設定點對站 VPN 用戶端:RADIUS - 其他方法和通訊協定

  • 發行項

若要透過點對站 (P2S) 連線至虛擬網路,您需要設定要從中連線的用戶端裝置。 本文可協助您建立及安裝 RADIUS 驗證的 VPN 用戶端設定,使用憑證或密碼驗證以外的方法。

當您使用RADIUS驗證時,有多個驗證指示:憑證驗證密碼驗證和其他驗證方法和通訊協定。 每一類型驗證的 VPN 用戶端設定都是不一樣的。 要設定 VPN 用戶端,您會可以使用包含必要設定的用戶端設定檔。

注意

從 2018 年 7 月 1 日起,對 TLS 1.0 和 1.1 的支援將會從 Azure VPN 閘道移除。 VPN 閘道僅支援 TLS 1.2。 只有點對站連線會受到影響;站對站連線不受影響。 如果您針對 Windows 10 或更新版本用戶端上的點對站 VPN 使用 TLS,則不必採取任何動作。 如果您針對 Windows 7 和 Windows 8 用戶端上的點對站連線使用 TLS,請參閱 VPN 閘道常見問題集以取得更新指示。

工作流程

P2S RADIUS 驗證的設定工作流程如下所示:

  1. 設定 P2S 連線的 Azure VPN 閘道

  2. 設定 RADIUS 伺服器以供驗證

  3. 取得所選驗證選項適用的 VPN 用戶端組態,並用它設定 VPN 用戶端 (本文章)。

  4. 完成 P2S 設定並連線

重要

如果您在產生 VPN 用戶端組態檔後,對點對站 VPN 組態進行任何變更 (例如 VPN 通訊協定類型或驗證類型),您必須在使用者裝置上產生並安裝新的 VPN 用戶端組態檔。

若要使用不同的驗證類型 (例如 OTP),或使用不同的驗證通訊協定 (例如 PEAP-MSCHAPv2,而不是 EAP-MSCHAPv2),您必須建立自己的 VPN 用戶端組態設定檔。 如果您已使用 RADIUS 和 OpenVPN 設定了點對站 VPN,那麼目前在閘道與 RADIUS 伺服器之間,PAP 是唯一支援的驗證方法。 若要建立設定檔,您需要虛擬網路閘道 IP 位址、通道類型以及分割通道路由等資訊。 您可以使用下列步驟來取得此資訊。

產生 VPN 用戶端設定檔

您可以使用 Azure 入口網站,或使用 Azure PowerShell,產生 VPN 用戶端組態檔。

Azure 入口網站

  1. 瀏覽至虛擬網路閘道。
  2. 按一下 [點對站設定]
  3. 按一下 [下載 VPN 用戶端]
  4. 選取用戶端,並填寫要求的任何資訊。
  5. 按一下 [下載],產生 .zip 檔案。
  6. 通常,.zip 檔案會下載至您的 [下載] 資料夾。

Azure PowerShell

使用 Get-AzureRmVpnClientConfiguration Cmdlet 來產生 EapMSChapv2 的 VPN 用戶端設定。

檢視檔案並設定 VPN 用戶端

解壓縮 VpnClientConfiguration.zip 檔案,並找出 GenericDevice 資料夾。 忽略包含 64 位元和 32 位元架構之 Windows 安裝程式的資料夾。

GenericDevice 資料夾包含名為 VpnSettings 的 XML 檔案。 這個檔案包含所有必要資訊:

  • VpnServer:Azure VPN 閘道的 FQDN。 這是用戶端所連線至的位址。
  • VpnType:您用來連線的通道類型。
  • 路由:您必須在設定檔中設定的路由,以便只有前往 Azure 虛擬網路的流量會透過 P2S 通道傳送。

GenericDevice 資料夾也包含一個稱為 VpnServerRoot 的 .cer 檔案。 此檔案包含在 P2S 連線設定期間驗證 Azure VPN 閘道所需的根憑證。 在將連線到 Azure 虛擬網路的所有裝置上安裝憑證。

使用檔案中的設定來設定 VPN 用戶端。

下一步

回到本文以完成 P2S 設定

如需 P2S 疑難排解詳細資訊,請參閱針對 Azure 點對站連線進行疑難排解