点到站点 (P2S) VPN 网关连接允许您创建从单个客户端计算机到虚拟网络的安全连接。 可通过从客户端计算机启动连接来建立 P2S 连接。 此解决方案适用于想要从远程位置(如家庭或会议)连接到Azure虚拟网络的远程人员。 如果只有一些客户端需要连接到虚拟网络,则 P2S VPN 相较于站点到站点 (S2S) VPN 是一种很有用的解决方案。 点到站点配置需要基于路由的 VPN 类型。
P2S 使用哪种协议?
点到站点 VPN 可使用以下协议之一:
OpenVPN® 协议,一种基于 SSL/TLS 的 VPN 协议。 由于大多数防火墙都会打开 TLS 所用的出站 TCP 端口 443,因此 TLS VPN 解决方案可以穿透防火墙。 OpenVPN 可用于从 Android、Windows、Linux 和 Mac 设备(macOS 版本 10.13 及更高版本)进行连接。 支持的版本是基于 TLS 握手的 TLS 1.2 和 TLS 1.3。
安全套接字隧道协议 (SSTP),一个基于 TLS 的专属 VPN 协议。 由于大多数防火墙都会打开 TLS 所用的出站 TCP 端口 443,因此 TLS VPN 解决方案可以穿透防火墙。 SSTP 仅在 Windows 设备上受支持。 Azure支持具有 SSTP 并支持 TLS 1.2(Windows 8.1及更高版本)的所有Windows版本。
IKEv2 VPN,这是一种基于标准的 IPsec VPN 解决方案。 IKEv2 VPN 可用于从 Mac 设备进行连接(macOS 10.11 和更高版本)。
如何对 P2S VPN 客户端进行身份验证?
在Azure接受 P2S VPN 连接之前,必须先对用户进行身份验证。 配置 P2S 网关时,可以选择三种身份验证类型。 选项包括:
可以为 P2S 网关配置选择多个身份验证类型。 如果选择多个身份验证类型,你所使用的 VPN 客户端至少支持一种身份验证类型和相应的隧道类型。 例如,如果选择隧道类型的“IKEv2 和 OpenVPN”,为身份验证类型选择“Microsoft Entra ID和 Radius”或“Microsoft Entra ID和Azure证书”,Microsoft Entra ID将仅使用 OpenVPN 隧道类型,因为它不受 IKEv2 支持。
下表显示了与所选隧道类型兼容的身份验证机制。 每种机制都需要为连接设备上的相应 VPN 客户端软件配置 VPN 客户端配置文件中提供的适当设置。
| 隧道类型 | 身份验证机制 |
|---|---|
| OpenVPN | Microsoft Entra ID、Radius 身份验证和Azure证书的任何子集 |
| SSTP | Radius 身份验证/Azure证书 |
| IKEv2 | Radius 身份验证/Azure证书 |
| IKEv2 和 OpenVPN | Radius 身份验证/Azure 证书/Microsoft Entra ID 和 Radius 身份验证/Microsoft Entra ID 和 Azure 证书 |
| IKEv2 和 SSTP | Radius 身份验证/Azure证书 |
证书身份验证
为 P2S 网关配置证书身份验证时,会将受信任的根证书公钥上传到Azure网关。 可以使用通过企业解决方案生成的根证书,也可以生成自签名证书。
若要进行身份验证,连接的每个客户端都必须具有从受信任的根证书生成的已安装客户端证书。 这是对 VPN 客户端软件的补充。 客户端证书的验证由 VPN 网关执行,在建立 P2S VPN 连接期间发生。
证书身份验证工作流
大致说来,需要执行以下步骤来配置证书身份验证:
- 在 P2S 网关上启用证书身份验证并完成其他所需的设置(客户端地址池等),然后上传根 CA 公钥信息。
- 生成和下载 VPN 客户端配置文件(配置文件配置包)。
- 在每个连接的客户端计算机上安装客户端证书。
- 使用 VPN 配置文件配置包中找到的设置在客户端计算机上配置 VPN 客户端。
- 连接。
Microsoft Entra ID身份验证
可以将 P2S 网关配置为允许 VPN 用户使用Microsoft Entra ID凭据进行身份验证。 使用Microsoft Entra ID身份验证,可以使用 VPN 的Microsoft Entra 条件访问和多重身份验证(MFA)功能。 仅 OpenVPN 协议支持Microsoft Entra ID身份验证。 若要进行身份验证和连接,客户端必须使用 Azure VPN 客户端。
VPN 网关现在支持为最新版本的 Azure VPN 客户端提供新的Microsoft注册的应用 ID 和相应的受众值。 使用新的受众值配置 P2S VPN 网关时,请跳过以前所需的Azure VPN 客户端应用手动注册Microsoft Entra租户过程。 应用 ID 已创建,租户会自动使用它,而无需额外的注册步骤。 此过程比手动注册 Azure VPN 客户端更安全,因为你不需要通过 Cloud App Administrator 角色授权应用或分配权限。 若要更好地了解应用程序对象类型之间的差异,请参阅 如何及为何将应用程序添加到 Microsoft Entra ID。
- 如果 P2S 用户 VPN 网关是使用手动配置的 Azure VPN 客户端应用的受众配置的,则可以轻松地更改网关和客户端设置,以利用新的微软已注册的应用 ID。 如果希望 Linux 客户端连接,则必须使用新的受众值更新 P2S 网关。 适用于 Linux 的 Azure VPN 客户端与较旧的受众值不向后兼容。
- 要创建或修改自定义受众值,请参阅为 P2S VPN 创建自定义受众应用 ID。
- 如果要根据用户和组配置或限制对 P2S 的访问,请参阅方案:根据用户和组配置 P2S VPN 访问。
注意事项
P2S VPN 网关只能支持一个受众值。 无法同时支持多个受众值。
Linux 版 Azure VPN 客户端与配置为使用旧的受众值(与手动注册应用一致)的 P2S 网关不向后兼容。 但是,适用于 Linux 的 Azure VPN 客户端支持自定义受众值。
-
尽管适用于 Linux 的 Azure VPN 客户端可能适用于其他 Linux 发行版和版本,但以下版本仅支持适用于 Linux 的 Azure VPN 客户端:
- Ubuntu 20.04
- Ubuntu 22.04
-
虽然适用于Windows的 Azure VPN 客户端可能适用于其他操作系统版本,但以下版本仅支持适用于 Windows 的 Azure VPN 客户端:
- 支持的Windows版本:X64、X86、ARM 和 ARM64 体系结构上的Windows 10、Windows 11。
适用于 macOS 和 Windows 的 Azure VPN 客户端的最新版本向后兼容 P2S 网关,这些网关配置为使用与手动注册应用一致的旧的 Audience 值。 这些客户端也支持自定义受众值。
Azure VPN 客户端受众值
下表显示了每个应用 ID 支持的 Azure VPN 客户端版本以及相应的可用受众值。
| 应用 ID | 支持的受众值 | 支持的客户端 |
|---|---|---|
| 已注册Microsoft | c632b3df-fb67-4d84-bdcf-b95ad541b5c8 |
-Linux - Windows |
| 手动注册 | 49f817b6-84ae-4cc0-928c-73f27289b3aa |
Windows |
| 自定义 | <custom-app-id> |
-Linux - Windows |
Microsoft Entra ID身份验证工作流
概括而言,需要执行以下步骤来配置Microsoft Entra ID身份验证:
- 如果使用手动应用注册,请在“Microsoft Entra 租户”上执行必要的步骤。
- 在 P2S 网关上启用Microsoft Entra ID身份验证,以及其他所需的设置(客户端地址池等)。
- 生成和下载 VPN 客户端配置文件(配置文件配置包)。
- 在客户端计算机上下载、安装和配置 Azure VPN 客户端。
- 连接。
RADIUS - Active Directory (AD) 域服务器身份验证
AD 域身份验证允许用户使用其组织域凭据连接到Azure。 它需要一台与 AD 服务器集成的 RADIUS 服务器。 组织也可以使用其现有的 RADIUS 部署。
RADIUS 服务器可以部署在本地或Azure虚拟网络中。 在身份验证期间,Azure VPN 网关充当 RADIUS 服务器与连接设备之间来回传递和转发身份验证消息。 因此,网关能够访问 RADIUS 服务器是很重要的。 如果 RADIUS 服务器位于本地,则需要从 Azure 连接到本地站点的 VPN S2S 连接,才能访问。
RADIUS 服务器还能与 AD 证书服务集成。 这样,便可以使用 RADIUS 服务器和企业证书部署进行 P2S 证书身份验证,作为Azure证书身份验证的替代方法。 优点是无需将根证书和吊销的证书上传到Azure。
RADIUS 服务器还能与其他外部标识系统集成。 这样就为 P2S VPN 提供了大量的身份验证选项,包括多重身份验证选项。
有关 P2S 网关配置步骤,请参阅配置 P2S - RADIUS。
客户端配置要求是什么?
客户端配置要求因使用的 VPN 客户端、身份验证类型和协议而异。 下表显示了可用的客户端以及每个配置的相应文章。
| 身份验证方法 | 隧道类型 | 客户端操作系统 | VPN 客户 |
|---|---|---|---|
| 证书 | |||
| IKEv2、SSTP | Windows | 本机 VPN 客户端 | |
| IKEv2 | macOS | 本机 VPN 客户端 | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows |
Azure VPN 客户端 OpenVPN 客户端版本 2.x OpenVPN 客户端版本 3.x |
|
| OpenVPN | macOS | OpenVPN 客户端 | |
| OpenVPN | Linux |
Azure VPN 客户端 OpenVPN 客户端 |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Azure VPN 客户端 | |
| OpenVPN | Linux | Azure VPN 客户端 |
可以使用哪些版本的 Azure VPN 客户端?
有关每个版本中可用的 Azure VPN 客户端版本、发布日期和新增功能的信息,请参阅 Azure VPN 客户端版本。
哪些网关 SKU 支持 P2S VPN?
下表按隧道、连接和吞吐量显示网关 SKU。 有关详细信息,请参阅网关 SKU 简介。
|
Vpn 网关 世代 |
SKU |
S2S/VNet 到 VNet 隧道 |
P2S SSTP 连接 |
P2S IKEv2/OpenVPN 连接 |
聚合 吞吐量基准 |
BGP | 区域冗余 | 虚拟网络中支持的 VM 数量 |
|---|---|---|---|---|---|---|---|---|
| 第 1 代 | 基本 | 最大 10 | 最大 128 | 不支持 | 100 Mbps | 不支持 | 否 | 200 |
| 第 1 代 | VpnGw1 | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | 支持 | 否 | 450 |
| 第 1 代 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | 支持 | 否 | 1300 |
| 第 1 代 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | 支持 | 否 | 4000 |
| 第 1 代 | VpnGw1AZ | 最大 30 | 最大 128 | 最大 250 | 650 Mbps | 支持 | 是 | 1000 |
| 第 1 代 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1 Gbps | 支持 | 是 | 2000 |
| 第 1 代 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 1.25 Gbps | 支持 | 是 | 5000 |
| 第 2 代 | VpnGw2 | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | 支持 | 否 | 685 |
| 第 2 代 | VpnGw3 | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | 支持 | 否 | 2240 |
| 第 2 代 | VpnGw4 | 最大 100* | 最大 128 | 最大 5000 | 5 Gbps | 支持 | 否 | 5300 |
| 第 2 代 | VpnGw5 | 最大 100* | 最大 128 | 最大 10000 | 10 Gbps | 支持 | 否 | 6700 |
| 第 2 代 | VpnGw2AZ | 最大 30 | 最大 128 | 最大 500 | 1.25 Gbps | 支持 | 是 | 2000 |
| 第 2 代 | VpnGw3AZ | 最大 30 | 最大 128 | 最大 1000 | 2.5 Gbps | 支持 | 是 | 3300 |
| 第 2 代 | VpnGw4AZ | 最大 100* | 最大 128 | 最大 5000 | 5 Gbps | 支持 | 是 | 4400 |
| 第 2 代 | VpnGw5AZ | 最大 100* | 最大 128 | 最大 10000 | 10 Gbps | 支持 | 是 | 9000 |
注意
“虚拟网络中支持的 VM 数量”是指通过网关通信的资源数量。 这包括:
- 中心虚拟网络和对等连接的分支虚拟网络中的虚拟机
- 私有终结点
- 网络虚拟设备(如应用程序网关、Azure 防火墙)
- 部署在虚拟网络中的 PaaS 服务的后端实例(例如SQL 托管实例、应用服务环境)
注意
基本 SKU 有限制,不支持 IKEv2、IPv6 或 RADIUS 身份验证。 有关详细信息,请参阅 VPN 网关 设置。
在 P2S 的 VPN 网关上配置了哪些 IKE/IPsec 策略?
本部分中的表显示用于默认策略的值。 但这些值不反映受支持的可用于自定义策略的值。 对于自定义策略,请参阅 New-AzVpnClientIpsecParameter PowerShell cmdlet 中列出的接受的值。
IKEv2
| Cipher | 完整性 | PRF | DH 组 |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| Cipher | 完整性 | PFS 组 |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
在 P2S 的 VPN 网关上配置了哪些 TLS 策略?
TLS
| 策略 |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| **TLS_AES_256_GCM_SHA384 |
| **TLS_AES_128_GCM_SHA256 |
**仅在使用 OpenVPN 的 TLS1.3 上受支持
如何配置 P2S 连接?
P2S 配置需要相当多的特定步骤。 以下文章包含指导你完成常见 P2S 配置步骤的步骤。
删除 P2S 连接的配置
可以使用 PowerShell 或 CLI 删除某个连接的配置。 有关示例,请参阅常见问题解答。
P2S 路由的工作原理是什么?
请参阅以下文章:
常见问题
点到站点有多个常见问题解答条目。 请参阅 VPN 网关 FAQ,并相应地特别注意 Certificate authentication 和 RADIUS 部分。
后续步骤
“OpenVPN”是 OpenVPN Inc. 的商标。