Udostępnij za pośrednictwem

Konfigurowanie wymuszonego tunelowania dla sieci VPN typu punkt-lokacja usługi Virtual WAN

  • Artykuł

Wymuszone tunelowanie umożliwia wysyłanie całego ruchu (w tym ruchu powiązanego z Internetem) z użytkowników zdalnych do platformy Azure. W usłudze Virtual WAN wymuszone tunelowanie dla użytkowników zdalnych sieci VPN typu punkt-lokacja oznacza, że domyślna trasa 0.0.0.0/0 jest anonsowana dla zdalnych użytkowników sieci VPN.

Tworzenie koncentratora usługi Virtual WAN

W krokach w tym artykule założono, że wirtualna sieć WAN została już wdrożona z co najmniej jednym koncentratorem.

Aby utworzyć nową wirtualną sieć WAN i nowe centrum, wykonaj kroki opisane w następujących artykułach:

Konfigurowanie sieci VPN typu punkt-lokacja

W krokach opisanych w tym artykule założono również, że brama sieci VPN typu punkt-lokacja została już wdrożona w koncentratorze usługi Virtual WAN. Założono również, że utworzono profile sieci VPN typu punkt-lokacja w celu przypisania do bramy.

Aby utworzyć bramę sieci VPN typu punkt-lokacja i powiązane profile, zobacz Tworzenie bramy sieci VPN typu punkt-lokacja.

Istnieje kilka sposobów konfigurowania tunelowania wymuszonego i anonsowania trasy domyślnej (0.0.0.0/0) do klientów sieci VPN użytkownika zdalnego połączonych z usługą Virtual WAN.

  • Możesz określić statyczną trasę 0.0.0.0/0 w domyślnej tabeliRouteTable z połączeniem sieci wirtualnej następnego przeskoku. Spowoduje to wymusi wysłanie całego ruchu powiązanego z Internetem do wirtualnego urządzenia sieciowego wdrożonego w tej sieci wirtualnej będącej szprychą. Aby uzyskać bardziej szczegółowe instrukcje, rozważ alternatywny przepływ pracy opisany w temacie Route through NVAs (Routing za pośrednictwem urządzeń WUS).
  • Za pomocą usługi Azure Firewall Manager można skonfigurować usługę Virtual WAN do wysyłania całego ruchu powiązanego z Internetem za pośrednictwem usługi Azure Firewall wdrożonej w koncentratorze usługi Virtual WAN. Aby uzyskać instrukcje konfiguracji i samouczek, zobacz dokumentację dotyczącą zabezpieczania koncentratorów wirtualnych w usłudze Azure Firewall Manager. Alternatywnie można to skonfigurować za pomocą zasad routingu ruchu internetowego. Aby uzyskać więcej informacji, zobacz Routing Intent and Routing Policies (Zasady routingu i routingu).
  • Menedżer zapory umożliwia wysyłanie ruchu internetowego za pośrednictwem innego dostawcy zabezpieczeń. Aby uzyskać więcej informacji na temat tej możliwości, zobacz Zaufane dostawcy zabezpieczeń.
  • Możesz skonfigurować jedną z gałęzi (sieć VPN typu lokacja-lokacja, obwód usługi ExpressRoute), aby anonsować trasę 0.0.0.0/0 do usługi Virtual WAN.

Po skonfigurowaniu jednej z powyższych czterech metod upewnij się, że flaga EnableInternetSecurity jest włączona dla bramy sieci VPN typu punkt-lokacja. Ta flaga musi być ustawiona na wartość true, aby klienci byli prawidłowo skonfigurowani do wymuszonego tunelowania.

Aby włączyć flagę EnableInternetSecurity, użyj następującego polecenia programu PowerShell, zastępując odpowiednie wartości dla danego środowiska.

Update-AzP2sVpnGateway -ResourceGroupName "sampleRG" -Name "p2sgwsamplename" -EnableInternetSecurityFlag

Pobieranie profilu sieci VPN typu punkt-lokacja

Aby pobrać profil sieci VPN typu punkt-lokacja, zobacz profile globalne i hub. Informacje w pliku zip pobranym z witryny Azure Portal mają kluczowe znaczenie dla prawidłowego konfigurowania klientów.

Konfigurowanie wymuszonego tunelowania dla klientów sieci VPN platformy Azure (OpenVPN)

Kroki konfigurowania wymuszonego tunelowania różnią się w zależności od systemu operacyjnego urządzenia użytkownika końcowego.

Klienci systemu Windows

Uwaga

W przypadku klientów z systemem Windows wymuszone tunelowanie przy użyciu klienta sieci VPN platformy Azure jest dostępne tylko w przypadku oprogramowania w wersji 2:1900:39.0 lub nowszej.

  1. Sprawdź, czy wersja klienta sieci VPN platformy Azure jest zgodna z wymuszonym tunelowaniem. W tym celu kliknij trzy kropki w dolnej części klienta sieci VPN platformy Azure, a następnie kliknij pozycję Pomoc. Alternatywnie skrót klawiatury, aby przejść do Pozycji Pomoc, to Ctrl-H. Numer wersji można znaleźć w górnej części ekranu. Upewnij się, że numer wersji to 2:1900:39.0 lub nowszy.

  2. Otwórz plik zip pobrany z poprzedniej sekcji. Powinien zostać wyświetlony folder o nazwie AzureVPN. Otwórz folder i otwórz azurevpnconfig.xml w ulubionym narzędziu do edycji XML.

  3. W azureconfig.xml istnieje pole o nazwie version (wersja). Jeśli numer między tagami wersji to 1, zmień numer wersji na 2.

    <version>2</version>

  4. Zaimportuj profil do klienta sieci VPN platformy Azure. Aby uzyskać więcej informacji na temat importowania profilu, zobacz Instrukcje importowania klienta sieci VPN platformy Azure.

  5. Połącz się z nowo dodanym połączeniem. Teraz wymuszasz tunelowanie całego ruchu do usługi Azure Virtual WAN.

Klienci z systemem macOS

Gdy klient systemu macOS dowie się, że trasa domyślna z platformy Azure, wymuszone tunelowanie zostanie automatycznie skonfigurowane na urządzeniu klienckim. Nie ma dodatkowych kroków do podjęcia. Aby uzyskać instrukcje dotyczące korzystania z klienta sieci VPN platformy Azure dla systemu macOS w celu nawiązania połączenia z bramą sieci VPN typu punkt-lokacja usługi Virtual WAN, zobacz Przewodnik konfiguracji systemu macOS.

Konfigurowanie wymuszonego tunelowania dla klientów IKEv2

W przypadku klientów IKEv2 nie można bezpośrednio używać profilów wykonywalnych pobranych z witryny Azure Portal. Aby prawidłowo skonfigurować klienta, należy uruchomić skrypt programu PowerShell lub rozpowszechnić profil sieci VPN za pośrednictwem usługi Intune.

Na podstawie metody uwierzytelniania skonfigurowanej w bramie sieci VPN typu punkt-lokacja użyj innego pliku konfiguracji protokołu EAP. Poniżej przedstawiono przykładowe pliki konfiguracji protokołu EAP.

IKEv2 z uwierzytelnianiem certyfikatu użytkownika

Aby użyć certyfikatów użytkownika do uwierzytelniania użytkowników zdalnych, użyj poniższego przykładowego skryptu programu PowerShell. Aby poprawnie zaimportować zawartość plików XML vpnSettings i EAP do programu PowerShell, przejdź do odpowiedniego katalogu przed uruchomieniem polecenia Get-Content programu PowerShell.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"

# get the VPN Server FQDN from the profile downloaded from Azure Portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false

W poniższym przykładzie przedstawiono plik XML protokołu EAP na potrzeby uwierzytelniania opartego na certyfikatach użytkownika. Zastąp pole IssuerHash odciskiem palca certyfikatu głównego, aby upewnić się, że urządzenie klienckie wybierze prawidłowy certyfikat do przedstawienia serwerowi sieci VPN na potrzeby uwierzytelniania.

