Dela via


Konfigurera tvingad tunneltrafik för Virtual WAN P2S VPN

Med tvingad tunneltrafik kan du skicka all trafik (inklusive Internetbunden trafik) från fjärranvändare till Azure. I Virtual WAN innebär tvingad tunneltrafik för punkt-till-plats-VPN-fjärranvändare att standardvägen 0.0.0.0/0 annonseras till fjärranslutna VPN-användare.

Skapa en Virtual WAN-hubb

Stegen i den här artikeln förutsätter att du redan har distribuerat ett virtuellt WAN med en eller flera hubbar.

Om du vill skapa ett nytt virtuellt WAN och en ny hubb använder du stegen i följande artiklar:

Konfigurera punkt-till-plats-VPN

Stegen i den här artikeln förutsätter också att du redan har distribuerat en punkt-till-plats-VPN-gateway i Virtual WAN-hubben. Det förutsätter också att du har skapat punkt-till-plats VPN-profiler för att tilldela till gatewayen.

Information om hur du skapar punkt-till-plats-VPN-gatewayen och relaterade profiler finns i Skapa en PUNKT-till-plats-VPN-gateway.

Det finns några sätt att konfigurera tvingad tunneltrafik och annonsera standardvägen (0.0.0.0/0) till dina VPN-fjärranvändare som är anslutna till Virtual WAN.

  • Du kan ange en statisk 0.0.0.0/0-väg i defaultRouteTable med nästa hopp Virtuell nätverksanslutning. Detta tvingar all internetbunden trafik att skickas till en virtuell nätverksinstallation som distribueras i det virtuella ekernätverket. Mer detaljerade instruktioner finns i det alternativa arbetsflödet som beskrivs i Route through NVAs (Routning via NVA).
  • Du kan använda Azure Firewall Manager för att konfigurera Virtual WAN för att skicka all internetbunden trafik via Azure Firewall som distribueras i Virtual WAN-hubben. Konfigurationssteg och en självstudie finns i Dokumentationen om Skydd av virtuella hubbar i Azure Firewall Manager. Du kan också konfigurera detta via en internettrafikroutningsprincip. Mer information finns i Routnings- och routningsprinciper.
  • Du kan använda Firewall Manager för att skicka Internettrafik via en tredjepartssäkerhetsprovider. Mer information om den här funktionen finns i Betrodda säkerhetsprovidrar.
  • Du kan konfigurera en av dina grenar (plats-till-plats-VPN, ExpressRoute-krets) för att annonsera 0.0.0.0/0-vägen till Virtual WAN.

När du har konfigurerat någon av ovanstående fyra metoder kontrollerar du att flaggan EnableInternetSecurity är aktiverad för din punkt-till-plats-VPN-gateway. Den här flaggan måste vara inställd på true för att klienterna ska vara korrekt konfigurerade för tvingad tunneltrafik.

Om du vill aktivera flaggan EnableInternetSecurity använder du följande PowerShell-kommando och ersätter lämpliga värden för din miljö.

Update-AzP2sVpnGateway -ResourceGroupName "sampleRG" -Name "p2sgwsamplename" -EnableInternetSecurityFlag

Ladda ned VPN-profilen för punkt-till-plats

Information om hur du laddar ned VPN-profilen för punkt-till-plats finns i globala profiler och hubbprofiler. Informationen i zip-filen som laddas ned från Azure Portal är viktig för att konfigurera klienterna korrekt.

Konfigurera tvingad tunneltrafik för Azure VPN-klienter (OpenVPN)

Stegen för att konfigurera tvingad tunneltrafik skiljer sig åt beroende på slutanvändarens operativsystem.

Windows-klienter

Kommentar

För Windows-klienter är tvingad tunneltrafik med Azure VPN-klienten endast tillgänglig med programvaruversion 2:1900:39.0 eller senare.

  1. Verifiera att versionen av Din Azure VPN-klient är kompatibel med tvingad tunneltrafik. Det gör du genom att klicka på de tre punkterna längst ned i Azure VPN-klienten och klicka på Hjälp. Alternativt är tangentbords genväg för att navigera till Hjälp Ctrl-H. Versionsnumret finns längst upp på skärmen. Kontrollera att versionsnumret är 2:1900:39.0 eller senare.

  2. Öppna zip-filen som laddades ned från föregående avsnitt. Du bör se en mapp med namnet AzureVPN. Öppna mappen och öppna azurevpnconfig.xml i ditt favoritverktyg för XML-redigering.

  3. I azureconfig.xml finns det ett fält som heter version. Om numret mellan versionstaggar är 1 ändrar du versionsnumret till 2.

    <version>2</version>
    
  4. Importera profilen till Azure VPN-klienten. Mer information om hur du importerar en profil finns i Importinstruktioner för Azure VPN-klient.

  5. Anslut till den nyligen tillagda anslutningen. Nu tvingar du fram all trafik till Azure Virtual WAN.

macOS-klienter

När en macOS-klient lär sig standardvägen från Azure konfigureras tvingad tunneltrafik automatiskt på klientenheten. Det finns inga extra åtgärder att vidta. Anvisningar om hur du använder macOS Azure VPN-klienten för att ansluta till VPN-gatewayen virtual WAN punkt-till-plats finns i konfigurationsguiden för macOS.

Konfigurera tvingad tunneltrafik för IKEv2-klienter

För IKEv2-klienter kan du inte direkt använda de körbara profiler som laddats ned från Azure Portal. För att konfigurera klienten korrekt måste du köra ett PowerShell-skript eller distribuera VPN-profilen via Intune.

Använd en annan EAP-konfigurationsfil baserat på den autentiseringsmetod som konfigurerats på din punkt-till-plats-VPN-gateway. Exempel på EAP-konfigurationsfiler finns nedan.

IKEv2 med autentisering med användarcertifikat

Om du vill använda användarcertifikat för att autentisera fjärranvändare använder du PowerShell-exempelskriptet nedan. Om du vill importera innehållet i VpnSettings- och EAP XML-filerna till PowerShell korrekt går du till lämplig katalog innan du kör Kommandot Hämta innehåll i PowerShell.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"

# get the VPN Server FQDN from the profile downloaded from Azure Portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false 

I följande exempel visas en EAP XML-fil för användarcertifikatbaserad autentisering. Ersätt fältet IssuerHash med tumavtrycket för rotcertifikatet för att säkerställa att klientenheten väljer rätt certifikat som ska presenteras för VPN-servern för autentisering.

<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
    <EapMethod>
        <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
        <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
        <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
        <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
    </EapMethod>
    <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
        <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
            <Type>13</Type>
            <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                <CredentialsSource>
                    <CertificateStore>
                        <SimpleCertSelection>true</SimpleCertSelection>
                    </CertificateStore>
                </CredentialsSource>
                <ServerValidation>
                    <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                    <ServerNames></ServerNames>
                </ServerValidation>
                <DifferentUsername>false</DifferentUsername>
                <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
                <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
                <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                    <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                        <CAHashList Enabled="true">
                            <IssuerHash> REPLACE THIS WITH ROOT CERTIFICATE THUMBPRINT </IssuerHash>
                        </CAHashList>
                    </FilteringInfo>
                </TLSExtensions>
            </EapType>
        </Eap>
    </Config>
</EapHostConfig>

IKEv2 med autentisering av datorcertifikat

Om du vill använda datorcertifikat för att autentisera fjärranvändare använder du PowerShell-exempelskriptet nedan. Om du vill importera innehållet i VpnSettings- och EAP XML-filerna till PowerShell korrekt går du till lämplig katalog innan du kör Kommandot Hämta innehåll i PowerShell.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "UserCertVPNConnection"

# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod MachineCertificate 

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false 

IKEv2 med RADIUS-serverautentisering med användarnamn och lösenord (EAP-MSCHAPv2)

Om du vill använda användarnamn och lösenordsbaserad RADIUS-autentisering (EAP-MASCHAPv2) för att autentisera fjärranvändare använder du PowerShell-exempelskriptet nedan. Om du vill importera innehållet i VpnSettings- och EAP XML-filerna till PowerShell korrekt går du till lämplig katalog innan du kör Kommandot Hämta innehåll i PowerShell.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"

# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Point-to-sitev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false 

Ett exempel på en EAP XML-fil är följande.

<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
    <EapMethod>
        <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">26</Type>
        <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
        <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
        <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
    </EapMethod>
    <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
        <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
            <Type>26</Type>
            <EapType xmlns="http://www.microsoft.com/provisioning/MsChapV2ConnectionPropertiesV1">
                <UseWinLogonCredentials>false</UseWinLogonCredentials>
            </EapType>
        </Eap>
    </Config>
</EapHostConfig>

IKEv2 med RADIUS-serverautentisering med användarcertifikat (EAP-TLS)

Om du vill använda certifikatbaserad RADIUS-autentisering (EAP-TLS) för att autentisera fjärranvändare använder du PowerShell-exempelskriptet nedan. Observera att om du vill importera innehållet i VpnSettings- och EAP XML-filerna till PowerShell måste du navigera till rätt katalog innan du kör Kommandot Hämta innehåll i PowerShell.

# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"

# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer

# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)

# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML

# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false 

Nedan visas en EAP XML-exempelfil. Ändra fältet TrustedRootCA till tumavtrycket för certifikatutfärdarens certifikat och IssuerHash som tumavtryck för rotcertifikatet.

<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
    <EapMethod>
        <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
        <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
        <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
        <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
    </EapMethod>
    <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
        <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
            <Type>13</Type>
            <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
                <CredentialsSource>
                    <CertificateStore>
                        <SimpleCertSelection>false</SimpleCertSelection>
                    </CertificateStore>
                </CredentialsSource>
                <ServerValidation>
                    <DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
                    <ServerNames></ServerNames>
                    <TrustedRootCA> CERTIFICATE AUTHORITY THUMBPRINT </TrustedRootCA>
                </ServerValidation>
                <DifferentUsername>true</DifferentUsername>
                <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation>
                <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName>
                <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
                    <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
                        <CAHashList Enabled="true">
                            <IssuerHash> ROOT CERTIFICATE THUMBPRINT  </IssuerHash>
                        </CAHashList>
                    </FilteringInfo>
                </TLSExtensions>
            </EapType>
        </Eap>
    </Config>
</EapHostConfig>

Nästa steg

Mer information om Virtual WAN finns i Vanliga frågor och svar.