教程:使用 Azure 虚拟 WAN 创建用户 VPN 连接

本教程介绍如何使用虚拟 WAN 通过 IPsec/IKE (IKEv2) 或 OpenVPN VPN 连接与 Azure 中的资源建立连接。 此类连接要求在客户端计算机上配置一个客户端。 有关虚拟 WAN 的详细信息,请参阅虚拟 WAN 概述

在本教程中,你将了解如何执行以下操作:

  • 创建 WAN
  • 创建 P2S 配置
  • 创建中心
  • 指定 DNS 服务器
  • 下载 VPN 客户端配置文件
  • 查看虚拟 WAN

虚拟 WAN 示意图

先决条件

  • 你拥有一个要连接到的虚拟网络。 确认本地网络的任何子网都不会与要连接到的虚拟网络重叠。 若要在 Azure 门户中创建虚拟网络,请参阅快速入门

  • 虚拟网络不包含任何虚拟网络网关。 如果虚拟网络包含网关(VPN 或 ExpressRoute),则必须删除所有网关。 此配置要求将虚拟网络改为连接到虚拟 WAN 中心网关。

  • 获取中心区域的 IP 地址范围。 该中心是虚拟 WAN 创建和使用的虚拟网络。 为中心指定的地址范围不能与要连接到的任何现有虚拟网络重叠。 此外,它也不能与本地连接到的地址范围重叠。 如果不熟悉本地网络配置中的 IP 地址范围,则咨询能够提供此类详细信息的人员。

  • 如果没有 Azure 订阅,请创建一个试用版订阅

创建虚拟 WAN

从浏览器导航到 Azure 门户并使用 Azure 帐户登录。

  1. 在门户中,选择“+ 创建资源”。 在搜索框中键入“虚拟 WAN”,然后选择“Enter” 。

  2. 从结果中选择“虚拟 WAN”。 在“虚拟 WAN”页上,选择“创建”以打开“创建 WAN”页。

  3. 在“创建 WAN”页的“基本信息”选项卡上,填写以下字段 :

    屏幕截图显示已选择“基本”选项卡的“创建 WAN”窗格。

    • 订阅 - 选择要使用的订阅。
    • 资源组 - 新建资源组或使用现有的资源组。
    • 资源组位置 - 从下拉列表中选择资源位置。 WAN 是一个全局资源,不会驻留在某个特定区域。 但是,必须选择一个区域才能管理和查找所创建的 WAN 资源。
    • 名称 - 键入要用于称呼 WAN 的名称。
    • 类型 - 免费、基本或标准。 选择“标准”。 如果选择基本 VWAN,请了解基本 VWAN 只能包含基本中心,这会将连接类型限制为站点到站点。
  4. 填写完字段后,单击“审阅 + 创建”。

  5. 验证通过后,选择“创建”以创建虚拟 WAN。

创建 P2S 配置

点到站点 (P2S) 配置定义连接远程客户端的参数。

备注

某些功能和设置正处于推出到 Azure 门户的过程中。

  1. 导航到“所有资源”,选择已创建的虚拟 WAN,并从左侧菜单中选择“用户 VPN 配置”。

  2. 在“用户 VPN 配置”页上,选择页面顶部的“+创建用户 VPN 配置”,以便打开“创建新的用户 VPN 配置”页 。

    “用户 VPN 配置”页的屏幕截图。

  3. 在“基本信息”选项卡上的“实例详细信息”下,输入要分配给 VPN 配置的“名称”。

  4. 对于“隧道类型”,请从下拉列表中选择所需的隧道类型。 隧道类型选项包括:“IKEV2 VPN”、“OpenVPN”以及“OpenVPN 和 IKEv2”。

  5. 使用与所选隧道类型相对应的以下步骤。 指定所有值后,单击“查看 + 创建”,然后单击“创建”以创建配置。

    IKEv2 VPN

    • 要求: 选择“IKEv2”隧道类型时,会显示一条消息,指示你选择一种身份验证方法。 对于 IKEv2,你只能指定一种身份验证方法。 可以选择“Azure 证书”、“Azure Active Directory”或“基于 RADIUS 的身份验证”。

    • IPSec 自定义参数: 若要自定义 IKE 阶段 1 和 IKE 阶段 2 的参数,请将 IPsec 开关切换到“自定义”,然后选择参数值。

      已切换到“自定义”的 IPsec 开关的屏幕截图。

    • 身份验证: 导航到要使用的身份验证机制,具体方式是单击页面底部的“下一步”以转到身份验证方法,或单击页面顶部的相应选项卡。 将开关切换到“是”以选择该方法。

      在此示例中,选择了“RADIUS 身份验证”。 对于基于 RADIUS 的身份验证,可以提供辅助 RADIUS 服务器 IP 地址和服务器机密。

      IKE 的屏幕截图。

    OpenVPN

    • 要求: 选择“OpenVPN”隧道类型时,会显示一条消息,指示你选择一种身份验证机制。 如果选择“OpenVPN”作为隧道类型,则可以指定多种身份验证方法。 可以选择“Azure 证书”、“Azure Active Directory”和“基于 RADIUS 的身份验证”的任何子集。 对于基于 RADIUS 的身份验证,可以提供辅助 RADIUS 服务器 IP 地址和服务器机密。

