Поделиться через

Создание VPN-подключения пользователя P2S с помощью Azure Виртуальная глобальная сеть — проверка подлинности Microsoft Entra

  • Статья

В этом руководстве показано, как с помощью Виртуальной глобальной сети подключиться к ресурсам в Azure. В этой статье описано, как создать VPN-подключение пользователя типа "точка — сеть" для Виртуальная глобальная сеть, использующего проверку подлинности Microsoft Entra. Проверка подлинности Microsoft Entra доступна только для шлюзов, использующих протокол OpenVPN.

Примечание.

Вместо использования действий, описанных в этой статье, рекомендуется использовать новую статью идентификатора vpn-клиента Azure, зарегистрированной в Microsoft Azure, для конфигурации VPN-подключения пользователя, когда это возможно.

Виртуальная глобальная сеть теперь поддерживает новый идентификатор приложения, зарегистрированный корпорацией Майкрософт, и соответствующие значения аудитории для последних версий VPN-клиента Azure. При настройке VPN-шлюза VPN-шлюза пользователя P2S с использованием новых значений аудитории вы пропустите процесс регистрации приложения VPN-клиента Azure вручную для клиента Microsoft Entra. Идентификатор приложения уже создан, и клиент автоматически может использовать его без дополнительных шагов регистрации. Этот процесс безопаснее, чем вручную регистрация VPN-клиента Azure, так как вам не нужно авторизовать приложение или назначать разрешения через роль глобального администратора.

Ранее вам требовалось вручную зарегистрировать (интегрировать) приложение VPN-клиента Azure с клиентом Microsoft Entra. Регистрация клиентского приложения создает идентификатор приложения, представляющий удостоверение приложения VPN-клиента Azure и требует авторизации с помощью роли глобального администратора. Чтобы лучше понять разницу между типами объектов приложений, см. сведения о том, как и почему приложения добавляются в идентификатор Microsoft Entra.

По возможности рекомендуется настроить новые VPN-шлюзы пользователей P2S с помощью идентификатора vpn-приложения VPN-приложения Microsoft Azure и соответствующих значений аудитории вместо того, чтобы вручную зарегистрировать приложение VPN-клиента Azure в клиенте. Если вы ранее настроили VPN-шлюз P2S, использующий проверку подлинности идентификатора Microsoft Entra, можно обновить шлюз и клиенты, чтобы воспользоваться новым идентификатором приложения, зарегистрированным корпорацией Майкрософт. Обновление шлюза P2S с новым значением аудитории необходимо, если требуется, чтобы клиенты Linux подключались. VPN-клиент Azure для Linux не совместим со старыми значениями аудитории.

Рекомендации

  • VPN-шлюз пользователя P2S может поддерживать только одно значение аудитории. Он не поддерживает одновременно несколько значений аудитории.

  • В настоящее время более новый идентификатор приложения, зарегистрированного корпорацией Microsoft, не поддерживает столько же значений аудитории, сколько более старое, зарегистрированное вручную приложение. Если вам требуется значение аудитории, отличное от Azure Public или Custom, используйте старый метод регистрации вручную.

  • VPN-клиент Azure для Linux не имеет обратной совместимости с шлюзами P2S, настроенными для использования старых значений аудитории, которые соответствуют зарегистрированному вручную приложению. Однако VPN-клиент Azure для Linux поддерживает значения пользовательской аудитории.

  • Хотя возможно, что VPN-клиент Azure для Linux может работать в других дистрибутивах и выпусках Linux, VPN-клиент Azure для Linux поддерживается только в следующих выпусках:

    • Ubuntu 20.04
    • Ubuntu 22.04

  • Последние версии VPN-клиентов Azure для macOS и Windows совместимы с шлюзами P2S, настроенными для использования старых значений аудитории, которые соответствуют зарегистрированным вручную приложению. Эти клиенты также поддерживают значения пользовательской аудитории.

Значения аудитории VPN-клиента Azure

В следующей таблице показаны версии VPN-клиента Azure, которые поддерживаются для каждого идентификатора приложения и соответствующих доступных значений аудитории.

