Conceitos de VPN de utilizador (ponto a site)

O artigo seguinte descreve os conceitos e as opções configuráveis pelo cliente associadas a WAN Virtual configurações ponto a site (P2S) de VPN de utilizador (P2S). Este artigo é dividido em várias secções, incluindo secções sobre conceitos de configuração de servidor VPN P2S e secções sobre conceitos de gateway de VPN P2S.

Conceitos de configuração do servidor VPN

As configurações do servidor VPN definem os parâmetros de autenticação, encriptação e grupo de utilizadores utilizados para autenticar utilizadores e atribuir endereços IP e encriptar tráfego. Os gateways P2S estão associados às configurações do servidor VPN P2S.

Conceitos comuns

Conceito Description Notas
Tipo de Túnel Protocolos utilizados entre o gateway de VPN P2S e os utilizadores de ligação. Parâmetros disponíveis: IKEv2, OpenVPN ou ambos. Para configurações de servidor IKEv2, apenas a autenticação baseada em certificados e RADIUS está disponível. Para configurações abertas do servidor VPN, estão disponíveis RADIUS, baseadas em certificados e autenticação baseada no Azure Active Directory. Além disso, vários métodos de autenticação na mesma configuração do servidor (por exemplo, certificado e RADIUS na mesma configuração) só são suportados para OpenVPN. O IKEv2 também tem um limite ao nível do protocolo de 255 rotas, enquanto o OpenVPN tem um limite de 1000 rotas.
Parâmetros IPsec Personalizados Parâmetros de encriptação utilizados pelo gateway de VPN P2S para gateways que utilizam IKEv2. Para obter os parâmetros disponíveis, veja Parâmetros IPsec personalizados para VPN ponto a site. Este parâmetro não se aplica aos gateways através da autenticação OpenVPN.

Conceitos de Autenticação de Certificados do Azure

Os seguintes conceitos estão relacionados com as configurações do servidor que utilizam a autenticação baseada em certificados.

Conceito Description Notas
Nome do certificado de raiz Nome utilizado pelo Azure para identificar certificados de raiz do cliente. Pode ser configurado para ser qualquer nome. Pode ter vários certificados de raiz.
Dados de certificados públicos Certificados de raiz a partir dos quais os certificados de cliente são emitidos. Introduza a cadeia correspondente aos dados públicos do certificado de raiz. Para obter um exemplo sobre como obter dados públicos do certificado de raiz, veja o passo 8 no documento seguinte sobre como gerar certificados.
Certificado revogado Nome utilizado pelo Azure para identificar certificados a revogar. Pode ser configurado para ser qualquer nome.
Thumbprint de certificado revogado Thumbprint dos certificados de utilizador final que não devem conseguir ligar ao gateway. A entrada para este parâmetro é um ou mais thumbprints de certificado. Todos os certificados de utilizador têm de ser revogados individualmente. Revogar um certificado intermédio ou um certificado de raiz não revogará automaticamente todos os certificados subordinados.

Conceitos de Autenticação RADIUS

Se um gateway de VPN P2S estiver configurado para utilizar a autenticação baseada em RADIUS, o gateway de VPN P2S atua como um Proxy do Servidor de Políticas de Rede (NPS) para reencaminhar pedidos de autenticação para os severes RADIUS do cliente. Os gateways podem utilizar uma ou duas gravidades RADIUS para processar pedidos de autenticação. Os pedidos de autenticação são automaticamente balanceados em carga nos servidores RADIUS, se forem fornecidos múltiplos.

Conceito Description Notas
Segredo do servidor primário Segredo do servidor configurado no servidor RADIUS primário do cliente que é utilizado para encriptação pelo protocolo RADIUS. Qualquer cadeia secreta partilhada.
Endereço IP do servidor primário Endereço IP privado do servidor RADIUS Este IP tem de ser um IP privado acessível pelo Hub Virtual. Certifique-se de que a ligação que aloja o servidor RADIUS está a propagar-se para oRouteTable predefinido do hub com o gateway.
Segredo do servidor secundário Segredo do servidor configurado no segundo servidor RADIUS que é utilizado para encriptação pelo protocolo RADIUS. Qualquer cadeia secreta partilhada fornecida.
Endereço IP do servidor secundário O endereço IP privado do servidor RADIUS Este IP tem de ser um IP privado acessível pelo hub virtual. Certifique-se de que a ligação que aloja o servidor RADIUS está a propagar-se para oRouteTable predefinido do hub com o gateway.
Certificado de raiz do servidor RADIUS Dados públicos do certificado de raiz do servidor RADIUS. Este campo é opcional. Introduza as cadeias correspondentes aos dados públicos do certificado de raiz RADIUS. Pode introduzir vários certificados de raiz. Todos os certificados de cliente apresentados para autenticação têm de ser emitidos a partir dos certificados de raiz especificados. Para obter um exemplo sobre como obter dados públicos de certificados, veja o passo 8 no seguinte documento sobre como gerar certificados.
Certificados de cliente revogados Thumbprint(s) de certificados de cliente RADIUS revogados. Os clientes que apresentam certificados revogados não conseguirão estabelecer ligação. Este campo é opcional. Todos os certificados de utilizador têm de ser revogados individualmente. Revogar um certificado intermédio ou um certificado de raiz não revogará automaticamente todos os certificados subordinados.

Conceitos de Autenticação do Azure Active Directory

Os seguintes conceitos estão relacionados com as configurações do servidor que utilizam a autenticação baseada no Azure Active Directory. A autenticação baseada no Azure Active Directory só está disponível se o tipo de túnel for OpenVPN.

Conceito Description Parâmetros Disponíveis
Audiência ID de aplicação da Aplicação VPN Enterprise do Azure registada no inquilino do Azure AD. Para obter mais informações sobre como registar a aplicação VPN do Azure no seu inquilino e localizar o ID da aplicação, veja configurar um inquilino para ligações de protocolo OpenVPN de utilizador P2S
Emissor URL completo correspondente ao Serviço de Tokens de Segurança (STS) associado ao Active Directory. Cadeia no seguinte formato: https://sts.windows.net/<your Directory ID>/
Inquilino do Azure Active Directory URL completo correspondente ao Inquilino do Active Directory utilizado para autenticação no gateway. Varia consoante a cloud em que o Inquilino do Active Directory é implementado. Veja abaixo os detalhes por cloud.

ID de Inquilino do Azure AD

A tabela seguinte descreve o formato do URL do Azure Active Directory com base no qual o Azure Active Directory na cloud está implementado.

Cloud Formato do Parâmetro
Cloud Pública do Azure https://login.microsoftonline.com/{AzureAD TenantID}
Azure Government Cloud https://login.microsoftonline.us/{AzureAD TenantID}
China 21Vianet Cloud https://login.chinacloudapi.cn/{AzureAD TenantID}

Conceitos de grupo de utilizadores (conjuntos múltiplos)

Os seguintes conceitos relacionados com grupos de utilizadores (múltiplos conjuntos) no WAN Virtual. Os grupos de utilizadores permitem-lhe atribuir diferentes endereços IP à ligação de utilizadores com base nas respetivas credenciais, permitindo-lhe configurar listas de Controlo de Acesso (ACLs) e regras de Firewall para proteger cargas de trabalho. Para obter mais informações e exemplos, veja conceitos de vários conjuntos.

A configuração do servidor contém as definições de grupos e os grupos são utilizados em gateways para mapear grupos de configuração do servidor para endereços IP.

Conceito Description Notas
Grupo de utilizadores/grupo de políticas Um grupo de utilizadores ou um grupo de políticas é uma representação lógica de um grupo de utilizadores a que devem ser atribuídos endereços IP a partir do mesmo conjunto de endereços. Para obter mais informações, veja sobre grupos de utilizadores.
Grupo predefinido Quando os utilizadores tentam ligar-se a um gateway através da funcionalidade de grupo de utilizadores, os utilizadores que não correspondem a nenhum grupo atribuído ao gateway são automaticamente considerados como fazendo parte do grupo predefinido e são atribuídos um endereço IP associado a esse grupo. Cada grupo numa configuração de servidor pode ser especificado como um grupo predefinido ou grupo não predefinido e esta definição não pode ser alterada após a criação do grupo. É possível atribuir exatamente um grupo predefinido a cada gateway de VPN P2S, mesmo que a configuração do servidor atribuído tenha vários grupos predefinidos.
Prioridade do grupo Quando vários grupos são atribuídos a um gateway, um utilizador de ligação pode apresentar credenciais que correspondam a vários grupos. WAN Virtual processa grupos atribuídos a um gateway por ordem crescente de prioridade. As prioridades são números inteiros positivos e os grupos com prioridades numéricas mais baixas são processados primeiro. Cada grupo tem de ter uma prioridade distinta.
Definições/membros do grupo Os grupos de utilizadores consistem em membros. Os membros não correspondem a utilizadores individuais, mas definem os critérios/condições de correspondência utilizados para determinar de que grupo faz parte um utilizador de ligação. Assim que um grupo é atribuído a um gateway, um utilizador de ligação cujas credenciais correspondem aos critérios especificados para um dos membros do grupo, é considerado como fazendo parte desse grupo e pode ser-lhe atribuído um endereço IP adequado. Para obter uma lista completa dos critérios disponíveis, veja definições de grupo disponíveis.

Conceitos de configuração do gateway

As secções seguintes descrevem conceitos associados ao gateway de VPN P2S. Cada gateway está associado a uma configuração de servidor VPN e tem muitas outras opções configuráveis.

Conceitos gerais do gateway

Conceito Description Notas
Unidade de Escala do Gateway Uma unidade de dimensionamento de gateway define a quantidade de débito agregado e os utilizadores simultâneos que um gateway de VPN P2S pode suportar. As unidades de escala do gateway podem variar entre 1 e 200, suportando entre 500 e 100 000 utilizadores por gateway.
Configuração do servidor P2S Define os parâmetros de autenticação que o gateway de VPN P2S utiliza para autenticar utilizadores recebidos. Qualquer configuração do servidor P2S associada ao gateway de WAN Virtual. A configuração do servidor tem de ser criada com êxito para que um gateway o faça referência.
Preferência de encaminhamento Permite-lhe escolher como o tráfego se encaminha entre o Azure e a Internet. Pode optar por encaminhar o tráfego através da rede Microsoft ou através da rede ISP (rede pública). Para obter mais informações sobre esta definição, consulte O que é a preferência de encaminhamento? Esta definição não pode ser modificada após a criação do gateway.
Servidores DNS Personalizados Os endereços IP dos servidores DNS que ligam os utilizadores devem reencaminhar pedidos DNS para. Qualquer endereço IP encaminhável.
Propagar rota predefinida Se o hub de WAN Virtual estiver configurado com uma rota predefinida 0.0.0.0/0 (rota estática na tabela de rotas predefinida ou 0.0.0.0/0 anunciada a partir do local, esta definição controla se a rota 0.0.0.0/0 é anunciada para ligar utilizadores. Este campo pode ser definido como verdadeiro ou falso.

Conceitos específicos do RADIUS

Conceito Description Notas
Utilizar a definição de servidor RADIUS remoto/no local Controla se WAN Virtual podem ou não reencaminhar pacotes de autenticação RADIUS para servidores RADIUS alojados no local ou num Rede Virtual ligado a um Hub Virtual diferente. Esta definição tem dois valores, verdadeiro ou falso. Quando WAN Virtual está configurado para utilizar a autenticação baseada em RADIUS, WAN Virtual gateway P2S serve como um proxy RADIUS que envia pedidos de autenticação para os seus severes RADIUS. Esta definição (se for verdadeira) permite que WAN Virtual gateway comunique com servidores RADIUS implementados no local ou num Rede Virtual ligado a um hub diferente. Se for falso, o WAN Virtual só poderá autenticar-se com servidores RADIUS alojados em Redes Virtuais ligadas ao hub com o gateway.
RADIUS Proxy IPs Os pacotes de autenticação RADIUS enviados pelo gateway de VPN P2S para o servidor RADIUS têm IPs de origem especificados pelo campo IP do Proxy RADIUS. Estes IPs têm de estar listados como clientes RADIUS no servidor RADIUS. Este parâmetro não é configurável diretamente. Se "Utilizar servidor RADIUS remoto/no local" estiver definido como verdadeiro, os IPs de Proxy RADIUS são automaticamente configurados como endereços IP de conjuntos de endereços cliente especificados no gateway. Se esta definição for falsa, os IPs são endereços IP do espaço de endereços do hub. Os IPs de proxy RADIUS podem ser encontrados no portal do Azure na página do gateway de VPN P2S.

Conceitos de configuração de ligação

Pode haver uma ou mais configurações de ligação num gateway de VPN P2S. Cada configuração de ligação tem uma configuração de encaminhamento (veja abaixo para ressalvas) e representa um grupo ou segmento de utilizadores a partir dos mesmos conjuntos de endereços.

Conceito Description Notas
Nome da Configuração Nome para uma configuração de VPN P2S Qualquer nome pode ser fornecido. Pode ter mais do que uma configuração de ligação num gateway se estiver a tirar partido da funcionalidade grupos de utilizadores/conjuntos múltiplos. Se não estiver a utilizar esta funcionalidade, só pode existir uma configuração por gateway.
Grupos de Utilizadores Grupos de utilizadores que correspondem a uma configuração Todos os grupos de utilizadores referenciados na configuração do Servidor VPN. Este parâmetro é opcional. Para obter mais informações, veja sobre grupos de utilizadores.
Conjuntos de Endereços Os conjuntos de endereços são endereços IP privados que ligam os utilizadores. Os conjuntos de endereços podem ser especificados como qualquer bloco CIDR que não se sobreponha a quaisquer espaços de endereços do Hub Virtual, endereços IP utilizados em Redes Virtuais ligadas a WAN Virtual ou endereços anunciados a partir do local. Dependendo da unidade de dimensionamento especificada no gateway, poderá precisar de mais do que um bloco CIDR. Para obter mais informações, veja sobre conjuntos de endereços.
Configuração de encaminhamento Cada ligação ao Hub Virtual tem uma configuração de encaminhamento, que define a tabela de rotas à qual a ligação está associada e a que tabelas de rotas a tabela de rotas propaga. Todas as ligações de ramo ao mesmo hub (ExpressRoute, VPN, NVA) têm de associar aoRouteTable predefinido e propagar ao mesmo conjunto de tabelas de rotas. Ter diferentes propagações para ligações de ramos pode resultar em comportamentos de encaminhamento inesperados, uma vez que WAN Virtual escolherá a configuração de encaminhamento de um ramo e aplicá-la a todos os ramos e, por conseguinte, rotas aprendidas no local.

Passos seguintes

Adicione ligações aqui a alguns artigos para os próximos passos.