配置与Azure虚拟网络的点到站点VPN连接

发表于

配置点到站点连接需要多个步骤,但它是建立从计算机到虚拟网络的安全连接的很好方式,无需采购和配置 VPN 设备。配置点到站点 VPN 有 3 个主要部分:虚拟网络和网关、用于身份验证的证书、用于连接到虚拟网络的 VPN 客户端。配置这些部分的顺序非常重要,因此不要省略步骤或跳到前面的步骤。

  1. 配置虚拟网络和动态路由网关
  2. 创建证书
  3. 配置 VPN 客户端

点到站点连接需要具有动态路由网关的虚拟网络。以下步骤可以引导你创建它们。

  1. 登录到“管理门户”
  2. 在屏幕左下角,单击“新建”。在导航窗格中,单击“网络服务”,然后单击“虚拟网络”。单击“自定义创建”以开始配置向导。
  3. “虚拟网络详细信息”页面上,输入以下信息,然后单击右下方的“下一步”箭头。有关详细信息页上的设置的详细信息,请参阅Virtual Network Details page
    • 名称 - 命名你的虚拟网络。例如“VNetEast”。该名称是当你将 VM 和 PaaS 实例部署到此 VNet 时引用的名称。
    • 位置 - 位置直接与你想让资源 (VM) 驻留在的物理位置(区域)有关。例如,如果你希望部署到此虚拟网络的 VM 的物理位置位于East US,请选择该位置。创建虚拟网络后,将无法更改与虚拟网络关联的区域。
  4. “DNS 服务器和 VPN 连接”页面上,输入以下信息,然后单击右下方的“下一步”箭头。有关详细信息,请参阅 DNS Servers and VPN Connectivity page
    • DNS 服务器 - 输入 DNS 服务器名称和 IP 地址,或者从下拉列表中选择一个以前注册的 DNS 服务器。此设置不创建 DNS 服务器,但可以指定要用于对此虚拟网络进行名称解析的 DNS 服务器。如果你希望使用 Azure 默认名称解析服务,请将本部分留空。
    • 配置点到站点 VPN – 选中复选框。
  5. “点到站点连接”页面上,指定你的 VPN 客户端在连接后接收 IP 地址时的 IP 地址范围。关于你能够指定的地址范围,有几条规则。必须确保你指定的范围不与本地网络上的任何范围相重叠,这一点非常重要。有关详细信息,请参阅Point-To-Site Connectivity page页。输入以下信息,然后单击“下一步”箭头。
    • 地址空间 – 包括“起始 IP”和 CIDR(地址数)。
    • 添加地址空间 – 仅在你的网络设计需要时添加。
  6. “虚拟网络地址空间”页上,指定要用于虚拟网络的地址范围。这些都是动态 IP 地址 (DIPS),将分配给你部署到此虚拟网络的 VM 和其他角色实例。有相当多的规则与虚拟网络地址空间有关,因此你需要参阅Virtual Network Address Spaces page以了解详细信息。所选范围不要与本地网络所用地址范围重叠,这一点尤其重要。你需要与网络管理员协调,该管理员可能需要从本地网络地址空间为你划分一个 IP 地址范围,以供你的虚拟网络使用。输入以下信息,然后单击复选标记开始创建虚拟网络。
    • 地址空间 – 添加你希望用于此虚拟网络的内部 IP 地址范围,包括“起始 IP”和“计数”。有相当多的规则与虚拟网络地址空间有关,因此你需要参阅Virtual Network Address Spaces page以了解详细信息。所选范围不要与本地网络所用地址范围重叠,这一点尤其重要。你需要与网络管理员协调,该管理员可能需要从本地网络地址空间为你划分一个 IP 地址范围,以供你的虚拟网络使用。
    • 添加子网 – 附加的子网不是必需的,但你可能需要为具有静态 DIP 的 VM 创建一个单独的子网。或者,你可能需要在子网中拥有与其他角色实例分开的 VM。
    • 添加网关子网 – 网关子网是点到站点 VPN 必需的。单击添加网关子网。网关子网仅用于此虚拟网络网关。
  7. 创建虚拟网络后,将看到在管理门户中“网络”页面上的“状态”下列出“已创建”。创建虚拟网络后,即可创建动态路由网关。
  1. 管理门户中的“网络”页面上,单击刚刚创建的虚拟网络,然后导航到“仪表板”页面。
  2. 单击位于“仪表板”页面底部的“创建网关”。随后将显示一条消息,询问“是否要为虚拟网络‘yournetwork’创建网关”。单击“是”以开始创建该网关。创建网关大约需要 15 分钟。

证书用于针对点到站点 VPN 对 VPN 客户端进行身份验证。此过程具有多个步骤。使用下面的链接,按顺序完成每个步骤。

  1. 生成自签名根证书 - 目前仅支持自签名根证书
  2. 将根证书文件上载到管理门户
  3. 生成客户端证书
  4. 导出和安装客户端证书
  1. 使用证书创建工具 (makecert.exe) 是创建 X.509 证书的一种方法。若要使用 makecert,请下载并安装 用于 Windows 桌面的 Microsoft Visual Studio Express 2013,该软件免费。
  2. 导航到 Visual Studio Tools 文件夹,并以管理员身份启动命令提示符。
  3. 以下示例中的命令将在你的计算机上的“个人”证书存储区中创建和安装根证书,并创建你随后将要上载到管理门户的相应 .cer文件。更改你希望放置 .cer 文件的目录,然后运行下面的命令,其中 RootCertificateName 是你希望用于证书的名称。如果在不进行任何更改的情况下运行以下示例中的命令,则将创建根证书和相应的文件 RootCertificateName.cer

    注意 - 因为你创建了将从其生成客户端证书的根证书,可能需要导出此根证书以及私钥,并将它保存到一个可以恢复的安全位置。

     
     
    makecert -sky exchange -r -n "CN=RootCertificateName" -pe -a sha1 -len 2048 -ss My "RootCertificateName.cer"
  1. 在以前的步骤中生成自签名根证书时,你还创建了 .cer 文件。现在要将该文件上载到管理门户。请注意,.cer 文件不包含根证书的私钥。
  2. 在管理门户中,你的虚拟网络的“证书”页面上,单击“上载根证书”
  3. “上载证书”页面上,浏览查找 .cer 根证书,然后单击复选标记。
  1. 在你用于创建自签名根证书的同一台计算机上,以管理员身份打开 Visual Studio 命令提示符窗口。
  2. 将目录更改为要保存客户端证书文件的位置。RootCertificateName 引用你生成的自签名根证书。如果你运行下面的示例命令(将 RootCertificateName 更改为根证书的名称),则将在你的“个人”证书存储区中生成一个名为“ClientCertificateName”的客户端证书。
  3. 键入下列命令:
     
     
    makecert.exe -n "CN=ClientCertificateName" -pe -sky exchange -m 96 -ss My -in "RootCertificateName" -is my -a sha1
  4. 所有证书均存储在计算机上的“个人”证书存储区中。运行 certmgr 进行验证。可根据此过程生成所需数量的客户端证书。建议为要连接到虚拟网络的每台计算机都创建唯一的客户端证书。
  1. 必须在要连接到虚拟网络的每台计算机上都安装客户端证书。这意味着你可能创建多个客户端证书,然后需要导出它们。若要导出客户端证书,请使用 certmgr.msc。右键单击要导出的客户端证书,单击“所有任务”,然后单击“导出”
  2. 导出客户端证书连同私钥。这将是一个 .pfx 文件。确保记录或记住为此证书设置的密码(密钥)。
  3. .pfx 文件复制到客户端计算机。在客户端计算机上,双击 .pfx 文件以安装它。要求输入密码时请照做。请勿修改安装位置。

为了连接到虚拟网络,你还需要配置 VPN 客户端。客户端需要客户端证书和正确的 VPN 客户端配置才能连接。

  1. 在管理门户中,你的虚拟网络的“仪表板”页面上,导航至右侧的“速览”菜单,然后单击与要连接到虚拟网络的客户端相关的 VPN 程序包。支持以下客户端操作系统:
    • Windows 7(32 位和 64 位)
    • Windows Server 2008 R2(仅限 64 位)
    • Windows 8(32 位和 64 位)
    • Windows 8.1(32 位和 64 位)
    • Windows Server 2012(仅限 64 位)
    • Windows Server 2012 R2(仅限 64 位)

     

    选择下载与所安装到的客户端操作系统对应的程序包:

    • 对于 32 位客户端,选择“下载 32 位客户端 VPN 程序包”
    • 对于 64 位客户端,选择“下载 64 位客户端 VPN 程序包”
  2. 创建客户端程序包需要几分钟时间。创建程序包完毕后,即可下载该文件。下载的 .exe 文件可安全地存储在本地计算机上。
  3. 生成并从管理门户下载 VPN 客户端程序包后,可将该客户端程序包安装到要从其连接到虚拟网络的计算机。如果你计划将 VPN 客户端程序包安装到多台客户端计算机,请确保每台计算机都安装了客户端证书。VPN 客户端程序包中含有用于配置 Windows 内置 VPN 客户端软件的配置信息。该程序包不安装其他软件。
  1. 将配置文件复制到要连接到虚拟网络的计算机本地,然后双击 *.exe文件。安装程序包后,即可启动 VPN 连接。
    note备注
    Microsoft 不对 VPN 客户端配置程序包进行签名。你可能要使用你所在组织的签名服务对该程序包进行签名,或使用 SignTool自行对其进行签名。也可不签名即使用该程序包。但是,如果该程序包未签名,则安装该程序包时将显示警告。 

     

  2. 在客户端计算机上,导航至 VPN 连接,找到你刚才创建的 VPN 连接。它的名称将与虚拟网络相同。单击?连接?。
  3. 随后将显示一条弹出消息,用于为网关终结点创建自签名证书。单击“继续”以使用提升的权限。
  4. “连接”状态页面上,单击“连接”以启动连接。
  5. 如果看到“选择证书”屏幕,请确保所显示的客户端证书是要用于连接的证书。否则,使用下拉箭头选择正确的证书,然后单击“确定”
  6. 现已连接到虚拟网络,并且对于虚拟网络中托管的任何服务和虚拟机具有完全访问权限。
  1. 若要确认 VPN 连接处于活动状态,请打开提升了权限的命令提示符,然后运行 ipconfig/all
  2. 查看结果。请注意,你接收的 IP 地址是点到站点连接地址范围内的某一个地址,该范围是你在创建 VNet 时指定的。结果应与如下内容类似:
     
     
    PPP adapter VNetEast:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : VNetEast
   Physical Address. . . . . . . . . :
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 192.168.130.2(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.255
   Default Gateway . . . . . . . . . :
   NetBIOS over Tcpip. . . . . . . . : Enabled

另请参阅

https://msdn.microsoft.com/zh-cn/library/azure/dn133792.aspx

  1. da shang
    donate-alipay
               donate-weixin weixinpay

发表评论↓↓