關於點對站 VPN
點對站 (P2S) VPN 閘道連線可讓您建立從個別用戶端電腦至虛擬網路的安全連線。 建立的點對站連線始自用戶端電腦。 此解決方案適合於想要從遠端位置 (例如從住家或會議) 連線到 Azure VNet 的遠距工作者。 當您只有少數用戶端必須連線至 VNet 時,P2S VPN 也是很實用的方案 (而不是使用 S2S VPN)。 本文適用於 Resource Manager 部署模型。
P2S 使用哪種通訊協定?
點對站 VPN 可以使用下列其中一種通訊協定:
OpenVPN® 通訊協定,這是以 SSL/TLS 為基礎的 VPN 通訊協定。 TLS VPN 解決方案可以穿透防火牆,因為大部分防火牆都會開啟 TLS 使用的輸出 TCP 連接埠 443。 OpenVPN 可用於從 Android、iOS (11.0 版和更新版本)、Windows、Linux 和 Mac 裝置 (macOS 10.13 版和更新版本) 連線。
安全通訊端通道通訊協定 (SSTP),這是以 TLS 為基礎的專屬 VPN 通訊協定。 TLS VPN 解決方案可以穿透防火牆,因為大部分防火牆都會開啟 TLS 使用的輸出 TCP 連接埠 443。 僅 Windows 裝置支援 SSTP。 Azure 支援所有具有 SSTP 且支援 TLS 1.2 的 Windows 版本 (Windows 8.1 和更新版本)。
IKEv2 VPN,標準型 IPsec VPN 解決方案。 IKEv2 VPN 可用於從 Mac 裝置連線 (macOS 版本 10.11 和更新版本)。
注意
適用於 P2S 的 IKEv2 與 OpenVPN 僅供 Resource Manager 部署模型使用。 它們不適用於傳統部署模型。
P2S VPN 用戶端的驗證方式爲何?
在 Azure 接受 P2S VPN 連線之前,使用者必須先進行驗證。 Azure 提供兩種機制來驗證連線使用者。
憑證驗證
使用原生 Azure 憑證驗證時,裝置上存在的用戶端憑證會用來驗證連線使用者。 用戶端憑證是從受信任的根憑證產生,然後安裝在每部用戶端電腦上。 您可以使用透過企業解決方案所產生的根憑證,也可以產生自我簽署憑證。
用戶端憑證的驗證是由 VPN 閘道執行,並在建立 P2S VPN 連線期間發生。 驗證需要根憑證,而且必須上傳至 Azure。
Microsoft Entra 驗證
Microsoft Entra 驗證可讓使用者使用其 Microsoft Entra 認證連線到 Azure。 僅 OpenVPN 通訊協定支援原生 Microsoft Entra 驗證,並且還需要使用 Azure VPN Client。 支援的用戶端作業系統是 Windows 10 或更新版本以及 macOS。
藉由原生 Microsoft Entra 驗證,您可以將 Microsoft Entra 條件式存取和多重要素驗證 (MFA) 功能用於 VPN。
概括而言,您必須執行下列步驟以設定 Microsoft Entra 驗證:
使用以下連結之一下載最新版本的 Azure VPN 用戶端安裝檔案:
- 使用 [用戶端安裝檔案] 進行安裝:https://aka.ms/azvpnclientdownload。
- 在用戶端電腦上登入時直接安裝:Microsoft Store。
Active Directory (AD) 網域伺服器
AD 網域驗證可讓使用者使用其組織網域認證來連線至 Azure。 它需要與 AD 伺服器整合的 RADIUS 伺服器。 組織也可以使用其現有 RADIUS 部署。
RADIUS 伺服器可以部署在內部部署環境或 Azure VNet 中。 在驗證期間,Azure VPN 閘道可作為 RADIUS 伺服器與連線裝置之間的通道,雙向轉送驗證訊息。 所以閘道觸達 RADIUS 伺服器的能力很重要。 如果 RADIUS 伺服器位於內部部署環境,則需要從 Azure 到內部部署網站的 VPN S2S 連線才能觸達。
RADIUS 伺服器也可以與 AD 憑證服務整合。 這可讓您使用 RADIUS 伺服器和企業憑證部署進行 P2S 憑證驗證,以做為 Azure 憑證驗證的替代方案。 優點是,您不需要將根憑證及撤銷的憑證上傳至 Azure。
RADIUS 伺服器也可以與其他外部身分識別系統整合。 這會開啟 P2S VPN 的許多驗證選項,包括多重因素選項。
設定用戶端組態有哪些需求?
用戶端設定要求因您使用的 VPN 用戶端、驗證類型和通訊協定而異。 下表顯示了每個設定的可用用戶端和相應文章。
驗證 | 通道類型 | 產生設代檔 | 設定 VPN 用戶端 |
---|---|---|---|
Azure 憑證 | IKEv2、SSTP | Windows | 原生 VPN 用戶端 |
Azure 憑證 | OpenVPN | Windows | - OpenVPN 用戶端 - Azure VPN 用戶端 |
Azure 憑證 | IKEv2、OpenVPN | macOS-iOS | macOS-iOS |
Azure 憑證 | IKEv2、OpenVPN | Linux | Linux |
Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
RADIUS - 憑證 | - | 發行項 | 發行項 |
RADIUS - 密碼 | - | 發行項 | 發行項 |
RADIUS - 其他方法 | - | 發行項 | 發行項 |
重要
從 2018 年 7 月 1 日起,對 TLS 1.0 和 1.1 的支援將會從 Azure VPN 閘道移除。 VPN 閘道僅支援 TLS 1.2。 只有點對站連線會受到影響;站對站連線不受影響。 如果您針對 Windows 10 或更新版本用戶端上的點對站 VPN 使用 TLS,則不必採取任何動作。 如果您針對 Windows 7 和 Windows 8 用戶端上的點對站連線使用 TLS,請參閱 VPN 閘道常見問題集以取得更新指示。
哪些閘道 SKU 支援 P2S VPN?
下表依通道、連線和輸送量顯示閘道 SKU。 如需此表的其他資料表和詳細資訊,請參閱 VPN 閘道設定一文的閘道 SKU 一節。
VPN 閘道 世代 |
SKU | S2S/VNet-to-VNet 通道 |
P2S SSTP 連線 |
P2S IKEv2/OpenVPN 連線 |
彙總 輸送量基準 |
BGP | 區域備援 | 虛擬網路中支援的 VM 數目 |
---|---|---|---|---|---|---|---|---|
Generation1 | 基本 | 最大值。 10 | 最大值。 128 | 不支援 | 100 Mbps | 不支援 | No | 200 |
Generation1 | VpnGw1 | 最大值。 30 | 最大值。 128 | 最大 250 | 650 Mbps | 支援 | No | 450 |
Generation1 | VpnGw2 | 最大值。 30 | 最大值。 128 | 最大 500 | 1 Gbps | 支援 | No | 1300 |
Generation1 | VpnGw3 | 最大值。 30 | 最大值。 128 | 最大 1000 | 1.25 Gbps | 支援 | No | 4000 |
Generation1 | VpnGw1AZ | 最大值。 30 | 最大值。 128 | 最大 250 | 650 Mbps | 支援 | Yes | 1000 |
Generation1 | VpnGw2AZ | 最大值。 30 | 最大值。 128 | 最大 500 | 1 Gbps | 支援 | Yes | 2000 |
Generation1 | VpnGw3AZ | 最大值。 30 | 最大值。 128 | 最大 1000 | 1.25 Gbps | 支援 | Yes | 5000 |
Generation2 | VpnGw2 | 最大值。 30 | 最大值。 128 | 最大 500 | 1.25 Gbps | 支援 | No | 685 |
Generation2 | VpnGw3 | 最大值。 30 | 最大值。 128 | 最大 1000 | 2.5 Gbps | 支援 | No | 2240 |
Generation2 | VpnGw4 | 最大值。 100* | 最大值。 128 | 最大 5000 | 5 Gbps | 支援 | No | 5300 |
Generation2 | VpnGw5 | 最大值。 100* | 最大值。 128 | 最大 10000 | 10 Gbps | 支援 | No | 6700 |
Generation2 | VpnGw2AZ | 最大值。 30 | 最大值。 128 | 最大 500 | 1.25 Gbps | 支援 | Yes | 2000 |
Generation2 | VpnGw3AZ | 最大值。 30 | 最大值。 128 | 最大 1000 | 2.5 Gbps | 支援 | Yes | 3300 |
Generation2 | VpnGw4AZ | 最大值。 100* | 最大值。 128 | 最大 5000 | 5 Gbps | 支援 | Yes | 4400 |
Generation2 | VpnGw5AZ | 最大值。 100* | 最大值。 128 | 最大 10000 | 10 Gbps | 支援 | Yes | 9000 |
注意
基本 SKU 有限制,且不支援 IKEv2、IPv6 或 RADIUS 驗證。 如需詳細資訊,請參閱 VPN 閘道設定一文。
哪些 IKE/IPsec 原則是在 VPN 閘道上針對 P2S 設定?
本節中的表顯示了預設原則的值。 但是,它們並不反映自訂原則的可用支援值。 對於自訂原則,請參閱 New-AzVpnClientIpsecParameter PowerShell Cmdlet 中列出的 Accepted 值。
IKEv2
加密 | 完整性 | PRF | DH 群組 |
---|---|---|---|
GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
AES256 | SHA384 | SHA384 | GROUP_24 |
AES256 | SHA384 | SHA384 | GROUP_14 |
AES256 | SHA384 | SHA384 | GROUP_ECP384 |
AES256 | SHA384 | SHA384 | GROUP_ECP256 |
AES256 | SHA256 | SHA256 | GROUP_24 |
AES256 | SHA256 | SHA256 | GROUP_14 |
AES256 | SHA256 | SHA256 | GROUP_ECP384 |
AES256 | SHA256 | SHA256 | GROUP_ECP256 |
AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
加密 | 完整性 | PFS 群組 |
---|---|---|
GCM_AES256 | GCM_AES256 | GROUP_NONE |
GCM_AES256 | GCM_AES256 | GROUP_24 |
GCM_AES256 | GCM_AES256 | GROUP_14 |
GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
AES256 | SHA256 | GROUP_NONE |
AES256 | SHA256 | GROUP_24 |
AES256 | SHA256 | GROUP_14 |
AES256 | SHA256 | GROUP_ECP384 |
AES256 | SHA256 | GROUP_ECP256 |
AES256 | SHA1 | GROUP_NONE |
哪些 TLS 原則是在 VPN 閘道上針對 P2S 設定?
TLS
原則 |
---|
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
TLS_RSA_WITH_AES_128_GCM_SHA256 |
TLS_RSA_WITH_AES_256_GCM_SHA384 |
TLS_RSA_WITH_AES_128_CBC_SHA256 |
TLS_RSA_WITH_AES_256_CBC_SHA256 |
如何設定 P2S 連線?
P2S 設定需要相當多的特定步驟。 以下文章包含引導您完成一般 P2S 設定步驟之步驟。
移除 P2S 連線的設定
您可以使用 PowerShell 或 CLI 移除連線的設定。 如需範例,請參閱常見問題集。
P2S 路由的運作方式為何?
請參閱以下文章:
常見問題集
P2S 有多個關於驗證的常見問題章節。
後續步驟
「OpenVPN」是 OpenVPN Inc. 的商標