使用多個驗證類型設定 VNet 的點對站 VPN 連線:Azure 入口網站

  • 發行項

本文可協助您將執行 Windows、Linux 或 macOS 的個別用戶端安全地連線至 Azure VNet。 當您想要從遠端位置 (例如當您從住家或會議進行遠距工作) 連線到您的 VNet 時,點對站 VPN 連線很實用。 如果您只有少數用戶端必須連線至 VNet,您也可以使用 P2S,而不使用站對站 VPN。 點對站連線不需要 VPN 裝置或公眾對應 IP 位址。 P2S 會建立透過 SSTP (安全通訊端通道通訊協定) 或 IKEv2 的 VPN 連線。 如需點對站 VPN 的詳細資訊,請參閱關於點對站 VPN

Connect from a computer to an Azure VNet - point-to-site connection diagram

如需點對站 VPN 的詳細資訊,請參閱關於點對站 VPN。 若要使用 Azure PowerShell 建立此設定,請參閱使用 Azure PowerShell 設定點對站 VPN

必要條件

驗證您有 Azure 訂用帳戶。 如果您還沒有 Azure 訂用帳戶,則可以啟用 MSDN 訂戶權益或註冊免費帳戶

相同 VPN 閘道上的多種驗證類型只支援 OpenVPN 通道類型。

範例值

您可以使用下列值來建立測試環境,或參考這些值來進一步了解本文中的範例:

  • VNet 名稱︰VNet1
  • 位址空間:10.1.0.0/16
    在此範例中,我們只使用一個位址空間。 您可以針對 VNet 使用一個以上的位址空間。
  • 子網路名稱:FrontEnd
  • 子網路位址範圍:10.1.0.0/24
  • 訂用帳戶:如果您有一個以上的訂用帳戶,請確認您使用正確的訂用帳戶。
  • 資源群組︰TestRG1
  • 位置:美國東部
  • 閘道子網路:10.1.255.0/27
  • SKU:VpnGw2
  • 世代:第 2 代
  • 閘道類型:VPN
  • VPN 類型:路由式
  • 公用 IP 位址名稱:VNet1GWpip
  • 連線類型:點對站
  • 用戶端位址集區:172.16.201.0/24
    使用這個點對站連線來連線到 VNet 的 VPN 用戶端,會收到來自用戶端位址集區的 IP 位址。

建立虛擬網路

在開始之前,請確認您有 Azure 訂用帳戶。 如果您還沒有 Azure 訂用帳戶,則可以啟用 MSDN 訂戶權益或註冊免費帳戶

注意

在使用虛擬網路作為用作跨部署結構的一部分時,請務必與內部部署網路系統管理員協調,以切割出此虛擬網路專用的 IP 位址範圍。 如果 VPN 連線的兩端存在重複的位址範圍,流量就會以未預期的方式路由傳送。 此外,如果要將此虛擬網路連線至另一個虛擬網路,則位址空間不能與其他虛擬網路重疊。 請據此規劃您的網路組態。

  1. 登入 Azure 入口網站

  2. 在入口網站頁面頂端的 [搜尋資源、服務和文件 (G+/)] 中 ,輸入 [虛擬網路]。 從 [Marketplace] 搜尋結果中選取 [虛擬網路],以開啟 [虛擬網路] 頁面。

  3. [虛擬網路] 頁面上,選取 [建立] 以開啟 [建立虛擬網路] 頁面。

  4. [基本] 索引標籤上,設定 [專案詳細資料][執行個體詳細資料] 的虛擬網路設定。 當您輸入的值經過驗證後,即會顯示綠色的核取記號。 您可以根據需要的設定來調整範例中顯示的值。

    Screenshot that shows the Basics tab.

