Что такое ad в впн
Перейти к содержимому

Что такое ad в впн

  • автор:

Настройка подключения «точка — сеть» к виртуальной сети с использованием проверки подлинности RADIUS: PowerShell

В этой статье описано, как создать виртуальную сеть с подключением «точка — сеть» (P2S) с использованием проверки подлинности RADIUS. Эта конфигурация доступна только для модели развертывания Resource Manager. Ее можно создать с помощью PowerShell или портала Azure.

VPN-шлюз «точка — сеть» (P2S) позволяет создать безопасное подключение к виртуальной сети с отдельного клиентского компьютера. Так вы можете подключиться к виртуальной сети из удаленного расположения, например, если вы работаете из дома или участвуете в конференции. Такая конфигурация также эффективна для использования вместо VPN-подключения «сеть — сеть» при наличии небольшого количества клиентов, которым требуется подключение к виртуальной сети.

VPN-подключение «точка — сеть» устанавливается на устройствах Windows и Mac. Эта статья поможет вам настроить конфигурацию P2S, которая использует сервер RADIUS для проверки подлинности. См. сведения о выполнении проверки подлинности с помощью другого метода:

  • Проверка подлинности сертификата
  • Проверка подлинности Microsoft Entra

Для подключения P2S не требуется VPN-устройство или общедоступный IP-адрес. P2S создает VPN-подключение по протоколу SSTP (Secure Socket Tunneling Protocol), OpenVPN или IKEv2.

  • SSTP — это VPN-туннель на основе TLS, который поддерживается только на клиентских платформах Windows. Он может проходить через брандмауэры, что делает его отличным вариантом для подключения устройств Windows к Azure из любого расположения. На стороне сервера поддерживается только протокол TLS версии 1.2. Для повышения производительности, масштабируемости и безопасности рекомендуется использовать протокол OpenVPN.
  • Протокол OpenVPN® — это VPN-протокол на основе SSL/TLS. Это решение для VPN-подключений на основе TLS позволяет проходить через брандмауэры, так как большинство брандмауэров открывают для исходящего трафика TCP-порт 443, которым пользуется TLS. OpenVPN можно использовать для подключения с устройств Android, iOS (начиная с версии 11.0), Windows, Linux и Mac (macOS, начиная с версии 10.13).
  • IKEv2 VPN — решение VPN на основе стандартов IPsec. VPN IKEv2 можно использовать для подключения с устройств Windows, Linux и Mac (macOS версии 10.11 и выше).

Для этой конфигурации требуется следующее:

  • VPN-шлюз с маршрутизацией на основе маршрутов.
  • Сервер RADIUS для аутентификации пользователей. Сервер RADIUS можно развернуть локально или в виртуальной сети Azure. Можно также настроить два сервера RADIUS для обеспечения высокой доступности.
  • Пакет конфигурации профиля VPN-клиента. Пакет конфигурации профиля клиента VPN — это пакет, который вы создаете. Он предоставляет параметры, необходимые для подключения P2S VPN-клиента.

Сведения об аутентификации домена Active Directory (AD) для VPN-подключений типа «точка — сеть»

Если используется аутентификация домена AD, пользователи могут входить в Azure с помощью учетных данных домена организации. Для этой проверки требуется сервер RADIUS, который интегрирован с сервером AD. Организации могут также использовать существующие серверы RADIUS.

Сервер RADIUS можно развернуть локально или в виртуальной сети Azure. Во время аутентификации VPN-шлюз выступает в качестве транзитного и переадресовывает сообщения аутентификации между сервером RADIUS и подключаемым устройством. Очень важно, чтобы VPN-шлюз мог связаться с сервером RADIUS. Если сервер RADIUS развернут локально, требуется VPN-подключение «сеть — сеть» между Azure и локальной сетью.

Сервер RADIUS можно интегрировать не только с Active Directory, но и с другими системами внешних идентификаторов. Благодаря этому доступно множество вариантов проверки подлинности для P2S VPN, включая параметры MFA. Список систем идентификаторов для интеграции см. в документации поставщика сервера RADIUS.

Diagram of RADIUS authentication P2S connection.

С локальным сервером RADIUS можно установить только VPN-подключение «сеть — сеть». Подключение ExpressRoute использовать нельзя.

Подготовка

Убедитесь в том, что у вас уже есть подписка Azure. Если у вас нет подписки Azure, вы можете активировать преимущества для подписчиков MSDN или зарегистрировать бесплатную учетную запись.

Работа с Azure PowerShell

В этой статье используются командлеты PowerShell. Для запуска командлетов можно использовать Azure Cloud Shell. Cloud Shell — это бесплатная интерактивная оболочка, с помощью которой можно выполнять действия, описанные в этой статье. Она включает предварительно установленные общие инструменты Azure и настроена для использования с вашей учетной записью.

Чтобы открыть Cloud Shell, просто выберите Open Cloudshell в правом верхнем углу блока кода. Кроме того, Cloud Shell можно открыть в отдельной вкладке браузера. Для этого перейдите на страницу https://shell.azure.com/powershell. Нажмите кнопку Копировать, чтобы скопировать блоки кода. Вставьте их в Cloud Shell и нажмите клавишу ВВОД, чтобы выполнить код.

Кроме того, вы можете установить и запускать командлеты Azure PowerShell локально на компьютере. Командлеты PowerShell часто обновляются. Если вы не установили последнюю версию, значения, указанные в инструкциях, могут завершиться ошибкой. Чтобы узнать, какая версия Azure PowerShell установлена на вашем компьютере, используйте командлет Get-Module -ListAvailable Az . Если необходимо выполнить установку или обновление, см. статью об установке модуля Azure PowerShell.

Пример значений

Эти примеры значений можно использовать для создания тестовой среды или анализа примеров из этой стать. Вы можете использовать эти пошаговые инструкции, используя указанные в них значения, или же изменить значения в соответствии со своей средой.

  • Имя: VNet1
  • Адресное пространство: 10.1.0.0/16 и 10.254.0.0/16.
    Чтобы продемонстрировать, что эта конфигурация будет работать с несколькими адресными пространствами, в этом примере мы используем несколько адресных пространств. Но для этой конфигурации не требуется несколько адресных пространств.
  • Имя подсети: FrontEnd.
    • Адресное пространство подсети: 10.1.0.0/24.
    • Диапазон адресов подсети: 10.254.1.0/24.
    • Диапазон адресов подсети шлюза: 10.1.255.0/27.

    1. Задание переменных

    Объявите переменные, которые вы хотите использовать. Используйте следующий пример, подставив собственные значения в соответствующих параметрах. Если вы закроете сеанс PowerShell/Cloud Shell в любой момент во время упражнения, просто скопируйте и снова вставьте значения, чтобы повторно объявить переменные.

    $VNetName = "VNet1" $FESubName = "FrontEnd" $BESubName = "Backend" $GWSubName = "GatewaySubnet" $VNetPrefix1 = "10.1.0.0/16" $VNetPrefix2 = "10.254.0.0/16" $FESubPrefix = "10.1.0.0/24" $BESubPrefix = "10.254.1.0/24" $GWSubPrefix = "10.1.255.0/27" $VPNClientAddressPool = "172.16.201.0/24" $RG = "TestRG1" $Location = "East US" $GWName = "VNet1GW" $GWIPName = "VNet1GWPIP" $GWIPconfName = "gwipconf1"

    2. Создание группы ресурсов, виртуальной сети и общедоступного IP-адреса

    Выполните инструкции ниже, чтобы создать группу ресурсов и виртуальную сеть в группе ресурсов с тремя подсетями. При замене значений важно, чтобы вы назвали подсеть шлюза именем GatewaySubnet. Если вы используете другое имя, создание шлюза завершится сбоем.

      Создать группу ресурсов.

    New-AzResourceGroup -Name "TestRG1" -Location "East US" 
    $fesub = New-AzVirtualNetworkSubnetConfig -Name "FrontEnd" -AddressPrefix "10.1.0.0/24" $besub = New-AzVirtualNetworkSubnetConfig -Name "Backend" -AddressPrefix "10.254.1.0/24" $gwsub = New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix "10.1.255.0/27" 
    New-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG1" -Location "East US" -AddressPrefix "10.1.0.0/16","10.254.0.0/16" -Subnet $fesub, $besub, $gwsub -DnsServer 10.2.1.3 
    $vnet = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG1" $subnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet $pip = New-AzPublicIpAddress -Name "VNet1GWPIP" -ResourceGroupName "TestRG1" -Location "East US" -AllocationMethod Dynamic $ipconf = New-AzVirtualNetworkGatewayIpConfig -Name "gwipconf1" -Subnet $subnet -PublicIpAddress $pip

    3. Настройка сервера RADIUS

    Прежде чем создавать и настраивать шлюз виртуальной сети, необходимо правильно настроить сервер RADIUS для проверки подлинности.

    1. Если вы еще не развернули сервер RADIUS, сделайте это. Инструкции по развертыванию см. в руководстве по установке, которое предоставлено поставщиком RADIUS.
    2. Настройте VPN-шлюз как клиент RADIUS на сервере RADIUS. При добавлении клиента RADIUS укажите подсеть шлюза виртуальной сети, которую вы создали.
    3. После настройки сервера RADIUS получите его IP-адрес и общий секрет, который клиенты RADIUS будут использовать для обмена данными с сервером RADIUS. Если сервер RADIUS находится в виртуальной сети Azure, используйте IP-адрес центра сертификации виртуальной машины сервера RADIUS.

    Статья Сервер политики сети (NPS) содержит сведения о настройке сервера RADIUS (NPS) под управлением Windows для аутентификации домена AD.

    4. Создание VPN-шлюза

    Настройте и создайте VPN-шлюз для своей виртуальной сети.

    • Параметру -GatewayType должно быть задано значение «Vpn», а параметру -VpnType — «RouteBased».
    • Создание VPN-шлюза может занять 45 минут и более в зависимости от выбранного номера SKU шлюза.
    New-AzVirtualNetworkGateway -Name $GWName -ResourceGroupName $RG ` -Location $Location -IpConfigurations $ipconf -GatewayType Vpn ` -VpnType RouteBased -EnableBgp $false -GatewaySku VpnGw1

    5. Добавление пула адресов сервера и клиента RADIUS

    • -RadiusServer можно указать с помощью имени или IP-адреса. Если вы укажете имя и сервер находится в локальной среде, VPN-шлюз может не разрешить имя. В таком случае рекомендуем указать IP-адрес сервера.
    • Параметр -RadiusSecret должен соответствовать настроенному параметру на сервере RADIUS.
    • -VpnClientAddressPool — это диапазон, из которого VPN-клиенты будут получать IP-адреса при подключении. Используйте диапазон частных IP-адресов, который не пересекается с локальным расположением, из которого выполнено подключение, или с виртуальной сетью, к которой вы хотите подключиться. Настройте достаточное количество адресов в пуле.
    $Secure_Secret=Read-Host -AsSecureString -Prompt "RadiusSecret" 
    RadiusSecret:*** 
    $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway ` -VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "SSTP" ` -RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret

    Для конфигураций OpenVPN®:

    $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -VpnClientRootCertificates @() Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway ` -VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "OpenVPN" ` -RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret

    Для конфигураций IKEv2:

    $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway ` -VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "IKEv2" ` -RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret

    Для конфигураций SSTP и IKEv2:

    $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway ` -VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol @( "SSTP", "IkeV2" ) ` -RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret

    Чтобы указать два сервера RADIUS, используйте следующий синтаксис. При необходимости измените значение параметра -VpnClientProtocol

    $radiusServer1 = New-AzRadiusServer -RadiusServerAddress 10.1.0.15 -RadiusServerSecret $radiuspd -RadiusServerScore 30 $radiusServer2 = New-AzRadiusServer -RadiusServerAddress 10.1.0.16 -RadiusServerSecret $radiuspd -RadiusServerScore 1 $radiusServers = @( $radiusServer1, $radiusServer2 ) Set-AzVirtualNetworkGateway -VirtualNetworkGateway $actual -VpnClientAddressPool 201.169.0.0/16 -VpnClientProtocol "IkeV2" -RadiusServerList $radiusServers

    6. Настройка клиента VPN и подключение

    Пакеты конфигурации профиля VPN-клиента содержат параметры, которые помогают настроить профили VPN-клиента для подключения к виртуальной сети Azure.

    См. сведения о создании пакета конфигурации VPN-клиента и настройке VPN-клиента:

    • RADIUS — проверка подлинности на основе сертификата для VPN-клиента
    • RADIUS — проверка подлинности на основе пароля для VPN-клиентов
    • RADIUS — другие методы проверки подлинности для VPN-клиентов

    После настройки клиента VPN установите подключение к Azure.

