使用者 VPN (點對站) 概念
下列文章說明概念和可由客戶設定的選項,這些內容與虛擬 WAN 使用者 VPN 點對站 (P2S) 設定及閘道相關聯。 本文分成多個章節,包括 P2S VPN 伺服器設定概念的相關章節,以及 P2S VPN 閘道概念的相關章節。
VPN 伺服器設定會定義用來驗證使用者的驗證、加密和使用者群組參數,以及指派 IP 位址和加密流量。 P2S 閘道與 P2S VPN 伺服器設定相關聯。
概念 | 描述 | 附註 |
---|---|---|
通道類型 | P2S VPN 閘道與連線使用者之間所用的通訊協定。 | 可用的參數:IKEv2、OpenVPN 或兩者。 針對 IKEv2 伺服器設定,僅可使用 RADIUS 和憑證型驗證。 針對 OPEN VPN 伺服器設定,可以使用 RADIUS、憑證型和 Microsoft Entra ID 型驗證。 此外,相同伺服器設定上的多個驗證方法 (例如相同設定上的憑證和 RADIUS) 僅支援 OpenVPN。 IKEv2 也有 255 個路由的通訊協定層級限制,而 OpenVPN 有 1000 個路由的限制。 |
自訂 IPsec 參數 | 針對使用了 IKEv2 的閘道,P2S VPN 閘道是使用加密參數。 | 如需可用的參數,請參閱點對站 VPN 的自訂 IPsec 參數。 此參數不適用於使用 OpenVPN 驗證的閘道。 |
下列概念與使用憑證型驗證的伺服器設定相關。
概念 | 描述 | 附註 |
---|---|---|
根憑證名稱 | Azure 用來識別客戶根憑證的名稱。 | 可設定為任何名稱。 您可以有多個跟證書。 |
公開憑證資料 | 用戶端憑證所核發的根憑證。 | 輸入對應至根憑證公開資料的字串。 如需如何取得根憑證公開資料的範例,請參閱下列文件中的步驟 8:產生憑證。 |
撤銷的憑證 | Azure 用來識別要撤銷的憑證名稱。 | 可設定為任何名稱。 |
撤銷的憑證指紋 | 不應該連線到閘道的終端使用者憑證指紋。 | 此參數的輸入是一或多個憑證指紋。 每個使用者憑證都必須個別撤銷。 撤銷中繼憑證或根憑證不會自動撤銷所有子憑證。 |
如果 P2S VPN 閘道設定為使用 RADIUS 型驗證,P2S VPN 閘道會作為網路原則伺服器 (NPS) Proxy,將驗證要求轉送給客戶 RADIUS 伺服器。 閘道可以使用一或兩個 RADIUS 伺服器來處理驗證要求。 如果提供多個伺服器,驗證要求會自動在 RADIUS 伺服器間進行負載平衡。
概念 | 描述 | 附註 |
---|---|---|
主要伺服器密碼 | 在客戶的主要 RADIUS 伺服器上設定的伺服器密碼,是用於 RADIUS 通訊協定的加密程序。 | 任何共用的密碼字串。 |
主要伺服器 IP 位址 | RADIUS 伺服器的私人 IP 位址 | 此 IP 必須是虛擬中樞可連線的私人 IP。 請確定裝載了 RADIUS 伺服器的連線會透過閘道傳播至中樞內 defaultRouteTable。 |
次要伺服器密碼 | 在第二個 RADIUS 伺服器上設定的伺服器密碼,是用於 RADIUS 通訊協定的加密程序。 | 任何提供的共用密碼字串。 |
次要伺服器 IP 位址 | RADIUS 伺服器的私人 IP 位址 | 此 IP 必須是虛擬中樞可連線的私人 IP。 請確定裝載了 RADIUS 伺服器的連線會透過閘道傳播至中樞內 defaultRouteTable。 |
RADIUS 伺服器根憑證 | RADIUS 伺服器根憑證公開資料。 | 這是選用欄位。 輸入對應至 RADIUS 根憑證公開資料的字串。 您可以輸入多個跟證書。 所有用於驗證的用戶端憑證都必須由指定根憑證核發。 如需如何取得憑證公開資料的範例,請參閱下列文件中的步驟 8:產生憑證。 |
撤銷的用戶端憑證 | 撤銷的 RADIUS 用戶端憑證指紋。 出示已撤銷憑證的用戶端將無法進行連線。 | 這是選用欄位。 每個使用者憑證都必須個別撤銷。 撤銷中繼憑證或根憑證不會自動撤銷所有子憑證。 |