    • 訂用帳戶:確認列出的訂用帳戶是否正確。 您可以使用下拉式方塊變更訂用帳戶。
    • 資源群組: 選取現有的資源群組,或選取 [新建] 以建立新的資源群組。 如需有關資源群組的詳細資訊,請參閱 Azure Resource Manager 概觀
    • 名稱:輸入虛擬網路的名稱。
    • 區域: 選取虛擬網路的位置。 這個位置會決定您部署到此虛擬網路的資源將位於何處。

  5. 選取 [下一步][安全性] 以移至 [安全性] 索引標籤。在此練習中,請保留此頁面上所有服務的預設值。

  6. 選取 [IP 位址] 以移至 [IP 位址] 索引標籤。在 [IP 位址] 索引標籤上完成設定。

    • IPv4 位址空間: 依預設,系統會自動建立位址空間。 您可以選取位址空間並加以調整,以反映自己的值。 您也可以新增不同的位址空間,並移除自動建立的預設值。 例如,您可以將開始位址指定為 10.1.0.0,並將位址空間大小指定為 /16。 然後選取 [新增],以新增該位址空間。

    • + 新增子網路:如果您使用預設的位址空間,則系統會自動建立預設子網路。 如果您變更位址空間,請在該位址空間內新增新的子網路。 選取 [+ 新增子網路] 以開啟 [新增子網路] 視窗。 完成以下設定,然後在頁面底部選取 [新增] 以新增值。

      • 子網路名稱: 例如 FrontEnd
      • 子網路位址範圍: 此子網路的位址範圍。 例如 10.1.0.0/24

  7. 檢閱 [IP 位址] 頁面,並移除您不需要的任何位址空間或子網路。

  8. 選取 [檢閱 + 建立] 來驗證虛擬網路設定。

  9. 驗證設定之後,請選取 [建立] 以建立虛擬網路。

虛擬網路閘道

此步驟將帶您建立 VNet 的虛擬網路閘道。 建立閘道通常可能需要 45 分鐘或更久,視選取的閘道 SKU 而定。

注意

基本閘道 SKU 不支援 OpenVPN 通道類型。

虛擬網路閘道需要稱為 GatewaySubnet 的特定子網路。 閘道子網路是虛擬網路 IP 位址範圍的一部份,包含虛擬網路閘道資源和服務所使用的 IP 位址。

當您建立閘道子網路時,您可指定子網路包含的 IP 位址數目。 所需的 IP 位址數目取決於您想要建立的 VPN 閘道組態。 有些組態需要的 IP 位址比其他組態多。 最好為您的閘道子網路指定 /27 或更大範圍 (/26、/25 等)。

如果您看到錯誤指出位址空間與子網路重疊,或子網路未包含在虛擬網路的位址空間內,請檢查您的虛擬網路位址範圍。 您為虛擬網路所建立的位址範圍中可能沒有足夠的可用 IP 位址。 例如,如果您的預設子網路包含整個位址範圍,則沒有剩餘任何 IP 位址可供建立更多子網路。 您可以調整現有位址空間內的子網路以釋出 IP 位址,也可以指定其他位址範圍並於該處建立閘道子網路。

  1. [搜尋資源、服務和文件 (G+/)] 中,輸入虛擬網路閘道。 在 [Marketplace] 搜尋結果中找出虛擬網路閘道,並選取它以開啟 [建立虛擬網路閘道] 頁面。

    Screenshot that shows the Search field.

  2. 在 [基本] 索引標籤中,填入 [專案詳細資料] 和 [執行個體詳細資料] 的值。

    Screenshot that shows the Instance fields.

    • 訂用帳戶: 從下拉式清單選取您想要使用的訂用帳戶。

    • 資源群組: 在此頁面上選取您的虛擬網路時,系統會自動填入此設定。

    • 名稱:為您的閘道命名。 為您的閘道命名與為閘道子網路命名不同。 這是您要建立之閘道物件的名稱。

    • 區域: 選取您要在其中建立此資源的區域。 閘道的區域必須與虛擬網路相同。

    • 閘道類型︰選取 [VPN]。 VPN 閘道使用 VPN 虛擬網路閘道類型。

    • SKU: 在下拉清單中,選取可支援所用功能的閘道 SKU。 請參閱 閘道 SKU。 在入口網站中,下拉式清單中可用的 SKU 會取決於所選 VPN type。 您只能使用 Azure CLI 或 PowerShell 設定基本 SKU。 您無法在 Azure 入口網站中設定基本 SKU。

    • 世代:選取您要使用的世代。 我們建議使用 Generation2 SKU。 如需詳細資訊,請參閱閘道 SKU

    • 虛擬網路: 在下拉式清單中,選取您要新增此閘道的虛擬網路。 如果您看不到想要建立閘道的虛擬網路,請確定您在先前設定中選取了正確的訂用帳戶和區域。

    • 閘道子網路位址範圍子網路: 建立 VPN 閘道所需的閘道子網路。

      在此情況中,此欄位有幾種不同的行為,這取決於虛擬網路位址空間,以及您是否已為虛擬網路建立名為 GatewaySubnet 的子網路。

      如果您沒有閘道子網路,「並且」看不到此頁面上建立閘道子網路的選項,請返回您的虛擬網路並建立閘道子網路。 然後,返回此頁面並設定 VPN 閘道。

  1. 指定 [公用 IP 位址] 的值。 這些設定可指定會與 VPN 閘道建立關聯的公用 IP 位址物件。 建立 VPN 閘道時,系統會將公用 IP 位址指派給此物件。 主要公用 IP 位址只會在刪除或重新建立閘道時變更。 它不會因為重新調整、重設或 VPN 閘道的其他內部維護/升級而變更。

    Screenshot that shows the Public IP address field.

    • 公用 IP 位址類型: 在此練習中,如果您可以選擇位址類型,請選取 [標準]
    • 公用 IP 位址: 將 [新建] 維持已選取狀態。
    • 公用 IP 位址名稱: 在文字輸入框中,輸入公用 IP 位址執行個體的名稱。
    • 公用 IP 位址 SKU: 系統會自動選取該設定。
    • 指派: 系統通常會自動選取指派,指派可以是「動態」「靜態」
    • 啟用主動-主動模式: 選取 [已停用]。 只有當您要建立「主動-主動」閘道設定時,才能啟用此設定。
    • 設定 BGP: 選取 [已停用] (除非您的設定特別需要此設定)。 如果您需要此設定,則預設的 ASN 為 65515,不過您可以變更此值。

  2. 選取 [檢閱 + 建立] 以執行驗證。

  3. 驗證通過後,選取 [建立] 以部署 VPN 閘道。

您可以在閘道的 [概觀] 頁面上看到部署狀態。 系統可能經常需要 45 分鐘以上的時間,才能完整建立和部署閘道。 建立閘道之後,您可以查看入口網站中的虛擬網路,來檢視已指派給閘道的 IP 位址。 閘道會顯示為已連接的裝置。

重要

使用閘道子網路時,請避免將網路安全性群組 (NSG) 與閘道子網路產生關聯。 將網路安全性群組與此子網路產生關聯,可能會導致您的虛擬網路閘道 (VPN 與 ExpressRoute 閘道) 停止如預期運作。 如需有關網路安全性群組的詳細資訊,請參閱什麼是網路安全性群組?

用戶端位址集區

用戶端位址集區是您指定的私人 IP 位址範圍。 透過點對站 VPN 連線的用戶端會動態收到這個範圍內的 IP 位址。 使用不會重疊的私人 IP 位址範圍搭配您從其連線的內部部署位置,或搭配您要連線至的 VNet。 如果您設定多個通訊協定,且 SSTP 是其中一個通訊協定,則設定的位址集區會平均地在設定的通訊協定之間進行分割。

  1. 一旦建立虛擬網路閘道,請瀏覽至虛擬網路閘道頁面的 [設定] 區段。 在 [設定] 中,選取 [點對站設定]。 選取 [立即設定] 以開啟 [設定] 頁面。

    Screenshot of point-to-site configuration page.

  2. 在 [點對站設定] 頁面上,您可以設定各種不同的設定。 在 [位址集區] 方塊中,新增您想要使用的私人 IP 位址範圍。 VPN 用戶端會動態收到您指定範圍內的 IP 位址。 主動/被動設定的最小子網路遮罩為 29 位元,主動/主動設定的最小子網路遮罩為 28 位元。

    Screenshot of client address pool.

  3. 繼續進行下一節,以設定驗證和通道類型。

驗證和通道類型

在本節中,您會設定驗證類型和通道類型。 在 [點對站設定] 頁面上,如果您沒有看到 [Tunnel 類型] 或 [驗證類型],表示您的閘道正在使用基本 SKU。 基本 SKU 不支援 IKEv2 或 RADIUS 驗證。 如果您想要使用這些設定,則必須使用不同的閘道 SKU 來刪除並重新建立閘道。

重要

Azure 入口網站正在將 Azure Active Directory 欄位更新為 Entra。 如果您看到參考的 Microsoft Entra ID,而您卻尚未在入口網站中看到這些值,您可以選取 Azure Active Directory 值。

Screenshot of authentication types and tunnel type.

通道類型

[點對站設定] 頁面上,選取所需的類型。 選項為:

  • OpenVPN (SSL)
  • SSTP (SSL)
  • IKEv2
  • IKEv2 與 OpenVPN (SSL)
  • IKEv2 與 SSTP (SSL)

驗證類型

在 [驗證類型] 中,選取所需的類型。 選項為:

  • Azure 憑證
  • RADIUS
  • Microsoft Entra ID

請參閱下表,以檢查哪些驗證機制與選取的通道類型相容。

通道類型 驗證機制
OpenVPN Microsoft Entra ID、Radius 驗證和 Azure 憑證的任何子集
SSTP Radius 驗證/ Azure 憑證
IKEv2 Radius 驗證/ Azure 憑證
IKEv2 與 OpenVPN Radius 驗證/ Azure 憑證/ Microsoft Entra ID 和 Radius 驗證/ Microsoft Entra ID 和 Azure 憑證
IKEv2 與 SSTP Radius 驗證/ Azure 憑證

注意

針對通道類型 「IKEv2 和 OpenVPN」和選取的驗證機制「Microsoft Entra ID 和 Radius」或 「Microsoft Entra ID 和 Azure 憑證」,Microsoft Entra ID 僅適用於 OpenVPN,因為 IKEv2 不支援它

視選取的驗證類型而定,您會看到需要填入的不同組態設定欄位。 填寫必要的資訊,然後選取頁面頂端的 [儲存],以儲存所有的組態設定。

如需驗證類型的詳細資訊,請參閱:

VPN 用戶端組態套件。

VPN 用戶端必須設定用戶端組態設定。 VPN 用戶端組態套件包含具有設定 VPN 用戶端的設定檔案,以便透過 P2S 連線來連線至 VNet。

如需產生和安裝 VPN 用戶端組態檔的指示,請使用與您的設定相關的文章:

驗證 通道類型 產生設定檔 設定 VPN 用戶端
Azure 憑證 IKEv2、SSTP Windows 原生 VPN 用戶端
Azure 憑證 OpenVPN Windows - OpenVPN 用戶端
- Azure VPN 用戶端
Azure 憑證 IKEv2、OpenVPN macOS-iOS macOS-iOS
Azure 憑證 IKEv2、OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS - 憑證 - 發行項 發行項
RADIUS - 密碼 - 發行項 發行項
RADIUS - 其他方法 - 發行項 發行項

點對站常見問題集

如需點對站常見問題集資訊,請參閱 VPN 閘道常見問題集的點對站小節。

下一步

一旦完成您的連接,就可以將虛擬機器加入您的虛擬網路。 如需詳細資訊,請參閱虛擬機器。 若要了解網路與虛擬機器的詳細資訊,請參閱 Azure 與 Linux VM 網路概觀

如需有關為 P2S 疑難排解的資訊,請參閱針對 Azure 點對站連線進行疑難排解