《Windows Azure Platform 系列文章目录》
我们在使用Azure的时候,常常有这样的需求:
-我需要将企业内网的主机连接到微软Azure公有云平台
-我需要保证企业内部的网络与微软Azure公有云平台建立VPN连接
通过Azure Virtual Network中的Point-To-Site VPN,就可以实现将企业内网的一台主机(VPN客户端)与Azure Virtual Network中的网络进行连接
-这里的Point指的就是企业内网的一台主机(VPN客户端)
-这里的Site是指Azure Virtual Network的网络
-这样可以实现将企业内网的一台主机与云端网络互通互联,同时通过VPN保证网络的安全性
注意:
-企业内网的主机需要安装VPN客户端
-支持以下客户端操作系统:
Windows 7 (32位和64位)
Windows Server 2008 R2(仅支持64位)
Windows 8(32位和64位)
Windows Server 2012(仅支持64位)
-Point-to-Site VPN是使用SSTP VPN
请注意,如果您首次创建了Azure Virtual Network时候,没有创建Point-to-Site VPN。将来想再次设置P-to-S VPN会失败,所以规划好Azure Point-to-Site VPN是非常重要的。
本章,笔者将使用Azure Virtual Network,将笔者使用的T430s笔记本电脑与Azure Virtual Network打通VPN连接。
配置虚拟网络和动态路由网关
1.首先登陆Azure管理界面。https://manage.windowsazure.com
2.在左侧面板中的Networks,然后点击右侧列表的Create a virtual network。如下图:
3.在Virtual Network Details里。设置name为P2SVNet,地区我们选择East Asia香港的数据中心。如下图:
4.在DNS Server and VPN Connectivity窗口中。
- DNS Server中设置我们需要的 DNS服务器。这里我选择的是192.168.0.4
- 勾选Configure a point-to-site VPN
- 注意:如果想让加入该Point-to-site VPN里的本地电脑和云端虚拟机能够正常使用DNS服务的话,
需要在下图左侧DNS Server中,将DNS设置为Google 服务器8.8.8.8或者电信DNS服务器114.114.114.114
如下图:
5.在Point-to-Site Connectivity中。设置VPN客户端的IP Range。
请注意下图的VPN客户端的IP Range不能与本地网络上的任何IP Rang相重叠。
6.在Virtual Network Address Space中,设置Azure云平台虚拟网络的地址范围。(请注意下图的IP Rang不要与本地网络所用地址范围重叠)
因为笔者在步骤四中,设置了DNS Server地址为192.168.0.4。所以笔者在下图中设置的VNet Address Space IP Rang为192.168.0.0-192.168.0.255。
同时点击"Add Gateway Subnet"按钮,设置Virtual Network的 Gateway。如下图:
7.创建完毕后,我们就可以在列表中查看到之前创建的Point-to-Site VPN
8.创建完毕后,我们点击"Create Gateway"按钮,创建Azure Virtual Network Gateway
创建Gateway的时间会比较长,请耐心等待。
8.回顾:
VPN客户端的设置为
IP Rang为10.0.0.1 - 10.0.0.254
Virtual Network的设置为
IP Rang为192.168.0.0 - 192.168.0.254
Sunet-1 IP Rang为192.168.0.4 - 192.168.0.126
Gateway为192.168.0.132 - 192.168.0.134
DNS地址为192.168.0.4 (可以配置Google服务器8.8.8.8 或者电信服务器114.114.114.114)
9.然后我们先创建一台Azure Virtual Machine,并添加到P2SVNet这个虚拟网路里。注意在指定用户名和密码的时候,输入和您本地用户一样的用户名和密码。(因为虚拟网络上的虚拟机不在主域控制器管理下)。
这台虚拟机的名称我们设置为LeiP2SVM。这台机器创建完毕后,Private IP为192.168.0.4
创建证书
1.在笔者的T430s笔记本上,使用证书创建工作(makecert.exe)是创建X.509证书的一种方法。
2.以管理员身份运行命令提示符(CMD)。
3.在makecert.exe目录(例如C盘目录)下,运行一下命令行,生成客户端根证书
makecert -sky exchange -r -n "CN=RootCertificateName" -pe -a sha1 -len 2048 -ss My "RootCertificateName.cer"
执行完毕后,在C盘根目录下会生成RootCertificateName.cer证书文件,并且该命令将在你的计算上的"个人"证书存储区中创建和安装根证书。
4.将该证书上载到管理门户。点击之前创建的虚拟网路P2SVNet,点击Certificates,然后点击Upload a Root Certificate。
将C:\RootCertificateName.cer证书文件上传。
生成客户端证书
1.在笔者的T430s笔记本里,以管理员身份运行命令提示符(CMD),在makecert.exe目录,执行以下命令:
makecert.exe -n "CN=ClientCertificateName" -pe -sky exchange -m 96 -ss My -in "RootCertificateName" -is my -a sha1
2.会在你的“个人”证书存储区中生成一个名为“ClientCertificateName”的客户端证书。如下图:
3.如果其他客户端需要连接到Azure Virtual Network VPN,只需要在我的Thinkpad T30s,导出ClientCertificateName证书(同时导出的时候,添加私钥)。在其他的客户端导入ClientCertificateName证书即可。
配置VPN客户端
1.回到Azure Management Portal,下载VPN客户端
-支持以下客户端操作系统:
Windows 7 (32位和64位)
Windows Server 2008 R2(仅支持64位)
Windows 8(32位和64位)
Windows Server 2012(仅支持64位)
选择下载与所安装到的客户端操作系统对应的程序包
-对于32位客户端,选择"下载32位客户端VPN程序包"
-对于64位客户端,选择"下载64位客户端VPN程序包"
如下图:
2.下载后请安装VPN,然后会在本地就算机会出现VPN连接。如下图:
3.会弹出VPN客户端程序,如下图:
4.