Alagúthasználat kényszerítése Virtual WAN pont-hely közötti VPN-hez

Cikk
12/17/2024

A kényszerített bújtatás lehetővé teszi az összes forgalmat (beleértve az internethez kötött forgalmat) a távoli felhasználókról az Azure-ba. A Virtual WAN-ban a pont–hely VPN távoli felhasználók kényszerített bújtatása azt jelzi, hogy a 0.0.0.0/0 alapértelmezett útvonal a távoli VPN-felhasználók számára van meghirdetve.

Virtuális WAN-központ létrehozása

A cikk lépései feltételezik, hogy már üzembe helyezett egy virtuális WAN-t egy vagy több központtal.

Új virtuális WAN és új központ létrehozásához kövesse az alábbi cikkek lépéseit:

Pont–hely VPN beállítása

A cikk lépései azt is feltételezik, hogy már üzembe helyezett egy pont–hely VPN-átjárót a Virtual WAN hubon. Azt is feltételezi, hogy pont–hely VPN-profilokat hozott létre az átjáróhoz való hozzárendeléshez.

A pont–hely VPN-átjáró és a kapcsolódó profilok létrehozásához lásd : Pont–hely VPN-átjáró létrehozása.

Az ügyfelek alapértelmezett útvonalának meghirdetés

Többféleképpen is konfigurálhatja a kényszerített bújtatást, és meghirdetheti az alapértelmezett útvonalat (0.0.0.0/0) a Virtual WAN-hoz csatlakoztatott távoli felhasználói VPN-ügyfeleknek.

Statikus 0.0.0.0/0 útvonalat a következő ugrásos virtuális hálózati kapcsolattal rendelkező defaultRouteTable-ban adhat meg. Ez arra kényszeríti az internethez kötött összes forgalmat, hogy az adott küllős virtuális hálózaton üzembe helyezett hálózati virtuális berendezésre legyen küldve. Részletesebb útmutatásért tekintse meg a Route through NVA-kban leírt alternatív munkafolyamatot.
Az Azure Firewall Managerrel konfigurálhatja a Virtual WAN-t, hogy az összes internethez kötött forgalmat a Virtual WAN-központban üzembe helyezett Azure Firewallon keresztül küldje el. A konfigurációs lépésekről és az oktatóanyagról az Azure Firewall Manager virtuális központok biztonságossá tételével kapcsolatos dokumentációjában olvashat. Ezt az internetes forgalomirányítási szabályzattal is konfigurálhatja. További információ: Útválasztási szándék és útválasztási szabályzatok.
A Tűzfalkezelővel internetes forgalmat küldhet egy külső biztonsági szolgáltatón keresztül. Erről a funkcióról további információt a Megbízható biztonsági szolgáltatók című témakörben talál.
Az egyik ágát (helyek közötti VPN, ExpressRoute-kapcsolatcsoport) konfigurálhatja a 0.0.0.0/0 útvonal virtual WAN-ba való meghirdetéséhez.

A fenti négy módszer egyikének konfigurálása után győződjön meg arról, hogy az EnableInternetSecurity jelző be van kapcsolva a pont–hely VPN-átjáróhoz. Ezt a jelzőt igaz értékre kell állítani ahhoz, hogy az ügyfelek megfelelően konfigurálva legyenek a kényszerített bújtatáshoz.

Az EnableInternetSecurity jelző bekapcsolásához használja a következő PowerShell-parancsot, és helyettesítse a környezetének megfelelő értékeket.

Update-AzP2sVpnGateway -ResourceGroupName "sampleRG" -Name "p2sgwsamplename" -EnableInternetSecurityFlag

A pont–hely VPN-profil letöltése

A pont–hely VPN-profil letöltéséhez tekintse meg a globális és a központi profilokat. Az Azure Portalról letöltött zip-fájl adatai kritikus fontosságúak az ügyfelek megfelelő konfigurálásához.

