Trabalho remoto usando o ponto a site do Gateway de VPN do Azure
Observação
Este artigo descreve como você pode aproveitar o Gateway de VPN do Azure, a rede da Microsoft e o ecossistema de parceiros do Azure para trabalhar remotamente e atenuar os problemas de rede que você está enfrentando devido à crise da COVID-19.
Este artigo descreve as opções disponíveis para que as organizações configurem o acesso remoto para seus usuários ou complementem suas soluções existentes com capacidade adicional durante a pandemia da COVID-19.
A solução de ponto a site do Azure é baseada em nuvem e pode ser provisionada rapidamente para atender à maior demanda de usuários para trabalharem de casa. Ela pode ser escalada verticalmente com facilidade e desativada com a mesma facilidade e rapidez quando a capacidade aumentada não é mais necessária.
Sobre VPN Ponto a Site
Uma conexão de gateway de VPN Ponto a Site (P2S) permite que você crie uma conexão segura para sua rede virtual a partir de um computador cliente individual. Uma conexão P2S é estabelecida iniciando-a do computador cliente. Essa solução é útil para pessoas que trabalham remotamente que querem se conectar às VNets do Azure ou aos data centers locais de um local remoto, como de casa ou de uma conferência. Este artigo descreve como permitir que os usuários trabalhem remotamente com base em vários cenários.
A tabela a seguir mostra os sistemas operacionais do cliente e as opções de autenticação que estão disponíveis para eles. Seria útil selecionar o método de autenticação com base no sistema operacional do cliente que já está em uso. Por exemplo, selecione OpenVPN com autenticação baseada em certificado se você tiver uma mistura de sistemas operacionais cliente que precisam se conectar. Além disso, observe que a VPN ponto a site só tem suporte em gateways de VPN baseados em rota.
Cenário 1 - os usuários precisam acessar recursos somente no Azure
Nesse cenário, os usuários remotos só precisam acessar os recursos que estão no Azure.
Em um alto nível, as etapas a seguir são necessárias para permitir que os usuários se conectem aos recursos do Azure com segurança:
Crie um gateway de rede virtual (se não houver um).
Configure a VPN ponto a site no gateway.
Faça o download e distribua a configuração do cliente de VPN.
Distribua os certificados (se a autenticação de certificado estiver selecionada) para os clientes.
Conecte-se à VPN do Azure.
Cenário 2: os usuários precisam acessar recursos no Azure e/ou recursos locais
Nesse cenário, os usuários remotos precisam acessar os recursos que estão no Azure e em data center(s) local(is).
Em um alto nível, as etapas a seguir são necessárias para permitir que os usuários se conectem aos recursos do Azure com segurança:
- Crie um gateway de rede virtual (se não houver um).
- Configure a VPN ponto a site no gateway (consulte o Cenário 1).
- Configure um túnel site a site no gateway de rede virtual do Azure com BGP habilitado.
- Configure o dispositivo local para se conectar ao gateway de rede virtual do Azure.
- Baixe o perfil de ponto a site do portal do Azure e distribua para os clientes
Para saber como configurar um túnel VPN site a site, confira este link.
Perguntas frequentes sobre a autenticação nativa de certificado do Azure
Quantos pontos de extremidade do cliente VPN posso ter na minha configuração de ponto a site?
Isso depende da SKU de gateway. Para obter mais informações sobre o número de conexões compatíveis, consulte SKUs de Gateway.
Quais sistemas operacionais de cliente posso usar com ponto a site?
Há suporte para os seguintes sistemas operacionais de cliente:
- Windows Server 2008 R2 (somente 64 bits)
- Windows 8.1 (32 bits e 64 bits)
- Windows Server 2012 (somente 64 bits)
- Windows Server 2012 R2 (somente 64 bits)
- Windows Server 2016 (somente 64 bits)
- Windows Server 2019 (somente 64 bits)
- Windows Server 2022 (somente 64 bits)
- Windows 10
- Windows 11
- macOS versão 10.11 ou acima
- Linux (StrongSwan)
- iOS
Posso atravessar proxies e firewall usando o recurso de ponto a site?
