Birden çok kimlik doğrulama türü kullanarak sanal ağa noktadan siteye VPN bağlantısı yapılandırma: Azure portalı

  • Makale

Bu makale, Windows, Linux veya macOS çalıştıran tek tek istemcileri Azure VNet'e güvenli bir şekilde bağlamanıza yardımcı olur. noktadan siteye VPN bağlantıları, sanal ağınıza evden veya konferanstan uzak bir konumdan bağlanmak istediğinizde kullanışlıdır. Bir sanal ağa bağlanması gereken yalnızca birkaç istemciniz olduğunda Siteden Siteye VPN yerine P2S’yi de kullanabilirsiniz. Noktadan siteye bağlantılar için VPN cihazı veya genel kullanıma yönelik IP adresi gerekmez. P2S, VPN bağlantısını SSTP (Güvenli Yuva Tünel Protokolü) veya IKEv2 üzerinden oluşturur. Noktadan siteye VPN hakkında daha fazla bilgi için bkz . Noktadan siteye VPN hakkında.

Connect from a computer to an Azure VNet - point-to-site connection diagram

Noktadan siteye VPN hakkında daha fazla bilgi için bkz . Noktadan siteye VPN hakkında. Azure PowerShell kullanarak bu yapılandırmayı oluşturmak için bkz . Azure PowerShell kullanarak noktadan siteye VPN yapılandırma.

Önkoşullar

Azure aboneliğiniz olduğunu doğrulayın. Henüz Azure aboneliğiniz yoksa MSDN abonelik avantajlarınızı etkinleştirebilir veya ücretsiz bir hesap için kaydolabilirsiniz.

Aynı VPN ağ geçidinde birden çok kimlik doğrulama türü yalnızca OpenVPN tünel türüyle desteklenir.

Örnek değerler

Aşağıdaki değerleri kullanarak bir test ortamı oluşturabilir veya bu makaledeki örnekleri daha iyi anlamak için bu değerlere bakabilirsiniz:

  • VNet Adı: VNet1
  • Adres alanı: 10.1.0.0/16
    Bu örnekte yalnızca bir adres alanı kullanılmaktadır. Sanal ağınıza ait birden fazla adres alanı olabilir.
  • Alt ağ adı: FrontEnd
  • Alt ağ adres aralığı: 10.1.0.0/24
  • Abonelik: Birden fazla aboneliğiniz varsa doğru aboneliği kullandığınızdan emin olun.
  • Kaynak Grubu: TestRG1
  • Konum: Doğu ABD
  • GatewaySubnet: 10.1.255.0/27
  • SKU: VpnGw2
  • Nesil: 2. Nesil
  • Ağ geçidi türü: VPN
  • VPN türü: Rota tabanlı
  • Genel IP adresi adı: VNet1GWpip
  • Bağlantı türü: Noktadan siteye
  • İstemci adres havuzu: 172.16.201.0/24
    Bu noktadan siteye bağlantıyı kullanarak sanal ağa bağlanan VPN istemcileri, istemci adres havuzundan bir IP adresi alır.

Sanal ağ oluşturma

Başlamadan önce, bir Azure aboneliğiniz olduğunu doğrulayın. Henüz Azure aboneliğiniz yoksa MSDN abonelik avantajlarınızı etkinleştirebilir veya ücretsiz bir hesap için kaydolabilirsiniz.

Not

Şirket içi mimarinin bir parçası olarak bir sanal ağ kullandığınızda, bu sanal ağ için özel olarak kullanabileceğiniz bir IP adresi aralığı oluşturmak için şirket içi ağ yöneticinizle birlikte çalıştığınızdan emin olun. VPN bağlantısının her iki tarafında da yinelenen bir adres aralığı varsa trafik beklenmedik bir şekilde yönlendirilir. Ayrıca, bu sanal ağı başka bir sanal ağa bağlamak istiyorsanız, adres alanı diğer sanal ağ ile çakışamaz. Ağ yapılandırmanızı uygun şekilde planlayın.

  1. Azure Portal’ında oturum açın.

  2. Portal sayfasının üst kısmındaki Kaynak, hizmet ve belge arama (G+/) bölümüne sanal ağ girin. Sanal ağ sayfasını açmak için Market arama sonuçlarından Sanal ağ'ıseçin.

