Главная » Linux

Файл конфигурации vpn windows

Содержание
  1. Настройка OpenVPN клиента
  2. Установка
  3. Windows
  4. Linux CentOS
  5. Linux Ubuntu
  6. Android
  7. Настройка
  8. Пример конфигурационного файла
  9. Параметры конфигурационного файла
  10. Сертификаты
  11. Создание и установка файлов конфигурации VPN-клиента для аутентификации при подключениях типа «точка — сеть» с использованием RADIUS Create and install VPN client configuration files for P2S RADIUS authentication
  12. Проверка имени пользователя и пароля Username/password authentication
  13. 1. Создание файлов конфигурации VPN-клиента 1. Generate VPN client configuration files
  14. Портал Azure Azure portal
  15. Azure PowerShell Azure PowerShell
  16. 2. Настройка VPN-клиентов 2. Configure VPN clients
  17. Настройка VPN-клиента Windows Windows VPN client setup
  18. Настройка VPN-клиента Mac (OS X) Mac (OS X) VPN client setup
  19. Установка VPN-клиента Linux с помощью strongSwan Linux VPN client setup through strongSwan
  20. Аутентификация на основе сертификата Certificate authentication
  21. 1. Создание файлов конфигурации VPN-клиента 1. Generate VPN client configuration files
  22. 2. Настройка VPN-клиентов 2. Configure VPN clients
  23. Настройка VPN-клиента Windows Windows VPN client setup
  24. Настройка VPN-клиента Mac (OS X) Mac (OS X) VPN client setup
  25. Работа с другими протоколами или типами аутентификации Working with other authentication types or protocols

Настройка OpenVPN клиента

В данной инструкции подробно описан процесс настройки клиента OpenVPN на примере операционных систем Windows и Linux. Также, с ее помощью можно настроить скиента на Android.

Установка

Windows

Заходим на официальную страницу загрузки openvpn и скачиваем клиента для нужной Windows:

Запускаем скачанный файл и устанавливаем программу, нажимая «Далее».

Linux CentOS

Устанавливаем репозиторий EPEL:

yum install epel-release

yum install openvpn

Linux Ubuntu

apt-get install openvpn

Android

Установка выполняется из Google Play. Набираем в поиске OpenVPN Connect — нажимаем установить и принимаем условия.

Настройка

После установки программы конфигурационный файл не создается автоматически и его нужно создать вручную.

В системах Windows создаем файл config.ovpn в папке %programfiles%\OpenVPN\config.

* имя файла может быть любым, расширение должно быть .ovpn.

Для создания конфигурационного файла в Linux выполняем команду:

* чтобы служба openvpn автоматически выполняла соединение, необходимо, чтобы конфигурационный файл назывался client.conf.

Пример конфигурационного файла

client
dev tun
proto udp
remote 192.168.0.15 443
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
dh dh2048.pem
tls-client
tls-auth ta.key 1
float
keepalive 10 120
comp-lzo
verb 0

