Konfigurowanie połączenia typu punkt-lokacja przy użyciu uwierzytelniania certyfikatu (wersja klasyczna)
W tym artykule pokazano, jak utworzyć sieć wirtualną z połączeniem punkt-lokacja przy użyciu klasycznego (starszego) modelu wdrażania. Ta konfiguracja korzysta z certyfikatów z podpisem własnym lub wystawionych przez urząd certyfikacji do uwierzytelniania klienta nawiązującego połączenie. Te instrukcje dotyczą klasycznego modelu wdrażania. Nie można już utworzyć bramy przy użyciu klasycznego modelu wdrażania. Zamiast tego zobacz wersję usługi Resource Manager tego artykułu.
Ważne
Nie można już tworzyć nowych bram sieci wirtualnych dla klasycznych sieci wirtualnych modelu wdrażania (zarządzania usługami). Nowe bramy sieci wirtualnej można tworzyć tylko dla sieci wirtualnych usługi Resource Manager.
Będziemy używać bramy sieci VPN typu punkt-lokacja (P2S, Point-to-Site), która pozwala utworzyć bezpieczne połączenie z siecią wirtualną z poziomu komputera klienckiego. Połączenia sieci VPN typu punkt-lokacja przydają się, gdy użytkownik chce połączyć się z siecią wirtualną z lokalizacji zdalnej. Połączenie sieci VPN typu punkt-lokacja jest lepszym rozwiązaniem niż połączenie sieci VPN typu lokacja-lokacja w przypadku niewielkiej liczby klientów, którzy muszą się łączyć z siecią wirtualną. Połączenie sieci VPN typu punkt-lokacja jest nawiązywane przez zainicjowanie go z komputera klienckiego.
Ważne
Klasyczny model wdrożenia obsługuje tylko klientów sieci VPN systemu Windows i używa protokołu Secure Socket Tunneling Protocol (SSTP) będącego protokołem sieci VPN opartym na protokole SSL. Aby zapewnić obsługę innych klientów niż sieć VPN systemu Windows, sieć wirtualna musi zostać utworzona przy użyciu modelu wdrażania usługi Resource Manager. Model wdrażania usługi Resource Manager obsługuje, oprócz protokołu SSTP, protokół IKEv2 sieci VPN. Aby uzyskać więcej informacji, zobacz About P2S connections (Informacje o połączeniach punkt-lokacja).
Uwaga
Ten artykuł został napisany dla klasycznego (starszego) modelu wdrażania. Zalecamy zamiast tego użycie najnowszego modelu wdrażania platformy Azure. Model wdrażania przy użyciu usługi Resource Manager jest najnowszym modelem wdrażania i oferuje więcej opcji i zgodności funkcji niż klasyczny model wdrażania. Aby zrozumieć różnicę między tymi dwoma modelami wdrażania, zobacz Omówienie modeli wdrażania i stanu zasobów.
Jeśli chcesz użyć innej wersji tego artykułu, użyj spisu treści w okienku po lewej stronie.
Ustawienia i wymagania
Wymagania
Połączenia uwierzytelniania certyfikatu punkt-lokacja wymagają następujących elementów. W tym artykule przedstawiono kroki, które pomogą Ci je utworzyć.
- Brama dynamicznej sieci VPN.
- Klucz publiczny (plik cer) dla certyfikatu głównego, przekazany na platformę Azure. Ten klucz jest uznawany za certyfikat zaufany i jest używany do uwierzytelniania.
- Certyfikat klienta wygenerowany na podstawie certyfikatu głównego i zainstalowany na każdym komputerze klienckim, który będzie nawiązywać połączenie. Ten certyfikat jest używany do uwierzytelniania klientów.
- Pakiet konfiguracji klienta sieci VPN musi zostać wygenerowany i zainstalowany na każdym komputerze klienckim, który nawiązuje połączenie. Pakiet konfiguracji klienta konfiguruje natywnego klienta sieci VPN, który znajduje się już w systemie operacyjnym, ustawiając w nim informacje niezbędne do łączenia się z siecią wirtualną.
Połączenia typu punkt-lokacja nie wymagają urządzenia sieci VPN ani lokalnego publicznego adresu IP. Połączenie sieci VPN jest nawiązywane za pośrednictwem protokołu SSTP (Secure Socket Tunneling Protocol). Po stronie serwera obsługiwany jest protokół SSTP w wersji 1.0, 1.1 i 1.2. Klient decyduje o wyborze wersji do użycia. W przypadku systemu Windows 8.1 i nowszych protokół SSTP domyślnie używa wersji 1.2.
Aby uzyskać więcej informacji, zobacz About Point-to-Site connections (Informacje o połączeniach punkt-lokacja) i faq (Często zadawane pytania).
