Что такое подключение vpn с ad
Перейти к содержимому

Что такое подключение vpn с ad

  • автор:

Условный доступ для VPN-подключения с помощью идентификатора Microsoft Entra

В этом руководстве вы узнаете, как предоставить пользователям VPN доступ к ресурсам с помощью условного доступа Microsoft Entra. С помощью условного доступа Microsoft Entra для подключения к виртуальной частной сети (VPN) можно защитить VPN-подключения. Условный доступ — это подсистема оценки на основе политик, которая позволяет создавать правила доступа для любого подключенного приложения Microsoft Entra.

Необходимые компоненты

Прежде чем приступить к настройке условного доступа для VPN, необходимо выполнить следующие предварительные требования:

  • Условный доступ в идентификаторе Microsoft Entra
  • VPN и условный доступ
  • Вы завершили руководство. Развертывание инфраструктуры AlwaysOn VPN для AlwaysOn VPN или уже настроено vpn-инфраструктуру AlwaysOn в вашей среде.
  • Клиентский компьютер Windows уже настроен с VPN-подключением с помощью Intune. Если вы не знаете, как настроить и развернуть профиль VPN в Intune, см. статью «Развертывание профиля VPN AlwaysOn в Windows 10 или более новых клиентах с помощью Microsoft Intune».

Настройка игнорирования проверки списка отзыва сертификатов (CRL) в EAP-TLS

Клиент EAP-TLS не может подключиться, если сервер NPS не завершает отзыв проверка цепочки сертификатов (включая корневой сертификат). Облачные сертификаты, выданные пользователю идентификатором Microsoft Entra ID, не имеют списка отзыва сертификатов, так как они являются краткосрочными сертификатами с сроком существования в течение одного часа. Необходимо настроить EAP на NPS, чтобы игнорировать отсутствие списка отзыва сертификатов. Так как метод проверки подлинности — EAP-TLS, это значение реестра необходимо только в EAP\13. Если используются другие методы проверки подлинности EAP, то в них также следует добавить значение реестра.

В этом разделе вы добавите IgnoreNoRevocationCheck и NoRevocationCheck . По умолчанию IgnoreNoRevocationCheck и NoRevocationCheck задано значение 0 (отключено).

Дополнительные сведения о параметрах реестра CRL NPS см. в разделе «Настройка списка отзыва сертификатов сервера политики сети» проверка параметров реестра.

Если сервер маршрутизации Windows и удаленный доступ (RRAS) использует NPS для прокси-вызовов RADIUS ко второму NPS, необходимо установить IgnoreNoRevocationCheck=1 на обоих серверах.

Сбой в реализации этого изменения реестра приведет к сбою подключений IKEv2 с использованием облачных сертификатов с PEAP, но подключения IKEv2 с использованием сертификатов проверки подлинности клиента, выданных из локального ЦС, будут продолжать работать.

  1. Откройте regedit.exe на сервере NPS.
  2. Перейдите к HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.
  3. Выберите «Изменить > новое» и выберите значение DWORD (32-разрядная версия) и введите IgnoreNoRevocationCheck.
  4. Дважды щелкните IgnoreNoRevocationCheck и задайте для данных «Значение» значение 1.
  5. Выберите «Изменить > новое» и выберите значение DWORD (32-разрядная версия) и введите NoRevocationCheck.
  6. Дважды щелкните NoRevocationCheck и задайте для данных «Значение» значение 1.
  7. Нажмите кнопку «ОК» и перезагрузите сервер. Перезапуск служб RRAS и NPS недостаточно.
Путь реестра Расширение EAP
HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 Протокол EAP-TLS
HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\25 PEAP

Создание корневых сертификатов для проверки подлинности VPN с помощью идентификатора Microsoft Entra

В этом разделе описана настройка корневых сертификатов условного доступа для проверки подлинности VPN с помощью идентификатора Microsoft Entra, который автоматически создает облачное приложение под названием VPN-сервер в клиенте. Чтобы настроить условный доступ для VPN-подключения, выполните следующие действия:

  1. Создайте VPN-сертификат на портале Azure.
  2. Скачайте этот VPN-сертификат.
  3. Разверните сертификат на VPN-серверах и серверах NPS.

После создания VPN-сертификата в портал Azure идентификатор Microsoft Entra будет сразу же использовать его для выдачи кратковременных сертификатов VPN-клиенту. Важно немедленно развернуть VPN-сертификат на VPN-сервере, чтобы избежать проблем с проверкой учетных данных VPN-клиента.

Когда пользователь пытается подключиться к VPN, VPN-клиент вызывает диспетчер веб-учетных записей (WAM) на клиенте Windows 10. WAM вызывает облачное приложение VPN-сервера. Когда условия и элементы управления в политике условного доступа удовлетворены, идентификатор Microsoft Entra выдает маркер в виде кратковременного (1-часового) сертификата WAM. WAM помещает сертификат в хранилище сертификатов пользователя и передает управление VPN-клиенту.

Затем VPN-клиент отправляет сертификат, выданный идентификатором Microsoft Entra, в VPN для проверки учетных данных.

