مشاركة عبر

إنشاء اتصال VPN لمستخدم P2S باستخدام Azure Virtual WAN - مصادقة معرف Microsoft Entra

  • مقالة

توضح لك هذه المقالة كيفية استخدام شبكة WAN الافتراضية للاتصال بمواردك في Azure. في هذه المقالة، يمكنك إنشاء اتصال VPN للمستخدم من نقطة إلى موقع ب Virtual WAN يستخدم Microsoft Entra IDauthentication. تتوفر مصادقة معرف Microsoft Entra فقط للبوابات التي تستخدم بروتوكول OpenVPN.

هام

نوصي باستخدام مقالة معرف تطبيق عميل Azure VPN المسجلة من Microsoft بدلا من ذلك. تتعلق الخطوات الواردة في هذه المقالة بالطريقة الأصلية لتكوين بوابة P2S لمصادقة Microsoft Entra ID. توفر المقالة الجديدة تجربة أكثر انسيابية وهي الطريقة الموصى بها لتكوين بوابة P2S. بالإضافة إلى ذلك، يتم دعم المزيد من عملاء VPN باستخدام الأسلوب الجديد.

يدعم Virtual WAN الآن معرف تطبيق جديد مسجل من Microsoft وقيم الجماعة المستهدفة المقابلة لأحدث إصدارات Azure VPN Client. عند تكوين بوابة VPN VPN لمستخدم P2S باستخدام قيم Audience الجديدة، يمكنك تخطي عملية التسجيل اليدوي لتطبيق Azure VPN Client لمستأجر Microsoft Entra. تم إنشاء معرف التطبيق بالفعل ويكون المستأجر الخاص بك قادرا على استخدامه تلقائيا دون أي خطوات تسجيل إضافية. هذه العملية أكثر أمانا من تسجيل عميل Azure VPN يدويا لأنك لا تحتاج إلى تخويل التطبيق أو تعيين أذونات عبر دور المسؤول العام.

في السابق، طلب منك تسجيل (دمج) تطبيق عميل Azure VPN يدويا مع مستأجر Microsoft Entra. يؤدي تسجيل تطبيق العميل إلى إنشاء معرف تطبيق يمثل هوية تطبيق عميل Azure VPN ويتطلب تخويلا باستخدام دور المسؤول العام. لفهم الفرق بين أنواع عناصر التطبيق بشكل أفضل، راجع كيفية إضافة التطبيقات إلى معرف Microsoft Entra وسبب إضافتها.

عندما يكون ذلك ممكنا، نوصي بتكوين بوابات VPN جديدة لمستخدم P2S باستخدام معرف تطبيق عميل Azure VPN المسجل من Microsoft وقيم الجمهور المقابلة له بدلا من تسجيل تطبيق عميل Azure VPN يدويا مع المستأجر الخاص بك. إذا كان لديك بوابة VPN لمستخدم P2S تم تكوينها مسبقا تستخدم مصادقة معرف Microsoft Entra، يمكنك تحديث البوابة والعملاء للاستفادة من معرف التطبيق الجديد المسجل من قبل Microsoft. يلزم تحديث بوابة P2S بقيمة Audience الجديدة إذا كنت تريد أن يتصل عملاء Linux. عميل Azure VPN ل Linux غير متوافق مع القيم القديمة للجمهور.

الاعتبارات

  • يمكن أن تدعم بوابة VPN لمستخدم P2S قيمة جماعة مستهدفة واحدة فقط. لا يمكن أن يدعم قيم الجماعة المستهدفة المتعددة في وقت واحد.

  • عميل Azure VPN ل Linux غير متوافق مع الإصدارات السابقة مع بوابات P2S المكونة لاستخدام قيم الجمهور القديمة التي تتوافق مع التطبيق المسجل يدويا. ومع ذلك، يدعم عميل Azure VPN ل Linux قيم الجماعات المستهدفة المخصصة.

