你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为点到站点 RADIUS 密码身份验证配置 VPN 客户端

若要通过点到站点 (P2S) 连接到虚拟网络,需要配置将从中进行连接的客户端设备。 可以通过 Windows、macOS 和 Linux 客户端设备创建 P2S VPN 连接。 本文将帮助你创建并安装用于 RADIUS 用户名/密码身份验证的 VPN 客户端配置。

如果你使用 RADIUS 身份验证,我们提供了多种身份验证说明:证书身份验证密码身份验证以及其他身份验证方法和协议。 每种身份验证的 VPN 客户端配置各个不同。 若要配置 VPN 客户端,可以使用包含所需设置的客户端配置文件。

注意

从 2018 年 7 月 1 日开始,Azure VPN 网关将不再支持 TLS 1.0 和 1.1。 VPN 网关将仅支持 TLS 1.2。 仅点到站点连接会受到影响;站点到站点连接不受影响。 如果你在 Windows 10 及更高版本客户端上将 TLS 用于点到站点 VPN,则你无需采取任何操作。 如果在 Windows 7 和 Windows 8 客户端上使用 TLS 建立点到站点连接,请参阅 VPN 网关常见问题解答,了解更新说明。

工作流

P2S RADIUS 身份验证的配置工作流如下:

  1. 设置适用于 P2S 连接的 Azure VPN 网关
  2. 设置适用于身份验证的 RADIUS 服务器
  3. 获取适用于所选身份验证选项的 VPN 客户端配置,用其设置 VPN 客户端(本文)。
  4. 完成 P2S 配置和连接

重要

如果在生成 VPN 客户端配置文件后,点到站点 VPN 配置(例如 VPN 协议类型或身份验证类型)发生了变化,则必须生成新的 VPN 客户端配置并将其安装在用户设备上。

可以将用户名/密码身份验证配置为使用 Active Directory,也可以将其配置为不使用 Active Directory。 使用每种方案时,请确保所有进行连接的用户的用户名/密码凭据可以通过 RADIUS 进行身份验证。

配置用户名/密码身份验证时,只能针对 EAP-MSCHAPv2 用户名/密码身份验证协议创建配置。 在命令中,-AuthenticationMethodEapMSChapv2

生成 VPN 客户端配置文件

可使用 Azure 门户或 PowerShell 生成 VPN 客户端配置文件。

Azure 门户

  1. 导航到虚拟网关。
  2. 单击“点到站点配置” 。
  3. 单击“下载 VPN 客户端”。
  4. 选择客户端,并填充请求的任何信息。
  5. 单击“下载”,生成 .zip 文件 。
  6. .zip 文件通常下载到 Downloads 文件夹。

Azure PowerShell

生成 VPN 客户端配置文件来用于用户名/密码身份验证。 可以使用以下命令生成 VPN 客户端配置文件:

New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapMSChapv2"

运行该命令将返回一个链接。 请将该链接复制并粘贴到 Web 浏览器,下载 VpnClientConfiguration.zip。 解压缩该文件,查看以下文件夹:

  • WindowsAmd64WindowsX86:这些文件夹分别包含 Windows 64 位和 32 位安装程序包。
  • Generic:此文件夹包含可用于创建自己的 VPN 客户端配置的常规信息。 对于用户名/密码身份验证配置,不需要此文件夹。
  • Mac:如果在创建虚拟网络网关时已配置了 IKEv2,则会看到名为 Mac 的文件夹,其中包含 mobileconfig 文件。 可以使用该文件配置 Mac 客户端。

如果已创建了客户端配置文件,可以使用 Get-AzVpnClientConfiguration 检索这些文件。 但是,如果对 P2S VPN 配置(例如 VPN 协议类型或身份验证类型)进行更改,该配置不会自动更新。 必须运行 New-AzVpnClientConfiguration cmdlet 才能创建新的配置下载。

若要检索以前生成的客户端配置文件,请使用以下命令:

Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW"

Windows VPN 客户端

只要版本与 Windows 客户端的体系结构匹配,就可以在每台客户端计算机上使用相同的 VPN 客户端配置包。 有关支持的客户端操作系统的列表,请参阅常见问题解答

请使用以下步骤配置用于证书身份验证的本机 Windows VPN 客户端:

  1. 根据 Windows 计算机的体系结构选择 VPN 客户端配置文件。 对于 64 位处理器体系结构,请选择 VpnClientSetupAmd64 安装程序包。 对于 32 位处理器体系结构,请选择 VpnClientSetupX86 安装程序包。

  2. 若要安装该包,请双击它。 如果看到了 SmartScreen 弹出窗口,请选择“更多信息”>“仍要运行”。

  3. 在客户端计算机上,浏览到“网络设置” ,并选择“VPN” 。 VPN 连接显示所连接到的虚拟网络的名称。

Mac (macOS) VPN 客户端

  1. 选择 VpnClientSetup.mobileconfig 文件,将其发送给每个用户。 可以使用电子邮件或其他方法。

  2. 在 Mac 中查找 mobileconfig 文件。

  3. 可选步骤 - 若要指定自定义 DNS,请将以下行添加到 mobileconfig 文件中:

     <key>DNS</key>
     <dict>
       <key>ServerAddresses</key>
         <array>
             <string>10.0.0.132</string>
         </array>
       <key>SupplementalMatchDomains</key>
         <array>
             <string>TestDomain.com</string>
         </array>
     </dict> 
    
  4. 双击该配置文件以进行安装,然后选择“继续”。 配置文件名称与虚拟机的名称相同。

  5. 选择“继续”来信任配置文件的发送者并继续进行安装。

  6. 在配置文件安装过程中,你可以指定用于 VPN 身份验证的用户名和密码。 此信息不是必须输入的。 如果进行指定,此信息在指定后会进行保存,在启动连接时自动使用。 选择“安装”以继续。

  7. 输入用户名和密码,以便获取在计算机上安装该配置文件所需的权限。 选择“确定”

  8. 安装配置文件后,可在“配置文件”对话框中看到它。 以后还可以从“系统首选项”打开该对话框。

  9. 若要访问 VPN 连接,请从“系统首选项”打开“网络”对话框。

  10. VPN 连接显示为“IkeV2-VPN”。 可以通过更新 mobileconfig 文件来更改该名称。

  11. 选择“身份验证设置”。 在列表中选择“用户名”,并输入凭据。 如果此前已输入凭据,系统会在列表中自动选择“用户名”,并预填充用户名和密码。 选择“确定”以保存设置。

  12. 返回到“网络” 对话框,选择“应用” 以保存更改。 若要启动连接,请选择“连接”。

Linux VPN 客户端 - strongSwan

以下说明是通过 Ubuntu 17.0.4 上的 strongSwan 5.5.1 创建的。

  1. 打开终端并运行示例中的命令,安装 strongSwan 及其网络管理器。 如果收到与 libcharon-extra-plugins 相关的错误,请将其替换为 strongswan-plugin-eap-mschapv2

  2. 选择“网络管理器”图标(向上/向下箭头),然后选择“编辑连接”。

  3. 选择“添加”按钮以创建新连接。

  4. 从下拉菜单中选择“IPsec/IKEv2 (strongswan)”,然后选择“创建”。 可以在此步骤中重命名连接。

  5. 在客户端配置文件下载到的 Generic 文件夹中打开 VpnSettings.xml 文件。 查找名为 VpnServer 的标记并复制该名称,以 azuregateway 开头以 .cloudapp.net 结尾。

  6. 在“网关”部分中,将此名称粘贴到新 VPN 连接的“地址”字段中。 接下来,选择“证书”字段末尾的文件夹图标,浏览到 Generic 文件夹,并选择 VpnServerRoot 文件。

  7. 在连接的“客户端”部分中,选择“EAP”作为“身份验证”方式,并输入用户名和密码。 可能需要选择右侧的锁形图标才能保存此信息。 然后选择“保存”。

  8. 选择“网络管理器”图标(向上/向下箭头),并将鼠标指针悬停在“VPN 连接”上。 将会看到已创建的 VPN 连接。 若要启动该连接,请选择它。

针对 Azure 虚拟机的其他步骤

如果正在运行 Linux 的 Azure 虚拟机上执行该过程,则需要执行其他步骤。

  1. 编辑 /etc/netplan/50-cloud-init.yaml 文件,以包含以下接口参数

    renderer: NetworkManager
    
  2. 编辑文件后,请运行以下两个命令以加载新配置

    sudo netplan generate
    
    sudo netplan apply
    
  3. 停止/启动或重新部署虚拟机。

后续步骤

返回到相关文章,完成 P2S 配置

有关 P2S 故障排除信息,请参阅排查 Azure 点到站点连接问题