下列概念與使用 Microsoft Entra ID 型驗證的伺服器設定相關。 只有在通道類型為 OpenVPN 時,才能使用 Microsoft Entra ID 型驗證。
概念 | 描述 | 可用參數 |
---|---|---|
對象 | 在 Microsoft Entra 租用戶中註冊的 Azure VPN 企業應用程式所用應用程式識別碼。 | 若要深入了解如何在租用戶中註冊 Azure VPN 應用程式及尋找應用程式識別碼,請參閱為 P2S 使用者 VPN OpenVPN 通訊協定連線設定租用戶 |
Issuer | 與您的 Active Directory 相關聯,並對應至 Security Token Service (STS) 的完整 URL。 | 請使用下列格式的字串:https://sts.windows.net/<your Directory ID>/ |
Microsoft Entra 租使用者 | 對應至 Active Directory 租用戶的完整 URL,是用於閘道上的驗證程序。 | 該 URL 會根據 Active Directory 租用戶所在的雲端部署環境而有所不同。 如需每個雲端環境的詳細資料,請參閱下文。 |
下表描述 Microsoft Entra URL 的格式,該格式是依據 Microsoft Entra ID 所在的雲端部署環境。
雲端 | 參數格式 |
---|---|
Azure 公用雲端 | https://login.microsoftonline.com/{AzureAD TenantID} |
Azure Government 雲端 | https://login.microsoftonline.us/{AzureAD TenantID} |
China 21Vianet Cloud | https://login.chinacloudapi.cn/{AzureAD TenantID} |
下列概念與虛擬 WAN 中的使用者群組 (多集區) 相關。 使用者群組可讓您根據連線使用者的憑證,將不同 IP 位址指派給連線使用者;也可讓您設定存取控制清單 (ACL) 和防火牆規則以保護工作負載。 如需詳細資訊和範例,請參閱多集區概念。
伺服器設定包含群組的定義,接著會在閘道上使用群組,將伺服器設定群組對應至 IP 位址。
概念 | 描述 | 附註 |
---|---|---|
使用者群組/原則群組 | 使用者群組或原則群組是使用者群組的邏輯表示法,該群組應從相同位址集區獲指派 IP 位址。 | 如需詳細資訊,請參閱關於使用者群組。 |
預設群組 | 當使用者嘗試使用「使用者群組」功能連線到閘道時,若有使用者不符合任何已指派給閘道的群組,系統會自動將其視為預設群組的一部份,並獲指派與該群組相關聯的 IP 位址。 | 伺服器設定中的每個群組都可以指定為預設群組或非預設群組,且建立群組後就無法變更此設定。 只有一個預設群組可以指派給每個 P2S VPN 閘道,即使指派的伺服器設定有多個預設群組亦然。 |
群組優先順序 | 將多個群組指派給閘道時,連線的使用者可能會出示符合多個群組的認證。 虛擬 WAN 會處理指派給閘道的群組,以提升優先順序。 | 優先順序為正整數,且系統會先處理優先順序中具有較低數值的群組。 每個群組都必須有不同的優先順序。 |
群組設定/成員 | 使用者群組包含成員。 成員不會對應至個別使用者,而是定義用於判斷連線使用者所屬群組的準則或比對條件。 將群組指派給閘道後,若連線使用者憑證符合針對其中一個群組成員所指定的準則,則會將使用者視為該群組的一部份,並可獲指派適當的 IP 位址。 | 如需可用準則的完整清單,請參閱可用的群組設定。 |
下列各節說明與 P2S VPN 閘道相關聯的概念。 每個閘道都與一個 VPN 伺服器設定相關聯,而且具有許多其他可設定的選項。
概念 | 描述 | 附註 |
---|---|---|
閘道縮放單位 | 閘道縮放單位會定義 P2S VPN 閘道可支援的彙總輸送量和並行使用者人數。 | 閘道縮放單位的範圍可以從 1 到 200,每個閘道支援 500 到 100,000 位使用者。 |