    Проверка подключения

    1. Чтобы проверить, активно ли VPN-подключение, откройте окно командной строки от имени администратора и выполните команду ipconfig/all.
    2. Просмотрите результаты. Обратите внимание, что полученный вами IP-адрес — это один из адресов в пуле адресов VPN-клиента подключения P2S, указанном в конфигурации. Вы должны увидеть результат, аналогичный приведенному ниже.
    PPP adapter VNet1: Connection-specific DNS Suffix .: Description. VNet1 Physical Address. DHCP Enabled. No Autoconfiguration Enabled. Yes IPv4 Address. 172.16.201.3(Preferred) Subnet Mask. 255.255.255.255 Default Gateway. NetBIOS over Tcpip. Enabled

    Устранение неполадок подключения типа «точка — сеть» описывается в разделе Устранение неполадок подключения типа «точка — сеть» Azure.

    Подключение к виртуальной машине

    Вы можете подключиться к виртуальной машине, развернутой в виртуальной сети, создав Подключение удаленного рабочего стола на виртуальной машине. Лучший способ проверить, можете ли вы подключиться к своей виртуальной машине, — подключиться, используя частный IP-адрес, а не имя компьютера. Таким образом, вы проверяете, можете ли вы подключиться, а не правильно ли настроено разрешение имен.

    1. Найдите частный IP-адрес. Частный IP-адрес виртуальной машины можно найти, просматривая свойства виртуальной машины в портал Azure или с помощью PowerShell.
    2. портал Azure. Найдите виртуальную машину в портал Azure. Просмотрите свойства виртуальной машины. Там будет указан частный IP-адрес.
    3. PowerShell. Используйте пример для просмотра списка виртуальных машин и частных IP-адресов из групп ресурсов. Вам не нужно изменять этот пример перед использованием.

    $VMs = Get-AzVM $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null foreach ($Nic in $Nics)

    Если у вас возникли проблемы с подключением к виртуальной машине через VPN-подключение, проверка следующие моменты:

    • Убедитесь, что вы используете активное VPN-подключение.
    • Убедитесь, что подключаетесь к частному IP-адресу виртуальной машины.
    • Если вы можете подключиться к виртуальной машине с помощью частного IP-адреса, но не имени компьютера, убедитесь, что dns настроен правильно. Дополнительные сведения о том, как работает разрешение имен для виртуальных машин, см. в разделе «Разрешение имен» для виртуальных машин.
    • Убедитесь, что пакет конфигурации VPN-клиента был создан после IP-адресов DNS-сервера, заданных для виртуальной сети. Если вы обновили IP-адреса DNS-сервера, создайте и установите новый пакет конфигурации VPN-клиента.
    • Используйте ipconfig, чтобы проверить IPv4-адрес, назначенный Ethernet-адаптеру на компьютере, с которого выполняется подключение. Если IP-адрес находится в диапазоне адресов виртуальной сети, к которой выполняется подключение, или в диапазоне адресов VPNClientAddressPool, адресное пространство перекрывается. В таком случае сетевой трафик не достигает Azure и остается в локальной сети.

    Вопросы и ответы

    Ответы на часто задаваемые вопросы см. в разделе «Точка — сеть» — проверка подлинности RADIUS.

    Следующие шаги

    Установив подключение, можно добавить виртуальные машины в виртуальные сети. Дополнительные сведения о виртуальных машинах см. здесь. Дополнительные сведения о сетях и виртуальных машинах см. в статье Azure и Linux: обзор сетей виртуальных машин.

    Сведения о VPN-подключениях типа «точка — сеть»

    Подключение типа «точка — сеть» через VPN-шлюз позволяет создать безопасное подключение к виртуальной сети с отдельного клиентского компьютера. Подключение P2S сначала устанавливается на клиентском компьютере. Это эффективное решение для сотрудников, которым нужно подключаться к виртуальным сетям Azure из удаленного расположения, например, если они находятся дома или на конференции. Такую конфигурацию также удобно использовать вместо VPN-подключения типа «сеть — сеть» при наличии небольшого числа клиентов, которым требуется подключение к виртуальной сети. Эта статья посвящена модели развертывания Resource Manager.

    Какой протокол используется при подключении «точка — сеть»?

    В VPN-подключении «точка — сеть» может использоваться один из следующих протоколов:

    • Протокол OpenVPN® — это VPN-протокол на основе SSL/TLS. Это решение для VPN-подключений на основе TLS позволяет проходить через брандмауэры, так как большинство брандмауэров открывают для исходящего трафика TCP-порт 443, которым пользуется TLS. OpenVPN можно использовать для подключения с устройств Android, iOS (начиная с версии 11.0), Windows, Linux и Mac (macOS, начиная с версии 10.13).
    • SSTP (Secure Socket Tunneling Protocol) — проприетарный VPN-протокол на основе TLS. Это решение для VPN-подключений на основе TLS позволяет проходить через брандмауэры, так как большинство брандмауэров открывают для исходящего трафика TCP-порт 443, которым пользуется TLS. Протокол SSTP поддерживается только на устройствах Windows. Azure поддерживает все версии Windows с протоколом SSTP и поддержкой протокола TLS 1.2 (Windows 8.1 и более поздние версии).
    • IKEv2 VPN — решение VPN на основе стандартов IPsec. IKEv2 VPN можно использовать для подключения с устройств Mac (macOS версии 10.11 и выше).

    Протоколы IKEv2 и OpenVPN для подключений типа «точка — сеть» доступны только для модели развертывания с использованием Resource Manager. Они недоступны для классической модели развертывания.

    Как выполняется аутентификация VPN-клиентов при подключениях типа «точка — сеть»?

    Прежде чем Azure примет VPN-подключение «точка — сеть», пользователь сначала должен пройти аутентификацию. В Azure существует два механизма для аутентификации подключающегося пользователя.

    Проверка подлинности на основе сертификата

    При использовании собственной аутентификации Azure на основе сертификата подключающийся пользователь проверяется с помощью сертификата клиента на устройстве. Сертификаты клиентов создаются из доверенного корневого сертификата и устанавливается на каждом клиентском компьютере. Можно использовать корневой сертификат, созданный с помощью корпоративного решения, или создать самозаверяющий сертификат.

    Проверка сертификатов клиентов выполняется VPN-шлюзом, когда устанавливается VPN-подключение «точка — сеть». Для проверки требуется корневой сертификат, который следует передать в Azure.

    Проверка подлинности Microsoft Entra

    Проверка подлинности Microsoft Entra позволяет пользователям подключаться к Azure с помощью учетных данных Microsoft Entra. Встроенная проверка подлинности Microsoft Entra поддерживается только для протокола OpenVPN, а также требует использования VPN-клиента Azure. Поддерживаемые клиентские операционные системы — Windows 10 или более поздней версии и macOS.

    С помощью собственной проверки подлинности Microsoft Entra можно использовать функции условного доступа Microsoft Entra и многофакторной проверки подлинности (MFA) для VPN.

    На высоком уровне необходимо выполнить следующие действия, чтобы настроить проверку подлинности Microsoft Entra:

    1. Настройка клиента Microsoft Entra
    2. Включение проверки подлинности Microsoft Entra в шлюзе
    3. Загрузите последнюю версию установочных файлов VPN-клиента Azure, используя одну из следующих ссылок:
      • Выполните установку с использованием установочных файлов клиента: https://aka.ms/azvpnclientdownload.
      • Установите напрямую после входа на клиентский компьютер: Microsoft Store.

    Доменный сервер Active Directory (AD)

    Аутентификация домена AD позволяет пользователям подключаться к Azure с помощью учетных данных домена организации. Для этой проверки требуется сервер RADIUS, который интегрирован с сервером AD. Организации также могут использовать существующее развертывание RADIUS.

    Сервер RADIUS можно развернуть локально или в виртуальной сети Azure. Во время аутентификации VPN-шлюз Azure выполняет роль транзитного шлюза и переадресовывает сообщения аутентификации между сервером RADIUS и подключаемым устройством. Поэтому необходимо обеспечить доступность сервера RADIUS для шлюза. Если сервер RADIUS развернут локально, то для обеспечения доступности требуется VPN-подключение «сеть — сеть» из Azure к локальному сайту.

    Сервер RADIUS также можно интегрировать со службами сертификации AD. Эта интеграция позволяет использовать развернутый сервер RADIUS с корпоративным сертификатом для аутентификации сертификата подключения «точка — сеть» вместо аутентификации Azure на основе сертификата. Преимущество этой аутентификации заключается в том, что не нужно передавать в Azure корневые сертификаты и отмененные сертификаты.

    Сервер RADIUS также можно интегрировать с другими системами внешних идентификаторов. Благодаря этой возможности для VPN-подключений «точка — сеть» доступно множество вариантов аутентификации, в том числе и варианты многофакторной аутентификации.

    Diagram that shows a point-to-site VPN with an on-premises site.

    Каковы требования к конфигурации клиента?

    Требования к конфигурации клиента зависят от используемого VPN-клиента, типа проверки подлинности и протокола. В следующей таблице показаны доступные клиенты и соответствующие статьи для каждой конфигурации.

    Проверка подлинности Тип туннеля Создание файлов конфигурации Настройка VPN-клиента
    Сертификат Azure IKEv2, SSTP Windows Собственный VPN-клиент
    Сертификат Azure OpenVPN Windows — Клиент OpenVPN
    — VPN-клиент Azure
    Сертификат Azure IKEv2, OpenVPN macOS-iOS macOS-iOS
    Сертификат Azure IKEv2, OpenVPN Linux Linux
    Microsoft Entra ID OpenVPN (SSL) Windows Windows
    Microsoft Entra ID OpenVPN (SSL) macOS macOS
    RADIUS — сертификат Статья Статья
    RADIUS — пароль Статья Статья
    RADIUS — другие методы Статья Статья

    Начиная с 1 июля 2018 года прекращается поддержка TLS 1.0 и TLS 1.1 в VPN-шлюзе Azure. VPN-шлюз будет поддерживать только TLS 1.2. Затрагиваются только подключения «точка — сеть», но не подключения «сеть — сеть». Если вы используете TLS для VPN-подключений «точка — сеть» на клиентах с Windows 10 или более поздней версии, никаких действий не требуется. Если вы используете TLS для подключений «точка — сеть» клиентов с Windows 7 и Windows 8, обратитесь к разделу VPN-шлюз: вопросы и ответы за инструкциями по обновлению.

    Какие номера SKU шлюза поддерживают VPN-подключение «точка — сеть»?

    В следующей таблице показаны номера SKU шлюза по туннелям, подключению и пропускной способности. Дополнительные таблицы и дополнительные сведения об этой таблице см. в разделе SKU шлюза статьи о параметрах VPN-шлюз.

    VPN
    Шлюз
    Поколение    		 SKU Подключение «сеть — сеть» или «виртуальная сеть — виртуальная сеть»
    Туннели    		 Подключение «точка — сеть»
    Подключения SSTP    		 Подключение «точка — сеть»
    Подключения IKEv2/OpenVPN    		 Агрегат
    Тест пропускной способности    		 BGP Избыточность между зонами Поддерживаемая численность виртуальных машин в виртуальная сеть
    Поколение1 Базовая Макс. 10 Макс. 128 Не поддерживается 100 Мбит/с Не поддерживается No 200
    Поколение1 VpnGw1 Макс. 30 Макс. 128 Макс. 250 650 Мбит/с Поддерживается No 450
    Поколение1 VpnGw2 Макс. 30 Макс. 128 Макс. 500 1 Гбит/с Поддерживается No 1300
    Поколение1 VpnGw3 Макс. 30 Макс. 128 Макс. 1000 1,25 Гбит/с Поддерживается No 4000
    Поколение1 VpnGw1AZ Макс. 30 Макс. 128 Макс. 250 650 Мбит/с Поддерживается Да 1000
    Поколение1 VpnGw2AZ Макс. 30 Макс. 128 Макс. 500 1 Гбит/с Поддерживается Да 2000
    Поколение1 VpnGw3AZ Макс. 30 Макс. 128 Макс. 1000 1,25 Гбит/с Поддерживается Да 5000
    Поколение2 VpnGw2 Макс. 30 Макс. 128 Макс. 500 1,25 Гбит/с Поддерживается No 685
    Поколение2 VpnGw3 Макс. 30 Макс. 128 Макс. 1000 2,5 Гбит/с Поддерживается No 2240
    Поколение2 VpnGw4 Макс. 100* Макс. 128 Макс. 5000 5 Гбит/с Поддерживается No 5300
    Поколение2 VpnGw5 Макс. 100* Макс. 128 Макс. 10000 10 Гбит/с Поддерживается No 6700
    Поколение2 VpnGw2AZ Макс. 30 Макс. 128 Макс. 500 1,25 Гбит/с Поддерживается Да 2000
    Поколение2 VpnGw3AZ Макс. 30 Макс. 128 Макс. 1000 2,5 Гбит/с Поддерживается Да 3300
    Поколение2 VpnGw4AZ Макс. 100* Макс. 128 Макс. 5000 5 Гбит/с Поддерживается Да 4400
    Поколение2 VpnGw5AZ Макс. 100* Макс. 128 Макс. 10000 10 Гбит/с Поддерживается Да 9000