Параметры конфигурационного файла

Параметр Значения Описание
client Строка говорит о том, что конфигурационный файл описывает клиентское подключение (программа сама устанавливает соединение, а не ждет, как сервер).
dev tap или tun Выбор виртуального сетевого драйвера. TUN — сетевой уровень модели OSI, оперирует IP-пакетами. TAP — эмулирует Ethernet устройство и работает на канальном уровне модели OSI, оперируя кадрами Ethernet. Настраивая OpenVPN клиента, в большинстве случаев, необходимо выбирать tun. TAP необходимо использовать для работы определенных сервисов, например DHCP.
dev-node любая строка Параметр используется в системах Windows в случаях, если имеется несколько сетевых интерфейсов. Значение этого параметра должно содержать название сетевого подключения, через который должен работать OpenVPN.
proto udp или tcp Указывает, какой протокол использовать для передачи данных. В большинстве случаев, лучше использовать UDP, так как данный протокол создает меньше нагрузки на сеть.
remote VPN-сервер и порт Задает сервер, к которому должен подключаться клиент, а также сетевой порт (по умолчанию 1194), на котором OpenVPN принимает запросы. Можно указать несколько строк.
remote-random Если указано несколько строк remote, данный параметр говорит, что необходимо подключаться к удаленным серверам в случайном порядке.
resolv-retry количество секунд или infinite Используется в тех случаях, когда в качестве сервера указано доменное имя. Параметр задает время в секундах для повторного переподключения, если не удалось узнать имя сервера. infinite — держать связь с сервером постоянно.
nobind Клиент использует динамический порт для подключения.
user учетная запись Задает определенного пользователя для работы клиента (только для UNIX-систем).
group группа Задает определенную группу для работы клиента (только для UNIX-систем).
persist-key Не перечитывает ключи при перезагрузке сервиса OpenVPN.
persist-tun Не перечитывает параметры туннеля при перезагрузке сервиса OpenVPN.
http-proxy сервер прокси и порт Использовать прокси-сервер для подключения.
http-proxy-retry Переподключаться к прокси-серверу, если связь была разорвана.
http-proxy-timeout количество секунд Время, через которое выполнять попытки переподключения к прокси-серверу.
mute-replay-warnings Параметр стоит задавать при использовании беспроводного соединения. Он отключит дублирование предупреждений пакетов.
ca пут к сертификату Корневой сертификат удостоверяющего центра. Генерируем на сервере.
cert пут к сертификату Открытый ключ клиента. Генерируем на сервере.
key пут к сертификату Закрытый ключ клиента. Генерируем на сервере.
dh пут к сертификату Ключ с алгоритмом Diffie-Hellman (Диффи-Хеллмана).
remote-cert-tls сервер Исключает возможность mitm атаки, включая верификацию сертификата сервера.
tls-client Указание на то, что это клиент TLS.
tls-auth ta.key 1 Дополнительный уровень аутентификации посредством ключа TLS.
float Удаленный хост может менять IP-адрес в процессе соединения, при этом последнее не будет разорвано.
keepalive секунд1 секунд2 Пинговать каждые секунд1 сервер и если в течение секунд2 не будут получены ответные пакеты, перезапустить подключение.
cipher алгоритм Указывает алгоритм шифрования. Примеры: AES-256-CBC, AES-128-CBC, BF-CBC, DES-EDE3-CBC.
comp-lzo Использовать сжатие.
verb число от 0 до 9 Уровень детализации лога. 0 отключает отладочную информацию.
mute число Указывает сколько лог-сообщений может отображаться для каждой категории события.
auth-user-pass ничего или путь к файлу Говорит клиенту, что необходима аутентификация. Если не указан путь к файлу, клиент выкинет окно для авторизации, иначе прочитает данные из файла.
ipchange команда или путь к скрипту Выполняет команду при смене IP.
connect-retry секунд Переподключиться к серверу через указанное количество секунд, если соединение было разорвано.
connect-retry-max число Сколько раз повторять соединение, если оно было разорвано.
shaper байт Задает максимальную скорость передачи данных для исходящего трафика.
tun-mtu число Задает MTU.
status путь к файлу Путь к фалу хранения статуса.
log путь к файлу Путь к лог-файлу.
askpass путь к файлу Путь к файлу с паролем для приватного ключа (private key password).

Наиболее полный и актуальный список параметров для OpenVPN можно получить командой openvpn —help (в Linux и Windows).

Сертификаты

Клиентские сертификаты генерируются на стороне сервера. Процедура следующая.

Создание и установка файлов конфигурации VPN-клиента для аутентификации при подключениях типа «точка — сеть» с использованием RADIUS Create and install VPN client configuration files for P2S RADIUS authentication

Для установления подключения «точка— сеть» к виртуальной сети необходимо настроить клиентское устройство, из которого будет выполняться подключение. To connect to a virtual network over point-to-site (P2S), you need to configure the client device that you’ll connect from. Вы можете создавать VPN-подключения P2S из клиентских устройств Windows, OS X и Linux. You can create P2S VPN connections from Windows, OS X, and Linux client devices.

При использовании проверки подлинности RADIUS доступно несколько способов проверки подлинности: по имени пользователя и паролю, на основе сертификата, а также другие типы проверки подлинности. When you’re using RADIUS authentication, there are multiple authentication options: username/password authentication, certificate authentication, and other authentication types. Настройка VPN-клиента отличается для каждого типа аутентификации. The VPN client configuration is different for each type of authentication. Для настройки VPN-клиента используются файлы конфигурации клиента, содержащие необходимые параметры. To configure the VPN client, you use client configuration files that contain the required settings. Эта статья поможет создать и установить конфигурацию VPN-клиента для используемого типа аутентификации RADIUS. This article helps you create and install the VPN client configuration for the RADIUS authentication type that you want to use.

Начиная с 1 июля 2018 года прекращается поддержка TLS 1.0 и TLS 1.1 в VPN-шлюзе Azure. Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. VPN-шлюз будет поддерживать только TLS 1.2. VPN Gateway will support only TLS 1.2. Затрагиваются только подключения «точка — сеть». Подключения «сеть — сеть» не затрагиваются. Only point-to-site connections are impacted; site-to-site connections will not be affected. Если вы используете TLS для VPN-подключений «точка — сеть» на клиентах Windows 10, не нужно предпринимать никаких действий. If you’re using TLS for point-to-site VPNs on Windows 10 clients, you don’t need to take any action. Если вы используете TLS для подключений «точка — сеть» клиентов Windows 7 и Windows 8, обратитесь к разделу Собственная аутентификация Azure с использованием сертификата для подключений типа «точка — сеть» за инструкциями по обновлению. If you are using TLS for point-to-site connections on Windows 7 and Windows 8 clients, see the VPN Gateway FAQ for update instructions.