  • في حين أنه من الممكن أن عميل Azure VPN ل Linux قد يعمل على توزيعات وإصدارات Linux الأخرى، فإن عميل Azure VPN لنظام Linux مدعوم فقط في الإصدارات التالية:

    • Ubuntu 20.04
    • Ubuntu 22.04

  • تتوافق أحدث إصدارات عملاء Azure VPN ل macOS وWindows مع بوابات P2S المكونة لاستخدام قيم الجمهور القديمة التي تتوافق مع التطبيق المسجل يدويا. يدعم هؤلاء العملاء أيضا قيم الجماعات المستهدفة المخصصة.

قيم جمهور عميل Azure VPN

يعرض الجدول التالي إصدارات عميل Azure VPN المعتمدة لكل معرف تطبيق وقيم الجماعة المستهدفة المتوفرة المقابلة.

معرف التطبيق قيم الجماعة المستهدفة المدعومة ‏‫العملاء المعتمدون
مسجل من قبل Microsoft تنطبق قيمة c632b3df-fb67-4d84-bdcf-b95ad541b5c8 الجماعة المستهدفة على:
- Azure Public
- Azure Government
- Azure Germany
- Microsoft Azure المشغل بواسطة 21Vianet		 - Linux
-نوافذ
- macOS
مسجل يدويا - Azure Public: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
- Azure Germany: 538ee9e6-310a-468d-afef-ea97365856a9
- Microsoft Azure المشغل بواسطة 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa		 -نوافذ
- macOS
مخصص <custom-app-id> - Linux
-نوافذ
- macOS

إشعار

يتم دعم مصادقة معرف Microsoft Entra فقط لاتصالات بروتوكول OpenVPN® وتتطلب عميل Azure VPN.

في هذه المقالة، ستتعرف على كيفية:

  • إنشاء شبكة WAN ظاهرية
  • إنشاء تكوين VPN للمستخدم
  • تنزيل ملف تعريف VPN لمستخدم WAN الظاهري
  • إنشاء مركز ظاهري
  • تحرير مركز لإضافة بوابة P2S
  • توصيل شبكة ظاهرية بمركز ظاهري
  • تنزيل وتطبيق تكوين عميل VPN الخاص بالمستخدم
  • عرض virtual WAN الخاصة بك

لقطة شاشة لرسم تخطيطي ل Virtual WAN.

قبل البدء

تحقق من استيفائك للمعايير الآتية قبل بدء تكوينك:

  • لديك شبكة افتراضية تريد الاتصال بها. تحقق من أن أي من الشبكات الفرعية من الشبكات المحلية تتداخل مع الشبكات الظاهرية التي ترغب في الاتصال بها. لإنشاء شبكة افتراضية في بوابة Azure، راجع مقالة التشغيل السريع.

  • لا تتضمن شبكتك الظاهرية أي بوابات شبكة ظاهرية. إذا كان لدى الشبكة الافتراضية عبارة (إما VPN أو ExpressRoute)، يجب إزالة جميع العبارات. يتطلب هذا التكوين ألا تتصل الشبكات الافتراضية إلا بعبارة Virtual WAN.

  • احصل على نطاق عنوان IP لمنطقة Virtual WAN الخاصة بك. المركز الافتراضي عبارة عن شبكة افتراضية يتم إنشاؤها واستخدامها من قبل Virtual WAN. لا يمكن أن يتداخل نطاق العنوان الذي تحدده للمركز مع أي شبكة من الشبكات الظاهرية الموجودة التي تتصل بها. كما لا يمكن أن تتداخل مع نطاقات العناوين التي تتصل بها محليًا. إذا لم تكن معتاداً على نطاقات عناوين IP الموجودة في تكوين الشبكة المحلية، فنسق مع شخص يمكنه تقديم هذه التفاصيل لك.

  • إذا لم يكن لديك اشتراك Azure، فأنشئ حسابًا مجانًا.

إنشاء شبكة WAN ظاهرية

من المستعرض، انتقل إلى مدخل Azure وسجِّل الدخول باستخدام حساب Azure الخاص بك.

  1. في المدخل، في شريط موارد البحث، اكتب شبكة WAN الظاهرية في مربع البحث وحدد إدخال.

  2. حدد شبكات WAN الظاهرية من النتائج. في صفحة شبكات WAN الظاهرية، حدد + إنشاء لفتح صفحة إنشاء WAN.

