Konfigurieren des OpenVPN Connect 3.x-Clients für Verbindungen mit der P2S-Zertifikatauthentifizierung – Windows
Wenn Ihr P2S-VPN-Gateway (Point-to-Site) für die Verwendung von OpenVPN und Zertifikatauthentifizierung konfiguriert ist, können Sie mithilfe des OpenVPN-Clients eine Verbindung mit Ihrem virtuellen Netzwerk herstellen. Dieser Artikel führt Sie durch die Schritte zum Konfigurieren des OpenVPN Connect 3.x-Clients sowie zum Herstellen einer Verbindung mit Ihrem virtuellen Netzwerk. Es gibt einige Konfigurationsunterschiede zwischen dem OpenVPN 2.x-Client und dem OpenVPN Connect 3.x-Client. Dieser Artikel konzentriert sich auf den OpenVPN Connect 3.x-Client.
Voraussetzungen
Vergewissern Sie sich vor Beginn der Clientkonfigurationsschritte, dass Sie sich im richtigen Artikel zur VPN-Clientkonfiguration befinden. In der folgenden Tabelle sind die Konfigurationsartikel aufgeführt, die für VPN Gateway-P2S-VPN-Clients verfügbar sind. Die Schritte unterscheiden sich je nach Authentifizierungstyp, Tunneltyp und Clientbetriebssystem.
Authentifizierung | Tunneltyp | Clientbetriebssystem | VPN-Client |
---|---|---|---|
Zertifikat | |||
IKEv2, SSTP | Windows | Nativer VPN-Client | |
IKEv2 | macOS | Nativer VPN-Client | |
IKEv2 | Linux | strongSwan | |
OpenVPN | Windows | Azure VPN Client OpenVPN-Clientversion 2.x OpenVPN-Clientversion 3.x |
|
OpenVPN | macOS | OpenVPN-Client | |
OpenVPN | iOS | OpenVPN-Client | |
OpenVPN | Linux | Azure VPN Client OpenVPN-Client |
|
Microsoft Entra ID | |||
OpenVPN | Windows | Azure VPN Client | |
OpenVPN | macOS | Azure VPN Client | |
OpenVPN | Linux | Azure VPN Client |
Hinweis
Der OpenVPN-Client wird unabhängig verwaltet und unterliegt nicht der Kontrolle durch Microsoft. Dies bedeutet, dass Microsoft seinen Code, die Builds, die Roadmap oder die rechtlichen Aspekte nicht überwacht. Sollten Kunden auf Fehler oder Probleme mit dem OpenVPN-Client stoßen, sollten sie sich direkt an den Support von OpenVPN Inc. wenden. Die Anleitungen in diesem Artikel werden „wie gesehen“ bereitgestellt und wurden von OpenVPN Inc. nicht überprüft. Sie sollen Kunden unterstützen, die bereits mit dem Client vertraut sind und diesen verwenden möchten, um eine Verbindung mit dem Azure VPN Gateway in einem Point-to-Site-VPN-Setup herzustellen.
Voraussetzungen
In diesem Artikel wird davon ausgegangen, dass Sie bereits die folgenden Voraussetzungen erfüllt haben:
- Sie haben Ihr VPN-Gateway für die Point-to-Site-Zertifikatauthentifizierung und einen OpenVPN-Tunneltyp erstellt und konfiguriert. Die Schritte finden Sie unter Konfigurieren von Servereinstellungen für P2S-VPN-Gatewayverbindungen – Zertifikatauthentifizierung.
- Sie haben die VPN-Clientkonfigurationsdateien generiert und heruntergeladen. Unter Generieren von Profilkonfigurationsdateien für den VPN-Client finden Sie Informationen zu den Schritten.
- Sie können entweder Clientzertifikate generieren oder die entsprechenden Clientzertifikate erwerben, die für die Authentifizierung erforderlich sind.
Verbindungsanforderungen
Um eine Verbindung mit Azure mithilfe des OpenVPN Connect 3.x-Clients mithilfe der Zertifikatauthentifizierung herzustellen, erfordert jeder verbindende Clientcomputer die folgenden Elemente:
- Die OpenVPN Connect-Clientsoftware muss auf jedem Clientcomputer installiert und konfiguriert werden.
