Konfigurace vynuceného tunelování pro Virtual WAN VPN typu point-to-site
Vynucené tunelování umožňuje odesílat veškerý provoz (včetně internetového provozu) ze vzdálených uživatelů do Azure. Ve službě Virtual WAN vynucené tunelování pro vzdálené uživatele VPN typu Point-to-Site označuje, že výchozí trasa 0.0.0.0/0 se inzeruje vzdáleným uživatelům VPN.
Vytvoření centra Virtual WAN
Kroky v tomto článku předpokládají, že jste už nasadili virtuální síť WAN s jedním nebo více rozbočovači.
Pokud chcete vytvořit novou virtuální síť WAN a nové centrum, postupujte podle kroků v následujících článcích:
Nastavení sítě VPN typu Point-to-Site
Kroky v tomto článku také předpokládají, že jste už nasadili bránu VPN typu Point-to-Site v centru Virtual WAN. Předpokládá se také, že jste vytvořili profily VPN typu Point-to-Site pro přiřazení k bráně.
Pokud chcete vytvořit bránu VPN typu Point-to-Site a související profily, přečtěte si téma Vytvoření brány VPN typu Point-to-Site.
Inzerování výchozí trasy klientům
Existuje několik způsobů, jak nakonfigurovat vynucené tunelování a inzerovat výchozí trasu (0.0.0.0/0) klientům VPN vzdáleného uživatele připojenému ke službě Virtual WAN.
- Ve výchozí tabulceRouteTable můžete zadat statickou trasu 0.0.0.0/0 s dalším směrováním připojení k virtuální síti. Tím se vynutí odeslání veškerého provozu vázaného na internet do síťového virtuálního zařízení nasazeného v této paprskové virtuální síti. Podrobnější pokyny najdete v alternativním pracovním postupu popsaném ve službě Route prostřednictvím síťových virtuálních zařízení.
- Pomocí Azure Firewall Manageru můžete nakonfigurovat Virtual WAN tak, aby posílala veškerý internetový provoz přes Azure Firewall nasazený v centru Virtual WAN. Postup konfigurace a kurz najdete v dokumentaci k zabezpečení virtuálních center ve službě Azure Firewall Manager. Alternativně to můžete nakonfigurovat také pomocí zásad směrování internetového provozu. Další informace naleznete v tématu Záměr směrování a zásady směrování.
- Správce brány firewall můžete použít k odesílání internetového provozu prostřednictvím jiného poskytovatele zabezpečení. Další informace o této funkci najdete v tématu Důvěryhodní poskytovatelé zabezpečení.
- Můžete nakonfigurovat jednu z větví (vpn typu site-to-site, okruh ExpressRoute) pro inzerování trasy 0.0.0.0/0 do služby Virtual WAN.
Po konfiguraci jedné z výše uvedených čtyř metod se ujistěte, že je pro bránu VPN typu Point-to-Site zapnutý příznak EnableInternetSecurity. Tento příznak musí být nastaven na true, aby klienti byli správně nakonfigurováni pro vynucené tunelování.
Pokud chcete zapnout příznak EnableInternetSecurity, použijte následující příkaz PowerShellu a nahraďte příslušné hodnoty pro vaše prostředí.
Update-AzP2sVpnGateway -ResourceGroupName "sampleRG" -Name "p2sgwsamplename" -EnableInternetSecurityFlag
Stažení profilu VPN typu Point-to-Site
Pokud chcete stáhnout profil VPN typu Point-to-Site, podívejte se na globální profily a profily rozbočovačů. Informace v souboru ZIP stažené z webu Azure Portal jsou důležité pro správnou konfiguraci klientů.
Konfigurace vynuceného tunelování pro klienty Azure VPN (OpenVPN)
Postup konfigurace vynuceného tunelování se liší v závislosti na operačním systému zařízení koncového uživatele.
Klienti Windows
Poznámka:
Pro klienty Windows je vynucené tunelování s klientem Azure VPN k dispozici pouze se softwarem verze 2:1900:39.0 nebo novější.
Ověřte, jestli je verze klienta Azure VPN kompatibilní s vynuceným tunelováním. Uděláte to tak, že kliknete na tři tečky v dolní části klienta Azure VPN a kliknete na Nápověda. Alternativně zkratka klávesnice pro přechod na nápovědu je Ctrl-H. Číslo verze najdete v horní části obrazovky. Ujistěte se, že vaše číslo verze je 2:1900:39.0 nebo novější.
Otevřete soubor ZIP stažený z předchozí části. Měla by se zobrazit složka s názvem AzureVPN. Otevřete složku a otevřete azurevpnconfig.xml v oblíbeném nástroji pro úpravy XML.
V azureconfig.xml je pole s názvem verze. Pokud je číslo mezi značkami verze 1, změňte číslo verze na 2.
<version>2</version>Naimportujte profil do klienta Azure VPN. Další informace o importu profilu najdete v pokynech k importu klienta Azure VPN.
Připojte se k nově přidanému připojení. Teď vynucujete tunelování veškerého provozu do služby Azure Virtual WAN.
Klienti macOS
Jakmile se klient macOS naučí výchozí trasu z Azure, vynucené tunelování se na klientském zařízení automaticky nakonfiguruje. Neexistují žádné další kroky, které je potřeba provést. Pokyny k připojení k bráně VPN typu point-to-site služby Virtual WAN pomocí klienta macOS Azure VPN najdete v průvodci konfigurací systému macOS.
Konfigurace vynuceného tunelování pro klienty IKEv2
Pro klienty IKEv2 nemůžete přímo použít spustitelné profily stažené z webu Azure Portal. Pokud chcete klienta správně nakonfigurovat, budete muset spustit skript PowerShellu nebo distribuovat profil SÍTĚ VPN přes Intune.
Na základě metody ověřování nakonfigurované na bráně VPN typu Point-to-Site použijte jiný konfigurační soubor protokolu EAP. Ukázkové konfigurační soubory EAP jsou uvedeny níže.
IKEv2 s ověřováním uživatelským certifikátem
Pokud chcete používat uživatelské certifikáty k ověřování vzdálených uživatelů, použijte ukázkový skript PowerShellu níže. Pokud chcete správně importovat obsah souborů VPNSettings a EAP XML do PowerShellu, přejděte před spuštěním příkazu Get-Content PowerShell do příslušného adresáře.
# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"
# get the VPN Server FQDN from the profile downloaded from Azure Portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer
# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)
# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML
# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false
Následující příklad ukazuje soubor XML protokolu EAP pro ověřování na základě uživatelských certifikátů. Nahraďte pole IssuerHash kryptografickým otiskem kořenového certifikátu, abyste zajistili, že klientské zařízení vybere správný certifikát pro ověření serveru VPN.
<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<EapMethod>
<Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
<VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
<VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
<AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
</EapMethod>
<Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
<Type>13</Type>
<EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
<CredentialsSource>
<CertificateStore>
<SimpleCertSelection>true</SimpleCertSelection>
</CertificateStore>
</CredentialsSource>
<ServerValidation>
<DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
<ServerNames></ServerNames>
</ServerValidation>
<DifferentUsername>false</DifferentUsername>
<PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
<AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
<TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
<FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
<CAHashList Enabled="true">
<IssuerHash> REPLACE THIS WITH ROOT CERTIFICATE THUMBPRINT </IssuerHash>
</CAHashList>
</FilteringInfo>
</TLSExtensions>
</EapType>
</Eap>
</Config>
</EapHostConfig>
IKEv2 s ověřováním certifikátů počítače
Pokud chcete k ověřování vzdálených uživatelů použít certifikáty počítače, použijte ukázkový skript PowerShellu níže. Pokud chcete správně importovat obsah souborů VPNSettings a EAP XML do PowerShellu, přejděte před spuštěním příkazu Get-Content PowerShell do příslušného adresáře.
# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "UserCertVPNConnection"
# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer
# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod MachineCertificate
# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false
IKEv2 s ověřováním serveru RADIUS s uživatelským jménem a heslem (EAP-MSCHAPv2)
Pokud chcete k ověřování vzdálených uživatelů použít ověřování RADIUS na základě uživatelského jména a hesla (EAP-MASCHAPv2), použijte ukázkový skript PowerShellu níže. Pokud chcete správně importovat obsah souborů VPNSettings a EAP XML do PowerShellu, přejděte před spuštěním příkazu Get-Content PowerShell do příslušného adresáře.
# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"
# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer
# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)
# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Point-to-sitev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML
# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false
Příklad souboru EAP XML je následující.
<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<EapMethod>
<Type xmlns="http://www.microsoft.com/provisioning/EapCommon">26</Type>
<VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
<VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
<AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
</EapMethod>
<Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
<Type>26</Type>
<EapType xmlns="http://www.microsoft.com/provisioning/MsChapV2ConnectionPropertiesV1">
<UseWinLogonCredentials>false</UseWinLogonCredentials>
</EapType>
</Eap>
</Config>
</EapHostConfig>
IKEv2 s ověřováním serveru RADIUS s uživatelskými certifikáty (EAP-TLS)
Pokud chcete k ověřování vzdálených uživatelů použít ověřování protokolu RADIUS založeného na certifikátech (EAP-TLS), použijte níže uvedený ukázkový skript PowerShellu. Abyste mohli importovat obsah souborů VPNSettings a EAP XML do PowerShellu, musíte před spuštěním příkazu Get-Content PowerShell přejít do příslušného adresáře.
# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"
# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer
# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)
# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML
# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false
Níže je ukázkový soubor XML protokolu EAP. Změňte pole TrustedRootCA na kryptografický otisk certifikátu certifikační autority a VystavitelHash tak, aby byl kryptografickým otiskem kořenového certifikátu.
<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<EapMethod>
<Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
<VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
<VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
<AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
</EapMethod>
<Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
<Type>13</Type>
<EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
<CredentialsSource>
<CertificateStore>
<SimpleCertSelection>false</SimpleCertSelection>
</CertificateStore>
</CredentialsSource>
<ServerValidation>
<DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
<ServerNames></ServerNames>
<TrustedRootCA> CERTIFICATE AUTHORITY THUMBPRINT </TrustedRootCA>
</ServerValidation>
<DifferentUsername>true</DifferentUsername>
<PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation>
<AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName>
<TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
<FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
<CAHashList Enabled="true">
<IssuerHash> ROOT CERTIFICATE THUMBPRINT </IssuerHash>
</CAHashList>
</FilteringInfo>
</TLSExtensions>
</EapType>
</Eap>
</Config>
</EapHostConfig>
Další kroky
Další informace o službě Virtual WAN najdete v nejčastějších dotazech.