مشاركة عبر

تكوين إعدادات الخادم لمصادقة RADIUS لبوابة VPN P2S

  • مقالة

تساعدك هذه المقالة على إنشاء اتصال من نقطة إلى موقع (P2S) يستخدم مصادقة RADIUS. يمكنك إنشاء هذا التكوين باستخدام PowerShell أو مدخل Microsoft Azure. تعمل الخطوات الواردة في هذه المقالة لكل من بوابات VPN في الوضع النشط-النشط وبوابات VPN في وضع الاستعداد النشط.

تكون اتصالات P2S VPN مفيدة عندما تريد الاتصال بشبكتك الظاهرية من موقع بعيد، مثل عندما تتصل عن بعد من المنزل أو مؤتمر. يمكنك أيضا استخدام P2S بدلا من VPN من موقع إلى موقع (S2S) عندما يكون لديك عدد قليل فقط من العملاء الذين يحتاجون إلى الاتصال بشبكة ظاهرية. لا تتطلب الاتصالات من نقطة إلى جهاز VPN أو عنوان IP عام. هناك العديد من خيارات التكوين المختلفة المتاحة ل P2S. لمزيد من المعلومات حول VPN من نقطة إلى موقع، راجع حول VPN من نقطة إلى موقع.

يتطلب هذا النوع من الاتصال ما يلي:

  • بوابة RouteBased VPN باستخدام بوابة VPN SKU بخلاف Basic SKU.
  • خادم RADIUS للتعامل مع مصادقة المستخدم. يمكن نشر خادم RADIUS محليا، أو في شبكة Azure الظاهرية (VNet). يمكنك أيضًا تكوين خادمين RADIUS للتوفر العالي.
  • حزمة تكوين ملف تعريف عميل VPN. حزمة تكوين ملف تعريف عميل VPN هي حزمة تنشئها. يحتوي على الإعدادات المطلوبة لعميل VPN للاتصال عبر P2S.

القيود:

  • إذا كنت تستخدم IKEv2 مع RADIUS، يتم دعم المصادقة المستندة إلى EAP فقط.
  • لا يمكن استخدام اتصال ExpressRoute للاتصال بخادم RADIUS محلي.

حول مصادقة مجال Active Directory (AD) لشبكات P2S VPN

تسمح مصادقة مجال AD للمستخدمين بتسجيل الدخول إلى Azure باستخدام بيانات اعتماد مجال مؤسستهم. يتطلب خادم RADIUS الذي يتكامل مع خادم AD. يمكن للمؤسسات أيضا استخدام توزيع RADIUS الحالي.

يمكن أن يتواجد خادم RADIUS محليا، أو في شبكة Azure الظاهرية. في أثناء المصادقة، تعمل بوابة Azure VPN كمرور عبر رسائل المصادقة وتعيد توجيهها عدة مرات بين خادم RADIUS والجهاز الذي يقوم بالاتصال. من المهم أن تكون بوابة VPN قادرة على الوصول إلى خادم RADIUS. إذا كان خادم RADIUS موجود محلياً، عندئذٍ يلزم توفر اتصال VPN من موقع إلى موقع من Azure إلى الموقع المحلي.

بصرف النظر عن Active Directory، يمكن لخادم RADIUS أيضًا التكامل مع أنظمة الهوية الخارجية الأخرى. هذا يفتح الكثير من خيارات المصادقة لشبكات VPN من نقطة إلى موقع، بما في ذلك خيارات المصادقة متعددة العوامل. تحقق من وثائق مورد خادم RADIUS للحصول على قائمة بأنظمة الهوية التي يتكامل معها.

رسم تخطيطي لاتصال P2S لمصادقة RADIUS.

إعداد خادم RADIUS

قبل تكوين إعدادات نقطة إلى موقع لبوابة الشبكة الظاهرية، يجب تكوين خادم RADIUS بشكل صحيح للمصادقة.

