Konsep VPN pengguna (titik-ke-situs)
Artikel berikut menjelaskan konsep dan opsi yang dapat dikonfigurasi pelanggan yang terkait dengan konfigurasi dan gateway titik-ke-situs (P2S) VPN Pengguna Virtual WAN. Artikel ini dibagi menjadi beberapa bagian, termasuk bagian tentang konsep konfigurasi server VPN P2S, dan bagian tentang konsep gateway VPN P2S.
Konsep konfigurasi server VPN
Konfigurasi server VPN menentukan parameter autentikasi, enkripsi, dan grup pengguna yang digunakan untuk mengautentikasi pengguna, dan menetapkan alamat IP dan mengenkripsi lalu lintas. Gateway P2S dikaitkan dengan konfigurasi server VPN P2S.
Konsep umum
| Konsep | Deskripsi | Catatan |
|---|---|---|
| Jenis Terowongan | Protokol yang digunakan antara gateway VPN P2S dan menghubungkan pengguna. | Parameter yang tersedia: IKEv2, OpenVPN, atau keduanya. Untuk konfigurasi server IKEv2, hanya RADIUS dan autentikasi berbasis sertifikat yang tersedia. Untuk konfigurasi server Open VPN, RADIUS, berbasis sertifikat, dan autentikasi berbasis ID Microsoft Entra tersedia. Selain itu, beberapa metode autentikasi pada konfigurasi server yang sama (misalnya, sertifikat dan RADIUS pada konfigurasi yang sama) hanya didukung untuk OpenVPN. IKEv2 juga memiliki batas tingkat protokol 255 rute, sedangkan OpenVPN memiliki batas 1000 rute. |
| Parameter IPsec Kustom | Parameter enkripsi yang digunakan oleh gateway VPN P2S untuk gateway yang menggunakan IKEv2. | Untuk parameter yang tersedia, lihat Parameter IPsec Kustom untuk VPN titik-ke-situs. Parameter ini tidak berlaku untuk gateway menggunakan autentikasi OpenVPN. |
Konsep Autentikasi Sertifikat Azure
Konsep berikut terkait dengan konfigurasi server yang menggunakan autentikasi berbasis sertifikat.
| Konsep | Deskripsi | Catatan |
|---|---|---|
| Nama sertifikat akar | Nama yang digunakan oleh Azure untuk mengidentifikasi sertifikat akar pelanggan. | Dapat dikonfigurasi untuk menjadi nama apa pun. Anda dapat memiliki beberapa sertifikat akar. |
| Data sertifikat publik | Sertifikat akar dari mana sertifikat klien dikeluarkan. | Masukkan string yang sesuai dengan data publik sertifikat akar. Untuk contoh cara mendapatkan data publik sertifikat akar, lihat langkah 8 dalam dokumen berikut tentang membuat sertifikat. |
| Sertifikat yang dicabut | Nama yang digunakan oleh Azure untuk mengidentifikasi sertifikat yang akan dicabut. | Dapat dikonfigurasi untuk menjadi nama apa pun. |
| Thumbprint sertifikat yang dicabut | Thumbprint sertifikat pengguna akhir yang seharusnya tidak dapat tersambung ke gateway. | Input untuk parameter ini adalah satu atau beberapa thumbprint sertifikat. Setiap sertifikat pengguna harus dicabut satu per satu. Mencabut sertifikat perantara atau sertifikat akar tidak akan secara otomatis mencabut semua sertifikat anak. |
Konsep Autentikasi RADIUS
Jika gateway VPN P2S dikonfigurasi untuk menggunakan autentikasi berbasis RADIUS, gateway VPN P2S bertindak sebagai Proksi Server Kebijakan Jaringan (NPS) untuk meneruskan permintaan autentikasi ke sever RADIUS pelanggan. Gateway dapat menggunakan satu atau dua sever RADIUS untuk memproses permintaan autentikasi. Permintaan autentikasi secara otomatis diseimbangkan beban di seluruh server RADIUS jika beberapa disediakan.
| Konsep | Deskripsi | Catatan |
|---|---|---|
| Rahasia server utama | Rahasia server dikonfigurasi pada server RADIUS utama pelanggan yang digunakan untuk enkripsi oleh protokol RADIUS. | Setiap string rahasia bersama. |
| Alamat IP server utama | Alamat IP privat server RADIUS | IP ini harus merupakan IP privat yang dapat dijangkau oleh Hub Virtual. Pastikan koneksi yang menghosting server RADIUS menyebar ke defaultRouteTable hub dengan gateway. |
| Rahasia server sekunder | Rahasia server dikonfigurasi pada server RADIUS kedua yang digunakan untuk enkripsi oleh protokol RADIUS. | Setiap string rahasia bersama yang disediakan. |
| Alamat IP server sekunder | Alamat IP privat server RADIUS | IP ini harus merupakan IP privat yang dapat dijangkau oleh hub virtual. Pastikan koneksi yang menghosting server RADIUS menyebar ke defaultRouteTable hub dengan gateway. |
| Sertifikat akar server RADIUS | Data publik sertifikat akar server RADIUS. | Bidang ini bersifat opsional. Masukkan string yang sesuai dengan data publik sertifikat akar RADIUS. Anda dapat memasukkan beberapa sertifikat akar. Semua sertifikat klien yang disajikan untuk autentikasi harus dikeluarkan dari sertifikat akar yang ditentukan. Untuk contoh cara mendapatkan data publik sertifikat, lihat langkah 8 dalam dokumen berikut tentang membuat sertifikat. |
| Sertifikat klien yang dicabut | Thumbprint sertifikat klien RADIUS yang dicabut. Klien yang menyajikan sertifikat yang dicabut tidak akan dapat tersambung. | Bidang ini bersifat opsional. Setiap sertifikat pengguna harus dicabut satu per satu. Mencabut sertifikat perantara atau sertifikat akar tidak akan secara otomatis mencabut semua sertifikat anak. |
Konsep autentikasi Microsoft Entra
Konsep berikut terkait dengan konfigurasi server yang menggunakan autentikasi berbasis ID Microsoft Entra. Autentikasi berbasis ID Microsoft Entra hanya tersedia jika jenis terowongannya adalah OpenVPN.
| Konsep | Deskripsi | Parameter yang Tersedia |
|---|---|---|
| Audiens | ID Aplikasi Aplikasi Azure VPN Enterprise yang terdaftar di penyewa Microsoft Entra Anda. | Untuk informasi selengkapnya tentang cara mendaftarkan aplikasi Azure VPN di penyewa Anda dan menemukan ID aplikasi, lihat mengonfigurasi penyewa untuk koneksi protokol VPN OpenVPN pengguna P2S |
| Penerbit | URL lengkap yang sesuai dengan Layanan Token Keamanan (STS) yang terkait dengan Direktori Aktif Anda. | String dalam format berikut: https://sts.windows.net/<your Directory ID>/ |
| Penyewa Microsoft Entra | URL lengkap yang sesuai dengan Penyewa Direktori Aktif yang digunakan untuk autentikasi di gateway. | Bervariasi berdasarkan cloud tempat Penyewa Direktori Aktif disebarkan. Lihat di bawah ini untuk detail per cloud. |
ID penyewa Microsoft Entra
Tabel berikut ini menjelaskan format URL Microsoft Entra berdasarkan ID Microsoft Entra cloud mana yang disebarkan.
| Cloud | Parameter Format |
|---|---|
| Cloud Azure Publik | https://login.microsoftonline.com/{AzureAD TenantID} |
| Azure Government Cloud | https://login.microsoftonline.us/{AzureAD TenantID} |
| Cloud Tiongkok 21Vianet | https://login.chinacloudapi.cn/{AzureAD TenantID} |
Konsep grup pengguna (multi-kumpulan)
Konsep berikut yang terkait dengan grup pengguna (multi-kumpulan) di Virtual WAN. Grup pengguna memungkinkan Anda menetapkan alamat IP yang berbeda untuk menghubungkan pengguna berdasarkan kredensial mereka, memungkinkan Anda mengonfigurasi Daftar Kontrol Akses (ACL) dan aturan Firewall untuk mengamankan beban kerja. Untuk informasi dan contoh selengkapnya, lihat konsep multi-kumpulan.
Konfigurasi server berisi definisi grup dan grup kemudian digunakan pada gateway untuk memetakan grup konfigurasi server ke alamat IP.
| Konsep | Deskripsi | Catatan |
|---|---|---|
| Grup pengguna /grup kebijakan | Grup pengguna atau grup kebijakan adalah representasi logis dari sekelompok pengguna yang harus ditetapkan alamat IP dari kumpulan alamat yang sama. | Untuk informasi selengkapnya, lihat tentang grup pengguna. |
| Grup default | Saat pengguna mencoba menyambungkan ke gateway menggunakan fitur grup pengguna, pengguna yang tidak cocok dengan grup apa pun yang ditetapkan ke gateway secara otomatis dianggap sebagai bagian dari grup default dan menetapkan alamat IP yang terkait dengan grup tersebut. | Setiap grup dalam konfigurasi server dapat ditentukan sebagai grup default atau grup non-default dan pengaturan ini tidak dapat diubah setelah grup dibuat. Tepat satu grup default dapat ditetapkan ke setiap gateway VPN P2S, bahkan jika konfigurasi server yang ditetapkan memiliki beberapa grup default. |
| Prioritas grup | Saat beberapa grup ditetapkan ke gateway, pengguna yang menyambungkan mungkin menyajikan kredensial yang cocok dengan beberapa grup. Virtual WAN memproses grup yang ditetapkan ke gateway dalam meningkatkan urutan prioritas. | Prioritas adalah bilangan bulat positif dan grup dengan prioritas numerik yang lebih rendah diproses terlebih dahulu. Setiap grup harus memiliki prioritas yang berbeda. |
| Pengaturan/anggota grup | Grup pengguna terdiri dari anggota. Anggota tidak sesuai dengan pengguna individual, melainkan menentukan kriteria/kondisi kecocokan yang digunakan untuk menentukan grup mana yang menjadi bagian dari pengguna yang terhubung. Setelah grup ditetapkan ke gateway, pengguna yang menghubungkan kredensialnya cocok dengan kriteria yang ditentukan untuk salah satu anggota grup, dianggap sebagai bagian dari grup tersebut dan dapat diberi alamat IP yang sesuai. | Untuk daftar lengkap kriteria yang tersedia, lihat pengaturan grup yang tersedia. |
Konsep konfigurasi gateway
Bagian berikut menjelaskan konsep yang terkait dengan gateway VPN P2S. Setiap gateway dikaitkan dengan satu konfigurasi server VPN dan memiliki banyak opsi lain yang dapat dikonfigurasi.
Konsep gateway umum
| Konsep | Deskripsi | Catatan |
|---|---|---|
| Unit Skala Gateway | Unit skala gateway menentukan berapa banyak throughput agregat dan pengguna bersamaan yang dapat didukung gateway VPN P2S. | Unit skala gateway dapat berkisar dari 1-200, mendukung 500 hingga 100.000 pengguna per gateway. |
| Konfigurasi server P2S | Menentukan parameter autentikasi yang digunakan gateway VPN P2S untuk mengautentikasi pengguna masuk. | Konfigurasi server P2S apa pun yang terkait dengan gateway Virtual WAN. Konfigurasi server harus berhasil dibuat agar gateway dapat mereferensikannya. |
| Preferensi perutean | Memungkinkan Anda memilih bagaimana rute lalu lintas antara Azure dan Internet. | Anda dapat memilih untuk merutekan lalu lintas baik melalui jaringan Microsoft atau melalui jaringan ISP (jaringan publik). Untuk informasi selengkapnya tentang pengaturan ini, lihat Apa itu preferensi perutean? Pengaturan ini tidak dapat dimodifikasi setelah pembuatan gateway. |
| Server DNS Kustom | Alamat IP server DNS yang menghubungkan pengguna harus meneruskan permintaan DNS. | Alamat IP apa pun yang dapat dirutekan. |
| Menyebarkan rute default | Jika hub Virtual WAN dikonfigurasi dengan rute default 0.0.0.0/0 (rute statis dalam tabel rute default atau 0.0.0.0/0 yang diiklankan dari lokal, pengaturan ini mengontrol apakah rute 0.0.0.0/0 diiklankan ke menghubungkan pengguna atau tidak. | Bidang ini dapat diatur ke true atau false. |
Konsep khusus RADIUS
| Konsep | Deskripsi | Catatan |
|---|---|---|
| Menggunakan pengaturan server RADIUS Jarak Jauh/Lokal | Mengontrol apakah Virtual WAN dapat meneruskan paket autentikasi RADIUS ke server RADIUS yang dihosting secara lokal atau di Virtual Network yang terhubung ke Hub Virtual yang berbeda. | Pengaturan ini memiliki dua nilai, benar atau salah. Saat Virtual WAN dikonfigurasi untuk menggunakan autentikasi berbasis RADIUS, gateway Virtual WAN P2S berfungsi sebagai proksi RADIUS yang mengirim permintaan autentikasi ke sever RADIUS Anda. Pengaturan ini (jika benar) memungkinkan gateway Virtual WAN untuk berkomunikasi dengan server RADIUS yang disebarkan secara lokal atau di Virtual Network yang terhubung ke hub yang berbeda. Jika false, Virtual WAN hanya akan dapat mengautentikasi dengan server RADIUS yang dihosting di Virtual Network yang terhubung ke hub dengan gateway. |
| IP Proksi RADIUS | Paket autentikasi RADIUS yang dikirim oleh gateway VPN P2S ke server RADIUS Anda memiliki IP sumber yang ditentukan oleh bidang IP Proksi RADIUS. IP ini harus diizinkan terdaftar sebagai klien RADIUS di server RADIUS Anda. | Parameter ini tidak dapat dikonfigurasi secara langsung. Jika 'Gunakan server RADIUS Jarak Jauh/Lokal' diatur ke true, IP Proksi RADIUS secara otomatis dikonfigurasi sebagai alamat IP dari kumpulan alamat klien yang ditentukan di gateway. Jika pengaturan ini salah, IP adalah alamat IP dari dalam ruang alamat hub. IP proksi RADIUS dapat ditemukan di portal Azure di halaman gateway VPN P2S. |
Konsep konfigurasi koneksi
Mungkin ada satu atau beberapa konfigurasi koneksi pada gateway VPN P2S. Setiap konfigurasi koneksi memiliki konfigurasi perutean (lihat di bawah ini untuk peringatan) dan mewakili grup atau segmen pengguna yang ditetapkan alamat IP dari kumpulan alamat yang sama.
| Konsep | Deskripsi | Catatan |
|---|---|---|
| Nama Konfigurasi | Nama untuk konfigurasi VPN P2S | Nama apa pun dapat disediakan. Anda dapat memiliki lebih dari satu konfigurasi koneksi di gateway jika Anda memanfaatkan fitur grup pengguna/multi-kumpulan. Jika Anda tidak menggunakan fitur ini, hanya ada satu konfigurasi per gateway. |
| Grup Pengguna | Grup pengguna yang sesuai dengan konfigurasi | Setiap grup pengguna yang dirujuk dalam konfigurasi VPN Server. Parameter ini bersifat opsional. Untuk informasi selengkapnya, lihat tentang grup pengguna. |
| Kumpulan Alamat | Kumpulan alamat adalah alamat IP privat yang menghubungkan pengguna ditetapkan. | Kumpulan alamat dapat ditentukan sebagai blok CIDR apa pun yang tidak tumpang tindih dengan ruang alamat Hub Virtual, alamat IP yang digunakan di Virtual Network yang terhubung ke Virtual WAN atau alamat yang diiklankan dari lokal. Bergantung pada unit skala yang ditentukan pada gateway, Anda mungkin memerlukan lebih dari satu blok CIDR. Untuk informasi selengkapnya, lihat tentang kumpulan alamat. |
| Konfigurasi perutean | Setiap koneksi ke Hub Virtual memiliki konfigurasi perutean, yang menentukan tabel rute mana koneksi dikaitkan dengan dan tabel rute mana yang disebarluaskan tabel rute. | Semua koneksi cabang ke hub yang sama (ExpressRoute, VPN, NVA) harus dikaitkan dengan defaultRouteTable dan menyebarkan ke kumpulan tabel rute yang sama. Memiliki propagasi yang berbeda untuk koneksi cabang dapat mengakibatkan perilaku perutean yang tidak terduga, karena Virtual WAN akan memilih konfigurasi perutean untuk satu cabang dan menerapkannya ke semua cabang dan oleh karena itu rute yang dipelajari dari lokal. |
Langkah berikutnya
Tambahkan tautan di sini ke beberapa artikel untuk langkah berikutnya.