Sobre definições de configuração do Gateway de VPN

Um gateway de VPN é um tipo de gateway de rede virtual que envia o tráfego criptografado entre sua rede virtual e seu local em uma conexão pública. Você também pode usar o Gateway de VPN para enviar o tráfego entre redes virtuais no backbone do Azure.

Uma conexão de Gateway de VPN tem base na configuração de vários recursos, cada um deles contendo definições configuráveis. As seções neste artigo abordam os recursos e configurações relacionados a um gateway de VPN para uma rede virtual criada no modelo de implantação do Resource Manager. Você pode encontrar descrições e diagramas da topologia para cada solução de conexão no artigo Sobre o Gateway de VPN .

Os valores neste artigo aplicam gateways VPN (gateways de rede virtual que usam o -GatewayType Vpn). Este artigo não abrange todos os tipos de gateway ou gateways redundantes de zona.

Tipos de gateway

Cada rede virtual pode ter apenas um gateway de rede virtual de cada tipo. Quando estiver criando um gateway de rede virtual, você deve garantir que o tipo de gateway seja o correto para sua configuração.

Os valores disponíveis para o -GatewayType são:

  • Vpn
  • ExpressRoute

Um gateway de VPN exige o -GatewayTypeVpn.

Exemplo:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased

SKUs de gateway

Ao criar um gateway de rede virtual, você precisa especificar o SKU do gateway que você deseja usar. Selecione as SKUs que atendem às suas necessidades com base nos tipos de cargas de trabalho, taxas de transferência, recursos e SLAs. Para SKUs de gateway de rede virtual nas Zonas de Disponibilidade do Azure, confira SKUs de gateway das Zonas de Disponibilidade do Azure.

SKUs de gateway pelo túnel, a conexão e a taxa de transferência

VPN
Gateway
Geração
SKU S2S/VNet para VNet
Túneis
P2S
Conexões SSTP
P2S
Conexões IKEv2/OpenVPN
Agregado
Benchmark de taxa de transferência
BGP Com redundância de zona
Geração1 Basic Máx. 10 Máx. 128 Sem suporte 100 Mbps Sem suporte Não
Geração1 VpnGw1 Máx. 30 Máx. 128 Máx. 250 650 Mbps Com suporte Não
Geração1 VpnGw2 Máx. 30 Máx. 128 Máx. 500 1 Gbps Com suporte Não
Geração1 VpnGw3 Máx. 30 Máx. 128 Máx. 1000 1,25 Gbps Com suporte Não
Geração1 VpnGw1AZ Máx. 30 Máx. 128 Máx. 250 650 Mbps Com suporte Sim
Geração1 VpnGw2AZ Máx. 30 Máx. 128 Máx. 500 1 Gbps Com suporte Sim
Geração1 VpnGw3AZ Máx. 30 Máx. 128 Máx. 1000 1,25 Gbps Com suporte Sim
Geração2 VpnGw2 Máx. 30 Máx. 128 Máx. 500 1,25 Gbps Com suporte Não
Geração2 VpnGw3 Máx. 30 Máx. 128 Máx. 1000 2,5 Gbps Com suporte Não
Geração2 VpnGw4 Máx. 100* Máx. 128 Máx. 5.000 5 Gbps Com suporte Não
Geração2 VpnGw5 Máx. 100* Máx. 128 Máx. 10000 10 Gbps Com suporte Não
Geração2 VpnGw2AZ Máx. 30 Máx. 128 Máx. 500 1,25 Gbps Com suporte Sim
Geração2 VpnGw3AZ Máx. 30 Máx. 128 Máx. 1000 2,5 Gbps Com suporte Sim
Geração2 VpnGw4AZ Máx. 100* Máx. 128 Máx. 5.000 5 Gbps Com suporte Sim
Geração2 VpnGw5AZ Máx. 100* Máx. 128 Máx. 10000 10 Gbps Com suporte Sim

(*) Use WAN Virtual se precisar de mais de 100 túneis de VPN S2S.

  • O redimensionamento de SKUs VpnGw é permitido dentro da mesma geração, com exceção do redimensionamento de SKU Basic. O SKU Basic é um SKU herdado e tem limitações de recursos. Para avançar da versão Básica para outro SKU, você deve excluir o gateway de VPN do SKU Basic e criar um novo gateway com a combinação de tamanho de SKU e Geração desejada. (confira Como trabalhar com SKUs herdados).

  • Esses limites de conexão são separados. Por exemplo, você pode ter 128 conexões SSTP e 250 conexões IKEv2 em uma SKU VpnGw1.

  • Encontre informações sobre preços na página Preços .