  3. في الصفحة إنشاء WAN، في علامة التبويب الأساسيات، قم بتعبئة الحقول. قم بتعديل قيم المثال لتطبيقها على البيئة الخاصة بك.

    لقطة شاشة تعرض جزء إنشاء WAN مع تحديد علامة التبويب

    • الاشتراك: حدد الاشتراك الذي تريد استخدامه.
    • مجموعة الموارد: أنشئ جديدًا أو استخدِم الموجود.
    • موقع مجموعة الموارد: اختر موقع مورد من القائمة المنسدلة. تعد WAN مصدراً عالمياً ولا تعيش في منطقة معينة. ومع ذلك، يجب عليك تحديد منطقة من أجل إدارة مورد WAN الذي تقوم بإنشائه وتحديد موقعه بسهولة أكبر.
    • الاسم: اكتب الاسم الذي تريد استدعاء شبكة WAN الظاهرية.
    • النوع: أساسي أو قياسي. حدد قياسي. إذا قمت بتحديد أساسي، فعليك أن تُدرك أن شبكات WAN الظاهرية الأساسية يمكن أن تحتوي فقط على لوحات الوصل الأساسية. يمكن استخدام لوحات الوصل الأساسية للاتصالات من موقع إلى موقع فقط.

  4. بعد الانتهاء من ملء الحقول، حدد مراجعة +إنشاء في أسفل الصفحة.

  5. بمجرد انتهاء التحقق من الصحة، انقر فوق إنشاء لإنشاء شبكة WAN الظاهرية.

إنشاء تكوين VPN للمستخدم

يحدد تكوين VPN الخاص بالمستخدم معلمات توصيل العملاء البعيدين. من المهم إنشاء تكوين User VPN قبل تكوين المحور الافتراضي الخاص بك باستخدام إعدادات P2S، حيث يجب عليك تحديد تكوين User VPN الذي تريد استخدامه.

  1. انتقل إلى صفحة تكوينات Vpn لـ Virtual WAN ->User وانقر فوق +Create user VPN config.

  2. في صفحة Basics، حدد المعلمات.

    لقطة شاشة للصفحة

    • اسم التكوين - أدخل الاسم الذي تريد استدعاء تكوين VPN للمستخدم الخاص بك.
    • نوع النفق - حدد OpenVPN من القائمة المنسدلة.

  3. انقر فوق معرف Microsoft Entra لفتح الصفحة. قد تظل هذه الصفحة أيضا تسمى Azure Active Directory.

    لقطة شاشة لصفحة معرف Microsoft Entra.

    قم بتبديل معرف Microsoft Entra إلى نعم وقم بتوفير القيم التالية استنادا إلى تفاصيل المستأجر. يمكنك عرض القيم الضرورية في صفحة معرف Microsoft Entra لتطبيقات المؤسسة في المدخل.

    • أسلوب المصادقة - حدد معرف Microsoft Entra.

    • Audience - اكتب معرف التطبيق لتطبيق Azure VPN Client Enterprise المسجل في مستأجر Microsoft Entra. للحصول على القيم، راجع: قيم جمهور عميل Azure VPN

    • مصدر الشهادة - https://sts.windows.net/<your Directory ID>/

    • مستأجر Microsoft Entra: TenantID لمستأجر Microsoft Entra. تأكد من عدم / وجود في نهاية عنوان URL لمستأجر Microsoft Entra.

      • إدخال https://login.microsoftonline.com/<your Directory Tenant ID> لمصمم تطبيق Azure Public
      • أدخال https://login.microsoftonline.us/<your Directory Tenant ID> مصمم التطبيق Azure Government
      • أدخال https://login-us.microsoftonline.de/<your Directory Tenant ID> لمصمم التطبيق Azure Germany
      • أدخال https://login.chinacloudapi.cn/<your Directory Tenant ID> للصين 21Vianet AD

  4. انقر فوق إنشاء لإنشاء تكوين VPN للمستخدم. ستحدد هذا التكوين لاحقًا في التمرين.

