Noktadan siteye (P2S) VPN ağ geçidi bağlantıları, bağımsız bir istemci bilgisayardan sanal ağınıza güvenli bir bağlantı kurmanıza olanak sağlar. P2S bağlantısı, istemci bilgisayardan başlatılarak oluşturulur. Bu makalede OpenVPN protokolüne veya IKEv2'ye geçiş yaparak SSTP'nin 128 eşzamanlı bağlantı sınırını aşmanın yolları anlatılır.
P2S hangi protokolü kullanıyor?
Noktadan siteye VPN aşağıdaki protokollerden birini kullanabilir:
OpenVPN® Protokolü, SSL/TLS tabanlı bir VPN protokolü. Çoğu güvenlik duvarı SSL'nin kullandığı TCP bağlantı noktası 443 giden'i açtığından, SSL VPN çözümü güvenlik duvarlarından geçebilir. OpenVPN, Android, iOS (sürüm 11.0 ve üzeri), Windows, Linux ve Mac cihazlarından (macOS sürüm 12.x ve üzeri) bağlanmak için kullanılabilir.
Özel ssl tabanlı vpn protokolü olan Güvenli Yuva Tünel Protokolü (SSTP). Çoğu güvenlik duvarı, SSL'nin kullandığı TCP bağlantı noktası 443 giden'i açtığından, SSL VPN çözümü güvenlik duvarlarına nüfuz edebilir. SSTP yalnızca Windows cihazlarında desteklenir. SSTP (Windows 7 ve üzeri) içeren tüm Windows sürümlerini Azure desteği.
SSTP, ağ geçidi SKU'su ne olursa olsun yalnızca 128'e kadar eşzamanlı bağlantıyı destekler.
IKEv2 VPN, standart tabanlı bir IPsec VPN çözümüdür. IKEv2 VPN, Mac cihazlardan (macOS sürüm 10.11 ve üzeri) bağlanmak için kullanılabilir.
Not
Temel ağ geçidi SKU'su IKEv2 veya OpenVPN protokollerini desteklemez. Temel SKU kullanıyorsanız bir üretim SKU sanal ağ geçidini silip yeniden oluşturmanız gerekir.
SSTP'den IKEv2 veya OpenVPN'e geçiş
Bir VPN ağ geçidine 128'den fazla eşzamanlı P2S bağlantısını desteklemek istediğiniz ancak SSTP kullandığınız durumlar olabilir. Böyle bir durumda IKEv2 veya OpenVPN protokolüne geçmeniz gerekir.
Seçenek 1 - Ağ geçidinde SSTP'ye ek olarak IKEv2 ekleme
Bu en basit seçenektir. SSTP ve IKEv2 aynı ağ geçidinde birlikte bulunabilir ve size daha fazla sayıda eşzamanlı bağlantı sağlayabilir. Mevcut ağ geçidinde IKEv2'yi etkinleştirebilir ve güncelleştirilmiş ayarları içeren istemci yapılandırma paketini indirebilirsiniz.
Mevcut bir SSTP VPN ağ geçidine IKEv2 eklenmesi mevcut istemcileri etkilemez ve bunları küçük toplu işlerde IKEv2 kullanacak şekilde yapılandırabilir veya yeni istemcileri IKEv2 kullanacak şekilde yapılandırabilirsiniz. Bir Windows istemcisi hem SSTP hem de IKEv2 için yapılandırılmışsa, önce IKEV2 kullanarak bağlanmayı dener ve bu başarısız olursa SSTP'ye geri döner.
IKEv2 standart olmayan UDP bağlantı noktalarını kullandığından, bu bağlantı noktalarının kullanıcının güvenlik duvarında engellenmediğinden emin olmanız gerekir. Kullanılan bağlantı noktaları UDP 500 ve 4500'lerdir.
Mevcut bir ağ geçidine IKEv2 eklemek için portalda sanal ağ geçidinize gidin.
Sol bölmede Noktadan siteye yapılandırma'yı seçin.
Noktadan siteye yapılandırma sayfasında, tünel türü için açılan kutudaN IKEv2 ve SSTP (SSL) öğesini seçin.
Değişikliklerinizi uygulayın.
Not
Ağ geçidinde hem SSTP hem de IKEv2 etkinleştirildiğinde noktadan siteye adres havuzu statik olarak ikisi arasında bölünür, bu nedenle farklı protokolleri kullanan istemcilere her iki alt konumdan da IP adresleri atanır. En fazla SSTP istemcisi sayısının her zaman 128 olduğunu unutmayın. Bu, adres aralığı /24'ten büyük olsa bile geçerlidir ve bu da IKEv2 istemcileri için daha fazla sayıda adrese neden olur. Daha küçük aralıklar için havuz eşit oranda yarıya indirilir. Ağ geçidi tarafından kullanılan Trafik Seçicileri noktadan siteye adres aralığı CIDR'yi değil, iki alt aralık CIDR'sini içerebilir.
