Konfigurowanie klienta sieci VPN platformy Azure dla połączeń uwierzytelniania certyfikatów typu punkt-lokacja — Windows
Jeśli brama sieci VPN typu punkt-lokacja (P2S) jest skonfigurowana do korzystania z protokołu OpenVPN i uwierzytelniania certyfikatu, możesz nawiązać połączenie z siecią wirtualną przy użyciu klienta sieci VPN platformy Azure. W tym artykule przedstawiono procedurę konfigurowania klienta sieci VPN platformy Azure i nawiązywania połączenia z siecią wirtualną.
Zanim rozpoczniesz
Przed rozpoczęciem kroków konfiguracji klienta sprawdź, czy znajdujesz się w odpowiednim artykule dotyczącym konfiguracji klienta sieci VPN. W poniższej tabeli przedstawiono artykuły konfiguracji dostępne dla klientów sieci VPN typu punkt-lokacja bramy sieci VPN. Kroki różnią się w zależności od typu uwierzytelniania, typu tunelu i systemu operacyjnego klienta.
| Uwierzytelnianie | Typ tunelu | System operacyjny klienta | Klient sieci VPN |
|---|---|---|---|
| Certyfikat | |||
| IKEv2, SSTP | Windows | Natywny klient sieci VPN | |
| IKEv2 | macOS | Natywny klient sieci VPN | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Klient sieci VPN platformy Azure Klient OpenVPN w wersji 2.x Klient OpenVPN w wersji 3.x |
|
| OpenVPN | macOS | Klient OpenVPN | |
| OpenVPN | iOS | Klient OpenVPN | |
| OpenVPN | Linux | Azure VPN Client Klient OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Klient sieci VPN platformy Azure | |
| OpenVPN | macOS | Azure VPN Client | |
| OpenVPN | Linux | Azure VPN Client |
Wymagania wstępne
W tym artykule założono, że zostały już spełnione następujące wymagania wstępne:
- Utworzono i skonfigurowano bramę sieci VPN na potrzeby uwierzytelniania certyfikatu typu punkt-lokacja oraz typu tunelu OpenVPN. Aby uzyskać instrukcje, zobacz Konfigurowanie ustawień serwera dla połączeń bramy sieci VPN typu punkt-lokacja — uwierzytelnianie certyfikatu.
- Wygenerowano i pobrano pliki konfiguracji klienta sieci VPN. Aby uzyskać instrukcje, zobacz Generowanie plików konfiguracji profilu klienta sieci VPN.
- Możesz wygenerować certyfikaty klienta lub uzyskać odpowiednie certyfikaty klienta niezbędne do uwierzytelniania.
Wymagania dotyczące połączenia
Aby nawiązać połączenie z platformą Azure, każde połączenie z komputerem klienckim wymaga następujących elementów:
- Oprogramowanie klienta sieci VPN platformy Azure musi być zainstalowane na każdym komputerze klienckim.
- Profil klienta sieci VPN platformy Azure jest skonfigurowany przy użyciu ustawień zawartych w pobranym pliku konfiguracji azurevpnconfig.xml lub azurevpnconfig_cert.xml .
- Komputer kliencki musi mieć zainstalowany lokalnie certyfikat klienta.
Generowanie i instalowanie certyfikatów klienta
W przypadku uwierzytelniania certyfikatu należy zainstalować certyfikat klienta na każdym komputerze klienckim. Certyfikat klienta, którego chcesz użyć, musi zostać wyeksportowany z kluczem prywatnym i musi zawierać wszystkie certyfikaty w ścieżce certyfikacji. Ponadto w przypadku niektórych konfiguracji należy również zainstalować informacje o certyfikacie głównym.
- Aby uzyskać informacje na temat pracy z certyfikatami, zobacz Punkt-lokacja: Generowanie certyfikatów.
- Aby wyświetlić zainstalowany certyfikat klienta, otwórz pozycję Zarządzaj certyfikatami użytkowników. Certyfikat klienta jest instalowany w folderze Current User\Personal\Certificates.
Instalowanie certyfikatu klienta
Każdy komputer potrzebuje certyfikatu klienta w celu uwierzytelnienia. Jeśli certyfikat klienta nie został jeszcze zainstalowany na komputerze lokalnym, możesz go zainstalować, wykonując następujące czynności:
- Znajdź certyfikat klienta. Aby uzyskać więcej informacji na temat certyfikatów klienta, zobacz Instalowanie certyfikatów klienta.
- Zainstaluj certyfikat klienta. Zazwyczaj można to zrobić, klikając dwukrotnie plik certyfikatu i podając hasło (jeśli jest to wymagane).
Wyświetlanie plików konfiguracji
Pakiet konfiguracji profilu klienta sieci VPN zawiera określone foldery. Pliki w folderach zawierają ustawienia wymagane do skonfigurowania profilu klienta sieci VPN na komputerze klienckim. Pliki i zawarte w nich ustawienia są specyficzne dla bramy sieci VPN, a typ uwierzytelniania i tunel bramy sieci VPN jest skonfigurowany do użycia.
Znajdź i rozpakuj wygenerowany pakiet konfiguracji profilu klienta sieci VPN. W przypadku uwierzytelniania certyfikatów i protokołu OpenVPN zobaczysz folder AzureVPN . W tym folderze zobaczysz plik azurevpnconfig_cert.xml lub plik azurevpnconfig.xml , w zależności od tego, czy konfiguracja P2S zawiera wiele typów uwierzytelniania. Plik .xml zawiera ustawienia używane do konfigurowania profilu klienta sieci VPN.
