Concepten van gebruikers-VPN (punt-naar-site)
In het volgende artikel worden de concepten en door de klant configureerbare opties beschreven die zijn gekoppeld aan P2S-configuraties (Virtual WAN User VPN point-to-site) en gateways. Dit artikel is onderverdeeld in meerdere secties, waaronder secties over P2S VPN-serverconfiguratieconcepten en secties over P2S VPN-gatewayconcepten.
Configuratieconcepten voor VPN-servers
Vpn-serverconfiguraties definiëren de parameters verificatie, versleuteling en gebruikersgroep die worden gebruikt voor het verifiëren van gebruikers, en wijzen IP-adressen toe en versleutelen verkeer. P2S-gateways zijn gekoppeld aan P2S VPN-serverconfiguraties.
Algemene concepten
| Concept | Beschrijving | Opmerkingen |
|---|---|---|
| Tunneltype | Protocollen die worden gebruikt tussen de P2S VPN-gateway en het verbinden van gebruikers. | Beschikbare parameters: IKEv2, OpenVPN of beide. Voor IKEv2-serverconfiguraties is alleen RADIUS- en certificaatgebaseerde verificatie beschikbaar. Voor open VPN-serverconfiguraties zijn RADIUS, verificatie op basis van certificaten en Microsoft Entra-id's beschikbaar. Daarnaast worden meerdere verificatiemethoden op dezelfde serverconfiguratie (bijvoorbeeld certificaat en RADIUS in dezelfde configuratie) alleen ondersteund voor OpenVPN. IKEv2 heeft ook een protocolniveaulimiet van 255 routes, terwijl OpenVPN een limiet van 1000 routes heeft. |
| Aangepaste IPsec-parameters | Versleutelingsparameters die worden gebruikt door de P2S VPN-gateway voor gateways die IKEv2 gebruiken. | Zie Aangepaste IPSec-parameters voor punt-naar-site-VPN voor beschikbare parameters. Deze parameter is niet van toepassing op gateways die gebruikmaken van OpenVPN-verificatie. |
Concepten van Azure Certificate Authentication
De volgende concepten zijn gerelateerd aan serverconfiguraties die gebruikmaken van verificatie op basis van certificaten.
| Concept | Beschrijving | Opmerkingen |
|---|---|---|
| Basiscertificaatnaam | De naam die door Azure wordt gebruikt om basiscertificaten van klanten te identificeren. | Kan worden geconfigureerd als een willekeurige naam. U kunt meerdere basiscertificaten hebben. |
| Openbare certificaatgegevens | Basiscertificaat(en) van waaruit clientcertificaten worden uitgegeven. | Voer de tekenreeks in die overeenkomt met de openbare gegevens van het basiscertificaat. Zie stap 8 in het volgende document over het genereren van certificaten voor een voorbeeld voor het ophalen van openbare basiscertificaatgegevens. |
| Ingetrokken certificaat | De naam die door Azure wordt gebruikt om certificaten te identificeren die moeten worden ingetrokken. | Kan worden geconfigureerd als een willekeurige naam. |
| Vingerafdruk van certificaat ingetrokken | Vingerafdruk van de certificaat(en) van de eindgebruiker die geen verbinding mogen maken met de gateway. | De invoer voor deze parameter is een of meer certificaatvingerafdrukken. Elk gebruikerscertificaat moet afzonderlijk worden ingetrokken. Als u een tussenliggend certificaat of basiscertificaat intrekt, worden niet automatisch alle onderliggende certificaten ingetrokken. |
CONCEPTEN voor RADIUS-verificatie
Als een P2S VPN-gateway is geconfigureerd voor het gebruik van RADIUS-verificatie, fungeert de P2S VPN-gateway als een NPS-proxy (Network Policy Server) om verificatieaanvragen door te sturen naar radius-servers van de klant. Gateways kunnen een of twee RADIUS-serverservers gebruiken om verificatieaanvragen te verwerken. Verificatieaanvragen worden automatisch verdeeld over de RADIUS-servers als er meerdere worden opgegeven.