  1. إذا لم يكن لديك خادم RADIUS تم نشره، فقم بنشر واحد. للحصول على خطوات النشر، راجع دليل الإعداد الذي يوفره مورد RADIUS.  
  2. قم بتكوين بوابة VPN كعميل RADIUS على RADIUS. عند إضافة عميل RADIUS هذا، حدد شبكة الاتصال الظاهرية GatewaySubnet التي قمت بإنشائها.
  3. بمجرد إعداد خادم RADIUS، احصل على عنوان IP الخاص بخادم RADIUS والسر المشترك الذي يجب على عملاء RADIUS استخدامه للتحدث إلى خادم RADIUS. إذا كان خادم RADIUS في شبكة Azure الظاهرية، فاستخدم عنوان IP المرجع المصدق للجهاز الظاهري لخادم RADIUS.

توفر مقالة خادم نهج الشبكة (NPS) إرشادات حول تكوين خادم RADIUS (NPS) Windows لمصادقة مجال AD.

التحقق من بوابة VPN الخاصة بك

يجب أن يكون لديك بوابة VPN مستندة إلى التوجيه متوافقة مع تكوين P2S الذي تريد إنشاؤه واتصال عملاء VPN. للمساعدة في تحديد تكوين P2S الذي تحتاجه، راجع جدول عميل VPN. إذا كانت البوابة تستخدم Basic SKU، ففهم أن Basic SKU لديها قيود P2S ولا تدعم مصادقة IKEv2 أو RADIUS. لمزيد من المعلومات، راجع حول وحدات SKU للبوابة.

إذا لم يكن لديك بعد بوابة VPN عاملة متوافقة مع تكوين P2S الذي تريد إنشاؤه، فشاهد إنشاء بوابة VPN وإدارتها. إنشاء بوابة VPN متوافقة، ثم العودة إلى هذه المقالة لتكوين إعدادات P2S.

إضافة قائمة عناوين عميل VPN

قائمة عناوين العميل هو نطاق من عناوين IP الخاصة التي تحددها. يتلقى العملاء الذين يتصلون عبر VPN من نقطة إلى موقع بشكل ديناميكي عنوان IP من هذا النطاق. استخدم نطاق عناوين IP خاص لا يتراكب مع الموقع المحلي الذي تتصل منه، أو VNet الذي تريد الاتصال به. إذا قمت بتكوين بروتوكولات متعددة SSTP أحد البروتوكولات ثم يتم تقسيم قائمة العناوين المكونة بين البروتوكولات المكونة بالتساوي.

  1. في مدخل Microsoft Azure، انتقل إلى بوابة VPN الخاصة بك.

  2. في صفحة البوابة الخاصة بك، في الجزء الأيمن، حدد تكوين نقطة إلى موقع.

  3. انقر فوق تكوين الآن لفتح صفحة التكوين.

    لقطة شاشة لصفحة تكوين من نقطة إلى موقع - تجمع العناوين.

  4. في صفحة التكوين من نقطة إلى موقع، في مربع تجمع العناوين، أضف نطاق عناوين IP الخاص الذي تريد استخدامه. يتلقى عملاء VPN عنوان IP بشكل حيوي من النطاق الذي تحدده. الحد الأدنى قناع الشبكة الفرعية هو 29 بت النشط/السلبي و28 بت للتكوين النشط/النشط.

  5. تابع إلى القسم التالي لتكوين المزيد من الإعدادات.

تحديد نوع النفق والمصادقة

في هذا القسم، تحدد نوع النفق ونوع المصادقة. يمكن أن تصبح هذه الإعدادات معقدة. يمكنك تحديد الخيارات التي تحتوي على أنواع أنفاق متعددة من القائمة المنسدلة، مثل IKEv2 وOpenVPN (SSL) أو IKEv2 وSSTP (SSL). تتوفر مجموعات معينة فقط من أنواع الأنفاق وأنواع المصادقة.

يجب أن يتوافق نوع النفق ونوع المصادقة مع برنامج عميل VPN الذي تريد استخدامه للاتصال ب Azure. عندما يكون لديك العديد من عملاء VPN الذين يتصلون من أنظمة تشغيل مختلفة، يعد التخطيط لنوع النفق ونوع المصادقة أمرا مهما.