ИД приложения Поддерживаемые значения аудитории Поддерживаемые клиенты
Зарегистрировано корпорацией Майкрософт — Общедоступная служба Azure: c632b3df-fb67-4d84-bdcf-b95ad541b5c8 -Линукс
-Виндоус
— macOS
Зарегистрировано вручную — Общедоступная служба Azure: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure для государственных организаций:51bb15d4-3a4f-4ebf-9dca-40096fe32426
— Azure Для Германии: 538ee9e6-310a-468d-afef-ea97365856a9
— Microsoft Azure, управляемый 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa		 -Виндоус
— macOS
Пользовательское <custom-app-id> -Линукс
-Виндоус
— macOS

Примечание.

Проверка подлинности идентификатора Microsoft Entra поддерживается только для подключений к протоколу OpenVPN® и требует vpn-клиента Azure.

Вы узнаете, как выполнять следующие задачи:

  • Создание виртуальной глобальной сети
  • создание пользовательской конфигурации VPN;
  • Загрузка профиля виртуального пользователя WAN VPN
  • Создание виртуального концентратора
  • Изменение концентратора для добавления шлюза P2S
  • Подключение виртуальной сети к виртуальному концентратору
  • скачивание и применение пользовательской конфигурации VPN-клиента.
  • Просмотр виртуальной глобальной сети

Снимок экрана: схема Виртуальная глобальная сеть.

Подготовка к работе

Перед началом настройки убедитесь, что удовлетворены следующие требования:

  • У вас есть виртуальная сеть, к которой необходимо подключиться. Ни одна из подсетей локальной сети не должна перекрывать виртуальные сети, к которым вы хотите подключиться. Сведения о создании виртуальной сети на портале Azure см. в этой статье.

  • В вашей виртуальной сети не должны находиться виртуальные сетевые шлюзы. Если в виртуальной сети есть шлюз (VPN или ExpressRoute), необходимо удалить его. Эта конфигурация требует, чтобы виртуальные сети были подключены к шлюзу концентратора Виртуальной глобальной сети.

  • Получите диапазон IP-адресов для вашего региона концентратора. Концентратор — это виртуальная сеть, которая создается и используется Виртуальной глобальной сетью. Диапазон адресов, который вы указываете для концентратора, не может пересекаться с любой из существующих виртуальных сетей, к которым вы подключаетесь. Он также не может пересекаться с диапазонами адресов, к которым вы подключаетесь локально. Если вы не знаете диапазоны IP-адресов в своей конфигурации локальной сети, обратитесь к специалисту, который сможет предоставить вам нужную информацию.

  • Если у вас еще нет подписки Azure, создайте бесплатную учетную запись.

Создание виртуальной глобальной сети

В браузере откройте портал Azure и выполните вход с помощью учетной записи Azure.

  1. На портале в строке Поиск ресурсов введите Виртуальная глобальная сеть и нажмите ВВОД.

  2. Выберите Виртуальные глобальные сети в результатах. На странице "Виртуальные глобальные сети" щелкните + Создать, чтобы открыть страницу Создание глобальной сети.

  3. На странице Создание глобальной сети на вкладке Основные сведения заполните поля. Замените примеры значений на соответствующие для вашей среды.

    Снимок экрана, на котором показана панель

    • Подписка. Выберите подписку, которую вы хотите использовать.
    • Группа ресурсов. Создайте новую группу ресурсов или используйте имеющуюся.
    • Расположение группы ресурсов. Выберите расположение ресурсов из раскрывающегося списка. Глобальная сеть — это глобальный ресурс, который не располагается в определенном регионе. Но вы должны выбрать регион, чтобы находить созданный вами ресурс глобальной сети и управлять им.
    • Имя. Введите имя своей виртуальной глобальной сети.
    • Тип. "Базовый" или "Стандартный". Выберите Стандартное. Если вы выбрали "Базовый", учтите, что виртуальные сети уровня "Базовый" могут включать центры только такого же уровня. Центры уровня "Базовый" можно использовать только для подключений "сеть — сеть".

  4. Заполнив поля, нажмите кнопку Просмотреть и создать внизу страницы.

  5. После прохождения проверки нажмите кнопку Создать, чтобы создать виртуальную глобальную сеть.

создание пользовательской конфигурации VPN;

Пользовательская конфигурации VPN определяет параметры для подключения удаленных клиентов. Перед настройкой виртуального концентратора с настройками P2S важно создать пользовательскую конфигурацию VPN, поскольку необходимо указать пользовательскую конфигурацию VPN, которую вы хотите использовать.

  1. Перейдите на страницу Виртуальная глобальная сеть -> Пользовательские конфигурации VPN и нажмите + Создать пользовательскую конфигурацию VPN.