  3. Sanal ağ sayfasında Oluştur'u seçerek Sanal ağ oluştur sayfasını açın.

  4. Temel Bilgiler sekmesinde, Proje ayrıntıları ve Örnek ayrıntıları için sanal ağ ayarlarını yapılandırın. Girdiğiniz değerler doğrulandığında yeşil bir onay işareti görürsünüz. Örnekte gösterilen değerleri, ihtiyacınız olan ayarlara göre ayarlayabilirsiniz.

    Screenshot that shows the Basics tab.

    • Abonelik: Listelenen aboneliğin doğru olduğunu onaylayın. Açılan kutuyu kullanarak abonelikleri değiştirebilirsiniz.
    • Kaynak grubu: Var olan bir kaynak grubunu seçin veya yeni bir grup oluşturmak için Yeni oluştur'u seçin. Kaynak grupları hakkında daha fazla bilgi için bkz. Azure Resource Manager’a genel bakış.
    • Ad: Sanal ağınızın adını girin.
    • Bölge: Sanal ağınızın konumunu seçin. Konum, bu sanal ağa dağıttığınız kaynakların nerede yaşayacağını belirler.

  5. Güvenlik sekmesine gitmek için İleri'yi veya Güvenlik'iseçin. Bu alıştırmada, bu sayfadaki tüm hizmetler için varsayılan değerleri bırakın.

  6. IP Adresleri sekmesine gitmek için IP Adresleri'niseçin. IP Adresleri sekmesinde ayarları yapılandırın.

    • IPv4 adres alanı: Varsayılan olarak, bir adres alanı otomatik olarak oluşturulur. Adres alanını seçip kendi değerlerinizi yansıtacak şekilde ayarlayabilirsiniz. Ayrıca farklı bir adres alanı ekleyebilir ve otomatik olarak oluşturulan varsayılanı kaldırabilirsiniz. Örneğin, başlangıç adresini 10.1.0.0 olarak belirtebilir ve adres alanı boyutunu /16 olarak belirtebilirsiniz. Ardından Ekle'yi seçerek bu adres alanını ekleyin.

    • + Alt ağ ekle: Varsayılan adres alanını kullanırsanız, otomatik olarak bir varsayılan alt ağ oluşturulur. Adres alanını değiştirirseniz, bu adres alanına yeni bir alt ağ ekleyin. Alt ağ ekle penceresini açmak için + Alt ağ ekle'yi seçin. Aşağıdaki ayarları yapılandırın ve ardından değerleri eklemek için sayfanın alt kısmındaki Ekle'yi seçin.

      • Alt ağ adı: FrontEnd örneğidir.
      • Alt ağ adres aralığı: Bu alt ağın adres aralığı. Örnek olarak 10.1.0.0 ve /24 verilebilir.

  7. IP adresleri sayfasını gözden geçirin ve ihtiyacınız olmayan tüm adres alanlarını veya alt ağları kaldırın.

  8. Sanal ağ ayarlarını doğrulamak için Gözden geçir ve oluştur'u seçin.

  9. Ayarlar doğrulandıktan sonra Oluştur'u seçerek sanal ağı oluşturun.

Sanal ağ geçidi

Bu adımda sanal ağınız için sanal ağ geçidi oluşturacaksınız. Bir ağ geçidinin oluşturulması, seçili ağ geçidi SKU’suna bağlı olarak 45 dakika veya daha uzun sürebilir.

Not

Temel ağ geçidi SKU'su OpenVPN tünel türünü desteklemez.

Sanal ağ geçidi, GatewaySubnet adlı belirli bir alt ağ gerektirir. Ağ geçidi alt ağı, sanal ağınızın IP adresi aralığının bir parçasıdır ve sanal ağ geçidi kaynaklarının ve hizmetlerinin kullandığı IP adreslerini içerir.

Ağ geçidi alt ağı oluştururken, alt ağın içerdiği IP adresi sayısını belirtirsiniz. Gerekli IP adresi sayısı, oluşturmak istediğiniz VPN ağ geçidi yapılandırmasına bağlıdır. Bazı yapılandırmalar için diğerlerinden daha fazla IP adresi gerekir. Ağ geçidi alt ağınız için /27 veya daha büyük (/26, /25 vb.) belirtmeniz en iyisidir.