Ниже приведен рабочий процесс настройки аутентификации RADIUS для подключений типа «точка — сеть». The configuration workflow for P2S RADIUS authentication is as follows:

  1. Настройте VPN-шлюз Azure для подключения P2S. Set up the Azure VPN gateway for P2S connectivity.
  2. Настройте сервер RADIUS для проверки подлинности. Set up your RADIUS server for authentication.
  3. Получите конфигурацию VPN-клиента для выбранного варианта проверки подлинности и используйте ее для настройки VPN-клиента (эта статья). Obtain the VPN client configuration for the authentication option of your choice and use it to set up the VPN client (this article).
  4. Настройте и установите подключение «точка — сеть». Complete your P2S configuration and connect.

Если вы создали профиль конфигурации VPN-клиента, а затем внесли изменения в конфигурацию VPN-подключения «точка — сеть» (например, изменили тип VPN-протокола или проверки подлинности), создайте и установите новую конфигурацию VPN-клиента на устройствах пользователей. If there are any changes to the point-to-site VPN configuration after you generate the VPN client configuration profile, such as the VPN protocol type or authentication type, you must generate and install a new VPN client configuration on your users’ devices.

Чтобы использовать разделы этой статьи, сначала решите, какой тип аутентификации вы хотите использовать: по имени пользователя и паролю, на основе сертификата или другие типы аутентификации. To use the sections in this article, first decide which type of authentication you want to use: username/password, certificate, or other types of authentication. В каждом разделе есть шаги для Windows, OS X и Linux (в настоящее время доступны ограниченные действия). Each section has steps for Windows, OS X, and Linux (limited steps available at this time).

Проверка имени пользователя и пароля Username/password authentication

Вы можете настроить проверку подлинности по имени пользователя и паролю с или без Active Directory. You can configure username/password authentication to either use Active Directory or not use Active Directory. При любом сценарии убедитесь, что у всех пользователей есть учетные данные (имя пользователя и пароль), которые могут использоваться при аутентификации RADIUS. With either scenario, make sure that all connecting users have username/password credentials that can be authenticated through RADIUS.

При настройке аутентификации по имени пользователя и паролю можно создать только конфигурацию для протокола аутентификации по имени пользователя и паролю EAP-MSCHAPv2. When you configure username/password authentication, you can only create a configuration for the EAP-MSCHAPv2 username/password authentication protocol. В командах для параметра -AuthenticationMethod укажите значение EapMSChapv2 . In the commands, -AuthenticationMethod is EapMSChapv2 .

1. Создание файлов конфигурации VPN-клиента 1. Generate VPN client configuration files

Файлы конфигурации VPN-клиента можно создать с помощью портал Azure или с помощью Azure PowerShell. You can generate the VPN client configuration files by using the Azure portal, or by using Azure PowerShell.

Портал Azure Azure portal

  1. Перейдите к шлюзу виртуальной сети. Navigate to the virtual network gateway.
  2. Щелкните Конфигурация «точка — сеть«. Click Point-to-Site configuration.
  3. Щелкните скачать VPN-клиент. Click Download VPN client.
  4. Выберите клиент и заполните все запрошенные сведения. Select the client and fill out any information that is requested.
  5. Нажмите кнопку скачать , чтобы создать ZIP-файл. Click Download to generate the .zip file.
  6. ZIP-файл будет скачан, как правило, в папку загрузки. The .zip file will download, typically to your Downloads folder.

Azure PowerShell Azure PowerShell

Создайте файлы конфигурации VPN-клиента для аутентификации имени пользователя и пароля. Generate VPN client configuration files for use with username/password authentication. Вы можете создать файлы конфигурации VPN-клиента с помощью следующей команды: You can generate the VPN client configuration files by using the following command:

Выполненная команда возвращает ссылку. Running the command returns a link. Скопируйте и вставьте ссылку на веб-браузер, чтобы скачать VpnClientConfiguration.zip. Copy and paste the link to a web browser to download VpnClientConfiguration.zip. Распакуйте файл. Отобразятся следующие папки: Unzip the file to view the following folders:

  • WindowsAmd64 и WindowsX86. Эти папки содержат пакеты установщика 64- и 32-разрядной версий Windows соответственно. WindowsAmd64 and WindowsX86: These folders contain the Windows 64-bit and 32-bit installer packages, respectively.
  • Generic. Эта папка содержит общие сведения для создания конфигурации VPN-клиента. Generic: This folder contains general information that you use to create your own VPN client configuration. Эта папка не требуется, чтобы настроить проверку подлинности по имени пользователя и пароля. You don’t need this folder for username/password authentication configurations.
  • Mac. Если при создании шлюза виртуальной сети настроен протокол IKEv2, отобразится папка с именем Mac, которая содержит файл mobileconfig. Mac: If you configured IKEv2 when you created the virtual network gateway, you see a folder named Mac that contains a mobileconfig file. Этот файл используется для настройки клиентов Mac. You use this file to configure Mac clients.

