Sobre VPN Ponto a Site
Uma conexão de gateway de VPN Ponto a Site (P2S) permite que você crie uma conexão segura para sua rede virtual a partir de um computador cliente individual. Uma conexão P2S é estabelecida iniciando-a do computador cliente. Essa solução é útil para pessoas que trabalham remotamente que querem se conectar às VNets do Azure de um local remoto, como de casa ou de uma conferência. A VPN P2S também é uma solução útil para usar em vez de uma VPN S2S, quando você tiver apenas alguns clientes que precisam se conectar a uma rede virtual. Este artigo se aplica ao modelo de implantação do Gerenciador de Recursos.
Qual protocolo o P2S usa?
VPN Ponto a Site pode usar um dos seguintes protocolos:
Protocolo de OpenVPN®, um protocolo VPN baseado em SSL/TLS. Uma solução de VPN TLS pode invadir firewalls, desde que a maioria dos firewalls abre a porta de saída 443 TCP, que o TLS usa. O OpenVPN pode ser usado para conexão em dispositivos Android, iOS (versões 11.0 e mais recentes), Windows, Linux e Mac (versões OSX 10.13 e mais recentes).
O SSTP (Secure Socket Tunneling Protocol), que é um protocolo VPN baseado em TLS de proprietário. Uma solução de VPN TLS pode invadir firewalls, desde que a maioria dos firewalls abre a porta de saída 443 TCP, que o TLS usa. SSTP só tem suporte em dispositivos com Windows. O Azure oferece suporte a todas as versões do Windows com SSTP e suporte ao TLS 1.2 (Windows 8.1 e posterior).
IKEv2 VPN, uma solução de VPN IPsec baseada em padrões. A VPN IKEv2 pode ser usada para se conectar em dispositivos Mac (MacOS versões 10.11 e mais recentes).
Observação
O IKEv2 e o OpenVPN para P2S estão disponíveis somente para o modelo de implantação do Resource Manager. Eles não estão disponíveis no modelo de implantação clássico.
Como os clientes VPN P2S são autenticados?
Antes de o Azure aceitar uma conexão VPN P2S, o usuário deve autenticar primeiro. Há dois mecanismos oferecidos pelo Azure para autenticar um usuário em conexão.
Autenticação de certificado
Ao usar a autenticação de certificado nativa do Azure, um certificado de cliente que está presente no dispositivo é usado para autenticar o usuário conectado. Certificados de cliente são gerados a partir de um certificado raiz confiável e instalado em cada computador cliente. Você pode usar um certificado raiz que foi gerado usando uma solução corporativa ou você pode gerar um certificado autoassinado.
A validação do certificado do cliente é realizada pelo gateway de VPN e acontece durante o estabelecimento da conexão de VPN P2S. O certificado raiz é necessário para a validação e deve ser carregado no Azure.
autenticação do Microsoft Entra
A autenticação do Microsoft Entra permite que os usuários se conectem ao Azure usando suas credenciais do Microsoft Entra. A autenticação nativa do Microsoft Entra só é compatível com o protocolo OpenVPN e também exige o uso do cliente VPN do Azure. Os sistemas de operação do cliente com suporte são o Windows 10 ou posteriores e o macOS.
Com a autenticação nativa do Microsoft Entra, você pode usar os recursos de Acesso Condicional e a Autenticação Multifator (MFA) do Microsoft Entra para VPN.
Em um nível superior, você precisa executar as seguintes etapas para configurar a autenticação do Microsoft Entra:
Baixe a versão mais recente dos arquivos de instalação do Cliente VPN do Azure usando um dos seguintes links:
- Instale usando os arquivos de instalação do cliente: https://aka.ms/azvpnclientdownload.
- Instale diretamente, quando conectado em um computador cliente: Microsoft Store.
Servidor de domínio Active Directory (AD)
A autenticação de Domínio do AD permite que os usuários se conectem ao Azure usando suas credenciais de domínio da organização. Ela requer um servidor RADIUS que integra-se com o servidor do AD. As organizações também podem usar sua implantação RADIUS existente.
O servidor RADIUS pode ser implantado localmente ou em sua VNet do Azure. Durante a autenticação, o Gateway de VPN do Azure atua como uma passagem e encaminha as mensagens de autenticação entre o servidor RADIUS e o dispositivo de conexão. Portanto, a capacidade de acesso ao servidor RADIUS pelo Gateway é importante. Se o servidor RADIUS for local, será necessária uma conexão VPN S2S do Azure para o site local para permitir o acesso.
O servidor RADIUS também pode ser integrado aos Serviços de Certificados do AD. Isso permite que você use o servidor RADIUS e sua implantação de certificado corporativo para autenticação de certificado P2S como uma alternativa para a autenticação de certificado do Azure. A vantagem é que você não precisa carregar certificados raiz e certificados revogados no Azure.
Um servidor RADIUS também pode integrar-se com outros sistemas de identidade externa. Isso possibilita várias opções de autenticação para VPNs P2S, incluindo opções de multifator.
Quais são os requisitos de configuração do cliente?
Os requisitos de configuração do cliente variam com base no cliente VPN que você utiliza, no tipo de autenticação e no protocolo. A tabela a seguir mostra os clientes disponíveis e os artigos correspondentes de cada configuração.
| Autenticação | Tipo de túnel | Gerar arquivos de configuração | Configurar o cliente VPN |
|---|---|---|---|
| Certificado do Azure | IKEv2, SSTP | Windows | Cliente VPN nativo |
| Certificado do Azure | OpenVPN | Windows | - Cliente OpenVPN - Cliente VPN do Azure |
| Certificado do Azure | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
| Certificado do Azure | IKEv2, OpenVPN | Linux | Linux |
| ID do Microsoft Entra | OpenVPN (SSL) | Windows | Windows |
| ID do Microsoft Entra | OpenVPN (SSL) | macOS | macOS |
| RADIUS – certificado | - | Artigo | Artigo |
| RADIUS – senha | - | Artigo | Artigo |
| RADIUS – outros métodos | - | Artigo | Artigo |
Importante
Começando em 1 de julho de 2018, o suporte está sendo removido para TLS 1.0 e 1.1 do Gateway de VPN do Azure. O Gateway de VPN oferecerá suporte somente ao protocolo TLS 1.2. Somente conexões ponto a site são afetadas; conexões site a site não serão afetadas. Se você estiver usando TLS para VPNs ponto a site em clientes Windows 10 ou posterior, não precisará fazer nada. Se você estiver usando TLS para conexões ponto a site em clientes Windows 7 e Windows 8, consulte as Perguntas frequentes sobre o Gateway de VPN para obter instruções de atualização.
Quais SKUs de gateway dão suporte à VPN P2S?
A tabela a seguir mostra SKUs de gateways por túnel, conexão e taxa de transferência. Para obter tabelas adicionais e mais informações sobre essa tabela, consulte a seção SKUs do Gateway do artigo Configurações de Gateway de VPN.
| VPN Gateway Geração |
SKU | S2S/VNet para VNet Túneis |
P2S Conexões SSTP |
P2S Conexões IKEv2/OpenVPN |
Agregado Benchmark de taxa de transferência |
BGP | Com redundância de zona | Número de VMs com suporte na Rede Virtual |
|---|---|---|---|---|---|---|---|---|
| Geração1 | Basic | Máx. 10 | Máx. 128 | Sem suporte | 100 Mbps | Sem suporte | Não | 200 |
| Geração1 | VpnGw1 | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Com suporte | Não | 450 |
| Geração1 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Com suporte | Não | 1300 |
| Geração1 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Com suporte | Não | 4000 |
| Geração1 | VpnGw1AZ | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Com suporte | Sim | 1000 |
| Geração1 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Com suporte | Sim | 2000 |
| Geração1 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Com suporte | Sim | 5000 |
| Geração2 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Com suporte | Não | 685 |
| Geração2 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Com suporte | Não | 2240 |
| Geração2 | VpnGw4 | Máx. 100* | Máx. 128 | Máx. 5.000 | 5 Gbps | Com suporte | Não | 5300 |
| Geração2 | VpnGw5 | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Com suporte | Não | 6700 |
| Geração2 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Com suporte | Sim | 2000 |
| Geração2 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Com suporte | Sim | 3.300 |
| Geração2 | VpnGw4AZ | Máx. 100* | Máx. 128 | Máx. 5.000 | 5 Gbps | Com suporte | Sim | 4400 |
| Geração2 | VpnGw5AZ | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Com suporte | Sim | 9000 |
Observação
A SKU Básica tem limitações e não dá suporte à autenticação IKEv2, IPv6 ou RADIUS. Confira o artigo Configurações do Gateway de VPN para mais informações.
Quais políticas de IKE/IPsec são configuradas em gateways de VPN para P2S?
As tabelas nesta seção mostram os valores das políticas padrão. No entanto, eles não refletem os valores disponíveis com suporte para políticas personalizadas. Para políticas personalizadas, consulte os Valores aceitos listados no cmdlet New-AzVpnClientIpsecParameter do PowerShell.
IKEv2
| Cipher | Integridade | PRF | Grupo DH |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| Cipher | Integridade | Grupo PFS |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
Quais políticas de TLS são configuradas em gateways de VPN para P2S?
TLS
| Políticas |
|---|
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 |
Como fazer para configurar uma conexão P2S?
Uma configuração P2S exige algumas etapas específicas. Os artigos a seguir contêm as etapas para orientar você nas etapas comuns de configuração P2S.
Para remover a configuração de uma conexão P2S
Você pode remover a configuração de uma conexão usando o PowerShell ou a CLI. Para obter exemplos, consulte as Perguntas frequentes.
Como funciona o roteamento P2S?
Veja os artigos a seguir:
Perguntas frequentes
Há várias seções de perguntas frequentes para o P2S, com base na autenticação.
Próximas etapas
- Configurar uma conexão P2S – Autenticação de certificado do Azure
- Configurar uma conexão P2S – autenticação RADIUS
"OpenVPN" é uma marca comercial da OpenVPN Inc.