Kényszerített bújtatás konfigurálása Azure VPN-ügyfelekhez (OpenVPN)

A kényszerített bújtatás konfigurálásának lépései a végfelhasználói eszköz operációs rendszerétől függően eltérőek.

Windows-ügyfelek

Feljegyzés

Windows-ügyfelek esetén a kényszerített bújtatás az Azure VPN-ügyféllel csak a 2:1900:39.0-s vagy újabb szoftververzióval érhető el.

Ellenőrizze, hogy az Azure VPN-ügyfél verziója kompatibilis-e a kényszerített bújtatással. Ehhez kattintson a három pontra az Azure VPN-ügyfél alján, és kattintson a Súgó elemre. Másik lehetőségként a ctrl-H billentyűkombinációt is használhatja a súgóhoz való navigáláshoz. A verziószám a képernyő tetején található. Győződjön meg arról, hogy a verziószáma 2:1900:39.0 vagy újabb.
Nyissa meg az előző szakaszból letöltött zip-fájlt. Egy AzureVPN nevű mappát kell látnia. Nyissa meg a mappát, és nyissa meg a azurevpnconfig.xml a kedvenc XML-szerkesztőeszközében.
A azureconfig.xml van egy verzió nevű mező. Ha a verziócímkék közötti szám 1, módosítsa a verziószámot 2-esre.
```
<version>2</version>
```
Importálja a profilt az Azure VPN-ügyfélbe. A profilok importálásáról további információt az Azure VPN-ügyfél importálási utasításaiban talál.
Csatlakozzon az újonnan hozzáadott kapcsolathoz. Most kényszeríti az Azure Virtual WAN felé történő összes forgalmat.

macOS-ügyfelek

Miután egy macOS-ügyfél megtanulta az alapértelmezett útvonalat az Azure-ból, a kényszerített bújtatás automatikusan konfigurálva lesz az ügyféleszközön. Nincs szükség további lépésekre. A macOS Azure VPN-ügyfél virtuális WAN pont–hely VPN-átjáróhoz való csatlakozására vonatkozó utasításokért tekintse meg a macOS konfigurációs útmutatóját.

Kényszerített bújtatás konfigurálása IKEv2-ügyfelekhez

Az IKEv2-ügyfelek esetében nem használhatja közvetlenül az Azure Portalról letöltött végrehajtható profilokat. Az ügyfél megfelelő konfigurálásához PowerShell-szkriptet kell futtatnia, vagy el kell osztania a VPN-profilt az Intune-on keresztül.

A pont–hely VPN-átjárón konfigurált hitelesítési módszer alapján használjon egy másik EAP-konfigurációs fájlt. A minta EAP-konfigurációs fájlokat alább találja.

IKEv2 felhasználói tanúsítvány hitelesítésével

Ha felhasználói tanúsítványokat szeretne használni a távoli felhasználók hitelesítéséhez, használja az alábbi PowerShell-példaszkriptet. A VpnSettings és az EAP XML-fájlok tartalmának a PowerShellbe való megfelelő importálásához keresse meg a megfelelő könyvtárat a Get-Content PowerShell parancs futtatása előtt.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"

# get the VPN Server FQDN from the profile downloaded from Azure Portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false

Az alábbi példa egy EAP XML-fájlt mutat be a felhasználótanúsítvány-alapú hitelesítéshez. Cserélje le a IssuerHash mezőt a főtanúsítvány ujjlenyomatára, hogy az ügyféleszköz a vpn-kiszolgálónak a hitelesítéshez a megfelelő tanúsítványt válassza ki.

<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
    <EapMethod>
        <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
        <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
        <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
        <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
    </EapMethod>
    <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
        <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
            <Type>13</Type>
            <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                <CredentialsSource>
                    <CertificateStore>
                        <SimpleCertSelection>true</SimpleCertSelection>
                    </CertificateStore>
                </CredentialsSource>
                <ServerValidation>
                    <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                    <ServerNames></ServerNames>
                </ServerValidation>
                <DifferentUsername>false</DifferentUsername>
                <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                    <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                        <CAHashList Enabled="true">
                            <IssuerHash> REPLACE THIS WITH ROOT CERTIFICATE THUMBPRINT </IssuerHash>
                        </CAHashList>
                    </FilteringInfo>
                </TLSExtensions>
            </EapType>
        </Eap>
    </Config>
</EapHostConfig>

IKEv2 gépi tanúsítványhitelesítéssel

Ha gépi tanúsítványokat szeretne használni a távoli felhasználók hitelesítéséhez, használja az alábbi PowerShell-példaszkriptet. A VpnSettings és az EAP XML-fájlok tartalmának a PowerShellbe való megfelelő importálásához keresse meg a megfelelő könyvtárat a Get-Content PowerShell parancs futtatása előtt.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "UserCertVPNConnection"

# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod MachineCertificate 

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false

IKEv2 RADIUS-kiszolgáló hitelesítésével felhasználónévvel és jelszóval (EAP-MSCHAPv2)

Ha felhasználónév- és jelszóalapú RADIUS-hitelesítést (EAP-MASCHAPv2) szeretne használni a távoli felhasználók hitelesítéséhez, használja az alábbi PowerShell-példaszkriptet. A VpnSettings és az EAP XML-fájlok tartalmának a PowerShellbe való megfelelő importálásához keresse meg a megfelelő könyvtárat a Get-Content PowerShell parancs futtatása előtt.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"

# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Point-to-sitev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false

Ilyen például az EAP XML-fájl.

<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
    <EapMethod>
        <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">26</Type>
        <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
        <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
        <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
    </EapMethod>
    <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
        <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
            <Type>26</Type>
            <EapType xmlns="http://www.microsoft.com/provisioning/MsChapV2ConnectionPropertiesV1">
                <UseWinLogonCredentials>false</UseWinLogonCredentials>
            </EapType>
        </Eap>
    </Config>
</EapHostConfig>

IKEv2 RADIUS-kiszolgálói hitelesítéssel felhasználói tanúsítványokkal (EAP-TLS)

Ha tanúsítványalapú RADIUS-hitelesítést (EAP-TLS) szeretne használni a távoli felhasználók hitelesítéséhez, használja az alábbi PowerShell-példaszkriptet. Vegye figyelembe, hogy ahhoz, hogy a VpnSettings és az EAP XML-fájlok tartalmát a PowerShellbe importálhassa, a Get-Content PowerShell parancs futtatása előtt a megfelelő könyvtárba kell navigálnia.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"

# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false

Az alábbiakban egy minta EAP XML-fájl látható. Módosítsa a TrustedRootCA mezőt a hitelesítésszolgáltató tanúsítványának ujjlenyomatára, a IssuerHash pedig a főtanúsítvány ujjlenyomatára.

<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
    <EapMethod>
        <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
        <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
        <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
        <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
    </EapMethod>
    <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
        <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
            <Type>13</Type>
            <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                <CredentialsSource>
                    <CertificateStore>
                        <SimpleCertSelection>false</SimpleCertSelection>
                    </CertificateStore>
                </CredentialsSource>
                <ServerValidation>
                    <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                    <ServerNames></ServerNames>
                    <TrustedRootCA> CERTIFICATE AUTHORITY THUMBPRINT </TrustedRootCA>
                </ServerValidation>
                <DifferentUsername>true</DifferentUsername>
                <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation>
                <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName>
                <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                    <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                        <CAHashList Enabled="true">
                            <IssuerHash> ROOT CERTIFICATE THUMBPRINT  </IssuerHash>
                        </CAHashList>
                    </FilteringInfo>
                </TLSExtensions>
            </EapType>
        </Eap>
    </Config>
</EapHostConfig>

Következő lépések

A Virtual WAN-ról további információt a gyakori kérdések között talál.

Megosztás a következőn keresztül: