教學課程: 使用 Azure 虛擬 WAN 建立 P2S 使用者 VPN 連線 - 憑證或 RADIUS 驗證
本教學課程將示範如何使用虛擬 WAN 連線至 Azure 中的資源。 在本教學課程中,您會使用 Azure 入口網站,透過 OpenVPN 或 IPsec/IKE (IKEv2) 建立點對站使用者 VPN 連線。 此類型的連線需要在每個連線用戶端電腦上設定原生 VPN 用戶端。
- 本文適用於憑證和 RADIUS 驗證。 如需 Microsoft Entra 驗證,請參閱設定使用者 VPN 連線 - Microsoft Entra 驗證。
- 如需有關虛擬 WAN 的詳細資訊,請參閱虛擬 WAN 概觀。
在本教學課程中,您會了解如何:
- 建立虛擬 WAN
- 建立使用者 VPN 設定
- 建立虛擬中樞與閘道
- 產生用戶端組態檔
- 設定 VPN 用戶端
- 連線至 VNet
- 檢視您的虛擬 WAN
- 修改設定
必要條件
您有 Azure 訂用帳戶。 如果您沒有 Azure 訂閱,請建立免費帳戶。
您有一個要連線至其中的虛擬網路。
- 驗證沒有任何內部部署網路的子網路與您要連線的虛擬網路子網路重疊。
- 若要在 Azure 入口網站中建立虛擬網路,請參閱快速入門文章。
您的虛擬網路必須沒有任何現有的虛擬網路閘道。
- 如果虛擬網路已經有閘道 (VPN 或 ExpressRoute) ,您必須先移除所有閘道,然後再繼續。
- 此組態需要讓虛擬網路只連線到虛擬 WAN 中樞閘道。
決定您要用於您的虛擬中樞私人位址空間的 IP 位址範圍。 設定您的虛擬中樞時會使用此資訊。 虛擬中樞是虛擬 WAN 建立和使用的虛擬網路。 這是您區域中虛擬 WAN 網路的核心。 位址空間範圍必須符合特定規則:
- 您為中樞指定的位址範圍不能與您連線的任何現有虛擬網路重疊。
- 位址範圍不能與您連線的內部部署位址範圍重疊。
- 如果您不熟悉位於內部部署網路設定中的 IP 位址範圍,請與可以為您提供這些詳細資料的人員協調。
建立虛擬 WAN
在入口網站前往 [搜尋資源] 列,接著在搜尋方塊中輸入 [虛擬 WAN],然後選取 [Enter]。
從結果中選取 [虛擬 WAN] 在 [虛擬 WAN] 頁面中,選取 [+ 建立],以開啟 [建立 WAN] 頁面。
在 [建立 WAN] 頁面的 [基本] 索引標籤中,填寫欄位。 修改範例值以套用至您的環境。
- 訂閱:選取您要使用的訂閱。
- 資源群組:建立新的或使用現有的。
- 資源群組位置:從下拉式清單中選擇資源位置。 WAN 是全域資源,並不會在特定區域存留。 不過,您必須選取一個區域以管理及放置所建立的 WAN 資源。
- 名稱:鍵入要用來稱呼虛擬 WAN 的名稱。
- 類型:基本或標準。 選取 [標準]。 如果您選取 [基本],請了解基本虛擬 WAN 只能包含基本中樞。 基本中樞只能用於站對站連線。
填寫欄位完成後,請在頁面底部選取 [檢閱 + 建立]。
驗證通過後,按一下 [建立],以建立虛擬 WAN。
建立使用者 VPN 設定
使用者 VPN (P2S) 設定會定義所要連線遠端用戶端的參數。 在中樞中建立 P2S 閘道之前,請先建立使用者 VPN 設定。 您可以建立多個使用者 VPN 設定。 當建立 PS2 閘道時,請選取所要使用的使用者 VPN 設定。
您遵循的指示取決於您要使用的驗證方法。 在此練習中,我們選取 [OpenVpn 和 IKEv2] 和憑證驗證。 您也可以使用其他設定。 每個驗證方法都有特定需求。
Azure 憑證:此設定需要憑證。 您必須產生或取得憑證。 每個用戶端都需要有用戶端憑證。 此外,必須上傳根憑證資訊 (公開金鑰)。 如需必要憑證的詳細資訊,請參閱產生和匯出憑證。
RADIUS 驗證:取得 RADIUS 伺服器 IP、RADIUS 伺服器祕密和憑證資訊。
Microsoft Entra 驗證:請參閱設定使用者 VPN 連線 - Microsoft Entra 驗證。
設定步驟
瀏覽至您所建立的虛擬 WAN。
從左側功能表選取 [使用者 VPN 設定]。
在 [使用者 VPN 設定] 頁面上,選取 [+建立使用者 VPN 設定]。
在 [建立新使用者 VPN 設定] 頁面的 [基本] 索引標籤中,在 [執行個體詳細資料] 下方輸入您要指派給 VPN 設定的名稱。
針對 [通道類型],從下拉式清單中選取您需要的通道類型。 通道類型選項包括:IKEv2 VPN、OpenVPN,以及 OpenVpn 和 IKEv2。 每個通道類型都有特殊的必要設定。 所選的通道類型會對應至可用的驗證選項。
需求和參數:
IKEv2 VPN
要求:當您選取 IKEv2 通道類型時,會顯示一則訊息指示您選取驗證方法。 針對 IKEv2,您可以指定多個驗證方法。 您可以選擇 Azure 憑證、RADIUS 驗證,或同時選擇兩者。
IPSec 自訂參數:若要自訂 IKE 階段 1 和 IKE 階段 2 的參數,請將 IPsec 切換成 [自訂],然後選取參數值。 若要進一步了解可自訂的參數,請參閱自訂 IPsec 一文。
OpenVPN
- 需求:當您選取 OpenVPN 通道類型時,會顯示一則訊息指示您選取驗證機制。 如果選取 OpenVPN 作為通道類型,您可以指定多個驗證方法。 您可以選擇 Azure 憑證、Microsoft Entra ID 或 RADIUS 驗證的任何子集。 若為 RADIUS 驗證,您可以提供次要 RADIUS 伺服器 IP 位址和伺服器祕密。
OpenVPN 和 IKEv2
- 需求:當您選取 OpenVPN 和 IKEv2 通道類型時,會顯示一則訊息指示您選取驗證機制。 如果 選取 OpenVPN 和 IKEv2 作為通道類型,您可以指定多個驗證方法。 您可以選擇 Microsoft Entra ID,以及 Azure 憑證或 RADIUS 驗證。 若為 RADIUS 驗證,您可以提供次要 RADIUS 伺服器 IP 位址和伺服器祕密。
設定您想要使用的驗證方法。 每個驗證方法都會以個別的索引標籤顯示:Azure 憑證、RADIUS 驗證和 Microsoft Entra ID。 某些驗證方法僅適用於特定通道類型。
在您要設定的驗證方法所適用的索引標籤上,選取 [是] 以顯示可用的設定。
範例 - 憑證驗證
若要進行此設定,[基本] 頁面上的通道類型可以是 IKEv2、OpenVPN 或 OpenVPN 與 IKEv2。
範例 - RADIUS 驗證
若要進行此設定,[基本] 頁面上的通道類型可以是 Ikev2、OpenVPN 或 OpenVPN 與 IKEv2。
範例 - Microsoft Entra 驗證
若要進行此設定,[基本] 頁面上的通道類型必須是 OpenVPN。 只有 OpenVPN 支援以 Microsoft Entra ID 為基礎的驗證。
完成設定之後,請選取頁面底部的 [檢閱 + 建立]。
選取 [建立] 建立使用者 VPN 設定。
建立虛擬中樞與閘道
基本頁面
移至您建立的虛擬 WAN。 在虛擬 WAN 頁面的左側窗格上,於 [連線能力] 下,選取 [中樞]。
在 [中樞] 頁面上,選取 [+ 新增中樞] 來開啟 [建立虛擬中樞] 頁面。
在 [建立虛擬中樞] 頁面的 [基本] 索引標籤中,完成以下欄位:
- 區域:選取您要在其中部署虛擬中樞的區域。
- 名稱:您希望虛擬中樞顯示的名稱。
- 中樞私人位址空間:採用 CIDR 標記法的中樞位址範圍。 最小位址空間是 /24 以便建立中樞。
- 虛擬中樞容量:從下拉式清單中選取。 如需詳細資訊,請參閱虛擬中樞設定。
- 中樞路由喜好設定:保留為預設值。 如需詳細資訊,請參閱虛擬中樞路由偏好設定。
點對站頁面
按一下 [點對站] 索引標籤,以開啟點對站的設定頁面。 若要檢視點對站設定,請按一下 [是]。
設定下列設定:
閘道縮放單位 - 代表使用者 VPN 閘道的彙總容量。 如果您選取 40 個或以上的閘道縮放單位,請據此規劃您的用戶端位址集區。 如需這個設定會如何影響用戶端位址集區的詳細資訊,請參閱關於用戶端位址集區。 如需閘道縮放單位的詳細資訊,請參閱常見問題集。
點對站設定:選取您在前一步驟中建立的使用者 VPN 設定。
路由喜好設定:Azure 路由喜好設定可讓您選擇流量在 Azure 與網際網路之間的路由方式。 您可以選擇透過 Microsoft 網路或經由 ISP 網路 (公用網際網路) 來路由傳送流量。 這些選項也分別稱為冷馬鈴薯路由和熱馬鈴薯路由。 虛擬 WAN 中的公用 IP 位址會由服務根據選取的路由選項指派。 如需透過 Microsoft 網路或 ISP 的路由喜好設定詳細資訊,請參閱路由喜好設定一文。
使用遠端/內部部署 RADIUS 伺服器 - 虛擬 WAN 使用者 VPN 閘道設為使用 RADIUS 型驗證時,使用者 VPN 閘道會當作 Proxy 使用,並將 RADIUS 存取要求傳送至您的 RADIUS 伺服器。 [使用遠端/內部部署 RADIUS 伺服器] 設定預設為停用,這表示使用者 VPN 閘道只能將驗證要求轉送到虛擬網路 (與閘道中樞相連接) 中的 RADIUS 伺服器。 啟用設定可讓使用者 VPN 閘道向連線至遠端中樞或內部部署的 RADIUS 伺服器進行驗證。
注意
只有在閘道設定為使用 RADIUS 驗證時,才會使用遠端/內部部署 RADIUS 伺服器設定和相關的 Proxy IP。 如果閘道未設定為使用 RADIUS 驗證,將會忽略此設定。
如果使用者將連線至全域 VPN 設定檔,而不是中樞型設定檔,則您必須開啟 [使用遠端/內部部署 RADIUS 伺服器]。 如需詳細資訊,請參閱全域和中樞層級設定檔。
建立使用者 VPN 閘道之後,請移至閘道,並記下 [RADIUS Proxy IP] 欄位。 RADIUS Proxy IP 是使用者 VPN 閘道傳送至 RADIUS 伺服器的 RADIUS 封包的來源 IP。 因此,您的 RADIUS 伺服器必須設定為接受來自 RADIUS Proxy IP 的驗證要求。 如果 RADIUS Proxy IP 欄位空白或值為 none,請將 RADIUS 伺服器設定為接受來自中樞位址空間的驗證要求。
此外,針對裝載了 RADIUS 伺服器的連線 (VNet 或內部部署),請務必確認其關聯和傳播已設為傳播至中樞的 defaultRouteTable (使用點對站 VPN 閘道部署);而點對站 VPN 設定會傳播至裝載 RADIUS 伺服器的連線路由表。 這是確保閘道可以與 RADIUS 伺服器通訊的必要程序,反之亦然。
用戶端位址集區 - 系系統會自動將 IP 位址指派給 VPN 用戶端的位址集區。 位址集區不得重複。 位址集區之間不得重疊。 如需詳細資訊,請參閱關於用戶端位址集區。
自訂 DNS 伺服器 - 用戶端將使用的 DNS 伺服器 IP 位址。 最多可以指定 5 個。
選取 [檢閱 + 建立] 以驗證您的設定。
通過驗證後,選取 [建立]。 建立中樞可能需要 30 分鐘或更長時間才能完成。
當您建立新的中樞時,您可能會在入口網站中注意到參考了路由器版本的警告訊息。 當路由器正在佈建時,有時會發生這種情況。 一旦路由器佈建完畢,就不會再出現訊息。
產生用戶端設定檔
當使用使用者 VPN (P2S) 連線至 VNet 時,您可以使用原生安裝在所要連線作業系統上的 VPN 用戶端。 VPN 用戶端的所有必要設定都會包含在 VPN 用戶端設定 ZIP 檔案中。 ZIP 檔案中的設定可以協助您輕鬆地設定 VPN 用戶端。 您產生的 VPN 用戶端設定檔是您閘道的使用者 VPN 設定專用。 在本節中,您會產生並下載用來設定 VPN 用戶端的檔案。
您可以下載兩種不同的組態設定檔類型:全域和中樞。 全域設定檔 WAN 層級組態設定檔。 當下載 WAN 層級組態設定檔時,您會取得以內建流量管理員為基礎的使用者 VPN 設定檔。 當使用全域設定檔時,如果因為某些原因而無法使用中樞,服務所提供的內建流量管理可確保透過不同中樞連線至點對站使用者的 Azure 資源連線。 如需詳細資訊或下載中樞層級設定檔 VPN 用戶端組態套件,請參閱全域和中樞設定檔。
若要產生 WAN 層級全域設定檔 VPN 用戶端設定套件,請前往 [虛擬 WAN] (而非虛擬中樞)。
在左窗格中,選取 [使用者 VPN 設定]。
選取您要下載其設定檔的設定。 如果您有多個中樞指派給相同的設定檔,請展開設定檔以顯示中樞,然後選取其中一個使用此設定檔的中樞。
選取 [下載虛擬 WAN 使用者 VPN 設定檔]。
在下載頁面上選取 [EAPTLS],然後選取 [產生並下載設定檔]。 設定檔套件 (ZIP 檔案) 包含會產生並下載到您電腦中的用戶端組態設定。 套件的內容取決於您為設定選擇的驗證和通道。
設定 VPN 用戶端
使用下載的設定檔套件,在電腦上設定原生 VPN 用戶端。 每個作業系統的程序各不相同。 依照您的系統適用的指示進行。 完成用戶端的設定之後,您就可以連線。
IKEv2
在 [使用者 VPN 設定] 中,若已指定 IKEv2 VPN 通道類型,您可以設定原生 VPN 用戶端 (Windows 和 macOS Catalina 或更新版本)。
下列步驟適用於 Windows。 針對 macOS,請參閱 IKEv2-macOS 步驟。
選取 Windows 電腦架構所對應的 VPN 用戶端組態檔。 若是 64 位元的處理器架構,請選擇 'VpnClientSetupAmd64' 安裝程式套件。 若是 32 位元的處理器架構,請選擇 'VpnClientSetupX86' 安裝程式套件。
對套件按兩下來加以安裝。 如果您看到 SmartScreen 快顯視窗,請選取 [更多資訊],然後選取 [仍要執行]。
在用戶端電腦上,瀏覽至網路設定,然後按一下 [VPN]。 VPN 連線會顯示其連線的虛擬網路名稱。
透過此使用者 VPN 設定,在所要連線的每部電腦上安裝用戶端憑證。 使用原生 Azure 憑證驗證類型時,必須提供用戶端憑證才能通過驗證。 如需有關產生憑證的詳細資訊,請參閱產生憑證。 如需有關如何安裝用戶端憑證的資訊,請參閱安裝用戶端憑證。
OpenVPN
在 [使用者 VPN 設定] 中,若已指定 OpenVPN 通道類型,您可以下載並設定 Azure VPN 用戶端,或在某些情況下,您可以使用 OpenVPN 用戶端軟體。 如需步驟,請使用對應至設定的連結。
- Microsoft Entra 驗證 - Azure VPN 用戶端 - Windows
- Microsoft Entra 驗證 - Azure VPN 用戶端 - macOS
- 設定 OpenVPN 用戶端軟體 - Windows、macOS、iOS、Linux
將 VNet 連線至中樞
在本節中,您會建立虛擬中樞與虛擬網路之間的連線。 針對本教學課程,您不需要進行這些路由設定。
在 Azure 入口網站中前往 [虛擬 WAN],並在左窗格中選取 [虛擬網路連線]。
在 [虛擬網路連線] 頁面上,選取 [+ 新增連線]。
在 [新增連線] 頁面上,進行連線設定。 如需路由設定的資訊,請參閱關於路由。
- 連線名稱:命名您的連線。
- 中樞:選取要與此連線產生關聯的中樞。
- 訂用帳戶:請確認訂用帳戶。
- 資源群組:選取包含您要連線之虛擬網路的資源群組。
- 虛擬網路:選取要與此中樞連線的虛擬網路。 您選取的虛擬網路不能有現有的虛擬網路閘道。
- 傳播到無:這會根據預設設為 [否]。 將開關變更為 [是],可讓 [傳播到路由表] 和 [傳播到標籤] 的設定選項無法用於設定。
- 為路由表建立關聯:您可以從下拉式清單中選取您想要建立關聯的路由表。
- 傳播至標籤:標籤是路由表的邏輯群組。 針對此設定,從下拉式清單中進行選取。
- 靜態路由:視需要設定靜態路由。 設定網路虛擬設備的靜態路由 (若適用)。 虛擬 WAN 支援虛擬網路連線中靜態路由的單一下一個躍點 IP。 例如,如果您有用於輸入和輸出流量的個別虛擬設備,則最好讓虛擬設備位於個別的 VNet 中,並將 VNet 連結至虛擬中樞。
- 略過此 VNet 內工作負載的下一個躍點 IP:此設定可讓您將 NVA 和其他工作負載部署到相同的 VNet,而不會強制所有流量通過 NVA。 只有在您設定新的連線時,才能進行此設定。 如果您想要針對已建立的連線使用此設定,請刪除連線,然後新增連線。
- 傳播靜態路由:目前即將推出此設定。此設定可讓您將 [靜態路由] 區段中定義的靜態路由,傳播至 [傳播至路由表] 中指定的路由表。 此外,針對具有已指定為 [傳播至標籤] 標籤的路由表,路由也會傳播至此路由表。 這些路由可以跨中樞傳播,但預設路由 0/0 除外。 本功能正在推出中。如果您需要啟用此功能,請開啟支援案例
完成您想要的設定後,請按一下 [建立] 以建立連線。
點對站工作階段儀表板
若要檢視作用中點對站工作階段,請按一下 [點對站工作階段]。 這會顯示所有連線至使用者 VPN 閘道的作用中點對站使用者。
若要中斷使用者與使用者 VPN 閘道的連線,請按一下捷徑功能表,然後按一下 [中斷連線]。
修改設定
修改用戶端位址集區
瀏覽至您的虛擬中樞 -> 使用者 VPN (點對站)。
按一下閘道縮放單位旁的值,即可開啟 [編輯使用者 VPN 閘道] 頁面。
在 [編輯使用者 VPN 閘道] 頁面上編輯此設定。
按一下頁面底部的 [編輯],即可驗證您的設定。
按一下 [確認] 即可儲存設定。 在此頁面上進行的任何變更可能最多需要 30 分鐘才能完成。
修改 DNS 伺服器
瀏覽至您的虛擬中樞 -> 使用者 VPN (點對站)。
按一下自訂 DNS 伺服器旁的值,即可開啟 [編輯使用者 VPN 閘道] 頁面。
在 [編輯使用者 VPN 閘道] 頁面上編輯 [自訂 DNS 伺服器] 欄位。 在 [自訂 DNS 伺服器] 文字方塊中輸入 DNS 伺服器 IP 位址。 您最多可以指定五部 DNS 伺服器。
按一下頁面底部的 [編輯],即可驗證您的設定。
按一下 [確認] 即可儲存設定。 在此頁面上進行的任何變更可能最多需要 30 分鐘才能完成。
清除資源
當您不再需要您所建立的資源時,請將其刪除。 由於相依性,某些虛擬 WAN 資源必須依特定順序刪除。 刪除需要大約 30 分鐘才能完成。
開啟您建立的虛擬 WAN。
選取與虛擬 WAN 相關聯的虛擬中樞,以開啟中樞頁面。
依照下列順序刪除每個閘道類型的所有閘道實體。 這項作業可能需要 30 分鐘的時間來完成。
VPN:
- 中斷與 VPN 站點的連線
- 刪除 VPN 連線
- 刪除 VPN 閘道
ExpressRoute:
- 刪除 ExpressRoute 連線
- 刪除 ExpressRoute 閘道
針對與虛擬 WAN 相關聯的所有中樞重複這些動作。
您可以在此時刪除中樞,或在稍後刪除資源群組時刪除中樞。
在 Azure 入口網站中前往資源群組。
選取 [刪除資源群組]。 這會刪除資源群組中的其他資源,包括中樞和虛擬 WAN。