Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Uma conexão de gateway VPN P2S (ponto a site) permite que você crie uma conexão segura na sua rede virtual de um computador cliente individual. Uma conexão P2S é estabelecida iniciando-a do computador cliente. Este artigo fala sobre maneiras de superar o limite de conexão simultânea de 128 SSTP fazendo a transição para o protocolo OpenVPN ou IKEv2.
Qual protocolo o P2S usa?
VPN Ponto a Site pode usar um dos seguintes protocolos:
Protocolo de OpenVPN®, um protocolo VPN baseado em SSL/TLS. Uma solução de VPN SSL pode passar por firewalls, desde que a maioria deles abra a porta TCP 443, usada pelo SSL. O OpenVPN pode ser usado para conexão em dispositivos Android, iOS (versões 11.0 e mais recentes), Windows, Linux e Mac (macOS versões 12.x e mais recentes).
SSTP (Secure Socket Tunneling Protocol) , um protocolo VPN baseado em SSL proprietário. Uma solução de VPN SSL pode invadir firewalls, desde que a maioria dos firewalls abra a porta TCP 443, usada pelo SSL. SSTP só tem suporte em dispositivos com Windows. O Azure oferece suporte a todas as versões do Windows com SSTP (Windows 7 e posterior). O SSTP dá suporte a até 128 conexões simultâneas apenas independentemente da SKU do gateway.
VPN IKEv2, uma solução de VPN IPsec baseada em padrões. A VPN IKEv2 pode ser usada para se conectar em dispositivos Mac (MacOS versões 10.11 e mais recentes).
Observação
A SKU do gateway básico não dá suporte aos protocolos IKEv2 ou OpenVPN. Se você estiver usando o SKU básico, precisará excluir e recriar um gateway de rede virtual de SKU de produção.
Migrando do SSTP para IKEv2 ou OpenVPN
Pode haver casos em que você queira oferecer suporte a mais de 128 conexões P2S simultâneas a um gateway de VPN, mas esteja usando o protocolo SSTP. Nesse caso, você precisa mover para o protocolo IKEv2 ou OpenVPN.
Opção 1 - Adicionar o IKEv2 além do SSTP no gateway
Essa é a opção mais simples. O SSTP e o IKEv2 podem coexistir no mesmo gateway e fornecer um número maior de conexões simultâneas. Você pode habilitar o IKEv2 no gateway existente e baixar o pacote de configuração do cliente que contém as configurações atualizadas.
Adicionar o IKEv2 a um gateway do VPN SSTP existente não afetará os clientes existentes e você poderá configurá-los para usar o IKEv2 em pequenos lotes ou apenas configurar os novos clientes para usar o IKEv2. Se um cliente do Windows está configurado para SSTP e IKEv2, ele tenta se conectar usando IKEV2 primeiro e, se isso falhar, ele retorna ao SSTP.
O IKEv2 usa portas UDP não padrão, portanto, você precisa garantir que essas portas não sejam bloqueadas no firewall do usuário. As portas em uso são UDP 500 e 4500.
- Para adicionar o IKEv2 a um gateway existente, acesse o gateway de rede virtual no portal.
- No painel esquerdo, selecione Configuração ponto-a-site.
- Na página de configuração ponto a site, para o tipo de túnel, selecione IKEv2 e SSTP (SSL) na caixa suspensa.
- Aplique as alterações.
Observação
Quando o SSTP e o IKEv2 estiverem habilitados no gateway, o pool de endereços ponto a site será dividido estaticamente entre os dois, de modo que os clientes que utilizam protocolos diferentes serão atribuídos a endereços IP de qualquer um dos subintervalos. Observe que o número máximo de clientes SSTP é sempre 128. Isso se aplica mesmo se o intervalo de endereços for maior que /24, resultando em uma quantidade maior de endereços disponíveis para clientes IKEv2. Para intervalos menores, o pool é dividido igualmente pela metade. Os Seletores de Tráfego usados pelo gateway podem não incluir o CIDR do intervalo de endereços ponto a site, mas sim os dois CIDRs do subintervalo.
Opção 2 – Remover o SSTP e habilitar o OpenVPN no gateway
Como o SSTP e o OpenVPN são do protocolo baseado em TLS, eles não podem coexistir no mesmo gateway. Se você decidir sair do SSTP para o OpenVPN, terá que desabilitar o SSTP e habilitar o OpenVPN no gateway. Esta operação faz com que os clientes existentes percam a conectividade com o gateway de VPN até que o novo perfil tenha sido configurado no cliente.
Você pode habilitar o OpenVPN junto com o IKEv2, se desejar. O OpenVPN é baseado em TLS e usa a porta TCP 443 padrão.
- Para alternar para OpenVPN, acesse o gateway de rede virtual no portal.
- No painel esquerdo, selecione Configuração ponto-a-site.