Przykładowe ustawienia
Następujących wartości możesz użyć do tworzenia środowiska testowego lub odwoływać się do tych wartości, aby lepiej zrozumieć przykłady w tym artykule:
- Grupa zasobów: TestRG
- Nazwa sieci wirtualnej: VNet1
- Przestrzeń adresowa: 192.168.0.0/16
W tym przykładzie zostanie wykorzystana tylko jedna przestrzeń adresowa. Istnieje możliwość użycia więcej niż jednej przestrzeni adresowej dla sieci wirtualnej. - Nazwa podsieci: FrontEnd
- Zakres adresów podsieci: 192.168.1.0/24
- GatewaySubnet: 192.168.200.0/24
- Region: (USA) Wschodnie stany USA
- Przestrzeń adresowa klienta: 172.16.201.0/24
Klienci sieci VPN połączeni z siecią wirtualną, którzy korzystają z tego połączenia punkt-lokacja, otrzymują adresy IP z określonej puli. - Typ połączenia: wybierz pozycję Punkt-lokacja.
Przed rozpoczęciem sprawdź, czy masz subskrypcję platformy Azure. Jeśli nie masz jeszcze subskrypcji platformy Azure, możesz aktywować korzyści dla subskrybentów MSDN lub utworzyć bezpłatne konto.
Tworzenie sieci wirtualnej
Jeśli masz już sieć wirtualną, sprawdź, czy ustawienia są zgodne z projektem bramy sieci VPN. Zwróć szczególną uwagę na wszelkie podsieci, które mogą nakładać się na inne sieci.
- W przeglądarce przejdź do witryny Azure Portal i, jeśli to konieczne, zaloguj się przy użyciu konta platformy Azure.
- Wybierz pozycję +Utwórz zasób. W polu Szukaj w witrynie Marketplace wpisz „Sieć wirtualna”. Z listy zwróconej znajdź pozycję Sieć wirtualna i wybierz ją, aby otworzyć stronę Sieć wirtualna.
- Na stronie Sieć wirtualna w obszarze przycisku Utwórz zostanie wyświetlony komunikat "Deploy with Resource Manager (Deploy with Resource Manager (change to Classic)" (Wdróż przy użyciu usługi Resource Manager (zmień na klasyczny)". Usługa Resource Manager jest domyślną wartością tworzenia sieci wirtualnej. Nie chcesz tworzyć sieci wirtualnej usługi Resource Manager. Wybierz pozycję (przejdź do klasycznej), aby utworzyć klasyczną sieć wirtualną. Następnie wybierz kartę Przegląd i wybierz pozycję Utwórz.
- Na stronie Tworzenie sieci wirtualnej (klasycznej) na karcie Podstawy skonfiguruj ustawienia sieci wirtualnej przy użyciu przykładowych wartości.
- Wybierz pozycję Przejrzyj i utwórz , aby zweryfikować sieć wirtualną.
- Przebiegi walidacji. Po zweryfikowaniu sieci wirtualnej wybierz pozycję Utwórz.
Ustawienia DNS nie są wymaganą częścią tej konfiguracji, ale dns jest konieczne, jeśli chcesz rozpoznawania nazw między maszynami wirtualnymi. Określenie wartości nie powoduje utworzenia nowego serwera DNS. Określony adres IP serwera DNS powinien być adresem serwera będącego w stanie rozpoznawać nazwy zasobów, z którymi nawiązywane jest połączenie.
Po utworzeniu sieci wirtualnej możesz dodać adres IP serwera DNS, aby umożliwić obsługę rozpoznawania nazw. Otwórz ustawienia sieci wirtualnej, wybierz pozycję Serwery DNS i dodaj adres IP serwera DNS, którego chcesz użyć do rozpoznawania nazw.
- Znajdź sieć wirtualną w portalu.
- Na stronie sieci wirtualnej w sekcji Ustawienia wybierz pozycję Serwery DNS.
- Dodaj serwer DNS.
- Aby zapisać ustawienia, wybierz pozycję Zapisz w górnej części strony.
Tworzenie bramy sieci VPN
Przejdź do utworzonej sieci wirtualnej.
Na stronie Sieć wirtualna w obszarze Ustawienia wybierz pozycję Brama. Na stronie Brama możesz wyświetlić bramę dla sieci wirtualnej. Ta sieć wirtualna nie ma jeszcze bramy. Kliknij notatkę z komunikatem Kliknij tutaj, aby dodać połączenie i bramę.
Na stronie Konfigurowanie połączenia sieci VPN i bramy wybierz następujące ustawienia:
- Typ połączenia: Punkt-lokacja
- Przestrzeń adresowa klienta: dodaj zakres adresów IP, z którego klienci sieci VPN otrzymują adres IP podczas nawiązywania połączenia. Używaj zakresu prywatnych adresów IP nienakładającego się na lokalizację lokalną, z której się łączysz, ani na sieć wirtualną, z którą chcesz się łączyć.
Pozostaw pole wyboru Nie konfiguruj bramy w tej chwili niezaznaczone. Utworzymy bramę.
W dolnej części strony wybierz pozycję Dalej: Brama >.
Na karcie Brama wybierz następujące wartości:
- Rozmiar: rozmiar to jednostka SKU bramy dla bramy sieci wirtualnej. W witrynie Azure Portal domyślną jednostką SKU jest Domyślna. Więcej informacji o jednostkach SKU bramy zawiera artykuł Informacje o ustawieniach bramy VPN Gateway.
