为 VPN 客户端进行点到站点配置:RADIUS - 其他方法和协议
若要通过点到站点 (P2S) 连接到虚拟网络,需要配置将从中进行连接的客户端设备。 本文帮助你创建和安装用于 RADIUS 身份验证(其使用证书或密码身份验证以外的方法)的 VPN 客户端配置。
如果你使用 RADIUS 身份验证,我们提供了多种身份验证说明:证书身份验证、密码身份验证以及其他身份验证方法和协议。 每种身份验证的 VPN 客户端配置各个不同。 若要配置 VPN 客户端,可以使用包含所需设置的客户端配置文件。
注意
从 2018 年 7 月 1 日开始,Azure VPN 网关将不再支持 TLS 1.0 和 1.1。 VPN 网关将仅支持 TLS 1.2。 仅点到站点连接会受到影响;站点到站点连接不受影响。 如果要在 Windows 10 及更高版本客户端上将 TLS 用于点到站点 VPN,则无需执行任何操作。 如果在 Windows 7 和 Windows 8 客户端上使用 TLS 建立点到站点连接,请参阅 VPN 网关常见问题解答,了解更新说明。
工作流
P2S RADIUS 身份验证的配置工作流如下:
获取适用于所选身份验证选项的 VPN 客户端配置,用其设置 VPN 客户端(本文)。
重要
如果在生成 VPN 客户端配置文件后,点到站点 VPN 配置(例如 VPN 协议类型或身份验证类型)发生了变化,则必须生成新的 VPN 客户端配置并将其安装在用户设备上。
若要使用其他身份验证类型(例如 OTP),或者要使用其他身份验证协议(例如,使用 PEAP-MSCHAPv2 而不是 EAP-MSCHAPv2),则必须创建自己的 VPN 客户端配置文件。 如果已使用 RADIUS 和 OpenVPN 配置点到站点 VPN,则目前 PAP 是网关和 RADIUS 服务器之间唯一支持的身份验证方法。 创建配置文件需要虚拟网关 IP 地址、隧道类型、拆分隧道路由等信息。 可通过以下步骤获取该信息。
生成 VPN 客户端配置文件
可使用 Azure 门户或 PowerShell 生成 VPN 客户端配置文件。
Azure 门户
- 导航到虚拟网关。
- 单击“点到站点配置” 。
- 单击“下载 VPN 客户端”。
- 选择客户端,并填充请求的任何信息。
- 单击“下载”,生成 .zip 文件 。
- .zip 文件通常下载到 Downloads 文件夹。
Azure PowerShell
使用 Get-AzVpnClientConfiguration cmdlet 生成适用于 EapMSChapv2 的 VPN 客户端配置。
查看文件并配置 VPN 客户端
解压缩 VpnClientConfiguration.zip 文件,查找 GenericDevice 文件夹。 忽略包含适用于 64 位和 32 位体系结构的 Windows 安装程序的文件夹。
GenericDevice 文件夹包含名为 VpnSettings 的 XML 文件。 此文件包含所有必需的信息:
- VpnServer:Azure VPN 网关的 FQDN。 这是客户端连接到的地址。
- VpnType:用于进行连接的隧道类型。
- Routes:为了仅通过 P2S 隧道发送为 Azure 虚拟网络绑定的流量而需要在配置文件中配置的路由。
GenericDevice 文件夹还包含一个名为 VpnServerRoot 的 .cer 文件。 该文件包含在设置 P2S 连接期间验证 Azure VPN 网关所需的根证书。 在要连接到 Azure 虚拟网络的所有设备上安装该证书。
使用文件中的设置来配置 VPN 客户端。
后续步骤
返回到相关文章,完成 P2S 配置。
有关 P2S 故障排除信息,请参阅排查 Azure 点到站点连接问题。