Sdílet prostřednictvím

Vytvoření připojení VPN uživatele P2S pomocí služby Azure Virtual WAN – Ověřování Microsoft Entra

  • Článek

V tomto článku se dozvíte, jak se pomocí služby Virtual WAN připojit k prostředkům v Azure. V tomto článku vytvoříte připojení VPN uživatele typu point-to-site k virtual WAN, které používá ověřování Microsoft Entra. Ověřování Microsoft Entra je k dispozici pouze pro brány, které používají protokol OpenVPN.

Poznámka:

Místo použití kroků v tomto článku doporučujeme použít nový článek s ID aplikace zaregistrovan Klient Azure VPN é Microsoftem pro konfiguraci SÍTĚ VPN uživatele, pokud je to možné.

Virtual WAN teď podporuje nové ID aplikace zaregistrované Microsoftem a odpovídající hodnoty cílové skupiny pro nejnovější verze Klient Azure VPN. Když nakonfigurujete bránu VPN vpn typu uživatel P2S pomocí nových hodnot cílové skupiny, přeskočíte proces ruční registrace aplikace Klient Azure VPN pro vašeho tenanta Microsoft Entra. ID aplikace je už vytvořené a váš tenant ho může automaticky používat bez dalších kroků registrace. Tento proces je bezpečnější než ruční registrace Klient Azure VPN, protože aplikaci nepotřebujete autorizovat ani přiřazovat oprávnění prostřednictvím role globálního správce.

Dříve jste museli ručně zaregistrovat (integrovat) aplikaci Klient Azure VPN s vaším tenantem Microsoft Entra. Registrace klientské aplikace vytvoří ID aplikace představující identitu Klient Azure VPN aplikace a vyžaduje autorizaci pomocí role globálního správce. Pokud chcete lépe porozumět rozdílu mezi typy objektů aplikace, přečtěte si, jak a proč jsou aplikace přidány do Microsoft Entra ID.

Pokud je to možné, doporučujeme, abyste nové brány VPN uživatelů P2S nakonfigurovali pomocí ID klientské aplikace Azure zaregistrované Microsoftem pro Azure a odpovídající hodnoty cílové skupiny místo ruční registrace aplikace Klient Azure VPN ve vašem tenantovi. Pokud jste dříve nakonfigurovali bránu VPN uživatele P2S, která používá ověřování Microsoft Entra ID, můžete bránu a klienty aktualizovat a využít tak nové ID aplikace zaregistrované Microsoftem. Pokud chcete, aby se klienti Linuxu připojili, aktualizujte bránu P2S novou hodnotou cílové skupiny. Klient Azure VPN pro Linux není zpětně kompatibilní se staršími hodnotami cílové skupiny.

Důležité informace

  • Brána VPN uživatele P2S může podporovat pouze jednu hodnotu cílové skupiny. Nemůže současně podporovat více hodnot cílové skupiny.

  • V tuto chvíli novější ID aplikace zaregistrované Microsoftem nepodporuje tolik hodnot cílové skupiny jako starší ručně zaregistrovaná aplikace. Pokud potřebujete hodnotu cílové skupiny pro něco jiného než Azure Veřejný nebo Vlastní, použijte starší ručně registrovanou metodu a hodnoty.

  • Klient Azure VPN pro Linux není zpětně kompatibilní s bránami P2S nakonfigurovanými tak, aby používaly starší hodnoty cílové skupiny, které odpovídají ručně zaregistrované aplikaci. Klient Azure VPN pro Linux ale podporuje hodnoty vlastních cílových skupin.

  • I když je možné, že Klient Azure VPN pro Linux může fungovat v jiných distribucích a verzích Linuxu, Klient Azure VPN pro Linux se podporuje jenom v následujících verzích:

    • Ubuntu 20.04
    • Ubuntu 22.04

  • Nejnovější verze Klient Azure VPN pro macOS a Windows jsou zpětně kompatibilní s bránami P2S nakonfigurovanými tak, aby používaly starší hodnoty cílové skupiny, které odpovídají ručně zaregistrované aplikaci. Tito klienti také podporují hodnoty vlastní cílové skupiny.

hodnoty cílové skupiny Klient Azure VPN

Následující tabulka uvádí verze Klient Azure VPN, které jsou podporovány pro každé ID aplikace a odpovídající dostupné hodnoty cílové skupiny.