Идентификатор Microsoft Entra использует последний созданный сертификат в колонке VPN-подключения в качестве издателя. Конечные сертификаты VPN-подключения к VPN-подключению Microsoft Entra теперь поддерживают надежные сопоставления сертификатов, требование проверки подлинности на основе сертификатов, введенное КБ 5014754. Конечные сертификаты VPN-подключения теперь включают расширение SID (1.3.6.1.4.1.311.25.2), которое содержит закодированную версию идентификатора безопасности пользователя, полученную из атрибута onPremisesSecurityIdentifier.

Чтобы создать корневые сертификаты, выполните приведенные действия.

  1. Войдите на портал Azure как глобальный администратор.
  2. В меню слева выберите идентификатор Microsoft Entra.
  3. На странице идентификатора записи Майкрософт в разделе «Управление» щелкните «Безопасность«.
  4. На странице «Безопасность» в разделе «Защита» щелкните условный доступ.
  5. Условный доступ | Страница «Политики» в разделе «Управление» щелкните vpn-Подключение ivity.
  6. На странице VPN connectivity (VPN-подключение) щелкните Новый сертификат.
  7. На новой странице выполните следующие действия: a. В течение срока выбора выберите 1, 2 или 3 года. b. Нажмите кнопку создания.

Настройка политики условного доступа

В этом разделе описана настройка политики условного доступа для VPN-подключения. При создании первого корневого сертификата в колонке «VPN-подключение» он автоматически создает облачное приложение VPN-сервера в клиенте.

Создайте политику условного доступа, назначенную группе пользователей VPN, и область облачное приложение на VPN-сервер:

  • Пользователи: VPN-пользователи
  • Облачное приложение: VPN-сервер
  • Предоставление (управление доступом): «Требовать многофакторную проверку подлинности». При желании можно использовать другие элементы управления.

Процедура. Этот шаг охватывает создание самой базовой политики условного доступа. При желании можно использовать дополнительные условия и элементы управления.

  1. На странице условного доступа в верхней части панели инструментов нажмите кнопку «Добавить«. Select add on conditional access page
  2. На новой странице в поле «Имя» введите имя политики. Например, введите политику VPN. Add name for policy on conditional access page
  3. В разделе «Назначение» выберите «Пользователи и группы«. Select users and groups
  4. На странице Пользователи и группы выполните следующие действия: Select test usera. Выберите «Выбрать пользователей и группы«. b. Выберите Выбрать. c. На странице «Выбор» выберите группу пользователей VPN и нажмите кнопку «Выбрать«. d. На странице «Пользователи и группы» нажмите кнопку «Готово«.
  5. На странице Создать выполните следующие действия: Select cloud appsa. В разделе «Назначения» выберите «Облачные приложения«. b. На странице «Облачные приложения» выберите » Выбрать приложения«. d. Выберите VPN-сервер.
  6. На новой странице, чтобы открыть страницу «Предоставление» в разделе «Элементы управления«, выберите «Предоставить«. Select grant
  7. На странице Предоставить выполните следующие действия: Select require multi-factor authenticationa. Выберите Требовать многофакторную проверку подлинности. b. Выберите Выбрать.
  8. На странице «Создать» в разделе «Включить политику» нажмите кнопку «Включить«. Enable policy
  9. На странице «Создать» нажмите кнопку «Создать«.

Развертывание корневых сертификатов условного доступа в локальной службе AD

В этом разделе описано, как развернуть доверенный корневой сертификат для проверки подлинности VPN в локальной службе AD.

    На странице подключения VPN выберите «Скачать сертификат«.

Примечание. Параметр скачивания сертификата base64 доступен для некоторых конфигураций, требующих сертификатов base64 для развертывания.

Примечание. В средах, где VPN-сервер не присоединен к домену Active Directory, необходимо добавить в хранилище доверенных корневых центров сертификации доверенные корневые центры сертификации вручную.

Команда Description
certutil -dspublish -f VpnCert.cer RootCA Создает два контейнера корневого ЦС MICROSOFT VPN 1-го поколения под контейнерами ЦС CN=AIA и CN=Сертификации и публикует каждый корневой сертификат в качестве значения в атрибуте cACertificate обоих контейнеров корневого ЦС Microsoft VPN 1-го поколения.
certutil -dspublish -f VpnCert.cer NTAuthCA Создает один контейнер CN=NTAuthCertificates под контейнерами CN=AIA и CN=Certificate Authority и публикует каждый корневой сертификат в качестве значения в атрибуте cACertificate контейнера CN=NTAuthCertificates.
gpupdate /force Ускоряет добавление корневых сертификатов на сервер Windows и клиентские компьютеры.
  1. Войдите на сервер с правами Enterprise Администратор с установленными средствами управления центром сертификации.

По умолчанию устанавливаются серверы центра сертификации. Их можно установить на других серверах-членах в рамках средств Администратор istration Role в диспетчер сервера.

  1. На VPN-сервере в меню введите pkiview.msc, чтобы открыть диалоговое окно Enterprise PKI.
  2. В меню введите pkiview.msc, чтобы открыть диалоговое окно «Корпоративный PKI».
  3. Щелкните правой кнопкой мыши PKI Enterprise и выберите пункт «Управление контейнерами AD».
  4. Убедитесь, что каждый сертификат корневого ЦС MICROSOFT VPN 1-го поколения присутствует в:
    • NTAuthCertificates
    • Контейнер AIA
    • Контейнер центров сертификации

Создание профилей VPNv2 на основе OMA-DM на устройствах Windows 10

В этом разделе описано, как создать профили VPNv2 на основе OMA с помощью Intune для развертывания политики конфигурации VPN-устройств.

