Aracılığıyla paylaş

P2S VPN Gateway RADIUS kimlik doğrulaması için sunucu ayarlarını yapılandırma

  • Makale

Bu makale, RADIUS kimlik doğrulaması kullanan noktadan siteye (P2S) bağlantı oluşturmanıza yardımcı olur. Bu yapılandırmayı PowerShell'i veya Azure portalını kullanarak oluşturabilirsiniz. Bu makaledeki adımlar hem etkin-etkin mod VPN ağ geçitleri hem de etkin bekleme modu VPN ağ geçitleri için çalışır.

P2S VPN bağlantıları, uzak bir konumdan sanal ağınıza bağlanmak istediğinizde (örneğin, evden veya konferanstan iletişim kurduğunuzda) kullanışlıdır. Sanal ağa bağlanması gereken yalnızca birkaç istemciniz olduğunda siteden siteye (S2S) VPN yerine P2S de kullanabilirsiniz. P2S bağlantıları için VPN cihazı veya genel kullanıma yönelik IP adresi gerekmez. P2S için çeşitli yapılandırma seçenekleri vardır. Noktadan siteye VPN hakkında daha fazla bilgi için bkz . Noktadan siteye VPN hakkında.

Bu tür bir bağlantı şunları gerektirir:

  • Temel SKU dışında bir VPN ağ geçidi SKU'su kullanan RouteBased VPN ağ geçidi.
  • Kullanıcı kimlik doğrulamasını işlemek için bir RADIUS sunucusu. RADIUS sunucusu şirket içinde veya Azure sanal ağında (VNet) dağıtılabilir. Yüksek kullanılabilirlik için iki RADIUS sunucusu da yapılandırabilirsiniz.
  • VPN istemci profili yapılandırma paketi. VPN istemci profili yapılandırma paketi, oluşturduğunuz bir pakettir. Bir VPN istemcisinin P2S üzerinden bağlanması için gereken ayarları içerir.

Sınırlamalar:

  • RADIUS ile IKEv2 kullanıyorsanız yalnızca EAP tabanlı kimlik doğrulaması desteklenir.
  • ExpressRoute bağlantısı, şirket içi RADIUS sunucusuna bağlanmak için kullanılamaz.

P2S VPN'leri için Active Directory (AD) Etki Alanı Kimlik Doğrulaması hakkında

AD Etki Alanı kimlik doğrulaması, kullanıcıların kuruluş etki alanı kimlik bilgilerini kullanarak Azure'da oturum açmasına olanak tanır. AD sunucusuyla tümleşen bir RADIUS sunucusu gerektirir. Kuruluşlar mevcut RADIUS dağıtımlarını da kullanabilir.

RADIUS sunucusu şirket içinde veya Azure sanal ağınızda bulunabilir. Kimlik doğrulaması sırasında VPN ağ geçidi geçiş görevi görür ve RADIUS sunucusu ile bağlanan cihaz arasında kimlik doğrulama iletilerini ileri geri ile iletir. VPN ağ geçidinin RADIUS sunucusuna ulaşabilmesi önemlidir. RADIUS sunucusu şirket içinde bulunuyorsa, Azure'dan şirket içi siteye vpn sitesi bağlantısı gerekir.

Bir RADIUS sunucusu, Active Directory dışında diğer dış kimlik sistemleriyle de tümleştirebilir. Bu, MFA seçenekleri dahil olmak üzere P2S VPN'leri için birçok kimlik doğrulama seçeneği açar. Tümleştirmiş olduğu kimlik sistemlerinin listesini almak için RADIUS sunucusu satıcı belgelerinize bakın.

RADIUS kimlik doğrulaması P2S bağlantısının diyagramı.

RADIUS sunucunuzu ayarlama

Sanal ağ geçidi noktadan siteye ayarlarını yapılandırmadan önce RADIUS sunucunuzun kimlik doğrulaması için doğru yapılandırılması gerekir.

  1. Dağıtılan bir RADIUS sunucunuz yoksa bir tane dağıtın. Dağıtım adımları için RADIUS satıcınız tarafından sağlanan kurulum kılavuzuna bakın.  
  2. VPN ağ geçidini RADIUS üzerinde RADIUS istemcisi olarak yapılandırın. Bu RADIUS istemcisini eklerken, oluşturduğunuz sanal ağ GatewaySubnet'i belirtin.
  3. RADIUS sunucusu ayarlandıktan sonra RADIUS sunucusunun IP adresini ve RADIUS istemcilerinin RADIUS sunucusuyla konuşmak için kullanması gereken paylaşılan gizli diziyi alın. RADIUS sunucusu Azure sanal ağındaysa RADIUS sunucusu sanal makinesinin CA IP'sini kullanın.

Ağ İlkesi Sunucusu (NPS) makalesi, AD etki alanı kimlik doğrulaması için Bir Windows RADIUS sunucusu (NPS) yapılandırma hakkında rehberlik sağlar.

VPN ağ geçidinizi doğrulama

Oluşturmak istediğiniz P2S yapılandırması ve bağlanan VPN istemcileri ile uyumlu yol tabanlı bir VPN ağ geçidiniz olmalıdır. İhtiyacınız olan P2S yapılandırmasını belirlemeye yardımcı olmak için VPN istemci tablosuna bakın. Ağ geçidiniz Temel SKU kullanıyorsa, Temel SKU'nun P2S sınırlamaları olduğunu ve IKEv2 veya RADIUS kimlik doğrulamasını desteklemediğini anlayın. Daha fazla bilgi için bkz . Ağ geçidi SKU'ları hakkında.

Henüz oluşturmak istediğiniz P2S yapılandırmasıyla uyumlu işlevsel bir VPN ağ geçidiniz yoksa bkz . VPN ağ geçidi oluşturma ve yönetme. Uyumlu bir VPN ağ geçidi oluşturun, ardından P2S ayarlarını yapılandırmak için bu makaleye dönün.

VPN istemcisi adres havuzunu ekleme

İstemci adres havuzu, belirttiğiniz özel IP adresleri aralığıdır. Noktadan siteye VPN üzerinden bağlanan istemciler bu aralıktan dinamik olarak bir IP adresi alır. Bağlandığınız şirket içi konum veya bağlanmak istediğiniz sanal ağ ile çakışmayan bir özel IP adresi aralığı kullanın. Birden çok protokol yapılandırıyorsanız ve SSTP protokollerden biriyse, yapılandırılan adres havuzu yapılandırılmış protokoller arasında eşit olarak bölünür.

  1. Azure portalında VPN ağ geçidinize gidin.

  2. Ağ geçidinizin sayfasındaki sol bölmede Noktadan siteye yapılandırma'yı seçin.

  3. Yapılandırma sayfasını açmak için Şimdi yapılandır’a tıklayın.

    Noktadan siteye yapılandırma sayfasının ekran görüntüsü - adres havuzu.

  4. Noktadan siteye yapılandırma sayfasında, Adres havuzu kutusunda kullanmak istediğiniz özel IP adresi aralığını ekleyin. VPN istemcileri, belirttiğiniz aralıktan dinamik olarak bir IP adresi alır. En düşük alt ağ maskesi etkin/pasif için 29 bit ve etkin/etkin yapılandırma için 28 bittir.

  5. Daha fazla ayar yapılandırmak için sonraki bölüme geçin.

Tüneli ve kimlik doğrulama türünü belirtin

Bu bölümde, tünel türünü ve kimlik doğrulama türünü belirtirsiniz. Bu ayarlar karmaşık hale gelebilir. Açılan listeden IKEv2 ve OpenVPN(SSL) veya IKEv2 ve SSTP (SSL) gibi birden çok tünel türü içeren seçenekleri belirleyebilirsiniz. Yalnızca belirli tünel türleri ve kimlik doğrulama türleri bileşimleri kullanılabilir.

Tünel türü ve kimlik doğrulama türü, Azure'a bağlanmak için kullanmak istediğiniz VPN istemci yazılımına karşılık gelir. Farklı işletim sistemlerinden bağlanan çeşitli VPN istemcileriniz varsa tünel türünü ve kimlik doğrulama türünü planlamak önemlidir.

Not

Noktadan siteye yapılandırma sayfasında tünel türü veya kimlik doğrulama türü görmüyorsanız ağ geçidiniz Temel SKU kullanıyordur. Temel SKU, IKEv2 veya RADIUS kimlik doğrulamasını desteklemez. Bu ayarları kullanmak istiyorsanız farklı bir ağ geçidi SKU'su kullanarak ağ geçidini silmeniz ve yeniden oluşturmanız gerekir.

  1. Tünel türü için, kullanmak istediğiniz tünel türünü seçin.

  2. Kimlik doğrulama türü için açılan listeden RADIUS kimlik doğrulaması'nı seçin.

    Noktadan siteye yapılandırma sayfasının ekran görüntüsü - kimlik doğrulama türü.

Başka bir genel IP adresi ekleme

Etkin-etkin mod ağ geçidiniz varsa noktadan siteye yapılandırmak için üçüncü bir genel IP adresi belirtmeniz gerekir. Örnekte, VNet1GWpip3 örnek değerini kullanarak üçüncü genel IP adresini oluşturuyoruz. Ağ geçidiniz etkin-etkin modda değilse başka bir genel IP adresi eklemeniz gerekmez.

Noktadan siteye yapılandırma sayfasının ekran görüntüsü - genel IP adresi.

RADIUS sunucusunu belirtme

Portalda aşağıdaki ayarları belirtin:

  • Birincil Sunucu IP adresi
  • Birincil Sunucu gizli dizisi. Bu, RADIUS gizli dizisidir ve RADIUS sunucunuzda yapılandırılanla eşleşmelidir.

İsteğe bağlı ayarlar:

  • İsteğe bağlı olarak İkincil Sunucu IP adresi ve İkincil Sunucu gizli dizisi belirtebilirsiniz. Bu, yüksek kullanılabilirlik senaryoları için kullanışlıdır.
  • Tanıtmak için ek yollar. Bu ayar hakkında daha fazla bilgi için bkz . Özel yolları tanıtma.

Noktadan siteye yapılandırmanızı belirtmeyi bitirdiğinizde sayfanın üst kısmındaki Kaydet'i seçin.

VPN istemcisini yapılandırma ve bağlanma

VPN istemci profili yapılandırma paketleri, Azure sanal ağına bağlantı için VPN istemci profillerini yapılandırmanıza yardımcı olan ayarları içerir.

VPN istemcisi yapılandırma paketi oluşturmak ve bir VPN istemcisi yapılandırmak için aşağıdaki makalelerden birine bakın:

VPN istemcisini yapılandırdıktan sonra Azure'a bağlanın.

Bağlantınızı doğrulamak için

  1. VPN bağlantınızın etkin olduğunu doğrulamak için istemci bilgisayarda yükseltilmiş bir komut istemi açın ve ipconfig/all komutunu çalıştırın.

  2. Sonuçları görüntüleyin. Aldığınız IP adresinin, yapılandırmanızda belirttiğiniz P2S VPN İstemci Adres Havuzu içindeki adreslerden biri olduğuna dikkat edin. Sonuçları şu örneğe benzer:

    PPP adapter VNet1:
   Connection-specific DNS Suffix .:
   Description.....................: VNet1
   Physical Address................:
   DHCP Enabled....................: No
   Autoconfiguration Enabled.......: Yes
   IPv4 Address....................: 172.16.201.3(Preferred)
   Subnet Mask.....................: 255.255.255.255
   Default Gateway.................:
   NetBIOS over Tcpip..............: Enabled

P2S bağlantısı sorunlarını gidermek için bkz . Azure noktadan siteye bağlantı sorunlarını giderme.

SSS

SSS bilgileri için SSS'nin Noktadan siteye - RADIUS kimlik doğrulaması bölümüne bakın.

Sonraki adımlar

Noktadan siteye VPN hakkında daha fazla bilgi için bkz . Noktadan siteye VPN hakkında.