إنشاء مركز فارغ

لهذا التمرين، نقوم بإنشاء مركز ظاهري فارغ في هذه الخطوة، وفي القسم التالي، يمكنك إضافة بوابة P2S إلى هذا المركز. ومع ذلك، يمكنك دمج هذه الخطوات وإنشاء المركز مع إعدادات بوابة P2S كلها في وقت واحد. والنتيجة هي نفسها في كلتا الحالتين. بعد تكوين الإعدادات، انقر فوق Review + create للتحقق من الصحة، ثم Create.

  1. انتقل إلى شبكة WAN الظاهرية التي قمت بإنشائها. في الجزء الأيسر من صفحة شبكة WAN الظاهرية، أسفل Connectivity حدد Hubs.

  2. في صفحة المراكز، حدد +مركز جديد لفتح صفحة إنشاء مركز ظاهري.

    لقطة شاشة تعرض جزء إنشاء مركز ظاهري مع تحديد علامة التبويب الأساسيات.

  3. في الصفحة إنشاء مركز ظاهري، علامة التبويب الأساسيات، أكمل الحقول التالية:

    • المنطقة: حدد المنطقة التي تريد نشر المركز الظاهري فيها.
    • الاسم: الاسم الذي تريد أن يُعرف به المركز الظاهري.
    • "Hub private address space": نطاق عنوان المركز في رمز CIDR. الحد الأدنى لمساحة العنوان هو /24 لإنشاء مركز.
    • Virtual hub capacity: حدد من القائمة المنسدلة. لمزيد من المعلومات، راجع إعدادات المركز الظاهري.
    • تفضيل توجيه المركز: اترك الإعداد كإعداد افتراضي، ExpressRoute ما لم تكن لديك حاجة محددة لتغيير هذا الحقل. لمزيد من المعلومات، راجع تفضيل توجيه المركز الظاهري.

إضافة بوابة P2S إلى مركز

يوضح لك هذا القسم كيفية إضافة بوابة إلى مركز ظاهري موجود بالفعل. قد تستغرق هذه الخطوة ما يصل إلى 30 دقيقة حتى يكتمل تحديث الموزع.

  1. انتقل إلى صفحة Hubs ضمن virtual WAN.

  2. انقر فوق اسم المركز الذي تريد تحريره لفتح صفحة المركز.

  3. انقر فوق Edit virtual hub في أعلى الصفحة لفتح صفحة Edit virtual hub .

  4. في صفحة Edit virtual hub، حدد خانات الاختيار تضمين بوابة vpn لمواقع VPNوتضمين بوابة من نقطة إلى موقع للكشف عن الإعدادات. ثم قم بتكوين القيم.

    تظهر لقطة الشاشة تحرير المركز الظاهري.

    • "Gateway scale units": حدد قيمة "Gateway scale units" من القائمة المنسدلة. تمثل وحدات القياس السعة الإجمالية لبوابة مستخدم VPN. إذا قمت بتحديد 40 أو أكثر من وحدات مقياس البوابة، فقم بتخطيط قائمة عناوين العملاء وفقًا لذلك. للحصول على معلومات حول كيفية تأثير هذا الإعداد على قائمة عناوين العملاء، راجع حول قائمة عناوين العملاء. للحصول على معلومات حول وحدات مقياس البوابة، راجع الأسئلة الشائعة.
    • تكوين VPN للمستخدم: حدد التكوين الذي قمت بإنشائه سابقًا.
    • تعيين مجموعات المستخدمين لتجمعات العناوين: للحصول على معلومات حول هذا الإعداد، راجع تكوين مجموعات المستخدمين وتجمعات عناوين IP ل P2S User VPNs (معاينة).

  5. بعد تكوين الإعدادات، انقر فوق تأكيد لتحديث المركز. قد يستغرق تحديث المركز ما يصل إلى 30 دقيقة.

توصيل الشبكة الظاهرية بالمركز

في هذا القسم، يمكنك إنشاء اتصال بين المركز الظاهري والشبكة الظاهرية.

  1. في مدخل Microsoft Azure، انتقل إلى Virtual WAN في الجزء الأيمن، وحدد Virtual network connections.

  2. في صفحة Virtual network connections ، حدد + Add connection.

  3. في صفحة إضافة اتصال ، قم بتكوين إعدادات الاتصال. للحصول على معلومات حول إعدادات التوجيه، راجع حول التوجيه.

    • Connection name: اسم الاتصال.
    • المراكز: حدد المركز الذي تريد إقرانه بهذا الاتصال.
    • الاشتراك: تحقق من الاشتراك.
    • مجموعة الموارد: حدد مجموعة الموارد التي تحتوي على الشبكة الظاهرية التي تريد الاتصال بها.
    • الشبكة الظاهرية: حدد الشبكة الظاهرية التي تريد الاتصال بها. لا يمكن أن تكون للشبكة الظاهرية التي تحددها بوابة شبكة ظاهرية موجودة بالفعل.
    • النشر إلى بلا: يتم تعيين هذا إلى لا بشكل افتراضي. يؤدي تغيير المفتاح إلى نعم إلى جعل خيارات التكوين للنشر إلى جداول التوجيه ونشر إلى التسميات غير متوفرة للتكوين.
    • إقران جدول التوجيه: من القائمة المنسدلة، يمكنك تحديد جدول توجيه تريد إقرانه.
    • النشر إلى التسميات: التسميات هي مجموعة منطقية من جداول التوجيه. لهذا الإعداد، حدد من القائمة المنسدلة.
    • المسارات الثابتة: تكوين المسارات الثابتة، إذا لزم الأمر. تكوين المسارات الثابتة للأجهزة الظاهرية للشبكة (إن أمكن). تدعم شبكة WAN الظاهرية مرحلة IP التالية للمسار الثابت في اتصال الشبكة الظاهرية. على سبيل المثال، إذا كان لديك جهاز ظاهري منفصل لتدفق حركة مرور الدخول والخروج، فمن الأفضل أن يكون لديك الأجهزة الظاهرية في شبكات ظاهرية منفصلة وإرفاق الشبكات الظاهرية بالمركز الظاهري.
    • تجاوز عنوان IP الوثب التالي لأحمال العمل داخل الشبكة الظاهرية هذه: يتيح لك هذا الإعداد نشر NVAs وأحمال العمل الأخرى في نفس الشبكة الظاهرية دون فرض جميع حركة المرور من خلال NVA. يمكن تكوين هذا الإعداد فقط عند تكوين اتصال جديد. إذا كنت تريد استخدام هذا الإعداد لاتصال قمت بإنشائه بالفعل، فاحذف الاتصال، ثم أضف اتصالا جديدا.
    • نشر مسار ثابت: يتم حاليا نشر هذا الإعداد. يتيح لك هذا الإعداد نشر المسارات الثابتة المحددة في قسم المسارات الثابتة لتوجيه الجداول المحددة في نشر إلى جداول التوجيه. بالإضافة إلى ذلك، سيتم نشر التوجيهات إلى جداول التوجيه التي تحتوي على تسميات محددة على أنها نشر إلى التسميات. يمكن نشر هذه المسارات بين المراكز، باستثناء المسار الافتراضي 0/0.

  4. بمجرد الانتهاء من الإعدادات التي تريد تكوينها، انقر فوق إنشاء لإنشاء الاتصال.

تنزيل ملف تعريف VPN للمستخدم

يتم تضمين كافة إعدادات التكوين الضرورية لعملاء VPN في ملف تكوين عميل VPN مضغوط. تُساعدك الإعدادات الموجودة في الملف المضغوط على تكوين عملاء VPN بسهولة. تُعدّ ملفات تكوين عميل VPN التي تقوم بإنشائها مُخصصة لتكوين VPN للمستخدم للبوابة الخاصة بك. يمكنك تنزيل ملفات تعريف عمومية (على مستوى WAN) أو ملف تعريف لمركز معين. للحصول على معلومات وإرشادات إضافية، راجع تنزيل ملفات التعريف العمومية وملفات تعريف المركز. ترشدك الخطوات التالية خلال تنزيل ملف تعريف عالمي على مستوى WAN.