O Azure dá suporte a três tipos de opções de VPN Ponto a Site:
SSTP (Secure Socket Tunneling Protocol). SSTP é uma solução baseada em SSL da Microsoft que pode invadir firewalls, já que a maioria dos firewalls abre a porta TCP de saída, que usa SSL 443.
OpenVPN. OpenVPN é uma solução baseada em SSL que pode invadir firewalls, já que a maioria dos firewalls abre a porta TCP de saída, que usa SSL 443.
VPN IKEv2. A VPN IKEv2 é uma solução de VPN IPsec baseada em padrões que usa as portas UDP de saída 500 e 4500 e o protocolo IP número nº 50. Nem sempre os firewalls abrem essas portas, por isso, há uma possibilidade de a VPN IKEv2 não conseguir atravessar proxies e firewalls.
Se eu reiniciar um computador cliente configurado para ponto a site, a VPN reconectará automaticamente?
A reconexão automática é uma função do cliente que está sendo usado. Windows oferece suporte à reconexão automática configurando o recurso cliente VPN Always On.
O ponto a site oferece suporte a DDNS nos clientes VPN?
No momento, o DDNS não possui suporte em VPNs ponto a site.
Posso ter configurações site a site e ponto a site que coexistam na mesma rede virtual?
Sim. Para o modelo de implantação do Gerenciador de Recursos, você deve ter um tipo de VPN RouteBased para o gateway. Para o modelo de implantação clássica, você precisará de um gateway dinâmico. Não damos suporte a ponto a site para o roteamento estático de gateways de VPN ou gateways de VPN PolicyBased.
Posso configurar um cliente de ponto a site para se conectar a vários gateways de rede virtual ao mesmo tempo?
Dependendo do software cliente de VPN usado, você poderá se conectar a vários gateways de rede virtual, desde que as redes virtuais que estão sendo conectadas não tenham espaços de endereço conflitantes entre si ou com a rede da qual o cliente está se conectando. Enquanto o Cliente VPN do Azure dá suporte a várias conexões VPN, somente uma conexão pode ser estabelecida em um determinado momento.
Posso configurar um cliente de ponto a site para se conectar a várias redes virtuais ao mesmo tempo?
Sim, as conexões clientes ponto a site com um gateway de rede virtual implantado em uma VNet emparelhada com outras VNets podem acessar outras VNets emparelhadas. Desde que as VNets emparelhadas estejam usando os recursos UseRemoteGateway/AllowGatewayTransit, os clientes ponto a site poderão se conectar a essas VNets emparelhadas. Para saber mais, consulte Sobre o roteamento ponto a site.
Quanta taxa de transferência posso esperar por meio de conexões site a site ou ponto a site?
É difícil manter a taxa de transferência exata dos túneis de VPN. IPsec e SSTP são protocolos VPN de criptografia pesada. A taxa de transferência também é limitada pela latência e pela largura de banda entre seus locais e na Internet. Para um Gateway de VPN apenas com conexões de VPN de ponto a site IKEv2, a taxa de transferência total que você pode esperar depende do SKU do Gateway. Para saber mais sobre taxa de transferência, confira SKUs de gateway.
Posso usar qualquer cliente VPN de software para ponto a site que ofereça suporte a SSTP e/ou IKEv2?
Não. Você só pode usar o cliente VPN nativo no Windows para SSTP, e o cliente VPN nativo no Mac para IKEv2. No entanto, você pode usar o cliente OpenVPN em todas as plataformas para se conectar por meio do protocolo OpenVPN. Consulte a lista dos sistemas operacionais compatíveis de cliente.
Posso alterar o tipo de autenticação para uma conexão ponto a site?
Sim. No portal, navegue até a página Gateway VPN -> Configuração ponto a site. Para o Tipo de autenticação, selecione os tipos de autenticação que você deseja usar. Observe que, após fazer uma alteração em um tipo de autenticação, é possível que os clientes atuais não consigam se conectar até que um novo perfil de configuração de cliente VPN seja gerado, baixado e aplicado a cada cliente VPN.
O Azure oferece suporte à VPN IKEv2 com o Windows?
O IKEv2 tem suporte no Windows 10 e Server 2016. No entanto, para usar o IKEv2 em determinadas versões do sistema operacional, você precisa instalar as atualizações e definir um valor de chave do Registro localmente. Não há suporte para versões de sistema operacional anteriores ao Windows 10 e elas só podem usar SSTP ou o Protocolo OpenVPN®.
