Baixar perfis VPN globais e hub para clientes VPN de usuário

Artigo
02/18/2024

A WAN Virtual do Azure oferece dois tipos de perfis de conexão para clientes VPN de usuário: perfis globais e perfis de hub. O tipo de perfil escolhido depende se você deseja que o cliente VPN se conecte a um perfil de nível de WAN geograficamente balanceado por carga (perfil global) ou se deseja restringir o cliente VPN para se conectar apenas a um determinado hub (perfil de hub). Este artigo ajuda você a gerar arquivos de configuração de cliente VPN para ambos os tipos de perfis.

Perfis globais

O perfil global associado a uma configuração de VPN de usuário aponta para um Gerenciador de Tráfego Global. O Gerenciador de Tráfego Global inclui todos os hubs VPN de usuário ativos que estão usando essa configuração de VPN de usuário. No entanto, você pode optar por excluir hubs do Gerenciador de Tráfego Global, se necessário. Um usuário conectado ao perfil global é direcionado para o hub que está mais próximo da localização geográfica do usuário. Isso será especialmente útil se você tiver usuários que viajam com frequência entre vários locais.

Por exemplo, uma configuração de VPN de usuário é associada a dois hubs diferentes para a mesma WAN virtual: um no Oeste dos EUA e outro no Sudeste da Ásia. Se um usuário se conectar ao perfil global associado à configuração de VPN do usuário, ele se conectará ao hub da WAN Virtual mais próximo com base na localização dele.

Importante

Se uma configuração de VPN ponto a site usada para um perfil global for configurada para autenticar usuários utilizando o protocolo RADIUS, verifique se "Usar o servidor RADIUS local/remoto" está ativado para todos os gateways de VPN ponto a site usando essa configuração. Além disso, certifique-se de que o servidor RADIUS esteja configurado para aceitar solicitações de autenticação dos endereços IP do proxy RADIUS de todos os gateways de VPN ponto a site usando essa configuração de VPN.

Baixar um perfil VPN global

Para gerar e baixar arquivos de configuração de perfil de cliente VPN, use as seguintes etapas:

Acesse a WAN Virtual.
No painel esquerdo, selecione Configurações de VPN do usuário.
Na página Configurações de VPN do usuário, você visualizará todas as configurações de VPN de usuário que você criou para sua WAN virtual. Na coluna Hub, você verá os hubs associados a cada configuração de VPN de usuário. Clique no > para expandir e exibir os nomes do hub.
No exemplo a seguir, você verá várias linhas com hubs que usam a mesma configuração de VPN de usuário. Em um perfil global, quando os hubs usam a mesma configuração de VPN de usuário, você pode clicar em qualquer linha de hub que tenha a configuração de VPN do usuário desejada. Os arquivos de perfil gerados desta página se alinham à configuração de VPN do usuário, não a um hub específico. Para limitar os usuários de VPN a se conectarem a apenas um hub (não usar um perfil global), use as etapas do Perfil do hub como alternativa.

No exemplo, selecionamos a linha com o Hub2, mas a seleção de Hub3 ou Hub1 geraria os mesmos arquivos de configuração de perfil. No entanto, se selecionarmos a linha com o Hub6, os arquivos de configuração de perfil serão diferentes porque o Hub6 usa uma configuração de VPN de usuário diferente.

Clique em uma linha que contém a Configuração de VPN do usuário que você deseja usar. Isso destaca toda a linha. Em seguida, clique em Baixar perfil de VPN do usuário da WAN virtual.
Na página Baixar VPN do usuário da WAN virtual, selecione EAPTLS e clique em Gerar e baixar perfil. Um pacote de perfil (arquivo zip) que contém as definições de configuração do cliente VPN é gerado e baixado no computador. O conteúdo do pacote depende dos hubs e das opções de autenticação e de tipo de túnel para a configuração selecionada.

Incluir ou excluir o hub de um perfil global

Por padrão, todos os hubs que usam a mesma configuração de VPN do usuário são incluídos no perfil de VPN global que você gera e baixa. Entretanto, você pode optar por excluir um hub do perfil de VPN global. Nesse caso, o cliente VPN não terá a carga balanceada para se conectar ao gateway desse hub.

Para verificar se um hub está incluído no perfil de VPN global, acesse a WAN Virtual.
Na página Visão geral, selecione Hubs.
Na página Hubs, clique no Hub.
Na página Hub virtual, no painel esquerdo, selecione VPN do usuário (ponto a site).
Na página VPN do usuário (ponto a site), confira o Estado do anexo do gateway para determinar se esse hub está incluído no perfil VPN global. Se o estado for anexado, o hub estará incluído. Se o estado for desanexado, o hub não estará incluído.
Para incluir ou excluir (anexar ou desanexar) o hub do perfil de VPN global, selecione Incluir/Excluir Gateway do Perfil Global.
Na página Incluir/Excluir, faça uma das escolhas a seguir.
- Selecione Excluir se desejar remover o gateway desse hub do perfil de VPN do usuário global da WAN Virtual do Azure. Os usuários que estiverem usando o perfil de hub ainda poderão se conectar ao gateway desse hub. Os usuários que estiverem usando esse perfil global não poderão se conectar ao gateway desse hub.
- Clique em Incluir se desejar incluir o gateway desse hub no perfil de VPN do usuário global da WAN Virtual do Azure. Os usuários que estiverem usando esse perfil global poderão se conectar ao gateway desse hub.

Melhores práticas de perfil global

Adicionar vários certificados de validação de servidor

Esta seção refere-se a conexões usando o tipo de túnel OpenVPN e o Cliente VPN do Azure versão 2.1963.44.0 ou superior.

Quando você configura um gateway P2S do hub, o Azure atribui um certificado interno ao gateway. Isso é diferente das informações de certificado raiz especificadas quando você deseja usar a Autenticação de Certificado como seu método de autenticação. O certificado interno atribuído ao hub é usado para todos os tipos de autenticação. Esse valor é representado nos arquivos de configuração de perfil gerados como servervalidation/cert/hash. O cliente VPN usa esse valor como parte do processo de conexão.

Se você tiver vários hubs em regiões geográficas diferentes, cada hub poderá usar um certificado de validação de servidor diferente no nível do Azure. O perfil global contém o valor de hash do certificado de validação do servidor para todos os hubs. Isso significa que, se o certificado desse hub não estiver funcionando corretamente por qualquer motivo, o cliente ainda terá o valor de hash de certificado de validação de servidor necessário para os outros hubs.

Importante

Configurar o cliente VPN do Azure com o valor de hash de certificado de todos os hubs será necessário somente se os hubs tiverem emissores de servidor raiz diferentes.

A melhor prática é atualizar seu arquivo de configuração de perfil de cliente VPN para incluir o valor de hash de certificado de todos os hubs anexados ao perfil global e configurar o cliente VPN do Azure usando o arquivo atualizado.

Gere e baixe os arquivos de perfil global. Use um editor de texto para abrir o arquivo azurevpnconfig.xml.

Considerando o exemplo XML a seguir, configure o Cliente VPN do Azure usando o arquivo de configuração de perfil global que contém o hash de certificado de validação de servidor para cada hub.

  </protocolconfig>
  <serverlist>
    <ServerEntry>
      <displayname
        i:nil="true" />
      <fqdn>wan.kycyz81dpw483xnf3fg62v24f.vpn.azure.com</fqdn>
    </ServerEntry>
  </serverlist>
  <servervalidation>
    <cert>
      <hash>A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436</hash>
      <issuer
        i:nil="true" />
    </cert>
    <cert>
      <hash>59470697201baejC4B2D7D66D40C6DD2FB19C5436</hash>
      <issuer
        i:nil="true" />
    </cert>
    <cert>
      <hash>cab20a7f63f00f2bae76202gdfe36db3a03a9cb9</hash>
      <issuer
        i:nil="true" />
    </cert>

Perfis de hub

Use esse tipo de perfil quando quiser que os usuários de VPN possam se conectar somente a um único hub especificado. Os arquivos gerados e baixados no nível do hub contêm configurações diferentes dos arquivos gerados e baixados no perfil global de nível WAN.

Baixar um perfil de VPN do hub