- Na página de configuração ponto a site, para o tipo de túnel, selecione OpenVPN (SSL) ou IKEv2 e OpenVPN (SSL) na caixa suspensa.
- Aplique as alterações.
Após configurar o gateway, os clientes existentes não poderão se conectar até que você implante e configure os clientes do OpenVPN. Se você estiver usando o Windows 10 ou posterior, também poderá usar o Cliente de VPN do Azure.
Perguntas frequentes
Quais são os requisitos de configuração do cliente?
Observação
Para clientes do Windows, é necessário ter direitos de administrador no dispositivo cliente para iniciar a conexão VPN do dispositivo cliente para o Azure.
Os usuários usam os clientes VPN nativos em dispositivos Windows e Mac para P2S. O Azure fornece um arquivo compactado de configuração de cliente de VPN que contém as configurações necessárias para esses clientes nativos se conectarem ao Azure.
- Para dispositivos Windows, a configuração de cliente de VPN é composta por um pacote de instalador que os usuários instalam em seus dispositivos.
- Para dispositivos Mac, ela é composta pelo arquivo mobileconfig que os usuários instalem em seus dispositivos.
O arquivo zip também fornece os valores de algumas das configurações importantes no lado do Azure que você pode usar para criar seu próprio perfil para esses dispositivos. Alguns dos valores incluem o endereço de gateway de VPN, os tipos de encapsulamento configurados, rotas e o certificado raiz para validação de gateway.
Observação
Começando em 1 de julho de 2018, o suporte está sendo removido para TLS 1.0 e 1.1 do Gateway de VPN do Azure. O Gateway de VPN oferecerá suporte somente ao protocolo TLS 1.2. Somente conexões ponto a site são afetadas; conexões site a site não serão afetadas. Se você estiver usando TLS para VPNs ponto a site em clientes Windows 10 ou posterior, não precisará fazer nada. Se você estiver usando TLS para conexões ponto a site em clientes Windows 7 e Windows 8, consulte as Perguntas frequentes sobre o Gateway de VPN para obter instruções de atualização.
Quais SKUs de gateway dão suporte à VPN P2S?
A tabela a seguir mostra SKUs de gateways por túnel, conexão e taxa de transferência. Para obter tabelas adicionais e mais informações sobre essa tabela, consulte a seção SKUs do Gateway do artigo Configurações de Gateway de VPN.
|
VPN Gateway Geração |
SKU |
S2S/VNet para VNet Túneis |
P2S Conexões SSTP |
P2S Conexões IKEv2/OpenVPN |
Agregado Benchmark de taxa de transferência |
BGP | Com redundância de zona | Número de VMs com suporte na Rede Virtual |
|---|---|---|---|---|---|---|---|---|
| Geração1 | Basic | Máx. 10 | Máx. 128 | Sem suporte | 100 Mbps | Sem suporte | Não | 200 |
| Geração1 | VpnGw1 | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Com suporte | Não | 450 |
| Geração1 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Com suporte | Não | 1300 |
| Geração1 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Com suporte | Não | 4000 |
| Geração1 | VpnGw1AZ | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Com suporte | Sim | 1000 |
| Geração1 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Com suporte | Sim | 2000 |
| Geração1 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Com suporte | Sim | 5000 |
| Geração2 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Com suporte | Não | 685 |
| Geração2 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Com suporte | Não | 2240 |
| Geração2 | VpnGw4 | Máx. 100* | Máx. 128 | Máx. 5.000 | 5 Gbps | Com suporte | Não | 5300 |
| Geração2 | VpnGw5 | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Com suporte | Não | 6700 |
| Geração2 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Com suporte | Sim | 2000 |
| Geração2 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Com suporte | Sim | 3.300 |
| Geração2 | VpnGw4AZ | Máx. 100* | Máx. 128 | Máx. 5.000 | 5 Gbps | Com suporte | Sim | 4400 |
| Geração2 | VpnGw5AZ | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Com suporte | Sim | 9000 |
Observação
A SKU básica tem limitações e não dá suporte à autenticação IKEv2 ou RADIUS.
Quais políticas de IKE/IPsec são configuradas em gateways de VPN para P2S?
IKEv2
| Cipher | Integridade | PRF | Grupo DH |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| Cipher | Integridade | Grupo PFS |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
Quais políticas de TLS são configuradas em gateways de VPN para P2S?
TLS
| Políticas |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| **TLS_AES_256_GCM_SHA384 |
| **TLS_AES_128_GCM_SHA256 |
**Com suporte somente no TLS1.3 com OpenVPN
Como fazer para configurar uma conexão P2S?
Uma configuração P2S exige algumas etapas específicas. Os seguintes artigos contêm etapas para orientá-lo pela configuração de P2S e links para configurar os dispositivos cliente VPN:
Próximas etapas
"OpenVPN" é uma marca comercial da OpenVPN Inc.