Seçenek 2 - SSTP'yi kaldırma ve ağ geçidinde OpenVPN'i etkinleştirme
SSTP ve OpenVPN'in her ikisi de TLS tabanlı bir protokol olduğundan, aynı ağ geçidinde birlikte var olamazlar. SSTP'den OpenVPN'e geçmeye karar verirseniz, SSTP'yi devre dışı bırakmanız ve ağ geçidinde OpenVPN'i etkinleştirmeniz gerekir. Bu işlem, istemcide yeni profil yapılandırılana kadar mevcut istemcilerin VPN ağ geçidi bağlantısını kaybetmesine neden olur.
İsterseniz OpenVPN'i IKEv2 ile birlikte etkinleştirebilirsiniz. OpenVPN TLS tabanlıdır ve standart TCP 443 bağlantı noktasını kullanır.
OpenVPN'e geçmek için portalda sanal ağ geçidinize gidin.
Sol bölmede Noktadan siteye yapılandırma'yı seçin.
Noktadan siteye yapılandırma sayfasında, tünel türü için açılan kutudan OpenVPN (SSL) veya IKEv2 ve OpenVPN (SSL) seçeneğini belirleyin.
Değişikliklerinizi uygulayın.
Ağ geçidi yapılandırıldıktan sonra, openVPN istemcilerini dağıtıp yapılandırana kadar mevcut istemciler bağlanamaz. Windows 10 veya sonraki bir sürümü kullanıyorsanız Azure VPN İstemcisi'ni de kullanabilirsiniz.
Sık sorulan sorular
İstemci yapılandırma gereksinimleri nelerdir?
Not
Windows istemcilerinden Azure'a VPN bağlantısı kurabilmek için istemci cihazda yönetici haklarına sahip olmanız gerekir.
Kullanıcılar P2S için Windows ve Mac cihazlarında yerel VPN istemcilerini kullanır. Azure, bu yerel istemcilerin Azure'a bağlanması için gereken ayarları içeren bir VPN istemcisi yapılandırma zip dosyası sağlar.
Windows cihazları için VPN istemci yapılandırması, kullanıcıların cihazlarına yükledikleri bir yükleyici paketinden oluşur.
Mac cihazlar için, kullanıcıların cihazlarına yükledikleri mobileconfig dosyasından oluşur.
Zip dosyası, Azure tarafında bu cihazlar için kendi profilinizi oluşturmak için kullanabileceğiniz bazı önemli ayarların değerlerini de sağlar. Bazı değerler VPN ağ geçidi adresini, yapılandırılmış tünel türlerini, yolları ve ağ geçidi doğrulaması için kök sertifikayı içerir.
Not
1 Temmuz 2018 tarihinden itibaren TLS 1.0 ve 1.1 desteği Azure VPN Gateway'den kaldırılıyor. VPN Gateway, yalnızca TLS 1.2’yi destekleyecektir. Yalnızca noktadan siteye bağlantılar etkilenir; siteden siteye bağlantılar etkilenmez. Windows 10 veya sonraki istemcilerde noktadan siteye VPN'ler için TLS kullanıyorsanız herhangi bir işlem yapmanız gerekmez. Windows 7 ve Windows 8 istemcilerinde noktadan siteye bağlantılar için TLS kullanıyorsanız güncelleştirme yönergeleri için VPN Gateway SSS bölümüne bakın.
Hangi ağ geçidi SKU'ları P2S VPN desteği sunuyor?
Aşağıdaki tabloda tünel, bağlantı ve aktarım hızına göre ağ geçidi SKU'ları gösterilmektedir. Bu tabloyla ilgili ek tablolar ve daha fazla bilgi için VPN Gateway ayarları makalesinin Ağ Geçidi SKU'ları bölümüne bakın.
