在 Azure 中執行 IPsec 客戶端 VPN 伺服器
我目前正在探索在 Azure 中執行客戶端 VPN 伺服器的選項。我已經檢查了點到站點 VPN 功能,它似乎更像是管理員撥入的一種方法,而不是成熟的客戶端 VPN 解決方案。
其餘選項之一是在 Azure VM 中執行客戶端 VPN 伺服器。許多客戶端 VPN 選項以一種或另一種方式使用 IPsec,它使用 TCP/UDP 以外的 IP 協議進行操作 (ESP/AH)。據我所知,Azure 不允許 TCP/UDP 以外的流量流向您的虛擬機。基於端點的 ACL 只允許您選擇 TCP 或 UDP。我一直在調查網路安全組 (NSG),希望他們能提供解決方案,但他們也只提供“TCP”、“UDP”或“*”作為 ACL 中的協議選項。這讓我相信在 Azure 中執行 IPsec 伺服器是不可能的。這是正確的,還是有我沒有遇到的可用選項?顯然有些選項只需要 TCP/UDP(想到 Microsoft SSTP),
作為一個附帶問題,在為 Azure 中託管的資源提供客戶端 VPN 時,人們還選擇了哪些其他解決方案?
您是對的,Azure 虛擬機只允許 TCP 和 UDP 連接;它們也受到嚴格限制,例如“您只能打開單個埠而不是整個埠範圍”,這實際上不允許使用動態協議。
您可以通過使用實例級公共 IP來解決後一個限制,它允許所有埠上的所有流量到 VM(但請務必打開防火牆!);但是,這仍然只允許 TCP 和 UDP 流量。
客戶端 VPN 連接唯一受支持的選項(目前)是使用 Azure 的內置客戶端 VPN 服務,順便說一句,只要您可以獲得每個客戶端的客戶端證書,它就可以正常工作。
此外,正如您所說,另一種選擇可能是為您的 VPN 伺服器使用 HTTPS 隧道而不是 IPSec;HTTPS VPN(包括 Windows 的 SSTP)在 TCP 埠 443 上執行,因此它們實際上可以在 Azure VM 上執行;然而,如果你想在 Azure VM 上執行 VPN 伺服器,你可能會遇到各種網路問題,因為當你嘗試做一些沒有明確支持的事情時,Azure VM 確實不能很好地發揮作用,尤其是在涉及網路的情況下。