ID aplikace Podporované hodnoty cílové skupiny Podporovaní klienti
Zaregistrované Microsoftem – Veřejná služba Azure: c632b3df-fb67-4d84-bdcf-b95ad541b5c8 – Linux
-Windows
– macOS
Ručně zaregistrováno – Veřejná služba Azure: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
– Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
– Azure Germany: 538ee9e6-310a-468d-afef-ea97365856a9
– Microsoft Azure provozovaný společností 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa		 -Windows
– macOS
Vlastní <custom-app-id> – Linux
-Windows
– macOS

Poznámka:

Ověřování Microsoft Entra ID je podporováno pouze pro připojení protokolu OpenVPN® a vyžaduje Klient Azure VPN.

V tomto článku získáte informace o těchto tématech:

  • Vytvoření virtuální sítě WAN
  • Vytvoření konfigurace sítě VPN uživatele
  • Stažení profilu sítě VPN uživatele virtuální sítě WAN
  • Vytvoření virtuálního centra
  • Úprava centra pro přidání brány P2S
  • Připojení virtuální sítě k virtuálnímu centru
  • Stažení a použití konfigurace klienta VPN uživatele
  • Zobrazení virtuální sítě WAN

Snímek obrazovky s diagramem služby Virtual WAN

Než začnete

Před zahájením konfigurace ověřte, že splňujete následující kritéria:

  • Máte virtuální síť, ke které se chcete připojit. Ověřte, že se žádná z podsítí vašich místních sítí nepřekrývá s virtuálními sítěmi, ke kterým se chcete připojit. Pokud chcete vytvořit virtuální síť na webu Azure Portal, podívejte se na rychlý start.

  • Vaše virtuální síť nemá žádné brány virtuální sítě. Pokud má vaše virtuální síť bránu (VPN nebo ExpressRoute), musíte odebrat všechny brány. Tato konfigurace vyžaduje, aby byly virtuální sítě připojené místo toho k bráně centra Virtual WAN.

  • Zařiďte rozsah IP adres pro oblast vašeho rozbočovače. Centrum je virtuální síť vytvořená a používaná službou Virtual WAN. Rozsah adres, který zadáte pro centrum, se nemůže překrývat s žádnou ze stávajících virtuálních sítí, ke kterým se připojujete. Také se nemůže překrývat s rozsahy adres, ke kterým se připojujete místně. Pokud neznáte rozsahy IP adres umístěných v konfiguraci místní sítě, spojte se s někým, kdo vám může tyto podrobnosti poskytnout.

  • Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet.

Vytvoření virtuální sítě WAN

V prohlížeči přejděte na web Azure Portal a přihlaste se pomocí svého účtu Azure.

  1. Na portálu zadejte na panelu Prohledat prostředky virtuální síť WAN do vyhledávacího pole a vyberte Enter.

  2. Ve výsledcích vyberte virtuální sítě WAN . Na stránce Virtuální sítě WAN vyberte + Vytvořit a otevřete stránku Vytvořit síť WAN.

  3. Na stránce Vytvořit síť WAN na kartě Základy vyplňte pole. Upravte ukázkové hodnoty tak, aby se použily pro vaše prostředí.

    Snímek obrazovky s podoknem Vytvořit síť WAN s vybranou kartou Základy

    • Předplatné: Vyberte předplatné, které chcete použít.
    • Skupina prostředků: Vytvořte novou nebo použijte existující.
    • Umístění skupiny prostředků: V rozevíracím seznamu zvolte umístění prostředku. Síť WAN je globální prostředek, který není v konkrétní oblasti. Pokud ale chcete spravovat a vyhledat prostředek sítě WAN, který vytvoříte, musíte vybrat oblast.
    • Název: Zadejte název, který chcete volat virtuální síť WAN.
    • Typ: Basic nebo Standard. Vyberte položku Standardní. Pokud vyberete Základní, rozumíte tomu, že virtuální sítě WAN úrovně Basic můžou obsahovat pouze základní centra. Základní rozbočovače lze použít pouze pro připojení typu site-to-site.

  4. Po vyplnění polí v dolní části stránky vyberte Zkontrolovat a vytvořit.

  5. Jakmile ověření projde, kliknutím na Vytvořit vytvořte virtuální síť WAN.

Vytvoření konfigurace sítě VPN uživatele

Konfigurace sítě VPN uživatele definuje parametry pro připojení vzdálených klientů. Před konfigurací virtuálního centra s nastavením P2S je důležité vytvořit konfiguraci sítě VPN uživatele, protože musíte zadat konfiguraci sítě VPN uživatele, kterou chcete použít.

  1. Přejděte na stránku konfigurace sítě Virtual WAN ->User VPN a klikněte na +Vytvořit konfiguraci sítě VPN uživatele.

    Snímek obrazovky s konfigurací Vytvořit uživatele V P N

  2. Na stránce Základy zadejte parametry.

    Snímek obrazovky se stránkou Základy

    • Název konfigurace – zadejte název, který chcete volat konfiguraci sítě VPN uživatele.
    • Typ tunelu – v rozevírací nabídce vyberte OpenVPN.

  3. Kliknutím na Microsoft Entra ID otevřete stránku.

    Snímek obrazovky se stránkou Microsoft Entra ID

    Přepněte ID Microsoft Entra na Ano a zadejte následující hodnoty na základě podrobností vašeho tenanta. Potřebné hodnoty můžete zobrazit na stránce Microsoft Entra ID pro podnikové aplikace na portálu.

    • Metoda ověřování – Vyberte ID Microsoft Entra.

    • Cílová skupina – Zadejte ID aplikace Klient Azure VPN Enterprise zaregistrované ve vašem tenantovi Microsoft Entra. Hodnoty najdete v tématu: Klient Azure VPN hodnoty cílové skupiny

    • Emitent - https://sts.windows.net/<your Directory ID>/

    • Tenant Microsoft Entra: ID tenanta Pro tenanta Microsoft Entra. Ujistěte se, že není / na konci adresy URL tenanta Microsoft Entra.

      • Zadejte https://login.microsoftonline.com/<your Directory Tenant ID> pro veřejnou službu Azure AD.
      • Enter https://login.microsoftonline.us/<your Directory Tenant ID> for Azure Government AD
      • Enter https://login-us.microsoftonline.de/<your Directory Tenant ID> pro Azure Germany AD
      • Enter https://login.chinacloudapi.cn/<your Directory Tenant ID> pro Čínu 21Vianet AD

  4. Kliknutím na Vytvořit vytvoříte konfiguraci sítě VPN uživatele. Tuto konfiguraci vyberete později v tomto cvičení.

Vytvoření prázdného centra

V tomto cvičení vytvoříme v tomto kroku prázdné virtuální centrum a v další části přidáte do tohoto centra bránu P2S. Tyto kroky ale můžete zkombinovat a vytvořit centrum s nastavením brány P2S najednou. Výsledek je stejný jako v obou směrech. Po nakonfigurování nastavení klikněte na Zkontrolovat a vytvořit a ověřte a pak vytvořte.

  1. Přejděte na virtuální síť WAN, kterou jste vytvořili. V levém podokně stránky virtual WAN v části Připojení vyberte Centra.

  2. Na stránce Hubs vyberte +New Hub a otevřete stránku Vytvořit virtuální centrum.

    Snímek obrazovky s podoknem Vytvořit virtuální centrum s vybranou kartou Základy

  3. Na kartě Základy na stránce Vytvořit virtuální centrum vyplňte následující pole:

    • Oblast: Vyberte oblast, ve které chcete nasadit virtuální centrum.
    • Název: Název, podle kterého chcete, aby bylo virtuální centrum známé.
    • Privátní adresní prostor centra: Rozsah adres centra v zápisu CIDR. Minimální adresní prostor je /24 pro vytvoření centra.
    • Kapacita virtuálního centra: Vyberte z rozevíracího seznamu. Další informace najdete v tématu Nastavení virtuálního centra.
    • Předvolba směrování centra: Ponechte nastavení jako výchozí, ExpressRoute, pokud nemáte konkrétní potřebu toto pole změnit. Další informace najdete v tématu Předvolby směrování virtuálního centra.

Přidání brány P2S do centra

V této části se dozvíte, jak přidat bránu do již existujícího virtuálního centra. Dokončení aktualizace centra může trvat až 30 minut.

  1. Přejděte na stránku Hubs pod virtuální sítí WAN.

  2. Kliknutím na název centra, které chcete upravit, otevřete stránku centra.

  3. Kliknutím na Upravit virtuální centrum v horní části stránky otevřete stránku Upravit virtuální centrum .

  4. Na stránce Upravit virtuální centrum zaškrtněte políčka Zahrnout bránu vpn pro lokality vpn a zahrnout bránu typu point-to-site, aby se zobrazila nastavení. Pak nakonfigurujte hodnoty.

    Snímek obrazovky ukazuje upravit virtuální centrum.

    • Jednotky škálování brány: Vyberte jednotky škálování brány. Jednotky škálování představují agregovanou kapacitu brány VPN uživatele. Pokud vyberete 40 nebo více jednotek škálování brány, naplánujte fond adres klienta odpovídajícím způsobem. Informace o tom, jak toto nastavení ovlivňuje fond adres klienta, najdete v tématu Informace o fondech adres klienta. Informace o jednotkách škálování brány najdete v nejčastějších dotazech.
    • Konfigurace sítě VPN uživatele: Vyberte konfiguraci, kterou jste vytvořili dříve.
    • Mapování skupin uživatelů na fondy adres: Informace o tomto nastavení najdete v tématu Konfigurace skupin uživatelů a fondů IP adres pro sítě VPN uživatelů P2S (Preview).

  5. Po nakonfigurování nastavení kliknutím na tlačítko Potvrdit aktualizujte centrum. Aktualizace centra může trvat až 30 minut.

Připojení virtuální sítě k centru

V této části vytvoříte připojení mezi virtuálním centrem a virtuální sítí.

  1. Na webu Azure Portal přejděte do služby Virtual WAN v levém podokně a vyberte připojení virtuální sítě.

  2. Na stránce Připojení virtuální sítě vyberte + Přidat připojení.

  3. Na stránce Přidat připojení nakonfigurujte nastavení připojení. Informace o nastavení směrování naleznete v tématu O směrování.

    • Název připojení: Pojmenujte připojení.
    • Rozbočovače: Vyberte centrum, které chcete k tomuto připojení přidružit.
    • Předplatné: Ověřte předplatné.
    • Skupina prostředků: Vyberte skupinu prostředků obsahující virtuální síť, ke které se chcete připojit.
    • Virtuální síť: Vyberte virtuální síť, kterou chcete připojit k tomuto centru. Zvolená virtuální síť nemůže mít již existující bránu virtuální sítě.
    • Rozšířit na žádný: Ve výchozím nastavení je nastavená hodnota Ne . Změna přepínače na Ano zpřístupňuje možnosti konfigurace pro rozšíření do směrovacích tabulek a rozšíření na popisky pro konfiguraci.
    • Přidružení směrovací tabulky: V rozevíracím seznamu můžete vybrat směrovací tabulku, kterou chcete přidružit.
    • Šíření na popisky: Popisky jsou logická skupina směrovacích tabulek. Pro toto nastavení vyberte z rozevíracího seznamu.
    • Statické trasy: V případě potřeby nakonfigurujte statické trasy. Nakonfigurujte statické trasy pro síťová virtuální zařízení (pokud je k dispozici). Virtual WAN podporuje jednu IP adresu dalšího segmentu směrování pro statickou trasu ve virtuální síti. Pokud máte například samostatné virtuální zařízení pro toky příchozího a výchozího provozu, je nejlepší mít virtuální zařízení v samostatných virtuálních sítích a připojit virtuální sítě k virtuálnímu centru.
    • Obejít IP adresu dalšího směrování pro úlohy v rámci této virtuální sítě: Toto nastavení umožňuje nasadit síťová virtuální zařízení a další úlohy do stejné virtuální sítě bez vynucení veškerého provozu přes síťové virtuální zařízení. Toto nastavení se dá nakonfigurovat jenom při konfiguraci nového připojení. Pokud chcete toto nastavení použít pro připojení, které jste už vytvořili, odstraňte připojení a přidejte nové připojení.
    • Šíření statické trasy: Toto nastavení se aktuálně zavádí. Toto nastavení umožňuje rozšířit statické trasy definované v části Statické trasy do směrovacích tabulek zadaných v rozšíření do směrovacích tabulek. Kromě toho se trasy rozšíří do směrovacích tabulek, které mají popisky určené jako Šíření na popisky. Tyto trasy je možné rozšířit mezi rozbočovači s výjimkou výchozí trasy 0/0.

  4. Po dokončení nastavení, která chcete nakonfigurovat, klikněte na Vytvořit a vytvořte připojení.

Stažení profilu sítě VPN uživatele

Všechna potřebná nastavení konfigurace pro klienty VPN jsou obsažena v konfiguračním souboru ZIP klienta VPN. Nastavení v souboru ZIP vám usnadní snadnou konfiguraci klientů VPN. Konfigurační soubory klienta VPN, které vygenerujete, jsou specifické pro konfiguraci vpn uživatele pro vaši bránu. Můžete si stáhnout globální profily (na úrovni SÍTĚ WAN) nebo profil pro konkrétní centrum. Informace a další pokyny najdete v tématu Stažení globálních profilů a profilů centra. Následující kroky vás provedou stažením globálního profilu na úrovni SÍTĚ WAN.

  1. Pokud chcete vygenerovat balíček konfigurace klienta VPN na úrovni sítě WAN, přejděte do virtuální sítě WAN (ne do virtuálního centra).

  2. V levém podokně vyberte Konfigurace sítě VPN uživatele.

  3. Vyberte konfiguraci, pro kterou chcete profil stáhnout. Pokud máte ke stejnému profilu přiřazených více rozbočovačů, rozbalte profil, aby se zobrazily rozbočovače, a pak vyberte jedno z center, které profil používá.

  4. Vyberte Stáhnout profil sítě VPN uživatele virtuální sítě WAN.

  5. Na stránce pro stažení vyberte EAPTLS a pak vygenerovat a stáhnout profil. Balíček profilu (soubor ZIP) obsahující nastavení konfigurace klienta se vygeneruje a stáhne do počítače. Obsah balíčku závisí na možnostech ověřování a tunelu pro vaši konfiguraci.

Konfigurace klientů VPN uživatele

Každý počítač, který se připojuje, musí mít nainstalovaného klienta. Jednotlivé klienty nakonfigurujete pomocí souborů profilu klienta uživatele VPN, které jste stáhli v předchozích krocích. Použijte článek, který se týká operačního systému, který chcete připojit.

Konfigurace klientů VPN s macOS (Preview)

Pokyny pro klienta pro macOS najdete v tématu Konfigurace klienta VPN – macOS (Preview).

Konfigurace klientů VPN systému Windows

  1. Stáhněte si nejnovější verzi Klient Azure VPN instalace souborů pomocí jednoho z následujících odkazů:

  2. Nainstalujte Klient Azure VPN do každého počítače.

  3. Ověřte, že Klient Azure VPN má oprávnění ke spuštění na pozadí. Postup najdete v tématu Aplikace na pozadí systému Windows.

  4. Pokud chcete ověřit nainstalovanou verzi klienta, otevřete Klient Azure VPN. Přejděte do dolní části klienta a klikněte na ... -> ? Nápověda. V pravém podokně uvidíte číslo verze klienta.

Import profilu klienta VPN (Windows)

  1. Na stránce vyberte Importovat.

    Snímek obrazovky znázorňující stránku importu

  2. Přejděte do souboru XML profilu a vyberte ho. Vyberte soubor a vyberte Otevřít.

    Snímek obrazovky s dialogovým oknem Otevřít, kde můžete vybrat soubor

  3. Zadejte název profilu a vyberte Uložit.

    Snímek obrazovky s přidanou možností Název připojení a vybraným tlačítkem Uložit

  4. Vyberte Připojit a připojte se k síti VPN.

    Snímek obrazovky ukazuje tlačítko Připojit pro právě vytvořené připojení.

  5. Po připojení se ikona změní na zelenou a řekne Připojeno.

    Snímek obrazovky ukazuje připojení ve stavu Připojeno s možností odpojit.

Odstranění profilu klienta – Windows

  1. Vyberte tři tečky (...) vedle profilu klienta, který chcete odstranit. Pak vyberte Odebrat.

    Snímek obrazovky s vybranou možností Odebrat z nabídky

  2. Chcete-li odstranit, vyberte odebrat .

    Snímek obrazovky zobrazuje potvrzovací dialogové okno s možností Odebrat nebo Zrušit.

Diagnostika problémů s připojením – Windows

  1. K diagnostice problémů s připojením můžete použít nástroj Diagnostika . Výběrem tří teček (...) vedle připojení VPN, které chcete diagnostikovat, zobrazte nabídku. Pak vyberte Diagnostikovat.

    Snímek obrazovky znázorňující diagnostiku vybranou v nabídce

  2. Na stránce Vlastnosti připojení vyberte Spustit diagnostiku.

    Snímek obrazovky znázorňující tlačítko Spustit diagnostiku připojení

  3. Přihlaste se pomocí svých přihlašovacích údajů.

    Snímek obrazovky s dialogovým oknem Přihlásit se pro tuto akci

  4. Prohlédněte si výsledky diagnostiky.

    Snímek obrazovky ukazuje výsledky diagnostiky.

Zobrazení virtuální sítě WAN

  1. Přejděte na virtuální síť WAN.
  2. Na stránce Overview (Přehled) každý bod na mapě představuje jeden rozbočovač.
  3. V části Hubs and connections (Rozbočovače a připojení) můžete zjistit stav rozbočovače, lokalitu, oblast, stav připojení VPN a přijaté a odeslané bajty.

Vyčištění prostředků

Pokud už prostředky, které jste vytvořili, nepotřebujete, odstraňte je. Některé prostředky služby Virtual WAN musí být odstraněny v určitém pořadí kvůli závislostem. Dokončení odstranění může trvat přibližně 30 minut.

  1. Otevřete virtuální síť WAN, kterou jste vytvořili.

  2. Výběrem virtuálního centra přidruženého k virtuální síti WAN otevřete stránku centra.

  3. Odstraňte všechny entity brány podle následujícího pořadí pro každý typ brány. Dokončení může trvat 30 minut.

    Síť vpn:

    • Odpojení lokalit VPN
    • Odstranění připojení VPN
    • Odstranění bran VPN

    ExpressRoute:

    • Odstranění připojení ExpressRoute
    • Odstranění bran ExpressRoute

  4. Opakujte pro všechna centra přidružená k virtuální síti WAN.

  5. Rozbočovače můžete v tomto okamžiku buď odstranit, nebo je později odstranit, když odstraníte skupinu prostředků.

  6. Na webu Azure Portal přejděte ke skupině prostředků.

  7. Vyberte Odstranit skupinu prostředků. Tím se odstraní ostatní prostředky ve skupině prostředků, včetně center a virtuální sítě WAN.

Další kroky

Nejčastější dotazy ke službě Virtual WAN najdete v nejčastějších dotazech ke službě Virtual WAN.