VPN Ağ Geçidi Kuşak
SKU
S2S/Sanal Ağdan Sanal Ağa Tünel
P2S SSTP Bağlantıları
P2S IKEv2/OpenVPN Bağlantıları
Küme Aktarım Hızı Karşılaştırması
BGP
Alanlar arası yedekli
Sanal Ağ DESTEKLENEN VM Sayısı
Nesil1
Temel
Maks. 10
Maks. 128
Desteklenmiyor
100 Mb/sn
Desteklenmiyor
Hayır
200
Nesil1
VpnGw1
Maks. 30
Maks. 128
Maks. 250
650 Mbps
Desteklenir
Hayır
450
Nesil1
VpnGw2
Maks. 30
Maks. 128
Maks. 500
1 Gbps
Desteklenir
Hayır
1300
Nesil1
VpnGw3
Maks. 30
Maks. 128
Maks. 1000
1,25 Gb/sn
Desteklenir
Hayır
4000
Nesil1
VpnGw1AZ
Maks. 30
Maks. 128
Maks. 250
650 Mbps
Desteklenir
Yes
1000
Nesil1
VpnGw2AZ
Maks. 30
Maks. 128
Maks. 500
1 Gbps
Desteklenir
Yes
Kategori 2000
Nesil1
VpnGw3AZ
Maks. 30
Maks. 128
Maks. 1000
1,25 Gb/sn
Desteklenir
Yes
Kategori 5000
Nesil2
VpnGw2
Maks. 30
Maks. 128
Maks. 500
1,25 Gb/sn
Desteklenir
Hayır
685
Nesil2
VpnGw3
Maks. 30
Maks. 128
Maks. 1000
2,5 Gb/sn
Desteklenir
Hayır
2240
Nesil2
VpnGw4
Maks. 100*
Maks. 128
Maks. Kategori 5000
5 Gbps
Desteklenir
Hayır
5300
Nesil2
VpnGw5
Maks. 100*
Maks. 128
Maks. 10000
10 Gbps
Desteklenir
Hayır
6700
Nesil2
VpnGw2AZ
Maks. 30
Maks. 128
Maks. 500
1,25 Gb/sn
Desteklenir
Yes
Kategori 2000
Nesil2
VpnGw3AZ
Maks. 30
Maks. 128
Maks. 1000
2,5 Gb/sn
Desteklenir
Yes
3300
Nesil2
VpnGw4AZ
Maks. 100*
Maks. 128
Maks. Kategori 5000
5 Gbps
Desteklenir
Yes
4400
Nesil2
VpnGw5AZ
Maks. 100*
Maks. 128
Maks. 10000
10 Gbps
Desteklenir
Yes
9000
Not
Temel SKU'nun sınırlamaları vardır ve IKEv2 veya RADIUS kimlik doğrulamasını desteklemez.
P2S için VPN ağ geçitlerinde hangi IKE/IPsec ilkeleri yapılandırılır?
IKEv2
Şifre
Bütünlük
PRF
DH Grubu
GCM_AES256
GCM_AES256
SHA384
GROUP_24
GCM_AES256
GCM_AES256
SHA384
GROUP_14
GCM_AES256
GCM_AES256
SHA384
GROUP_ECP384
GCM_AES256
GCM_AES256
SHA384
GROUP_ECP256
GCM_AES256
GCM_AES256
SHA256
GROUP_24
GCM_AES256
GCM_AES256
SHA256
GROUP_14
GCM_AES256
GCM_AES256
SHA256
GROUP_ECP384
GCM_AES256
GCM_AES256
SHA256
GROUP_ECP256
AES256
SHA384
SHA384
GROUP_24
AES256
SHA384
SHA384
GROUP_14
AES256
SHA384
SHA384
GROUP_ECP384
AES256
SHA384
SHA384
GROUP_ECP256
AES256
SHA256
SHA256
GROUP_24
AES256
SHA256
SHA256
GROUP_14
AES256
SHA256
SHA256
GROUP_ECP384
AES256
SHA256
SHA256
GROUP_ECP256
AES256
SHA256
SHA256
GROUP_2
IPsec
Şifre
Bütünlük
PFS Grubu
GCM_AES256
GCM_AES256
GROUP_NONE
GCM_AES256
GCM_AES256
GROUP_24
GCM_AES256
GCM_AES256
GROUP_14
GCM_AES256
GCM_AES256
GROUP_ECP384
GCM_AES256
GCM_AES256
GROUP_ECP256
AES256
SHA256
GROUP_NONE
AES256
SHA256
GROUP_24
AES256
SHA256
GROUP_14
AES256
SHA256
GROUP_ECP384
AES256
SHA256
GROUP_ECP256
AES256
SHA1
GROUP_NONE
P2S için VPN ağ geçitlerinde hangi TLS ilkeleri yapılandırılır?
TLS
İlkeler
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
**TLS_AES_256_GCM_SHA384
**TLS_AES_128_GCM_SHA256
**OpenVPN ile yalnızca TLS1.3'te desteklenir
P2S bağlantısı Nasıl yaparım? yapılandırılır?
P2S yapılandırması için birkaç belirli adım gerekir. Aşağıdaki makaleler, P2S yapılandırmasında size yol gösterecek adımları ve VPN istemci cihazlarını yapılandırma bağlantılarını içerir:
Ağ yapılandırması ve Sanal Özel Ağların (VPN) kullanımı, işbirliğine dayalı çalışmanın başarısının ayrılmaz bir parçasıdır. Bu modülde siteden siteye ve noktadan siteye VPN'leri izleme ve sorunlarını giderme adımlarını inceleyeceğiz. AZ720 AZ-720 az-720 ağ iletişimi
Sertifika kimlik doğrulaması kullanan P2S Kullanıcı VPN yapılandırmaları için VPN istemcilerini yapılandırmayı öğrenin. Bu makale, Windows ve OpenVPN Client 3.x serisi için geçerlidir.
Azure VPN İstemcisi için isteğe bağlı yapılandırma ayarlarını yapılandırmayı öğrenin. Ayarlar arasında DNS sonekleri, özel DNS sunucuları, özel yollar ve VPN istemcisi zorlamalı tüneli bulunur.