Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Noktadan Siteye (P2S) VPN ağ geçidi bağlantısı, ayrı bir istemci bilgisayardan sanal ağınıza güvenli bir bağlantı oluşturmanıza olanak sağlar. P2S bağlantısı, istemci bilgisayardan başlatılarak oluşturulur. Bu çözüm, Azure Sanal Ağlarına uzak bir konumdan (örneğin, evden veya bir konferanstan) bağlanmak isteyen uzaktan çalışan kişiler için kullanışlıdır. P2S VPN, sanal ağa bağlanması gereken yalnızca birkaç istemciniz olduğunda siteden siteye (S2S) VPN yerine kullanmak için de kullanışlı bir çözümdür. Noktadan siteye yapılandırmalar, rota tabanlı bir VPN türü gerektirir.
P2S hangi protokolü kullanıyor?
Noktadan siteye VPN aşağıdaki protokollerden birini kullanabilir:
OpenVPN® Protokolü, SSL/TLS tabanlı bir VPN protokolü. Çoğu güvenlik duvarı, TLS'nin kullandığı 443 numaralı giden TCP bağlantı noktasını açtığından, TLS VPN çözümü güvenlik duvarlarına nüfuz edebilir. OpenVPN, Android, iOS (sürüm 11.0 ve üzeri), Windows, Linux ve Mac cihazlarından (macOS sürüm 10.13 ve üzeri) bağlanmak için kullanılabilir. Desteklenen sürümler TLS el sıkışması temelinde TLS 1.2 ve TLS 1.3'lerdir.
Özel bir TLS tabanlı VPN protokolü olan Güvenli Yuva Tünel Protokolü (SSTP). Çoğu güvenlik duvarı, TLS'nin kullandığı 443 numaralı giden TCP bağlantı noktasını açtığından, TLS VPN çözümü güvenlik duvarlarına nüfuz edebilir. SSTP yalnızca Windows cihazlarında desteklenir. Azure desteği, SSTP içeren ve TLS 1.2 (Windows 8.1 ve üzeri) destekleyen tüm Windows sürümlerini içerir.
IKEv2 VPN, standart tabanlı bir IPsec VPN çözümü. IKEv2 VPN, Mac cihazlardan (macOS sürüm 10.11 ve üzeri) bağlanmak için kullanılabilir.
P2S VPN istemcilerinin kimliği nasıl doğrulanır?
Azure bir P2S VPN bağlantısını kabul etmeden önce kullanıcının kimliğinin doğrulanması gerekir. P2S ağ geçidinizi yapılandırırken seçebileceğiniz üç kimlik doğrulama türü vardır. Seçenekler şunlardır:
P2S ağ geçidi yapılandırmanız için birden çok kimlik doğrulama türü seçebilirsiniz. Birden çok kimlik doğrulama türü seçerseniz, kullandığınız VPN istemcisi en az bir kimlik doğrulama türü ve buna karşılık gelen tünel türü tarafından desteklenmelidir. Örneğin, tünel türleri için "IKEv2 ve OpenVPN" ve kimlik doğrulama türü için "Microsoft Entra Id and Radius" veya "Microsoft Entra ID and Azure Certificate" seçeneğini belirtirseniz, Microsoft Entra ID yalnızca OpenVPN tünel türünü kullanır çünkü IKEv2 tarafından desteklenmez.
Aşağıdaki tabloda, seçili tünel türleriyle uyumlu kimlik doğrulama mekanizmaları gösterilmektedir. Her mekanizma, vpn istemci profili yapılandırma dosyalarında kullanılabilir uygun ayarlarla yapılandırılması için bağlanan cihazdaki ilgili VPN istemci yazılımını gerektirir.
| Tünel Türü | Kimlik Doğrulama Mekanizması |
|---|---|
| OpenVPN | Microsoft Entra Id, Radius Auth ve Azure Sertifikası'nın herhangi bir alt kümesi |
| SSTP (Güvenli Soket Tünelleme Protokolü) | Radius Kimlik Doğrulaması/ Azure Sertifikası |
| IKEv2 | Radius Kimlik Doğrulaması/ Azure Sertifikası |
| IKEv2 ve OpenVPN | Radius Kimlik Doğrulaması/ Azure Sertifikası/ Microsoft Entra Kimliği ve Radius Kimlik Doğrulaması/ Microsoft Entra Kimliği ve Azure Sertifikası |
| IKEv2 ve SSTP | Radius Kimlik Doğrulaması/ Azure Sertifikası |
Sertifika kimlik doğrulaması
P2S ağ geçidinizi sertifika kimlik doğrulaması için yapılandırdığınızda, güvenilen kök sertifika ortak anahtarını Azure ağ geçidine yüklersiniz. Kurumsal çözüm kullanılarak oluşturulmuş bir kök sertifika kullanabilir veya otomatik olarak imzalanan bir sertifika oluşturabilirsiniz.