إشعار

إذا كنت لا ترى نوع النفق أو نوع المصادقة في صفحة تكوين من نقطة إلى موقع، فإن بوابتك تستخدم Basic SKU. لا تدعم وحدة SKU الأساسية مصادقة IKEv2 أو RADIUS. إذا كنت تريد استخدام هذه الإعدادات، تحتاج إلى حذف البوابة وإعادة إنشائها باستخدام بوابة SKU مختلفة.

  1. بالنسبة إلى نوع النفق، حدد نوع النفق الذي تريد استخدامه.

  2. بالنسبة لنوع المصادقة، من القائمة المنسدلة، حدد مصادقة RADIUS.

    لقطة شاشة لصفحة تكوين من نقطة إلى موقع - نوع المصادقة.

إضافة عنوان IP عام آخر

إذا كان لديك بوابة وضع نشط-نشط، تحتاج إلى تحديد عنوان IP عام ثالث لتكوين نقطة إلى موقع. في المثال، نقوم بإنشاء عنوان IP العام الثالث باستخدام قيمة المثال VNet1GWpip3. إذا لم تكن بوابتك في الوضع النشط-النشط، فلن تحتاج إلى إضافة عنوان IP عام آخر.

لقطة شاشة لصفحة تكوين نقطة إلى موقع - عنوان IP العام.

تحديد خادم RADIUS

في المدخل، حدد الإعدادات التالية:

  • عنوان IP للخادم الأساسي
  • سر الخادم الأساسي. هذا هو سر RADIUS ويجب أن يتطابق مع ما تم تكوينه على خادم RADIUS الخاص بك.

الإعدادات الاختيارية:

  • يمكنك اختياريا تحديد عنوان IP للخادم الثانوي وسر الخادم الثانوي. هذا مفيد لسيناريوهات قابلية الوصول العالية.
  • مسارات إضافية للإعلان عنها. لمزيد من المعلومات حول هذا الإعداد، راجع الإعلان عن المسارات المخصصة.

عند الانتهاء من تحديد تكوين نقطة إلى موقع، حدد حفظ في أعلى الصفحة.

تكوين عميل VPN والاتصال

تحتوي حزم تكوين ملف تعريف عميل VPN على الإعدادات التي تساعدك على تكوين ملفات تعريف عميل VPN للاتصال بشبكة Azure الظاهرية.

لإنشاء حزمة تكوين عميل VPN وتكوين عميل VPN، راجع إحدى المقالات التالية:

بعد تكوين عميل VPN، عينه إلى Azure.

للتحقق من اتصالك

  1. للتحقق من أن اتصال VPN الخاص بك نشط، على كمبيوتر العميل، افتح موجه أوامر غير مقيد، وقم بتشغيل ipconfig/all.

  2. عرض النتائج. لاحظ أن عنوان IP الذي تلقيته هو أحد العناوين الموجودة في قائمة عناوين عميل VPN من نقطة إلى موقع الذي حددته في تكوينك الخاص. النتائج مشابهة لهذا المثال:

    PPP adapter VNet1:
   Connection-specific DNS Suffix .:
   Description.....................: VNet1
   Physical Address................:
   DHCP Enabled....................: No
   Autoconfiguration Enabled.......: Yes
   IPv4 Address....................: 172.16.201.3(Preferred)
   Subnet Mask.....................: 255.255.255.255
   Default Gateway.................:
   NetBIOS over Tcpip..............: Enabled

لاستكشاف أخطاء اتصال P2S وإصلاحها، راجع استكشاف أخطاء اتصالات Azure من نقطة إلى موقع وإصلاحها.

الأسئلة المتداولة

للحصول على معلومات الأسئلة المتداولة، راجع قسم مصادقة RADIUS من نقطة إلى موقع الخاص بالأسئلة المتداولة.

الخطوات التالية

لمزيد من المعلومات حول VPN من نقطة إلى موقع، راجع حول VPN من نقطة إلى موقع.