. Bu yapılandırmayla ilişkili grupların üyesi olan kullanıcılara belirtilen havuzlardan IP adresleri atanır. Ağ geçidiyle ilişkili Ağ Geçidi Ölçek Birimi sayısına bağlı olarak, birden fazla adres havuzu belirtmeniz gerekebilir. Adres havuzları /24 değerinden küçük olamaz. Örneğin, kullanıcı grupları için daha küçük bir adres havuzu aralığına sahip olmak istiyorsanız /25 veya /26 aralığını atayamazsınız. En düşük ön ek /24'dür. Adres havuzlarınızı kaydetmek için Ekle ve Tamam'ı seçin.

    Adres Havuzlarını Belirt sayfasının ekran görüntüsü.

  7. Farklı adres havuzlarından IP adresleri atanması gereken her grup kümesi için bir yapılandırmaya ihtiyacınız vardır. Daha fazla yapılandırma oluşturmak için adımları yineleyin. Adres havuzları ve gruplarıyla ilgili gereksinimler ve sınırlamalar için 1. Adıma bakın.

  8. İhtiyacınız olan yapılandırmaları oluşturduktan sonra, ayarlarınızı kaydetmek için Düzenle'yi ve ardından Onayla'yı seçin.

    Ayarları onayla seçeneğinin ekran görüntüsü.

Sorun giderme

  1. Paketlerin doğru özniteliklere sahip olduğunu doğrulayın mı?: Wireshark veya başka bir paket yakalama, NPS modunda çalıştırılabilir ve paylaşılan anahtar kullanılarak paketlerin şifresini çözebilir. Paketlerin RADIUS sunucunuzdan doğru RADIUS VSA yapılandırmasıyla noktadan siteye VPN ağ geçidine gönderildiğini doğrulayabilirsiniz.
  2. Kullanıcılar yanlış IP atanıyor mu?: Kullanıcıların ilkeleri eşleştirip eşleştirmediğini belirlemek için NPS Olay günlüğünü ayarlayın ve denetleyin.
  3. Adres havuzlarıyla ilgili sorun mu yaşıyorsunuz? Ağ geçidinde her adres havuzu belirtilir. Adres havuzları iki adres havuzuna ayrılır ve noktadan siteye VPN ağ geçidi çiftindeki her etkin-etkin örneğe atanır. Bu bölünmüş adresler geçerli yol tablosunda gösterilmelidir. Örneğin, "10.0.0.0/24" belirtirseniz, geçerli yol tablosunda iki "/25" yolu görmeniz gerekir. Böyle bir durum söz konusu değilse, ağ geçidinde tanımlanan adres havuzlarını değiştirmeyi deneyin.
  4. P2S istemcisi yolları alamıyor mu? Tüm noktadan siteye VPN bağlantısı yapılandırmalarının defaultRouteTable ile ilişkilendirildiğinden ve aynı yol tabloları kümesine yayıldığından emin olun. Portal kullanıyorsanız bu otomatik olarak yapılandırılmalıdır, ancak REST, PowerShell veya CLI kullanıyorsanız tüm yaymaların ve ilişkilendirmelerin uygun şekilde ayarlandığından emin olun.
  5. Azure VPN istemcisini kullanarak Çoklu Havuzu etkinleştiremiyor musunuz? Azure VPN istemcisini kullanıyorsanız, kullanıcı cihazlarına yüklenen Azure VPN istemcisinin en son sürüm olduğundan emin olun. Bu özelliği etkinleştirmek için istemciyi yeniden indirmeniz gerekir.
  6. Varsayılan gruba atanan tüm kullanıcılar mı? Microsoft Entra kimlik doğrulamasını kullanıyorsanız, sunucu yapılandırmasındaki (https://login.microsoftonline.com/<tenant ID>) kiracı URL girişinin ile \bitmediğini doğrulayın. URL ile \sona erecek şekilde girilirse, ağ geçidi Microsoft Entra kullanıcı gruplarını düzgün şekilde işleyemeyecektir ve tüm kullanıcılar varsayılan gruba atanır. Düzeltmek için sunucu yapılandırmasını değiştirerek \ sondakileri kaldırın ve değişiklikleri ağ geçidine uygulamak üzere ağ geçidinde yapılandırılan adres havuzlarını değiştirin. Bu bilinen bir sorundur.
  7. Dış kullanıcıları Multipool özelliğini kullanmaya davet etmeye mi çalışıyorsunuz? Microsoft Entra kimlik doğrulamasını kullanıyorsanız ve dış (VPN ağ geçidinde yapılandırılmış Microsoft Entra etki alanının parçası olmayan kullanıcılar) kullanıcıları Sanal WAN noktadan siteye VPN ağ geçidine bağlanmaya davet etmek istiyorsanız, dış kullanıcının kullanıcı türünün "Konuk" değil "Üye" olduğundan emin olun. Ayrıca, kullanıcının "Adı"nın kullanıcının e-posta adresine ayarlandığından emin olun. Bağlanan kullanıcının kullanıcı türü ve adı yukarıda açıklandığı gibi doğru ayarlanmadıysa veya dış üyeyi Microsoft Entra etki alanınızın "Üyesi" olarak ayarlayamazsanız, bağlanan kullanıcı varsayılan gruba atanır ve varsayılan IP adresi havuzundan bir IP atanır.

Sonraki adımlar