設定點對站 VPN 用戶端:RADIUS - 密碼驗證
若要透過點對站 (P2S) 連線至虛擬網路,您需要設定要從中連線的用戶端裝置。 您可以從 Windows、macOS 和 Linux 用戶端裝置建立 P2S VPN 連線。 本文可協助您為使用者名稱/密碼 RADIUS 驗證建立及安裝 VPN 用戶端設定。
使用 RADIUS 驗證時,有多個驗證指示:憑證驗證、密碼驗證,以及其他驗證方法和通訊協定。 每一類型驗證的 VPN 用戶端設定都是不一樣的。 要設定 VPN 用戶端,您會可以使用包含必要設定的用戶端設定檔。
注意
從 2018 年 7 月 1 日起,對 TLS 1.0 和 1.1 的支援將會從 Azure VPN 閘道移除。 VPN 閘道僅支援 TLS 1.2。 只有點對站連線會受到影響;站對站連線不受影響。 如果您針對 Windows 10 或更新版本用戶端上的點對站 VPN 使用 TLS,則不必採取任何動作。 如果您針對 Windows 7 和 Windows 8 用戶端上的點對站連線使用 TLS,請參閱 VPN 閘道常見問題集以取得更新指示。
工作流程
P2S RADIUS 驗證的設定工作流程如下所示:
- 設定 P2S 連線的 Azure VPN 閘道。
- 設定 RADIUS 伺服器以供驗證。
- 取得所選驗證選項適用的 VPN 用戶端組態,並用它設定 VPN 用戶端 (本文章)。
- 完成 P2S 設定並連線。
重要
如果您在產生 VPN 用戶端組態檔後,對點對站 VPN 組態進行任何變更 (例如 VPN 通訊協定類型或驗證類型),您必須在使用者裝置上產生並安裝新的 VPN 用戶端組態檔。
您可以設定使用者名稱/密碼驗證,以使用 Active Directory 或者不使用 Active Directory。 無論是哪一種情況,都請您確定所有連線使用者都具有可透過 RADIUS 驗證的使用者名稱/密碼認證。
設定使用者名稱/密碼驗證時,您只能建立 EAP-MSCHAPv2 使用者名稱/密碼驗證通訊協定的組態。 在命令中,-AuthenticationMethod 是 EapMSChapv2。
產生 VPN 用戶端設定檔
您可以使用 Azure 入口網站,或使用 Azure PowerShell,產生 VPN 用戶端組態檔。
Azure 入口網站
- 瀏覽至虛擬網路閘道。
- 按一下 [點對站設定]。
- 按一下 [下載 VPN 用戶端]。
- 選取用戶端,並填寫要求的任何資訊。
- 按一下 [下載],產生 .zip 檔案。
- 通常,.zip 檔案會下載至您的 [下載] 資料夾。
Azure PowerShell
產生 VPN 用戶端設定檔以與使用者名稱/密碼驗證搭配使用。 您可以使用下列命令來產生 VPN 用戶端組態檔:
New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapMSChapv2"
執行會傳回連結的命令。 將該連結複製並貼到網頁瀏覽器,以下載 VpnClientConfiguration.zip。 將該檔案解壓縮以檢視下列資料夾:
- WindowsAmd64 和 WindowsX86:這些資料夾分別包含 Windows 32 位元和 64 位元的安裝程式套件。
- Generic:這個資料夾包含您用來建立自有 VPN 用戶端組態的一般資訊。 使用者名稱/密碼驗證設定不需要此資料夾。
- Mac:如果您在建立虛擬網路閘道時設定 IKEv2,您會看到名為 Mac 的資料夾,其中包含 mobileconfig 檔案。 您要使用這個檔案來設定 Mac 用戶端。
如果您已經產生用戶端組態檔,您可以使用 Get-AzVpnClientConfiguration Cmdlet 來擷取它們。 但是如果您對 P2S VPN 組態進行任何變更 (例如,VPN 通訊協定類型或驗證類型),該組態不會自動更新。 您必須執行 New-AzVpnClientConfiguration Cmdlet 來建立新的設定下載。
若要擷取先前產生的用戶端組態檔,請使用下列命令:
Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW"
Windows VPN 用戶端
您可以在每個 Windows 用戶端電腦上使用相同的 VPN 用戶端組態套件,但前提是版本必須符合用戶端的架構。 如需支援的用戶端作業系統清單,請參閱常見問題集。
請使用下列步驟來設定原生 Windows VPN 用戶端的憑證驗證:
