关于点到站点 VPN

点到站点 (P2S) VPN 网关连接用于创建从单个客户端计算机到虚拟网络的安全连接。 可通过从客户端计算机启动连接来建立 P2S 连接。 对于要从远程位置(例如从家里或会议室)连接到 Azure 虚拟网络的远程工作者,此解决方案很有用。 如果只有一些客户端需要连接到虚拟网络,则 P2S VPN 相较于站点到站点 (S2S) VPN 是一种很有用的解决方案。 点到站点配置需要基于路由的 VPN 类型

P2S 使用哪种协议?

点到站点 VPN 可使用以下协议之一:

  • OpenVPN® 协议,一种基于 SSL/TLS 的 VPN 协议。 由于大多数防火墙都会打开 TLS 所用的出站 TCP 端口 443,因此 TLS VPN 解决方案可以穿透防火墙。 OpenVPN 可用于从 Android、Windows、Linux 和 Mac 设备进行连接(macOS 10.13 和更高版本)。 支持的版本是基于 TLS 握手的 TLS 1.2 和 TLS 1.3。

  • 安全套接字隧道协议 (SSTP),一个基于 TLS 的专属 VPN 协议。 由于大多数防火墙都会打开 TLS 所用的出站 TCP 端口 443,因此 TLS VPN 解决方案可以穿透防火墙。 只有 Windows 设备支持 SSTP。 Azure 支持所有采用 SSTP 并支持 TLS 1.2 的 Windows 版本(Windows 8.1 及更高版本)。

  • IKEv2 VPN,这是一种基于标准的 IPsec VPN 解决方案。 IKEv2 VPN 可用于从 Mac 设备进行连接(macOS 10.11 和更高版本)。

如何对 P2S VPN 客户端进行身份验证?

在 Azure 接受 P2S VPN 连接之前,必须先对用户进行身份验证。 配置 P2S 网关时,可以选择三种身份验证类型。 选项包括:

可以为 P2S 网关配置选择多个身份验证类型。 如果选择多个身份验证类型,你所使用的 VPN 客户端至少支持一种身份验证类型和相应的隧道类型。 例如,如果为隧道类型选择“IKEv2 和 OpenVPN”,为身份验证类型选择“Microsoft Entra ID 和 Radius”或“Microsoft Entra ID 和 Azure 证书”,那么 Microsoft Entra ID 将仅使用 OpenVPN 隧道类型,因为它不受 IKEv2 支持。

下表显示了与所选隧道类型兼容的身份验证机制。 每个机制都需要连接设备上的相应 VPN 客户端软件,以配置为 VPN 客户端配置文件中提供的适当设置。

隧道类型 身份验证机制
OpenVPN Microsoft Entra ID、Radius 身份验证和 Azure 证书的任何子集
SSTP Radius 身份验证/Azure 证书
IKEv2 Radius 身份验证/Azure 证书
IKEv2 和 OpenVPN Radius 身份验证/ Azure 证书/ Microsoft Entra ID 和 Radius 身份验证/ Microsoft Entra ID 和 Azure 证书
IKEv2 和 SSTP Radius 身份验证/Azure 证书

证书身份验证

为证书身份验证配置 P2S 网关时,请将受信任的根证书公钥上传到 Azure 网关。 可以使用通过企业解决方案生成的根证书,也可以生成自签名证书。

若要进行身份验证,连接的每个客户端都必须具有从受信任的根证书生成的已安装客户端证书。 这是除 VPN 客户端软件以外的附加条件。 客户端证书的验证由 VPN 网关执行,在建立 P2S VPN 连接期间发生。

证书身份验证工作流

大致说来,需要执行以下步骤来配置证书身份验证:

  1. 在 P2S 网关上启用证书身份验证并完成其他所需的设置(客户端地址池等),然后上传根 CA 公钥信息。
  2. 生成和下载 VPN 客户端配置文件(配置文件配置包)。
  3. 在每个连接的客户端计算机上安装客户端证书。
  4. 使用 VPN 配置文件配置包中找到的设置在客户端计算机上配置 VPN 客户端。
  5. 连接。

Microsoft Entra ID 身份验证

可以将 P2S 网关配置为允许 VPN 用户使用 Microsoft Entra ID 凭据进行身份验证。 通过 Microsoft Entra ID 身份验证,可以将 Microsoft Entra 条件访问和多重身份验证 (MFA) 功能用于 VPN。 Microsoft Entra ID 身份验证仅支持用于 OpenVPN 协议。 若要进行身份验证和连接,客户端必须使用 Azure VPN 客户端。

需要将 Azure VPN 客户端应用手动注册(集成)到 Microsoft Entra 租户。 注册客户端应用会创建一个应用 ID,表示 Azure VPN 客户端应用程序的身份,并且需要使用全局管理员角色进行授权。 若要更好地了解应用程序对象类型之间的差异,请参阅《如何将应用程序添加到 Microsoft Entra ID 及其原因》

下表显示了可用的受众值。

应用 ID 支持的受众值 支持的客户端
手动注册 由世纪互联运营的 Microsoft Azure:49f817b6-84ae-4cc0-928c-73f27289b3aa Windows
自定义 <custom-app-id> Windows

Microsoft Entra ID 身份验证工作流

大致说来,需要执行以下步骤来配置 Microsoft Entra ID 身份验证:

  1. 在 Microsoft Entra 租户上执行必要的步骤。
  2. 在 P2S 网关上启用 Microsoft Entra ID 身份验证并完成其他所需的设置(客户端地址池等)。
  3. 生成和下载 VPN 客户端配置文件(配置文件配置包)。
  4. 在客户端计算机上下载、安装和配置 Azure VPN 客户端。
  5. 连接。

RADIUS - Active Directory (AD) 域服务器身份验证

AD 域身份验证可让用户使用其组织域凭据连接到 Azure。 它需要一台与 AD 服务器集成的 RADIUS 服务器。 组织也可以使用其现有的 RADIUS 部署。

可将 RADIUS 服务器部署在本地或 Azure 虚拟网络中。 在身份验证期间,Azure VPN 网关充当传递设备,在 RADIUS 服务器与连接方设备之间来回转发身份验证消息。 因此,RADIUS 服务器必须能够访问网关。 如果 RADIUS 服务器位于本地,需要建立从 Azure 到本地站点的 VPN S2S 连接,才能实现这种访问。

RADIUS 服务器还能与 AD 证书服务集成。 这样,便可以使用 RADIUS 服务器以及用于 P2S 证书身份验证的企业证书部署,作为 Azure 证书身份验证的替代方法。 此方法的优点是不需要将根证书和吊销的证书上传到 Azure。

RADIUS 服务器还能与其他外部标识系统集成。 这样就为 P2S VPN 提供了大量的身份验证选项,包括多重身份验证选项。

显示本地站点中的点到站点 VPN 的图示。

有关 P2S 网关配置步骤,请参阅配置 P2S - RADIUS

客户端配置要求是什么?

客户端配置要求因使用的 VPN 客户端、身份验证类型和协议而异。 下表显示了可用的客户端以及每个配置的相应文章。

身份验证 隧道类型 客户端 OS VPN 客户端
证书
IKEv2、SSTP Windows 本机 VPN 客户端
IKEv2 macOS 本机 VPN 客户端
IKEv2 Linux strongSwan
OpenVPN Windows Azure VPN 客户端
OpenVPN 客户端版本 2.x
OpenVPN 客户端版本 3.x
OpenVPN macOS OpenVPN 客户端
OpenVPN Linux Azure VPN 客户端
OpenVPN 客户端
Microsoft Entra ID
OpenVPN Windows Azure VPN 客户端

Azure VPN 客户端的哪些版本可用?

有关可用的 Azure VPN 客户端版本、发布日期和每个版本中的新增功能的信息,请参阅 Azure VPN 客户端版本

哪些网关 SKU 支持 P2S VPN?

下表按隧道、连接和吞吐量显示网关 SKU。 有关详细信息,请参阅网关 SKU 简介

VPN
网关
代系
SKU S2S/VNet 到 VNet
隧道
P2S
SSTP 连接
P2S
IKEv2/OpenVPN 连接
聚合
吞吐量基准
BGP 区域冗余 虚拟网络中支持的 VM 数
第 1 代 基本 最大 10 最大 128 不支持 100 Mbps 不支持 200
第 1 代 VpnGw1 最大 30 最大 128 最大 250 650 Mbps 支持 450
第 1 代 VpnGw2 最大 30 最大 128 最大 500 1 Gbps 支持 1300
第 1 代 VpnGw3 最大 30 最大 128 最大 1000 1.25 Gbps 支持 4000
第 1 代 VpnGw1AZ 最大 30 最大 128 最大 250 650 Mbps 支持 1000
第 1 代 VpnGw2AZ 最大 30 最大 128 最大 500 1 Gbps 支持 2000
第 1 代 VpnGw3AZ 最大 30 最大 128 最大 1000 1.25 Gbps 支持 5000
第 2 代 VpnGw2 最大 30 最大 128 最大 500 1.25 Gbps 支持 685
第 2 代 VpnGw3 最大 30 最大 128 最大 1000 2.5 Gbps 支持 2240
第 2 代 VpnGw4 最大 100* 最大 128 最大 5000 5 Gbps 支持 5300
第 2 代 VpnGw5 最大 100* 最大 128 最大 10000 10 Gbps 支持 6700
第 2 代 VpnGw2AZ 最大 30 最大 128 最大 500 1.25 Gbps 支持 2000
第 2 代 VpnGw3AZ 最大 30 最大 128 最大 1000 2.5 Gbps 支持 3300
第 2 代 VpnGw4AZ 最大 100* 最大 128 最大 5000 5 Gbps 支持 4400
第 2 代 VpnGw5AZ 最大 100* 最大 128 最大 10000 10 Gbps 支持 9000

注意

基本 SKU 有限制,不支持 IKEv2、IPv6 或 RADIUS 身份验证。 有关详细信息,请参阅 VPN 网关设置

在 P2S 的 VPN 网关上配置了哪些 IKE/IPsec 策略?

本部分中的表显示用于默认策略的值。 但这些值不反映受支持的可用于自定义策略的值。 对于自定义策略,请参阅 New-AzVpnClientIpsecParameter PowerShell cmdlet 中列出的接受的值

IKEv2

Cipher 完整性 PRF DH 组
GCM_AES256 GCM_AES256 SHA384 GROUP_24
GCM_AES256 GCM_AES256 SHA384 GROUP_14
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP256
GCM_AES256 GCM_AES256 SHA256 GROUP_24
GCM_AES256 GCM_AES256 SHA256 GROUP_14
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP256
AES256 SHA384 SHA384 GROUP_24
AES256 SHA384 SHA384 GROUP_14
AES256 SHA384 SHA384 GROUP_ECP384
AES256 SHA384 SHA384 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_24
AES256 SHA256 SHA256 GROUP_14
AES256 SHA256 SHA256 GROUP_ECP384
AES256 SHA256 SHA256 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_2

IPsec

Cipher 完整性 PFS 组
GCM_AES256 GCM_AES256 GROUP_NONE
GCM_AES256 GCM_AES256 GROUP_24
GCM_AES256 GCM_AES256 GROUP_14
GCM_AES256 GCM_AES256 GROUP_ECP384
GCM_AES256 GCM_AES256 GROUP_ECP256
AES256 SHA256 GROUP_NONE
AES256 SHA256 GROUP_24
AES256 SHA256 GROUP_14
AES256 SHA256 GROUP_ECP384
AES256 SHA256 GROUP_ECP256
AES256 SHA1 GROUP_NONE

在 P2S 的 VPN 网关上配置了哪些 TLS 策略?

TLS

策略
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
**TLS_AES_256_GCM_SHA384
**TLS_AES_128_GCM_SHA256

**仅在使用 OpenVPN 的 TLS1.3 上受支持

如何配置 P2S 连接?

P2S 配置需要相当多的特定步骤。 以下文章包含指导你完成常见 P2S 配置步骤的步骤。

删除 P2S 连接的配置

可以使用 PowerShell 或 CLI 删除某个连接的配置。 有关示例,请参阅常见问题解答

P2S 路由的工作原理是什么?

请参阅以下文章:

常见问题

有多个关于点到站点的常见问题解答条目。 请参阅 VPN 网关常见问题解答,并根据需要留意证书身份验证RADIUS 部分。

后续步骤

“OpenVPN”是 OpenVPN Inc. 的商标。