- Typ routingu: musisz wybrać opcję Dynamiczny dla konfiguracji typu punkt-lokacja. Routing statyczny nie będzie działać.
- Podsieć bramy: to pole jest już wypełniane automatycznie. Nie można zmienić nazwy. Jeśli spróbujesz zmienić nazwę przy użyciu programu PowerShell lub innej metody, brama nie będzie działać prawidłowo.
- Zakres adresów (blok CIDR): Chociaż istnieje możliwość utworzenia podsieci bramy tak małej jak /29, zalecamy utworzenie większej podsieci zawierającej więcej adresów, wybierając co najmniej /28 lub /27. Pozwoli to na wystarczającą liczbę adresów, aby pomieścić możliwe dodatkowe konfiguracje, które mogą być potrzebne w przyszłości. Podczas pracy z podsieciami bramy należy unikać kojarzenia sieciowej grupy zabezpieczeń (NSG, Network Security Group) z podsiecią bramy. Skojarzenie sieciowej grupy zabezpieczeń z tą podsiecią może spowodować, że brama sieci VPN nie będzie działać zgodnie z oczekiwaniami.
Wybierz pozycję Przejrzyj i utwórz , aby zweryfikować ustawienia.
Po zakończeniu walidacji wybierz pozycję Utwórz. Tworzenie bramy sieci VPN może zająć do 45 minut, zależnie od wybranej jednostki SKU bramy.
Tworzenie certyfikatów
Na platformie Azure certyfikaty są używane do uwierzytelniania klientów sieci VPN w obrębie sieci VPN typu punkt-lokacja. Informacje o kluczu publicznym certyfikatu głównego należy przekazać na platformę Azure. Klucz publiczny jest wtedy uważany za zaufany. Certyfikaty klienta muszą zostać wygenerowane na podstawie zaufanego certyfikatu głównego, a następnie zainstalowane na każdym komputerze klienckim w magazynie certyfikatów Certificates-Current User\Personal\Certificates. Certyfikat jest używany do uwierzytelniania klienta, gdy inicjuje on połączenie z siecią wirtualną.
Jeśli używasz certyfikatów z podpisem własnym, musisz je utworzyć przy użyciu określonych parametrów. Certyfikat z podpisem własnym można utworzyć, korzystając z instrukcji dotyczących programu PowerShell i systemu Windows 10 lub nowszego albo narzędzia MakeCert. Ważne jest, aby wykonać kroki opisane w tych instrukcjach w przypadku używania certyfikatów głównych z podpisem własnym i generowania certyfikatów klienta na podstawie certyfikatu głównego z podpisem własnym. W przeciwnym razie utworzone przez Ciebie certyfikaty nie będą zgodne z połączeniami typu punkt-lokacja i zostanie wyświetlony błąd połączenia.
Uzyskiwanie klucza publicznego (pliku cer) dla certyfikatu głównego
Uzyskaj plik .cer dla certyfikatu głównego. Możesz użyć certyfikatu głównego wygenerowanego za pomocą rozwiązania przedsiębiorstwa (zalecane) lub wygenerować certyfikat z podpisem własnym. Po utworzeniu certyfikatu głównego wyeksportuj dane certyfikatu publicznego (nie klucz prywatny) jako plik cer X.509 z kodowaniem Base64. Ten plik zostanie przekazany później na platformę Azure.
Certyfikat przedsiębiorstwa: jeśli używasz rozwiązania dla przedsiębiorstw, możesz użyć istniejącego łańcucha certyfikatów. Uzyskaj plik cer dla certyfikatu głównego, którego chcesz użyć.
Certyfikat główny z podpisem własnym: jeśli nie używasz rozwiązania certyfikatu przedsiębiorstwa, utwórz certyfikat główny z podpisem własnym. W przeciwnym razie utworzone certyfikaty nie będą zgodne z połączeniami punkt-lokacja, a klienci otrzymają błąd połączenia podczas próby nawiązania połączenia. Możesz użyć programu Azure PowerShell, MakeCert lub protokołu OpenSSL. W poniższych artykułach opisano sposób generowania zgodnego certyfikatu głównego z podpisem własnym:
- Instrukcje programu PowerShell dla systemu Windows 10 lub nowszego: te instrukcje wymagają programu PowerShell na komputerze z systemem Windows 10 lub nowszym. Certyfikaty klienta generowane na podstawie certyfikatu głównego można instalować na dowolnym obsługiwanym kliencie typu punkt-lokacja.
- Instrukcje narzędzia MakeCert: Użyj narzędzia MakeCert, aby wygenerować certyfikaty, jeśli nie masz dostępu do komputera z systemem Windows 10 lub nowszym. Mimo iż narzędzie MakeCert jest przestarzałe, przy jego użyciu można nadal generować certyfikaty. Certyfikaty klienta generowane na podstawie certyfikatu głównego można instalować na dowolnym obsługiwanym kliencie typu punkt-lokacja.