選取 Windows 電腦架構所對應的 VPN 用戶端組態檔。 若是 64 位元的處理器架構,請選擇 VpnClientSetupAmd64 安裝程式套件。 若是 32 位元的處理器架構,請選擇 VpnClientSetupX86 安裝程式套件。
若要安裝,請按兩下套件。 如果您看到 SmartScreen 快顯視窗,請選取 [更多資訊]>[仍要執行]。
在用戶端電腦上,瀏覽至 [網路設定],然後選取 [VPN]。 VPN 連線會顯示其連線的虛擬網路名稱。
Mac (macOS) VPN 用戶端
選取 VpnClientSetup mobileconfig 檔案,並將它傳送給每個使用者。 您可以使用電子郵件或其他方法。
在 Mac 上找出 mobileconfig 檔案。
選擇性步驟 - 如果您想要指定自訂的 DNS,請將下列行新增到 mobileconfig 檔案:
<key>DNS</key> <dict> <key>ServerAddresses</key> <array> <string>10.0.0.132</string> </array> <key>SupplementalMatchDomains</key> <array> <string>TestDomain.com</string> </array> </dict>按兩下設定檔加以安裝,然後選取 [繼續]。 設定檔名稱與您的虛擬網路名稱相同。
選取 [繼續],以信任設定檔的寄件者並繼續進行安裝。
在設定檔安裝期間,您可以指定 VPN 驗證的使用者名稱和密碼。 不一定要輸入此資訊。 如果您這麼做,系統會儲存此資訊並在您初始連線時自動使用。 選取 [安裝] 以繼續進行。
輸入在您的電腦上安裝設定檔時所需之權限的使用者名稱和密碼。 選取 [確定]。
安裝設定檔之後,它會顯示在 [設定檔] 對話方塊中。 您稍後也可以從 [系統喜好設定] 開啟此對話方塊。
若要存取 VPN 連線,請從 [系統喜好設定] 開啟 [網路] 對話方塊。
VPN 連線會顯示為 [IkeV2-VPN]。 更新 mobileconfig 檔案,即可變更名稱。
選取 [驗證設定]。 在清單中選擇 [使用者名稱],然後輸入您的認證。 如果您先前已輸入認證,則會自動在清單中選擇 [使用者名稱] 並預先填入使用者名稱和密碼。 選取 [OK] \(確定\)以儲存設定。
回到 [網路] 對話方塊,選取 [套用] 以儲存變更。 若要起始連線,請選取 [連線]。
Linux VPN 用戶端 - strongSwan
下列是針對在 Ubuntu 17.0.4 上透過 strongSwan 5.5.1 所建立的指示。
執行範例中的指令,以開啟終端機來安裝 strongSwan 和其網路管理員。 如果您收到與
libcharon-extra-plugins有關的錯誤,請將它取代為strongswan-plugin-eap-mschapv2。選取 [網路管理員] 圖示 (向上箭頭/向下箭頭),然後選取 [編輯連線]。
選取 [新增] 按鈕以建立新連線。
從下拉式功能表選取 [IPsec/IKEv2 (strongswan)],然後選取 [建立]。 您可以在這個步驟中將連線重新命名。
從所下載用戶端組態檔的 [Generic] 資料夾開啟 [VpnSettings.xml] 檔案。 尋找名為
VpnServer的標籤,然後複製開頭為azuregateway,結尾為.cloudapp.net的名稱。將此名稱貼到新 VPN 連線 [閘道] 區段的 [位址] 欄位中。 接下來,選取 [憑證] 欄位結尾處的資料夾圖示,接著瀏覽至 [Generic] 資料夾,然後選取 [VpnServerRoot] 檔案。
在連線的 [用戶端] 區段中,為 [驗證] 選取 [EAP],然後輸入您的使用者名稱和密碼。 您可能必須選取右邊的鎖定圖示,以儲存此資訊。 然後選取 [儲存]。
選取 [網路管理員] 圖示 (向上箭頭/向下箭頭),然後將游標停留在 [VPN 連線] 上方。 您會看到您建立的 VPN 連線。 若要起始連線,請加以選取。
Azure 虛擬機器的其他步驟
如果您在執行 Linux 的 Azure 虛擬機器上執行程序,需要執行額外的步驟。
編輯 /etc/netplan/50-cloud-init.yaml 檔案,以包含介面的下列參數
renderer: NetworkManager編輯檔案之後,請執行下列兩個命令以載入新的組態
sudo netplan generatesudo netplan apply停止/啟動或重新部署虛擬機器。
下一步
回到本文以完成 P2S 設定。
如需 P2S 疑難排解詳細資訊,請參閱針對 Azure 點對站連線進行疑難排解。