Bagikan melalui

Mengonfigurasi grup pengguna dan kumpulan alamat IP untuk VPN Pengguna P2S

  • Artikel

VPN Pengguna P2S menyediakan kemampuan untuk menetapkan alamat IP pengguna dari kumpulan alamat tertentu berdasarkan identitas atau kredensial autentikasi mereka dengan membuat Grup Pengguna. Artikel ini membantu Anda mengonfigurasi grup pengguna, anggota grup, dan memprioritaskan grup. Untuk informasi selengkapnya tentang bekerja dengan grup pengguna, lihat Tentang grup pengguna.

Prasyarat

Sebelum memulai, pastikan Anda telah mengonfigurasi WAN virtual yang menggunakan satu atau beberapa metode autentikasi. Untuk langkah-langkahnya, lihat Tutorial: Membuat koneksi VPN P2S Pengguna Virtual WAN.

Alur kerja

Artikel ini menggunakan alur kerja berikut untuk membantu Anda menyiapkan grup pengguna dan kumpulan alamat IP untuk koneksi VPN P2S Anda.

  1. Pertimbangkan persyaratan konfigurasi

  2. Pilih mekanisme autentikasi

  3. Membuat Grup Pengguna

  4. Mengonfigurasi pengaturan gateway

Langkah 1: Pertimbangkan persyaratan konfigurasi

Bagian ini mencantumkan persyaratan dan batasan konfigurasi untuk grup pengguna dan kumpulan alamat IP.

  • Grup Maksimum: Gateway VPN P2S tunggal dapat mereferensikan hingga 90 grup.

  • Anggota Maksimum: Jumlah total anggota kebijakan/grup di semua grup yang ditetapkan ke gateway adalah 390.

  • Beberapa Tugas: Jika grup ditetapkan ke beberapa konfigurasi koneksi pada gateway yang sama, grup tersebut dan anggotanya dihitung beberapa kali. Contoh: Grup kebijakan dengan 10 anggota yang ditetapkan ke tiga konfigurasi koneksi VPN dihitung sebagai tiga grup dengan 30 anggota, bukan satu grup dengan 10 anggota.

  • Pengguna Bersamaan: Jumlah total pengguna bersamaan ditentukan oleh unit skala gateway dan jumlah alamat IP yang dialokasikan untuk setiap grup pengguna. Ini tidak ditentukan oleh jumlah anggota kebijakan/grup yang terkait dengan gateway.

  • Setelah grup dibuat sebagai bagian dari konfigurasi server VPN, nama dan pengaturan default grup tidak dapat dimodifikasi.

  • Nama grup harus berbeda.

  • Grup yang memiliki prioritas numerik yang lebih rendah diproses sebelum grup dengan prioritas numerik yang lebih tinggi. Jika pengguna yang terhubung adalah anggota dari beberapa grup, gateway menganggap mereka sebagai anggota grup dengan prioritas numerik yang lebih rendah untuk tujuan menetapkan alamat IP.

  • Grup yang sedang digunakan oleh gateway VPN titik-ke-situs yang ada tidak dapat dihapus.

  • Anda dapat menyusun ulang prioritas grup Anda dengan mengklik tombol panah atas bawah yang sesuai dengan grup tersebut.

  • Kumpulan alamat tidak dapat tumpang tindih dengan kumpulan alamat yang digunakan dalam konfigurasi koneksi lain (gateway yang sama atau berbeda) di WAN virtual yang sama.

  • Kumpulan alamat juga tidak dapat tumpang tindih dengan ruang alamat jaringan virtual, ruang alamat hub virtual, atau alamat lokal.

  • Kumpulan alamat tidak boleh lebih kecil dari /24. Misalnya, Anda tidak dapat menetapkan rentang /25 atau /26.

Langkah 2: Memilih mekanisme autentikasi

Bagian berikut mencantumkan mekanisme autentikasi yang tersedia yang dapat digunakan saat membuat grup pengguna.

Grup Microsoft Entra

Untuk membuat dan mengelola grup Direktori Aktif, lihat Mengelola grup Microsoft Entra dan keanggotaan grup.

  • ID objek grup Microsoft Entra (dan bukan nama grup) perlu ditentukan sebagai bagian dari konfigurasi VPN Pengguna titik-ke-situs Virtual WAN.
  • Pengguna Microsoft Entra dapat ditetapkan untuk menjadi bagian dari beberapa grup Direktori Aktif, tetapi Virtual WAN menganggap pengguna sebagai bagian dari grup pengguna/kebijakan Virtual WAN yang memiliki prioritas numerik terendah.

RADIUS - Atribut khusus vendor NPS

Untuk informasi konfigurasi atribut khusus vendor Network Policy Server (NPS), lihat RADIUS - mengonfigurasi NPS untuk atribut khusus vendor.

Sertifikat

Untuk membuat sertifikat yang ditandatangani sendiri, lihat Membuat dan mengekspor sertifikat untuk koneksi VPN P2S Pengguna: PowerShell. Untuk membuat sertifikat dengan Nama Umum tertentu, ubah parameter Subjek ke nilai yang sesuai (misalnya, xx@domain.com) saat menjalankan New-SelfSignedCertificate perintah PowerShell. Misalnya, Anda dapat membuat sertifikat dengan Subjek berikut:

Bidang sertifikat digital Nilai description
Subjek CN= cert@marketing.contoso.com sertifikat digital untuk departemen Pemasaran
Subjek CN= cert@sale.contoso.com sertifikat digital untuk departemen Penjualan
Subjek CN= cert@engineering.contoso.com sertifikat digital untuk departemen Teknik
Subjek CN= cert@finance.contoso.com sertifikat digital untuk departemen Keuangan

Catatan

Fitur beberapa kumpulan alamat dengan autentikasi sertifikat digital berlaku untuk grup pengguna tertentu berdasarkan bidang Subjek . Kriteria pilihan tidak berfungsi dengan sertifikat Nama Alternatif Subjek (SAN).

Langkah 3: Membuat grup pengguna

Gunakan langkah-langkah berikut untuk membuat grup pengguna.

  1. Di portal Azure, buka halaman Konfigurasi VIRTUAL WAN -> VPN Pengguna Anda.

  2. Pada halaman Konfigurasi VPN Pengguna, pilih Konfigurasi VPN Pengguna yang ingin Anda edit, lalu pilih Edit konfigurasi.

  3. Pada halaman Edit konfigurasi VPN Pengguna, buka tab Grup Pengguna.

    Cuplikan layar mengaktifkan Grup Pengguna.

  4. Pilih Ya untuk mengaktifkan grup pengguna. Ketika konfigurasi server ini ditetapkan ke gateway VPN P2S, pengguna yang merupakan bagian dari grup pengguna yang sama diberi alamat IP dari kumpulan alamat yang sama. Pengguna yang merupakan bagian dari grup yang berbeda diberi alamat IP dari grup yang berbeda. Saat menggunakan fitur ini, Anda harus memilih Grup default untuk salah satu grup yang Anda buat.

  5. Untuk mulai membuat Grup Pengguna baru, isi parameter nama dengan nama grup pertama.

  6. Di samping Nama Grup, pilih Konfigurasikan Grup untuk membuka halaman Konfigurasi Pengaturan Grup.

    Cuplikan layar pembuatan grup baru.

  7. Pada halaman Konfigurasi Pengaturan Grup, isi nilai untuk setiap anggota yang ingin Anda sertakan dalam grup ini. Grup dapat berisi beberapa anggota grup.

    • Buat anggota baru dengan mengisi bidang Nama .

    • Pilih Autentikasi: Jenis Pengaturan dari menu dropdown. Dropdown secara otomatis diisi berdasarkan metode autentikasi yang dipilih untuk konfigurasi VPN Pengguna.

    • Ketik Nilai. Untuk nilai yang valid, lihat Tentang grup pengguna.

    Cuplikan layar mengonfigurasi nilai untuk anggota Grup Pengguna.

  8. Setelah selesai membuat pengaturan untuk grup, pilih Tambahkan dan Oke.

  9. Buat grup tambahan apa pun.

  10. Pilih setidaknya satu grup sebagai default. Pengguna yang bukan bagian dari grup apa pun yang ditentukan pada gateway akan ditetapkan ke grup default di gateway. Perhatikan juga bahwa Anda tidak dapat mengubah status "default" grup setelah grup dibuat.

    Cuplikan layar memilih grup default.

  11. Pilih panah untuk menyesuaikan urutan prioritas grup.

    Cuplikan layar menyesuaikan urutan prioritas.

  12. Pilih Tinjau + buat untuk membuat dan mengonfigurasi. Setelah Anda membuat konfigurasi VPN Pengguna, konfigurasikan pengaturan konfigurasi server gateway untuk menggunakan fitur grup pengguna.

Langkah 4: Mengonfigurasi pengaturan gateway

  1. Di portal, buka hub virtual Anda dan pilih VPN Pengguna (Arahkan ke situs).

  2. Pada halaman titik ke situs, pilih tautan Unit skala gateway untuk membuka gateway Edit VPN Pengguna. Sesuaikan nilai Unit skala gateway dari menu dropdown untuk menentukan throughput gateway.

  3. Untuk Konfigurasi server titik ke situs, pilih konfigurasi VPN Pengguna yang Anda konfigurasikan untuk grup pengguna. Jika Anda belum mengonfigurasi pengaturan ini, lihat Membuat grup pengguna.

  4. Buat konfigurasi titik ke situs baru dengan mengetikkan Nama Konfigurasi baru.

  5. Pilih satu atau beberapa grup yang akan dikaitkan dengan konfigurasi ini. Semua pengguna yang merupakan bagian dari grup yang terkait dengan konfigurasi ini akan diberi alamat IP dari kumpulan alamat IP yang sama.

    Di semua konfigurasi untuk gateway ini, Anda harus memilih satu grup pengguna default.

    Cuplikan layar halaman Edit gateway VPN Pengguna dengan grup dipilih.

  6. Untuk Kumpulan Alamat, pilih Konfigurasikan untuk membuka halaman Tentukan Kumpulan Alamat. Pada halaman ini, kaitkan kumpulan alamat baru dengan konfigurasi ini. Pengguna yang merupakan anggota grup yang terkait dengan konfigurasi ini akan diberi alamat IP dari kumpulan yang ditentukan. Berdasarkan jumlah Unit Skala Gateway yang terkait dengan gateway, Anda mungkin perlu menentukan lebih dari satu kumpulan alamat. Kumpulan alamat tidak boleh lebih kecil dari /24. Misalnya, Anda tidak dapat menetapkan rentang /25 atau /26 jika Anda ingin memiliki rentang kumpulan alamat yang lebih kecil untuk grup pengguna. Awalan minimum adalah /24. Pilih Tambahkan dan Oke untuk menyimpan kumpulan alamat Anda.

    Cuplikan layar halaman Tentukan Kumpulan Alamat.

  7. Anda memerlukan satu konfigurasi untuk setiap set grup yang harus ditetapkan alamat IP dari kumpulan alamat yang berbeda. Ulangi langkah-langkah untuk membuat lebih banyak konfigurasi. Lihat Langkah 1 untuk persyaratan dan batasan mengenai kumpulan alamat dan grup.

  8. Setelah Anda membuat konfigurasi yang Anda butuhkan, pilih Edit, lalu Konfirmasi untuk menyimpan pengaturan Anda.

    Cuplikan layar Konfirmasi pengaturan.

Pemecahan Masalah

  1. Verifikasi bahwa paket memiliki atribut yang tepat?: Wireshark atau pengambilan paket lain dapat dijalankan dalam mode NPS dan mendekripsi paket menggunakan kunci bersama. Anda dapat memvalidasi paket yang dikirim dari server RADIUS Anda ke gateway VPN titik-ke-situs dengan RADIUS VSA yang tepat dikonfigurasi.
  2. Apakah pengguna salah menetapkan IP?: Menyiapkan dan memeriksa pengelogan Peristiwa NPS untuk autentikasi apakah pengguna cocok atau tidak.
  3. Mengalami masalah dengan kumpulan alamat? Setiap kumpulan alamat ditentukan di gateway. Kumpulan alamat dibagi menjadi dua kumpulan alamat dan ditetapkan ke setiap instans aktif-aktif dalam pasangan gateway VPN titik-ke-situs. Alamat terpisah ini harus muncul di tabel rute yang efektif. Misalnya, jika Anda menentukan "10.0.0.0/24", Anda akan melihat dua rute "/25" dalam tabel rute yang efektif. Jika ini tidak terjadi, coba ubah kumpulan alamat yang ditentukan di gateway.
  4. Klien P2S tidak dapat menerima rute? Pastikan semua konfigurasi koneksi VPN titik-ke-situs dikaitkan dengan defaultRouteTable dan menyebarkan ke kumpulan tabel rute yang sama. Ini harus dikonfigurasi secara otomatis jika Anda menggunakan portal, tetapi jika Anda menggunakan REST, PowerShell atau CLI, pastikan semua penyebaran dan asosiasi diatur dengan tepat.
  5. Tidak dapat mengaktifkan Multipool menggunakan klien Azure VPN? Jika Anda menggunakan klien Azure VPN, pastikan klien Azure VPN yang diinstal pada perangkat pengguna adalah versi terbaru. Anda perlu mengunduh klien lagi untuk mengaktifkan fitur ini.
  6. Semua pengguna ditetapkan ke grup Default? Jika Anda menggunakan autentikasi Microsoft Entra, pastikan input URL penyewa dalam konfigurasi (https://login.microsoftonline.com/<tenant ID>) server tidak berakhiran \. Jika URL dimasukkan ke akhir dengan , gateway tidak akan dapat memproses grup pengguna Microsoft Entra dengan \benar, dan semua pengguna ditetapkan ke grup default. Untuk memulihkan, ubah konfigurasi server untuk menghapus trailing \ dan mengubah kumpulan alamat yang dikonfigurasi di gateway untuk menerapkan perubahan ke gateway. Ini adalah masalah yang sudah diketahui.
  7. Mencoba mengundang pengguna eksternal untuk menggunakan fitur Multipool? Jika Anda menggunakan autentikasi Microsoft Entra dan berencana mengundang pengguna yang berada di luar (pengguna yang bukan bagian dari domain Microsoft Entra yang dikonfigurasi di gateway VPN) untuk menyambungkan ke gateway VPN Titik-ke-situs Virtual WAN, pastikan bahwa jenis pengguna pengguna eksternal adalah "Anggota" dan bukan "Tamu". Selain itu, pastikan bahwa "Nama" pengguna diatur ke alamat email pengguna. Jika jenis pengguna dan nama pengguna yang menyambungkan tidak diatur dengan benar seperti yang dijelaskan di atas, atau Anda tidak dapat mengatur anggota eksternal menjadi "Anggota" domain Microsoft Entra Anda, pengguna yang menyambungkan ditetapkan ke grup default dan menetapkan IP dari kumpulan alamat IP default.

Langkah berikutnya