Adres alanının bir alt ağ ile çakıştığını veya alt ağın sanal ağınızın adres alanında yer almadığını belirten bir hata görürseniz, sanal ağ adres aralığınızı denetleyin. Sanal ağınız için oluşturduğunuz adres aralığında yeterli IP adresiniz olmayabilir. Örneğin, varsayılan alt ağınız tüm adres aralığını kapsıyorsa, daha fazla alt ağ oluşturmak için ip adresi kalmaz. IP adreslerini boşaltmak için mevcut adres alanında alt ağlarınızı ayarlayabilir veya başka bir adres aralığı belirtip ağ geçidi alt akını orada oluşturabilirsiniz.

  1. Kaynakları, hizmetleri ve belgeleri ara (G+/) alanına sanal ağ geçidi girin. Market arama sonuçlarında Sanal ağ geçidinibulun ve sanal ağ geçidi oluştur sayfasını açmak için seçin.

    Screenshot that shows the Search field.

  2. Temel Bilgiler sekmesinde Proje ayrıntıları ve Örnek ayrıntıları değerlerini doldurun.

    Screenshot that shows the Instance fields.

    • Abonelik: Açılan listeden kullanmak istediğiniz aboneliği seçin.

    • Kaynak grubu: Bu sayfada sanal ağınızı seçtiğinizde bu ayar otomatik olarak doldurulur.

    • Ad: Ağ geçidinizi adlandırın. Ağ geçidinizi adlandırmak, ağ geçidi alt akını adlandırmayla aynı değildir. Oluşturduğunuz ağ geçidi nesnesinin adıdır.

    • Bölge: Bu kaynağı oluşturmak istediğiniz bölgeyi seçin. Ağ geçidinin bölgesi sanal ağ ile aynı olmalıdır.

    • Ağ geçidi türü: VPN’i seçin. VPN ağ geçitleri, VPN sanal ağ geçidi türünü kullanır.

    • SKU: Açılan listeden, kullanmak istediğiniz özellikleri destekleyen ağ geçidi SKU'sunu seçin. Bkz. Ağ geçidi SKU'ları. Portalda, açılan listede bulunan SKU'lar seçtiğinize VPN type bağlıdır. Temel SKU yalnızca Azure CLI veya PowerShell kullanılarak yapılandırılabilir. Azure portalında Temel SKU'yu yapılandıramazsınız.

    • Oluşturma: Kullanmak istediğiniz nesli seçin. 2. Nesil SKU kullanmanızı öneririz. Daha fazla bilgi için bkz. Ağ geçidi SKU'ları.

    • Sanal ağ: Açılan listeden, bu ağ geçidini eklemek istediğiniz sanal ağı seçin. Ağ geçidi oluşturmak istediğiniz sanal ağı göremiyorsanız, önceki ayarlarda doğru aboneliği ve bölgeyi seçtiğinizden emin olun.

    • Ağ geçidi alt ağ adres aralığı veya Alt Ağ: Vpn ağ geçidi oluşturmak için ağ geçidi alt ağı gereklidir.

      Şu anda bu alan, sanal ağ adres alanına ve sanal ağınız için GatewaySubnet adlı bir alt ağ oluşturup oluşturmadığınıza bağlı olarak birkaç farklı davranışa sahiptir.

      Ağ geçidi alt ağınız yoksa ve bu sayfada bir ağ geçidi oluşturma seçeneğini görmüyorsanız, sanal ağınıza dönün ve ağ geçidi alt ağını oluşturun. Ardından bu sayfaya dönün ve VPN ağ geçidini yapılandırın.

  1. Genel IP adresi değerlerini belirtin. Bu ayarlar, VPN ağ geçidiyle ilişkilendirilen genel IP adresi nesnesini belirtir. VPN ağ geçidi oluşturulduğunda genel IP adresi bu nesneye atanır. Birincil genel IP adresinin değiştiği tek zaman, ağ geçidinin silinip yeniden oluşturulmasıdır. VPN ağ geçidiniz üzerinde gerçekleştirilen yeniden boyutlandırma, sıfırlama veya diğer iç bakım/yükseltme işlemleri sırasında değişmez.

    Screenshot that shows the Public IP address field.