  1. В портал Azure выберите «Профили конфигурации>устройств Intune» и выберите профиль VPN, созданный в разделе «Настройка VPN-клиента» с помощью Intune >.
  2. В редакторе политик выберите свойства>Параметры>Base VPN. Расширьте существующий xml EAP, чтобы включить фильтр, который дает VPN-клиенту логику, которую он должен получить сертификат условного доступа Microsoft Entra из хранилища сертификатов пользователя, а не оставить его, чтобы позволить ему использовать первый обнаруженный сертификат.

Примечание. Без этого VPN-клиент может получить сертификат пользователя, выданный локальным центром сертификации, что приведет к сбою VPN-подключения.

Intune portal

Найдите раздел, заканчивающийся , и вставьте следующую строку между этими двумя значениями, чтобы предоставить VPN-клиенту логику, чтобы выбрать сертификат условного доступа Microsoft Entra:

AAD Conditional Access1.3.6.1.4.1.311.87AAD Conditional Access 
  • Выберите колонку условного доступа и переключите условный доступ для этого VPN-подключения включено . Включение этого параметра изменяет true в XML-файле профиля VPNv2. Conditional Access for Always On VPN - Properties
  • Нажмите ОК.
  • Выберите «Назначения», в разделе «Включить» выберите «Выбрать группы», чтобы включить.
  • Выберите правильную группу, которая получает эту политику, и нажмите кнопку «Сохранить«. CAP for Auto VPN Users - Assignments
  • Принудительное синхронизация политик MDM на клиенте

    Если профиль VPN не отображается на клиентском устройстве, в разделе Параметры\Network и Internet\VPN можно принудительно синхронизировать политику MDM.

    1. Войдите на клиентский компьютер, присоединенный к домену, в качестве члена группы VPN-пользователей .
    2. В меню введите учетную запись и нажмите клавишу ВВОД.
    3. В области навигации слева выберите «Доступ к рабочей или учебной среде«.
    4. В разделе «Доступ к рабочим или учебным заведениям» выберите Подключение в MDM, а затем выберите «Сведения«.
    5. Выберите «Синхронизация» и убедитесь, что профиль VPN отображается в разделе Параметры\Network и Internet\VPN.

    Следующие шаги

    Вы настроите профиль VPN для использования условного доступа Microsoft Entra.

    • Дополнительные сведения о том, как работает условный доступ с виртуальными сетями, см. в статье VPN и условный доступ.
    • Дополнительные сведения о расширенных функциях VPN см. в статье «Дополнительные функции VPN».
    • Общие сведения о VPNv2 CSP см. в статье VPNv2 CSP. В этом разделе приведен обзор VPNv2 CSP.

    Удаленный доступ к корпоративной сети с помощью VPN Текст научной статьи по специальности «Компьютерные и информационные науки»

    Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Ярмак Дмитрий Анатольевич

    В статье рассматривается пример удаленного доступа на сеть предприятия. Есть 4 основных типа реализации такой системы, рассматривать все мы не будем, рассмотрим только одну. Данной системы у нас в университете нет, поэтому хотел реализовать данный пример для дальнейшего обучения студентов. В данной статье будет использовано оборудование производства Cisco, так как это самое доступное и часто используемое оборудование. Также будут использованы сервера и пример конфигурации для работоспособности данной схемы. Какие мы рассмотрим далее.

    i Надоели баннеры? Вы всегда можете отключить рекламу.

    Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Ярмак Дмитрий Анатольевич

    Оценка эффективности тушения пожаров в резервуарных парках с помощью стационарных робототехнических комплексов

    Сокращение времени тушения пожаров в резервуарных парках с помощью стационарных робототехнических средств

    Реализация ультразвукового расходомера воды на основе время-импульсного метода

    Устройство врезки в продуктопровод для подачи воздушно-механической огнетушащей пены в горящий резервуар

    Исследование статистики применения пожарной техники для тушения пожаров
    i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
    i Надоели баннеры? Вы всегда можете отключить рекламу.

    Текст научной работы на тему «Удаленный доступ к корпоративной сети с помощью VPN»

    5. Кремлевский П.П. Расходомеры и счетчики количества. Л.: Машиностроение, 1989. 701 с.

    6. Using PICOSTRAIN® with piezo-resistive sensors, Data Sheet, AN030_e V0.0, Acam-Messelectronic GmbH, 2011.

    УДАЛЕННЫЙ ДОСТУП К КОРПОРАТИВНОЙ СЕТИ С ПОМОЩЬЮ VPN Ярмак Д.А. Email: Yarmak1134@scientifictext.ru

    Ярмак Дмитрий Анатольевич — студент магистратуры, физико-технический факультет, Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования Кубанский государственный университет, г. Краснодар

    Аннотация: в статье рассматривается пример удаленного доступа на сеть предприятия. Есть 4 основных типа реализации такой системы, рассматривать все мы не будем, рассмотрим только одну. Данной системы у нас в университете нет, поэтому хотел реализовать данный пример для дальнейшего обучения студентов. В данной статье будет использовано оборудование производства Cisco, так как это самое доступное и часто используемое оборудование. Также будут использованы сервера и пример конфигурации для работоспособности данной схемы. Какие — мы рассмотрим далее. Ключевые слова: VPN, сервер с TMG, активном каталоге, сервер терминалов.

    REMOTE ACCESS TO THE CORPORATE NETWORK VIA VPN

    Yarmak Dmitriy Anatolevich — graduate student, PHYSICAL-TECHNICAL FACULTY, FEDERAL STATE BUDGETARY EDUCATIONAL INSTITUTION OF HIGHER PROFESSIONAL EDUCATION KUBAN STATE UNIVERSITY, KRASNODAR

    Abstract: the article is an example of remote access to the enterprise network. There are 4 main types of implementation of such a system, we will not consider all of them, we will consider only one. We do not have this system at our university, so I wanted to implement this example, for further training of students. In this article, Cisco equipment will be used, as this is the most affordable and frequently used equipment. In the same way, the server and the configuration example for the operation of this circuit will be used. Which we consider below.

    Keywords: VPN, Server, TMG, Active directory, terminal Server.

    Начнем с того, что собственно такое VPN — это технология, обеспечивающая защищенную (закрытую от внешнего доступа) связь логической сети поверх частной или публичной при наличии высокоскоростного интернета [2].

    Я хочу рассказать об одном из решений, которое действительно работает, на собственном опыте. Отличие описано в 3 пунктах:

    1. На стороне пользователя необходимо минимальное вмешательство в настройки — необходим стандартный функционал ОС Windows;

    2. Удаленный пользователь работает на сервере терминалов, что обеспечивает его необходимой средой для выполнения своих должностных обязанностей;

    3. Легкое управление доступом к ресурсам предприятия. Начнем с того, что нам необходимо:

    Сервер с TMG и Сервер терминалов. На предприятии эти два сервера — виртуальная машина, подключенная на hyper-v.

    Еще нам необходимы 2 не занятые сети. Предоставление доступа к ресурсам разделим на три этапа:

    1. Доступ pptp в изолированную сеть vpn-клиентов.

    2. Доступ по rdp на сервер терминалов.

    3. Прямой доступ с сервера терминалов к ресурсам компании по любой маске.

    4. Доступ с помощью pptp в сеть vpn-клиентов.

    Рис. 1. Общая схема подключения и описание этапов

    Доступ с помощью pptp в сеть vpn-клиентов. Для того чтобы воплотить это, необходим pptp сервер, будем пользоваться cisco, ничего не мешает прописать pptp с пограничного маршрутизатора\ firewall на TMG\ISA, которой будем пользоваться для доступа клиентов к ресурсам и поднять pptp сервер на ней. Ниже представлена часть конфигурации, которая отвечает за pptp.

    username ias_usei password 7 0101570109065500755S1B0C4F044011530F5D2F7A743B62643 useiname ias_guest passwaid 7 120B5416401S5F3B7E2C713D653075005F025A

    ip virtual-reassembly max-fragments £4 max-reassemblles 25 5

    access-list 170 permit udp 172.22.4.0 0.0.0.255 host 172.22.1.201 eq domain access-list 170 permit tcp 172.22.4.0 0.0.0.255 host 172.22.3.1 eq 33S9

    access-list 170 permit tcp 172.22.4.0 0.0.0.255 host 172.22.3.1 eq ww

    Важнейший момент — организация сети vpn-клиентов с возможностью соединения из нее только на сервер терминалов на порт rdp.

    Доступ по rdp на сервер терминалов.

    Клиент подключен к pptp [3] серверу и имеет доступ на сервер терминалов, благодаря удаленному рабочему столу реализуется подключение к серверу терминалов, учетные данные при подключении — доменная учетная запись пользователя. Тут необходимо немного пояснить: В активном каталоге создаются группы согласно маске, предположим у нас четыре группы ресурсов, поделенные по темам. Тема 1, Тема 2, Тема 3 и общие. Следовательно в активном каталоге делаем 4 группы безопасности, так же сделаем Тема 1, Тема 2, Тема 3 участниками группы «общие». А группе «общие» сделаем доступ на сервер терминалов. Для подключения удаленного доступа каждому пользователю AD мы будем добавлять его в нужную группу.

    Прямой доступ с сервера терминалов к ресурсам компании по любой маске доступа. Для воплощения этого в жизнь потребуется настроить TMGMSA, так как данная статья не носит в себе смысла инструкции, не будем детально рассматривать настройки firewall, выделим важные моменты:

    — В TMG внешней сетью является наша локальная сеть [1].

    — Внутренней является сеть с сервером терминалов.

    — На сервере терминалов находится TMGMSA клиент (других вариантов нет), это необходимо, чтобы мы могли присваивать нужные правила пользователям.

    — Следовательно, все правила в firewall присваиваются к созданным нами группам Тема 1, Тема 2, Тема 3 и общие.

    Список литературы / References

    1. МельниковД.А. Системы и сети передачи данных: учебник. А. Мельников. М., 2013.

    2. ОлейникА.И., Сизов А.В. ИТ-Инфраструктура, 2001 г.

    3. Кочукова Е.В., Павлова О.В., Рафтопуло Ю.Б. Система экспертных оценок в информационном обеспечении учёных // Информационное обеспечение науки. Новые технологии: Сб. науч. тр. М.: Научный Мир, 2009. С. 190-199.