Observação
Os builds do sistema operacional Windows mais recentes do que o Windows 10 versão 1709 e do Windows Server 2016 versão 1607 não exigem essas etapas.
Para preparar o Windows 10 ou Server 2016 para IKEv2:
Instale a atualização com base na versão do sistema operacional:
Versão do SO Data Número/Link Windows Server 2016
Windows 10, versão 160717 de janeiro de 2018 KB4057142 Windows 10, versão 1703 17 de janeiro de 2018 KB4057144 Windows 10 Versão 1709 22 de março de 2018 BDC4089848 Defina o valor da chave do Registro. Crie ou defina a chave "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD do Registro como 1.
Qual é o limite do seletor de tráfego IKEv2 para conexões ponto a site?
Windows 10 versão 2004 (lançada em setembro de 2021) aumentou o limite do seletor de tráfego para 255. As versões Windows anteriores a essa têm um limite de seletor de tráfego de 25.
O limite de seletores de tráfego no Windows determina o número máximo de espaços de endereço em sua rede virtual e a soma máxima de suas redes locais, conexões VNet para VNet e VNets correspondentes conectadas ao gateway. Windows clientes ponto a site baseados falharão ao se conectar por meio do IKEv2 se ultrapassarem esse limite.
O que acontece quando eu configuro SSTP e IKEv2 para conexões VPN de P2S?
Quando você configura o SSTP e IKEv2 em um ambiente misto (composto por dispositivos com Windows e Mac), o cliente VPN do Windows sempre tentará primeiro o túnel IKEv2, mas retornará para SSTP se a conexão IKEv2 não for bem-sucedida. MacOSX só se conecta por meio de IKEv2.
Quando você tiver o SSTP e o IKEv2 habilitados no Gateway, o pool de endereços ponto a site será dividido estaticamente entre os dois, portanto, os clientes que usam protocolos diferentes receberão endereços IP de qualquer um dos subintervalos. Observe que a quantidade máxima de clientes SSTP é sempre 128, mesmo que o intervalo de endereços seja maior que /24, resultando em uma quantidade maior de endereços disponíveis para clientes IKEv2. Para intervalos menores, o pool será reduzido igualmente pela metade. Os Seletores de Tráfego usados pelo gateway podem não incluir o CIDR do intervalo de endereços ponto a site, mas sim os dois CIDRs de subintervalo.
Além do Windows e Mac, quais outras plataformas possuem suporte Azure para VPN P2S?
O Azure é compatível com Windows, Mac e Linux para VPN P2S.
Eu já tenho um Gateway de VPN do Azure implantado. É possível habilitar RADIUS e/ou IKEv2 VPN nele?
Sim, se o SKU do gateway utilizado for compatível com RADIUS e/ou IKEv2, você poderá habilitar esses recursos nos gateways que já implantou por meio do PowerShell ou do portal do Azure. Observe que o SKU Básico não oferece suporte a RADIUS ou IKEv2.
Como fazer para remover a configuração de uma conexão P2S?
Uma configuração P2S pode ser removida usando a CLI do Azure e o PowerShell usando os seguintes comandos:
Azure PowerShell
$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`
$gw.VPNClientConfiguration = $null`
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`
CLI do Azure
az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"
O que deverei fazer se eu tiver uma incompatibilidade de certificado ao me conectar usando a autenticação de certificado?
Desmarque "Verificar a identidade do servidor validando o certificado" ou adicione o FQDN do servidor junto com o certificado ao criar um perfil manualmente. Você pode fazer isso executando rasphone em um prompt de comando e escolhendo o perfil na lista suspensa.
Geralmente, não é recomendável ignorar a validação de identidade do servidor, mas, com a autenticação de certificado do Azure, o mesmo certificado será usado para a validação do servidor no protocolo de túnel VPN (IKEv2/SSTP) e no protocolo EAP. Como o certificado do servidor e o FQDN já estão validados pelo protocolo de encapsulamento VPN, é redundante validar o mesmo novamente no EAP.