- Linux — instrukcje dotyczące protokołu OpenSSL
- Linux — instrukcje strongSwan
Generowanie certyfikatu klienta
Każdy komputer kliencki połączony z siecią wirtualną z połączeniem punkt-lokacja musi mieć zainstalowany certyfikat klienta. Należy wygenerować go na podstawie certyfikatu głównego i zainstalować na każdym komputerze klienckim. Jeśli nie zainstalujesz prawidłowego certyfikatu klienta, uwierzytelnianie zakończy się niepowodzeniem, gdy klient spróbuje nawiązać połączenie z siecią wirtualną.
Można wygenerować unikatowy certyfikat dla każdego klienta lub można użyć tego samego certyfikatu dla wielu klientów. Zaletą generowania unikatowych certyfikatów klienta jest możliwość odwołania pojedynczego certyfikatu. W przeciwnym razie, jeśli wielu klientów korzysta z tego samego certyfikatu klienta do uwierzytelniania i odwołasz go, konieczne będzie wygenerowanie i zainstalowanie nowych certyfikatów dla każdego klienta korzystającego z tego certyfikatu.
Certyfikaty klienta można wygenerować, posługując się następującymi metodami:
Certyfikat przedsiębiorstwa:
Jeśli używasz rozwiązania z certyfikatem przedsiębiorstwa, wygeneruj certyfikat klienta przy użyciu formatu wartości nazwy pospolitej name@yourdomain.com. Użyj tego formatu zamiast formatu nazwa domeny\nazwa użytkownika.
Upewnij się, że certyfikat klienta jest oparty na szablonie certyfikatu użytkownika, którego pierwszym elementem na liście użytkownika jest Uwierzytelnienie klienta. Sprawdź certyfikat, dwukrotnie go klikając i wyświetlając obszar Ulepszone użycie klucza na karcie Szczegóły.
Certyfikat główny z podpisem własnym: wykonaj kroki opisane w jednym z następujących artykułów dotyczących certyfikatów P2S, aby utworzone certyfikaty klienta były zgodne z połączeniami punkt-lokacja.
Gdy certyfikat klienta jest generowany na podstawie certyfikatu głównego z podpisem własnym, jest on automatycznie instalowany na komputerze użytym do jego wygenerowania. Aby zainstalować certyfikat klienta na innym komputerze klienckim, wyeksportuj go jako plik pfx razem z całym łańcuchem certyfikatów. Spowoduje to utworzenie pliku pfx zawierającego informacje o certyfikacie głównym, który jest wymagany do uwierzytelnienia klienta.
Kroki opisane w tych artykułach generują zgodny certyfikat klienta, który można następnie wyeksportować i rozpowszechnić.
Instrukcje programu PowerShell dla systemu Windows 10 lub nowszego: te instrukcje wymagają systemu Windows 10 lub nowszego oraz programu PowerShell do generowania certyfikatów. Wygenerowane certyfikaty można zainstalować na dowolnym obsługiwanym kliencie typu punkt-lokacja.
Instrukcje narzędzia MakeCert: Użyj narzędzia MakeCert, jeśli nie masz dostępu do komputera z systemem Windows 10 lub nowszym do generowania certyfikatów. Mimo iż narzędzie MakeCert jest przestarzałe, przy jego użyciu można nadal generować certyfikaty. Możesz zainstalować wygenerowane certyfikaty na dowolnym obsługiwanym kliencie typu punkt-lokacja.
Linux: zobacz instrukcje strongSwan lub OpenSSL .
Przekazywanie pliku cer certyfikatu głównego
Po utworzeniu bramy przekaż plik cer (który zawiera informacje o kluczu publicznym) dla zaufanego certyfikatu głównego na serwer platformy Azure. Nie przekazuj klucza prywatnego dla certyfikatu głównego. Po przekazaniu certyfikatu platforma Azure będzie używać go do uwierzytelniania klientów, którzy mają zainstalowany certyfikat klienta wygenerowany na podstawie zaufanego certyfikatu głównego. W razie potrzeby dodatkowe pliki zaufanego certyfikatu głównego możesz przekazać później — maksymalnie może ich być 20.
- Przejdź do utworzonej sieci wirtualnej.
- W obszarze Ustawienia wybierz pozycję Połączenia typu punkt-lokacja.
- Wybierz pozycję Zarządzaj certyfikatem.
- Wybierz Przekaż.
- W okienku Przekazywanie certyfikatu wybierz ikonę folderu i przejdź do certyfikatu, który chcesz przekazać.
- Wybierz Przekaż.
- Po pomyślnym przekazaniu certyfikatu można go wyświetlić na stronie Zarządzanie certyfikatem. Może być konieczne wybranie pozycji Odśwież , aby wyświetlić właśnie przekazany certyfikat.
Konfigurowanie klienta
Aby nawiązać połączenie z siecią wirtualną przy użyciu połączenia sieci VPN typu punkt-lokacja, na każdym kliencie trzeba zainstalować pakiet do konfiguracji natywnego klienta sieci VPN systemu Windows. Pakiet konfiguracji powoduje skonfigurowanie natywnego klienta sieci VPN systemu Windows za pomocą ustawień koniecznych do łączenia się z siecią wirtualną.
