下載使用者 VPN 用戶端的全域和中樞 VPN 配置檔

  • 發行項

Azure 虛擬 WAN 為使用者 VPN 用戶端提供兩種類型的連線配置檔:全域配置檔和中樞配置檔。 您選擇的配置檔類型取決於您希望 VPN 用戶端連線到地理負載平衡的 WAN 層級設定檔(全域設定檔),還是想要限制 VPN 用戶端只連線到特定中樞(中樞配置檔)。 本文可協助您為這兩種類型的配置檔產生 VPN 用戶端組態檔。

全域配置檔

與使用者 VPN 組態相關聯的全域配置檔會指向全域 流量管理員。 全域 流量管理員 包含使用該使用者 VPN 設定的所有使用中使用者 VPN 中樞。 不過,您可以選擇視需要從全域 流量管理員 排除中樞。 聯機到全域配置檔的用戶會導向至最接近使用者地理位置的中樞。 如果您有經常在多個位置之間移動的使用者,這特別有用。

例如,使用者 VPN 組態會與相同虛擬 WAN 的兩個不同的中樞相關聯,一個位於美國西部,另一個位於東南亞。 如果用戶連線到與使用者 VPN 設定相關聯的全域配置檔,他們會根據其位置連線到最接近的虛擬 WAN 中樞。

重要

如果用於全域配置檔的點對站 VPN 組態已設定為使用 RADIUS 通訊協定來驗證使用者,請確定已針對使用該設定的所有點對站 VPN 閘道開啟 [使用遠端/內部部署 RADIUS 伺服器]。 此外,請確定您的RADIUS伺服器已設定為使用此 VPN 設定,接受來自所有點對站 VPN 閘道之 RADIUS Proxy IP 位址的驗證要求。

下載全域 VPN 設定檔

若要產生和下載 VPN 用戶端設定檔組態檔,請使用下列步驟:

  1. 移至 虛擬 WAN

  2. 在左窗格中,選取 [ 使用者 VPN 組態]。

  3. 在 [ 使用者 VPN 組態 ] 頁面上,您會看到您已為虛擬 WAN 建立的所有使用者 VPN 組態。 在 [中 ] 數據行中,您會看到與每個使用者 VPN 設定相關聯的中樞。 >按兩下 以展開並檢視中樞名稱。

    Screenshot that shows hubs list expanded.

  4. 在下列範例中,您會看到多個數據列,其中包含使用相同使用者 VPN 組態的中樞。 在全域配置檔中,當中樞使用相同的使用者 VPN 組態時,您可以按兩下任何具有所需使用者 VPN 設定的中樞資料列。 您從此頁面產生的配置檔會對齊使用者 VPN 組態,而不是特定的中樞。 如果您想要限制 VPN 使用者只連線到一個中樞(您不想使用全域配置檔),請改用中 樞配置檔 步驟。

    Screenshot that shows selections for downloading a global profile.

    在此範例中,我們選取了具有 Hub2 的行,但選取 Hub3 或 Hub1 會產生相同的配置檔組態檔。 不過,如果我們選取了具有 Hub6 的行,配置檔組態檔會有所不同,因為 Hub6 使用不同的使用者 VPN 組態。

    按兩下包含您想要使用之使用者 VPN 組態行。 這會醒目提示整個線條。 然後按下 [ 下載虛擬 WAN 使用者 VPN 配置檔]。

  5. 在 [ 下載虛擬 WAN 使用者 VPN] 頁面上,選取 [EAPTLS],然後按兩下 [ 產生並下載配置檔]。 系統會產生包含 VPN 用戶端組態設定的設定檔套件(zip 檔案),並下載到您的電腦。 套件的內容取決於您所選組態的中樞和驗證和通道類型選擇。

    Screenshot the authentication type and generate and download profile.

包含或排除全域配置檔中樞

根據預設,使用相同使用者 VPN 組態的每個中樞都會包含在您產生和下載的全域 VPN 配置檔中。 不過,您可以選擇從全域 VPN 配置檔中排除中樞。 如果您這樣做,VPN 用戶端將不會進行負載平衡,以連線到該中樞的閘道。

  1. 若要檢查中樞是否包含在全域 VPN 設定檔中,請移至 虛擬 WAN

  2. 在 [概 觀] 頁面上,選取 [ 樞]。

  3. 在 [中 樞] 頁面上,按兩下中樞。

  4. 在 [虛擬中樞] 頁面上的左窗格中,選取 [使用者 VPN] [點對站]。

  5. 在 [ 使用者 VPN(點對站)] 頁面上,請參閱 閘道附件狀態 ,以判斷此中樞是否包含在全域 VPN 設定檔中。 如果附加狀態,則會包含中樞。 如果狀態已 中斷連結,則不會包含中樞。

    Screenshot that shows the attachment state of a gateway.