    • Genel IP adresi türü: Bu alıştırmada, adres türünü belirleme seçeneğiniz varsa Standart'ı seçin.
    • Genel IP adresi: Yeni oluştur'u seçili bırakın.
    • Genel IP adresi adı: Metin kutusuna genel IP adresi örneğinin adını girin.
    • Genel IP adresi SKU'su: Ayar otomatik olarak seçilir.
    • Atama: Atama genellikle otomatik olarak seçilir ve Dinamik veya Statik olabilir.
    • Etkin-etkin modu etkinleştir: Devre Dışı'nı seçin. Bu ayarı yalnızca etkin-etkin ağ geçidi yapılandırması oluşturuyorsanız etkinleştirin.
    • BGP'yi yapılandırma: Yapılandırmanız bu ayarı özellikle gerektirmediği sürece Devre Dışı'yı seçin. Bu ayarı zorunlu kılarsanız, varsayılan ASN 65515'tir, ancak bu değer değiştirilebilir.

  2. Doğrulamayı çalıştırmak için Gözden geçir + oluştur'u seçin.

  3. Doğrulama geçtikten sonra OLUŞTUR'u seçerek VPN ağ geçidini dağıtın.

Dağıtım durumunu ağ geçidinizin Genel Bakış sayfasında görebilirsiniz. Ağ geçidinin tam olarak oluşturulması ve dağıtılması genellikle 45 dakika veya daha uzun sürebilir. Ağ geçidi oluşturulduktan sonra, portalda sanal ağa bakarak bu ağ geçidine atanmış IP adresini görüntüleyebilirsiniz. Ağ geçidi bağlı bir cihaz gibi görüntülenir.

Önemli

Ağ geçidi alt ağlarıyla çalışırken ağ güvenlik grubunu (NSG) ağ geçidi alt ağıyla ilişkilendirmekten kaçının. Bir ağ güvenlik grubunun bu alt ağ ile ilişkilendirilmesi, sanal ağ geçidinizin (VPN ve ExpressRoute ağ geçitleri) beklendiği gibi çalışmayı durdurmasına neden olabilir. Ağ güvenlik grupları hakkında daha fazla bilgi için bkz . Ağ güvenlik grubu nedir?.

İstemci adres havuzu

İstemci adres havuzu, belirttiğiniz özel IP adresleri aralığıdır. Noktadan siteye VPN üzerinden bağlanan istemciler bu aralıktan dinamik olarak bir IP adresi alır. Bağlantı kurduğunuz şirket içi konum veya bağlanmak istediğiniz sanal ağ ile çakışmayan özel bir IP adresi aralığı kullanın. Birden çok protokol yapılandırıyorsanız ve SSTP protokollerden biriyse, yapılandırılan adres havuzu yapılandırılmış protokoller arasında eşit olarak bölünür.

  1. Sanal ağ geçidi oluşturulduktan sonra sanal ağ geçidi sayfasının Ayarlar bölümüne gidin. Ayarlar noktadan siteye yapılandırma'yı seçin. Yapılandırma sayfasını açmak için Şimdi yapılandır'ı seçin.

    Screenshot of point-to-site configuration page.

  2. Noktadan siteye yapılandırma sayfasında, çeşitli ayarları yapılandırabilirsiniz. Adres havuzu kutusuna, kullanmak istediğiniz özel IP adresi aralığını ekleyin. VPN istemcileri, belirttiğiniz aralıktan dinamik olarak bir IP adresi alır. En düşük alt ağ maskesi etkin/pasif için 29 bit ve etkin/etkin yapılandırma için 28 bittir.

    Screenshot of client address pool.

  3. Kimlik doğrulaması ve tünel türlerini yapılandırmak için sonraki bölüme geçin.

Kimlik doğrulaması ve tünel türleri

Bu bölümde kimlik doğrulama türünü ve tünel türünü yapılandıracaksınız. Noktadan siteye yapılandırma sayfasında Tünel türü veya Kimlik doğrulama türü'nü görmüyorsanız ağ geçidiniz Temel SKU'yu kullanıyordur. Temel SKU, IKEv2 veya RADIUS kimlik doğrulamasını desteklemez. Bu ayarları kullanmak istiyorsanız farklı bir ağ geçidi SKU'su kullanarak ağ geçidini silmeniz ve yeniden oluşturmanız gerekir.

