پیکربندی اتصال “Point to Site VPN” مرحله به مرحله: پورتال Azure – Azure VPN Gateway

محبوب ترین راه برای کسب و کارها برای پیوند شبکه های داخلی خود به Azure vNets استفاده از VPN سایت به سایت است. این اتصال VPN در سطح روتر یا فایروال لبه شروع می شود. با این حال، اگر از یک مکان دور مانند خانه خود وصل شده باشید، چه؟ برای انجام آن، می توانیم از رویکرد نقطه به سایت استفاده کنیم. به این ترتیب، نقطه پایانی و شبکه مجازی Azure با استفاده از گواهینامه ها احراز هویت می شوند.

این مقاله یک راهنمای گام به گام برای ایجاد شبکه مجازی (VNet) و دروازه VPN در Azure ارائه می دهد. این مقاله همچنین فرآیند تولید و نصب گواهی‌ها، پیکربندی مشتریان VPN و تأیید اتصال VPN را پوشش می‌دهد.

• پیش نیازها.
• یک VNet ایجاد کنید.
• دروازه VPN را ایجاد کنید.
• پیکربندی نقطه به سایت دروازه VPN.
• تولید گواهینامه ها
• یک گواهی ریشه خودامضا تولید می کند.
• گواهینامه های مشتری خود امضا شده را ایجاد کنید.
• صدور گواهی ریشه و کلاینت.
• پیکربندی مشتریان VPN و احراز هویت.
• تایید اتصال به VPN.
• نتیجه

• اطمینان حاصل کنید که اشتراک Azure معتبر دارید. اگر اشتراک Azure ندارید برای یک حساب رایگان ثبت نام کنید.

یک VNet به شما امکان می دهد یک محیط شبکه مجازی ایزوله در Azure ایجاد کنید. در اینجا ما یک شبکه مجازی جدید ایجاد خواهیم کرد.

1. وارد حساب Azure خود شوید.
2. در پرتال خانه Azure عبارت “شبکه های مجازیدر نوار جستجو، سپس انتخاب کنید شبکه های مجازی‘ از ‘بازار نتیجه این کار “صفحه شبکه مجازی” را باز می کند.
   
3. در ‘شبکه مجازیصفحه “ایجاد” را انتخاب کنید، به “ایجاد شبکه مجازی صفحه
   
4. در “ایجاد شبکه مجازیدر صفحه، نام اشتراک خود را در بخش جزئیات پروژه انتخاب کنید، یک گروه منابع موجود را انتخاب کنید یا یک گروه جدید ایجاد کنید. به عنوان مثال، جزئیات، شبکه مجازی را نام ببرید و منطقه مناسبی را که قرار است منابع شما در آنجا مستقر شوند، انتخاب کنید.
   
5. در “ایجاد شبکه مجازیصفحه تمام فیلدهای پیش‌فرض دیگر را در آدرس IP، امنیت و برچسب نگه می‌دارد و پس از تایید اعتبار شبکه مجازی را ایجاد می‌کند، بر روی Review + Create کلیک کنید تا تنظیمات شبکه مجازی تایید شود.

دروازه VPN نوعی دروازه شبکه مجازی است که ترافیک رمزگذاری شده بین یک شبکه مجازی و یک شبکه در محل را از طریق یک اتصال عمومی ارسال می کند.

اکنون همه ما آماده ایم تا دروازه VPN را ایجاد کنیم.

“توجه: بسته به SKU دروازه انتخابی، فرآیند ایجاد یک دروازه اغلب می تواند 45 دقیقه یا بیشتر طول بکشد.”

1. در جستجوی پورتال Azure ‘دروازه شبکه مجازی“و از” انتخاب کنبازار“صفحه ای از” را باز می کندایجاد دروازه شبکه مجازی‘.
   
2. در “ایجاد دروازه شبکه مجازی صفحه، به ‘مبانی را برگه و مقادیر زیر را پر کنید.
   • اشتراک: اشتراکی را که می خواهید انتخاب کنید انتخاب کنید.
   • گروه منابع: هنگامی که شبکه مجازی را در این صفحه انتخاب کنید، به طور خودکار پر می شود.
   • نام: نام گذاری شی دروازه ای که در حال ایجاد آن هستید.
   • Region: منطقه برای دروازه باید با منطقه شبکه مجازی یکسان باشد.
   • نوع دروازه: VPN.
   • نوع VPN: نوع VPN را بر اساس نیاز خود انتخاب کنید، بیشتر پیکربندی VPN مورد نیاز از نوع مبتنی بر مسیر است.
   • SKU: Gateway SKU را بر اساس نیاز خود انتخاب کنید در این صورت VpnGw2 را انتخاب می کنیم. برای اطلاعات بیشتر اینجا را کلیک کنید.
   • Generation: نسل را بر اساس ویژگی هایی که می خواهید استفاده کنید انتخاب کنید. در این مثال از Generation2 استفاده خواهیم کرد. برای اطلاعات بیشتر اینجا را کلیک کنید.
   • شبکه مجازی: شبکه مجازی را که می خواهید به این دروازه اضافه کنید انتخاب کنید.
     
   • محدوده آدرس زیرشبکه دروازه: اگر زیرشبکه VNet شما زیرشبکه دروازه ندارد، تنها این فیلد ظاهر می شود، بهتر است این /27 یا بزرگتر (/26، /25etc) باقی بماند.
   • آدرس IP عمومی: یک آدرس IP عمومی جدید ایجاد کنید و نام آن را بگذارید.
   • فعال کردن حالت فعال-فعال: آن را برای این مثال غیرفعال نگه دارید. فقط اگر می‌خواهید یک پیکربندی دروازه فعال ایجاد کنید، «فعال» را انتخاب کنید.
   • پیکربندی BGP: این را غیرفعال بگذارید.
     

اگر می خواهید از خانه خود به یک سایت از راه دور متصل شوید، باید یک دروازه VPN نقطه به سایت را پیکربندی کنید.

پس از استقرار VPN Gateway، باید پیکربندی Point-to-Site را پیکربندی کنیم. این برای مشتریان VPN است.

• مخزن آدرس: مجموعه آدرس مشتری شامل محدوده مشخصی از آدرس های IP خصوصی است. هنگامی که مشتریان از طریق یک VPN نقطه به سایت متصل می شوند، به صورت پویا یک آدرس IP از این محدوده به آنها اختصاص داده می شود. انتخاب یک محدوده آدرس IP خصوصی که با مکان داخلی که از آن وصل می‌شوید یا VNet که می‌خواهید به آن متصل شوید همپوشانی نداشته باشد، مهم است. در صورتی که چندین پروتکل از جمله SSTP پیکربندی شده باشد، مجموعه آدرس به طور مساوی بین پروتکل ها تقسیم می شود. در این مثال از مجموعه آدرس 172.16.201.0/24 استفاده خواهیم کرد.
• نوع تونل: IKEv2 و OpenVPN (SSL) را به عنوان نوع تونل انتخاب کنید.
• نوع احراز هویت: • در این مثال، از گواهی Azure به عنوان نوع احراز هویت استفاده خواهیم کرد.
  

در Azure، هنگام ایجاد یک اتصال VPN نقطه به سایت با VNet، گواهی ها برای احراز هویت مشتری استفاده می شود. می‌توانید از یک راه‌حل سازمانی (توصیه‌شده) که گواهی‌های ریشه و کلاینت تولید شده یا گواهی‌های خود امضا شده استفاده کنید.

در اینجا ما یک گواهی ریشه خود امضا شده با کمک PowerShell تولید می کنیم و بر اساس آن گواهی ریشه، 2 گواهی مشتری خود امضا شده را تولید می کنیم. گواهی ریشه با دروازه VPN متصل می شود بنابراین گواهی مشتری به تأیید اعتبار مشتری VPN برای اتصال با VPN کمک می کند.

یک گواهی ریشه خودامضا تولید می کند

نحوه ایجاد یک گواهی ریشه خودامضا سازگار با استفاده از ویندوز 10 یا بالاتر.

• دستورالعمل های PowerShell: Windows PowerShell را باز کنید، مثال زیر را با هر گونه تغییر لازم اجرا کنید و کنسول PowerShell را باز بگذارید.

$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature `
-Subject "CN=P2SRootCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" -KeyUsageProperty Sign -KeyUsage CertSign

در این مثال، یک گواهی ریشه خودامضا به نام ‘P2SRootCert’ تولید و به طور خودکار در ‘Certificates-Current user\Personal\Certificates’ نصب می شود. با باز کردن می توانید به گواهی دسترسی پیدا کرده و آن را مشاهده کنید certmgr.msc یا مدیریت گواهی های کاربر.

گواهینامه های مشتری خود امضا شده را ایجاد کنید

توجه: مطمئن شوید که جلسه کنسول PowerShell هنوز باز است.

Windows PowerShell را باز کنید و مثال زیر را با تغییرات لازم اجرا کنید.

New-SelfSignedCertificate -Type Custom -DnsName P2SChildCert -KeySpec Signature `
-Subject "CN=P2SChildCert" -KeyExportPolicy Exportable `
-HashAlgorithm sha256 -KeyLength 2048 `
-CertStoreLocation "Cert:\CurrentUser\My" `
-Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")

گواهی مشتری ایجاد شده به طور خودکار در “گواهی ها-کاربر فعلی\شخصی\گواهی ها” نصب می شود. با باز کردن می توانید به گواهی دسترسی پیدا کرده و آن را مشاهده کنید certmgr.msc یا مدیریت گواهی های کاربر.

صدور گواهی ریشه با کلید عمومی (cer.)

1. “Manage User Certificates” را با فشار دادن کلید Windows + R و تایپ کردن باز کنید certmgr.mscو Enter را بزنید.
2. برای پیدا کردن گواهینامه ریشه خودامضا شده، به “گواهی ها – کاربر فعلی\ شخصی\ گواهینامه ها” بروید و روی آن کلیک راست کنید. سپس، از منوی «همه وظایف» گزینه «Export» را انتخاب کنید، که در آن، Certificate Export Wizard باز می شود.
   
3. در آن جادوگر، روی Next کلیک کنید.
   
4. “نه، کلید خصوصی را صادر نکنید” را انتخاب کنید و سپس روی Next کلیک کنید.
   
5. در صفحه Export File Format، “Base-64 encoded X.509 (.CER)” را انتخاب کنید و سپس روی Next کلیک کنید.
   
6. یک مکان را انتخاب کنید، یک نام برای فایل وارد کنید و فرآیند را تکمیل کنید. یک پیام تأیید می گوید: “صادرات با موفقیت انجام شد.”
7. به محل فیزیکی گواهی مراجعه کنید. فایل گواهی را با استفاده از یک ویرایشگر متن مانند Notepad باز کنید و فقط بخش مشخص شده را به صورت یک خط پیوسته کپی کنید.

گواهی مشتری را صادر کنید

1. “Manage User Certificates” را با فشار دادن کلید Windows + R و تایپ کردن باز کنید certmgr.mscو Enter را بزنید.
2. برای پیدا کردن گواهی مشتری، به “Certificates – Current User\Personal\ Certificates” بروید و روی آن کلیک راست کنید. سپس، از منوی «همه وظایف» گزینه «Export» را انتخاب کنید، که در آن، Certificate Export Wizard باز می شود.
   
3. در آن جادوگر، روی Next کلیک کنید.
4. “Yes, export the private key” را انتخاب کنید و سپس روی Next کلیک کنید.
   
5. در جادوگر Export File Format، آن را به عنوان گزینه پیش‌فرض که «Personal Information Exchange» است، بگذارید و تمام مسیرها و حریم خصوصی گواهی را شامل شود.
   
6. یک رمز عبور برای محافظت از کلید خصوصی در جادوگر امنیت تنظیم کنید.
   

گواهی ریشه را به دروازه شبکه مجازی اضافه کنید

• به محل فیزیکی گواهی مراجعه کنید. اطمینان حاصل کنید که گواهی با استفاده از یک ویرایشگر متن مانند Notepad باز شده است. فقط بخش مشخص شده را به صورت یک خط پیوسته کپی کنید.
• در پورتال Azure، به دروازه شبکه مجازی ایجاد شده خود بروید. “پیکربندی نقطه به سایت” را انتخاب کنید. در سمت راست، گواهی Root را اضافه کنید و تغییرات را ذخیره کنید.
  
  پیکربندی کلاینت های VPN و اتصالات به Azure بر اساس سیستم عامل مورد استفاده مانند ویندوز، macOS و لینوکس متفاوت است. ما در مورد فرآیند نصب برای هر یک به طور جداگانه بحث خواهیم کرد.

پنجره ها

1. در پورتال Azure، به دروازه شبکه مجازی که با استفاده از دستورالعمل های قبلی ایجاد کرده اید بروید.
2. در صفحه دروازه شبکه مجازی، «پیکربندی نقطه به سایت» را انتخاب کنید و مشتری VPN را از سمت راست دانلود کنید. به عنوان یک فایل فشرده در دستگاه محلی شما دانلود می شود.
   
3. با ارائه کلید رمز عبور، گواهی کلاینت را در دستگاه مشتری وارد کنید. راست کلیک کرده و “واردات گواهی” را از منوی زمینه انتخاب کنید.
4. در ویزارد واردات گواهی، «کاربر فعلی» را انتخاب کنید و روی «بعدی» کلیک کنید.
   
5. محل فایلی را که می‌خواهید گواهی را در آن وارد کنید، انتخاب کنید.
6. در جادوگر حفاظت از کلید خصوصی، رمز عبور کلید خصوصی را که هنگام صدور گواهی مشتری ارائه کرده‌اید، وارد کنید. روی “Next” و سپس “Finish” کلیک کنید.
   
7. فایل فشرده دانلود شده سرویس گیرنده VPN را استخراج کنید، به پوشه WindowsAmd64 بروید و VpnClientSetupAmd64.exe را روی دستگاه مشتری نصب کنید.
   
8. تنظیمات VPN را در دستگاه مشتری بررسی کنید، و باید VPN را با نام دروازه شبکه مجازی اضافه کنید.
   

9. با استفاده از اعتبار سنجی گواهی مشتری به VPN متصل شوید و سپس از IP خصوصی برای دسترسی به نمونه های VM استفاده کنید.

   نکته 1: نمونه های VM باید به همان VNet متصل شوند که درگاه شبکه مجازی است.

   نکته 2: فقط از IP خصوصی نمونه های VM استفاده کنید. دسترسی به IP عمومی بدون VPN امکان پذیر است. برای امنیت بیشتر، IP عمومی را جدا کنید. رجوع به این شود مقاله برای جداسازی IP عمومی

برای تأیید اتصال خود به VPN، خط فرمان را باز کرده و دستور را اجرا کنید ipconfig/all.
توجه داشته باشید که آدرس IP که دریافت می کنید باید یکی از آدرس های محدوده آدرس مشتری VPN نقطه به سایت باشد. به عنوان مثال:

```powershell
PPP adapter VNet1:
   Connection-specific DNS Suffix .:
   Description.....................: VNet1
   Physical Address................:
   DHCP Enabled....................: No
   Autoconfiguration Enabled.......: Yes
   IPv4 Address....................: 172.16.201.3(Preferred)
   Subnet Mask.....................: 255.255.255.255
   Default Gateway.................:
   NetBIOS over Tcpip..............: Enabled
```

مقاله ارائه شده روش دقیقی را برای راه اندازی شبکه مجازی (VNet) و دروازه VPN در Azure تشریح می کند. این شامل پیش نیازهای ضروری، مانند تولید و نصب گواهی، پیکربندی مشتریان VPN و تأیید اتصال VPN است. فرآیند گام به گام شامل ایجاد VNet، ایجاد دروازه VPN، پیکربندی تنظیمات نقطه به سایت، تولید گواهی‌های root و کلاینت، صادرات گواهی‌ها، پیکربندی کلاینت‌های VPN، اتصال به Azure، تأیید اتصال VPN و نتیجه‌گیری است. راه اندازی.
این مقاله بر روی ارائه دستورالعمل های راه اندازی به طور خاص برای ویندوز 10 و نسخه های جدیدتر، در حالی که مقالات آینده رویه های راه اندازی لینوکس و macOS را پوشش خواهند داد.

من در حوزه مهندسی شبکه با تجربه و تخصص خود در زمینه مهندسی شبکه، آژور، مدیریت ویندوز و مدیریت لینوکس مشغول به کار هستم، یک سال است که در Capgemini در این زمینه فعال هستم.
من مشتاق به اشتراک گذاری دانش و بینش خود از طریق مقالات و آموزش های آموزنده هستم. هدف من ارائه راهنمایی های ارزشمند و راه حل های عملی برای خوانندگانی است که به دنبال افزایش درک خود از Azure، مهندسی شبکه، مدیریت ویندوز، و مدیریت لینوکس هستند. اگر می خواهید با من ارتباط برقرار کنید یا بازخورد خود را ارائه دهید، می توانید من را در اینجا پیدا کنید لینکدین، توییتر، یا از طریق پست الکترونیکی.
منتظر مقالات بیشتر باشید زیرا من به کاوش و به اشتراک گذاری تخصص خود در Azure، مهندسی شبکه، مدیریت ویندوز و مدیریت لینوکس در پلتفرم ها و سیستم عامل های مختلف ادامه می دهم.