    Снимок экрана с конфигурацией Create User V P N.

  2. На странице Основные сведения укажите параметры.

    Скриншот страницы с основными сведениями.

    • Имя конфигурации. Введите имя для пользовательской конфигурации VPN.
    • Тип туннеля. Выберите значение "OpenVPN" из раскрывающегося списка.

  3. Щелкните идентификатор Microsoft Entra, чтобы открыть страницу.

    Снимок экрана: страница идентификатора Microsoft Entra ID.

    Переключите идентификатор Microsoft Entra на "Да" и укажите следующие значения на основе сведений о клиенте. Вы можете просмотреть необходимые значения на странице идентификатора Microsoft Entra для корпоративных приложений на портале.

    • Метод проверки подлинности— выбор идентификатора Microsoft Entra.

    • Аудитория . Введите идентификатор приложения vpn-клиента Azure Enterprise Application, зарегистрированного в клиенте Microsoft Entra. Сведения о значениях см. в разделе: значения аудитории VPN-клиента Azure

    • Издатель - https://sts.windows.net/<your Directory ID>/

    • Клиент Microsoft Entra: TenantID для клиента Microsoft Entra. Убедитесь, что в конце URL-адреса клиента Microsoft Entra нет / .

      • Введите https://login.microsoftonline.com/<your Directory Tenant ID> для Azure Public AD
      • Введите https://login.microsoftonline.us/<your Directory Tenant ID> для AD Azure для государственных организаций
      • Введите https://login-us.microsoftonline.de/<your Directory Tenant ID> для AD Azure — Германия
      • Введите https://login.chinacloudapi.cn/<your Directory Tenant ID> для China 21Vianet AD

  4. Чтобы создать пользовательскую конфигурацию VPN, щелкните Создать. Вы выберете эту конфигурацию позже в упражнении.

Создание пустого концентратора

В этом упражнении мы создадим пустой виртуальный концентратор на этом шаге и добавьте в этот концентратор шлюз P2S. Однако эти действия можно объединить и создать концентратор с параметрами шлюза P2S одновременно. Результат совпадает с тем же способом. После настройки параметров нажмите кнопку Просмотр и создание, чтобы проверить их, а затем нажмите Создать.

  1. Откройте только что созданную виртуальную глобальную сеть. На странице "Виртуальная глобальная сеть" в разделе Возможность подключения выберите Концентраторы.

  2. На странице Центры выберите +Новый центр, чтобы открыть страницу Создание виртуального центра.

    Снимок экрана, на котором показана область

  3. На вкладке Основные сведения страницы Создание виртуального концентратора заполните следующие поля:

    • Регион: выберите регион, в котором требуется развернуть виртуальный центр.
    • Имя: имя виртуального центра.
    • Пространство частных адресов концентратора: диапазон адресов концентратора в нотации CIDR. Минимальное адресное пространство /24 для создания концентратора.
    • Емкость виртуального концентратора: выберите вариант из раскрывающегося списка. Дополнительные сведения о параметрах виртуальных концентраторов см. на этой странице.
    • Параметр маршрутизации концентратора: оставьте параметр по умолчанию ExpressRoute, если у вас нет конкретного поля. Дополнительные сведения см. в разделе Предпочтение маршрутизации виртуального концентратора.

Добавление шлюза P2S к концентратору

В этом разделе показано, как добавить шлюз к уже существующему виртуальному концентратору. Этот шаг может занять до 30 минут для завершения обновления концентратором.

  1. Перейдите на страницу Концентраторы в виртуальной глобальной сети.

  2. Щелкните имя концентратора, который требуется изменить, чтобы открыть страницу для концентратора.

  3. Нажмите кнопку "Изменить виртуальный концентратор " в верхней части страницы, чтобы открыть страницу "Изменить виртуальный концентратор ".

  4. На странице Изменить виртуальный концентратор установите флажки для Включить шлюз vpn для сайтов vpn и Включить шлюз точка-сеть, чтобы отобразить настройки. Затем настройте значения.

    Снимок экрана:

  5. После настройки параметров нажмите кнопку "Подтвердить ", чтобы обновить концентратор. Обновление концентратора может занять до 30 минут.

Подключение виртуальной сети к концентратору

В этом разделе вы создаете соединение между виртуальным концентратором и виртуальной сетью.

  1. В портал Azure перейдите к Виртуальная глобальная сеть В левой области выберите подключения виртуальной сети.