Tego samego pakietu konfiguracji klienta VPN można użyć na każdym komputerze klienckim, o ile wersja jest zgodna z architekturą dla klienta. Aby uzyskać listę obsługiwanych systemów operacyjnych klienta, zobacz Informacje o połączeniach punkt-lokacja i często zadawane pytania.
Generowanie i instalowanie pakietu konfiguracji klienta sieci VPN
Przejdź do ustawień połączeń punkt-lokacja dla sieci wirtualnej.
W górnej części strony wybierz pakiet pobierania odpowiadający systemowi operacyjnemu klienta, w którym zostanie zainstalowany:
- W przypadku klientów 64-bitowych wybierz pozycję Klient sieci VPN (64-bitowy).
- W przypadku klientów 32-bitowych wybierz pozycję Klient sieci VPN (32-bitowy).
Platforma Azure generuje pakiet z określonymi ustawieniami wymaganymi przez klienta. Za każdym razem, gdy wprowadzasz zmiany w sieci wirtualnej lub bramie, musisz pobrać nowy pakiet konfiguracji klienta i zainstalować je na komputerach klienckich.
Po wygenerowaniu pakietu wybierz pozycję Pobierz.
Zainstaluj pakiet konfiguracji klienta na komputerze klienckim. Jeśli podczas instalowania zostanie wyświetlone okno podręczne SmartScreen z informacją, że komputer jest chroniony przez system Windows, wybierz pozycję Więcej informacji, a następnie wybierz pozycję Uruchom mimo to. Możesz także zapisać pakiet w celu zainstalowania go na innych komputerach klienckich.
Instalowanie certyfikatu klienta
W tym ćwiczeniu podczas generowania certyfikatu klienta został on automatycznie zainstalowany na komputerze. Aby utworzyć połączenie punkt-lokacja z innego komputera klienckiego niż to używane do generowania certyfikatów klienta, należy zainstalować wygenerowany certyfikat klienta na tym komputerze.
Podczas instalowania certyfikatu klienta potrzebne jest hasło, które zostało utworzone w trakcie eksportowania certyfikatu klienta. Zazwyczaj można zainstalować certyfikat, klikając go dwukrotnie. Aby uzyskać więcej informacji, zobacz Install an exported client certificate (Instalowanie wyeksportowanego certyfikatu klienta).
Nawiązywanie połączenia z siecią wirtualną
Uwaga
Musisz mieć uprawnienia administratora na komputerze klienckim, z którym nawiązujesz połączenie.
- Na komputerze klienckim przejdź do pozycji Ustawienia sieci VPN.
- Wybierz utworzoną sieć VPN. Jeśli użyto przykładowych ustawień, połączenie zostanie oznaczone etykietą Group TestRG VNet1.
- Wybierz pozycję Połącz.
- W polu Sieć wirtualna platformy Windows Azure wybierz pozycję Połącz. Jeśli zostanie wyświetlony komunikat podręczny o certyfikacie, wybierz pozycję Kontynuuj , aby użyć podwyższonych uprawnień i tak , aby zaakceptować zmiany konfiguracji.
- Po pomyślnym nawiązaniu połączenia zostanie wyświetlone powiadomienie Połączone .
Jeśli występują problemy z połączeniem, sprawdź następujące elementy:
Jeśli wyeksportowano certyfikat klienta przy użyciu Kreatora eksportu certyfikatów, upewnij się, że został on wyeksportowany jako plik pfx i wybrano opcję Jeśli jest to możliwe, dołącz wszystkie certyfikaty ze ścieżki certyfikacji. Podczas eksportowania z użyciem tej wartości eksportowane są również informacje o certyfikacie głównym. Po zainstalowaniu certyfikatu na komputerze klienckim instalowany jest również certyfikat główny w pliku pfx. Aby sprawdzić, czy certyfikat główny został zainstalowany, otwórz pozycję Zarządzaj certyfikatami użytkowników i wybierz pozycję Zaufane główne urzędy certyfikacji\Certyfikaty. Sprawdź, czy na liście znajduje się certyfikat główny, który musi być obecny, aby uwierzytelnianie działało.
Jeśli użyto certyfikatu wydanego przez rozwiązanie dla przedsiębiorstwa proponowane przez urząd certyfikacji i nie możesz przeprowadzić uwierzytelnienia, sprawdź kolejność uwierzytelniania w certyfikacie klienta. Sprawdź kolejność elementów na liście uwierzytelniania, dwukrotnie klikając certyfikat klienta, wybierając kartę Szczegóły, a następnie wybierając pozycję Ulepszone użycie klucza. Upewnij się, że pierwszym elementem na liście jest Uwierzytelnienie klienta. Jeśli tak nie jest, certyfikat klienta należy wydać na podstawie szablonu użytkownika mającego Uwierzytelnienie klienta jako pierwszy element na liście.
Aby uzyskać dodatkowe informacje dotyczące rozwiązywania problemów z połączeniami typu punkt-lokacja, zobacz Troubleshoot P2S connections (Rozwiązywanie problemów dotyczących połączeń typu punkt-lokacja).
Sprawdzanie połączenia sieci VPN
Sprawdź, czy połączenie sieci VPN jest aktywne. Otwórz wiersz polecenia z podwyższonym poziomem uprawnień na komputerze klienckim, a następnie uruchom polecenie ipconfig/all.
Wyświetl wyniki. Zwróć uwagę na fakt, że otrzymany adres IP jest jednym z adresów z zakresu dla połączenia typu punkt-lokacja określonego podczas tworzenia sieci wirtualnej. Wyniki powinny być podobne do poniższego przykładu:
PPP adapter VNet1: Connection-specific DNS Suffix .: Description.....................: VNet1 Physical Address................: DHCP Enabled....................: No Autoconfiguration Enabled.......: Yes IPv4 Address....................: 172.16.201.11 (Preferred) Subnet Mask.....................: 255.255.255.255 Default Gateway.................: NetBIOS over Tcpip..............: Enabled
Nawiązywanie połączenia z maszyną wirtualną
Utwórz połączenie pulpitu zdalnego, aby nawiązać połączenie z maszyną wirtualną wdrożoną w sieci wirtualnej. Najlepszym sposobem na zweryfikowanie, czy można połączyć się z maszyną wirtualną, jest połączenie się z nią za pomocą jej prywatnego adresu IP, a nie nazwy komputera. W ten sposób można przetestować możliwość połączenia się, a nie poprawność skonfigurowania rozpoznawania nazw.
- Zlokalizuj prywatny adres IP dla swojej maszyny wirtualnej. Aby znaleźć prywatny adres IP maszyny wirtualnej, wyświetl właściwości maszyny wirtualnej w witrynie Azure Portal lub użyj programu PowerShell.
- Sprawdź, czy masz połączenie z siecią wirtualną przez połączenie sieci VPN punkt-lokacja.
- Aby otworzyć program Podłączanie pulpitu zdalnego, wpisz RDP lub Podłączanie pulpitu zdalnego w polu wyszukiwania na pasku zada, a następnie wybierz pozycję Podłączanie pulpitu zdalnego. Możesz go również otworzyć za pomocą polecenia mstsc w programie PowerShell.
- W programie Podłączanie pulpitu zdalnego wprowadź prywatny adres IP maszyny wirtualnej. Jeśli to konieczne, kliknij pozycję Pokaż opcje, aby dostosować dodatkowe ustawienia, a następnie nawiąż połączenie.
Jak rozwiązywać problemy z połączeniem RDP z maszyną wirtualną
Jeśli masz problemy z łączeniem się z maszyną wirtualną za pośrednictwem połączenia sieci VPN, istnieje kilka rzeczy, które możesz sprawdzić.
- Sprawdź, czy połączenie sieci VPN zostało pomyślnie nawiązane.
- Sprawdź, czy łączysz się z prywatnym adresem IP maszyny wirtualnej.
- Wprowadź polecenie ipconfig, aby sprawdzić adres IPv4 przypisany do karty Ethernet na komputerze, z którego jest nawiązywane połączenie. Nakładająca się przestrzeń adresowa występuje, gdy adres IP znajduje się w zakresie adresów sieci wirtualnej, z którą jest nawiązywane połączenie, lub w zakresie adresów puli VPNClientAddressPool. Kiedy przestrzeń adresowa nakłada się w ten sposób, ruch sieciowy nie dociera do platformy Azure, tylko pozostaje w sieci lokalnej.
- Jeśli możesz połączyć się z maszyną wirtualną za pomocą prywatnego adresu IP, ale nie za pomocą nazwy komputera, sprawdź, czy usługa DNS została prawidłowo skonfigurowana. Aby uzyskać więcej informacji na temat tego, jak działa rozpoznawanie nazw dla maszyn wirtualnych, zobacz Name Resolution for VMs (Rozpoznawanie nazw dla maszyn wirtualnych).
- Sprawdź, czy pakiet konfiguracji klienta sieci VPN jest generowany po określeniu adresów IP serwera DNS dla sieci wirtualnej. Jeśli zaktualizujesz adresy IP serwera DNS, wygeneruj i zainstaluj nowy pakiet konfiguracji klienta sieci VPN.
Aby uzyskać więcej informacji na temat rozwiązywania problemów, zobacz Rozwiązywanie problemów z połączeniami pulpitu zdalnego z maszyną wirtualną.
Dodawanie lub usuwanie zaufanych certyfikatów głównych
Zaufane certyfikaty główne można dodawać do platformy Azure lub z niej usuwać. Po usunięciu certyfikatu głównego klienci, którzy mają certyfikat wygenerowany na podstawie tego certyfikatu głównego, nie będą w stanie się uwierzytelnić i w związku z tym nie będą mogli nawiązywać połączeń. Jeśli chcesz, aby klienci mogli uwierzytelniać się i nawiązywać połączenia, musisz zainstalować nowy certyfikat klienta wygenerowany na podstawie certyfikatu głównego, który jest traktowany jako zaufany przez platformę Azure.