  1. لإنشاء حزمة تكوين عميل VPN لملف تعريف عمومي على مستوى WAN، انتقل إلى شبكة WAN الظاهرية (وليس المركز الظاهري).

  2. في الجزء الأيمن، حدد تكوينات VPN للمستخدم.

  3. حدد التكوين الذي تريد تنزيل ملف التعريف له. إذا كان لديك مراكز متعددة معينة إلى نفس ملف التعريف، فقم بتوسيع ملف التعريف لإظهار المراكز، ثم حدد أحد المراكز التي تستخدم ملف التعريف.

  4. حدد تنزيل ملف تعريف VPN للمستخدم في WAN الظاهري.

  5. في صفحة التنزيل، حدد EAPTLS، ثم Generate and download profile. يتم إنشاء حزمة ملف تعريف (ملف مضغوط) تحتوي على إعدادات تكوين العميل وتنزيلها على الكمبيوتر لديك. تعتمد محتويات الحزمة على المصادقة وخيارات النفق للتكوين الخاص بك.

تكوين عملاء VPN للمستخدم

يجب أن يحتوي كل كمبيوتر يتصل على عميل مثبت. يمكنك تكوين كل عميل باستخدام ملفات ملف تعريف عميل مستخدم VPN التي قمت بتنزيلها في الخطوات السابقة. استخدم المقالة المتعلقة بنظام التشغيل الذي تريد توصيله.

أسلوب المصادقة نوع النفق نظام تشغيل العميل عميل VPN
شهادة
IKEv2، SSTP Windows عميل VPN الأصلي
الإصدار 2 من Internet Key Exchange (مفتاح الإنترنت التبادلي) macOS عميل VPN الأصلي
الإصدار 2 من Internet Key Exchange (مفتاح الإنترنت التبادلي) Linux strongSwan
OpenVPN Windows عميل Azure VPN
OpenVPN client version 2.x
OpenVPN client version 3.x
OpenVPN macOS عميل OpenVPN
OpenVPN iOS عميل OpenVPN
OpenVPN Linux عميل Azure VPN
عميل OpenVPN
Microsoft Entra ID
OpenVPN Windows عميل Azure VPN
OpenVPN macOS عميل Azure VPN
OpenVPN Linux عميل Azure VPN

عرض virtual WAN الخاصة بك

  1. انتقل إلى صفحة WAN الافتراضية.
  2. في صفحة "Overview"، تُمثّل كل نقطة على الخريطة مركزاً.
  3. في قسم "Hubs and connections"، يُمكنك عرض حالة المركز، والموقع، والمنطقة، وحالة اتصال VPN، ووحدات البايت الواردة والصادرة.

تنظيف الموارد

عندما لا تعود بحاجة إلى الموارد التي أنشأتها، قم بحذفها. يجب حذف بعض موارد Virtual WAN بترتيب مُعين بسبب التبعيات. يُمكن أن يستغرق اكتمال الحذف حوالي 30 دقيقة.

  1. افتح شبكة WAN الافتراضية التي قمت بإنشائها.

  2. حدد المركز الافتراضي المقترن بشبكة WAN الافتراضية لفتح صفحة المركز.

  3. احذف جميع كيانات البوابة التي تتبع الترتيب أدناه لكل نوع بوابة. يمكن أن يستغرق إكمال المركز حوالي 30 دقيقة.

    VPN:

    • افصل مواقع VPN
    • إعداد اتصالات VPN
    • احذف بوابات VPN

    الطريق السريع:

    • احذف اتصالات ExpressRoute
    • احذف بوابات ExpressRoute

  4. كرر لجميع المراكز المقترنة بشبكة WAN الافتراضية.

  5. يمكنك إما حذف المراكز في هذه المرحلة، أو حذف المراكز لاحقًا عند حذف مجموعة الموارد.

  6. انتقل إلى مجموعة الموارد في بوابة Azure.

  7. حدد Delete resource group. يؤدي ذلك إلى حذف الموارد الأخرى في مجموعة الموارد، بما في ذلك الموزعات وWAN الظاهرية.

الخطوات التالية

للحصول على الأسئلة المتداولة حول Virtual WAN، راجع الأسئلة المتداولة حول Virtual WAN.