Freigeben über


Benutzer-VPN-Konzepte (Point-to-Site)

Im folgenden Artikel werden die Konzepte und kundenseitig konfigurierbaren Optionen beschrieben, die für Konfigurationen und Gateways von Virtual WAN Benutzer-VPN P2S-Verbindungen (Point-to-Site) bestehen. Dieser Artikel ist in mehrere Abschnitte unterteilt, einschließlich Abschnitten zu Konzepten für die P2S-VPN-Serverkonfiguration und P2S-VPN-Gateways.

Konzepte für die VPN-Serverkonfiguration

VPN-Serverkonfigurationen definieren die Parameter für Authentifizierung, Verschlüsselung und Benutzergruppen, die zum Authentifizieren von Benutzern, zum Zuweisen von IP-Adressen und zum Verschlüsseln des Datenverkehrs verwendet werden. P2S-Gateways sind P2S-VPN-Serverkonfigurationen zugeordnet.

Allgemeine Konzepte

Konzept BESCHREIBUNG Hinweise
Tunneltyp Protokolle, die zwischen dem P2S-VPN-Gateway und Benutzern verwendet werden, die Verbindungen herstellen. Verfügbare Parameter: IKEv2, OpenVPN oder beide. Für IKEv2-Serverkonfigurationen sind nur RADIUS- und zertifikatbasierte Authentifizierung verfügbar. Für OpenVPN-Serverkonfigurationen sind RADIUS-, zertifikatbasierte und Microsoft Entra ID-basierte Authentifizierung verfügbar. Darüber hinaus werden mehrere Authentifizierungsmethoden in derselben Serverkonfiguration (z. B. Zertifikat und RADIUS für dieselbe Konfiguration) nur für OpenVPN unterstützt. IKEv2 weist außerdem ein Limit auf Protokollebene von 255 Routen auf, während OpenVPN ein Limit von 1.000 Routen hat.
Benutzerdefinierte IPsec-Parameter Verschlüsselungsparameter, die vom P2S-VPN-Gateway für Gateways verwendet werden, die IKEv2 verwenden. Informationen zu den verfügbaren Parametern finden Sie unter Benutzerdefinierte IPsec-Parameter für Point-to-Site-VPN. Dieser Parameter gilt nicht für Gateways, die die OpenVPN-Authentifizierung verwenden.

Konzepte für die Azure-Zertifikatauthentifizierung

Die folgenden Konzepte beziehen sich auf Serverkonfigurationen, die zertifikatbasierte Authentifizierung verwenden.

Konzept BESCHREIBUNG Hinweise
Name des Stammzertifikats Name, der von Azure verwendet wird, um Stammzertifikate von Kunden zu identifizieren. Kann als beliebiger Name konfiguriert werden. Es dürfen mehrere Stammzertifikate verwendet werden.
Öffentliche Zertifikatdaten Stammzertifikate, von denen Clientzertifikate ausgestellt werden. Geben Sie die Zeichenfolge ein, die den öffentlichen Daten des Stammzertifikats entspricht. Ein Beispiel zum Abrufen der öffentlichen Daten von Stammzertifikaten finden Sie in Schritt 8 im folgenden Dokument zum Generieren von Zertifikaten.
Gesperrtes Zertifikat Name, der von Azure verwendet wird, um zu sperrende Zertifikate zu identifizieren. Kann als beliebiger Name konfiguriert werden.
Gesperrter Zertifikatfingerabdruck Fingerabdruck von Endbenutzerzertifikaten, die nicht imstande sein sollen, Gatewayverbindungen herzustellen. Die Eingabe für diesen Parameter besteht in mindestens einem Zertifikatfingerabdruck. Jedes Benutzerzertifikat muss einzeln widerrufen werden. Durch das Widerrufen eines Zwischenzertifikats oder eines Stammzertifikats werden nicht automatisch alle untergeordneten Zertifikate widerrufen.

RADIUS-Authentifizierungskonzepte

Wenn ein P2S-VPN-Gateway für die Verwendung der RADIUS-basierten Authentifizierung konfiguriert ist, fungiert das P2S-VPN-Gateway als NPS-Proxy (Network Policy Server), um Authentifizierungsanforderungen an kundenseitige RADIUS-Server weiterzuleiten. Gateways können einen oder zwei RADIUS-Server für die Verarbeitung von Authentifizierungsanforderungen verwenden. Für Authentifizierungsanforderungen wird automatisch Lastenausgleich zwischen den RADIUS-Servern durchgeführt, wenn mehrere bereitgestellt werden.

Konzept BESCHREIBUNG Hinweise
Geheimnis des primären Servers Auf dem primären kundenseitigen RADIUS-Server konfiguriertes Servergeheimnis, das für die Verschlüsselung durch das RADIUS-Protokoll verwendet wird. Jede freigegebene geheime Zeichenfolge.
Primäre Server-IP-Adresse Private IP-Adresse des RADIUS-Servers Bei der IP-Adresse muss es sich um eine private IP-Adresse handeln, die vom virtuellen Hub erreichbar ist. Vergewissern Sie sich, dass die Verbindung, die den RADIUS-Server hostet, an die defaultRouteTable des Hubs mit dem Gateway weitergegeben wird.
Geheimnis des sekundären Servers Auf dem sekundären RADIUS-Server konfiguriertes Servergeheimnis, das für die Verschlüsselung durch das RADIUS-Protokoll verwendet wird. Jede bereitgestellte freigegebene geheime Zeichenfolge.
Sekundäre Server-IP-Adresse Die private IP-Adresse des RADIUS-Servers Bei der IP-Adresse muss es sich um eine private IP-Adresse handeln, die vom virtuellen Hub erreichbar ist. Vergewissern Sie sich, dass die Verbindung, die den RADIUS-Server hostet, an die defaultRouteTable des Hubs mit dem Gateway weitergegeben wird.
RADIUS-Serverstammzertifikat Öffentliche Daten des RADIUS-Serverstammzertifikats. Dieses Feld ist optional. Geben Sie die Zeichenfolge(n) ein, die den öffentlichen Daten des Stammzertifikats entspricht/entsprechen. Es dürfen mehrere Stammzertifikate eingegeben werden. Alle für die Authentifizierung verwendeten Clientzertifikate müssen von den angegebenen Stammzertifikaten ausgestellt werden. Ein Beispiel zum Abrufen der öffentlichen Daten von Zertifikaten finden Sie in Schritt 8 im folgenden Dokument zum Generieren von Zertifikaten.
Widerrufene Clientzertifikate Fingerabdruck von widerrufenen RADIUS-Clientzertifikaten. Clients, die widerrufene Zertifikate präsentieren, können keine Verbindung herstellen. Dieses Feld ist optional. Jedes Benutzerzertifikat muss einzeln widerrufen werden. Durch das Widerrufen eines Zwischenzertifikats oder eines Stammzertifikats werden nicht automatisch alle untergeordneten Zertifikate widerrufen.

Microsoft Entra-Authentifizierungskonzepte

Die folgenden Konzepte beziehen sich auf Serverkonfigurationen, die Microsoft Entra ID-basierte Authentifizierung verwenden. Die Microsoft Entra ID-basierte Authentifizierung ist nur für den Tunneltyp „OpenVPN“ verfügbar.

Konzept BESCHREIBUNG Verfügbare Parameter
Zielgruppe Anwendungs-ID der Azure-VPN-Unternehmensanwendung, die in Ihrem Microsoft Entra-Mandanten registriert ist. Weitere Informationen zum Registrieren der Azure-VPN-Anwendung in Ihrem Mandanten und zum Ermitteln der Anwendungs-ID finden Sie unter Konfigurieren eines Mandanten für P2S-Benutzer-VPN OpenVPN-Protokollverbindungen.
Issuer (Aussteller) Vollständige URL, die dem Security Token Service (STS) entspricht, der Ihrem Active Directory zugeordnet ist. Zeichenfolge im folgenden Format: https://sts.windows.net/<your Directory ID>/
Microsoft Entra-Mandant Vollständige URL, die dem Active Directory-Mandanten entspricht, der für die Authentifizierung auf dem Gateway verwendet wird. Variiert je nach Cloud, in der der Active Directory-Mandant bereitgestellt wird. Informationen zu cloudspezifischen Details finden Sie unten.

Microsoft Entra-Mandanten-ID

In der folgenden Tabelle wird das Format der Microsoft Entra-URL beschrieben, basierend auf der Cloud, in der Microsoft Entra ID bereitgestellt wird.

Cloud Parameterformat
Öffentliche Azure-Cloud https://login.microsoftonline.com/{AzureAD TenantID}
Azure Government Cloud https://login.microsoftonline.us/{AzureAD TenantID}
China 21Vianet Cloud https://login.chinacloudapi.cn/{AzureAD TenantID}

Konzepte für Benutzergruppen (mehrere Pools)

Die folgenden Konzepte beziehen sich auf Benutzergruppen (mehrere Pools) in Virtual WAN. Benutzergruppen ermöglichen ihnen das Zuweisen verschiedener IP-Adressen zum Verbinden von Benutzern auf der Grundlage ihrer Anmeldeinformationen, sodass Sie Zugriffssteuerungslisten (ACLs) und Firewallregeln konfigurieren können, um Workloads zu schützen. Weitere Informationen und Beispiele finden Sie unter Konzepte für mehrere Pools.

Die Serverkonfiguration enthält die Definitionen von Gruppen. Die Gruppen werden dann in Gateways verwendet, um Serverkonfigurationsgruppen IP-Adressen zuzuordnen.

Konzept BESCHREIBUNG Hinweise
Benutzergruppe/Richtliniengruppe Eine Benutzergruppe oder Richtliniengruppe ist eine logische Darstellung einer Gruppe von Benutzer*innen, denen IP-Adressen aus demselben Adresspool zugewiesen werden sollen. Weitere Informationen finden Sie unter Informationen zu Benutzergruppen.
Standardgruppe Wenn Benutzer versuchen, mithilfe der Benutzergruppenfunktion eine Verbindung mit einem Gateway herzustellen, werden Benutzer, die keiner dem Gateway zugewiesenen Gruppe entsprechen, automatisch als Teil der Standardgruppe betrachtet und erhalten eine dieser Gruppe zugewiesene IP-Adresse. Jede Gruppe in einer Serverkonfiguration kann als Standardgruppe oder nicht als Standardgruppe angegeben werden, und diese Einstellung kann nicht geändert werden, nachdem die Gruppe erstellt wurde. Jedem P2S-VPN-Gateway kann genau eine Standardgruppe zugewiesen werden, auch wenn die zugewiesene Serverkonfiguration mehrere Standardgruppen aufweist.
Gruppenpriorität Wenn einem Gateway mehrere Gruppen zugewiesen sind, kann ein Benutzer, der eine Verbindung herzustellen versucht, Anmeldeinformationen angeben, die mit mehreren Gruppen übereinstimmen. Virtual WAN verarbeitet Gruppen, die einem Gateway zugewiesen sind, in der Reihenfolge zunehmender Priorität. Prioritäten sind positive ganze Zahlen, und Gruppen mit niedrigeren numerischen Prioritäten werden zuerst verarbeitet. Jede Gruppe muss über eine eigene Priorität verfügen.
Gruppeneinstellungen/Mitglieder Benutzergruppen bestehen aus Mitgliedern. Mitglieder entsprechen nicht einzelnen Benutzer*innen, sondern definieren die Kriterien/Zuordnungsbedingungen, die verwendet werden, um zu bestimmen, zu welcher Gruppe eine Person gehört, die eine Verbindung aufbaut. Nachdem eine Gruppe einem Gateway zugewiesen wurde, wird ein sich verbindender Benutzer, dessen Anmeldeinformationen den Kriterien entsprechen, die für eines der Gruppenmitglieder definiert sind, als Teil dieser Gruppe angesehen, und ihm kann eine entsprechende IP-Adresse zugewiesen werden. Eine vollständige Liste der verfügbaren Kriterien finden Sie unter Verfügbare Gruppeneinstellungen.

Konzepte zur Gatewaykonfiguration

In den folgenden Abschnitten werden Konzepte beschrieben, die sich auf das P2S-VPN-Gateway beziehen. Jedes Gateway ist einer VPN-Serverkonfiguration zugeordnet und weist viele weitere konfigurierbare Optionen auf.

Allgemeine Gatewaykonzepte

Konzept BESCHREIBUNG Hinweise
Gatewayskalierungseinheit Eine Gatewayskalierungseinheit definiert, wie viel aggregierter Durchsatz und gleichzeitige Benutzer ein P2S-VPN-Gateway unterstützen kann. Gatewayskalierungseinheiten können von 1 bis 200 reichen und 500 bis 100.000 Benutzer pro Gateway unterstützen.
P2S-Serverkonfiguration Definiert die Authentifizierungsparameter, die das P2S-VPN-Gateway zum Authentifizieren eingehender Benutzer verwendet. Jede P2S-Serverkonfiguration, die dem Virtual WAN-Gateway zugeordnet ist. Die Serverkonfiguration muss erfolgreich erstellt worden sein, damit ein Gateway darauf verweisen kann.
Routingpräferenz Ermöglicht Ihnen, auszuwählen, wie Datenverkehr zwischen Azure und dem Internet geroutet wird. Sie können sich entscheiden, Datenverkehr entweder über das Microsoft-Netzwerk oder über das ISP-Netzwerk (öffentliches Netzwerk) zu leiten. Weitere Informationen zu dieser Einstellung finden Sie unter Was ist Routingpräferenz? Diese Einstellung kann nach der Gatewayerstellung nicht mehr geändert werden.
Benutzerdefinierte DNS-Server IP-Adressen der DNS-Server, an die Benutzer, die Verbindungen herzustellen versuchen, DNS-Anforderungen weiterleiten sollen. Jede routingfähige IP-Adresse.
Standardroute weitergeben Wenn der Virtual WAN Hub mit einer Standardroute 0.0.0.0/0 konfiguriert ist (statische Route in der Standardroutentabelle oder 0.0.0.0/0 bei lokaler Ankündigung), steuert diese Einstellung, ob die Route 0.0.0.0/0 für Benutzer angekündigt wird, die eine Verbindung herstellen. Dieses Feld kann auf „true“ oder „false“ festgelegt werden.