Dodawanie zaufanego certyfikatu głównego
Do platformy Azure można dodać maksymalnie 20 zaufanych certyfikatów głównych .cer plików przy użyciu tego samego procesu, który został użyty do dodania pierwszego zaufanego certyfikatu głównego.
Usuwanie zaufanego certyfikatu głównego
- W sekcji Połączenia punkt-lokacja strony dla sieci wirtualnej wybierz pozycję Zarządzaj certyfikatem.
- Wybierz wielokropek obok certyfikatu, który chcesz usunąć, a następnie wybierz pozycję Usuń.
Aby odwołać certyfikat klienta
W razie potrzeby możesz odwołać certyfikat klienta. Lista odwołania certyfikatów umożliwia dokonanie selektywnej odmowy połączenia punkt-lokacja w oparciu o indywidualne certyfikaty klienta. Różni się to od usuwania zaufanego certyfikatu głównego. Jeśli usuniesz plik cer zaufanego certyfikatu głównego z platformy Azure, spowoduje to odwołanie dostępu dla wszystkich certyfikatów klienta wygenerowanych lub podpisanych przez odwołany certyfikat główny. Odwołanie certyfikatu klienta zamiast certyfikatu głównego pozwala dalej używać innych certyfikatów wygenerowanych na podstawie certyfikatu głównego do uwierzytelniania połączeń punkt-lokacja.
Częstą praktyką jest użycie certyfikatu głównego do zarządzania dostępem na poziomach zespołu lub organizacji przy jednoczesnym korzystaniu z odwołanych certyfikatów klienta dla bardziej precyzyjnej kontroli dostępu poszczególnych użytkowników.
Certyfikat klienta można odwołać przez dodanie odcisku palca do listy odwołania.
- Pobierz odcisk palca certyfikatu klienta. Aby uzyskać więcej informacji, zobacz Instrukcje: Pobieranie odcisku palca certyfikatu.
- Skopiuj informacje do edytora tekstu i usuń wszelkie spacje, tak aby powstał ciąg bez odstępów.
- Przejdź do połączenia sieci VPN typu punkt-lokacja, a następnie wybierz pozycję Zarządzaj certyfikatem.
- Wybierz pozycję Lista odwołania, aby otworzyć stronę Lista odwołania.
- W obszarze Odcisk palca wklej odcisk palca certyfikatu jako jeden ciągły wiersz tekstu bez odstępów.
- Wybierz pozycję + Dodaj, aby dodać odcisk palca do listy odwołania certyfikatów (CRL).
Po zakończeniu aktualizacji certyfikat nie może być już używany do nawiązywania połączenia. Klienci, którzy spróbują połączyć się za pomocą tego certyfikatu, zobaczą komunikat informujący o tym, że certyfikat nie jest już ważny.
Często zadawane pytania
Te często zadawane pytania dotyczą połączeń punkt-lokacja wykorzystujących klasyczny model wdrażania.
Jakich systemów operacyjnych klienta można używać z punkt-lokacja?
Obsługiwane są następujące systemy operacyjne klientów:
- Windows 7 (32-bitowy i 64-bitowy)
- Windows Server 2008 R2 (tylko 64-bitowy)
- Windows 8 (32-bitowy i 64-bitowy)
- Windows 8.1 (32-bitowy i 64-bitowy)
- Windows Server 2012 (tylko 64-bitowy)
- Windows Server 2012 R2 (tylko 64-bitowy)
- Windows 10
- Windows 11
Czy mogę użyć dowolnego oprogramowania klienta sieci VPN obsługującego protokół SSTP dla połączenia typu punkt-lokacja?
L.p. Obsługa jest ograniczona tylko do wymienionych wersji systemu operacyjnego Windows.
Ile punktów końcowych klienta sieci VPN może istnieć w konfiguracji punkt-lokacja?
Liczba punktów końcowych klienta sieci VPN zależy od jednostki SKU i protokołu bramy.