Posso usar minha AC raiz de PKI interna para gerar certificados para conectividade ponto a site?
Sim. Anteriormente, somente os certificados raiz autoassinados podiam ser usados. Você ainda pode carregar 20 certificados raiz.
Posso usar certificados do Azure Key Vault?
Não.
Quais ferramentas posso usar para criar certificados?
Você pode usar sua solução de Enterprise PKI (sua PKI interna), Azure PowerShell, MakeCert e OpenSSL.
Há instruções para configurações e parâmetros de certificado?
Solução PKI interna/Enterprise PKI : ver as etapas para Gerar certificados.
Azure PowerShell: consulte o artigo Azure PowerShell para ver as etapas.
MakeCert: consulte o artigo MakeCert para ver as etapas.
OpenSSL:
Ao exportar certificados, verifique se converteu o certificado raiz em Base64.
Para o certificado do cliente:
- Ao criar a chave privada, especifique o período como 4096.
- Ao criar o certificado, para o parâmetro -extensions, especifique usr_cert.
Perguntas frequentes sobre a autenticação RADIUS
Quantos pontos de extremidade do cliente VPN posso ter na minha configuração de ponto a site?
Isso depende da SKU de gateway. Para obter mais informações sobre o número de conexões compatíveis, consulte SKUs de Gateway.
Quais sistemas operacionais de cliente posso usar com ponto a site?
Há suporte para os seguintes sistemas operacionais de cliente:
- Windows Server 2008 R2 (somente 64 bits)
- Windows 8.1 (32 bits e 64 bits)
- Windows Server 2012 (somente 64 bits)
- Windows Server 2012 R2 (somente 64 bits)
- Windows Server 2016 (somente 64 bits)
- Windows Server 2019 (somente 64 bits)
- Windows Server 2022 (somente 64 bits)
- Windows 10
- Windows 11
- macOS versão 10.11 ou acima
- Linux (StrongSwan)
- iOS
Posso atravessar proxies e firewall usando o recurso de ponto a site?
O Azure dá suporte a três tipos de opções de VPN Ponto a Site:
SSTP (Secure Socket Tunneling Protocol). SSTP é uma solução baseada em SSL da Microsoft que pode invadir firewalls, já que a maioria dos firewalls abre a porta TCP de saída, que usa SSL 443.
OpenVPN. OpenVPN é uma solução baseada em SSL que pode invadir firewalls, já que a maioria dos firewalls abre a porta TCP de saída, que usa SSL 443.
VPN IKEv2. A VPN IKEv2 é uma solução de VPN IPsec baseada em padrões que usa as portas UDP de saída 500 e 4500 e o protocolo IP número nº 50. Nem sempre os firewalls abrem essas portas, por isso, há uma possibilidade de a VPN IKEv2 não conseguir atravessar proxies e firewalls.
Se eu reiniciar um computador cliente configurado para ponto a site, a VPN reconectará automaticamente?
A reconexão automática é uma função do cliente que está sendo usado. Windows oferece suporte à reconexão automática configurando o recurso cliente VPN Always On.
O ponto a site oferece suporte a DDNS nos clientes VPN?
No momento, o DDNS não possui suporte em VPNs ponto a site.
Posso ter configurações site a site e ponto a site que coexistam na mesma rede virtual?
Sim. Para o modelo de implantação do Gerenciador de Recursos, você deve ter um tipo de VPN RouteBased para o gateway. Para o modelo de implantação clássica, você precisará de um gateway dinâmico. Não damos suporte a ponto a site para o roteamento estático de gateways de VPN ou gateways de VPN PolicyBased.
Posso configurar um cliente de ponto a site para se conectar a vários gateways de rede virtual ao mesmo tempo?
Dependendo do software cliente de VPN usado, você poderá se conectar a vários gateways de rede virtual, desde que as redes virtuais que estão sendo conectadas não tenham espaços de endereço conflitantes entre si ou com a rede da qual o cliente está se conectando. Enquanto o Cliente VPN do Azure dá suporte a várias conexões VPN, somente uma conexão pode ser estabelecida em um determinado momento.
Posso configurar um cliente de ponto a site para se conectar a várias redes virtuais ao mesmo tempo?
