Konfigurace Klient Azure VPN pro připojení ověřování certifikátů P2S – Windows
Pokud je brána VPN typu point-to-site (P2S) nakonfigurovaná tak, aby používala ověřování pomocí OpenVPN a certifikátu, můžete se připojit k virtuální síti pomocí Klient Azure VPN. Tento článek vás provede postupem konfigurace Klient Azure VPN a připojení k virtuální síti.
Než začnete
Před zahájením kroků konfigurace klienta ověřte, že jste ve správném článku konfigurace klienta VPN. Následující tabulka uvádí články o konfiguraci, které jsou k dispozici pro klienty VPN Vpn Gateway typu point-to-site. Postup se liší v závislosti na typu ověřování, typu tunelu a klientském operačním systému.
| Ověřování | Typ tunelového propojení | Operační systém klienta | Klient VPN |
|---|---|---|---|
| Certifikát | |||
| IKEv2, SSTP | Windows | Nativní klient VPN | |
| IKEv2 | macOS | Nativní klient VPN | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Klient Azure VPN Klient OpenVPN verze 2.x Klient OpenVPN verze 3.x |
|
| OpenVPN | macOS | Klient OpenVPN | |
| OpenVPN | iOS | Klient OpenVPN | |
| OpenVPN | Linux | Klient Azure VPN Klient OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Klient Azure VPN | |
| OpenVPN | macOS | Klient Azure VPN | |
| OpenVPN | Linux | Klient Azure VPN |
Požadavky
Tento článek předpokládá, že jste už provedli následující požadavky:
- Vytvořili jste a nakonfigurovali bránu VPN pro ověřování certifikátu typu point-to-site a typ tunelu OpenVPN. Postup najdete v tématu Konfigurace nastavení serveru pro připojení brány VPN Gateway typu P2S – ověřování certifikátů.
- Vygenerovali a stáhli jste konfigurační soubory klienta VPN. Postup najdete v tématu Generování konfiguračních souborů profilu klienta VPN.
- Můžete buď generovat klientské certifikáty, nebo získat příslušné klientské certifikáty potřebné k ověření.
Požadavky na připojení
Pokud se chcete připojit k Azure, každý připojený klientský počítač vyžaduje následující položky:
- Na každém klientském počítači musí být nainstalovaný Klient Azure VPN software.
- Profil Klient Azure VPN se konfiguruje pomocí nastavení obsažených ve stažené azurevpnconfig.xml nebo konfiguračním souboru azurevpnconfig_cert.xml.
- Klientský počítač musí mít klientský certifikát, který je nainstalovaný místně.
Generování a instalace klientských certifikátů
Pro ověřování certifikátů musí být klientský certifikát nainstalovaný na každém klientském počítači. Klientský certifikát, který chcete použít, musí být exportován s privátním klíčem a musí obsahovat všechny certifikáty v cestě k certifikaci. V některých konfiguracích budete také muset nainstalovat informace o kořenovém certifikátu.
- Informace o práci s certifikáty naleznete v tématu Point-to-Site: Generování certifikátů.
- Pokud chcete zobrazit nainstalovaný klientský certifikát, otevřete Spravovat uživatelské certifikáty. Klientský certifikát je nainstalován v části Aktuální uživatel\Osobní\Certifikáty.
Instalace klientského certifikátu
Každý počítač potřebuje k ověření klientský certifikát. Pokud klientský certifikát ještě není v místním počítači nainstalovaný, můžete ho nainstalovat pomocí následujícího postupu:
- Vyhledejte klientský certifikát. Další informace o klientských certifikátech naleznete v tématu Instalace klientských certifikátů.
- Nainstalujte klientský certifikát. Obvykle to můžete udělat tak, že dvakrát kliknete na soubor certifikátu a zadáte heslo (v případě potřeby).
Zobrazení konfiguračních souborů
Konfigurační balíček profilu klienta VPN obsahuje konkrétní složky. Soubory v rámci složek obsahují nastavení potřebná ke konfiguraci profilu klienta VPN v klientském počítači. Soubory a nastavení, která obsahují, jsou specifické pro bránu VPN a typ ověřování a tunelu, které brána VPN používá.
Vyhledejte a rozbalte konfigurační balíček profilu klienta VPN, který jste vygenerovali. V případě ověřování certifikátů a OpenVPN se zobrazí složka AzureVPN . V této složce uvidíte soubor azurevpnconfig_cert.xml nebo soubor azurevpnconfig.xml v závislosti na tom, jestli konfigurace P2S obsahuje více typů ověřování. Soubor .xml obsahuje nastavení, která používáte ke konfiguraci profilu klienta VPN.