    Номер SKU «Базовый» имеет ограничения и не поддерживает проверку подлинности IKEv2, IPv6 или RADIUS. Дополнительные сведения см. в статье о параметрах VPN-шлюз.

    Какие политики IKE/IPsec настроены на VPN-шлюзах для подключения «точка — сеть»?

    В таблицах этого раздела показаны значения политик по умолчанию. Однако они не отражают доступные поддерживаемые значения для пользовательских политик. Сведения о пользовательских политиках см . в разделе «Принятые значения «, перечисленные в командлете PowerShell New-AzVpnClientIpsecParameter .

    IKEv2

    Шифр Целостность PRF Группа DH
    GCM_AES256 GCM_AES256 SHA384 GROUP_24
    GCM_AES256 GCM_AES256 SHA384 GROUP_14
    GCM_AES256 GCM_AES256 SHA384 GROUP_ECP384
    GCM_AES256 GCM_AES256 SHA384 GROUP_ECP256
    GCM_AES256 GCM_AES256 SHA256 GROUP_24
    GCM_AES256 GCM_AES256 SHA256 GROUP_14
    GCM_AES256 GCM_AES256 SHA256 GROUP_ECP384
    GCM_AES256 GCM_AES256 SHA256 GROUP_ECP256
    AES256 SHA384 SHA384 GROUP_24
    AES256 SHA384 SHA384 GROUP_14
    AES256 SHA384 SHA384 GROUP_ECP384
    AES256 SHA384 SHA384 GROUP_ECP256
    AES256 SHA256 SHA256 GROUP_24
    AES256 SHA256 SHA256 GROUP_14
    AES256 SHA256 SHA256 GROUP_ECP384
    AES256 SHA256 SHA256 GROUP_ECP256
    AES256 SHA256 SHA256 GROUP_2

    IPsec

    Шифр Целостность Группа PFS
    GCM_AES256 GCM_AES256 GROUP_NONE
    GCM_AES256 GCM_AES256 GROUP_24
    GCM_AES256 GCM_AES256 GROUP_14
    GCM_AES256 GCM_AES256 GROUP_ECP384
    GCM_AES256 GCM_AES256 GROUP_ECP256
    AES256 SHA256 GROUP_NONE
    AES256 SHA256 GROUP_24
    AES256 SHA256 GROUP_14
    AES256 SHA256 GROUP_ECP384
    AES256 SHA256 GROUP_ECP256
    AES256 SHA1 GROUP_NONE

    Какие политики TLS настроены на VPN-шлюзах для подключения «точка — сеть»?

    TLS

    Политики
    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    TLS_RSA_WITH_AES_128_GCM_SHA256
    TLS_RSA_WITH_AES_256_GCM_SHA384
    TLS_RSA_WITH_AES_128_CBC_SHA256
    TLS_RSA_WITH_AES_256_CBC_SHA256

    Как настроить подключение «точка — сеть»?

    Для настройки подключения «точка — сеть» необходимо выполнить ряд определенных действий. В следующих статьях содержатся действия, которые показано, как выполнить общие действия по настройке P2S.

    • Проверка подлинности сертификата
    • Проверка подлинности RADIUS
    • Настройка OpenVPN для подключения «точка — сеть» VPN-шлюза Azure (предварительная версия)

    Удаление конфигурации подключения «точка — сеть»

    Конфигурацию подключения можно удалить с помощью PowerShell или CLI. Примеры см. в разделе часто задаваемых вопросов.

    Как работает маршрутизация P2S

    См. следующие статьи:

    • Сведения о маршрутизации VPN-подключений «точка — сеть»
    • Объявление настраиваемых маршрутов

    Вопросы и ответы

    Существует несколько разделов с часто задаваемыми вопросами о P2S на основе проверки подлинности.

    • Часто задаваемые вопросы: проверка подлинности на основе сертификата.
    • Часто задаваемые вопросы: проверка подлинности RADIUS

    Next Steps

    • Настройка подключения «точка — сеть» — проверка подлинности Azure на основе сертификата
    • Настройка подключения типа «точка — сеть» к виртуальной сети с использованием аутентификации RADIUS и PowerShell

    OpenVPN является товарным знаком OpenVPN Inc.

    Защита удаленного доступа к корпоративной сети с OpenVPN, ActiveDirectory и двухфакторной аутентификацией

    Любой удаленный доступ к конфиденциальным ресурсам должен быть защищен, а именно:

    • необходимо провести строгую аутентификацию пользователя при подключении;
    • необходимо создать зашифрованный канал доступа к сети.

    Для решения этих задач будем использовать связку из трех компонентов:

    1. OpenVPN — широко известный, бесплатный VPN сервер, который создает зашифрованный туннель между пользователем и сервером, что обеспечивает конфиденциальность дистанционной работы.
    2. Active Directory в качестве поставщика учетных записей, чтоб не пришлось дублировать пользователей на сервере OpenVPN и раздавать новые пароли.
    3. Мультифактор для двухфакторной аутентификации.

    Для настройки вам потребуется домен Active Directory, отдельный Linux сервер с установленным OpenVPN и подписка на сервис Мультифактор. Также необходимы минимальные навыки администрирования Linux и Windows серверов.

    Схема работы​

    1. Пользователь подключается к VPN, вводит логин и пароль учетной записи.
    2. OpenVPN по протоколу RADIUS подтверждает корректность логина и пароля в Active Directory.
    3. Мультифактор присылает на телефон пользователя запрос для подтверждения доступа: push в Телеграм или звонок на который необходимо ответить и нажать #.
    4. Пользователь подтверждает запрос и подключается к VPN.

    Настройка Мультифактора​

    Зайдите в систему управления Мультифактором, создайте новый ресурс «OpenVPN». После создания вам будут доступны два параметра: NAS Identifier и Shared Secret они понадобятся для дальнейшей настройки.

    Настройка Active Directory​

    Загрузите и установите компонент Multifactor Radius Adapter. Компонент работает в качестве RADIUS сервера, получает запросы от OpenVPN и проверяет логин и пароль пользователя в домене.

    Параметры компонента​

    Параметры работы компонента хранятся в файле MultiFactor.Radius.Adapter.exe.config в формате XML.

      add key="adapter-server-endpoint" value="192.168.0.1:1812"/>   add key="radius-shared-secret" value=""/>   add key="first-factor-authentication-source" value="ActiveDirectory"/>   add key="active-directory-domain" value="domain.local"/>   add key="active-directory-group" value="VPN Users"/>   add key="multifactor-api-url" value="https://api.multifactor.ru"/>   add key="multifactor-nas-identifier" value=""/>   add key="multifactor-shared-secret" value=""/>

    Запуск компонента​

    Компонент может работать в консольном режиме или в качестве службы Windows. Для запуска в консольном режиме достаточно запустить приложение.

    Для установки, как Windows Service, выполните с ключом /i от имени Администратора

    MultiFactor.Radius.Adapter.exe /i

    Как правильно подключить клиентские компьютеры через vpn к AD?

    На данный момент имею сеовер с AD (ad, dns, dhcp). Внутри сети все работает все отлично! Но есть необходимость подключить к AD несколько удаленных компьютеров. Шлюз микротик, сейчас на нем поднят l2tp+IPSec , на других концах тоже микротики, клиентами. По ip адресам доступ к компам есть , а вот по имени нет. Соответственно, без этого не получается подключить AD. Порты в firewall открыты (необходимые для AD).

    • Вопрос задан более трёх лет назад
    • 4435 просмотров
    Похожие публикации:
    1. Как в ватсапе посмотреть начало переписки
    2. Куда скачивается музыка из яндекс музыка в андроид
    3. Что такое номенклатура в 1с
    4. Что такое размытие миниатюр в xiaomi

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *