點對站 (P2S) VPN 閘道連線可讓您建立從個別用戶端電腦到虛擬網路的安全連線。 建立的點對站連線始自用戶端電腦。 本文討論如何轉換至 OpenVPN 通訊協定或 IKEv2,以克服 SSTP 的 128 個並行連線限制。
P2S 使用哪種通訊協定?
點對站 VPN 可以使用下列其中一種通訊協定:
OpenVPN® 通訊協定,這是以 SSL/TLS 為基礎的 VPN 通訊協定。 SSL VPN 解決方案可以通過防火牆,因為大部分防火牆都會開啟 SSL 使用的 TCP 連接埠 443 輸出。 OpenVPN 可用來從 Android、iOS(11.0 版和更新版本)、Windows、Linux 和 Mac 裝置連線(macOS 12.x 版和更新版本)。
安全通訊端通道通訊協定 (SSTP),這是以 SSL 為基礎的專屬 VPN 通訊協定。 SSL VPN 解決方案可以穿透防火牆,因為大部分防火牆都會開啟 SSL 使用的 TCP 連接埠 443 輸出。 僅 Windows 裝置支援 SSTP。 Azure 支援所有具有 SSTP 的 Windows 版本(Windows 7 和更新版本)。 SSTP 最多可支援 128 個並行連線,無論閘道 SKU 為何。
IKEv2 VPN,這是標準型 IPsec VPN 解決方案。 IKEv2 VPN 可用於從 Mac 裝置連線 (macOS 版本 10.11 和更新版本)。
注意
基本閘道 SKU 不支援 IKEv2 或 OpenVPN 通訊協定。 如果您使用基本 SKU,則必須刪除並重新建立生產 SKU 虛擬網路閘道。
從 SSTP 移轉至 IKEv2 或 OpenVPN
您可能想要支持超過 128 個並行 P2S 連線到 VPN 閘道,但使用 SSTP 的情況。 在這種情況下,您必須改用 IKEv2 或 OpenVPN 通訊協定。
選項 1 - 除了閘道上的 SSTP 之外,新增 IKEv2
這是最簡單的選項。 SSTP 和 IKEv2 可以並存於相同的閘道,並提供您更多的並行連線數目。 您可以在現有的閘道上啟用 IKEv2,並下載包含更新設定的用戶端元件。
將 IKEv2 新增至現有的 SSTP VPN 閘道將不會影響現有的用戶端,而您可以透過小型批次將其設定為使用 IKEv2,或只將新的用戶端設定為使用 IKEv2。 如果 Windows 用戶端同時設定使用 SSTP 和 IKEv2,則會先嘗試使用 IKEv2 進行連線,如果失敗,則會回復為 SSTP。
IKEv2 使用非標準的 UDP 連接埠,因此您必須確保這些連接埠不會在使用者的防火牆上遭到封鎖。 使用中的連接埠是 UDP 500 和4500。
- 若要將 IKEv2 新增至現有的閘道,請在入口網站中移至您的虛擬網路閘道。
- 在左側窗格中,選取 [點對站設定]。
- 在 [點對站組態] 頁面上,針對 通道類型,從下拉式方塊選取 [IKEv2] 和 [SSTP [SSL ]。
- 套用您的變更。
注意
當您在閘道上同時啟用 SSTP 和 IKEv2 時,點對站位址池會在兩者之間靜態分割,因此會從任一子範圍指派使用不同通訊協議的用戶端。 請注意,SSTP 用戶端的最大數目一律為 128。 即使位址範圍大於 /24,也適用此情況,導致 IKEv2 用戶端可用的地址數量較大。 對於較小的範圍,集區將會平均減半。 網關所使用的流量選取器可能不會包含點對站位址範圍 CIDR,但兩個子範圍 CIDR。
選項 2 - 移除 SSTP 並在閘道上啟用 OpenVPN
因為 SSTP 和 OpenVPN 都是 TLS 型通訊協定,所以無法並存於相同的閘道。 如果您決定從 SSTP 改用 OpenVPN,則必須停用 SSTP 並在閘道上啟用 OpenVPN。 在用戶端上設定新設定檔之前,這種作業會導致現有的用戶端失去對 VPN 閘道的連線能力。
如果您想要的話,可以搭配 IKEv2 來啟用 OpenVPN。 OpenVPN 以 TLS 為基礎,且會使用標準 TCP 443 連接埠。
- 若要切換至 OpenVPN,請在入口網站中移至您的虛擬網路閘道。
- 在左側窗格中,選取 [點對站設定]。
- 在 [點對站組態] 頁面上,針對通道類型,從下拉式方塊選取 [OpenVPN (SSL) 或 IKEv2 和 OpenVPN (SSL]。
- 套用您的變更。
設定閘道之後,除非您部署並設定 OpenVPN 用戶端,否則現有的用戶端將無法連線。 如果您使用 Windows 10 或更新版本,則也可以使用 Azure VPN Client。
常見問題集
設定用戶端組態有哪些需求?
注意
對於 Windows 用戶端,您在用戶端裝置上必須具備系統管理員權限,才能將用戶端裝置到 Azure 的 VPN 連線初始化。
使用者在 Windows 和 Mac 裝置上針對 P2S 使用原生 VPN 用戶端。 Azure 提供 VPN 用戶端設定 zip 檔案,其中包含這些原生用戶端連線至 Azure 所需的設定。
- 針對 Windows 裝置,VPN 用戶端設定是由使用者在其裝置上安裝的安裝程式套件所組成。
- 針對 Mac 裝置,它是由使用者在其裝置上安裝的 mobileconfig 檔案所組成。
zip 檔案也提供 Azure 端一些重要設定的值,讓您可用來為這些裝置建立自己的設定檔。 其中一些值包括 VPN 閘道位址、已設定的通道類型、路由,以及閘道驗證的根憑證。
注意
從 2018 年 7 月 1 日起,對 TLS 1.0 和 1.1 的支援將會從 Azure VPN 閘道移除。 VPN 閘道僅支援 TLS 1.2。 只有點對站連線會受到影響;站對站連線不受影響。 如果您針對 Windows 10 或更新版本用戶端上的點對站 VPN 使用 TLS,則不必採取任何動作。 如果您針對 Windows 7 和 Windows 8 用戶端上的點對站連線使用 TLS,請參閱 VPN 閘道常見問題集以取得更新指示。
哪些閘道 SKU 支援 P2S VPN?
下表依通道、連線和輸送量顯示閘道 SKU。 如需此表的其他資料表和詳細資訊,請參閱 VPN 閘道設定一文的閘道 SKU 一節。
|
VPN 閘道 世代 |
SKU |
S2S/VNet-to-VNet 通道 |
P2S SSTP 連線 |
P2S IKEv2/OpenVPN 連線 |
彙總 輸送量基準 |
BGP | 區域備援 | 虛擬網路中支援的 VM 數目 |
|---|---|---|---|---|---|---|---|---|
| Generation1 | 基本 | 最大值。 10 | 最大值。 128 | 不支援 | 100 Mbps | 不支援 | No | 200 |
| Generation1 | VpnGw1 | 最大值。 30 | 最大值。 128 | 最大 250 | 650 Mbps | 支援 | No | 450 |
| Generation1 | VpnGw2 | 最大值。 30 | 最大值。 128 | 最大 500 | 1 Gbps | 支援 | No | 1300 |
| Generation1 | VpnGw3 | 最大值。 30 | 最大值。 128 | 最大 1000 | 1.25 Gbps | 支援 | No | 4000 |
| Generation1 | VpnGw1AZ | 最大值。 30 | 最大值。 128 | 最大 250 | 650 Mbps | 支援 | Yes | 1000 |
| Generation1 | VpnGw2AZ | 最大值。 30 | 最大值。 128 | 最大 500 | 1 Gbps | 支援 | Yes | 2000 |
| Generation1 | VpnGw3AZ | 最大值。 30 | 最大值。 128 | 最大 1000 | 1.25 Gbps | 支援 | Yes | 5000 |
| Generation2 | VpnGw2 | 最大值。 30 | 最大值。 128 | 最大 500 | 1.25 Gbps | 支援 | No | 685 |
| Generation2 | VpnGw3 | 最大值。 30 | 最大值。 128 | 最大 1000 | 2.5 Gbps | 支援 | No | 2240 |
| Generation2 | VpnGw4 | 最大值。 100* | 最大值。 128 | 最大 5000 | 5 Gbps | 支援 | No | 5300 |
| Generation2 | VpnGw5 | 最大值。 100* | 最大值。 128 | 最大 10000 | 10 Gbps | 支援 | No | 6700 |
| Generation2 | VpnGw2AZ | 最大值。 30 | 最大值。 128 | 最大 500 | 1.25 Gbps | 支援 | Yes | 2000 |
| Generation2 | VpnGw3AZ | 最大值。 30 | 最大值。 128 | 最大 1000 | 2.5 Gbps | 支援 | Yes | 3300 |
| Generation2 | VpnGw4AZ | 最大值。 100* | 最大值。 128 | 最大 5000 | 5 Gbps | 支援 | Yes | 4400 |
| Generation2 | VpnGw5AZ | 最大值。 100* | 最大值。 128 | 最大 10000 | 10 Gbps | 支援 | Yes | 9000 |
注意
基本 SKU 有限制,且不支援 IKEv2 或 RADIUS 驗證。
哪些 IKE/IPsec 原則是在 VPN 閘道上針對 P2S 設定?
IKEv2
| 加密 | 完整性 | PRF | DH 群組 |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| 加密 | 完整性 | PFS 群組 |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
哪些 TLS 原則是在 VPN 閘道上針對 P2S 設定?
TLS
| 原則 |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| **TLS_AES_256_GCM_SHA384 |
| **TLS_AES_128_GCM_SHA256 |
**只有在使用 OpenVPN 的 TLS1.3 上才支援
如何設定 P2S 連線?
P2S 設定需要相當多的特定步驟。 下列文章包含的步驟可引導您進行 P2S 設定,然後連結以設定 VPN 用戶端裝置:
下一步
「OpenVPN」是 OpenVPN Inc. 的商標