Megosztás a következőn keresztül:

A P2S VPN Gateway RADIUS-hitelesítés kiszolgálóbeállításainak konfigurálása

  • Cikk

Ez a cikk segít létrehozni egy pont–hely (P2S) kapcsolatot, amely RADIUS-hitelesítést használ. Ezt a konfigurációt a PowerShell vagy az Azure Portal használatával hozhatja létre. A cikkben ismertetett lépések aktív-aktív módú VPN-átjárók és aktív-készenléti módú VPN-átjárók esetében is működnek.

A P2S VPN-kapcsolatok akkor hasznosak, ha távoli helyről szeretne csatlakozni a virtuális hálózathoz, például ha otthonról vagy konferenciáról távmunkát folytat. A helyek közötti (S2S) VPN helyett p2S-t is használhat, ha csak néhány ügyfélnek kell csatlakoznia egy virtuális hálózathoz. A P2S-kapcsolatokhoz nincs szükség VPN-eszközre vagy nyilvános IP-címre. A P2S-hez különböző konfigurációs lehetőségek érhetők el. A pont–hely VPN-ről további információt a pont–hely VPN ismertetése című témakörben talál.

Ehhez a kapcsolattípushoz a következőre van szükség:

  • RouteBased VPN Gateway, amely az alapszintű termékváltozattól eltérő VPN-átjáró termékváltozatot használ.
  • A felhasználóhitelesítést kezelő RADIUS-kiszolgáló. A RADIUS-kiszolgáló üzembe helyezhető a helyszínen vagy az Azure-beli virtuális hálózaton (VNet). Két RADIUS-kiszolgálót is konfigurálhat a magas rendelkezésre állás érdekében.
  • A VPN-ügyfélprofil konfigurációs csomagja. A VPN-ügyfélprofil konfigurációs csomagja egy ön által létrehozott csomag. Tartalmazza a VPN-ügyfél P2S-en keresztüli csatlakozásához szükséges beállításokat.

Korlátozások:

  • Ha az IKEv2-t RADIUS-vel használja, csak az EAP-alapú hitelesítés támogatott.
  • Az ExpressRoute-kapcsolat nem használható helyszíni RADIUS-kiszolgálóhoz való csatlakozásra.

Tudnivalók a P2S VPN-ek Active Directory (AD) tartományhitelesítéséről

Az AD-tartományhitelesítés lehetővé teszi, hogy a felhasználók szervezeti tartomány hitelesítő adataikkal jelentkezzenek be az Azure-ba. Olyan RADIUS-kiszolgálóra van szükség, amely integrálható az AD-kiszolgálóval. A szervezetek a meglévő RADIUS-üzemelő példányukat is használhatják.

A RADIUS-kiszolgáló a helyszínen vagy az Azure-beli virtuális hálózaton is található. A hitelesítés során a VPN-átjáró áthaladóként működik, és a RADIUS-kiszolgáló és a csatlakozó eszköz között oda-vissza továbbítja a hitelesítési üzeneteket. Fontos, hogy a VPN-átjáró elérje a RADIUS-kiszolgálót. Ha a RADIUS-kiszolgáló a helyszínen található, akkor VPN-helyek közötti kapcsolatra van szükség az Azure-ból a helyszíni helyre.

Az Active Directoryn kívül a RADIUS-kiszolgáló más külső identitásrendszerekkel is integrálható. Ez számos hitelesítési lehetőséget nyit meg a P2S VPN-ekhez, beleértve az MFA-beállításokat is. Tekintse meg a RADIUS-kiszolgáló szállítójának dokumentációját az integrálható identitásrendszerek listájának lekéréséhez.

A RADIUS-hitelesítés P2S-kapcsolatának diagramja.

A RADIUS-kiszolgáló beállítása

A virtuális hálózati átjáró pont–hely beállításainak konfigurálása előtt a RADIUS-kiszolgálót megfelelően kell konfigurálni a hitelesítéshez.

  1. Ha nincs üzembe helyezve RADIUS-kiszolgáló, telepítsen egyet. Az üzembe helyezés lépéseit a RADIUS-szállító által biztosított telepítési útmutatóban találja.  
  2. Konfigurálja a VPN-átjárót RADIUS-ügyfélként a RADIUS-on. A RADIUS-ügyfél hozzáadásakor adja meg a létrehozott virtuális hálózatot, a GatewaySubnetet.
  3. A RADIUS-kiszolgáló beállítása után kérje le a RADIUS-kiszolgáló IP-címét és a RADIUS-ügyfelek által a RADIUS-kiszolgálóval való beszélgetéshez használt megosztott titkos kulcsot. Ha a RADIUS-kiszolgáló az Azure virtuális hálózatban található, használja a RADIUS-kiszolgáló virtuális gépének CA-IP-címét.

A Hálózati házirend-kiszolgáló (NPS) című cikk útmutatást nyújt a Windows RADIUS-kiszolgáló (NPS) AD-tartományhitelesítéshez való konfigurálásához.

A VPN-átjáró ellenőrzése

Olyan útvonalalapú VPN-átjáróval kell rendelkeznie, amely kompatibilis a létrehozni kívánt P2S-konfigurációval és a csatlakozó VPN-ügyfelekkel. A szükséges P2S-konfiguráció meghatározásához tekintse meg a VPN-ügyféltáblát. Ha az átjáró az alapszintű termékváltozatot használja, ismerje meg, hogy az alapszintű termékváltozat P2S-korlátozásokkal rendelkezik, és nem támogatja az IKEv2- vagy RADIUS-hitelesítést. További információ: Az átjáró termékváltozatai.

Ha még nem rendelkezik olyan működő VPN-átjáróval, amely kompatibilis a létrehozni kívánt P2S-konfigurációval, olvassa el a VPN-átjáró létrehozása és kezelése című témakört. Hozzon létre egy kompatibilis VPN-átjárót, majd térjen vissza ehhez a cikkhez a P2S-beállítások konfigurálásához.

A VPN-ügyfélcímkészlet hozzáadása

Az ügyfélcímkészlet megadott magánhálózati IP-címek tartománya. A pont–hely VPN-en keresztül csatlakozó ügyfelek dinamikusan kapnak IP-címet ebből a tartományból. Olyan magánhálózati IP-címtartományt használjon, amely nem fedi át a helyszíni helyet, ahonnan csatlakozik, vagy a virtuális hálózatot, amelyhez csatlakozni szeretne. Ha több protokollt konfigurál, és az SSTP az egyik protokoll, akkor a konfigurált címkészlet egyenlően oszlik el a konfigurált protokollok között.

  1. Az Azure Portalon nyissa meg a VPN-átjárót.

  2. Az átjáró oldalán, a bal oldali panelen válassza a Pont–hely konfiguráció lehetőséget.

  3. Kattintson a Konfigurálás most elemre a konfigurációs lap megnyitásához.

    Képernyőkép a pont–hely konfigurációs oldalról – címkészletről.

  4. A Pont–hely konfigurációs lapján írja be a Címkészlet mezőbe a magánhálózati IP-címtartományt, amelyet használni szeretne. A VPN-ügyfelek dinamikusan kapnak egy IP-címet a megadott tartományból. A minimális alhálózati maszk az aktív/passzív és 28 bites aktív/aktív konfiguráció esetén 29 bites.

  5. További beállítások konfigurálásához folytassa a következő szakaszban.

Adja meg az alagút és a hitelesítés típusát

Ebben a szakaszban meg kell adnia az alagút típusát és a hitelesítési típust. Ezek a beállítások összetettek lehetnek. A legördülő listából több alagúttípust is megadhat, például az IKEv2 és az OpenVPN(SSL) vagy az IKEv2 és az SSTP (SSL) elemet. Csak az alagúttípusok és a hitelesítési típusok bizonyos kombinációi érhetők el.

Az alagúttípusnak és a hitelesítési típusnak meg kell felelnie az Azure-hoz való csatlakozáshoz használni kívánt VPN-ügyfélszoftvernek. Ha különböző VPN-ügyfelek csatlakoznak különböző operációs rendszerekről, fontos az alagúttípus és a hitelesítési típus megtervezése.

Feljegyzés

Ha nem látja az alagút típusát vagy hitelesítési típusát a pont–hely konfigurációs lapon, az átjáró az alapszintű termékváltozatot használja. Az alapszintű termékváltozat nem támogatja az IKEv2- vagy RADIUS-hitelesítést. Ha ezeket a beállításokat szeretné használni, törölnie kell és újra létre kell hoznia az átjárót egy másik átjáró-termékváltozat használatával.

  1. Alagúttípus esetén válassza ki a használni kívánt alagúttípust.

  2. Hitelesítési típus esetén a legördülő menüben válassza a RADIUS-hitelesítést.

    Képernyőkép a pont–hely konfiguráció oldaláról – hitelesítési típus.

Másik nyilvános IP-cím hozzáadása

Ha aktív-aktív módú átjáróval rendelkezik, meg kell adnia egy harmadik nyilvános IP-címet a pont–hely konfiguráláshoz. A példában a harmadik nyilvános IP-címet a VNet1GWpip3 példaértékkel hozzuk létre. Ha az átjáró nem aktív-aktív módban van, nem kell újabb nyilvános IP-címet hozzáadnia.

Képernyőkép a pont–hely konfigurációs oldalról – nyilvános IP-cím.

A RADIUS-kiszolgáló megadása

A portálon adja meg a következő beállításokat:

  • Elsődleges kiszolgáló IP-címe
  • Elsődleges kiszolgáló titkos kódja. Ez a RADIUS-titkos kód, és meg kell egyeznie a RADIUS-kiszolgálón konfigurált titkos kóddal.

Választható beállítások:

  • Megadhatja a másodlagos kiszolgáló IP-címét és a másodlagos kiszolgáló titkos kulcsát. Ez a magas rendelkezésre állási forgatókönyvekben hasznos.
  • További meghirdetendő útvonalak. Erről a beállításról további információt az egyéni útvonalak meghirdetésében talál.

Amikor befejezte a pont–hely konfiguráció megadását, válassza a Lap tetején található Mentés lehetőséget.

A VPN-ügyfél konfigurálása és csatlakozás

A VPN-ügyfélprofil konfigurációs csomagjai tartalmazzák azokat a beállításokat, amelyek segítenek a VPN-ügyfélprofilok konfigurálásában az Azure-beli virtuális hálózathoz való csatlakozáshoz.

VPN-ügyfélkonfigurációs csomag létrehozásához és VPN-ügyfél konfigurálásához tekintse meg az alábbi cikkek egyikét:

A VPN-ügyfél konfigurálása után csatlakozzon az Azure-hoz.

A kapcsolat ellenőrzése

  1. Annak ellenőrzéséhez, hogy a VPN-kapcsolat aktív-e, nyisson meg egy rendszergazda jogú parancssort az ügyfélszámítógépen, és futtassa az ipconfig/all parancsot.

  2. Tekintse meg az eredményeket. Figyelje meg, hogy a kapott IP-cím a konfigurációban megadott P2S VPN-ügyfélcímkészlet egyik címe. Az eredmények az alábbi példához hasonlóak:

    PPP adapter VNet1:
   Connection-specific DNS Suffix .:
   Description.....................: VNet1
   Physical Address................:
   DHCP Enabled....................: No
   Autoconfiguration Enabled.......: Yes
   IPv4 Address....................: 172.16.201.3(Preferred)
   Subnet Mask.....................: 255.255.255.255
   Default Gateway.................:
   NetBIOS over Tcpip..............: Enabled

A P2S-kapcsolatok hibaelhárításához tekintse meg az Azure pont–hely kapcsolatok hibaelhárítását.

GYIK

A gyakori kérdésekről a gyakori kérdések pont–hely – RADIUS-hitelesítés szakaszában olvashat.

Következő lépések

A pont–hely VPN-ről további információt a pont–hely VPN ismertetése című témakörben talál.