- Der Clientcomputer muss über ein lokal installiertes Clientzertifikat verfügen.
- Wenn Ihre Zertifikatkette ein Zwischenzertifikat enthält, lesen Sie zuerst den Abschnitt Zwischenzertifikate, um zu überprüfen, ob die Konfiguration Ihres P2S VPN Gateways eingerichtet ist, um diese Zertifikatkette zu unterstützen. Das Verhalten der Zertifikatauthentifizierung für 3.x-Clients unterscheidet sich von früheren Versionen, in denen Sie das Zwischenzertifikat im Clientprofil angeben können.
Workflow
Der Workflow für diesen Artikel lautet:
- Generieren und installieren Sie Clientzertifikate, sofern dies noch nicht geschehen ist.
- Zeigen Sie die Konfigurationsdateien des VPN-Clientprofils an, die im von Ihnen generierten VPN-Clientprofilkonfigurationspaket enthalten sind.
- Konfigurieren Sie den OpenVPN Connect-Client.
- Herstellen einer Verbindung zu Azure.
Generieren und Installieren von Clientzertifikaten
Für die Zertifikatauthentifizierung muss auf jedem Clientcomputer ein Clientzertifikat installiert sein. Das zu verwendende Clientzertifikat muss mit dem privaten Schlüssel exportiert werden und alle Zertifikate im Zertifizierungspfad enthalten. Darüber hinaus müssen Sie für einige Konfigurationen auch Stammzertifikatinformationen installieren.
In vielen Fällen können Sie das Clientzertifikat durch Doppelklicken direkt auf dem Clientcomputer installieren. Für einige OpenVPN-Clientkonfigurationen müssen Sie jedoch möglicherweise Informationen aus dem Clientzertifikat extrahieren, um die Konfiguration abzuschließen.
- Informationen zur Verwendung von Zertifikaten finden Sie unter Generieren und Exportieren von Zertifikaten für Point-to-Site-Verbindungen mithilfe von PowerShell.
- Öffnen Sie Benutzerzertifikate verwalten, um ein installiertes Clientzertifikat anzuzeigen. Das Clientzertifikat ist unter Current User\Personal\Certificates gespeichert.
Installieren des Clientzertifikats
Jeder Computer benötigt ein Clientzertifikat, um sich zu authentifizieren. Wenn das Clientzertifikat noch nicht auf dem lokalen Computer installiert ist, können Sie es mit den folgenden Schritten installieren:
- Suchen Sie das Clientzertifikat. Weitere Informationen zu Clientzertifikaten finden Sie unter Installieren von Clientzertifikaten.
- Installieren Sie das Clientzertifikat. In der Regel können Sie dazu auf die Zertifikatdatei doppelklicken und (bei Bedarf) ein Kennwort angeben.
Konfigurationsdateien ansehen
Das VPN-Clientprofilkonfigurationspaket enthält bestimmte Ordner. Die Dateien in den Ordnern enthalten die Einstellungen, die zum Konfigurieren des VPN-Clientprofils auf dem Clientcomputer erforderlich sind. Die Dateien und die darin enthaltenen Einstellungen sind spezifisch für das VPN-Gateway und den Typ der Authentifizierung und des Tunnels, der für die Verwendung für Ihr VPN-Gateway konfiguriert ist.
Suchen und entzippen Sie das von Ihnen generierte VPN-Clientprofilkonfigurationspaket. Für die Zertifikatauthentifizierung und OpenVPN sollten Sie sich den OpenVPN-Ordner ansehen. Wenn die Datei nicht angezeigt wird, überprüfen Sie die folgenden Elemente:
- Stellen Sie sicher, dass Ihr VPN-Gateway für die Verwendung des OpenVPN-Tunneltyps konfiguriert ist.