Kimlik doğrulaması yapmak için, bağlanan her istemcinin güvenilen kök sertifikadan oluşturulmuş yüklü bir istemci sertifikası olmalıdır. Bu, VPN istemci yazılımına ek olarak kullanılır. İstemci sertifikasının doğrulaması VPN ağ geçidi tarafından gerçekleştirilir ve P2S VPN bağlantısının kurulması sırasında gerçekleşir.
Sertifika kimlik doğrulaması iş akışı
Yüksek düzeyde, Sertifika kimlik doğrulamasını yapılandırmak için aşağıdaki adımları gerçekleştirmeniz gerekir:
- P2S ağ geçidinde gerekli ek ayarlarla (istemci adres havuzu vb.) sertifika kimlik doğrulamasını etkinleştirin ve kök CA ortak anahtar bilgilerini karşıya yükleyin.
- VPN istemci profili yapılandırma dosyalarını (profil yapılandırma paketi) oluşturun ve indirin.
- Bağlanan her istemci bilgisayara istemci sertifikasını yükleyin.
- VPN profili yapılandırma paketinde bulunan ayarları kullanarak istemci bilgisayarda VPN istemcisini yapılandırın.
- Bağlanma.
Microsoft Entra Id kimlik doğrulaması
P2S ağ geçidinizi VPN kullanıcılarının Microsoft Entra Id kimlik bilgilerini kullanarak kimlik doğrulamasına izin verecek şekilde yapılandırabilirsiniz. Microsoft Entra Id kimlik doğrulaması ile VPN için Microsoft Entra Koşullu Erişim ve çok faktörlü kimlik doğrulaması (MFA) özelliklerini kullanabilirsiniz. Microsoft Entra ID kimlik doğrulaması yalnızca OpenVPN protokolü için desteklenir. Kimlik doğrulaması yapmak ve bağlanmak için istemcilerin Azure VPN İstemcisi'ni kullanması gerekir.
VPN Gateway artık Azure VPN İstemcisi'nin en son sürümleri için microsoft tarafından kayıtlı yeni bir Uygulama Kimliği ve ilgili Hedef Kitle değerlerini destekliyor. Yeni Hedef Kitle değerlerini kullanarak bir P2S VPN ağ geçidi yapılandırdığınızda, Microsoft Entra kiracınız için daha önce gerekli olan Azure VPN İstemcisi uygulaması el ile kayıt işlemini atlarsınız. Uygulama Kimliği zaten oluşturulmuştur ve kiracınız ek kayıt adımları olmadan bunu otomatik olarak kullanabilir. Uygulamayı yetkilendirmeniz veya Cloud App Administrator rolü aracılığıyla izin atamanız gerekmeyen bu işlem, Azure VPN İstemcisi'ni el ile kaydetmekten daha güvenlidir. Uygulama nesneleri türleri arasındaki farkı daha iyi anlamak için bkz . Microsoft Entra Id'ye uygulamaların nasıl ve neden eklendiği.
- P2S Kullanıcı VPN ağ geçidiniz, manuel yapılandırılan Azure VPN İstemcisi uygulamasının Audience değerleri kullanılarak yapılandırıldıysa, Microsoft tarafından kaydedilen yeni Uygulama Kimliği'nden yararlanmak için ağ geçidi ve istemci ayarlarını kolayca değiştirebilirsiniz. Linux istemcilerinin bağlanmasını istiyorsanız P2S ağ geçidini yeni Audience değeriyle güncelleştirmeniz gerekir. Linux için Azure VPN İstemcisi, eski Hedef Kitle değerleriyle geriye dönük olarak uyumlu değildir.
- Özel hedef kitle değeri oluşturmak veya değiştirmek istiyorsanız bkz . P2S VPN için özel hedef kitle uygulaması kimliği oluşturma.