<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
    <EapMethod>
        <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
        <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
        <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
        <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
    </EapMethod>
    <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
        <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
            <Type>13</Type>
            <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                <CredentialsSource>
                    <CertificateStore>
                        <SimpleCertSelection>true</SimpleCertSelection>
                    </CertificateStore>
                </CredentialsSource>
                <ServerValidation>
                    <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                    <ServerNames></ServerNames>
                </ServerValidation>
                <DifferentUsername>false</DifferentUsername>
                <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                    <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                        <CAHashList Enabled="true">
                            <IssuerHash> REPLACE THIS WITH ROOT CERTIFICATE THUMBPRINT </IssuerHash>
                        </CAHashList>
                    </FilteringInfo>
                </TLSExtensions>
            </EapType>
        </Eap>
    </Config>
</EapHostConfig>

IKEv2 z uwierzytelnianiem certyfikatu komputera

Aby użyć certyfikatów maszyny do uwierzytelniania użytkowników zdalnych, użyj poniższego przykładowego skryptu programu PowerShell. Aby poprawnie zaimportować zawartość plików XML vpnSettings i EAP do programu PowerShell, przejdź do odpowiedniego katalogu przed uruchomieniem polecenia Get-Content programu PowerShell.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "UserCertVPNConnection"

# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod MachineCertificate 

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false

Protokół IKEv2 z uwierzytelnianiem serwera RADIUS przy użyciu nazwy użytkownika i hasła (EAP-MSCHAPv2)

Aby użyć uwierzytelniania usługi RADIUS opartego na nazwie użytkownika i hasła (EAP-MASCHAPv2) do uwierzytelniania użytkowników zdalnych, użyj poniższego przykładowego skryptu programu PowerShell. Aby poprawnie zaimportować zawartość plików XML vpnSettings i EAP do programu PowerShell, przejdź do odpowiedniego katalogu przed uruchomieniem polecenia Get-Content programu PowerShell.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"

# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Point-to-sitev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false

Przykładowy plik XML protokołu EAP jest następujący.

<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
    <EapMethod>
        <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">26</Type>
        <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
        <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
        <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
    </EapMethod>
    <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
        <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
            <Type>26</Type>
            <EapType xmlns="http://www.microsoft.com/provisioning/MsChapV2ConnectionPropertiesV1">
                <UseWinLogonCredentials>false</UseWinLogonCredentials>
            </EapType>
        </Eap>
    </Config>
</EapHostConfig>

Protokół IKEv2 z uwierzytelnianiem serwera RADIUS przy użyciu certyfikatów użytkownika (EAP-TLS)

Aby użyć uwierzytelniania radius opartego na certyfikatach (EAP-TLS) do uwierzytelniania użytkowników zdalnych, użyj poniższego przykładowego skryptu programu PowerShell. Pamiętaj, że aby zaimportować zawartość plików VPNSettings i EAP XML do programu PowerShell, należy przejść do odpowiedniego katalogu przed uruchomieniem polecenia Get-Content programu PowerShell.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"

# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false

Poniżej znajduje się przykładowy plik XML protokołu EAP. Zmień pole TrustedRootCA na odcisk palca certyfikatu urzędu certyfikacji, a wartość IssuerHash na odcisk palca certyfikatu głównego.

<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
    <EapMethod>
        <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
        <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
        <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
        <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
    </EapMethod>
    <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
        <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
            <Type>13</Type>
            <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                <CredentialsSource>
                    <CertificateStore>
                        <SimpleCertSelection>false</SimpleCertSelection>
                    </CertificateStore>
                </CredentialsSource>
                <ServerValidation>
                    <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                    <ServerNames></ServerNames>
                    <TrustedRootCA> CERTIFICATE AUTHORITY THUMBPRINT </TrustedRootCA>
                </ServerValidation>
                <DifferentUsername>true</DifferentUsername>
                <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation>
                <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName>
                <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                    <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                        <CAHashList Enabled="true">
                            <IssuerHash> ROOT CERTIFICATE THUMBPRINT  </IssuerHash>
                        </CAHashList>
                    </FilteringInfo>
                </TLSExtensions>
            </EapType>
        </Eap>
    </Config>
</EapHostConfig>

Następne kroki

Aby uzyskać więcej informacji na temat usługi Virtual WAN, zobacz często zadawane pytania.