Если вы уже создали файлы конфигурации клиента, получить их можно с помощью командлета Get-AzVpnClientConfiguration . If you already created client configuration files, you can retrieve them by using the Get-AzVpnClientConfiguration cmdlet. Но если изменить конфигурацию VPN-подключения «точка — сеть», например изменить тип VPN-протокола или проверки подлинности, конфигурация не обновится автоматически. But if you make any changes to your P2S VPN configuration, such as the VPN protocol type or authentication type, the configuration isn’t updated automatically. Необходимо выполнить командлет New-AzVpnClientConfiguration для создания скачиваемого файла конфигурации. You must run the New-AzVpnClientConfiguration cmdlet to create a new configuration download.

Чтобы получить созданные файлы конфигурации, используйте следующую команду: To retrieve previously generated client configuration files, use the following command:

2. Настройка VPN-клиентов 2. Configure VPN clients

Можно настроить следующие VPN-клиенты: You can configure the following VPN clients:

Настройка VPN-клиента Windows Windows VPN client setup

На каждом клиентском компьютере Windows можно использовать один и тот же пакет конфигурации VPN-клиента, если его версия соответствует архитектуре клиента. You can use the same VPN client configuration package on each Windows client computer, as long as the version matches the architecture for the client. Список поддерживаемых клиентских операционных систем см. в разделе с вопросами и ответами. For the list of client operating systems that are supported, see the FAQ.

Чтобы настроить в Windows собственный VPN-клиент для аутентификации на основе сертификата, сделайте следующее: Use the following steps to configure the native Windows VPN client for certificate authentication:

  1. Выберите файлы конфигурации VPN-клиента, которые соответствуют архитектуре компьютера Windows. Select the VPN client configuration files that correspond to the architecture of the Windows computer. Для архитектуры с 64-разрядным процессором выберите пакет установщика VpnClientSetupAmd64 . For a 64-bit processor architecture, choose the VpnClientSetupAmd64 installer package. Для архитектуры с 32-разрядным процессором выберите пакет установщика VpnClientSetupX86 . For a 32-bit processor architecture, choose the VpnClientSetupX86 installer package.
  2. Дважды щелкните пакет, чтобы установить его. To install the package, double-click it. Если отображается всплывающее окно SmartScreen, выберите пункт больше сведений >запустить все равно. If you see a SmartScreen pop-up, select More info >Run anyway.
  3. На клиентском компьютере перейдите в раздел Параметры сети и выберите VPN. On the client computer, browse to Network Settings and select VPN. Для VPN-подключения отображается имя виртуальной сети, к которой оно устанавливается. The VPN connection shows the name of the virtual network that it connects to.

Настройка VPN-клиента Mac (OS X) Mac (OS X) VPN client setup

Выберите файл VpnClientSetup mobileconfig и отправьте его всем пользователям. Select the VpnClientSetup mobileconfig file and send it to each of the users. Можно использовать электронную почту или другой способ. You can use email or another method.

Найдите файл mobileconfig на компьютере Mac. Locate the mobileconfig file on the Mac.

(Необязательно.) Если вы хотите указать пользовательскую службу DNS, добавьте следующие строки в файл mobileconfig: Optional Step — If you want to specify a custom DNS, add the following lines to the mobileconfig file:

Дважды щелкните профиль, чтобы установить его, и нажмите кнопку Continue (Продолжить). Double-click the profile to install it, and select Continue. Имя профиля совпадает с именем виртуальной сети. The profile name is the same as the name of your virtual network.

Нажмите кнопку Continue (Продолжить), чтобы определить отправителя как надежного и продолжить установку. Select Continue to trust the sender of the profile and proceed with the installation.

При установке профиля вы можете указать имя пользователя и пароль, которые используются для проверки подлинности VPN. During profile installation, you have the option to specify the username and password for VPN authentication. Эти сведения вводить не обязательно, It’s not mandatory to enter this information. но если вы их укажете, они сохранятся и будут автоматически подставляться при установке подключения. If you do, the information is saved and automatically used when you initiate a connection. Нажмите кнопку Install (Установить), чтобы продолжить. Select Install to proceed.