Sim, as conexões clientes ponto a site com um gateway de rede virtual implantado em uma VNet emparelhada com outras VNets podem acessar outras VNets emparelhadas. Desde que as VNets emparelhadas estejam usando os recursos UseRemoteGateway/AllowGatewayTransit, os clientes ponto a site poderão se conectar a essas VNets emparelhadas. Para saber mais, consulte Sobre o roteamento ponto a site.
Quanta taxa de transferência posso esperar por meio de conexões site a site ou ponto a site?
É difícil manter a taxa de transferência exata dos túneis de VPN. IPsec e SSTP são protocolos VPN de criptografia pesada. A taxa de transferência também é limitada pela latência e pela largura de banda entre seus locais e na Internet. Para um Gateway de VPN apenas com conexões de VPN de ponto a site IKEv2, a taxa de transferência total que você pode esperar depende do SKU do Gateway. Para saber mais sobre taxa de transferência, confira SKUs de gateway.
Posso usar qualquer cliente VPN de software para ponto a site que ofereça suporte a SSTP e/ou IKEv2?
Não. Você só pode usar o cliente VPN nativo no Windows para SSTP, e o cliente VPN nativo no Mac para IKEv2. No entanto, você pode usar o cliente OpenVPN em todas as plataformas para se conectar por meio do protocolo OpenVPN. Consulte a lista dos sistemas operacionais compatíveis de cliente.
Posso alterar o tipo de autenticação para uma conexão ponto a site?
Sim. No portal, navegue até a página Gateway VPN -> Configuração ponto a site. Para o Tipo de autenticação, selecione os tipos de autenticação que você deseja usar. Observe que, após fazer uma alteração em um tipo de autenticação, é possível que os clientes atuais não consigam se conectar até que um novo perfil de configuração de cliente VPN seja gerado, baixado e aplicado a cada cliente VPN.
O Azure oferece suporte à VPN IKEv2 com o Windows?
O IKEv2 tem suporte no Windows 10 e Server 2016. No entanto, para usar o IKEv2 em determinadas versões do sistema operacional, você precisa instalar as atualizações e definir um valor de chave do Registro localmente. Não há suporte para versões de sistema operacional anteriores ao Windows 10 e elas só podem usar SSTP ou o Protocolo OpenVPN®.
Observação
Os builds do sistema operacional Windows mais recentes do que o Windows 10 versão 1709 e do Windows Server 2016 versão 1607 não exigem essas etapas.
Para preparar o Windows 10 ou Server 2016 para IKEv2:
Instale a atualização com base na versão do sistema operacional:
Versão do SO Data Número/Link Windows Server 2016
Windows 10, versão 160717 de janeiro de 2018 KB4057142 Windows 10, versão 1703 17 de janeiro de 2018 KB4057144 Windows 10 Versão 1709 22 de março de 2018 BDC4089848 Defina o valor da chave do Registro. Crie ou defina a chave "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD do Registro como 1.
Qual é o limite do seletor de tráfego IKEv2 para conexões ponto a site?
Windows 10 versão 2004 (lançada em setembro de 2021) aumentou o limite do seletor de tráfego para 255. As versões Windows anteriores a essa têm um limite de seletor de tráfego de 25.
O limite de seletores de tráfego no Windows determina o número máximo de espaços de endereço em sua rede virtual e a soma máxima de suas redes locais, conexões VNet para VNet e VNets correspondentes conectadas ao gateway. Windows clientes ponto a site baseados falharão ao se conectar por meio do IKEv2 se ultrapassarem esse limite.
O que acontece quando eu configuro SSTP e IKEv2 para conexões VPN de P2S?
Quando você configura o SSTP e IKEv2 em um ambiente misto (composto por dispositivos com Windows e Mac), o cliente VPN do Windows sempre tentará primeiro o túnel IKEv2, mas retornará para SSTP se a conexão IKEv2 não for bem-sucedida. MacOSX só se conecta por meio de IKEv2.
Quando você tiver o SSTP e o IKEv2 habilitados no Gateway, o pool de endereços ponto a site será dividido estaticamente entre os dois, portanto, os clientes que usam protocolos diferentes receberão endereços IP de qualquer um dos subintervalos. Observe que a quantidade máxima de clientes SSTP é sempre 128, mesmo que o intervalo de endereços seja maior que /24, resultando em uma quantidade maior de endereços disponíveis para clientes IKEv2. Para intervalos menores, o pool será reduzido igualmente pela metade. Os Seletores de Tráfego usados pelo gateway podem não incluir o CIDR do intervalo de endereços ponto a site, mas sim os dois CIDRs de subintervalo.
Além do Windows e Mac, quais outras plataformas possuem suporte Azure para VPN P2S?
O Azure é compatível com Windows, Mac e Linux para VPN P2S.
Eu já tenho um Gateway de VPN do Azure implantado. É possível habilitar RADIUS e/ou IKEv2 VPN nele?
Sim, se o SKU do gateway utilizado for compatível com RADIUS e/ou IKEv2, você poderá habilitar esses recursos nos gateways que já implantou por meio do PowerShell ou do portal do Azure. Observe que o SKU Básico não oferece suporte a RADIUS ou IKEv2.
Como fazer para remover a configuração de uma conexão P2S?
Uma configuração P2S pode ser removida usando a CLI do Azure e o PowerShell usando os seguintes comandos:
Azure PowerShell
$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`
$gw.VPNClientConfiguration = $null`
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`
CLI do Azure
az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"
A autenticação RADIUS tem suporte em todos os SKUs de Gateway de VPN do Azure?
Há suporte para autenticação RADIUS para todos os SKUs, exceto pelo SKU Básico.
Se você estiver usando SKUs herdados, a autenticação RADIUS será suportada nos SKUs Standard e de Alto Desempenho. Ela não é suportada no SKU de Gateway Básico.
Há suporte para autenticação RADIUS para o modelo de implantação clássico?
Não. A autenticação RADIUS não é suportada no modelo de implantação clássico.
Qual é o período de tempo limite para solicitações RADIUS enviadas ao servidor RADIUS?
As solicitações RADIUS são definidas para tempo limite após 30 segundos. Atualmente, não há suporte para valores de tempo limite definidos pelo usuário.
Há suporte para os servidores RADIUS de terceiros?
Sim, há suporte para os servidores RADIUS de terceiros.
Quais são os requisitos de conectividade para garantir que o gateway do Azure seja capaz de acessar um servidor RADIUS local?
Uma conexão VPN site a site com o site local, com as rotas apropriadas configuradas.
O tráfego para um servidor RADIUS local (do gateway de VPN do Azure) pode ser roteado por uma conexão de ExpressRoute?
Não. Ele só pode ser roteado através de uma conexão site a site.
Há uma alteração no número de conexões SSTP com suporte na autenticação RADIUS? Qual é o número máximo de conexões SSTP e IKEv2 com suporte?
Não há alteração no número máximo de conexões SSTP com suporte em um gateway com autenticação RADIUS. Ele permanece 128 para SSTP, mas depende do SKU do gateway para IKEv2. Para obter mais informações sobre o número de conexões compatíveis, consulte SKUs de Gateway.
Qual é a diferença entre realizar a autenticação de certificado com um servidor RADIUS e com a autenticação de certificado nativa do Azure (carregando um certificado confiável no Azure)?
Na autenticação de certificado RADIUS, a solicitação de autenticação é encaminhada a um servidor RADIUS que manipula a própria validação de certificado. Essa opção será útil se você quiser integrar-se a uma infraestrutura de autenticação de certificado já existente por meio do RADIUS.
Ao usar o Azure para autenticação de certificado, o gateway de VPN do Azure executa a validação do certificado. Você precisa carregar a chave pública do certificado no gateway. Você também pode especificar a lista de certificados revogados que não podem se conectar.
A autenticação RADIUS funciona com o IKEv2 e o SSTP VPN?
Sim, há suporte para a autenticação RADIUS tanto para IKEv2 quanto para SSTP VPN.
A autenticação RADIUS funciona com o cliente OpenVPN?
Há suporte para autenticação RADIUS para o protocolo OpenVPN.
Próximas etapas
Configurar uma conexão P2S – autenticação do Microsoft Entra
Configurar uma conexão P2S – autenticação de certificado nativa do Azure
"OpenVPN" é uma marca comercial da OpenVPN Inc.