Azure Point-to-Site VPN (Classic)

使用经典管理门户配置与 VNet 的点到站点连接

注意:

  在次文章中是采用经典门户中只能去管理经典模式下的资源

   经典-经典管理门户

使用点到站点 (P2S) 配置可以创建从单个客户端计算机到虚拟网络的安全连接。如果要从远程位置(例如从家里或会议室)连接到 VNet,或者只有少数几个需要连接到虚拟网络的客户端,则 P2S 连接会很有用。

本文逐步讲解如何使用经典管理门户,在经典部署模型中创建具有点到站点连接的 VNet。

点到站点连接不需要 VPN 设备或面向公众的 IP 地址即可运行。可通过从客户端计算机启动连接来建立 VPN 连接。有关点到站点连接的详细信息,请参阅 VPN Gateway FAQ(VPN 网关常见问题)及 Planning and Design(规划和设计)。

P2S 连接的部署模型和方法

请务必了解 Azure 当前使用两种部署模型:Resource Manager (https://portal.azure.cn)和经典部署模型(https://manage.windowsazure.cn)。开始配置前,请确认使用的是针对想要使用的部署模型的说明。这两个模型不是完全兼容的。

例如,如果使用通过经典部署模型创建的虚拟网络,且想要将连接添加到 VNet,则需要使用对应于经典部署模型(而不是 Resource Manager 部署模型)的部署方法。如果使用通过 Resource Manager 部署模型创建的虚拟网络,则需要使用对应于 Resource Manager 部署模型(而不是经典部署模型)的部署方法。

有关部署模型的信息,请参阅了解 Resource Manager 部署和经典部署

通常是有三种部署方法:Azure门户预览、经典管理门户、PowerShell

    两种部署模型:经典、资源管理器

针对P2S,我们可以在Azure门户预览中部署经典或者资源管理器两种方式的P2S

        部署类型有两种:分别为经典、资源管理器

总结为:

部署模型/方法 Azure 门户预览 经典管理门户 PowerShell
经典 文章 文章 支持
资源管理器 文章 不支持 文章

 

基本工作流

Azure的虚拟网络VNet1,同时有两个子网(10.10.0.0/16、10.11.0.0/16)虚拟网关 Gateway VIP:131.1.1.1

期间是采用P2S SSTP 的安全传输方式(SSTP是微软提供的新一代的虚拟专用网(VPN)技术,它的全称是安全套接层隧道协议(Secure Socket Tunneling Protocol;sstp),和PPTP L2TP OVER IPsec一样,也是微软所提供的VPN技术。在拥有最大弹性发挥的同时,又确保信息安全达到了一定程度)

以下步骤逐步建立与虚拟网络的安全点到站点连接。

点到站点连接的配置分为四个部分。必须遵循这些部分的先后顺序完成配置。请不要跳过步骤。

  • 第 1 部分创建虚拟网络和 VPN 网关。
  • 第 2 部分创建并上载用于身份验证的证书。
  • 第 3 部分导出并安装客户端证书。
  • 第 4 部分配置 VPN 客户端。

第 1 部分 - 创建虚拟网络和 VPN 网关

第 1 部分:创建虚拟网络

  1) 登录到 Azure 经典管理门户。(https://manage.windowsazure.cn)这些步骤使用经典管理门户而不是 Azure 门户预览(资源组模式:Resource Manager (https://portal.azure.cn))

  2)在屏幕左下角,单击“新建”。在导航窗格中,单击“网络服务”,然后单击“虚拟网络”。单击“自定义创建”以启动配置向导。

  

  3) 在“虚拟网络详细信息”页上,输入以下信息,然后单击右下角的“下一步”箭头。

    名称 - 为虚拟网络命名。例如“VNet1”。将 VM 部署到此 VNet 时,需要引用此名称。

    位置:位置直接与你想让资源 (VM) 驻留在的物理位置(区域)有关。例如,如果你希望部署到此虚拟网络的 VM 的物理位置位于中国东部,请选择该位置。创建虚拟网络后,将无法更改与虚拟网络关联的区域。