Jeśli nie widzisz pliku lub nie masz folderu AzureVPN , sprawdź, czy brama sieci VPN jest skonfigurowana do używania typu tunelu OpenVPN i czy wybrano uwierzytelnianie certyfikatu.
Pobieranie klienta sieci VPN platformy Azure
Pobierz najnowszą wersję plików instalacyjnych klienta sieci VPN platformy Azure, korzystając z jednego z następujących linków:
- Zainstaluj przy użyciu plików instalacji klienta: https://aka.ms/azvpnclientdownload.
- Zainstaluj bezpośrednio po zalogowaniu się na komputerze klienckim: Microsoft Store.
Zainstaluj klienta sieci VPN platformy Azure na każdym komputerze.
Sprawdź, czy klient sieci VPN platformy Azure ma uprawnienia do uruchamiania w tle. Aby uzyskać instrukcje, zobacz Aplikacje w tle systemu Windows.
Aby sprawdzić zainstalowaną wersję klienta, otwórz klienta sieci VPN platformy Azure. Przejdź do dołu klienta i kliknij przycisk ... -> ? Pomoc. W okienku po prawej stronie zobaczysz numer wersji klienta.
Konfigurowanie profilu klienta sieci VPN platformy Azure
Otwórz klienta sieci VPN platformy Azure.
Wybierz + pozycję w lewym dolnym rogu strony, a następnie wybierz pozycję Importuj.
W oknie przejdź do pliku azurevpnconfig.xml lub azurevpnconfig_cert.xml . Wybierz plik, a następnie wybierz pozycję Otwórz.
Na stronie profilu klienta zwróć uwagę, że wiele ustawień jest już określonych. Wstępnie skonfigurowane ustawienia znajdują się w zaimportowanym pakiecie profilu klienta sieci VPN. Mimo że większość ustawień jest już określona, należy skonfigurować ustawienia specyficzne dla komputera klienckiego.
Z listy rozwijanej Informacje o certyfikacie wybierz nazwę certyfikatu podrzędnego (certyfikat klienta). Na przykład P2SChildCert. Możesz również (opcjonalnie) wybrać profil pomocniczy. W tym ćwiczeniu wybierz pozycję Brak.
Jeśli na liście rozwijanej Informacje o certyfikacie nie widzisz certyfikatu klienta, musisz anulować i rozwiązać problem przed kontynuowaniem. Możliwe, że jedna z następujących rzeczy powoduje problem:
- Certyfikat klienta nie jest instalowany lokalnie na komputerze klienckim.
- Na komputerze lokalnym jest zainstalowanych wiele certyfikatów o dokładnie takiej samej nazwie (typowe w środowiskach testowych).
- Certyfikat podrzędny jest uszkodzony.
Po zweryfikowaniu importu (import bez błędów) wybierz pozycję Zapisz.
W okienku po lewej stronie znajdź połączenie sieci VPN, a następnie wybierz pozycję Połącz.
Opcjonalne ustawienia klienta sieci VPN platformy Azure
W poniższych sekcjach omówiono opcjonalne ustawienia konfiguracji, które są dostępne dla klienta sieci VPN platformy Azure.
Profil pomocniczy
Klient sieci VPN platformy Azure zapewnia wysoką dostępność profilów klientów. Dodanie pomocniczego profilu klienta zapewnia klientowi bardziej odporny sposób uzyskiwania dostępu do sieci VPN. Jeśli wystąpi awaria regionu lub nie można nawiązać połączenia z podstawowym profilem klienta sieci VPN, klient sieci VPN platformy Azure automatycznie połączy się z pomocniczym profilem klienta bez powodowania zakłóceń.
Ta funkcja wymaga klienta sieci VPN platformy Azure w wersji 2.2124.51.0 lub nowszej. W tym przykładzie dodamy profil pomocniczy do istniejącego profilu.
Korzystając z ustawień w tym przykładzie, jeśli klient nie może nawiązać połączenia z siecią VNet1, automatycznie połączy się z firmą Contoso bez powodowania zakłóceń.
Dodaj kolejny profil klienta sieci VPN do klienta sieci VPN platformy Azure. W tym przykładzie zaimportowaliśmy plik profilu klienta sieci VPN i dodaliśmy połączenie z firmą Contoso.
Następnie przejdź do profilu VNet1 i kliknij przycisk "...", a następnie pozycję Konfiguruj.
Z listy rozwijanej Profil pomocniczy wybierz profil dla firmy Contoso. Następnie zapisz ustawienia.
Ustawienia niestandardowe: DNS i routing
Klienta sieci VPN platformy Azure można skonfigurować przy użyciu opcjonalnych ustawień konfiguracji, takich jak więcej serwerów DNS, niestandardowych serwerów DNS, wymuszonego tunelowania, tras niestandardowych i innych ustawień. Opis dostępnych ustawień i kroków konfiguracji można znaleźć w temacie Ustawienia opcjonalne klienta sieci VPN platformy Azure.
Następne kroki
Postępuj zgodnie z dodatkowymi ustawieniami serwera lub połączenia. Zobacz Kroki konfiguracji punkt-lokacja.