Baixar perfis VPN globais e de hub para clientes VPN de usuário

Artigo
11/22/2023

A WAN Virtual do Azure oferece dois tipos de perfis de conexão para clientes VPN de usuário: perfis globais e perfis de hub. O tipo de perfil escolhido depende se você deseja que o cliente VPN se conecte a um perfil de nível WAN com balanceamento geográfico de carga (perfil global) ou se deseja restringir o cliente VPN para se conectar apenas a um determinado hub (perfil de hub). Este artigo ajuda você a gerar arquivos de configuração do cliente VPN para ambos os tipos de perfis.

Perfis globais

O perfil global associado a uma configuração de VPN de usuário aponta para um Gerenciador de Tráfego Global. O Gerenciador de Tráfego Global inclui todos os hubs VPN de Usuário ativos que estão usando essa configuração de VPN de Usuário. No entanto, você pode optar por excluir hubs do Gerenciador de Tráfego Global, se necessário. Um usuário conectado ao perfil global é direcionado para o hub mais próximo da localização geográfica do usuário. Isso é especialmente útil se você tiver usuários que viajam entre vários locais com frequência.

Por exemplo, uma Configuração VPN de Usuário está associada a dois hubs diferentes para a mesma WAN virtual, um no Oeste dos EUA e outro no Sudeste Asiático. Se um usuário se conectar ao perfil global associado à configuração de VPN do usuário, ele se conectará ao hub WAN virtual mais próximo com base em sua localização.

Importante

Se uma configuração VPN ponto a site usada para um perfil global estiver configurada para autenticar usuários usando o protocolo RADIUS, verifique se a opção "Usar servidor RADIUS remoto/local" está ativada para todos os gateways VPN ponto a site que usam essa configuração. Além disso, verifique se o servidor RADIUS está configurado para aceitar solicitações de autenticação dos endereços IP do proxy RADIUS de todos os gateways VPN ponto a site usando essa configuração VPN.

Baixe um perfil VPN global

Para gerar e baixar arquivos de configuração de perfil de cliente VPN, use as seguintes etapas:

Vá para a WAN Virtual.
No painel esquerdo, selecione Configurações de VPN do usuário.
Na página Configurações de VPN de usuário, você verá todas as configurações de VPN de usuário que você criou para sua WAN virtual. Na coluna Hub, você verá os hubs associados a cada configuração de VPN de usuário. Clique no > botão para expandir e exibir os nomes dos hubs.
No exemplo a seguir, você verá várias linhas com hubs que usam a mesma Configuração VPN do Usuário. Em um perfil global, quando os hubs usam a mesma Configuração de VPN de Usuário, você pode clicar em qualquer linha de hub que tenha a Configuração de VPN de Usuário desejada. Os arquivos de perfil gerados a partir desta página se alinham à Configuração de VPN do Usuário, não a um hub específico. Se você quiser limitar seus usuários de VPN para se conectar a apenas um hub (você não quer usar um perfil global), use as etapas de perfil do Hub.

No exemplo, selecionamos a linha com Hub2, mas selecionar Hub3 ou Hub1 geraria os mesmos arquivos de configuração de perfil. No entanto, se selecionássemos a linha com o Hub6, os arquivos de configuração de perfil seriam diferentes porque o Hub6 usa uma Configuração VPN de Usuário diferente.

Clique em uma linha que contém a Configuração de VPN do Usuário que você deseja usar. Isso destaca toda a linha. Em seguida, clique em Baixar perfil VPN de usuário WAN virtual.
Na página Baixar VPN de usuário de WAN virtual, selecione EAPTLS e clique em Gerar e baixar perfil. Um pacote de perfil (arquivo zip) contendo as definições de configuração do cliente VPN é gerado e baixado para o seu computador. O conteúdo do pacote depende dos hubs e das opções de autenticação e tipo de túnel para a configuração selecionada.

Incluir ou excluir um hub de um perfil global

Por padrão, cada hub que usa a mesma Configuração de VPN de Usuário é incluído no perfil VPN global que você gera e baixa. No entanto, você pode optar por excluir um hub do perfil VPN global. Se você fizer isso, o cliente VPN não terá balanceamento de carga para se conectar ao gateway desse hub.

Para verificar se um hub está incluído no perfil VPN global, vá para a WAN Virtual.
Na página Visão geral, selecione Hubs.
Na página Hubs, clique no hub.
Na página Hub Virtual, no painel esquerdo, selecione VPN do Usuário (Ponto para o site).
Na página VPN do Usuário (Ponto a Site), consulte Estado do anexo do gateway para determinar se esse hub está incluído no perfil VPN global. Se o estado estiver anexado, o hub será incluído. Se o estado estiver separado, o hub não será incluído.
Para incluir ou excluir (anexar ou desanexar) o hub do perfil VPN global, selecione Incluir/Excluir Gateway do Perfil Global.
Na página Incluir/Excluir, faça uma das seguintes opções.
- Clique em Excluir se quiser remover o gateway deste hub do perfil VPN de usuário global da WAN virtual. Os usuários que estão usando o perfil do hub ainda poderão se conectar ao gateway desse hub. Os usuários que estiverem usando esse perfil global não poderão se conectar ao gateway desse hub.
- Clique em Incluir se quiser incluir o gateway deste hub no perfil VPN de usuário global da WAN virtual. Os usuários que estiverem usando esse perfil global poderão se conectar ao gateway desse hub.

Melhores práticas de perfil global

Adicionar vários certificados de validação de servidor

Esta seção diz respeito a conexões que usam o tipo de túnel OpenVPN e o Cliente VPN do Azure versão 2.1963.44.0 ou superior.

Quando você configura um gateway P2S de hub, o Azure atribui um certificado interno ao gateway. Isso é diferente das informações do certificado raiz que você especifica quando deseja usar a Autenticação de Certificado como método de autenticação. O certificado interno atribuído ao hub é usado para todos os tipos de autenticação. Esse valor é representado nos arquivos de configuração de perfil que você gera como servervalidation/cert/hash. O cliente VPN usa esse valor como parte do processo de conexão.

Se você tiver vários hubs em regiões geográficas diferentes, cada hub poderá usar um certificado de validação de servidor no nível do Azure diferente. O perfil global contém o valor de hash do certificado de validação do servidor para todos os hubs. Isso significa que, se o certificado para esse hub não estiver funcionando corretamente por qualquer motivo, o cliente ainda terá o valor de hash de certificado de validação de servidor necessário para os outros hubs.

Importante

Configurar o cliente VPN do Azure com o valor de hash do certificado de todos os hubs é necessário somente se os hubs tiverem emissores raiz de servidor diferentes.

Como prática recomendada, recomendamos que você atualize seu arquivo de configuração de perfil de cliente VPN para incluir o valor de hash do certificado de todos os hubs anexados ao perfil global e, em seguida, configure o Cliente VPN do Azure usando o arquivo atualizado.

Gere e baixe os arquivos de perfil global. Use um editor de texto para abrir o arquivo azurevpnconfig.xml .

Dado o exemplo xml a seguir, configure o Cliente VPN do Azure usando o arquivo de configuração de perfil global que contém hash de certificado de validação de servidor para cada hub.

  </protocolconfig>
  <serverlist>
    <ServerEntry>
      <displayname
        i:nil="true" />
      <fqdn>wan.kycyz81dpw483xnf3fg62v24f.vpn.azure.com</fqdn>
    </ServerEntry>
  </serverlist>
  <servervalidation>
    <cert>
      <hash>A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436</hash>
      <issuer
        i:nil="true" />
    </cert>
    <cert>
      <hash>59470697201baejC4B2D7D66D40C6DD2FB19C5436</hash>
      <issuer
        i:nil="true" />
    </cert>
    <cert>
      <hash>cab20a7f63f00f2bae76202gdfe36db3a03a9cb9</hash>
      <issuer
        i:nil="true" />
    </cert>

Perfis de hub

Use esse tipo de perfil quando quiser que os usuários de VPN possam se conectar apenas a um único hub especificado. Os arquivos gerados e baixados no nível do hub contêm configurações diferentes dos arquivos gerados e baixados no perfil global no nível da WAN.

Baixar um perfil VPN de hub