使用多个身份验证类型配置与 VNet 的点到站点 VPN 连接:Azure 门户

本文介绍如何将运行 Windows、Linux 或 macOS 的单个客户端安全地连接到 Azure VNet。 若要从远程位置连接到 VNet,例如从家里或会议室进行远程通信,则可使用点到站点 VPN。 如果只有一些客户端需要连接到 VNet,也可使用 P2S VPN 来代替站点到站点 VPN。 点到站点连接不需要 VPN 设备或面向公众的 IP 地址。 P2S 基于 SSTP(安全套接字隧道协议)或 IKEv2 创建 VPN 连接。 有关点到站点 VPN 的详细信息,请参阅关于点到站点 VPN

从计算机连接到 Azure VNet - 点到站点连接示意图

有关点到站点 VPN 的详细信息,请参阅关于点到站点 VPN。 若要使用 Azure PowerShell 创建此配置,请参阅使用 Azure PowerShell 配置点到站点 VPN

先决条件

确保拥有 Azure 订阅。 如果还没有 Azure 订阅,可以注册一个试用帐户

仅 OpenVPN 隧道类型支持同一 VPN 网关上的多个身份验证类型。

示例值

可使用以下值创建测试环境,或参考这些值以更好地理解本文中的示例:

  • VNet 名称: VNet1
  • 地址空间: 10.1.0.0/16
    对于此示例,我们只使用一个地址空间。 VNet 可以有多个地址空间。
  • 子网名称: FrontEnd
  • 子网地址范围: 10.1.0.0/24
  • 订阅: 如果有多个订阅,请确保使用正确的订阅。
  • 资源组: TestRG1
  • 位置:中国东部 2
  • 网关子网: 10.1.255.0/27
  • SKU:VpnGw2
  • 代系:第 2 代
  • 网关类型: VPN
  • VPN 类型: 基于路由
  • 公共 IP 地址名称:VNet1GWpip
  • 连接类型:点到站点
  • 客户端地址池: 172.16.201.0/24
    使用此点到站点连接连接到 VNet 的 VPN 客户端接收来自客户端地址池的 IP 地址。

创建虚拟网络

开始之前,请确保拥有 Azure 订阅。 如果还没有 Azure 订阅,可以注册一个试用帐户

注意

使用虚拟网络作为跨界体系结构的一部分时,请务必与本地网络管理员进行协调,以划分一个 IP 地址范围专供此虚拟网络使用。 如果 VPN 连接的两端存在重复的地址范围,则会以意外方式路由流量。 此外,若要将此虚拟网络连接到另一个虚拟网络,地址空间不能与另一虚拟网络重叠。 相应地规划网络配置。

  1. 登录 Azure 门户

  2. 在门户页顶部的“搜索资源、服务和文档(G+/)”中,输入“虚拟网络”。 从“市场”搜索结果中选择“虚拟网络”以打开“虚拟网络”页面

  3. 在“虚拟网络”页面上,选择“创建”以打开“创建虚拟网络”页面

  4. 在“基本信息”选项卡上的“项目详细信息”和“实例详细信息”中配置虚拟网络设置。 验证输入的值时,将看到一个绿色对勾。 你可以根据自己需要的设置调整示例中显示的值。

    该屏幕截图显示了“基本信息”选项卡。

    • 订阅:确认列出的订阅是正确的。 你可以使用下拉框来更改订阅。
    • 资源组:选择一个现有资源组,或选择“新建”以创建一个新资源组。 有关资源组的详细信息,请参阅 Azure 资源管理器概述
    • 名称:输入虚拟网络的名称。
    • 区域:选择你的虚拟网络的位置。 该位置决定了部署到此虚拟网络的资源将位于哪里。
  5. 选择“下一步”或“安全性”,转到“安全性”选项卡。对于此练习,请保留此页上所有服务的默认值。

  6. 选择“IP 地址”以转到“IP 地址”选项卡。在“IP 地址”选项卡上配置设置

    • IPv4 地址空间:默认情况下,系统会自动创建一个地址空间。 可以选择该地址空间,将其调整为反映你自己的值。 还可以添加其他地址空间并移除自动创建的默认值。 例如,可以将起始地址指定为“10.1.0.0”,将地址空间大小指定为“/16”。 然后选择“添加”以添加该地址空间

    • + 添加子网:如果你使用默认地址空间,则系统会自动创建一个默认子网。 如果更改地址空间,请在该地址空间中添加一个新子网。 选择“+添加子网”,打开“添加子网”窗口 。 配置以下设置,然后选择页面底部的“添加”以添加这些值

      • 子网名称:例如“FrontEnd”
      • 子网地址范围:此子网的地址范围。 示例为“10.1.0.0”和“/24”
  7. 查看“IP 地址”页并移除不需要的任何地址空间或子网。

  8. 选择“审阅 + 创建”,验证虚拟网络设置。

  9. 验证设置后,选择“创建”以创建虚拟网络

虚拟网络网关

在此步骤中,为 VNet 创建虚拟网络网关。 创建网关通常需要 45 分钟或更长的时间,具体取决于所选的网关 SKU。

注意

基本网关 SKU 不支持 OpenVPN 隧道类型。

虚拟网络网关需要一个名为“GatewaySubnet”的特定子网。 网关子网是虚拟网络的 IP 地址范围的一部分,包含虚拟网络网关资源和服务使用的 IP 地址。

创建网关子网时,需指定子网包含的 IP 地址数。 所需的 IP 地址数目取决于要创建的 VPN 网关配置。 有些配置需要具有比其他配置更多的 IP 地址。 最好为网关子网指定 /27 或更大的值(/26、/25 等)。

如果出现错误,指出地址空间与子网重叠,或者子网不包含在虚拟网络的地址空间中,请检查虚拟网络地址范围。 出错的原因可能是为虚拟网络创建的地址范围中没有足够的可用 IP 地址。 例如,如果默认子网包含整个地址范围,则不会有剩余的 IP 地址用于创建更多子网。 可以调整现有地址空间中的子网以释放 IP 地址,或指定另一个地址范围并在其中创建网关子网。

  1. 在“搜索资源、服务和文档(G+/)”中,输入“virtual network gateway”。 在市场搜索结果中找到“虚拟网络网关”,选择它以打开“创建虚拟网络网关”页面

    显示“搜索”字段的屏幕截图。

  2. 在“基本信息”选项卡上,填写“项目详细信息”和“实例详细信息”的值 。

    显示“实例”字段的屏幕截图。

    • 订阅:从下拉列表中选择要使用的订阅

    • 资源组:在此页上选择虚拟网络时,会自动填充此设置

    • 名称:为网关命名。 为网关命名与为网关子网命名不同。 它是要创建的网关对象的名称。

    • 区域:选择要在其中创建此资源的区域。 网关的区域必须与虚拟网络相同。

    • 网关类型:选择“VPN”。 VPN 网关使用虚拟网络网关类型“VPN” 。

    • SKU:从下拉列表中选择支持你想要使用的功能的网关 SKU。 请参阅网关 SKU。 在门户中,下拉列表中提供的 SKU 取决于你选择的 VPN type。 基本 SKU 只能使用 Azure CLI 或 PowerShell 进行配置。 无法在 Azure 门户中配置基本 SKU。

    • 代系:选择想要使用的代系。 建议使用第 2 代 SKU。 有关详细信息,请参阅网关 SKU

    • 虚拟网络:从下拉列表中选择要将此网关添加到的虚拟网络。 如果看不到要为其创建网关的虚拟网络,请确保在以前的设置中选择了正确的订阅和区域。

    • “网关子网地址范围”或“子网”:创建 VPN 网关时需要网关子网

      此时,此字段具有几种不同的行为,具体取决于虚拟网络地址空间,以及是否已为虚拟网络创建名为 GatewaySubnet 的子网

      如果你没有网关子网,并且此页面上也未显示用于创建网关子网的选项,请返回到你的虚拟网络并创建网关子网。 然后,返回到此页面并配置 VPN 网关。

  1. 指定“公共 IP 地址”的值。 这些设置指定与 VPN 网关关联的公共 IP 地址对象。 创建 VPN 网关后,会将公共 IP 地址分配给此对象。 仅当删除并重新创建网关时,主公共 IP 地址才会发生更改。 该地址不会因为 VPN 网关大小调整、重置或其他内部维护/升级而更改。

    显示“公共 IP 地址”字段的屏幕截图。

    • 公共 IP 地址类型:对于本练习,如果可以选择地址类型,请选择“标准”。
    • 公共 IP 地址:让“新建” 保持选中状态。
    • 公共 IP 地址名称:在文本框中,输入公共 IP 地址实例的名称
    • 公共 IP 地址 SKU:将自动选择设置。
    • 分配:分配方式通常是自动选择的,可以是“动态”,也可以是“静态”
    • 启用主动-主动模式:选择“已禁用”。 仅当创建主动-主动网关配置时,才启用此设置。
    • 配置 BGP:除非你的配置特别需要此设置,否则请选择“已禁用”。 如果确实需要此设置,则默认 ASN 为 65515,但可以更改此值。
  2. 选择“查看 + 创建” ,运行验证。

  3. 验证通过后,选择“创建”以部署 VPN 网关

可以在网关的“概述”页上查看部署状态。 网关通常可能需要 45 分钟或更长时间才能完全创建和部署。 创建网关后,可以通过在门户中查看虚拟网络,来查看已分配给网关的 IP 地址。 网关显示为连接的设备。

重要

使用网关子网时,避免将网络安全组 (NSG) 与网关子网关联。 将网络安全组关联到此子网可能会导致虚拟网络网关(VPN 和 ExpressRoute 网关)停止按预期方式工作。 有关网络安全组的详细信息,请参阅什么是网络安全组?

客户端地址池

客户端地址池是指定的专用 IP 地址的范围。 通过点到站点 VPN 进行连接的客户端动态接收此范围内的 IP 地址。 使用专用 IP 地址范围时,该范围不得与要通过其进行连接的本地位置重叠,也不得与要连接到其中的 VNet 重叠。 如果配置了多个协议,并且 SSTP 是其中一个协议,则配置的地址池将在配置的协议之间平均分配。

  1. 创建虚拟网关后,请导航到虚拟网关页的“设置”部分。 在“设置”中,选择“点到站点配置” 。 选择“立即配置”,打开配置页。

    点到站点配置页的屏幕截图。

  2. 在“点到站点配置”页上,可以配置各种设置。 在“地址池”框中,添加要使用的专用 IP 地址范围。 VPN 客户端动态接收指定范围内的 IP 地址。 主动/被动配置的最小子网掩码为 29 位,主动/主动配置的最小子网掩码为 28 位。

    客户端地址池的屏幕截图。

  3. 转到下一部分以配置身份验证和隧道类型。

身份验证和隧道类型

在本部分中,你将配置身份验证类型和隧道类型。 如果在“点到站点配置”页上未显示“隧道类型”或“身份验证类型”,则表示网关使用的是基本 SKU 。 基本 SKU 不支持 IKEv2 或 RADIUS 身份验证。 若要使用这些设置,需要使用另一网关 SKU 删除并重新创建网关。

重要

Azure 门户正在将 Azure Active Directory 字段更新到 Entra。 如果你看到了引用的 Microsoft Entra ID,但尚未在门户中看到这些值,则可以选择 Azure Active Directory 值。

身份验证类型和隧道类型的屏幕截图。

隧道类型

在“点到站点配置”页上,选择所需类型。 选项包括:

  • OpenVPN (SSL)
  • SSTP (SSL)
  • IKEv2
  • IKEv2 和 OpenVPN (SSL)
  • IKEv2 和 SSTP (SSL)

身份验证类型

对于“身份验证类型”,请选择所需的类型。 选项包括:

  • Azure 证书
  • RADIUS
  • Microsoft Entra ID

请查看下表,检查哪些身份验证机制与所选隧道类型兼容。

隧道类型 身份验证机制
OpenVPN Microsoft Entra ID、Radius 身份验证和 Azure 证书的任何子集
SSTP Radius 身份验证/Azure 证书
IKEv2 Radius 身份验证/Azure 证书
IKEv2 和 OpenVPN Radius 身份验证/ Azure 证书/ Microsoft Entra ID 和 Radius 身份验证/ Microsoft Entra ID 和 Azure 证书
IKEv2 和 SSTP Radius 身份验证/Azure 证书

注意

对于隧道类型“IKEv2 和 OpenVPN”和选定的身份验证机制“Microsoft Entra ID 和 Radius”或“Microsoft Entra ID 和 Azure 证书”,Microsoft Entra ID 仅适用于 OpenVPN,因为它不受 IKEv2 的支持

根据所选的身份验证类型,将看到需要填写的不同配置设置字段。 填写所需信息,然后选择页面顶部的“保存”以保存所有配置设置。

有关身份验证类型的详细信息,请参阅:

VPN 客户端配置包

必须用客户端配置设置来配置 VPN 客户端。 VPN 客户端配置包包含的文件具有将 VPN 客户端配置为通过 P2S 连接连接到 VNet 的设置。

有关生成和安装 VPN 客户端配置文件的说明,请查看与配置相关的文章:

身份验证 隧道类型 生成配置文件 配置 VPN 客户端
Azure 证书 IKEv2、SSTP Windows 本机 VPN 客户端
Azure 证书 OpenVPN Windows - OpenVPN 客户端
- Azure VPN 客户端
Azure 证书 IKEv2、OpenVPN macOS-iOS macOS-iOS
Azure 证书 IKEv2、OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
RADIUS - 证书 - 文章 文章
RADIUS - 密码 - 文章 文章
RADIUS - 其他方法 - 文章 文章

点到站点常见问题解答

有关点到站点常见问题解答信息,请参阅 VPN 网关常见问题解答的点到站点部分。

后续步骤

连接完成后,即可将虚拟机添加到虚拟网络。 有关详细信息,请参阅虚拟机。 若要详细了解网络和虚拟机,请参阅 Azure 和 Linux VM 网络概述

有关 P2S 故障排除信息,请参阅排查 Azure 点到站点连接问题