  

  4) 在“DNS 服务器和 VPN 连接”页上,输入以下信息,然后单击右下角的“下一步”箭头。

  •      DNS 服务器:输入 DNS 服务器名称和 IP 地址,或从快捷菜单中选择一个以前注册的 DNS 服务器。此设置不创建 DNS 服务器。此设置允许指定要用于对此虚拟网络进行名称解析的 DNS 服务器。如果你想要使用 Azure 默认名称解析服务,请将本部分留空。
  •      配置点到站点 VPN:选中此复选框。

  

  5) 在“点到站点连接”页上,指定你的 VPN 客户端在连接后接收 IP 地址时的 IP 地址范围。有几个与用户能够指定的地址范围相关的规则。必须确保指定的范围与本地网络上的任何范围不重叠。

  如图:为客户端设置了192.168.0.0的地址段和24的子段

  

  6) 请输入以下信息,然后单击“下一步”箭头。

    地址空间:包括“起始 IP”和 CIDR(地址计数)。

    添加地址空间:仅在网络设计需要时才添加地址空间。

  7)在“虚拟网络地址空间”页上,指定要用于虚拟网络的地址范围。这些都是动态 IP 地址 (DIPS),将分配给部署到此虚拟网络的 VM 和其他角色实例。

    所选范围不要与本地网络所用范围重叠,这一点尤其重要。必须与网络管理员协调,他们可能需要从本地网络地址空间划分一个 IP 地址范围供虚拟网络使用。

   8)输入以下信息,然后单击复选标记即可创建虚拟网络。

  

    地址空间:添加要用于此虚拟网络的内部 IP 地址范围,包括起始 IP 和计数。所选范围不要与本地网络所用范围重叠,这一点非常重要。

    添加子网:附加的子网不是必需的,但你可能需要为具有静态 DIP 的 VM 创建一个单独的子网。或者,你可能需要在子网中拥有与其他角色实例分开的 VM。

    添加网关子网:网关子网是点到站点 VPN 所必需的。单击此项可添加网关子网。网关子网仅用于虚拟网络网关。

  正在创建

  

   9)创建虚拟网络后,可以在 Azure 经典管理门户中的“网络”页上,看到“状态”下面列出了“已创建”。创建虚拟网络后,便可以创建动态路由网关。

  

  

第 2 部分:创建动态路由网关

必须将网关类型配置为动态。静态路由网关无法使用此功能。

  1. 在 Azure 经典管理门户的“网络”页上,单击创建的虚拟网络,然后导航到“仪表板”页。
  2. 单击位于“仪表板”页底部的“创建网关”。此时会出现一条消息,询问“是否要为虚拟网络‘VNet1’创建网关”。单击“是”即可开始创建网关。创建网关可能需要大约 15 分钟。

  

  

第 2 部分 - 生成并上载证书

证书用于对点到站点 VPN 的 VPN 客户端进行身份验证。可以使用企业证书解决方案生成的证书,或使用自签名证书。最多可以将 20 个根证书上载到 Azure。上载 .cer 文件后,Azure 可以使用其中包含的信息验证已安装客户端证书的客户端。客户端证书必须通过 .cer 文件代表的同一个证书生成。

本部分的任务包括:

  • 获取根证书的 .cer 文件。这可以是自签名证书,也可以使用企业证书系统。
  • 将 .cer 文件上载到 Azure。
  • 生成客户端证书。

附件:makecert.exe工具下载

例如:使用makecert.exe在本地客户端上创建证书(makecert.exe包含在Visual Studio中) 如果没有Visual Studio 以上的下载地址可以下载Makecert.exe工具

  1) 在makecert.exe目录下执行下面命令生成客户端根证书

  

makecert -sky exchange -r -n"CN=RootCertificateName" -pe -a sha1 -len 2048 -ss My "RootCertificateName.cer"

  该目录下会生成RootCertificateName.cer证书文件,并且该命令将在你的计算上的"个人"证书存储区中创建和安装根证书。

  

  2)将该证书上载到管理门户。点击之前创建的虚拟网路demonet,点击证书,然后点击上载根证书。

  将C:\RootCertificateName.cer证书文件上传。

  

  3)再生成一条客户端证书,使用下面的命令

  

makecert.exe -n "CN=ClientCertificateName" -pe -sky exchange -m 96 -ss My -in "RootCertificateName" -is my -a sha1

  

  另外我们通过MMC打开证书控制台,可以发现新增的两个证书。

第 1 部分:获取根证书的 .cer 文件

如果使用企业证书系统,请获取要使用的根证书的 .cer 文件。在第 3 部分,将从根证书生成客户端证书。

如果你使用的不是企业证书解决方案,则需生成自签名根证书。有关适用于 Windows 10 的步骤,请参阅 Working with self-signed root certificates for Point-to-Site configurations(为点到站点配置使用自签名根证书)。本文逐步讲解如何使用 makecert 生成自签名证书,然后导出 .cer 文件。

第 2 部分:将根证书 .cer 文件上载到 Azure 经典管理门户

将受信任的证书添加到 Azure。在将 Base64 编码 X.509 (.cer) 文件添加到 Azure 时,则是在告诉 Azure 信任该文件所代表的根证书。

  1. 在 Azure 经典管理门户的虚拟网络“证书”页上,单击“上载根证书”。
  2. 在“上载证书”页上,浏览 .cer 根证书,然后单击复选标记。

第 3 部分:生成客户端证书

接下来,生成客户端证书。可以为每个要连接的客户端生成唯一证书,也可以在多个客户端上使用相同的证书。生成唯一客户端证书的优势是能够根据需要吊销单个证书。否则,如果每个人都使用相同的客户端证书,在需要吊销某个客户端的证书时,必须为所有使用该证书进行身份验证的客户端生成并安装新证书。

  • 如果使用企业证书解决方案,请使用公用名称值格式“[email protected]”(而不是 NetBIOS“DOMAIN\username” 格式)生成客户端证书。
  • 如果使用自签名的证书解决方案,请参阅 Working with self-signed root certificates for Point-to-Site configurations(为点到站点配置使用自签名根证书)生成客户端证书。

第 3 部分 - 导出并安装客户端证书

在要连接到虚拟网络的每台计算机上安装客户端证书。身份验证时需要客户端证书。可以自动安装客户端证书,也可以手动安装。以下步骤指导如何手动导出和安装客户端证书。

  1. 若要导出客户端证书,可以使用 certmgr.msc。右键单击要导出的客户端证书,单击“所有任务”,然后单击“导出”。
  2. 导出包含私钥的客户端证书。这是一个 .pfx 文件。请确保记录或记住为此证书设置的密码(密钥)。
  3. 将 .pfx 文件复制到客户端计算机。在客户端计算机上,双击 .pfx 文件,安装该证书。系统请求你输入密码时,请输入相应的密码。请勿修改安装位置。

第 4 部分 - 配置 VPN 客户端

若要连接到虚拟网络,还需配置 VPN 客户端。客户端要求你提供客户端证书和正确的 VPN 客户端配置才能进行连接。若要配置 VPN 客户端,请按顺序执行以下步骤。

第 1 部分:创建 VPN 客户端配置包

  1. 在 Azure 经典管理门户中虚拟网络的“仪表板”页上,导航到右上角的速览菜单。有关客户端支持的操作系统列表,请参阅“VPN Gateway FAQ”(VPN 网关常见问题)中的 Point-to-Site connections(点到站点连接)部分。VPN 客户端包中含有用于配置 Windows 内置 VPN 客户端软件的配置信息。该程序包不安装额外的软件。这些设置与要连接到的特定虚拟网络相关。

    选择与要在其中安装包的客户端操作系统对应的下载包:

    • 对于 32 位客户端,请选择“下载 32 位客户端 VPN 程序包”。
    • 对于 64 位客户端,请选择“下载 64 位客户端 VPN 程序包”。
  2. 创建客户端程序包需要花费几分钟的时间。安装完程序包后,便可以下载文件。你下载的 .exe 文件可以安全地存储在本地计算机上。
  3. 在 Azure 经典管理门户中生成和下载 VPN 客户端程序包后,可以将客户端程序包安装在客户端计算机上,需要从该计算机连接到虚拟网络。如果你计划将 VPN 客户端程序包安装到多台客户端计算机,请确保每台计算机都安装了客户端证书。

第 2 部分:在客户端上安装 VPN 配置包

  1. 将配置文件通过本地方式复制到需要连接到虚拟网络的计算机上,然后双击 .exe 文件。
  2. 安装完程序包后,即可启动 VPN 连接。Microsoft 没有对配置包进行签名。可能需要使用组织的签名服务对程序包进行签名,也可以自行使用 SignTool 对其签名。可以使用不签名的程序包。但如果程序包未签名,则在安装该程序包时,会显示一条警告。
  3. 在客户端计算机上,导航到“网络设置”,然后单击“VPN”。此时将会列出连接。其中显示了要连接到的虚拟网络的名称,如下所示:

第 3 部分:连接到 Azure

  1. 若要连接到 VNet,请在客户端计算机上导航到 VPN 连接,找到创建的 VPN 连接。其名称与虚拟网络的名称相同。单击“连接”。可能会出现与使用证书相关的弹出消息。如果出现此消息,请单击“继续”以使用提升的权限。
  2. 在“连接”状态页上,单击“连接”开始连接。如果你看到“选择证书”屏幕,请确保所显示的客户端证书就是你要用来连接的证书。如果不是,请使用下拉箭头选择正确的证书,然后单击“确定”。

  3. 现在应已建立连接。

第 4 部分:验证 VPN 连接

  1. 若要验证你的 VPN 连接是否处于活动状态,请打开提升的命令提示符,然后运行 ipconfig/all
  2. 查看结果。请注意,你收到的 IP 地址是点到站点连接地址范围中的一个地址,该范围是你在创建 VNet 时指定的。结果应大致如下所示:

示例:

PPP adapter VNet1:    Connection-specific DNS Suffix .:    Description.....................: VNet1    Physical Address................:    DHCP Enabled....................: No    Autoconfiguration Enabled.......: Yes    IPv4 Address....................: 192.168.130.2(Preferred)    Subnet Mask.....................: 255.255.255.255    Default Gateway.................:    NetBIOS over Tcpip..............: Enabled

后续步骤

时间: 2024-12-28 13:57:38

Azure Point-to-Site VPN (Classic)的相关文章

连接到Windows Azure Point to Site VPN

Windows Azure支持两种模式的VPN接入: Site to Site,接入端需要有固定的公网IP地址,用于连接局域网和Windows Azure的虚拟网络. Point to Site,客户端使用Windows SSTP拨号,只支持Windows操作系统.用于开发测试和运维. 通过Point to Site VPN连接到Windows Azure,可以有效的提升系统安全——减少对外开放的端口数量,只保留应用程序的对外服务端口而关闭系统维护端口.例如:一个Web Server,只开放80

Microsoft Azure Point to Site VPN替代方案

Microsoft Azure提供了Point to Site VPN,但有时候这并不能满足我们的需求,例如:Point to Site VPN是SSTP VPN,只能支持Window客户端拨入,而且客户端总数不能超过200个.这里我们介绍一个Point to Site VPN的替代方案——OpenVPN,不限制客户端拨入数量,并且支持Window,MAC OSX,Linux,Android和IOS!当然还是免费的.(此方案仅支持Microsoft Azure中国版,在Microsoft Azu

Azure 国际篇_新旧版本迁移_Site to Site VPN(一)

从所周知,Azure 国际版有分传统(Classic)和资源管理(ARM)版本的区别,默认条件下这两个版本的虚拟机是不能通信的.所以要把虚拟机迁移到新的管理平台ARM上,目前我想到的方法有两种:1.传统(Classic)和资源管理(ARM)版本的虚拟网络的VPN打通:2.把传统(Classic)的虚拟机的VHD文件拷贝到资源管理(ARM).两种方法各有优缺点,方法一不用移动虚拟机down town时间短,但是两个版本的虚拟机通过vpn连接可能不稳定.方法二迁移虚拟机文件到新平台ARM,这是长久使

Azure配置Site To Site VPN

本文介绍如何在在Azure和本地数据中心之间建立Site To Site VPN 1. 添加本地网络 点击新建 点击添加本地网络 输入名称,IP地址并点击 输入起始IP,现在CIDR,并点击√ .完成本地网络的添加 2. 注册DNS服务器 点击新建 点击网络服务-虚拟网络-注册DNS服务器 输入名称,DNS IP地址,点击注册DNS服务器 3. 配置Site to Site 选择对应的虚拟网络,并点击 点击配置 选择DNS服务器,勾选连接本地网络,选择连接到的本地网络,然后点击保存 4. 创建网

构建混合云:配置Azure site to site VPN连接(1)

用户在构建自己云计算解决方案的时候,往往会选择私有云或者公有云来做部署,但在一些场景下,用户更加希望通过混合云的方案来满足自己的业务需求.Azure为混合云的部署提供多种不同的连接方案,最常见的是P2S VPN,S2S VPN, ExpressRoute(专线路由),本文来介绍一下S2S VPN的实际配置案例. 在开始正式配置之前,你需要一些最基本的条件需要满足,才能配置你的Site to Site VPN连接: 确保你的VPN设备在微软的VPN设备兼容列表里面,设备兼容列表请参照: https

使用Openswan接入Windows Azure Site to Site VPN

Winodows Azure的Site to Site VPN支持主流的防火墙和路由器等接入设备.具体型号和系列请参考下表: VENDOR DEVICE FAMILY MINIMUM OS VERSION STATIC ROUTING DYNAMIC ROUTING Allied Telesis AR Series VPN Routers 2.9.2 Coming soon Not compatible Barracuda Networks, Inc. Barracuda NG Firewall

Azure Site to Site VPN 配置手册

目录 1    Azure Site to Site VPN配置前的准备    1 1.1    设备兼容    1 1.2    网络要求和注意事项    1 2    配置Azure site to site VPN网络    1 2.1    添加虚拟网络:    1 3    配置VPN网关    1 3.1    创建网关    1 3.2    配置vpn网关    1 3.3    VPN硬件设备配置    1 3.4    获取共享密钥    1 4    硬件设备VPN配置  

ASDM through site to site VPN

网上大部分文档只提到两个地方需要设置: 在6.2版本确实可以.但在7.2版本上只有用vpn client或anyconnect client连上的客户端可以用ASDM连上ASA,而通过site to site VPN的还不行.7.2上还有一个地方要设置:

Azure使用RRAS配置Site to Site VPN(1)

许多公司考虑到云端数据中心的安全和稳定性,混合云现在成为了很多公司的选择.不同地区间网络的连接,传统多以专线连接方式来解决.这种解决方案通常投资巨大,因为专线线路的价格与带宽及距离成正比,也就是当距离越远,带宽越大,则费用就越贵.Microsoft Azure的网络架构特别针对企业私有云和混合云进行了设计. 微软针对现在企业混合云的需求推出了多种模式,Point to site(点到站点)Site to site (站点到站点),Express Route(专线模式)等方式,客户可以根据自己的选

构建混合云:配置Azure site to site VPN连接(2)

那么接下来的部分,我们开始正式配置S2S VPN: 首先配置本地网络,什么是本地网络呢?如果你在Azure上配置,本地网络意思是你自己的数据中心需要和Azure进行连接的网络段,而不是Azure上的网络段,这一点一定要清楚,不能配错,进入Azure管理界面,单击新建->网络服务虚拟网络->添加本地网络: 添加本地网络名称,VPN设备的IP地址请找你的网络管理员获得,如果暂时不知道也可以略过: 设置本地的网络地址空间,需要注意的是: 本地设置的地址空间必须和你实际数据中心的完全一致(针对设备Ci