Pokud žádný soubor nevidíte nebo nemáte složku AzureVPN, ověřte, že je vaše brána VPN nakonfigurovaná tak, aby používala typ tunelu OpenVPN a že je vybrané ověřování certifikátů.
Stažení Klient Azure VPN
Stáhněte si nejnovější verzi Klient Azure VPN instalace souborů pomocí jednoho z následujících odkazů:
- Instalace pomocí instalačních souborů klienta: https://aka.ms/azvpnclientdownload.
- Nainstalujte se přímo, když jste přihlášení do klientského počítače: Microsoft Store.
Nainstalujte Klient Azure VPN do každého počítače.
Ověřte, že Klient Azure VPN má oprávnění ke spuštění na pozadí. Postup najdete v tématu Aplikace na pozadí systému Windows.
Pokud chcete ověřit nainstalovanou verzi klienta, otevřete Klient Azure VPN. Přejděte do dolní části klienta a klikněte na ... -> ? Nápověda. V pravém podokně uvidíte číslo verze klienta.
Konfigurace profilu Klient Azure VPN
Otevřete Klient Azure VPN.
V + levém dolním rohu stránky vyberte Importovat.
V okně přejděte do souboru azurevpnconfig.xml nebo azurevpnconfig_cert.xml . Vyberte soubor a pak vyberte Otevřít.
Na stránce profilu klienta si všimněte, že mnoho nastavení je již zadáno. Předkonfigurovaná nastavení jsou obsažena v balíčku profilu klienta VPN, který jste naimportovali. I když je většina nastavení už zadaná, musíte nakonfigurovat nastavení specifická pro klientský počítač.
V rozevíracím seznamu Informace o certifikátu vyberte název podřízeného certifikátu (klientský certifikát). Například P2SChildCert. Můžete také (volitelně) vybrat sekundární profil. V tomto cvičení vyberte Žádné.
Pokud v rozevíracím seznamu Informace o certifikátu nevidíte klientský certifikát, budete muset tento problém před pokračováním zrušit a opravit. Je možné, že problém způsobuje jedna z následujících věcí:
- Klientský certifikát není v klientském počítači nainstalovaný místně.
- V místním počítači je nainstalovaných více certifikátů s přesně stejným názvem (běžné v testovacích prostředích).
- Podřízený certifikát je poškozený.
Po ověření importu (import bez chyb) vyberte Uložit.
V levém podokně vyhledejte připojení VPN a pak vyberte Připojit.
Volitelná nastavení pro Klient Azure VPN
Následující části diskutují o volitelných nastaveních konfigurace, která jsou k dispozici pro Klient Azure VPN.
Sekundární profil
Klient Azure VPN poskytuje vysokou dostupnost profilů klientů. Přidání sekundárního profilu klienta poskytuje klientovi odolnější způsob přístupu k síti VPN. Pokud dojde k výpadku oblasti nebo selhání připojení k primárnímu profilu klienta VPN, Klient Azure VPN se automaticky připojí k sekundárnímu profilu klienta, aniž by to způsobilo přerušení.
Tato funkce vyžaduje Klient Azure VPN verze 2.2124.51.0 nebo novější. V tomto příkladu přidáme sekundární profil do již existujícího profilu.
Pokud se klient nemůže připojit k virtuální síti VNet1, použije nastavení v tomto příkladu, automaticky se připojí ke společnosti Contoso, aniž by to způsobilo přerušení.
Do Klient Azure VPN přidejte další profil klienta VPN. V tomto příkladu jsme naimportovali soubor profilu klienta VPN a přidali jsme připojení k Contoso.
Pak přejděte do profilu virtuální sítě VNet1 a klikněte na ...a pak na Konfigurovat.
V rozevíracím seznamu Sekundární profil vyberte profil společnosti Contoso. Potom nastavení uložte.
Vlastní nastavení: DNS a směrování
Můžete nakonfigurovat Klient Azure VPN s volitelnými konfiguračními nastaveními, jako jsou další servery DNS, vlastní DNS, vynucené tunelování, vlastní trasy a další nastavení. Popis dostupných nastavení a kroků konfigurace najdete v Klient Azure VPN volitelných nastaveních.
Další kroky
Proveďte další nastavení serveru nebo připojení. Viz kroky konfigurace typu Point-to-Site.