    • 身份验证: 导航到要使用的身份验证方法,具体方式是单击页面底部的“下一步”以转到身份验证方法,或单击页面顶部的相应选项卡。 对于要选择的每种方法,请将开关切换到“是”,然后输入相应的值。

      在此示例中,选择了“Azure Active Directory”。

      “OpenVPN”页的屏幕截图。

使用点到站点网关创建中心

  1. 在虚拟 WAN 下选择“中心”,然后选择“+新建中心”。

    新中心

  2. 在“创建虚拟中心”页上,请填写以下字段。

    • 区域 - 选择要在其中部署虚拟中心的区域。
    • 名称 - 输入要用于称呼虚拟中心的名称。
    • 中心专用地址空间 - 用 CIDR 表示法来表示的中心地址范围。

    创建虚拟中心

  3. 在“点到站点”选项卡上填写以下字段:

    • 网关缩放单元 - 表示用户 VPN 网关的聚合容量。
    • 点到站点配置 - 已在上一步中创建。
    • 客户端地址池 - 用于远程用户。
    • 自定义 DNS 服务器 IP

    包含点到站点的中心

  4. 选择“查看 + 创建”。

  5. 在“验证已通过”页上,选择“创建” 。

指定 DNS 服务器

虚拟 WAN 用户 VPN 网关允许指定最多 5 个 DNS 服务器。 可以在创建中心的过程中对其进行配置,也可以在以后对其进行修改。 若要执行此操作,请找到虚拟中心。 在“用户 VPN(点到站点)”下,选择“配置”,然后在“自定义 DNS 服务器”文本框中输入 DNS 服务器 IP 地址 。

自定义 DNS

下载 VPN 配置文件

使用 VPN 配置文件来配置客户端。

  1. 在虚拟 WAN 的页面上,选择“用户 VPN 配置”。

  2. 在页面顶部,选择“下载用户 VPN 配置”。下载 WAN 级配置时,你将获得内置的基于流量管理器的用户 VPN 配置文件。 有关全局配置文件或基于中心的配置文件的详细信息,请参阅中心配置文件。 使用全局配置文件可简化故障转移方案。

    如果中心由于某种原因而不可用,则该服务提供的内置流量管理可确保(通过不同的中心)连接到点到站点用户的 Azure 资源。 始终可以通过导航到中心来下载特定于中心的 VPN 配置。 在“用户 VPN (点到站点)”下,下载虚拟中心用户 VPN 配置文件 。

  3. 完成创建文件后,选择相应的链接下载该文件。

  4. 使用此配置文件配置 VPN 客户端。

配置用户 VPN 客户端

使用下载的配置文件配置远程访问客户端。 每个操作系统的过程均不同,请按照适用于你的系统的说明进行操作。

Microsoft Windows

OpenVPN
  1. 从官方网站下载并安装 OpenVPN 客户端。
  2. 下载网关的 VPN 配置文件。 这可以通过 Azure 门户中的“用户 VPN 配置”选项卡或 PowerShell 中的 New-AzureRmVpnClientConfiguration 来完成。
  3. 解压缩该配置文件。 从记事本中的 OpenVPN 文件夹中打开 vpnconfig.ovpn 配置文件。
  4. 使用 base64 中的 P2S 客户端证书公钥填写 P2S 客户端证书部分。 在 PEM 格式的证书中,可以打开 .cer 文件并在证书标头之间复制 base64 密钥。 有关步骤,请参阅如何导出证书以获取已编码的公钥
  5. 使用 base64 中的 P2S 客户端证书私钥填写私钥部分。 有关步骤,请参阅如何提取私钥
  6. 不要更改任何其他字段。 使用客户端输入中的已填充的配置连接到 VPN。
  7. 将 vpnconfig.ovpn 文件复制到 C:\Program Files\OpenVPN\config 文件夹。
  8. 右键单击系统托盘中的 OpenVPN 图标,然后选择“连接”。
IKEv2
  1. 根据 Windows 计算机的体系结构选择 VPN 客户端配置文件。 对于 64 位处理器体系结构,请选择“VpnClientSetupAmd64”安装程序包。 对于 32 位处理器体系结构,请选择“VpnClientSetupX86”安装程序包。
  2. 双击所需的包进行安装。 如果看到弹出 SmartScreen,选择“详细信息”,然后选择“仍要运行” 。
  3. 在客户端计算机上,导航到“网络设置”,并选择“VPN” 。 VPN 连接显示所连接到的虚拟网络的名称。
  4. 尝试连接前,请验证客户端计算机上是否已安装客户端证书。 使用本机 Azure 证书身份验证类型时,客户端证书是身份验证必需的。 有关生成证书的详细信息,请参阅生成证书。 有关如何安装客户端证书的信息,请参阅安装客户端证书

查看虚拟 WAN

  1. 导航到虚拟 WAN。
  2. 在“概述”页上,地图中的每个点表示一个中心。
  3. 在“中心和连接”部分,可以查看中心状态、站点、区域、VPN 连接状态和传入与传出字节数。

清理资源

如果不再需要这些资源,可以使用 Remove-AzureRmResourceGroup 删除资源组及其包含的所有资源。 将“myResourceGroup”替换为资源组的名称,并运行以下 PowerShell 命令:

Remove-AzResourceGroup -Name myResourceGroup -Force

后续步骤

接下来,若要详细了解虚拟 WAN,请参阅: