Bagikan melalui

Mengonfigurasi pengaturan server untuk autentikasi RADIUS VPN Gateway P2S

  • Artikel

Artikel ini membantu Anda membuat koneksi point-to-site (P2S) yang menggunakan autentikasi RADIUS. Anda dapat membuat konfigurasi ini menggunakan PowerShell, atau portal Azure. Langkah-langkah dalam artikel ini berfungsi untuk gateway VPN mode aktif-aktif dan gateway VPN mode aktif-siaga.

Koneksi VPN P2S berguna ketika Anda ingin terhubung ke jaringan virtual Anda dari lokasi jarak jauh, seperti saat Anda melakukan telekomunikasi dari rumah atau konferensi. Anda juga dapat menggunakan P2S alih-alih VPN situs-ke-situs (S2S) ketika Anda hanya memiliki beberapa klien yang perlu terhubung ke jaringan virtual. Koneksi P2S tidak memerlukan perangkat VPN atau alamat IP publik. Ada berbagai opsi konfigurasi berbeda yang tersedia untuk P2S. Untuk informasi lengkap VPN titik-ke-situs, lihatTentang VPN titik-ke-situs.

Jenis koneksi ini memerlukan:

  • Gateway VPN RouteBased menggunakan SKU gateway VPN selain SKU Dasar.
  • Server RADIUS untuk menangani autentikasi pengguna. Server RADIUS dapat disebarkan secara lokal, atau di jaringan virtual Azure (VNet). Anda juga dapat mengonfigurasi dua server RADIUS untuk ketersediaan tinggi.
  • Paket konfigurasi profil klien VPN. Paket konfigurasi profil klien VPN merupakan paket yang Anda hasilkan. Ini berisi pengaturan yang diperlukan agar klien VPN terhubung melalui P2S.

Batasan:

  • Jika Anda menggunakan IKEv2 dengan RADIUS, hanya autentikasi berbasis EAP yang didukung.
  • Koneksi ExpressRoute tidak dapat digunakan untuk menyambungkan ke server RADIUS lokal.

Tentang Autentikasi Domain Active Directory Domain Services (AD) untuk VPN P2S

Autentikasi Domain AD memungkinkan pengguna masuk ke Azure menggunakan kredensial domain organisasi mereka. Ini membutuhkan server RADIUS yang terintegrasi dengan server AD. Organisasi juga dapat menggunakan penyebaran RADIUS yang ada.

Server RADIUS dapat berada di lokal, atau di jaringan virtual Azure Anda. Selama autentikasi, Azure VPN Gateway bertindak sebagai pass through dan meneruskan pesan autentikasi bolak-balik antara server RADIUS dan perangkat penghubung. Gateway VPN harus dapat mencapai server RADIUS. Jika lokasi server RADIUS tersedia secara lokal, maka koneksi VPN situs-ke-situs dari Azure ke situs lokal akan dibutuhkan.

Selain Active Directory, server RADIUS juga dapat berintegrasi dengan sistem identitas eksternal lainnya. Hal ini membuka banyak opsi autentikasi untuk VPN P2S, termasuk opsi MFA. Periksa dokumentasi vendor server RADIUS Anda untuk mendapatkan daftar sistem identitas yang terintegrasi ke dokumentasi tersebut.

Diagram koneksi P2S autentikasi RADIUS.

Menyiapkan server RADIUS Anda

Sebelum Anda mengonfigurasi pengaturan titik-ke-situs gateway jaringan virtual, server RADIUS Anda harus dikonfigurasi dengan benar untuk autentikasi.

  1. Jika Anda tidak memiliki server RADIUS yang digunakan, sebarkan server tersebut. Untuk langkah-langkah penyebaran, lihat panduan penyiapan yang disediakan oleh vendor RADIUS Anda.  
  2. Konfigurasi gateway VPN sebagai klien RADIUS pada RADIUS. Saat menambahkan klien RADIUS ini, tentukan jaringan virtual GatewaySubnet yang Anda buat.
  3. Setelah server RADIUS disiapkan, dapatkan alamat IP server RADIUS dan rahasia bersama yang harus digunakan klien RADIUS untuk berkomunikasi dengan server RADIUS. Jika server RADIUS berada di jaringan virtual Azure, gunakan IP CA komputer virtual server RADIUS.

Artikel Server Kebijakan Jaringan (NPS) memberikan panduan tentang mengonfigurasi server RADIUS Windows (NPS) untuk autentikasi domain AD.

Memverifikasi gateway VPN Anda

Anda harus memiliki gateway VPN berbasis rute yang kompatibel dengan konfigurasi P2S yang ingin Anda buat dan klien VPN yang menyambungkan. Untuk membantu menentukan konfigurasi P2S yang Anda butuhkan, lihat tabel klien VPN. Jika gateway Anda menggunakan SKU Dasar, pahami bahwa SKU Dasar memiliki batasan P2S dan tidak mendukung autentikasi IKEv2 atau RADIUS. Untuk informasi selengkapnya, lihat Tentang SKU gateway.

Jika Anda belum memiliki gateway VPN yang berfungsi yang kompatibel dengan konfigurasi P2S yang ingin Anda buat, lihat Membuat dan mengelola gateway VPN. Buat gateway VPN yang kompatibel, lalu kembali ke artikel ini untuk mengonfigurasi pengaturan P2S.

Menambahkan kumpulan alamat klien VPN

Kumpulan alamat klien adalah berbagai alamat IP pribadi yang Anda tentukan. Klien yang terhubung melalui VPN point-to-site secara dinamis menerima alamat IP dari rentang ini. Gunakan rentang alamat IP privat yang tidak tumpang tindih dengan lokasi lokal yang Anda sambungkan, atau VNet yang ingin Anda sambungkan. Jika Anda mengonfigurasi beberapa protokol dan SSTP adalah salah satu protokolnya, maka kumpulan alamat yang dikonfigurasi dibagi antara protokol yang dikonfigurasi secara merata.

  1. Di portal Azure, buka gateway VPN Anda.

  2. Pada halaman untuk gateway Anda, di panel kiri, pilih Konfigurasi titik-ke-situs.

  3. Klik Konfigurasikan sekarang untuk membuka halaman konfigurasi.

    Cuplikan layar halaman konfigurasi Titik-ke-situs - kumpulan alamat.

  4. Pada halaman Konfigurasi titik-ke-situs, dalam kotak Kumpulan alamat, tambahkan rentang alamat IP privat yang ingin Anda gunakan. Klien VPN secara dinamis menerima alamat IP dari rentang yang Anda tentukan. Subnet mask minimum adalah 29 bit untuk aktif/pasif dan 28 bit untuk konfigurasi aktif/aktif.

  5. Lanjutkan ke bagian berikutnya untuk mengonfigurasi pengaturan lainnya.

Tentukan jenis terowongan dan autentikasi

Di bagian ini, Anda akan menentukan jenis tunnel dan jenis autentikasi. Pengaturan ini bisa menjadi kompleks. Anda dapat memilih opsi yang berisi beberapa jenis terowongan dari dropdown, seperti IKEv2 dan OpenVPN(SSL) atau IKEv2 dan SSTP (SSL). Hanya kombinasi tertentu dari jenis terowongan dan jenis autentikasi yang tersedia.

Jenis terowongan dan jenis autentikasi harus sesuai dengan perangkat lunak klien VPN yang ingin Anda gunakan untuk menyambungkan ke Azure. Ketika Anda memiliki berbagai klien VPN yang terhubung dari sistem operasi yang berbeda, merencanakan jenis terowongan dan jenis autentikasi penting.

Catatan

Jika Anda tidak melihat jenis terowongan atau jenis autentikasi di halaman Konfigurasi titik-ke-situs, gateway Anda menggunakan SKU Dasar. SKU Dasar tidak mendukung autentikasi IKEv2 atau RADIUS. Jika ingin menggunakan pengaturan ini, Anda perlu menghapus dan membuat ulang gateway menggunakan SKU gateway yang berbeda.

  1. Untuk Jenis terowongan, pilih jenis terowongan yang ingin Anda gunakan.

  2. Untuk Jenis autentikasi, dari menu drop-down, pilih autentikasi RADIUS.

    Cuplikan layar halaman konfigurasi Titik-ke-situs - jenis autentikasi.

Menambahkan alamat IP publik lain

Jika Anda memiliki gateway mode aktif-aktif, Anda perlu menentukan alamat IP publik ketiga untuk mengonfigurasi titik-ke-situs. Dalam contoh, kami membuat alamat IP publik ketiga menggunakan nilai contoh VNet1GWpip3. Jika gateway Anda tidak dalam mode aktif-aktif, Anda tidak perlu menambahkan alamat IP publik lain.

Cuplikan layar halaman konfigurasi Titik-ke-situs - alamat IP publik.

Tentukan server RADIUS

Di portal, tentukan pengaturan berikut:

  • Alamat IP Server Utama
  • Rahasia Server Utama. Ini adalah rahasia RADIUS dan harus cocok dengan apa yang dikonfigurasi di server RADIUS Anda.

Pengaturan opsional:

  • Anda dapat secara opsional menentukan alamat IP Server Sekunder dan rahasia Server Sekunder. Ini berguna untuk skenario ketersediaan tinggi.
  • Rute tambahan untuk beriklan. Untuk informasi selengkapnya tentang pengaturan ini, lihat Mengiklankan rute kustom.

Setelah Anda selesai menentukan konfigurasi titik-ke-situs Anda, pilih Simpan di bagian atas halaman.

Mengonfigurasi klien VPN dan menyambungkan

Paket konfigurasi profil klien VPN berisi pengaturan yang membantu Anda mengonfigurasi profil klien VPN untuk koneksi ke jaringan virtual Azure.

Untuk membuat paket konfigurasi klien VPN serta mengonfigurasi klien VPN, harap lihat salah satu artikel berikut ini:

Setelah mengonfigurasi klien VPN, sambungkan ke Azure.

Untuk memverifikasi koneksi Anda

  1. Untuk memverifikasi bahwa koneksi VPN Anda aktif, pada komputer klien, buka prompt perintah yang ditingkatkan, dan jalankan ipconfig/all.

  2. Lihat hasilnya. Perhatikan bahwa alamat IP yang diterima merupakan salah satu alamat dalam Kumpulan Alamat Klien VPN P2S yang Anda tentukan dalam konfigurasi Anda. Hasilnya mirip dengan contoh ini:

    PPP adapter VNet1:
   Connection-specific DNS Suffix .:
   Description.....................: VNet1
   Physical Address................:
   DHCP Enabled....................: No
   Autoconfiguration Enabled.......: Yes
   IPv4 Address....................: 172.16.201.3(Preferred)
   Subnet Mask.....................: 255.255.255.255
   Default Gateway.................:
   NetBIOS over Tcpip..............: Enabled

Untuk memecahkan masalah koneksi P2S, lihat Pemecahan masalah koneksi titik-ke-situs Azure.

FAQ

Untuk informasi FAQ, lihat bagian Autentikasi Point-to-site - RADIUS dari Tanya Jawab Umum.

Langkah berikutnya

Untuk informasi lengkap VPN titik-ke-situs, lihatTentang VPN titik-ke-situs.