Введите имя пользователя и пароль, чтобы получить разрешения, необходимые для установки профиля на компьютере. Enter a username and password for the privileges that are required to install the profile on your computer. Щелкните ОК. Select OK.

Установленный профиль отображается в диалоговом окне Profiles (Профили). After the profile is installed, it’s visible in the Profiles dialog box. Это диалоговое окно также можно открыть позже в разделе System Preferences (Системные настройки). You can also open this dialog box later from System Preferences.

Чтобы получить доступ к VPN-подключению, откройте в разделе System Preferences (Системные настройки) диалоговое окно Network (Сеть). To access the VPN connection, open the Network dialog box from System Preferences.

VPN-подключение отображается как IkeV2-VPN. The VPN connection appears as IkeV2-VPN. Имя можно изменить, обновив файл MOBILECONFIG. You can change the name by updating the mobileconfig file.

Выберите Параметры проверки подлинности. Select Authentication Settings. В списке выберите Username (Имя пользователя) и введите свои учетные данные. Select Username in the list and enter your credentials. Если учетные данные были введены ранее, в списке автоматически выбирается имя пользователя , а имя пользователя и пароль заполняются заранее. If you entered the credentials earlier, then Username is automatically chosen in the list and the username and password are pre-populated. Нажмите кнопку ОК, чтобы сохранить настройки. Select OK to save the settings.

Вернитесь в диалоговое окно Network (Сеть) и выберите Apply (Применить), чтобы сохранить изменения. Back in the Network dialog box, select Apply to save the changes. Чтобы инициировать подключение, выберите Connect (Подключиться). To initiate the connection, select Connect.

Установка VPN-клиента Linux с помощью strongSwan Linux VPN client setup through strongSwan

Приведенные ниже инструкции были созданы с помощью strongSwan 5.5.1 в Ubuntu 17.0.4. The following instructions were created through strongSwan 5.5.1 on Ubuntu 17.0.4. Фактические экраны могут отличаться в зависимости от вашей версии Linux и strongSwan. Actual screens might be different, depending on your version of Linux and strongSwan.

Откройте приложение Terminal, чтобы установить strongSwan и его Network Manager, выполнив команду из примера. Open the Terminal to install strongSwan and its Network Manager by running the command in the example. Если появляется сообщение об ошибке, связанной с libcharon-extra-plugins , замените этот параметр на strongswan-plugin-eap-mschapv2 . If you receive an error that’s related to libcharon-extra-plugins , replace it with strongswan-plugin-eap-mschapv2 .

Щелкните значок Network Manager (Диспетчер сети) (стрелка вверх или стрелка вниз), а затем выберите Edit Connections (Изменить подключения). Select the Network Manager icon (up-arrow/down-arrow), and select Edit Connections.

Нажмите кнопку Add (Добавить), чтобы создать подключение. Select the Add button to create a new connection.

Выберите IPsec/IKEv2 (strongswan) (IPsec или IKEv2 (strongswan)) из раскрывающегося меню, а затем — Create (Создать). Select IPsec/IKEv2 (strongswan) from the drop-down menu, and then select Create. На этом шаге можно переименовать подключение. You can rename your connection in this step.

Откройте файл VpnSettings.xml из папки Generic скачанных файлов конфигурации клиента. Open the VpnSettings.xml file from the Generic folder of the downloaded client configuration files. Найдите тег VpnServer и скопируйте имя, начиная с azuregateway и заканчивая .cloudapp.net . Find the tag called VpnServer and copy the name, beginning with azuregateway and ending with .cloudapp.net .

Вставьте это имя в поле Address (Адрес) нового VPN-подключения в разделе Gateway (Шлюз). Paste this name into the Address field of your new VPN connection in the Gateway section. Затем щелкните значок папки в конце поля Certificate (Сертификат), перейдите в папку Generic и выберите файл VpnServerRoot. Next, select the folder icon at the end of the Certificate field, browse to the Generic folder, and select the VpnServerRoot file.

В разделе Client (Клиент) подключения выберите значение EAP для параметра Authentication (Проверка подлинности) и введите имя пользователя и пароль. In the Client section of the connection, select EAP for Authentication, and enter your username and password. Необходимо выбрать значок замка справа, чтобы сохранить эти сведения. You might have to select the lock icon on the right to save this information. Затем нажмите кнопку Сохранить. Then, select Save.

Щелкните значок Network Manager (Диспетчер сети) (стрелка вверх или стрелка вниз), а затем выберите VPN Connections (VPN-подключения). Select the Network Manager icon (up-arrow/down-arrow) and hover over VPN Connections. Вы увидите созданное VPN-подключение. You see the VPN connection that you created. Чтобы инициировать подключение, выберите его. To initiate the connection, select it.

Аутентификация на основе сертификата Certificate authentication

Вы можете создать файлы конфигурации VPN-клиента для аутентификации RADIUS на основе сертификата с использованием протокола EAP-TLS. You can create VPN client configuration files for RADIUS certificate authentication that uses the EAP-TLS protocol. Как правило, для проверки подлинности пользователя при VPN-подключениях используется сертификат, который выпущен предприятием. Typically, an enterprise-issued certificate is used to authenticate a user for VPN. Убедитесь, что на устройствах всех пользователей, для которых инициируется подключение, установлен сертификат, и что сервер RADIUS может его проверить. Make sure that all connecting users have a certificate installed on their devices, and that your RADIUS server can validate the certificate.

Начиная с 1 июля 2018 года прекращается поддержка TLS 1.0 и TLS 1.1 в VPN-шлюзе Azure. Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. VPN-шлюз будет поддерживать только TLS 1.2. VPN Gateway will support only TLS 1.2. Затрагиваются только подключения «точка — сеть». Подключения «сеть — сеть» не затрагиваются. Only point-to-site connections are impacted; site-to-site connections will not be affected. Если вы используете TLS для VPN-подключений «точка — сеть» на клиентах Windows 10, не нужно предпринимать никаких действий. If you’re using TLS for point-to-site VPNs on Windows 10 clients, you don’t need to take any action. Если вы используете TLS для подключений «точка — сеть» клиентов Windows 7 и Windows 8, обратитесь к разделу Собственная аутентификация Azure с использованием сертификата для подключений типа «точка — сеть» за инструкциями по обновлению. If you are using TLS for point-to-site connections on Windows 7 and Windows 8 clients, see the VPN Gateway FAQ for update instructions.

В командах для параметра -AuthenticationMethod укажите значение EapTls . In the commands, -AuthenticationMethod is EapTls . При аутентификации на основе сертификата клиент проверяет сервер RADIUS, оценивая его сертификат. During certificate authentication, the client validates the RADIUS server by validating its certificate. Параметр -RadiusRootCert определяет CER-файл с корневым сертификатом, который используется для проверки сервера RADIUS. -RadiusRootCert is the .cer file that contains the root certificate that’s used to validate the RADIUS server.

Для каждого клиентского VPN-устройства требуется установленный сертификат клиента. Each VPN client device requires an installed client certificate. Иногда у устройства Windows может быть несколько сертификатов клиента. Sometimes a Windows device has multiple client certificates. В таком случае при проверке подлинности может отобразиться всплывающее диалоговое окно со списком всех сертификатов. During authentication, this can result in a pop-up dialog box that lists all the certificates. Пользователь должен выбрать в списке нужный сертификат. The user must then choose the certificate to use. Сертификат можно найти с помощью фильтра, указав корневой сертификат, к которому должен привязываться сертификат клиента. The correct certificate can be filtered out by specifying the root certificate that the client certificate should chain to.

Параметр -ClientRootCert определяет CER-файл с корневым сертификатом. -ClientRootCert is the .cer file that contains the root certificate. Это необязательный параметр. It’s an optional parameter. Если у устройства, для которого вам нужно установить подключение, есть один сертификат клиента, этот параметр указывать не требуется. If the device that you want to connect from has only one client certificate, you don’t have to specify this parameter.

1. Создание файлов конфигурации VPN-клиента 1. Generate VPN client configuration files

Вы можете создать файлы конфигурации VPN-клиента для аутентификации на основе сертификата. Generate VPN client configuration files for use with certificate authentication. Вы можете создать файлы конфигурации VPN-клиента с помощью следующей команды: You can generate the VPN client configuration files by using the following command:

Выполненная команда возвращает ссылку. Running the command returns a link. Скопируйте и вставьте ссылку в веб-браузер, чтобы скачать файл VpnClientConfiguration.zip. Copy and paste the link to a web browser to download VpnClientConfiguration.zip. Распакуйте файл. Отобразятся следующие папки: Unzip the file to view the following folders:

  • WindowsAmd64 и WindowsX86. Эти папки содержат пакеты установщика 64- и 32-разрядной версий Windows соответственно. WindowsAmd64 and WindowsX86: These folders contain the Windows 64-bit and 32-bit installer packages, respectively.
  • GenericDevice. Эта папка содержит общие сведения для создания конфигурации VPN-клиента. GenericDevice: This folder contains general information that’s used to create your own VPN client configuration.

Если вы уже создали файлы конфигурации клиента, получить их можно с помощью командлета Get-AzVpnClientConfiguration . If you already created client configuration files, you can retrieve them by using the Get-AzVpnClientConfiguration cmdlet. Но если изменить конфигурацию VPN-подключения «точка — сеть», например изменить тип VPN-протокола или проверки подлинности, конфигурация не обновится автоматически. But if you make any changes to your P2S VPN configuration, such as the VPN protocol type or authentication type, the configuration isn’t updated automatically. Необходимо выполнить командлет New-AzVpnClientConfiguration для создания скачиваемого файла конфигурации. You must run the New-AzVpnClientConfiguration cmdlet to create a new configuration download.

Чтобы получить созданные файлы конфигурации, используйте следующую команду: To retrieve previously generated client configuration files, use the following command:

2. Настройка VPN-клиентов 2. Configure VPN clients

Можно настроить следующие VPN-клиенты: You can configure the following VPN clients:

  • Windows Windows
  • Mac (OS X) Mac (OS X)
  • Linux (поддерживается, но инструкции в статье пока не представлены). Linux (supported, no article steps yet)

Настройка VPN-клиента Windows Windows VPN client setup

  1. Выберите пакет конфигурации и установите его на клиентском устройстве. Select a configuration package and install it on the client device. Для архитектуры с 64-разрядным процессором выберите пакет установщика VpnClientSetupAmd64 . For a 64-bit processor architecture, choose the VpnClientSetupAmd64 installer package. Для архитектуры с 32-разрядным процессором выберите пакет установщика VpnClientSetupX86 . For a 32-bit processor architecture, choose the VpnClientSetupX86 installer package. Если отображается всплывающее окно SmartScreen, выберите пункт больше сведений >запустить все равно. If you see a SmartScreen pop-up, select More info >Run anyway. Вы также можете сохранить пакет для установки на других клиентских компьютерах. You can also save the package to install on other client computers.
  2. Для выполнения проверки подлинности каждому клиенту требуется сертификат клиента. Each client requires a client certificate for authentication. Установите сертификат клиента. Install the client certificate. Дополнительные сведения о сертификатах клиентов см. в статье клиентские сертификаты для «точка — сеть». For information about client certificates, see Client certificates for point-to-site. Установка созданного сертификата описывается в разделе Установка сертификата клиента для аутентификации Azure на основе сертификата при подключениях типа «точка — сеть». To install a certificate that was generated, see Install a certificate on Windows clients.
  3. На клиентском компьютере перейдите в раздел Параметры сети и выберите VPN. On the client computer, browse to Network Settings and select VPN. Для VPN-подключения отображается имя виртуальной сети, к которой оно устанавливается. The VPN connection shows the name of the virtual network that it connects to.

Настройка VPN-клиента Mac (OS X) Mac (OS X) VPN client setup

Для каждого устройства Mac, которое подключается к виртуальной сети Azure, нужно создать отдельный профиль, You must create a separate profile for every Mac device that connects to the Azure virtual network. так как для аутентификации таких устройств в профиле необходимо указать сертификат пользователя. This is because these devices require the user certificate for authentication to be specified in the profile. В папке Generic содержатся все сведения, требуемые для создания профиля. The Generic folder has all the information that’s required to create a profile:

  • Файл VpnSettings.xml содержит такие важные параметры, как адрес сервера и тип туннеля. VpnSettings.xml contains important settings such as server address and tunnel type.
  • Файл VpnServerRoot.cer содержит корневой сертификат, который требуется для проверки VPN-шлюза при установке подключения «точка — сеть». VpnServerRoot.cer contains the root certificate that’s required to validate the VPN gateway during P2S connection setup.
  • Файл RadiusServerRoot.cer содержит корневой сертификат, который требуется для проверки сервера RADIUS при аутентификации. RadiusServerRoot.cer contains the root certificate that’s required to validate the RADIUS server during authentication.

Чтобы настроить на устройстве Mac собственный VPN-клиент для проверки подлинности на основе сертификата, сделайте следующее: Use the following steps to configure the native VPN client on a Mac for certificate authentication:

Импортируйте корневые сертификаты VpnServerRoot и RadiusServerRoot на устройство Mac. Import the VpnServerRoot and RadiusServerRoot root certificates to your Mac. Скопируйте каждый файл на устройство Mac, дважды щелкните его и выберите Add (Добавить). Copy each file to your Mac, double-click it, and then select Add.

Для выполнения проверки подлинности каждому клиенту требуется сертификат клиента. Each client requires a client certificate for authentication. Установите сертификат клиента на клиентском устройстве. Install the client certificate on the client device.

Откройте диалоговое окно Network (Сеть) в разделе Network Preferences (Параметры сети). Open the Network dialog box under Network Preferences. Выберите этот параметр + , чтобы создать новый профиль подключения VPN-клиента для подключения P2S к виртуальной сети Azure. Select + to create a new VPN client connection profile for a P2S connection to the Azure virtual network.

Установите следующие значения: для параметра Interface (Интерфейс) — VPN, для VPN Type (Тип VPN) — IKEv2. The Interface value is VPN, and the VPN Type value is IKEv2. Укажите имя профиля в поле Service Name (Имя службы), а затем нажмите кнопку Create (Создать), чтобы создать профиль подключения VPN-клиента. Specify a name for the profile in the Service Name box, and then select Create to create the VPN client connection profile.

В папке Generic из файла VpnSettings.xml скопируйте значение тега VpnServer. In the Generic folder, from the VpnSettings.xml file, copy the VpnServer tag value. Вставьте это значение в поля профиля Server Address (Адрес сервера) и Remote ID (Удаленный ИД). Paste this value in the Server Address and Remote ID boxes of the profile. Не заполняйте поле Local ID (Локальный ИД). Leave the Local ID box blank.

Выберите Authentication Settings (Параметры проверки подлинности), а затем — Certificate (Сертификат). Select Authentication Settings, and select Certificate.

Щелкните Select (Выбрать), чтобы выбрать сертификат, который будет использоваться для проверки подлинности. Click Select to choose the certificate that you want to use for authentication.

В окне Choose An Identity (Выбор удостоверения) отобразится список доступных сертификатов. Choose An Identity displays a list of certificates for you to choose from. Выберите нужный сертификат, а затем нажмите кнопку Continue (Продолжить). Select the proper certificate, and then select Continue.

В поле Local ID (Локальный ИД) укажите имя сертификата (из шага 6). In the Local ID box, specify the name of the certificate (from Step 6). В нашем примере это ikev2Client.com. In this example, it’s ikev2Client.com. Нажмите кнопку Apply (Применить), чтобы сохранить изменения. Then, select the Apply button to save the changes.

В диалоговом окне Network (Сеть) выберите Apply (Применить), чтобы сохранить все изменения. In the Network dialog box, select Apply to save all changes. Затем выберите Connect (Подключиться), чтобы установить подключение «точка — сеть» к виртуальной сети Azure. Then, select Connect to start the P2S connection to the Azure virtual network.

Работа с другими протоколами или типами аутентификации Working with other authentication types or protocols

Чтобы использовать другой тип проверки подлинности (например, OTP) либо же другой протокол проверки подлинности (например, протокол PEAP-MSCHAPv2, а не EAP-MSCHAPv2), создайте собственный профиль конфигурации VPN-клиента. To use a different authentication type (for example, OTP), or to use a different authentication protocol (such as PEAP-MSCHAPv2 instead of EAP-MSCHAPv2), you must create your own VPN client configuration profile. Чтобы создать профиль, требуются следующие данные: IP-адрес шлюза виртуальной сети, тип туннеля и сведения о маршрутах с разделенный туннелем. To create the profile, you need information such as the virtual network gateway IP address, tunnel type, and split-tunnel routes. Эти данные можно получить, сделав следующее: You can get this information by using the following steps:

Выполните командлет Get-AzVpnClientConfiguration , чтобы создать конфигурацию VPN-клиента для EapMSChapv2. Use the Get-AzVpnClientConfiguration cmdlet to generate the VPN client configuration for EapMSChapv2.

Распакуйте файл VpnClientConfiguration.zip и найдите папку GenericDevice. Unzip the VpnClientConfiguration.zip file and look for the GenericDevice folder. Не используйте папки с установщиками Windows для 64- и 32-разрядной архитектур. Ignore the folders that contain the Windows installers for 64-bit and 32-bit architectures.

Папка GenericDevice содержит XML-файл с именем VpnSettings. The GenericDevice folder contains an XML file called VpnSettings. В этом файле находится вся необходимая информация. This file contains all the required information:

  • VpnServer — полное доменное имя VPN-шлюза Azure. VpnServer: FQDN of the Azure VPN gateway. Это адрес, по которому подключается клиент. This is the address that the client connects to.
  • VpnType — тип туннеля, который вы используете для подключения. VpnType: Tunnel type that you use to connect.
  • Routes — маршруты, которые нужно настроить в профиле, чтобы через P2S-туннель отправлялся только трафик виртуальной сети Azure. Routes: Routes that you have to configure in your profile so that only traffic that’s bound for the Azure virtual network is sent over the P2S tunnel.

Кроме того, папка GenericDevice содержит CER-файл с именем VpnServerRoot. The GenericDevice folder also contains a .cer file called VpnServerRoot. В этом файле содержится корневой сертификат, который требуется для проверки VPN-шлюза Azure при установке подключения «точка — сеть». This file contains the root certificate that’s required to validate the Azure VPN gateway during P2S connection setup. Установите сертификат на всех устройствах, которые будут подключаться к виртуальной сети Azure. Install the certificate on all devices that will connect to the Azure virtual network.

Читайте также:  Windows boot manager редактировать windows 10
Оцените статью
© 2024 Советы по настройке компьютера