Önemli

Azure portalı, Azure Active Directory alanlarını Entra olarak güncelleştirme sürecindedir. Başvurulan Microsoft Entra Id değerini görüyorsanız ve bu değerleri henüz portalda görmüyorsanız Azure Active Directory değerlerini seçebilirsiniz.

Screenshot of authentication types and tunnel type.

Tünel türü

Noktadan siteye yapılandırma sayfasında istediğiniz türleri seçin. Seçenekler şunlardır:

  • OpenVPN (SSL)
  • SSTP (SSL)
  • IKEv2
  • IKEv2 ve OpenVPN (SSL)
  • IKEv2 ve SSTP (SSL)

Authentication type

Kimlik doğrulama türü için istenen türleri seçin. Seçenekler şunlardır:

  • Azure sertifikası
  • RADIUS
  • Microsoft Entra Kimlik

Hangi kimlik doğrulama mekanizmalarının seçili tünel türleriyle uyumlu olduğunu denetlemek için aşağıdaki tabloya bakın.

Tünel Türü Kimlik Doğrulama Mekanizması
OpenVPN Microsoft Entra Id, Radius Auth ve Azure Sertifikası'nın herhangi bir alt kümesi
SSTP Radius Kimlik Doğrulaması/ Azure Sertifikası
IKEv2 Radius Kimlik Doğrulaması/ Azure Sertifikası
IKEv2 ve OpenVPN Radius Kimlik Doğrulaması/ Azure Sertifikası/ Microsoft Entra Kimliği ve Radius Kimlik Doğrulaması/ Microsoft Entra Kimliği ve Azure Sertifikası
IKEv2 ve SSTP Radius Kimlik Doğrulaması/ Azure Sertifikası

Not

Tünel türü "IKEv2 ve OpenVPN" ve seçili kimlik doğrulama mekanizmaları "Microsoft Entra Id and Radius" veya "Microsoft Entra ID and Azure Certificate" için, Microsoft Entra ID yalnızca OpenVPN için çalışır çünkü IKEv2 tarafından desteklenmez

Seçilen kimlik doğrulama türlerine bağlı olarak doldurulması gereken farklı yapılandırma ayarı alanları görürsünüz. Gerekli bilgileri doldurun ve tüm yapılandırma ayarlarını kaydetmek için sayfanın üst kısmındaki Kaydet'i seçin.

Kimlik doğrulama türü hakkında daha fazla bilgi için bkz:

VPN istemcisi yapılandırma paketi

VPN istemcileri, istemci yapılandırma ayarlarıyla yapılandırılmalıdır. VPN istemcisi yapılandırma paketi, P2S bağlantısı üzerinden bir sanal ağa bağlanmak için VPN istemcilerini yapılandırma ayarlarına sahip dosyaları içerir.

VPN istemcisi yapılandırma dosyalarını oluşturma ve yükleme yönergeleri için yapılandırmanızla ilgili makaleyi kullanın:

Kimlik Doğrulaması Tünel türü Yapılandırma dosyaları oluşturma VPN istemciyi yapılandırma
Azure sertifikası IKEv2, SSTP Windows Yerel VPN istemcisi
Azure sertifikası OpenVPN Windows - OpenVPN istemcisi
- Azure VPN istemcisi
Azure sertifikası IKEv2, OpenVPN macOS-iOS macOS-iOS
Azure sertifikası IKEv2, OpenVPN Linux Linux
Microsoft Entra Kimlik OpenVPN (SSL) Windows Windows
Microsoft Entra Kimlik OpenVPN (SSL) macOS macOS
RADIUS - sertifika - Makale Makale
RADIUS - parola - Makale Makale
RADIUS - diğer yöntemler - Makale Makale

Noktadan siteye hakkında SSS

Noktadan siteye SSS bilgileri için VPN Gateway SSS'nin noktadan siteye bölümlerine bakın.

Sonraki adımlar

Bağlantınız tamamlandıktan sonra sanal ağlarınıza sanal makineler ekleyebilirsiniz. Daha fazla bilgi için bkz. Sanal Makineler. Ağ ve sanal makineler hakkında daha fazla bilgi edinmek için, bkz. Azure ve Linux VM ağına genel bakış.

P2S sorun giderme bilgileri için Azure noktadan siteye bağlantıları sorununu giderme.