为 VPN 客户端进行点到站点配置:RADIUS - 其他方法和协议

若要通过点到站点 (P2S) 连接到虚拟网络,需要配置将从中进行连接的客户端设备。 本文帮助你创建和安装用于 RADIUS 身份验证(其使用证书或密码身份验证以外的方法)的 VPN 客户端配置。

如果你使用 RADIUS 身份验证,我们提供了多种身份验证说明:证书身份验证密码身份验证以及其他身份验证方法和协议。 每种身份验证的 VPN 客户端配置各个不同。 若要配置 VPN 客户端,可以使用包含所需设置的客户端配置文件。

注意

从 2018 年 7 月 1 日开始,Azure VPN 网关将不再支持 TLS 1.0 和 1.1。 VPN 网关将仅支持 TLS 1.2。 仅点到站点连接会受到影响;站点到站点连接不受影响。 如果要在 Windows 10 及更高版本客户端上将 TLS 用于点到站点 VPN,则无需执行任何操作。 如果在 Windows 7 和 Windows 8 客户端上使用 TLS 建立点到站点连接,请参阅 VPN 网关常见问题解答,了解更新说明。

工作流

P2S RADIUS 身份验证的配置工作流如下:

  1. 设置适用于 P2S 连接的 Azure VPN 网关

  2. 设置适用于身份验证的 RADIUS 服务器

  3. 获取适用于所选身份验证选项的 VPN 客户端配置,用其设置 VPN 客户端(本文)。

  4. 完成 P2S 配置和连接

重要

如果在生成 VPN 客户端配置文件后,点到站点 VPN 配置(例如 VPN 协议类型或身份验证类型)发生了变化,则必须生成新的 VPN 客户端配置并将其安装在用户设备上。

若要使用其他身份验证类型(例如 OTP),或者要使用其他身份验证协议(例如,使用 PEAP-MSCHAPv2 而不是 EAP-MSCHAPv2),则必须创建自己的 VPN 客户端配置文件。 如果已使用 RADIUS 和 OpenVPN 配置点到站点 VPN,则目前 PAP 是网关和 RADIUS 服务器之间唯一支持的身份验证方法。 创建配置文件需要虚拟网关 IP 地址、隧道类型、拆分隧道路由等信息。 可通过以下步骤获取该信息。

生成 VPN 客户端配置文件

可使用 Azure 门户或 PowerShell 生成 VPN 客户端配置文件。

Azure 门户

  1. 导航到虚拟网关。
  2. 单击“点到站点配置” 。
  3. 单击“下载 VPN 客户端”。
  4. 选择客户端,并填充请求的任何信息。
  5. 单击“下载”,生成 .zip 文件 。
  6. .zip 文件通常下载到 Downloads 文件夹。

Azure PowerShell

使用 Get-AzVpnClientConfiguration cmdlet 生成适用于 EapMSChapv2 的 VPN 客户端配置。

查看文件并配置 VPN 客户端

解压缩 VpnClientConfiguration.zip 文件,查找 GenericDevice 文件夹。 忽略包含适用于 64 位和 32 位体系结构的 Windows 安装程序的文件夹。

GenericDevice 文件夹包含名为 VpnSettings 的 XML 文件。 此文件包含所有必需的信息:

  • VpnServer:Azure VPN 网关的 FQDN。 这是客户端连接到的地址。
  • VpnType:用于进行连接的隧道类型。
  • Routes:为了仅通过 P2S 隧道发送为 Azure 虚拟网络绑定的流量而需要在配置文件中配置的路由。

GenericDevice 文件夹还包含一个名为 VpnServerRoot 的 .cer 文件。 该文件包含在设置 P2S 连接期间验证 Azure VPN 网关所需的根证书。 在要连接到 Azure 虚拟网络的所有设备上安装该证书。

使用文件中的设置来配置 VPN 客户端。

后续步骤

返回到相关文章,完成 P2S 配置

有关 P2S 故障排除信息,请参阅排查 Azure 点到站点连接问题