設定 P2S VPN 閘道 RADIUS 驗證的伺服器設定

本文可協助您建立使用 RADIUS 驗證的點對站 (P2S) 連線。 您可以擇一使用 PowerShell 或 Azure 入口網站建立此設定。 本文中的步驟適用於主動-主動模式 VPN 閘道和主動-待命模式 VPN 閘道。

當您想要從遠端位置連線到虛擬網路時，P2S VPN 連線很有用，例如當您從家裡或會議進行遠端通訊時。 當您只有少數用戶端需要連線到虛擬網路時，您也可以使用 P2S，而不是站對站 VPN。 P2S 連線不需要 VPN 裝置或公眾對應 IP 位址即可運作。 P2S 有各種不同的設定選項可供使用。 如需點對站 VPN 的詳細資訊，請參閱關於點對站 VPN。

這類連線需要：

• 使用基本 SKU 以外的 VPN 閘道 SKU 的 RouteBased VPN 閘道。
• 用於處理使用者驗證的 RADIUS 伺服器。 RADIUS 伺服器可以部署在內部部署或 Azure 虛擬網路 (VNet) 中。 您也可以設定兩部 RADIUS 伺服器以獲得高可用性。
• VPN 用戶端設定檔組態套件。 VPN 用戶端設定檔群組態套件是您產生的套件。 其中包含 VPN 用戶端透過 P2S 連線所需的設定。

限制：

• 如果您使用 IKEv2 搭配 RADIUS，則僅支援以 EAP 為基礎的驗證。
• ExpressRoute 連線無法用來連線到內部部署 RADIUS 伺服器。

關於適用於 P2S VPN 的 Active Directory (AD) 網域驗證

AD 網域驗證可讓使用者使用其組織網域認證來登入 Azure。 它需要與 AD 伺服器整合的 RADIUS 伺服器。 組織也可以使用其現有 RADIUS 部署。

RADIUS 伺服器可以位於內部部署或 Azure 虛擬網路中。 在驗證期間，VPN 閘道可作為 RADIUS 伺服器與連線裝置之間的通道，在兩者間來回轉送驗證訊息。 務必讓 VPN 閘道能夠連線到 RADIUS 伺服器。 如果 RADIUS 伺服器位於內部部署環境，則需要從 Azure 到內部部署網站的 VPN 站對站連線。

除了 Active Directory，RADIUS 伺服器也可以與其他外部身分識別系統整合。 這會開啟許多 P2S VPN 的驗證選項，包括 MFA 選項。 查閱 RADIUS 伺服器廠商文件，以取得與其整合的身分識別系統清單。

設定 RADIUS 伺服器

設定虛擬網路閘道點對站設定之前，您的RADIUS伺服器必須正確設定以進行驗證。

1. 如果您沒有已部署的 RADIUS 伺服器，請部署一部。 如需部署步驟，請參閱 RADIUS 廠商所提供的設定指南。  
2. 將 VPN 閘道設定為 RADIUS 上的 RADIUS 用戶端。 新增此 RADIUS 用戶端時，指定您所建立的虛擬網路 GatewaySubnet。
3. 設定 RADIUS 伺服器後，請取得 RADIUS 伺服器的 IP 位址和 RADIUS 用戶端應用來與 RADIUS 伺服器通訊的共用祕密。 如果RADIUS伺服器位於 Azure 虛擬網路中，請使用RADIUS伺服器虛擬機的 CA IP。

網路原則伺服器 (NPS) 一文提供有關設定 Windows RADIUS 伺服器 (NPS) 以便進行 AD 網域驗證的指引。

確認您的 VPN 閘道

您必須具有與您想要建立的 P2S 組態相容的路由式 VPN 閘道，以及連線的 VPN 用戶端。 若要協助判斷您需要的 P2S 設定，請參閱 VPN 用戶端資料表。 如果您的閘道使用基本 SKU，請瞭解基本 SKU 有 P2S 限制，且不支援 IKEv2 或 RADIUS 驗證。 如需詳細資訊，請參閱關於閘道 SKU (部分機器翻譯)。

如果您還沒有與您想要建立的 P2S 組態相容的正常 VPN 閘道，請參閱 建立和管理 VPN 閘道。 建立相容的 VPN 閘道，然後返回本文以設定 P2S 設定。

新增 VPN 用戶端位址集區

用戶端位址集區是您指定的私人 IP 位址範圍。 透過點對站 VPN 連線的用戶端會動態收到這個範圍內的 IP 位址。 使用不會重疊的私人 IP 位址範圍搭配您從其連線的內部部署位置，或搭配您要連線至的 VNet。 如果您設定多個通訊協定，且 SSTP 是其中一個通訊協定，則設定的位址集區會平均地在設定的通訊協定之間進行分割。

1. 在 Azure 入口網站中，移至您的 VPN 閘道。

2. 在閘道的頁面上，於左側窗格中，選取 [點對站設定]。

3. 按一下 [立即設定] 以開啟 [組態] 頁面。

   

4. 在 [點對站設定] 頁面上的 [位址集區] 方塊中，新增您要使用的私人 IP 位址範圍。 VPN 用戶端會動態收到您指定範圍內的 IP 位址。 主動/被動設定的最小子網路遮罩為 29 位元，主動/主動設定的最小子網路遮罩為 28 位元。

5. 繼續前往下一節以進行其他設定。

指定通道和驗證類型

在本節中，您會指定通道類型和驗證類型。 這些設定可能會變得複雜。 您可以從下拉式清單中選取包含多個通道類型的選項，例如 IKEv2 和 OpenVPN（SSL） 或 IKEv2 和 SSTP （SSL）。 只有通道類型和驗證類型的特定組合可供使用。

通道類型和驗證類型必須對應至您想要用來連線到 Azure 的 VPN 用戶端軟體。 當您有來自不同作業系統的各種 VPN 用戶端連線時，規劃通道類型和驗證類型很重要。

注意

在 [點對站設定] 頁面上，如果您沒有看到通道類型或驗證類型，表示您的閘道正在使用基本 SKU。 基本 SKU 不支援 IKEv2 或 RADIUS 驗證。 如果您想要使用這些設定，則必須使用不同的閘道 SKU 來刪除並重新建立閘道。

1. 針對 [ 通道類型]，選取您想要使用的通道類型。

2. 針對 [ 驗證類型]，從下拉式清單中選取 [RADIUS 驗證]。

   

新增另一個公用IP位址

如果您有主動-主動模式閘道，您必須指定第三個公用IP位址來設定點對站。 在此範例中，我們會使用範例值 VNet1GWpip3 來建立第三個公用 IP 位址。 如果您的閘道不在主動-主動模式中，則不需要新增另一個公用IP位址。

指定 RADIUS 伺服器

在入口網站中，指定下列設定：

• 主伺服器IP位址
• 主伺服器秘密。 這是RADIUS秘密，必須符合RADIUS伺服器上設定的內容。

選擇性設定：

• 您可以選擇性地指定輔助伺服器 IP 位址和輔助伺服器秘密。 這適用於高可用性案例。
• 要公告的其他路由。 如需此設定的詳細資訊，請參閱 公告自定義路由。

當您完成指定點對站組態時，請選取頁面頂端的 [ 儲存 ]。

設定 VPN 用戶端並連線

VPN 用戶端設定檔元件包含可協助您為 Azure 虛擬網路連線設定 VPN 用戶端設定檔的設定。

若要產生 VPN 用戶端組態套件並設定 VPN 用戶端，請參閱下列其中一篇文章：

• RADIUS - VPN 用戶端的憑證驗證
• RADIUS - VPN 用戶端的密碼驗證
• RADIUS - VPN 用戶端的其他驗證方法

設定 VPN 用戶端之後，請連線到 Azure。

驗證您的連線

1. 若要確認 VPN 連線作用中，請在用戶端電腦上開啟提升許可權的命令提示字元，然後執行 ipconfig/all。

2. 檢視結果。 請注意，您接收到的 IP 位址是您在組態中指定的 P2S VPN 用戶端位址集區中的其中一個位址。 結果類似於此範例：

   PPP adapter VNet1:
      Connection-specific DNS Suffix .:
      Description.....................: VNet1
      Physical Address................:
      DHCP Enabled....................: No
      Autoconfiguration Enabled.......: Yes
      IPv4 Address....................: 172.16.201.3(Preferred)
      Subnet Mask.....................: 255.255.255.255
      Default Gateway.................:
      NetBIOS over Tcpip..............: Enabled
   

如要針對 P2S 進行疑難排解，請參閱針對 Azure 點對站連線進行疑難排解。

常見問題集

如需常見問題資訊，請參閱常見問題的點對站 - RADIUS 驗證一節。

下一步

如需點對站 VPN 的詳細資訊，請參閱關於點對站 VPN。