| Concept | Beschrijving | Opmerkingen |
|---|---|---|
| Primair servergeheim | Servergeheim geconfigureerd op de primaire RADIUS-server van de klant die wordt gebruikt voor versleuteling door RADIUS-protocol. | Een gedeelde geheime tekenreeks. |
| IP-adres van primaire server | Privé-IP-adres van RADIUS-server | Dit IP-adres moet een privé-IP zijn die bereikbaar is door de virtuele hub. Zorg ervoor dat de verbinding die als host fungeert voor de RADIUS-server, wordt doorgegeven aan de standaardRouteTable van de hub met de gateway. |
| Secundair servergeheim | Servergeheim geconfigureerd op de tweede RADIUS-server die wordt gebruikt voor versleuteling door RADIUS-protocol. | Alle opgegeven gedeelde geheime tekenreeksen. |
| IP-adres van secundaire server | Het privé-IP-adres van de RADIUS-server | Dit IP-adres moet een privé-IP zijn die bereikbaar is door de virtuele hub. Zorg ervoor dat de verbinding die als host fungeert voor de RADIUS-server, wordt doorgegeven aan de standaardRouteTable van de hub met de gateway. |
| RADIUS-serverhoofdcertificaat | Openbare gegevens van radius-servercertificaat. | Dit veld is optioneel. Voer de tekenreeks(en) in die overeenkomen met de openbare gegevens van het RADIUS-basiscertificaat. U kunt meerdere basiscertificaten invoeren. Alle clientcertificaten die worden gepresenteerd voor verificatie, moeten worden uitgegeven vanuit de opgegeven basiscertificaten. Zie stap 8 in het volgende document over het genereren van certificaten voor een voorbeeld voor het ophalen van openbare certificaatgegevens. |
| Ingetrokken clientcertificaten | Vingerafdruk(en) van ingetrokken RADIUS-clientcertificaten. Clients die ingetrokken certificaten presenteren, kunnen geen verbinding maken. | Dit veld is optioneel. Elk gebruikerscertificaat moet afzonderlijk worden ingetrokken. Als u een tussenliggend certificaat of basiscertificaat intrekt, worden niet automatisch alle onderliggende certificaten ingetrokken. |
Microsoft Entra-verificatieconcepten
De volgende concepten zijn gerelateerd aan serverconfiguraties die gebruikmaken van verificatie op basis van Microsoft Entra ID. Verificatie op basis van Microsoft Entra ID is alleen beschikbaar als het tunneltype OpenVPN is.
| Concept | Beschrijving | Beschikbare parameters |
|---|---|---|
| Doelgroep | Toepassings-id van de Azure VPN Enterprise-toepassing die is geregistreerd in uw Microsoft Entra-tenant. | Zie voor meer informatie over het registreren van de Azure VPN-toepassing in uw tenant en het vinden van de toepassings-id een tenant configureren voor VPN OpenVPN-protocolverbindingen voor P2S-gebruikers |
| Verlener | Volledige URL die overeenkomt met De beveiligingstokenservice (STS) die is gekoppeld aan uw Active Directory. | Tekenreeks in de volgende indeling: https://sts.windows.net/<your Directory ID>/ |
| Microsoft Entra-tenant | Volledige URL die overeenkomt met de Active Directory-tenant die wordt gebruikt voor verificatie op de gateway. | Varieert op basis van de cloud waarin de Active Directory-tenant wordt geïmplementeerd. Zie hieronder voor details per cloud. |
Tenant-id van Microsoft Entra
In de volgende tabel wordt de indeling van de Microsoft Entra-URL beschreven op basis van de cloud waarin Microsoft Entra-id is geïmplementeerd.
| Cloud | Parameterindeling |
|---|---|
| Openbare Azure-cloud | https://login.microsoftonline.com/{AzureAD TenantID} |
| Azure Government Cloud | https://login.microsoftonline.us/{AzureAD TenantID} |
| China 21Vianet Cloud | https://login.chinacloudapi.cn/{AzureAD TenantID} |
Concepten van gebruikersgroepen (meerdere groepen)
De volgende concepten met betrekking tot gebruikersgroepen (meerdere pools) in Virtual WAN. Met gebruikersgroepen kunt u verschillende IP-adressen toewijzen om gebruikers te verbinden op basis van hun referenties, zodat u toegangsbeheerlijsten (ACL's) en firewallregels kunt configureren om workloads te beveiligen. Zie concepten voor meerdere pools voor meer informatie en voorbeelden.