  6. 若要從全域 VPN 配置檔包含或排除中樞(附加或中斷連結),請從全域配置檔選取 [包含/排除網關]。

  7. 在 [ 包含/排除 ] 頁面上,進行下列其中一個選項。

    • 如果您想要從虛擬 WAN 全域使用者 VPN 設定檔中移除此中樞的閘道,請按兩下 [排除 ]。 使用中樞配置檔的使用者仍然可以連線到此中樞的閘道。 使用此全域配置檔的使用者將無法連線到此中樞的閘道。

    • 如果您想要將此中樞的閘道包含在虛擬 WAN 全域使用者 VPN 配置檔中,請按兩下 [包含 ]。 使用此全域配置檔的用戶將能夠連線到此中樞的閘道。

全域配置檔最佳做法

新增多部伺服器驗證憑證

本節說明使用 OpenVPN 通道類型和 Azure VPN 用戶端 2.1963.44.0 版或更高版本的連線。

當您設定中樞 P2S 閘道時,Azure 會將內部憑證指派給閘道。 這與您想要使用憑證驗證作為驗證方法時所指定的跟證書資訊不同。 指派給中樞的內部憑證會用於所有驗證類型。 此值會在您產生為 servervalidation/cert/hash 的配置檔組態檔中表示。 VPN 用戶端會使用此值作為連線程式的一部分。

如果您在不同的地理區域中有多個中樞,每個中樞都可以使用不同的 Azure 層級伺服器驗證憑證。 全域配置檔包含所有中樞的伺服器驗證憑證哈希值。 這表示,如果該中樞的憑證因任何原因無法正常運作,用戶端仍會有其他中樞所需的伺服器驗證憑證哈希值。

重要

只有在中樞有不同的伺服器根簽發者時,才需要設定具有所有中樞憑證哈希值的 Azure VPN 用戶端。

最佳做法是,建議您更新 VPN 用戶端配置檔組態檔,以包含連結至全域配置檔之所有中樞的憑證哈希值,然後使用更新的檔案設定 Azure VPN 用戶端。

  1. 產生並下載 全域配置檔 。 使用文字編輯器開啟 azurevpnconfig.xml 檔案。

  2. 假設有下列 xml 範例,請使用包含每個中樞之伺服器驗證憑證哈希的全域配置檔組態檔來設定 Azure VPN 用戶端。

      </protocolconfig>
  <serverlist>
    <ServerEntry>
      <displayname
        i:nil="true" />
      <fqdn>wan.kycyz81dpw483xnf3fg62v24f.vpn.azure.com</fqdn>
    </ServerEntry>
  </serverlist>
  <servervalidation>
    <cert>
      <hash>A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436</hash>
      <issuer
        i:nil="true" />
    </cert>
    <cert>
      <hash>59470697201baejC4B2D7D66D40C6DD2FB19C5436</hash>
      <issuer
        i:nil="true" />
    </cert>
    <cert>
      <hash>cab20a7f63f00f2bae76202gdfe36db3a03a9cb9</hash>
      <issuer
        i:nil="true" />
    </cert>

中樞配置檔

當您希望 VPN 使用者只能連線到單一指定的中樞時,請使用這種類型的配置檔。 您在中樞層級產生和下載的檔案,包含與您在 WAN 層級 全域配置檔中產生和下載的檔案不同的設定。

下載中樞 VPN 配置檔

若要產生和下載 VPN 用戶端設定檔組態檔,請使用下列步驟:

  1. 移至虛擬中

  2. 在左窗格中,選取 [使用者 VPN][點對站]。

  3. 選取 [ 下載虛擬中樞使用者 VPN 配置檔]。

    Screenshot that shows how to download a hub profile.

  4. 在下載頁面上,選取 [EAPTLS],然後選取 [產生並下載配置檔]。 系統會產生包含用戶端組態設定的配置檔套件(zip 檔案),並下載到您的計算機。 套件的內容取決於您組態的中樞和驗證和通道類型選擇。

下一步

如需使用者 VPN 的詳細資訊,請參閱 建立使用者 VPN 點對站連線