- Wenn Sie die Microsoft Entra ID-Authentifizierung verwenden, verfügen Sie möglicherweise nicht über einen OpenVPN-Ordner. Lesen Sie stattdessen den Artikel zur Microsoft Entra ID-Konfiguration.
Konfigurieren des Clients
Laden Sie die OpenVPN-Clientversion 3.x von der offiziellen OpenVPN-Website herunter, und installieren Sie sie.
Suchen Sie das Konfigurationspaket für das VPN-Clientprofil, das Sie generiert und auf Ihren Computer heruntergeladen haben. Extrahieren Sie das Paket. Navigieren Sie zum Ordner „OpenVPN“, und öffnen Sie die Konfigurationsdatei vpnconfig.ovpn in Editor.
Suchen Sie als Nächstes nach dem untergeordneten Zertifikat, das Sie erstellt haben. Wenn Sie das Zertifikat nicht haben, finden Sie unter folgenden Links Schritte zum Exportieren des Zertifikats. Sie verwenden die Zertifikatinformationen im nächsten Schritt.
- Anweisungen zu VPN Gateway
- Anweisungen zu Virtual WAN
Extrahieren Sie aus dem untergeordneten Zertifikat den privaten Schlüssel und den Base64-Fingerabdruck aus der PFX-Datei. Hierfür gibt es mehrere Möglichkeiten. Die Verwendung von OpenSSL auf Ihrem Computer ist eine Möglichkeit. Die Datei profileinfo.txt enthält den privaten Schlüssel und den Fingerabdruck für die Zertifizierungsstelle sowie das Clientzertifikat. Verwenden Sie unbedingt den Fingerabdruck des Clientzertifikats.
openssl pkcs12 -in "filename.pfx" -nodes -out "profileinfo.txt"
Wechseln Sie zur Datei vpnconfig.ovpn, die Sie in Editor geöffnet haben. Füllen Sie den Abschnitt zwischen
<cert>
und</cert>
aus, und rufen Sie die Werte für$CLIENT_CERTIFICATE
und$ROOT_CERTIFICATE
ab wie im folgenden Beispiel gezeigt.# P2S client certificate # please fill this field with a PEM formatted cert <cert> $CLIENT_CERTIFICATE $ROOT_CERTIFICATE </cert>
- Öffnen Sie profileinfo.txt aus dem vorherigen Schritt in Editor. Sie können die Zertifikate jeweils per Blick auf die Zeile
subject=
identifizieren. Wenn Ihr untergeordnetes Zertifikat z. B. P2SChildCert heißt, befindet sich das Clientzertifikat hinter dem Attributsubject=CN = P2SChildCert
. - Kopieren Sie für jedes Zertifikat in der Kette den Text (einschließlich und zwischen) „-----BEGIN CERTIFICATE-----“ und „-----END CERTIFICATE-----“.
- Öffnen Sie profileinfo.txt aus dem vorherigen Schritt in Editor. Sie können die Zertifikate jeweils per Blick auf die Zeile
Öffnen Sie die Datei profileinfo.txt in Editor. Um den privaten Schlüssel zu erhalten, markieren Sie den Text einschließlich und zwischen „-----BEGIN PRIVATE KEY-----“ und „-----END PRIVATE KEY-----“, und kopieren Sie ihn.
Kehren Sie zur Datei „vpnconfig.ovpn“ in Editor zurück, und suchen Sie nach diesem Abschnitt. Fügen Sie den privaten Schlüssel so ein, dass er alles zwischen
<key>
und</key>
ersetzt.# P2S client root certificate private key # please fill this field with a PEM formatted key <key> $PRIVATEKEY </key>
Kommentieren Sie die Zeile „log openvpn.log“ aus. Wenn sie nicht auskommentiert ist, meldet der OpenVPN-Client, dass das Protokoll nicht mehr unterstützt wird. Ein Beispiel zum Auskommentieren der Protokollzeile finden Sie im Beispiel für das Benutzerprofil. Nachdem Sie die Protokollzeile auskommentiert haben, können Sie weiterhin über die OpenVPN-Clientschnittstelle auf Protokolle zugreifen. Um darauf zuzugreifen, klicken Sie auf das Protokollsymbol in der oberen rechten Ecke der Clientbenutzeroberfläche. Microsoft empfiehlt Kunden, sich in der OpenVPN Connect-Dokumentation den Speicherort der Protokolldatei anzusehen, da die Protokollierung vom OpenVPN-Client gesteuert wird.