RADIUS-spezifische Konzepte

Konzept BESCHREIBUNG Hinweise
Remote/lokale RADIUS-Servereinstellung verwenden Steuert, ob Virtual WAN RADIUS-Authentifizierungspakete an RADIUS-Server weiterleiten kann, die lokal oder in einem mit einem anderen virtuellen Hub verbundenen Virtual Network gehostet sind. Diese Einstellung hat zwei Werte: „true“ oder „false“. Wenn Virtual WAN für die Verwendung von RADIUS-basierter Authentifizierung konfiguriert ist, fungiert ein Virtual WAN P2S-Gateway als RADIUS-Proxy, der Authentifizierungsanforderungen an Ihre RADIUS-Server sendet. Diese Einstellung (falls true) ermöglicht einem Virtual WAN-Gateway die Kommunikation mit RADIUS-Servern, die lokal oder in einem mit einem anderen Hub verbundenen Virtual Network bereitgestellt sind. Bei „false“ kann sich das Virtual WAN nur bei RADIUS-Servern authentifizieren, die in virtuellen Netzwerken gehostet sind, die mit dem Hub mit dem Gateway verbunden sind.
RADIUS Proxy-IPs RADIUS-Authentifizierungspakete, die vom P2S-VPN-Gateway an Ihren RADIUS-Server gesendet werden, weisen Quell-IPs auf, die im Feld der RADIUS-Proxy-IP angegeben sind. Diese IP-Adressen müssen auf Ihrem RADIUS-Server in der Zulassungsliste als RADIUS-Clients geführt werden. Dieser Parameter kann nicht direkt konfiguriert werden. Wenn „Remote/Lokalen RADIUS-Server verwenden“ auf „true“ festgelegt ist, werden die RADIUS-Proxy-IP-Adressen automatisch als IP-Adressen aus Clientadresspools konfiguriert, die im Gateway angegeben sind. Wenn diese Einstellung „false“ ist, handelt es sich bei den IP-Adressen um IP-Adressen aus dem Hubadressraum. RADIUS-Proxy-IPs finden Sie auf Azure-Portal auf der Seite P2S-VPN-Gateway.

Verbindungskonfigurationskonzepte

Es kann eine oder mehrere Verbindungskonfigurationen für ein P2S-VPN-Gateway geben. Jede Verbindungskonfiguration verfügt über eine Routingkonfiguration (Informationen zu Einschränkungen finden Sie unten) und stellt eine Gruppe oder ein Segment von Benutzern dar, denen IP-Adressen aus denselben Adresspools zugewiesen sind.

Konzept BESCHREIBUNG Hinweise
Konfigurationsname Name für eine P2S-VPN-Konfiguration Es kann ein beliebiger Name angegeben werden. Sie können mehrere Verbindungskonfigurationen in einem Gateway verwenden, wenn Sie das Feature für Benutzergruppen/mehrere Pools nutzen. Wenn Sie dieses Feature nicht verwenden, kann pro Gateway nur eine Konfiguration verwendet werden.
Benutzergruppen Benutzergruppen, die einer Konfiguration entsprechen Alle Benutzergruppen, auf die in der VPN Server-Konfiguration verwiesen wird. Dieser Parameter ist optional. Weitere Informationen finden Sie unter Informationen zu Benutzergruppen.
Address Pools Adresspools sind private IP-Adressen, denen Verbindungsbenutzer zugewiesen werden. Adresspools können als beliebige CIDR-Blöcke angegeben werden, sofern sie sich nicht mit Adressräumen virtueller Hubs, IP-Adressen, die in mit Virtual WAN verbundenen virtuellen Netzwerken verwendet werden, oder mit lokal angekündigten Adressen überschneiden. Abhängig von der im Gateway angegebenen Skalierungseinheit benötigen Sie möglicherweise mehrere CIDR-Blöcke. Weitere Informationen finden Sie unter Informationen zu Adresspools.
Routingkonfiguration Jede Verbindung mit Virtual Hub weist eine Routingkonfiguration auf, die definiert, welcher Routingtabelle die Verbindung zugeordnet ist und an welche Routingtabellen die Routingtabelle weitergegeben wird. Alle Verzweigungsverbindungen mit demselben Hub (ExpressRoute, VPN, NVA) müssen der defaultRouteTable zugeordnet sein und an denselben Satz von Routingtabellen weitergegeben werden. Unterschiedliche Weitergaben für Zweigverbindungen können zu unerwartetem Routingverhalten führen, da Virtual WAN die Routingkonfiguration für einen Zweig auswählt und sie auf alle Verzweigungen und damit auf die lokal erlernten Routen anwendet.

Nächste Schritte

Fügen Sie hier Links zu einigen Artikeln für die nächsten Schritte hinzu.