P2S 伺服器設定 | 定義 P2S VPN 閘道用來驗證傳入使用者的驗證參數。 | 與虛擬 WAN 閘道相關聯的任何 P2S 伺服器設定。 必須成功建立伺服器設定,才能讓閘道參考該設定。 |
路由喜好設定 | 可讓您選擇流量在 Azure 與網際網路間路由傳送的方式。 | 您可以選擇透過 Microsoft 網路或經由 ISP 網路 (公用網際網路) 來路由傳送流量。 如需此設定的詳細資訊,請參閱什麼是路由喜好設定?建立閘道之後,就無法修改此設定。 |
自訂 DNS 伺服器 | 連線使用者的 DNS 伺服器 IP 位址應該轉送 DNS 要求。 | 任何可路由傳送的 IP 位址。 |
傳播預設路由 | 如果虛擬 WAN 中樞已設定為 0.0.0.0/0 預設路由 (預設路由表中的靜態路由,或從內部部署公告的 0.0.0.0/0/0),則此設定可控制 0.0.0.0/0 路由是否會公告給連線使用者。 | 此欄位可以設為 true 或 false。 |
概念 | 描述 | 附註 |
---|---|---|
使用遠端/內部部署 RADIUS 伺服器設定 | 控制虛擬 WAN 是否可以將 RADIUS 驗證封包轉送至以內部部署方式裝載的 RADIUS 伺服器,或連線至不同虛擬中樞的虛擬網路中。 | 此設定有兩個值:true 或 false。 當虛擬 WAN 設定為使用 RADIUS 型驗證時,虛擬 WAN P2S 閘道會作為 RADIUS Proxy,將驗證要求傳送至 RADIUS 伺服器。 此設定 (若為 true) 可讓虛擬 WAN 閘道與內部部署的 RADIUS 伺服器通訊,或與連線至不同中樞的虛擬網路通訊。 若為 false,虛擬 WAN 將只能透過閘道,對 RADIUS 伺服器 (裝載於連線至中樞的虛擬網路) 進行驗證。 |
RADIUS Proxy IP | P2S VPN 閘道傳送至 RADIUS 伺服器的 RADIUS 驗證封包,具有 RADIUS Proxy IP 欄位所指定的來源 IP。 這些 IP 必須位於 RADIUS 伺服器上的 RADIUS 用戶端允許清單。 | 此參數無法直接設定。 如果 [使用遠端/內部部署 RADIUS 伺服器] 設定為 true,則 RADIUS Proxy IP 會自動設定為閘道上指定的用戶端位址集區 IP 位址。 如果此設定為 false,則 IP 是來自中樞位址空間內的 IP 位址。 您可以在 P2S VPN 閘道頁面上的 Azure 入口網站找到 RADIUS Proxy IP。 |
P2S VPN 閘道上可以有一或多個連線設定。 每個連線設定都有路由傳送設定 (請參閱下方的注意事項),並代表從相同位址集區獲指派 IP 位址的使用者群組或區段。
概念 | 描述 | 附註 |
---|---|---|
組態名稱 | P2S VPN 設定名稱 | 可以提供任何名稱。 如果您使用使用者群組/多集區功能,可以在閘道上進行多個連線設定。 如果您未使用此功能,則每個閘道只能有一個設定。 |
使用者群組 | 對應至設定的使用者群組 | VPN 伺服器設定中所參考的任何使用者群組。 這是選擇性參數。 如需詳細資訊,請參閱關於使用者群組。 |
位址集區 | 位址集區是連線使用者獲指派的私人 IP 位址。 | 位址集區可以指定為未與任何虛擬中樞位址空間重疊的 CIDR 區塊、用於連線至虛擬 WAN 的虛擬網路 IP 位址,或從內部部署公告的位址。 視閘道上指定的縮放單位而定,您可能需要多個 CIDR 區塊。 如需詳細資訊,請參閱關於位址集區。 |
路由設定 | 虛擬中樞的每個連線都有路由傳送設定,其會定義與連線相關聯的路由表,以及路由表傳播至哪個路由表。 | 相同中樞 (ExpressRoute、VPN、NVA) 的所有分支連線都必須與 defaultRouteTable 產生關聯,並傳播至相同的路由表集。 分支連線有不同的傳播可能會導致非預期的路由行為,因為虛擬WAN 會選擇一個分支的路由組態,並將其套用至所有分支,因此路由會從內部部署學習。 |
在此處新增幾篇文章的連結,以進行後續步驟。