- Kullanıcılara ve gruplara göre P2S erişimini yapılandırmak veya kısıtlamak istiyorsanız bkz . Senaryo: Kullanıcılara ve gruplara göre P2S VPN erişimini yapılandırma.
Dikkat edilmesi gerekenler
P2S VPN ağ geçidi yalnızca bir Hedef Kitle değerini destekleyebilir. Aynı anda birden çok Hedef Kitle değerini destekleyemez.
Linux için Azure VPN İstemcisi, el ile kaydedilen uygulamayla uyumlu eski Hedef Kitle değerlerini kullanacak şekilde yapılandırılmış P2S ağ geçitleriyle geriye dönük olarak uyumlu değildir. Ancak Linux için Azure VPN İstemcisi Özel Hedef Kitle değerlerini destekler.
-
Linux için Azure VPN İstemcisi'nin diğer Linux dağıtımları ve sürümleri üzerinde çalışması mümkün olsa da, Linux için Azure VPN İstemcisi yalnızca aşağıdaki sürümlerde desteklenir:
- Ubuntu 20.04
- Ubuntu 22.04
-
Windows için Azure VPN İstemcisi diğer işletim sistemi sürümlerinde çalışabilir ancak Windows için Azure VPN İstemcisi yalnızca aşağıdaki sürümlerde desteklenir:
- Desteklenen Windows sürümleri: X64 işlemcilerde Windows 10, Windows 11.
- Windows için Azure VPN İstemcisi, ARM işlemci üzerinde çalışan sistemler için desteklenmez.
macOS ve Windows için Azure VPN İstemcileri'nin en son sürümleri, el ile kaydedilen uygulamayla uyumlu olan eski Hedef Kitle değerlerini kullanacak şekilde yapılandırılmış P2S ağ geçitleriyle geriye dönük olarak uyumludur. Bu istemciler özel hedef kitle değerlerini de destekler.
Azure VPN İstemcisi hedef kitlesi değerleri
Aşağıdaki tabloda, Her Uygulama Kimliği için desteklenen Azure VPN İstemcisi sürümleri ve buna karşılık gelen kullanılabilir Hedef Kitle değerleri gösterilmektedir.
| Uygulama Kimliği | Desteklenen hedef kitle değerleri | Desteklenen istemciler |
|---|---|---|
| Microsoft tarafından kayıtlı | hedef kitle değeri c632b3df-fb67-4d84-bdcf-b95ad541b5c8 şunlar için geçerlidir:- Azure Genel - Azure Kamu - Azure Almanya - 21Vianet tarafından sağlanan Microsoft Azure |
- Linux -Windows - macOS |
| El ile kaydedildi | - Azure Genel: 41b23e61-6c1e-4545-b367-cd054e0ed4b4- Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426- Azure Almanya: 538ee9e6-310a-468d-afef-ea97365856a9- 21Vianet tarafından sağlanan Microsoft Azure: 49f817b6-84ae-4cc0-928c-73f27289b3aa |
-Windows - macOS |
| Özel | <custom-app-id> |
- Linux -Windows - macOS |
Microsoft Entra Id kimlik doğrulaması iş akışı
Üst düzeyde, Microsoft Entra Id kimlik doğrulamasını yapılandırmak için aşağıdaki adımları gerçekleştirmeniz gerekir:
- El ile uygulama kaydı kullanıyorsanız, Microsoft Entra kiracısı üzerinde gerekli adımları gerçekleştirin.
- P2S ağ geçidinde Gerekli ek ayarlarla (istemci adresi havuzu vb.) birlikte Microsoft Entra Id kimlik doğrulamasını etkinleştirin.
- VPN istemci profili yapılandırma dosyalarını (profil yapılandırma paketi) oluşturun ve indirin.
- İstemci bilgisayarda Azure VPN İstemcisi'ni indirin, yükleyin ve yapılandırın.
- Bağlanma.
RADIUS - Active Directory (AD) Etki Alanı Sunucusu kimlik doğrulaması
AD Etki Alanı kimlik doğrulaması, kullanıcıların kuruluş etki alanı kimlik bilgilerini kullanarak Azure'a bağlanmasını sağlar. AD sunucusuyla tümleşen bir RADIUS sunucusu gerektirir. Kuruluşlar mevcut RADIUS dağıtımlarını da kullanabilir.
RADIUS sunucusu şirket içinde veya Azure sanal ağınızda dağıtılabilir. Kimlik doğrulaması sırasında Azure VPN Gateway geçiş görevi görür ve radius sunucusu ile bağlantı cihazı arasında kimlik doğrulama iletilerini ileri geri ile iletir. Bu nedenle RADIUS sunucusuna ağ geçidi erişilebilirliği önemlidir. RADIUS sunucusu şirket içinde mevcutsa, ulaşılabilirlik için Azure'dan şirket içi siteye VPN S2S bağlantısı gerekir.
RADIUS sunucusu, AD sertifika hizmetleriyle de tümleştirebilir. Bu, Azure sertifika kimlik doğrulamasına alternatif olarak P2S sertifika kimlik doğrulaması için RADIUS sunucusunu ve kurumsal sertifika dağıtımınızı kullanmanıza olanak tanır. Bunun avantajı, kök sertifikaları ve iptal edilen sertifikaları Azure'a yüklemeniz gerekmeyecek olmasıdır.
RADIUS sunucusu diğer dış kimlik sistemleriyle de tümleştirebilir. Bu, P2S VPN için çok faktörlü seçenekler de dahil olmak üzere birçok kimlik doğrulama seçeneği açar.
P2S ağ geçidi yapılandırma adımları için bkz . P2S Yapılandırma - RADIUS.
İstemci yapılandırma gereksinimleri nelerdir?
İstemci yapılandırma gereksinimleri, kullandığınız VPN istemcisine, kimlik doğrulama türüne ve protokole göre farklılık gösterir. Aşağıdaki tabloda kullanılabilir istemciler ve her yapılandırma için ilgili makaleler gösterilmektedir.
| Kimlik doğrulama yöntemi | Tünel türü | İstemci İşletim Sistemi | VPN istemcisi |
|---|---|---|---|
| Sertifika | |||
| IKEv2, SSTP | Windows | Yerel VPN istemcisi | |
| IKEv2 | macOS | Yerel VPN istemcisi | |
| IKEv2 | Linux işletim sistemi | strongSwan | |
| OpenVPN | Windows |
Azure VPN istemcisi OpenVPN istemci sürümü 2.x OpenVPN istemci sürümü 3.x |
|
| OpenVPN | macOS | OpenVPN istemcisi | |
| OpenVPN | iOS | OpenVPN istemcisi | |
| OpenVPN | Linux işletim sistemi |
Azure VPN İstemcisi OpenVPN istemcisi |
|
| Microsoft Entra Kimlik | |||
| OpenVPN | Windows | Azure VPN istemcisi | |
| OpenVPN | macOS | Azure VPN İstemcisi | |
| OpenVPN | Linux işletim sistemi | Azure VPN İstemcisi |
Azure VPN İstemcisi'nin hangi sürümleri kullanılabilir?
Kullanılabilir Azure VPN İstemcisi sürümleri, sürüm tarihleri ve her sürümdeki yenilikler hakkında bilgi için bkz . Azure VPN İstemcisi sürümleri.
Hangi ağ geçidi SKU'ları P2S VPN desteği sunuyor?
Aşağıdaki tabloda tünel, bağlantı ve aktarım hızına göre ağ geçidi SKU'ları gösterilmektedir. Daha fazla bilgi için bkz. Ağ geçidi SKU'ları hakkında.
|
VPN Ağ Geçidi Kuşak |
SKU |
S2S/Sanal Ağdan Sanal Ağa Tünel |
P2S SSTP Bağlantıları |
P2S IKEv2/OpenVPN Bağlantıları |
Toplam Aktarım Hızı Karşılaştırması |
BGP | Bölge yedekli | Sanal Ağda Desteklenen VM Sayısı |
|---|---|---|---|---|---|---|---|---|
| Nesil1 | Temel | Maks. 10 | Maks. 128 | Desteklenmiyor | 100 Mb/sn | Desteklenmiyor | Hayır | 200 |
| Nesil1 | VpnGw1 | Maks. 30 | Maks. 128 | Maks. 250 | 650 Mb/sn | Desteklenir | Hayır | 450 |
| Nesil1 | VpnGw2 | Maks. 30 | Maks. 128 | Maks. beş yüz | 1 Gb/sn | Desteklenir | Hayır | 1300 |
| Nesil1 | VpnGw3 | Maks. 30 | Maks. 128 | Maks. 1000 | 1,25 Gbit/saniye | Desteklenir | Hayır | 4000 |
| Nesil1 | VpnGw1AZ | Maks. 30 | Maks. 128 | Maks. 250 | 650 Mb/sn | Desteklenir | Evet | 1000 |
| Nesil1 | VpnGw2AZ | Maks. 30 | Maks. 128 | Maks. beş yüz | 1 Gb/sn | Desteklenir | Evet | 2000 |
| Nesil1 | VpnGw3AZ | Maks. 30 | Maks. 128 | Maks. 1000 | 1,25 Gbit/saniye | Desteklenir | Evet | 5.000 |
| Nesil2 | VpnGw2 | Maks. 30 | Maks. 128 | Maks. beş yüz | 1,25 Gbit/saniye | Desteklenir | Hayır | 685 |
| Nesil2 | VpnGw3 | Maks. 30 | Maks. 128 | Maks. 1000 | 2,5 Gb/sn | Desteklenir | Hayır | 2240 |
| Nesil2 | VpnGw4 | Maks. 100* | Maks. 128 | Maks. 5.000 | 5 Gb/sn | Desteklenir | Hayır | 5300 |
| Nesil2 | VpnGw5 | Maks. 100* | Maks. 128 | Maks. 10.000 | 10 Gbps | Desteklenir | Hayır | 6700 |
| Nesil2 | VpnGw2AZ | Maks. 30 | Maks. 128 | Maks. beş yüz | 1,25 Gbit/saniye | Desteklenir | Evet | 2000 |
| Nesil2 | VpnGw3AZ | Maks. 30 | Maks. 128 | Maks. 1000 | 2,5 Gb/sn | Desteklenir | Evet | 3300 |
| Nesil2 | VpnGw4AZ | Maks. 100* | Maks. 128 | Maks. 5.000 | 5 Gb/sn | Desteklenir | Evet | 4400 |
| Nesil2 | VpnGw5AZ | Maks. 100* | Maks. 128 | Maks. 10.000 | 10 Gbps | Desteklenir | Evet | 9.000 |
Not
Temel SKU'nun sınırlamaları vardır ve IKEv2, IPv6 veya RADIUS kimlik doğrulamasını desteklemez. Daha fazla bilgi için bkz . VPN Gateway ayarları.
P2S için VPN ağ geçitlerinde hangi IKE/IPsec ilkeleri yapılandırılır?
Bu bölümdeki tablolarda varsayılan ilkelerin değerleri gösterilir. Ancak, özel ilkeler için kullanılabilir desteklenen değerleri yansıtmaz. Özel ilkeler için New-AzVpnClientIpsecParameter PowerShell cmdlet'inde listelenen Kabul edilen değerlere bakın.
IKEv2
| Şifre | Bütünlük | PRF | DH Grubu |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GRUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GRUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GRUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GRUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GRUP_2 |
IPsec
| Şifre | Bütünlük | PFS Grubu |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GRUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GRUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GRUP_HİÇBİRİ |
P2S için VPN ağ geçitlerinde hangi TLS ilkeleri yapılandırılır?
TLS
| Politikalar |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| **TLS_AES_256_GCM_SHA384 |
| **TLS_AES_128_GCM_SHA256 |
**OpenVPN ile yalnızca TLS1.3'te desteklenir
P2S bağlantısını nasıl yapılandırırım?
P2S yapılandırması için birkaç belirli adım gerekir. Aşağıdaki makaleler, yaygın P2S yapılandırma adımlarında size yol gösterir.
P2S bağlantısının yapılandırmasını kaldırmak için
PowerShell veya CLI kullanarak bir bağlantının yapılandırmasını kaldırabilirsiniz. Örnekler için bkz. SSS.
P2S yönlendirmesi nasıl çalışır?
Aşağıdaki makalelere bakın:
SSS
Point-to-site için birden çok SSS girdisi vardır. VPN Gateway SSS'ye bakın ve uygun şekilde Sertifika kimlik doğrulaması ve RADIUS bölümlerine özellikle dikkat edin.
Sonraki Adımlar
- P2S bağlantısı yapılandırma - Azure sertifika kimlik doğrulaması
- P2S bağlantısı yapılandırma - Microsoft Entra Id kimlik doğrulaması
"OpenVPN", OpenVPN Inc.'in ticari markasıdır.