你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
为点到站点 RADIUS 密码身份验证配置 VPN 客户端
若要通过点到站点 (P2S) 连接到虚拟网络,需要配置将从中进行连接的客户端设备。 可以通过 Windows、macOS 和 Linux 客户端设备创建 P2S VPN 连接。 本文将帮助你创建并安装用于 RADIUS 用户名/密码身份验证的 VPN 客户端配置。
如果你使用 RADIUS 身份验证,我们提供了多种身份验证说明:证书身份验证、密码身份验证以及其他身份验证方法和协议。 每种身份验证的 VPN 客户端配置各个不同。 若要配置 VPN 客户端,可以使用包含所需设置的客户端配置文件。
注意
从 2018 年 7 月 1 日开始,Azure VPN 网关将不再支持 TLS 1.0 和 1.1。 VPN 网关将仅支持 TLS 1.2。 仅点到站点连接会受到影响;站点到站点连接不受影响。 如果你在 Windows 10 及更高版本客户端上将 TLS 用于点到站点 VPN,则你无需采取任何操作。 如果在 Windows 7 和 Windows 8 客户端上使用 TLS 建立点到站点连接,请参阅 VPN 网关常见问题解答,了解更新说明。
工作流
P2S RADIUS 身份验证的配置工作流如下:
- 设置适用于 P2S 连接的 Azure VPN 网关。
- 设置适用于身份验证的 RADIUS 服务器。
- 获取适用于所选身份验证选项的 VPN 客户端配置,用其设置 VPN 客户端(本文)。
- 完成 P2S 配置和连接。
重要
如果在生成 VPN 客户端配置文件后,点到站点 VPN 配置(例如 VPN 协议类型或身份验证类型)发生了变化,则必须生成新的 VPN 客户端配置并将其安装在用户设备上。
可以将用户名/密码身份验证配置为使用 Active Directory,也可以将其配置为不使用 Active Directory。 使用每种方案时,请确保所有进行连接的用户的用户名/密码凭据可以通过 RADIUS 进行身份验证。
配置用户名/密码身份验证时,只能针对 EAP-MSCHAPv2 用户名/密码身份验证协议创建配置。 在命令中,-AuthenticationMethod
是 EapMSChapv2
。
生成 VPN 客户端配置文件
可使用 Azure 门户或 PowerShell 生成 VPN 客户端配置文件。
Azure 门户
- 导航到虚拟网关。
- 单击“点到站点配置” 。
- 单击“下载 VPN 客户端”。
- 选择客户端,并填充请求的任何信息。
- 单击“下载”,生成 .zip 文件 。
- .zip 文件通常下载到 Downloads 文件夹。
Azure PowerShell
生成 VPN 客户端配置文件来用于用户名/密码身份验证。 可以使用以下命令生成 VPN 客户端配置文件:
New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapMSChapv2"
运行该命令将返回一个链接。 请将该链接复制并粘贴到 Web 浏览器,下载 VpnClientConfiguration.zip。 解压缩该文件,查看以下文件夹:
- WindowsAmd64 和 WindowsX86:这些文件夹分别包含 Windows 64 位和 32 位安装程序包。
- Generic:此文件夹包含可用于创建自己的 VPN 客户端配置的常规信息。 对于用户名/密码身份验证配置,不需要此文件夹。
- Mac:如果在创建虚拟网络网关时已配置了 IKEv2,则会看到名为 Mac 的文件夹,其中包含 mobileconfig 文件。 可以使用该文件配置 Mac 客户端。
如果已创建了客户端配置文件,可以使用 Get-AzVpnClientConfiguration
检索这些文件。 但是,如果对 P2S VPN 配置(例如 VPN 协议类型或身份验证类型)进行更改,该配置不会自动更新。 必须运行 New-AzVpnClientConfiguration
cmdlet 才能创建新的配置下载。
若要检索以前生成的客户端配置文件,请使用以下命令:
Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW"
Windows VPN 客户端
只要版本与 Windows 客户端的体系结构匹配,就可以在每台客户端计算机上使用相同的 VPN 客户端配置包。 有关支持的客户端操作系统的列表,请参阅常见问题解答。
请使用以下步骤配置用于证书身份验证的本机 Windows VPN 客户端:
根据 Windows 计算机的体系结构选择 VPN 客户端配置文件。 对于 64 位处理器体系结构,请选择 VpnClientSetupAmd64 安装程序包。 对于 32 位处理器体系结构,请选择 VpnClientSetupX86 安装程序包。
若要安装该包,请双击它。 如果看到了 SmartScreen 弹出窗口,请选择“更多信息”>“仍要运行”。
在客户端计算机上,浏览到“网络设置” ,并选择“VPN” 。 VPN 连接显示所连接到的虚拟网络的名称。
Mac (macOS) VPN 客户端
选择 VpnClientSetup.mobileconfig 文件,将其发送给每个用户。 可以使用电子邮件或其他方法。
在 Mac 中查找 mobileconfig 文件。
可选步骤 - 若要指定自定义 DNS,请将以下行添加到 mobileconfig 文件中:
<key>DNS</key> <dict> <key>ServerAddresses</key> <array> <string>10.0.0.132</string> </array> <key>SupplementalMatchDomains</key> <array> <string>TestDomain.com</string> </array> </dict>
双击该配置文件以进行安装,然后选择“继续”。 配置文件名称与虚拟机的名称相同。
选择“继续”来信任配置文件的发送者并继续进行安装。
在配置文件安装过程中,你可以指定用于 VPN 身份验证的用户名和密码。 此信息不是必须输入的。 如果进行指定,此信息在指定后会进行保存,在启动连接时自动使用。 选择“安装”以继续。
输入用户名和密码,以便获取在计算机上安装该配置文件所需的权限。 选择“确定”。
安装配置文件后,可在“配置文件”对话框中看到它。 以后还可以从“系统首选项”打开该对话框。
若要访问 VPN 连接,请从“系统首选项”打开“网络”对话框。
VPN 连接显示为“IkeV2-VPN”。 可以通过更新 mobileconfig 文件来更改该名称。
选择“身份验证设置”。 在列表中选择“用户名”,并输入凭据。 如果此前已输入凭据,系统会在列表中自动选择“用户名”,并预填充用户名和密码。 选择“确定”以保存设置。
返回到“网络” 对话框,选择“应用” 以保存更改。 若要启动连接,请选择“连接”。
Linux VPN 客户端 - strongSwan
以下说明是通过 Ubuntu 17.0.4 上的 strongSwan 5.5.1 创建的。
打开终端并运行示例中的命令,安装 strongSwan 及其网络管理器。 如果收到与
libcharon-extra-plugins
相关的错误,请将其替换为strongswan-plugin-eap-mschapv2
。选择“网络管理器”图标(向上/向下箭头),然后选择“编辑连接”。
选择“添加”按钮以创建新连接。
从下拉菜单中选择“IPsec/IKEv2 (strongswan)”,然后选择“创建”。 可以在此步骤中重命名连接。
在客户端配置文件下载到的 Generic 文件夹中打开 VpnSettings.xml 文件。 查找名为
VpnServer
的标记并复制该名称,以azuregateway
开头以.cloudapp.net
结尾。在“网关”部分中,将此名称粘贴到新 VPN 连接的“地址”字段中。 接下来,选择“证书”字段末尾的文件夹图标,浏览到 Generic 文件夹,并选择 VpnServerRoot 文件。
在连接的“客户端”部分中,选择“EAP”作为“身份验证”方式,并输入用户名和密码。 可能需要选择右侧的锁形图标才能保存此信息。 然后选择“保存”。
选择“网络管理器”图标(向上/向下箭头),并将鼠标指针悬停在“VPN 连接”上。 将会看到已创建的 VPN 连接。 若要启动该连接,请选择它。
针对 Azure 虚拟机的其他步骤
如果正在运行 Linux 的 Azure 虚拟机上执行该过程,则需要执行其他步骤。
编辑 /etc/netplan/50-cloud-init.yaml 文件,以包含以下接口参数
renderer: NetworkManager
编辑文件后,请运行以下两个命令以加载新配置
sudo netplan generate
sudo netplan apply
停止/启动或重新部署虚拟机。
后续步骤
返回到相关文章,完成 P2S 配置。
有关 P2S 故障排除信息,请参阅排查 Azure 点到站点连接问题。