Ändern Sie keine anderen Felder. Verwenden Sie die ausgefüllte Konfiguration in der Clienteingabe, um eine Verbindung mit dem VPN herzustellen.
Importieren Sie die Datei „vpnconfig.ovpn“ im OpenVPN-Client.
Klicken Sie auf der Taskleiste mit rechten Maustaste auf das Symbol „OpenVPN“, und klicken Sie auf Verbinden.
Beispiel für das Benutzerprofil
Das folgende Beispiel zeigt die Konfigurationsdatei eines Benutzerprofils für OpenVPN Connect-Clients der Version 3.x. In diesem Beispiel ist die Protokolldatei auskommentiert und die Option „ping-restart 0“ hinzugefügt, um regelmäßige Verbindungswiederherstellungen zu verhindern, da kein Datenverkehr an den Client gesandt wird.
client
remote <vpnGatewayname>.ln.vpn.azure.com 443
verify-x509-name <IdGateway>.ln.vpn.azure.com name
remote-cert-tls server
dev tun
proto tcp
resolv-retry infinite
nobind
auth SHA256
cipher AES-256-GCM
persist-key
persist-tun
tls-timeout 30
tls-version-min 1.2
key-direction 1
#log openvpn.log
#inactive 0
ping-restart 0
verb 3
# P2S CA root certificate
<ca>
-----BEGIN CERTIFICATE-----
……
……..
……..
……..
-----END CERTIFICATE-----
</ca>
# Pre Shared Key
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
……..
……..
……..
-----END OpenVPN Static key V1-----
</tls-auth>
# P2S client certificate
# Please fill this field with a PEM formatted client certificate
# Alternatively, configure 'cert PATH_TO_CLIENT_CERT' to use input from a PEM certificate file.
<cert>
-----BEGIN CERTIFICATE-----
……..
……..
……..
-----END CERTIFICATE-----
</cert>
# P2S client certificate private key
# Please fill this field with a PEM formatted private key of the client certificate.
# Alternatively, configure 'key PATH_TO_CLIENT_KEY' to use input from a PEM key file.
<key>
-----BEGIN PRIVATE KEY-----
……..
……..
……..
-----END PRIVATE KEY-----
</key>
Zwischengeschaltete Zertifikate
Wenn Ihre Zertifikatkette Zwischenzertifikate enthält, müssen Sie die Zwischenzertifikate in das Azure VPN Gateway hochladen. Dies ist die bevorzugte zu verwendende Methode, unabhängig vom VPN-Client, von dem Sie eine Verbindung herstellen möchten. In früheren Versionen konnten Sie Zwischenzertifikate im Benutzerprofil angeben. Dies wird in der OpenVPN Connect-Clientversion 3.x nicht mehr unterstützt.
Wenn Sie mit Zwischenzertifikaten arbeiten, muss das Zwischenzertifikat nach dem Stammzertifikat hochgeladen werden.
Verbindungswiederherstellungen
Wenn regelmäßige Verbindungswiederherstellungen auftreten, weil kein Datenverkehr an den Client gesandt wird, können Sie dem Profil die Option „ping-restart 0“ hinzufügen, um zu verhindern, dass die Verbindung getrennt wird. Dies wird in der OpenVPN Connect-Dokumentation wie folgt beschrieben: „ --ping-restart n Similar to --ping-exit, but trigger a SIGUSR1 restart after n seconds pass without reception of a ping or other packet from remote.“
Ein Beispiel zum Hinzufügen dieser Option finden Sie im Beispiel für das Benutzerprofil.
Nächste Schritte
Stellen Sie dann alle zusätzlichen Server- oder Verbindungseinstellungen ein. Weitere Informationen unter Point-to-Site-Konfigurationsschritte.