VPN Brama Pokolenie |
SKU | Połączenia typu lokacja-lokacja/sieć wirtualna-sieć wirtualna Tunele |
Punkt-lokacja Połączenia SSTP |
Punkt-lokacja Połączenia IKEv2/OpenVPN |
Kruszywo Test porównawczy przepływności |
BGP | Strefowo nadmiarowy | Obsługiwana liczba maszyn wirtualnych w sieci wirtualnej |
---|---|---|---|---|---|---|---|---|
Generacja1 | Podstawowa | Maks. 10 | Maks. 128 | Nieobsługiwany | 100 Mb/s | Nieobsługiwany | Nie. | 200 |
Generacja1 | VpnGw1 | Maks. 30 | Maks. 128 | Maks. 250 | 650 Mb/s | Obsługiwane | Nie. | 450 |
Generacja1 | VpnGw2 | Maks. 30 | Maks. 128 | Maks. 500 | 1 Gb/s | Obsługiwane | Nie. | 1300 |
Generacja1 | VpnGw3 | Maks. 30 | Maks. 128 | Maks. 1000 | 1,25 Gb/s | Obsługiwane | Nie. | 4000 |
Generacja1 | VpnGw1AZ | Maks. 30 | Maks. 128 | Maks. 250 | 650 Mb/s | Obsługiwane | Tak | 1000 |
Generacja1 | VpnGw2AZ | Maks. 30 | Maks. 128 | Maks. 500 | 1 Gb/s | Obsługiwane | Tak | 2000 |
Generacja1 | VpnGw3AZ | Maks. 30 | Maks. 128 | Maks. 1000 | 1,25 Gb/s | Obsługiwane | Tak | 5000 |
Generacja 2 | VpnGw2 | Maks. 30 | Maks. 128 | Maks. 500 | 1,25 Gb/s | Obsługiwane | Nie. | 685 |
Generacja 2 | VpnGw3 | Maks. 30 | Maks. 128 | Maks. 1000 | 2,5 Gb/s | Obsługiwane | Nie. | 2240 |
Generacja 2 | VpnGw4 | Maks. 100* | Maks. 128 | Maks. 5000 | 5 Gb/s | Obsługiwane | Nie. | 5300 |
Generacja 2 | VpnGw5 | Maks. 100* | Maks. 128 | Maks. 10 000 | 10 Gb/s | Obsługiwane | Nie. | 6700 |
Generacja 2 | VpnGw2AZ | Maks. 30 | Maks. 128 | Maks. 500 | 1,25 Gb/s | Obsługiwane | Tak | 2000 |
Generacja 2 | VpnGw3AZ | Maks. 30 | Maks. 128 | Maks. 1000 | 2,5 Gb/s | Obsługiwane | Tak | 3300 |
Generacja 2 | VpnGw4AZ | Maks. 100* | Maks. 128 | Maks. 5000 | 5 Gb/s | Obsługiwane | Tak | 4400 |
Generacja 2 | VpnGw5AZ | Maks. 100* | Maks. 128 | Maks. 10 000 | 10 Gb/s | Obsługiwane | Tak | 9000 |
Czy mogę używać własnego wewnętrznego głównego urzędu certyfikacji PKI do łączności punkt-lokacja?
Tak. Wcześniej można było używać tylko certyfikatów głównych z podpisem własnym. Nadal można przekazać do 20 certyfikatów głównych.
Czy można przechodzić przez serwery proxy i zapory przy użyciu połączenia punkt-lokacja?
Tak. Do celów tunelowania przez zaporę jest wykorzystywany protokół SSTP (Secure Socket Tunneling Protocol). Ten tunel jest wyświetlany jako połączenie HTTPs.
Jeśli ponownie uruchomię komputer kliencki skonfigurowany dla połączenia typu punkt-lokacja, czy sieć VPN zostanie automatycznie ponownie nawiązana?
Domyślnie komputer kliencki nie przywraca automatycznie połączenia z siecią VPN.
Czy punkt-lokacja obsługuje automatyczne ponowne nawiązywanie połączeń i połączenia DDNS na klientach sieci VPN?
L.p. Automatyczne ponowne łączenie i sieci DDNS nie są obecnie obsługiwane w sieci VPN typu punkt-lokacja.
Czy można mieć konfiguracje lokacja-lokacja i punkt-lokacja dla tej samej sieci wirtualnej?
Tak. Oba te rozwiązania będą działać, o ile zastosowana zostanie brama sieci VPN typu RouteBased. W przypadku klasycznego modelu wdrażania należy użyć bramy dynamicznej. Nie obsługujemy punkt-lokacja dla bram sieci VPN routingu statycznego ani bram korzystających z polecenia cmdlet -VpnType PolicyBased .
Czy można skonfigurować klienta typu punkt-lokacja w celu nawiązania połączenia z wieloma sieciami wirtualnymi w tym samym czasie?
Tak. Jednak sieci wirtualne nie mogą mieć nakładających się prefiksów IP, a przestrzenie adresowe punkt-lokacja nie mogą nakładać się między sieciami wirtualnymi.
Ile przepływności można oczekiwać za pośrednictwem połączeń typu lokacja-lokacja lub połączenia typu punkt-lokacja?
Trudno jest utrzymać dokładną przepływność tuneli VPN. Protokoły IPsec i SSTP należą do niejawnie ciężkich protokołów sieci VPN. Przepływność ograniczają również opóźnienia i przepustowość między lokalizacjami lokalnymi i Internetem.
Następne kroki
Po zakończeniu procesu nawiązywania połączenia można dodać maszyny wirtualne do sieci wirtualnych. Aby uzyskać więcej informacji, zobacz Virtual Machines (Maszyny wirtualne).
Aby dowiedzieć się więcej o sieci i maszynach wirtualnych z systemem Linux, zobacz Azure and Linux VM network overview (Omówienie sieci maszyny wirtualnej z systemem Linux i platformy Azure).
Aby uzyskać informacje dotyczące rozwiązywania problemów z połączeniem typu punkt-lokacja, zobacz Troubleshoot Azure point-to-site connections (Rozwiązywanie problemów z połączeniami typu punkt-lokacja na platformie Azure).