    СОКРАЩЕНИЕ ВРЕМЕНИ ТУШЕНИЯ ПОЖАРОВ В РЕЗЕРВУАРНЫХ ПАРКАХ С ПОМОЩЬЮ СТАЦИОНАРНЫХ РОБОТОТЕХНИЧЕСКИХ

    Керимов У.А. Email: Kerimov1134@scientifictext.ru

    Керимов Умар Абакарович — магистрант, направление: пожарная безопасность, кафедра пожарной тактики и основ аварийно-спасательных и других неотложных работ, Ивановская пожарно-спасательная академия Государственной противопожарной службы Министерства Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий, г. Иваново

    Аннотация: в статье рассматриваются вопросы совершенствования системы тушения пожаров в резервуарах с хранением нефтепродуктов с помощью робототехнических комплексов. Произведен количественный анализ тушения пожаров с применением существующих способов тушения пожаров и с комплексным использованием стационарных роботизированных лафетных стволов и средств обнаружения пожара, для охлаждения горящего и соседнего резервуаров в автономном режиме, на основе этого анализа выявлено, что применение робототехнических средств позволит не только сократить время тушения пожара, но и сократить количество личного состава оперативных подразделений, привлекаемого на проведение мероприятий по охлаждению резервуаров. Ключевые слова: тушение пожара, аварийно-спасательные работы, нефтепродукты, резервуарные парки, пожарно-техническое вооружение.

    REDUCTION IN TIME EXTINGUISH FIRES IN TANK FARMS USING CONVENTIONAL ROBOTIC TOOLS Kerimov U.A.

    Kerimov Umar Abakarovich — Master’s degree, DIRECTION: FIRE SAFETY, FIRE DEPARTMENT AND TACTICS FUNDAMENTALS OF RESCUE AND OTHER EMERGENCY OPERATIONS IVANOVO FIRE AND RESCUE ACADEMY OF THE STATE FIRE SERVICE OF THE MINISTRY OF THE RUSSIAN FEDERATION FOR CIVIL DEFENSE, EMERGENCIES AND ELIMINATION OF CONSEQUENCES OF NATURAL DISASTERS, IVANOVO

    Abstract: the article deals with the improvement of the fire extinguishing system in the storage tanks of petroleum products with the help of robotic systems. Produced by quantitative analysis of extinguishing fires using existing methods of fire extinguishing and complex use of stationary robotic fire monitors and fire detection means for cooling, burning and neighboring tanks offline, on the basis of this analysis revealed that the use of robotic tools will not only reduce the time fire suppression, but also reduce the number ofpersonnel operating units attracted to the event by cooling tanks.

    Keywords: firefighting, emergency rescue, petroleum tank farms, fire-technical equipment.

    Тушение пожаров в резервуарных парках связано со значительными трудностями, кроме того, пожары наносят колоссальный материальный ущерб и сопровождаются человече скими жертвами. Как правило, при возникновении пожара в резервуарном парке, силы и средства объектовых оперативных подразделений вводятся на экстренную эвакуацию персонала организации из зон воздействия опасных факторов пожара. Установленное законодательством Российской Федерации время прибытия пожарно — спасательных подразделений варьируется от 10 до 20 минут, в зависимости от территориального расположения. Эти два фактора создают условия для динамичного развития пожара в резервуарном парке [1]. По прибытию к месту вызова оперативных подразделений, первоочередными мероприятиями являются сосредоточение сил и средств на охлаждение резервуаров, горящего и соседних [10].

    Сведения о VPN-подключениях типа «точка — сеть»

    Подключение типа «точка — сеть» через VPN-шлюз позволяет создать безопасное подключение к виртуальной сети с отдельного клиентского компьютера. Подключение P2S сначала устанавливается на клиентском компьютере. Это эффективное решение для сотрудников, которым нужно подключаться к виртуальным сетям Azure из удаленного расположения, например, если они находятся дома или на конференции. Такую конфигурацию также удобно использовать вместо VPN-подключения типа «сеть — сеть» при наличии небольшого числа клиентов, которым требуется подключение к виртуальной сети. Эта статья посвящена модели развертывания Resource Manager.

    Какой протокол используется при подключении «точка — сеть»?

    В VPN-подключении «точка — сеть» может использоваться один из следующих протоколов:

    • Протокол OpenVPN® — это VPN-протокол на основе SSL/TLS. Это решение для VPN-подключений на основе TLS позволяет проходить через брандмауэры, так как большинство брандмауэров открывают для исходящего трафика TCP-порт 443, которым пользуется TLS. OpenVPN можно использовать для подключения с устройств Android, iOS (начиная с версии 11.0), Windows, Linux и Mac (macOS, начиная с версии 10.13).
    • SSTP (Secure Socket Tunneling Protocol) — проприетарный VPN-протокол на основе TLS. Это решение для VPN-подключений на основе TLS позволяет проходить через брандмауэры, так как большинство брандмауэров открывают для исходящего трафика TCP-порт 443, которым пользуется TLS. Протокол SSTP поддерживается только на устройствах Windows. Azure поддерживает все версии Windows с протоколом SSTP и поддержкой протокола TLS 1.2 (Windows 8.1 и более поздние версии).
    • IKEv2 VPN — решение VPN на основе стандартов IPsec. IKEv2 VPN можно использовать для подключения с устройств Mac (macOS версии 10.11 и выше).

    Протоколы IKEv2 и OpenVPN для подключений типа «точка — сеть» доступны только для модели развертывания с использованием Resource Manager. Они недоступны для классической модели развертывания.

    Как выполняется аутентификация VPN-клиентов при подключениях типа «точка — сеть»?

    Прежде чем Azure примет VPN-подключение «точка — сеть», пользователь сначала должен пройти аутентификацию. В Azure существует два механизма для аутентификации подключающегося пользователя.

    Проверка подлинности на основе сертификата

    При использовании собственной аутентификации Azure на основе сертификата подключающийся пользователь проверяется с помощью сертификата клиента на устройстве. Сертификаты клиентов создаются из доверенного корневого сертификата и устанавливается на каждом клиентском компьютере. Можно использовать корневой сертификат, созданный с помощью корпоративного решения, или создать самозаверяющий сертификат.

    Проверка сертификатов клиентов выполняется VPN-шлюзом, когда устанавливается VPN-подключение «точка — сеть». Для проверки требуется корневой сертификат, который следует передать в Azure.

    Проверка подлинности Microsoft Entra

    Проверка подлинности Microsoft Entra позволяет пользователям подключаться к Azure с помощью учетных данных Microsoft Entra. Встроенная проверка подлинности Microsoft Entra поддерживается только для протокола OpenVPN, а также требует использования VPN-клиента Azure. Поддерживаемые клиентские операционные системы — Windows 10 или более поздней версии и macOS.

    С помощью собственной проверки подлинности Microsoft Entra можно использовать функции условного доступа Microsoft Entra и многофакторной проверки подлинности (MFA) для VPN.

    На высоком уровне необходимо выполнить следующие действия, чтобы настроить проверку подлинности Microsoft Entra:

    1. Настройка клиента Microsoft Entra
    2. Включение проверки подлинности Microsoft Entra в шлюзе
    3. Загрузите последнюю версию установочных файлов VPN-клиента Azure, используя одну из следующих ссылок:
      • Выполните установку с использованием установочных файлов клиента: https://aka.ms/azvpnclientdownload.
      • Установите напрямую после входа на клиентский компьютер: Microsoft Store.

    Доменный сервер Active Directory (AD)

    Аутентификация домена AD позволяет пользователям подключаться к Azure с помощью учетных данных домена организации. Для этой проверки требуется сервер RADIUS, который интегрирован с сервером AD. Организации также могут использовать существующее развертывание RADIUS.

    Сервер RADIUS можно развернуть локально или в виртуальной сети Azure. Во время аутентификации VPN-шлюз Azure выполняет роль транзитного шлюза и переадресовывает сообщения аутентификации между сервером RADIUS и подключаемым устройством. Поэтому необходимо обеспечить доступность сервера RADIUS для шлюза. Если сервер RADIUS развернут локально, то для обеспечения доступности требуется VPN-подключение «сеть — сеть» из Azure к локальному сайту.

    Сервер RADIUS также можно интегрировать со службами сертификации AD. Эта интеграция позволяет использовать развернутый сервер RADIUS с корпоративным сертификатом для аутентификации сертификата подключения «точка — сеть» вместо аутентификации Azure на основе сертификата. Преимущество этой аутентификации заключается в том, что не нужно передавать в Azure корневые сертификаты и отмененные сертификаты.

    Сервер RADIUS также можно интегрировать с другими системами внешних идентификаторов. Благодаря этой возможности для VPN-подключений «точка — сеть» доступно множество вариантов аутентификации, в том числе и варианты многофакторной аутентификации.

    Diagram that shows a point-to-site VPN with an on-premises site.

    Каковы требования к конфигурации клиента?

    Требования к конфигурации клиента зависят от используемого VPN-клиента, типа проверки подлинности и протокола. В следующей таблице показаны доступные клиенты и соответствующие статьи для каждой конфигурации.

    Проверка подлинности Тип туннеля Создание файлов конфигурации Настройка VPN-клиента
    Сертификат Azure IKEv2, SSTP Windows Собственный VPN-клиент
    Сертификат Azure OpenVPN Windows — Клиент OpenVPN
    — VPN-клиент Azure
    Сертификат Azure IKEv2, OpenVPN macOS-iOS macOS-iOS
    Сертификат Azure IKEv2, OpenVPN Linux Linux
    Microsoft Entra ID OpenVPN (SSL) Windows Windows
    Microsoft Entra ID OpenVPN (SSL) macOS macOS
    RADIUS — сертификат Статья Статья
    RADIUS — пароль Статья Статья
    RADIUS — другие методы Статья Статья

    Начиная с 1 июля 2018 года прекращается поддержка TLS 1.0 и TLS 1.1 в VPN-шлюзе Azure. VPN-шлюз будет поддерживать только TLS 1.2. Затрагиваются только подключения «точка — сеть», но не подключения «сеть — сеть». Если вы используете TLS для VPN-подключений «точка — сеть» на клиентах с Windows 10 или более поздней версии, никаких действий не требуется. Если вы используете TLS для подключений «точка — сеть» клиентов с Windows 7 и Windows 8, обратитесь к разделу VPN-шлюз: вопросы и ответы за инструкциями по обновлению.

    Какие номера SKU шлюза поддерживают VPN-подключение «точка — сеть»?

    В следующей таблице показаны номера SKU шлюза по туннелям, подключению и пропускной способности. Дополнительные таблицы и дополнительные сведения об этой таблице см. в разделе SKU шлюза статьи о параметрах VPN-шлюз.

    VPN
    Шлюз
    Поколение
    SKU Подключение «сеть — сеть» или «виртуальная сеть — виртуальная сеть»
    Туннели
    Подключение «точка — сеть»
    Подключения SSTP
    Подключение «точка — сеть»
    Подключения IKEv2/OpenVPN
    Агрегат
    Тест пропускной способности
    BGP Избыточность между зонами Поддерживаемая численность виртуальных машин в виртуальная сеть
    Поколение1 Базовая Макс. 10 Макс. 128 Не поддерживается 100 Мбит/с Не поддерживается No 200
    Поколение1 VpnGw1 Макс. 30 Макс. 128 Макс. 250 650 Мбит/с Поддерживается No 450
    Поколение1 VpnGw2 Макс. 30 Макс. 128 Макс. 500 1 Гбит/с Поддерживается No 1300
    Поколение1 VpnGw3 Макс. 30 Макс. 128 Макс. 1000 1,25 Гбит/с Поддерживается No 4000
    Поколение1 VpnGw1AZ Макс. 30 Макс. 128 Макс. 250 650 Мбит/с Поддерживается Да 1000
    Поколение1 VpnGw2AZ Макс. 30 Макс. 128 Макс. 500 1 Гбит/с Поддерживается Да 2000
    Поколение1 VpnGw3AZ Макс. 30 Макс. 128 Макс. 1000 1,25 Гбит/с Поддерживается Да 5000
    Поколение2 VpnGw2 Макс. 30 Макс. 128 Макс. 500 1,25 Гбит/с Поддерживается No 685
    Поколение2 VpnGw3 Макс. 30 Макс. 128 Макс. 1000 2,5 Гбит/с Поддерживается No 2240
    Поколение2 VpnGw4 Макс. 100* Макс. 128 Макс. 5000 5 Гбит/с Поддерживается No 5300
    Поколение2 VpnGw5 Макс. 100* Макс. 128 Макс. 10000 10 Гбит/с Поддерживается No 6700
    Поколение2 VpnGw2AZ Макс. 30 Макс. 128 Макс. 500 1,25 Гбит/с Поддерживается Да 2000
    Поколение2 VpnGw3AZ Макс. 30 Макс. 128 Макс. 1000 2,5 Гбит/с Поддерживается Да 3300
    Поколение2 VpnGw4AZ Макс. 100* Макс. 128 Макс. 5000 5 Гбит/с Поддерживается Да 4400
    Поколение2 VpnGw5AZ Макс. 100* Макс. 128 Макс. 10000 10 Гбит/с Поддерживается Да 9000

    Номер SKU «Базовый» имеет ограничения и не поддерживает проверку подлинности IKEv2, IPv6 или RADIUS. Дополнительные сведения см. в статье о параметрах VPN-шлюз.

    Какие политики IKE/IPsec настроены на VPN-шлюзах для подключения «точка — сеть»?

    В таблицах этого раздела показаны значения политик по умолчанию. Однако они не отражают доступные поддерживаемые значения для пользовательских политик. Сведения о пользовательских политиках см . в разделе «Принятые значения «, перечисленные в командлете PowerShell New-AzVpnClientIpsecParameter .

    IKEv2

    Шифр Целостность PRF Группа DH
    GCM_AES256 GCM_AES256 SHA384 GROUP_24
    GCM_AES256 GCM_AES256 SHA384 GROUP_14
    GCM_AES256 GCM_AES256 SHA384 GROUP_ECP384
    GCM_AES256 GCM_AES256 SHA384 GROUP_ECP256
    GCM_AES256 GCM_AES256 SHA256 GROUP_24
    GCM_AES256 GCM_AES256 SHA256 GROUP_14
    GCM_AES256 GCM_AES256 SHA256 GROUP_ECP384
    GCM_AES256 GCM_AES256 SHA256 GROUP_ECP256
    AES256 SHA384 SHA384 GROUP_24
    AES256 SHA384 SHA384 GROUP_14
    AES256 SHA384 SHA384 GROUP_ECP384
    AES256 SHA384 SHA384 GROUP_ECP256
    AES256 SHA256 SHA256 GROUP_24
    AES256 SHA256 SHA256 GROUP_14
    AES256 SHA256 SHA256 GROUP_ECP384
    AES256 SHA256 SHA256 GROUP_ECP256
    AES256 SHA256 SHA256 GROUP_2

    IPsec

    Шифр Целостность Группа PFS
    GCM_AES256 GCM_AES256 GROUP_NONE
    GCM_AES256 GCM_AES256 GROUP_24
    GCM_AES256 GCM_AES256 GROUP_14
    GCM_AES256 GCM_AES256 GROUP_ECP384
    GCM_AES256 GCM_AES256 GROUP_ECP256
    AES256 SHA256 GROUP_NONE
    AES256 SHA256 GROUP_24
    AES256 SHA256 GROUP_14
    AES256 SHA256 GROUP_ECP384
    AES256 SHA256 GROUP_ECP256
    AES256 SHA1 GROUP_NONE

    Какие политики TLS настроены на VPN-шлюзах для подключения «точка — сеть»?

    TLS

    Политики
    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    TLS_RSA_WITH_AES_128_GCM_SHA256
    TLS_RSA_WITH_AES_256_GCM_SHA384
    TLS_RSA_WITH_AES_128_CBC_SHA256
    TLS_RSA_WITH_AES_256_CBC_SHA256

    Как настроить подключение «точка — сеть»?

    Для настройки подключения «точка — сеть» необходимо выполнить ряд определенных действий. В следующих статьях содержатся действия, которые показано, как выполнить общие действия по настройке P2S.

    • Проверка подлинности сертификата
    • Проверка подлинности RADIUS
    • Настройка OpenVPN для подключения «точка — сеть» VPN-шлюза Azure (предварительная версия)

    Удаление конфигурации подключения «точка — сеть»

    Конфигурацию подключения можно удалить с помощью PowerShell или CLI. Примеры см. в разделе часто задаваемых вопросов.

    Как работает маршрутизация P2S

    См. следующие статьи:

    • Сведения о маршрутизации VPN-подключений «точка — сеть»
    • Объявление настраиваемых маршрутов

    Вопросы и ответы

    Существует несколько разделов с часто задаваемыми вопросами о P2S на основе проверки подлинности.

    • Часто задаваемые вопросы: проверка подлинности на основе сертификата.
    • Часто задаваемые вопросы: проверка подлинности RADIUS

    Next Steps

    • Настройка подключения «точка — сеть» — проверка подлинности Azure на основе сертификата
    • Настройка подключения типа «точка — сеть» к виртуальной сети с использованием аутентификации RADIUS и PowerShell

    OpenVPN является товарным знаком OpenVPN Inc.

    Запуск VPN соединения до входа в Windows

    date

    10.11.2023

    user

    itpro

    directory

    PowerShell, Windows 10, Windows 11, Windows Server 2019

    comments

    комментариев 18

    По умолчанию встроенный VPN клиент Windows позволяет подключиться к VPN серверу только после входу пользователя в систему. Это создает проблемы для компьютеров/ноутбуков, которые состоят в домене Active Directory и подключаются к доменной сети через VPN. Конечно, пользователь может войти на свой компьютер под кэшированными учетными данными домена (cached credentials) и после этого запустить VPN. Но у такого пользователей постоянно будут появляться проблемы с доступом к общим сетевым папкам и другим доменным ресурсам (особенно после смены пароля в домене).

    Windows позволяет установить подключение с VPN серверу до входа пользователя в систему. В этом случае пользователь после установления VPN подключения выполнит полноценную аутентификацию на контроллере домена AD.

    В предыдущих версиях Windows это можно было реализовать с помощью опции “Allow other people to use this connection” в настройках VPN подключения. Но в современных версиях Windows 10 и 11 эта опция отсутствует.

    VPN подключение - опция Allow other people to use this connection

    В новых версиях Windows можно создать общее VPN подключения из командной строки PowerShell. Например, для L2TP VPN подключения с общим ключом используется команда:

    Add-VpnConnection -Name WorkVPN_L2TP -ServerAddress x.x.x.x -TunnelType L2TP -L2tpPsk «str0ngSharedKey2» -EncryptionLevel Required -AuthenticationMethod MSChapv2 -RememberCredential -AllUserConnection $true –PassThru

    Особенности использования L2TP/IPsec VPN подключений в Windows.

    В данном случае опция -AllUserConnection $true позволяет создать VPN подключение, которое доступно всем пользователям Windows, в том числе на экране входа.

    Чтобы создать другие типы VPN подключений (PPTP, SSTP, IKEv2), обратитесь к примерам использования командлета Add-VpnConnection в статье “Управление VPN подключениями в Windows из PowerShell”.

    В дальнейшем вы можете изменить настройки общего VPN подключения из графического интерфейса панели управления (ncpa.cpl).

    Если VPN подключение уже создано в вашем профиле, вы можете сделать его общим, скопировав файл rasphone.pbk из каталога %userprofile%\AppData\Roaming\Microsoft\Network\Connections\PBK в C:\ProgramData\Microsoft\Network\Connections\PBK .

    rasphone.pbk скопировать VPN подключение для всех пользователей

    Теперь на экране входа в Windows нужно нажать значок сетевого подключения в правом нижнем углу.

    VPN подключение на экране входа в Windows

    Введите имя и пароль пользователя для VPN подключения.

    Имя и пароль пользователя для L2TP подключения до входа в Windows

    После этого ваш компьютер должен установить подключение, и вы можете войти в Windows под своей доменной учетной записью.

    Подключиться к VPN до входа пользователя в Windows

    Если VPN подключение прервется, пользователь может самостоятельно переподключиться из панели управления (или настроить автоматическое переподключение к VPN).

    Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

    Читайте далее в разделе PowerShell Windows 10 Windows 11 Windows Server 2019

    page

    page

    page

    Ищем источник блокировки учетной записи пользователя в Active Directory

    Настройка проброса сетевых портов (порт форвардинг) в Windows

    Установка и настройка сервера обновлений WSUS на Windows Server

    Быстрая настройка FTP-сервера на Windows Server и Windows 10/11

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *