你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Azure VPN 网关 VPN 连接实现远程工作
本文将介绍可供组织用来为其用户设置远程访问的选项,或者通过附加容量补充其现有解决方案的选项。 Azure VPN 网关点到站点 VPN 解决方案基于云且可快速预配,能满足在家办公用户不断增长的需求。 可以轻松纵向扩展该解决方案,不再需要多出的容量时,同样可以快速轻松地将其关闭。
关于点到站点 VPN
通过点到站点 (P2S) VPN 网关连接,可以创建从单个客户端计算机到虚拟网络的安全连接。 可通过从客户端计算机启动连接来建立 P2S 连接。 对于要从远程位置(例如在家里或会议室)连接到 Azure VNet 或本地数据中心的远程工作者,此解决方案很有用。 有关 Azure 点到站点 VPN 的详细信息,请参阅关于 VPN 网关点到站点 VPN 和 VPN 网关常见问题解答。
下表显示了客户端操作系统及其可用的身份验证选项。 这些信息可以帮助用户根据已在使用的客户端 OS 选择身份验证方法。 例如,如果混合使用了需要连接的客户端操作系统,请选择使用基于证书的身份验证的 OpenVPN。 另请注意,只有基于路由的 VPN 网关才支持点到站点 VPN。
| 身份验证 | 隧道类型 | 客户端 OS | VPN 客户端 |
|---|---|---|---|
| 证书 | |||
| IKEv2、SSTP | Windows | 本机 VPN 客户端 | |
| IKEv2 | macOS | 本机 VPN 客户端 | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Azure VPN 客户端 OpenVPN 客户端 |
|
| OpenVPN | macOS | OpenVPN 客户端 | |
| OpenVPN | iOS | OpenVPN 客户端 | |
| OpenVPN | Linux | Azure VPN 客户端 OpenVPN 客户端 |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Azure VPN 客户端 | |
| OpenVPN | macOS | Azure VPN 客户端 | |
| OpenVPN | Linux | Azure VPN 客户端 |
方案 1 - 用户只需访问 Azure 中的资源
在此场景中,远程用户只需访问 Azure 中的资源。
从较高层面讲,需要执行以下步骤才能使用户安全连接到 Azure 资源:
创建虚拟网关(如果该网关不存在)。
在网关上配置点到站点 VPN。
- 有关证书身份验证,请参阅配置点到站点证书身份验证。
- 有关 Microsoft Entra ID 身份验证,请参阅配置点到站点 Microsoft Entra ID 身份验证
- 有关点到站点连接故障排除,请参阅故障排除:Azure 点到站点连接问题。
下载并分发 VPN 客户端配置。
向客户端分发证书(如果选择了证书身份验证)。
连接到 Azure VPN。
场景 2 - 用户需要访问 Azure 中的资源和/或本地资源
在此场景中,远程用户需要访问 Azure 中以及本地数据中心内的资源。
从较高层面讲,需要执行以下步骤才能使用户安全连接到 Azure 资源:
- 创建虚拟网关(如果该网关不存在)。
- 在网关上配置点到站点 VPN(请参阅方案 1)。
- 在启用了 BGP 的 Azure 虚拟网关上配置站点到站点隧道。
- 配置本地设备以连接到 Azure 虚拟网关。
- 从 Azure 门户下载点到站点配置文件并将其分发到客户端
若要了解如何设置站点到站点 VPN 隧道,请参阅创建站点到站点 VPN 连接。
后续步骤
- 配置 P2S 连接 - Microsoft Entra ID 身份验证
- 配置 P2S 连接 - 证书身份验证
- 配置 P2S 连接 - RADIUS 身份验证
- 关于 VPN 网关点到站点 VPN
- 关于点到站点 VPN 路由
“OpenVPN”是 OpenVPN Inc. 的商标。