De serverconfiguratie bevat de definities van groepen en de groepen worden vervolgens gebruikt op gateways om serverconfiguratiegroepen toe te wijzen aan IP-adressen.
| Concept | Beschrijving | Opmerkingen |
|---|---|---|
| Gebruikersgroep/beleidsgroep | Een gebruikersgroep of beleidsgroep is een logische weergave van een groep gebruikers waaraan IP-adressen uit dezelfde adresgroep moeten worden toegewezen. | Zie voor meer informatie over gebruikersgroepen. |
| Standaardgroep | Wanneer gebruikers verbinding proberen te maken met een gateway met behulp van de functie gebruikersgroepen, worden gebruikers die niet overeenkomen met een groep die aan de gateway is toegewezen, automatisch beschouwd als onderdeel van de standaardgroep en wordt een IP-adres toegewezen dat aan die groep is gekoppeld. | Elke groep in een serverconfiguratie kan worden opgegeven als een standaardgroep of niet-standaardgroep en deze instelling kan niet worden gewijzigd nadat de groep is gemaakt. Precies één standaardgroep kan worden toegewezen aan elke P2S VPN-gateway, zelfs als de toegewezen serverconfiguratie meerdere standaardgroepen heeft. |
| Groepsprioriteit | Wanneer meerdere groepen zijn toegewezen aan een gateway, kan een verbindende gebruiker referenties presenteren die overeenkomen met meerdere groepen. Virtual WAN verwerkt groepen die zijn toegewezen aan een gateway in toenemende volgorde van prioriteit. | Prioriteiten zijn positieve gehele getallen en groepen met lagere numerieke prioriteiten worden eerst verwerkt. Elke groep moet een afzonderlijke prioriteit hebben. |
| Groepsinstellingen/leden | Gebruikersgroepen bestaan uit leden. Leden komen niet overeen met afzonderlijke gebruikers, maar definiëren eerder de criteria/overeenkomstvoorwaarde(s) die worden gebruikt om te bepalen van welke groep een verbindende gebruiker deel uitmaakt. Zodra een groep is toegewezen aan een gateway, wordt een verbindende gebruiker waarvan de referenties voldoen aan de criteria die zijn opgegeven voor een van de leden van de groep, beschouwd als onderdeel van die groep en kan een geschikt IP-adres worden toegewezen. | Zie de beschikbare groepsinstellingen voor een volledige lijst met beschikbare criteria. |
Concepten voor gatewayconfiguratie
In de volgende secties worden concepten beschreven die zijn gekoppeld aan de P2S VPN-gateway. Elke gateway is gekoppeld aan één VPN-serverconfiguratie en heeft vele andere configureerbare opties.
Algemene gatewayconcepten
| Concept | Beschrijving | Opmerkingen |
|---|---|---|
| Gatewayschaaleenheid | Een gatewayschaaleenheid definieert hoeveel cumulatieve doorvoer en gelijktijdige gebruikers een P2S VPN-gateway kunnen ondersteunen. | Gatewayschaaleenheden kunnen variëren van 1-200, die 500 tot 100.000 gebruikers per gateway ondersteunen. |
| P2S-serverconfiguratie | Definieert de verificatieparameters die de P2S VPN-gateway gebruikt om binnenkomende gebruikers te verifiëren. | Elke P2S-serverconfiguratie die is gekoppeld aan de Virtual WAN-gateway. De serverconfiguratie moet worden gemaakt om naar een gateway te kunnen verwijzen. |
| Routeringsvoorkeur | Hiermee kunt u kiezen hoe verkeer wordt gerouteerd tussen Azure en internet. | U kunt ervoor kiezen om verkeer te routeren via het Microsoft-netwerk of via het ISP-netwerk (openbaar netwerk). Zie Wat is routeringsvoorkeur voor meer informatie over deze instelling ? Deze instelling kan niet worden gewijzigd nadat de gateway is gemaakt. |
| Aangepaste DNS-servers | IP-adressen van de DNS-server(s) die gebruikers verbinden, moeten DNS-aanvragen doorsturen naar. | Routeerbaar IP-adres. |
| Standaardroute doorgeven | Als de Virtual WAN-hub is geconfigureerd met een standaardroute 0.0.0.0/0 (statische route in de standaardroutetabel of 0.0.0.0/0 geadverteerd vanuit on-premises, bepaalt deze instelling of de route 0.0.0.0/0 wordt aangekondigd om gebruikers te verbinden. | Dit veld kan worden ingesteld op waar of onwaar. |
