Desativação do protocolo SSTP e migração de conexões

Uma conexão de gateway de VPN Ponto a Site (P2S) permite que você crie uma conexão segura para sua rede virtual a partir de um computador cliente individual. Uma conexão P2S é estabelecida iniciando-a do computador cliente. Este artigo fala sobre a desativação do SSTP e as maneiras de migrar fora do SSTP, fazendo a transição para o protocolo OpenVPN ou IKEv2.

Qual protocolo o P2S usa?

VPN Ponto a Site pode usar um dos seguintes protocolos:

• Protocolo de OpenVPN®, um protocolo VPN baseado em SSL/TLS. Uma solução de VPN SSL pode passar por firewalls, desde que a maioria deles abra a porta TCP 443, usada pelo SSL. O OpenVPN pode ser usado para se conectar a partir de dispositivos Android, iOS (versões 11.0 e superior), Windows, Linux e Mac (versões do macOS 12.x e superior).

• SSTP (Secure Socket Tunneling Protocol), um protocolo VPN baseado em SSL proprietário. Uma solução de VPN SSL pode passar por firewalls, desde que a maioria deles abra a porta TCP 443, usada pelo SSL. O SSTP só tem suporte em dispositivos Windows. Azure dá suporte a todas as versões de Windows que têm SSTP (Windows 7 e posterior). O SSTP dá suporte a até 128 conexões simultâneas apenas independentemente da SKU do gateway.

• VPN IKEv2, uma solução VPN IPsec baseada em padrão. A VPN IKEv2 pode ser usada para se conectar em dispositivos Mac (macOS versões 10.11 e mais recentes).

Observação

Atualmente, o SKU Básico dá suporte apenas ao protocolo SSTP e todos os novos gateways de SKU Básico são criados com o protocolo SSTP. A partir de novembro de 2025, o SKU Básico também dará suporte ao IKEv2 e todos os novos gateways de VPN de SKU Básico serão criados com IKEv2 por padrão.

Desativação do SSTP: Migrando do SSTP para IKEv2 ou OpenVPN

Devido à capacidade limitada e ao desempenho abaixo do ideal, estamos desativando o protocolo SSTP:

• A partir de 31 de março de 2026: Não haverá mais suporte para habilitar o protocolo SSTP em gateways de VPN.
• A partir de 31 de março de 2027: Gateways habilitados para SSTP existentes não podem mais ser usados para estabelecer conexões SSTP.

As instruções a seguir listam as etapas para migrar suas conexões SSTP:

Opção 1 - Adicionar o IKEv2 além do SSTP no gateway

Essa é a opção mais simples. O SSTP e o IKEv2 podem coexistir no mesmo gateway e fornecer um número maior de conexões simultâneas. Você pode habilitar o IKEv2 no gateway existente e baixar o pacote de configuração do cliente que contém as configurações atualizadas.

Adicionar o IKEv2 a um gateway do VPN SSTP existente não afetará os clientes existentes e você poderá configurá-los para usar o IKEv2 em pequenos lotes ou apenas configurar os novos clientes para usar o IKEv2. Se um cliente Windows estiver configurado para SSTP e IKEv2, ele tentará se conectar usando iKEV2 primeiro e, se isso falhar, ele retornará ao SSTP.

O IKEv2 usa portas UDP não padrão, portanto, você precisa garantir que essas portas não sejam bloqueadas no firewall do usuário. As portas em uso são UDP 500 e 4500.

Portal

1. Acesse o seu gateway de rede virtual no portal.

2. Em Configurações, selecione configuração ponto a site.

3. Atualizar tipo de túnel: Na página de configuração ponto-a-site, atualize o tipo de túnel de SSTP (SSL) para IKEv2 e SSTP (SSL). Essa opção será habilitada para gateways de SKU Básicos a partir de novembro de 2025.

   

4. Selecione Salvar para aplicar as alterações.

5. Baixe a configuração atualizada: Depois de atualizar o tipo de túnel, baixe o pacote de configuração de perfil do cliente VPN atualizado para obter o pacote de configuração mais recente

6. Distribuir Configuração: Compartilhar a configuração atualizada do cliente VPN com todos os usuários que se conectam via VPN Ponto a Site

7. Verificar conectividade VPN:Verificar as conexões VPN para garantir que todos os clientes possam se conectar com êxito e se o gateway de VPN está funcionando conforme o esperado

PowerShell

1. Atualize o tipo de túnel: Atualize o tipo de túnel na configuração ponto a ponto do gateway de VPN. Essa opção será habilitada para gateways de SKU Básicos a partir de novembro de 2025.

   $PublicCertData = <PublicCertData>
   $vng = Get-AzVirtualNetworkGateway -Name $gwName -ResourceGroupName $rgName
   $VpnClientRootCert = New-AzVpnClientRootCertificate -Name "RootCert" -PublicCertData $PublicCertData
   Set-AzVirtualNetworkGateway -VirtualNetworkGateway $vng -VpnClientAddressPool <Addresspool>  -VpnClientProtocol IkeV2,SSTP -VpnAuthenticationType Certificate -VpnClientRootCertificates $VpnClientRootCert
   

2. Baixe a configuração atualizada: Depois de atualizar o tipo de túnel, baixe o pacote de configuração de perfil do cliente VPN atualizado para obter o pacote de configuração mais recente

3. Distribuir Configuração: Compartilhar a configuração atualizada do cliente VPN com todos os usuários que se conectam via VPN Ponto a Site

4. Verificar conectividade VPN:Verificar as conexões VPN para garantir que todos os clientes possam se conectar com êxito e se o gateway de VPN está funcionando conforme o esperado

Observação

Quando ambos SSTP e IKEv2 estiverem habilitados no gateway, o pool de endereços ponto a site será dividido estaticamente entre os dois, dessa forma, os clientes que usam protocolos diferentes receberão endereços IP de um dos subconjuntos. O número máximo de clientes SSTP é sempre 128. Isso se aplica mesmo se o intervalo de endereços for maior que /24, resultando em um número maior de endereços disponíveis para clientes IKEv2. Para intervalos menores, o pool é dividido igualmente pela metade. Os Seletores de Tráfego usados ​​pelo gateway podem não incluir o CIDR do intervalo de endereços ponto a site, mas sim os dois CIDRs do subintervalo.

Opção 2 – Remover o SSTP e habilitar o OpenVPN no gateway

Como o SSTP e o OpenVPN são do protocolo baseado em TLS, eles não podem coexistir no mesmo gateway. Se você decidir se afastar do SSTP para o OpenVPN, deverá desabilitar o SSTP e habilitar o OpenVPN no gateway. Essa operação faz com que os clientes existentes percam a conectividade com o gateway de VPN até que o novo perfil seja configurado no cliente.

Você pode habilitar o OpenVPN junto com o IKEv2, se desejar. O OpenVPN é baseado em TLS e usa a porta TCP 443 padrão.

1. Para alternar para OpenVPN, acesse o gateway de rede virtual no portal.

2. Em Configurações, selecione configuração ponto a site.

3. Na página de configuração ponto a site, para o tipo de túnel, selecione OpenVPN (SSL) ou IKEv2 e OpenVPN (SSL) na caixa suspensa.

4. Selecione Salvar para aplicar as alterações.

Após configurar o gateway, os clientes existentes não poderão se conectar até que você implante e configure os clientes do OpenVPN. Se você estiver usando Windows 10 ou posterior, também poderá usar o Azure VPN Client.

Perguntas frequentes

Quais são os requisitos de configuração do cliente?

Observação

Para Windows clientes, você deve ter direitos de administrador no dispositivo cliente para iniciar a conexão VPN do dispositivo cliente para Azure.

Os usuários usam os clientes VPN nativos em dispositivos Windows e Mac para P2S. Azure fornece um arquivo zip de configuração de cliente VPN que contém as configurações exigidas por esses clientes nativos para se conectar a Azure.

• Para dispositivos Windows, a configuração do cliente VPN consiste em um pacote de instalador que os usuários instalam em seus dispositivos.
• Para dispositivos Mac, ela é composta pelo arquivo mobileconfig que os usuários instalem em seus dispositivos.

O arquivo zip também fornece os valores de algumas das configurações importantes no lado Azure que você pode usar para criar seu próprio perfil para esses dispositivos. Alguns dos valores incluem o endereço de gateway de VPN, os tipos de encapsulamento configurados, rotas e o certificado raiz para validação de gateway.

Observação

A partir de 1º de julho de 2018, o suporte está sendo removido para TLS 1.0 e 1.1 de Azure VPN Gateway. VPN Gateway dará suporte apenas ao TLS 1.2. Somente conexões ponto a site são afetadas; conexões site a site não serão afetadas. Se você estiver usando o TLS para VPNs ponto a site em clientes Windows 10 ou posteriores, não será necessário executar nenhuma ação. Se você estiver usando o TLS para conexões ponto a site em clientes Windows 7 e Windows 8, consulte as perguntas frequentes VPN Gateway para obter instruções de atualização.

O que acontece se eu não migrar minhas conexões SSTP até 31 de março de 2027?

Todas as conexões SSTP existentes após 31 de março de 2027 serão suspensas e deixarão de funcionar.

Quando o SKU de gateway básico começará a dar suporte ao IKEv2?

A partir de novembro de 2025, o SKU Básico começará a dar suporte ao protocolo IKEv2

Por que não consigo ver o diagnóstico do Azure no meu gateway de VPN?

O diagnóstico do Azure não tem suporte para o protocolo SSTP no gateway de VPN, migre seu gateway para usar IKEv2 ou OpenVPN para habilitar o diagnóstico.

Haverá interrupção enquanto eu migrar minhas conexões SSTP para outro protocolo?

Não, não haverá nenhum tempo de inatividade quando você fizer a transição do protocolo "SSTP" para o protocolo "IKEv2 e SSTP (SSL)". No entanto, se você migrar apenas para "IKEv2", o gateway terá tempo de inatividade até que a nova configuração seja aplicada.

Será necessário redistribuir o novo pacote de configuração P2S para todos os clientes?

Sim, a nova configuração deve ser distribuída para os novos clientes para evitar qualquer impacto.

Será possível habilitar o protocolo SSTP até a data de desativação?

Não, você não poderá habilitar o protocolo SSTP após 31 de março de 2026.

Posso acessar o protocolo "IKEv2" diretamente em vez de protocolo IKEv2 e SSTP?

Sim, você pode. Se você optar por ir diretamente ao IKEv2, o gateway deixará de funcionar até que a nova configuração seja aplicada. No entanto, se você escolher o protocolo "IKEv2 e SSTP", não haverá impacto no gateway.

Quais SKUs de gateway dão suporte à VPN P2S?

A tabela a seguir mostra SKUs de gateways por túnel, conexão e taxa de transferência. Para obter tabelas adicionais e mais informações sobre essa tabela, consulte a seção de SKUs do Gateway no artigo de configurações VPN Gateway.

VPN Gateway Geração	SKU	S2S/VNet-a-VNet Túneis	P2S Conexões SSTP	P2S Conexões IKEv2/OpenVPN	Agregação Parâmetro de comparação de taxa de transferência	BGP	Zone-redundant	Número Suportado de VMs na Rede Virtual
Generation1	Basic	Máx. 10	Máx. 128	Sem suporte	100 Mbps	Sem suporte	Não	200
Generation1	VpnGw1	Máx. 30	Máx. 128	Máx. 250	650 Mbps	Com suporte	Não	450
Generation1	VpnGw2	Máx. 30	Máx. 128	Máx. 500	1 Gbps	Com suporte	Não	1300
Generation1	VpnGw3	Máx. 30	Máx. 128	Máx. 1000	1,25 Gbps	Com suporte	Não	4000
Generation1	VpnGw1AZ	Máx. 30	Máx. 128	Máx. 250	650 Mbps	Com suporte	Sim	1000
Generation1	VpnGw2AZ	Máx. 30	Máx. 128	Máx. 500	1 Gbps	Com suporte	Sim	2000
Generation1	VpnGw3AZ	Máx. 30	Máx. 128	Máx. 1000	1,25 Gbps	Com suporte	Sim	5.000
Generation2	VpnGw2	Máx. 30	Máx. 128	Máx. 500	1,25 Gbps	Com suporte	Não	685
Generation2	VpnGw3	Máx. 30	Máx. 128	Máx. 1000	2,5 Gbps	Com suporte	Não	2240
Generation2	VpnGw4	Máx. 100*	Máx. 128	Máx. 5.000	5 Gbps	Com suporte	Não	5300
Generation2	VpnGw5	Máx. 100*	Máx. 128	Máx. 10000	10 Gbps	Com suporte	Não	6700
Generation2	VpnGw2AZ	Máx. 30	Máx. 128	Máx. 500	1,25 Gbps	Com suporte	Sim	2000
Generation2	VpnGw3AZ	Máx. 30	Máx. 128	Máx. 1000	2,5 Gbps	Com suporte	Sim	3.300
Generation2	VpnGw4AZ	Máx. 100*	Máx. 128	Máx. 5.000	5 Gbps	Com suporte	Sim	4400
Generation2	VpnGw5AZ	Máx. 100*	Máx. 128	Máx. 10000	10 Gbps	Com suporte	Sim	9000

Observação

"Número de VMs com suporte no Virtual Network" refere-se à contagem de recursos que se comunicam por meio do gateway. Isso inclui:

• Máquinas Virtuais nas redes virtuais hub e spoke interligadas
• Pontos de extremidade privados
• Dispositivos Virtuais de Rede (como Gateway de Aplicativo, Azure Firewall)
• Instâncias de back-end dos serviços de PaaS implantados em redes virtuais (como SQL Managed Instance, App Service Environment)

Quais políticas de IKE/IPsec são configuradas em gateways de VPN P2S?

IKEv2

Cipher	Integridade	PRF	Grupo DH
GCM_AES256	GCM_AES256	SHA384	GROUP_24
GCM_AES256	GCM_AES256	SHA384	GROUP_14
GCM_AES256	GCM_AES256	SHA384	GROUP_ECP384
GCM_AES256	GCM_AES256	SHA384	GROUP_ECP256
GCM_AES256	GCM_AES256	SHA256	GROUP_24
GCM_AES256	GCM_AES256	SHA256	GROUP_14
GCM_AES256	GCM_AES256	SHA256	GROUP_ECP384
GCM_AES256	GCM_AES256	SHA256	GROUP_ECP256
AES256	SHA384	SHA384	GROUP_24
AES256	SHA384	SHA384	GROUP_14
AES256	SHA384	SHA384	GROUP_ECP384
AES256	SHA384	SHA384	GROUP_ECP256
AES256	SHA256	SHA256	GROUP_24
AES256	SHA256	SHA256	GROUP_14
AES256	SHA256	SHA256	GROUP_ECP384
AES256	SHA256	SHA256	GROUP_ECP256
AES256	SHA256	SHA256	GROUP_2

IPsec

Cipher	Integridade	Grupo PFS
GCM_AES256	GCM_AES256	GROUP_NONE
GCM_AES256	GCM_AES256	GROUP_24
GCM_AES256	GCM_AES256	GROUP_14
GCM_AES256	GCM_AES256	GROUP_ECP384
GCM_AES256	GCM_AES256	GROUP_ECP256
AES256	SHA256	GROUP_NONE
AES256	SHA256	GROUP_24
AES256	SHA256	GROUP_14
AES256	SHA256	GROUP_ECP384
AES256	SHA256	GROUP_ECP256
AES256	SHA1	GROUP_NONE

Quais políticas de TLS são configuradas em gateways de VPN P2S?

TLS

Políticas
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
**TLS_AES_256_GCM_SHA384
**TLS_AES_128_GCM_SHA256

**Com suporte somente no TLS1.3 com OpenVPN

Como fazer para configurar uma conexão P2S?

Uma configuração P2S exige algumas etapas específicas. Os seguintes artigos contêm etapas para orientá-lo pela configuração de P2S e links para configurar os dispositivos cliente VPN:

• Configurar uma conexão P2S – autenticação RADIUS

• Configurar uma conexão P2S – Azure autenticação de certificado nativo

• Configurar o OpenVPN

Conteúdo relacionado

• Configurar uma conexão P2S – autenticação RADIUS

• Configurar uma conexão P2S – autenticação de certificado Azure

"OpenVPN" é uma marca comercial da OpenVPN Inc.