  2. На странице подключений к виртуальной сети нажмите кнопку +Добавить подключение.

  3. На странице Добавление подключения настройте параметры подключения. Сведения о параметрах маршрутизации см. в разделе "Сведения о маршрутизации".

    • Имя подключения: задайте имя для своего подключения.
    • Концентраторы: выберите концентратор, который нужно связать с этим подключением.
    • Подписка: проверьте подписку.
    • Группа ресурсов: выберите группу ресурсов, содержащую виртуальную сеть, к которой требуется подключиться.
    • Виртуальная сеть: выберите виртуальную сеть, которую вы хотите подключить к этому концентратору. В выбранной виртуальной сети не должно быть шлюза виртуальной сети.
    • Нет распространения: по умолчанию для этого параметра выбрано значение Нет. Если установить переключатель в положение Да, варианты конфигурации Распространить в таблицы маршрутизации и Распространить к меткам станут недоступны.
    • Связать таблицу маршрутов: в раскрывающемся списке можно выбрать таблицу маршрутов, которую нужно связать.
    • Распространение на метки: метки — это логическая группа таблиц маршрутов. Для этого параметра выберите в раскрывающемся списке.
    • Статические маршруты: при необходимости настройте статические маршруты. Настройте статические маршруты для сетевых виртуальных устройств (если применимо). Виртуальная глобальная сеть поддерживает один IP-адрес следующего перехода для статического маршрута в виртуальном сетевом соединении. Например, если у вас есть отдельное виртуальное устройство для входящего трафика и исходящего трафика, рекомендуется использовать виртуальные устройства в отдельных виртуальных сетях и подключить виртуальные сети к виртуальному концентратору.
    • Обход IP-адреса следующего прыжка для рабочих нагрузок в этой виртуальной сети. Этот параметр позволяет развертывать NVAs и другие рабочие нагрузки в одной виртуальной сети, не заставляя весь трафик через NVA. Этот параметр можно настроить только при настройке нового подключения. Если вы хотите использовать этот параметр для уже созданного подключения, удалите подключение, а затем добавьте новое подключение.
    • Распространение статического маршрута: этот параметр в настоящее время развертывается. Этот параметр позволяет распространять статические маршруты, определенные в разделе "Статические маршруты " для маршрутизации таблиц, указанных в разделе "Распространение в таблицы маршрутов". Кроме того, маршруты будут распространяться в таблицы маршрутов с метками, указанными как распространение на метки. Эти маршруты могут распространяться между концентраторами, за исключением маршрута по умолчанию 0/0.

  4. После завершения настройки параметров нажмите кнопку "Создать ", чтобы создать подключение.

Скачивание пользовательского профиля VPN

Все необходимые параметры конфигурации для VPN-клиентов содержатся в ZIP-файле конфигурации VPN-клиента. Параметры в этом ZIP-файле помогут вам с легкостью настроить VPN-клиенты. Файлы конфигурации VPN-клиента, которые вы создаете, относятся только к конфигурации VPN пользователя для вашего шлюза. Вы можете скачать глобальные профили (уровень глобальной сети) или профиль для определенного концентратора. Сведения и дополнительные инструкции см. в разделе "Скачать глобальные и центральные профили". Ниже описано, как скачать глобальный профиль уровня глобальной сети.

  1. Чтобы создать пакет конфигурации VPN-клиента глобального профиля уровня глобальной сети, перейдите в виртуальную глобальную сеть (а не виртуальный концентратор).

  2. В области слева выберите Пользовательские конфигурации VPN.

  3. Выберите конфигурацию, для которой нужно скачать профиль. Если у вас несколько центров, назначенных одному профилю, разверните профиль, чтобы отобразить концентраторы, а затем выберите один из центров, использующих профиль.

  4. Нажмите Скачать профиль VPN пользователя виртуальной глобальной сети.

  5. На странице скачивания выберите EAPTLS, а затем — Создать и скачать профиль. Будет создан и скачан на ваш компьютер пакет профиля (ZIP-файл) с параметрами конфигурации клиента. Содержимое пакета зависит от параметров проверки подлинности и туннеля для конфигурации.

Настройка клиентов VPN пользователя

На каждом подключаемом компьютере должен быть установлен клиент. Каждый клиент настраивается с помощью файлов профиля клиента VPN-пользователя, загруженных на предыдущих этапах. Используйте статью, относящуюся к операционной системе, к которой вы хотите подключиться.