RADIUS-specifieke concepten
| Concept | Beschrijving | Opmerkingen |
|---|---|---|
| Externe/on-premises RADIUS-serverinstelling gebruiken | Hiermee bepaalt u of Virtual WAN RADIUS-verificatiepakketten wel of niet kan doorsturen naar RADIUS-servers die on-premises worden gehost of in een virtueel netwerk dat is verbonden met een andere virtuele hub. | Deze instelling heeft twee waarden, waar of onwaar. Wanneer Virtual WAN is geconfigureerd voor het gebruik van RADIUS-verificatie, fungeert virtual WAN P2S-gateway als een RADIUS-proxy waarmee verificatieaanvragen worden verzonden naar uw RADIUS-servers. Met deze instelling (indien waar) kan virtual WAN-gateway communiceren met RADIUS-servers die on-premises zijn geïmplementeerd of in een virtueel netwerk dat is verbonden met een andere hub. Als dit onwaar is, kan virtual WAN alleen worden geverifieerd met RADIUS-servers die worden gehost in virtuele netwerken die zijn verbonden met de hub met de gateway. |
| RADIUS-proxy-IP's | RADIUS-verificatiepakketten die door de P2S VPN-gateway naar uw RADIUS-server worden verzonden, hebben bron-IP-adressen die zijn opgegeven in het veld van het IP-adres van de RADIUS-proxy. Deze IP-adressen moeten worden vermeld als RADIUS-clients op uw RADIUS-server. | Deze parameter kan niet rechtstreeks worden geconfigureerd. Als 'Externe/on-premises RADIUS-server gebruiken' is ingesteld op true, worden de RADIUS-proxy-IP-adressen automatisch geconfigureerd als IP-adressen van clientadresgroepen die zijn opgegeven op de gateway. Als deze instelling onwaar is, zijn de IP-adressen ip-adressen vanuit de hubadresruimte. RADIUS-proxy-IP's vindt u in Azure Portal op de pagina P2S VPN-gateway. |
Concepten voor verbindingsconfiguratie
Er kunnen een of meer verbindingsconfiguraties zijn op een P2S VPN-gateway. Elke verbindingsconfiguratie heeft een routeringsconfiguratie (zie hieronder voor opmerkingen) en vertegenwoordigt een groep of segment gebruikers waaraan IP-adressen van dezelfde adresgroepen zijn toegewezen.
| Concept | Beschrijving | Opmerkingen |
|---|---|---|
| Configuratienaam | Naam voor een P2S VPN-configuratie | Elke naam kan worden opgegeven. U kunt meer dan één verbindingsconfiguratie op een gateway hebben als u gebruikmaakt van de functie gebruikersgroepen/meerdere pools. Als u deze functie niet gebruikt, kan er slechts één configuratie per gateway zijn. |
| Gebruikersgroepen | Gebruikersgroepen die overeenkomen met een configuratie | Alle gebruikersgroepen waarnaar wordt verwezen in de CONFIGURATIE van de VPN-server. Deze parameter is optioneel. Zie voor meer informatie over gebruikersgroepen. |
| Adresgroepen | Adresgroepen zijn privé-IP-adressen waaraan gebruikers verbinding maken. | Adresgroepen kunnen worden opgegeven als een CIDR-blok dat niet overlapt met virtuele hub-adresruimten, IP-adressen die worden gebruikt in virtuele netwerken die zijn verbonden met Virtual WAN of adressen die zijn geadverteerd vanuit on-premises. Afhankelijk van de schaaleenheid die is opgegeven op de gateway, hebt u mogelijk meer dan één CIDR-blok nodig. Zie voor meer informatie over adresgroepen. |
| Configuratie voor doorsturen | Elke verbinding met Virtual Hub heeft een routeringsconfiguratie, waarmee wordt gedefinieerd aan welke routetabel de verbinding is gekoppeld en aan welke routetabellen de routetabel wordt doorgegeven. | Alle vertakkingsverbindingen met dezelfde hub (ExpressRoute, VPN, NVA) moeten worden gekoppeld aan de defaultRouteTable en worden doorgegeven aan dezelfde set routetabellen. Het hebben van verschillende doorgiften voor vertakkingen kan leiden tot onverwacht routeringsgedrag, omdat Virtual WAN de routeringsconfiguratie voor één vertakking kiest en deze toepast op alle vertakkingen en daarom routes die zijn geleerd van on-premises. |
Volgende stappen
Voeg hier koppelingen toe naar een aantal artikelen voor de volgende stappen.