  • As informações de SLA (contrato de nível de serviço) podem ser encontradas na página SLA.

  • Se você tiver muitas conexões P2S, isso poderá afetar negativamente suas conexões site a site. Os Parâmetros de Comparação de Taxa de Transferência Agregada foram testados maximizando uma combinação de conexões S2S e P2S. Uma conexão ponto a site ou site a site pode ter uma taxa de transferência muito menor.

  • Observe que todos os parâmetros de comparação não são garantidos devido às condições de tráfego da Internet e aos comportamentos do aplicativo

Para ajudar nossos clientes a entender o desempenho relativo dos SKUs que usam algoritmos diferentes, usamos ferramentas iPerf e CTSTraffic disponíveis publicamente para medir o desempenho de conexões site a site. A tabela abaixo lista os resultados dos testes de desempenho para os SKUs VpnGw. Como você pode ver, o melhor desempenho foi obtido quando usamos o algoritmo GCMAES256 para Criptografia e Integridade de IPsec. Obtivemos o desempenho médio quando usamos AES256 para Criptografia de IPsec e SHA256 para Integridade. Quando usamos DES3 para Criptografia de IPsec e SHA256 para Integridade, o desempenho foi menor.

Um túnel VPN se conecta a uma instância de gateway VPN. A taxa de transferência de cada instância é mencionada na tabela de taxas de transferência acima e está disponível agregada em todos os túneis que se conectam a essa instância.

A tabela abaixo mostra a largura de banda observada e a taxa de transferência de pacotes por segundo por túnel para os diferentes SKUs de gateway. Todos os testes foram realizados entre gateways (pontos de extremidade) no Azure em diferentes regiões com 100 conexões e em condições de carga padrão.

Generation SKU Algoritmos
usados
Produtividade
observado por túnel
Pacotes por segundo por túnel
observados
Geração1 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
130 Mbps
62.000
47.000
12.000
Geração1 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gbps
650 Mbps
140 Mbps
100.000
61.000
13.000
Geração1 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
700 Mbps
140 Mbps
120.000
66.000
13.000
Geração1 VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
130 Mbps
62.000
47.000
12.000
Geração1 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gbps
650 Mbps
140 Mbps
110.000
61.000
13.000
Geração1 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
700 Mbps
140 Mbps
120.000
66.000
13.000
Geração2 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
550 Mbps
130 Mbps
120.000
52.000
12.000
Geração2 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gbps
700 Mbps
140 Mbps
140.000
66.000
13.000
Geração2 VpnGw4 GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbps
700 Mbps
140 Mbps
220.000
66.000
13.000
Geração2 VpnGw5 GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbps
700 Mbps
140 Mbps
220.000
66.000
13.000
Geração2 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
550 Mbps
130 Mbps
120.000
52.000
12.000
Geração2 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gbps
700 Mbps
140 Mbps
140.000
66.000
13.000
Geração2 VpnGw4AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbps
700 Mbps
140 Mbps
220.000
66.000
13.000
Geração2 VpnGw5AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2,3 Gbps
700 Mbps
140 Mbps
220.000
66.000
13.000

Observação

Há suporte para VpnGw SKUs (VpnGw1, VpnGw1AZ, VpnGw2, VpnGw2AZ, VpnGw3, VpnGw3AZ, VpnGw4, VpnGw4AZ, VpnGw5 e VpnGw5AZ) somente no modelo de implantação do Resource Manager. As redes virtuais clássicas devem continuar a usar as SKUs antigas (herdadas).

SKUs de gateway pelo conjunto de recursos

As novas SKUs do gateway VPN simplificam os conjuntos de recursos oferecidos nos gateways:

SKU Recursos
Básico (\*\*) VPN baseada em rota: 10 túneis para conexões/S2S; nenhuma autenticação RADIUS para P2S; sem IKEv2 para P2S
VPN baseada em política: (IKEv1): 1 túnel de conexão/S2S; sem P2S
Todos os SKUs Generation1 e Generation2, exceto Básicos VPN baseada em roteamento: até 100 túneis ( * ), P2S, BGP, ativo-ativo, política IPsec/IKE personalizada, coexistência ExpressRoute/VPN

(*) Você pode configurar "PolicyBasedTrafficSelectors" para se conectar a um gateway de VPN baseado em rota para vários dispositivos locais de firewall baseados em políticas. Confira Conectar gateways de VPN a vários dispositivos VPN baseados em políticas usando o PowerShell para obter detalhes.

(\*\*) A SKU básica é considerada uma SKU herdada. A SKU básica tem certas limitações de recurso. Não é possível redimensionar um gateway que usa um SKU Básico para outro SKU. Nesse caso, altere o SKU um novo, o que envolve excluir e recriar o Gateway de VPN. Não é possível implantar um SKU Básico em uma VNet que usa espaço de endereço IPv6.

SKUs de gateway - Vs de produção. Cargas de Trabalho de Desenvolvimento e Teste

Devido a diferenças nos SLAs e conjuntos de recursos, é recomendável usar as SKUs a seguir para produção versus desenvolvimento e teste:

Carga de trabalho SKUs
Produção, cargas de trabalho críticas Todos os SKUs Generation1 e Generation2, exceto Básicos
Teste de desenvolvimento ou prova de conceito Básico (\*\*)

(\*\*) A SKU básica é considerado uma SKU herdada e tem limitações de recursos. Verifique se o recurso que você precisa é compatível antes de usar a SKU básica.

Se você estiver usando as SKUs antigas (herdadas), as recomendações de SKU de produção serão Standard e HighPerformance. Para saber mais sobre as SKUs antigas, confira SKUs de Gateway (herdadas).

Configurar uma SKU de gateway

Portal do Azure

Se você usa o portal do Azure para criar um gateway de rede virtual do Resource Manager, é possível selecionar o SKU do gateway usando o menu suspenso. As opções apresentadas correspondem ao tipo de Gateway e ao tipo de VPN que você selecionar.

PowerShell

O exemplo do PowerShell a seguir especifica o -GatewaySku como VpnGw1. Ao usar o PowerShell para criar um gateway, você precisa primeiro criar a configuração de IP e, em seguida, usar uma variável para fazer referência a ele. Neste exemplo, a variável de configuração é $gwipconfig.

New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location 'US East' -IpConfigurations $gwipconfig -GatewaySku VpnGw1 `
-GatewayType Vpn -VpnType RouteBased

CLI do Azure

az network vnet-gateway create --name VNet1GW --public-ip-address VNet1GWPIP --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw1 --no-wait

Redimensionar ou alterar uma SKU

Se você tiver um gateway de VPN e quer usar uma SKU de gateway diferente, suas opções serão redimensionar a SKU do gateway ou alterar para outra SKU. Ao alterar para outra SKU de gateway, você exclui o gateway existente e cria um novo. Criar um gateway pode levar 45 minutos ou mais, dependendo do SKU de gateway selecionado. Em comparação, ao redimensionar uma SKU de gateway, você terá muito pouco tempo de inatividade porque não será necessário excluir e recompilar o gateway. Se você tiver a opção de redimensionar a SKU do gateway, em vez de alterá-la, convém fazer isso. No entanto, há regras sobre o redimensionamento:

  1. Com exceção da SKU básica, você pode redimensionar um SKU de gateway de VPN para outro SKU de gateway de VPN dentro da mesma geração (Generation1 ou Generation2). Por exemplo, VpnGw1 de Generation1 pode ser redimensionado para VpnGw2 de Generation1, mas não para VpnGw2 de Generation2.
  2. Ao trabalhar com os SKUs de gateway antigos, você pode redimensioná-los entre os SKUs Standard e Alto Desempenho.
  3. Não é possível redimensionar de SKUs Basic/Standard/HighPerformance para SKUs VpnGw. Em vez disso, você deve alterar para as novas SKUs.

Para redimensionar um gateway

Azure portal

  1. Acesse a página de Configuração do seu gateway de rede virtual.

  2. No lado direito da página, clique na seta suspensa para mostrar os SKUs de gateway disponíveis.

    Captura de tela mostrando como redimensionar o gateway.

  3. Selecione o SKU no menu suspenso.

PowerShell

Será possível usar o cmdlet Resize-AzVirtualNetworkGateway do PowerShell para atualizar ou fazer downgrade de um SKU de Geração1 ou Geração2 (todos os SKUs VpnGw podem ser redimensionados, exceto os SKUs Básicos). Se você estiver usando a SKU de gateway básica use estas instruções para redimensionar o gateway.

O exemplo de PowerShell a seguir mostra um SKU de gateway sendo redimensionado para VpnGw2.

$gw = Get-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
Resize-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -GatewaySku VpnGw2

Para alterar de uma SKU antiga (herdada) para uma nova SKU

Se você estiver trabalhando com o modelo de implantação do Gerenciador de Recursos, poderá alterar para as novas SKUs do gateway. Quando você muda de um SKU de gateway herdado para um novo SKU, você exclui o gateway VPN existente e cria um novo gateway de VPN.

Fluxo de trabalho:

  1. Remova todas as conexões com o gateway de rede virtual.
  2. Exclua o gateway de VPN antigo.
  3. Crie o novo gateway de VPN.
  4. Atualize os dispositivos VPN locaia com o novo endereço IP do gateway de VPN (para conexões Site a Site).
  5. Atualize o valor de endereço IP do gateway para gateways de rede local VNet para VNet que se conectam a esse gateway.
  6. Baixe novos pacotes de configuração do cliente VPN para clientes de P2S que se conectam à rede virtual por meio desse gateway de VPN.
  7. Recrie as conexões para o gateway de rede virtual.

Considerações:

  • Para mover para as novas SKUs, o gateway VPN deve estar no modelo de implantação do Gerenciador de Recursos.
  • Se você tiver um gateway VPN clássico, você deve continuar usando os SKUs herdados mais antigos para esse gateway, no entanto, você pode redimensionar entre as SKUs herdadas. Você não pode mudar para as novas SKUs.
  • Ao mudar de uma SKU herdada para uma nova SKU, você terá tempo de inatividade de conectividade.
  • Ao mudar para uma nova SKU de gateway, o endereço IP público de seu gateway de VPN mudará. Isso acontece mesmo se você especificar o mesmo objeto de endereço IP público que usou anteriormente.

Tipos de conexão

No modelo de implantação do Resource Manager, cada configuração exige um tipo específico de conexão de gateway de rede virtual. Os valores disponíveis do PowerShell do Gerenciador de Recursos para o -ConnectionType são:

  • IPsec
  • Vnet2Vnet
  • ExpressRoute
  • VPNClient

No exemplo do PowerShell a seguir, criamos uma conexão S2S que exige o tipo de conexão IPsec.

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'

Tipos de VPN

Quando você cria o gateway de rede virtual para uma configuração de gateway de VPN, é preciso especificar um tipo de VPN. O tipo de VPN que você escolhe depende da topologia de conexão que quer criar. Por exemplo, uma conexão P2S requer um tipo de VPN RouteBased. Um tipo de VPN também pode depender do hardware que você usa. As configurações S2S requerem um dispositivo VPN. Alguns dispositivos VPN recebem suporte apenas de um determinado tipo de VPN.

O tipo de VPN que você escolher deve atender a todos os requisitos de conexão da solução que você quer criar. Por exemplo, se você quiser criar uma conexão de gateway de VPN S2S e uma conexão de gateway de VPN P2S para a mesma rede virtual, use o tipo de VPN RouteBased , pois P2S requer um tipo de VPN RouteBased. Você também precisa verificar se o seu dispositivo VPN é compatível com uma conexão VPN RouteBased.

Depois que um gateway de rede virtual é criado, não é possível alterar o tipo de VPN. Você precisa excluir o gateway de rede virtual e criar outro. Há dois tipos de VPN:

  • PolicyBased: VPNs PolicyBased (baseadas em política) eram chamadas anteriormente de gateways de roteamento estático no modelo de implantação clássico. As VPNs baseadas em política criptografam e direcionam pacotes por meio de túneis IPsec com base nas políticas IPsec configuradas com as combinações de prefixos de endereço entre sua rede local e a VNet do Azure. A política (ou o seletor de tráfego) normalmente é definida como uma lista de acesso na configuração de dispositivo VPN. O valor para um tipo de VPN PolicyBased é PolicyBased. Ao usar uma VPN PolicyBased, lembre-se das seguintes limitações:

    • VPNs PolicyBased podem ser usadas no SKU de gateway básico. Esse tipo de VPN não é compatível com outros SKUs de gateway.
    • Você pode ter apenas um túnel ao usar uma VPN PolicyBased.
    • Você só pode usar VPNs PolicyBased para conexões S2S, e apenas para determinadas configurações. A maioria das configurações de Gateway de VPN exige uma VPN RouteBased.
  • RouteBased:as VPNs RouteBased (baseadas em rota) eram chamadas anteriormente de gateways de roteamento dinâmico no modelo de implantação clássico. As VPNs RouteBased usam "rotas" da tabela de roteamento ou de encaminhamento de IP para direcionar pacotes para as interfaces de túnel correspondentes. As interfaces de túnel criptografam ou descriptografam então os pacotes para dentro e para fora dos túneis. A política (ou seletor de tráfego) para as VPNs RouteBased são configurados como qualquer para qualquer (ou curingas). O valor para um tipo de VPN RouteBased é RouteBased.

O exemplo do PowerShell a seguir especifica o -VpnType como RouteBased. Ao criar um gateway, você deve garantir que o -VpnType seja correto para sua configuração.

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased

Sub-rede do gateway

Antes de criar um gateway de VPN, crie uma sub-rede de gateway. A sub-rede de gateway contém os endereços IP que as VMs do gateway de rede virtual e os serviços usam. Quando você cria o gateway de rede virtual, as VMs de gateway são implantadas na sub-rede de gateway e definidas com as configurações necessárias de gateway de VPN. Nunca implante qualquer outra coisa (por exemplo, VMs adicionais) na sub-rede de gateway. A sub-rede do gateway deve ser nomeada como GatewaySubnet para funcionar corretamente. Chamar a sub-rede de gateway de 'GatewaySubnet' permite que o Azure saiba que essa é a sub-rede para implantação nas VMs de gateway de rede virtual e nos serviços.

Observação

Não há suporte para rotas definidas pelo usuário com um destino 0.0.0.0/0 e NSGs no GatewaySubnet. Os gateways criados com essa configuração terão a criação bloqueada. Os gateways exigem acesso aos controladores de gerenciamento para funcionar corretamente. A Propagação de Rotas BGP deve ser definida como "Habilitada" no GatewaySubnet para garantir a disponibilidade do gateway. Se ela estiver definida como desabilitada, o gateway não funcionará.

Quando você cria a sub-rede de gateway, pode especificar o número de endereços IP que contém a sub-rede. Os endereços IP na sub-rede do gateway são alocados para as VMs de gateway e para os serviços de gateway. Algumas configurações exigem mais endereços IP do que outras.

Ao planejar o tamanho da sub-rede do gateway, confira a documentação da configuração que você planeja criar. Por exemplo, a configuração de gateway ExpressRoute/VPN coexistente requer uma sub-rede de gateway maior do que a maioria das outras configurações. Além disso, convém certificar-se de que sua sub-rede de gateway contenha endereços IP suficientes para acomodar possíveis configurações adicionais futuras. Dessa forma, embora seja possível criar uma sub-rede de gateway de rede /29 ou menor, é recomendável criar uma sub-rede de gateway de rede /27 ou maior (/27, /26, /25 etc.). Isso irá acomodar a maioria das configurações.

O exemplo de PowerShell do Resource Manager a seguir mostra uma sub-rede de gateway chamada GatewaySubnet. Você pode ver que a notação CIDR especifica /27, que permite endereços IP suficientes para a maioria das configurações existentes no momento.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Importante

Ao trabalhar com sub-redes de gateway, evite a associação de um NSG (grupo de segurança de rede) à sub-rede de gateway. A associação de um grupo de segurança de rede a essa sub-rede pode fazer com que o gateway de rede virtual (gateways de VPN e do ExpressRoute) pare de funcionar conforme o esperado. Para obter mais informações sobre grupos de segurança de rede, confira O que é um grupo de segurança de rede?.

Gateways de rede local

Um gateway de rede local e diferente de um gateway de rede virtual. Ao criar uma configuração de gateway de VPN, o gateway de rede local geralmente representa sua localização no local e o dispositivo VPN correspondente. No modelo de implantação clássico, o gateway de rede local era conhecido como um Site Local.

Você dá ao gateway de rede local um nome, o endereço IP público do dispositivo VPN local ou o FQDN (nome de domínio totalmente qualificado) e especifica os prefixos de endereço que estão localizados no caminho local. O Azure examina os prefixos de endereço de destino para o tráfego de rede, consulta a configuração que você especificou para o gateway de rede local e roteia os pacotes adequadamente. Se usar o BGP (Border Gateway Protocol) em seu dispositivo VPN, você fornecerá o endereço IP do par no nível de protocolo BGP do seu dispositivo VPN e o número do sistema autônomo (ASN) da sua rede local. Você também especifica os gateways de rede para configurações de rede virtual para rede virtual que usam uma conexão de gateway de VPN.

O seguinte exemplo de PowerShell cria um novo gateway de rede local:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Às vezes, você precisa modificar as configurações do gateway de rede local. Por exemplo, quando você adicionar ou modificar o intervalo de endereços, ou se o endereço IP do dispositivo VPN mudar. Consulte Modificar as configurações de gateway de rede local usando o PowerShell.

APIs REST, cmdlets do PowerShell e CLI

Para obter recursos técnicos adicionais e requisitos de sintaxe específicos ao usar APIs REST, cmdlets do PowerShell na CLI do Azure para configurações do Gateway de VPN, veja as seguintes páginas:

Clássico Resource Manager
PowerShell PowerShell
REST API REST API
Sem suporte CLI do Azure

Próximas etapas

Para saber mais sobre as configurações de conexão disponíveis, confira Sobre o Gateway de VPN.