Настройка VPN-клиентов для macOS (предварительная версия)

Инструкции для клиента macOS см. в разделе Настройка клиента VPN — macOS (предварительная версия).

Для настройки клиентов Windows VPN

  1. Загрузите последнюю версию установочных файлов VPN-клиента Azure, используя одну из следующих ссылок:

    • Выполните установку с использованием установочных файлов клиента: https://aka.ms/azvpnclientdownload.
    • Установите напрямую после входа на клиентский компьютер: Microsoft Store.

  2. Установите клиент Azure на все компьютеры.

  3. Убедитесь в том, что у VPN-клиента Azure есть разрешение на запуск в фоновом режиме. Инструкции см. в статье Фоновые приложения Windows.

  4. Чтобы проверить установленную версию клиента, откройте VPN-клиент Azure. Перейдите в нижнюю часть клиента и щелкните ... -> ? Справка. В правой области отображается номер версии клиента.

Для импорта профиля клиента VPN (Windows)

  1. На странице выберите Import (Импорт).

    На снимка экрана отображена страница импорта.

  2. Перейдите к XML-файлу профиля и выберите его. Выбрав файл, выберите Open (Открыть).

    Снимок экрана: диалоговое окно

  3. Укажите имя профиля и выберите Save (Сохранить).

    Снимок экрана: добавленное

  4. Выберите Connect (Подключиться), чтобы подключиться к VPN.

    Снимок экрана: кнопка

  5. После подключения значок станет зеленым и выдаст Connected (Подключено).

    Снимок экрана: подключение в состоянии

Для удаления профиля клиента — Windows

  1. Нажмите кнопку с многоточием (...) рядом с удаляемым профилем клиента. Затем щелкните Remove (Удалить).

    Снимок экрана: меню с выбранным пунктом

  2. Выберите Remove (Удалить), чтобы выполнить удаление.

    Снимок экрана: диалоговое окно подтверждения с параметрами

Диагностика проблем с подключением — Windows

  1. Для диагностики проблем с подключением можно использовать средство Diagnose (Диагностика). Нажмите кнопку с многоточием (...) рядом с VPN-подключением, которое нужно диагностировать, чтобы открыть меню. Затем выберите Diagnose (Диагностика).

    Снимок экрана: меню с выбранным пунктом

  2. На странице Connection Properties (Свойства подключения) выберите Run Diagnosis (Выполнить диагностику).

    Снимок экрана: кнопка

  3. Войдите с помощью своих учетных данных.

    Снимок экрана: диалоговое окно

  4. Просмотр результатов диагностики.

    Снимок экрана: результаты диагностики.

Просмотр виртуальной глобальной сети

  1. Перейдите к виртуальной глобальной сети.
  2. На странице Обзор каждая точка на карте представляет собой концентратор.
  3. В разделе Концентраторы и подключения можно просмотреть сведения о состоянии концентратора, сайте, регионе, состоянии VPN-подключения, а также количестве принятых и переданных байтов.

Очистка ресурсов

Если созданные ресурсы вам больше не нужны, удалите их. Некоторые ресурсы Виртуальной глобальной сети необходимо удалять в определенном порядке с учетом зависимостей. Удаление может занять около 30 минут.

  1. Откройте только что созданную виртуальную глобальную сеть.

  2. Выберите виртуальный концентратор, связанный с виртуальной глобальной сетью, чтобы открыть страницу концентратора.

  3. Удалите все субъекты шлюза в том порядке, который соответствует его типу. Этот процесс может занять до 30 минут.

    VPN:

    • Отключите VPN-сайты.
    • Удалите VPN-подключения.
    • Удалите VPN-шлюзы.

    ExpressRoute:

    • Удалите подключения ExpressRoute.
    • Удалите шлюзы ExpressRoute.

  4. Повторите эти действия для всех концентраторов, связанных с виртуальной глобальной сетью.

  5. Сами концентраторы вы можете удалить сразу или позже при удалении группы ресурсов.

  6. На портале Azure перейдите к группе ресурсов.

  7. Выберите команду Удалить группу ресурсов. Это действие удаляет все элементы в группе ресурсов, включая концентраторы и виртуальную глобальную сеть.

Следующие шаги

Часто задаваемые вопросы о Виртуальная глобальная сеть см. в Виртуальная глобальная сеть вопросы и ответы.