Conceitos de VPN do usuário (ponto a site)
O artigo a seguir descreve os conceitos e as opções configuráveis pelo cliente associados às configurações e gateways P2S (Virtual WAN User VPN) point-to-site. Este artigo é dividido em várias seções, incluindo seções sobre conceitos de configuração de servidor VPN P2S e seções sobre conceitos de gateway VPN P2S.
Conceitos de configuração do servidor VPN
As configurações do servidor VPN definem os parâmetros de autenticação, criptografia e grupo de usuários usados para autenticar usuários, atribuir endereços IP e criptografar tráfego. Os gateways P2S estão associados às configurações do servidor VPN P2S.
Conceitos comuns
| Conceito | Descrição | Notas |
|---|---|---|
| Tipo de túnel | Protocolo(s) usado(s) entre o gateway VPN P2S e a conexão de usuários. | Parâmetros disponíveis: IKEv2, OpenVPN ou ambos. Para configurações de servidor IKEv2, apenas RADIUS e autenticação baseada em certificado estão disponíveis. Para configurações de servidor VPN aberto, RADIUS, autenticação baseada em certificado e Microsoft Entra ID estão disponíveis. Além disso, vários métodos de autenticação na mesma configuração de servidor (por exemplo, certificado e RADIUS na mesma configuração) só são suportados para OpenVPN. O IKEv2 também tem um limite de nível de protocolo de 255 rotas, enquanto o OpenVPN tem um limite de 1000 rotas. |
| Parâmetros IPsec personalizados | Parâmetros de criptografia usados pelo gateway VPN P2S para gateways que usam IKEv2. | Para obter os parâmetros disponíveis, consulte Parâmetros IPsec personalizados para VPN ponto a site. Este parâmetro não se aplica a gateways que usam autenticação OpenVPN. |
Conceitos de Autenticação de Certificado do Azure
Os conceitos a seguir estão relacionados às configurações de servidor que usam autenticação baseada em certificado.
| Conceito | Descrição | Notas |
|---|---|---|
| Nome do certificado raiz | Nome usado pelo Azure para identificar certificados raiz do cliente. | Pode ser configurado para ser qualquer nome. Você pode ter vários certificados raiz. |
| Dados de certificados públicos | Certificado(s) raiz(es) a partir do(s) qual(is) os certificados de cliente são emitidos. | Insira a cadeia de caracteres correspondente aos dados públicos do certificado raiz. Para obter um exemplo de como obter dados públicos de certificado raiz, consulte a etapa 8 no documento a seguir sobre como gerar certificados. |
| Certificado revogado | Nome usado pelo Azure para identificar certificados a serem revogados. | Pode ser configurado para ser qualquer nome. |
| Impressão digital do certificado revogada | Impressão digital do(s) certificado(s) de usuário final que não devem ser capazes de se conectar ao gateway. | A entrada para este parâmetro é uma ou mais impressões digitais de certificado. Cada certificado de usuário deve ser revogado individualmente. Revogar um certificado intermediário ou um certificado raiz não revogará automaticamente todos os certificados filhos. |
Conceitos de autenticação RADIUS
Se um gateway VPN P2S estiver configurado para usar autenticação baseada em RADIUS, o gateway VPN P2S atuará como um Proxy NPS (Servidor de Diretivas de Rede) para encaminhar solicitações de autenticação ao(s) servidor(es) RADIUS do cliente. Os gateways podem usar um ou dois servidores RADIUS para processar solicitações de autenticação. As solicitações de autenticação são automaticamente balanceadas em todos os servidores RADIUS se várias forem fornecidas.
| Conceito | Descrição | Notas |
|---|---|---|
| Segredo do servidor primário | Segredo do servidor configurado no servidor RADIUS primário do cliente que é usado para criptografia pelo protocolo RADIUS. | Qualquer cadeia de caracteres secreta compartilhada. |
| Endereço IP do servidor primário | Endereço IP privado do servidor RADIUS | Esse IP deve ser um IP privado acessível pelo Hub Virtual. Verifique se a conexão que hospeda o servidor RADIUS está se propagando para defaultRouteTable do hub com o gateway. |
| Segredo do servidor secundário | Segredo do servidor configurado no segundo servidor RADIUS usado para criptografia pelo protocolo RADIUS. | Qualquer cadeia de caracteres secreta compartilhada fornecida. |
| Endereço IP do servidor secundário | O endereço IP privado do servidor RADIUS | Esse IP deve ser um IP privado acessível pelo hub virtual. Verifique se a conexão que hospeda o servidor RADIUS está se propagando para defaultRouteTable do hub com o gateway. |
| Certificado raiz do servidor RADIUS | Dados públicos do certificado raiz do servidor RADIUS. | Este campo é opcional. Insira a(s) string(s) correspondente(s) aos dados públicos do certificado raiz RADIUS. Você pode inserir vários certificados raiz. Todos os certificados de cliente apresentados para autenticação devem ser emitidos a partir dos certificados raiz especificados. Para obter um exemplo de como obter dados públicos de certificados, consulte a etapa 8 no documento a seguir sobre como gerar certificados. |
| Certificados de cliente revogados | Impressão digital de certificados de cliente RADIUS revogados. Os clientes que apresentarem certificados revogados não poderão se conectar. | Este campo é opcional. Cada certificado de usuário deve ser revogado individualmente. Revogar um certificado intermediário ou um certificado raiz não revogará automaticamente todos os certificados filhos. |
Conceitos de autenticação do Microsoft Entra
Os conceitos a seguir estão relacionados às configurações de servidor que usam a autenticação baseada em ID do Microsoft Entra. A autenticação baseada em ID do Microsoft Entra só está disponível se o tipo de túnel for OpenVPN.
| Conceito | Descrição | Parâmetros disponíveis |
|---|---|---|
| Audiência | ID do aplicativo do Aplicativo Empresarial VPN do Azure registrado em seu locatário do Microsoft Entra. | Para obter mais informações sobre como registrar o aplicativo VPN do Azure em seu locatário e localizar a ID do aplicativo, consulte configurando um locatário para conexões de protocolo OpenVPN VPN VPN de usuário P2S |
| Emissor | URL completa correspondente ao STS (Serviço de Token de Segurança) associado ao Ative Directory. | String no seguinte formato: https://sts.windows.net/<your Directory ID>/ |
| Inquilino do Microsoft Entra | URL completa correspondente ao locatário do Ative Directory usado para autenticação no gateway. | Varia de acordo com a nuvem em que o Locatário do Ative Directory está implantado. Veja abaixo os detalhes por nuvem. |
ID do locatário Microsoft Entra
A tabela a seguir descreve o formato da URL do Microsoft Entra com base na nuvem em que o Microsoft Entra ID é implantado.
| Cloud | Formato do parâmetro |
|---|---|
| Azure Public Cloud | https://login.microsoftonline.com/{AzureAD TenantID} |
| Azure Government Cloud | https://login.microsoftonline.us/{AzureAD TenantID} |
| China 21Vianet Cloud | https://login.chinacloudapi.cn/{AzureAD TenantID} |
Conceitos de grupo de usuários (multi-pool)
Os conceitos a seguir estão relacionados a grupos de usuários (vários pools) na WAN Virtual. Os grupos de usuários permitem que você atribua diferentes endereços IP para conectar usuários com base em suas credenciais, permitindo que você configure Listas de Controle de Acesso (ACLs) e regras de Firewall para proteger cargas de trabalho. Para obter mais informações e exemplos, consulte Conceitos de vários pools.
A configuração do servidor contém as definições de grupos e os grupos são usados em gateways para mapear grupos de configuração do servidor para endereços IP.
| Conceito | Descrição | Notas |
|---|---|---|
| Grupo de utilizadores / grupo de políticas | Um grupo de usuários ou grupo de políticas é uma representação lógica de um grupo de usuários aos quais devem ser atribuídos endereços IP do mesmo pool de endereços. | Para obter mais informações, consulte Sobre grupos de usuários. |
| Grupo padrão | Quando os usuários tentam se conectar a um gateway usando o recurso de grupo de usuários, os usuários que não correspondem a nenhum grupo atribuído ao gateway são automaticamente considerados parte do grupo padrão e recebem um endereço IP associado a esse grupo. | Cada grupo em uma configuração de servidor pode ser especificado como um grupo padrão ou não padrão e essa configuração não pode ser alterada após a criação do grupo. Exatamente um grupo padrão pode ser atribuído a cada gateway VPN P2S, mesmo que a configuração do servidor atribuído tenha vários grupos padrão. |
| Prioridade do grupo | Quando vários grupos são atribuídos a um gateway, um usuário conectado pode apresentar credenciais que correspondem a vários grupos. A WAN virtual processa grupos atribuídos a um gateway em ordem crescente de prioridade. | As prioridades são inteiros positivos e os grupos com prioridades numéricas mais baixas são processados primeiro. Cada grupo deve ter uma prioridade distinta. |
| Configurações/membros do grupo | Os grupos de utilizadores são constituídos por membros. Os membros não correspondem a usuários individuais, mas definem os critérios/condições de correspondência usados para determinar de qual grupo um usuário conectado faz parte. Quando um grupo é atribuído a um gateway, um usuário conectado cujas credenciais correspondem aos critérios especificados para um dos membros do grupo é considerado parte desse grupo e pode receber um endereço IP apropriado. | Para obter uma lista completa dos critérios disponíveis, consulte Configurações de grupo disponíveis. |
Conceitos de configuração de gateway
As seções a seguir descrevem os conceitos associados ao gateway VPN P2S. Cada gateway está associado a uma configuração de servidor VPN e tem muitas outras opções configuráveis.
Conceitos gerais de gateway
| Conceito | Descrição | Notas |
|---|---|---|
| Unidade de escala de gateway | Uma unidade de escala de gateway define a taxa de transferência agregada e os usuários simultâneos que um gateway VPN P2S pode suportar. | As unidades de escala de gateway podem variar de 1 a 200, suportando de 500 a 100.000 usuários por gateway. |
| Configuração do servidor P2S | Define os parâmetros de autenticação que o gateway VPN P2S usa para autenticar os usuários de entrada. | Qualquer configuração de servidor P2S associada ao gateway WAN Virtual. A configuração do servidor deve ser criada com êxito para que um gateway faça referência a ele. |
| Preferência de encaminhamento | Permite que você escolha como o tráfego roteia entre o Azure e a Internet. | Pode optar por encaminhar o tráfego através da rede Microsoft ou através da rede ISP (rede pública). Para obter mais informações sobre essa configuração, consulte O que é preferência de roteamento? Essa configuração não pode ser modificada após a criação do gateway. |
| Servidores DNS Personalizados | Os endereços IP do(s) servidor(es) DNS(s) que liga(m) os utilizadores devem reencaminhar pedidos DNS para. | Qualquer endereço IP roteável. |
| Propagar rota padrão | Se o hub WAN Virtual estiver configurado com uma rota padrão 0.0.0.0/0 (rota estática na tabela de rotas padrão ou 0.0.0.0/0 anunciada localmente, essa configuração controlará se a rota 0.0.0.0/0 é ou não anunciada para usuários conectados. | Este campo pode ser definido como true ou false. |
Conceitos específicos do RADIUS
| Conceito | Descrição | Notas |
|---|---|---|
| Usar configuração de servidor RADIUS remoto/local | Controla se a WAN Virtual pode ou não encaminhar pacotes de autenticação RADIUS para servidores RADIUS hospedados no local ou em uma Rede Virtual conectada a um Hub Virtual diferente. | Essa configuração tem dois valores, true ou false. Quando a WAN Virtual é configurada para usar autenticação baseada em RADIUS, o gateway P2S da WAN Virtual serve como um proxy RADIUS que envia solicitações de autenticação para seus severers RADIUS. Essa configuração (se true) permite que o gateway WAN Virtual se comunique com servidores RADIUS implantados no local ou em uma Rede Virtual conectada a um hub diferente. Se false, a WAN Virtual só poderá autenticar-se com servidores RADIUS hospedados em Redes Virtuais conectadas ao hub com o gateway. |
| RADIUS Proxy IPs | Os pacotes de autenticação RADIUS enviados pelo gateway VPN P2S para o servidor RADIUS têm IPs de origem especificados pelo campo IP do proxy RADIUS. Esses IPs precisam ser permitidos listados como clientes RADIUS em seu servidor RADIUS. | Este parâmetro não é diretamente configurável. Se 'Usar servidor RADIUS remoto/local' estiver definido como true, os IPs de proxy RADIUS serão configurados automaticamente como endereços IP de pools de endereços de cliente especificados no gateway. Se essa configuração for falsa, os IPs serão endereços IP de dentro do espaço de endereço do hub. Os IPs de proxy RADIUS podem ser encontrados no portal do Azure na página do gateway VPN P2S. |
Conceitos de configuração de conexão
Pode haver uma ou mais configurações de conexão em um gateway VPN P2S. Cada configuração de conexão tem uma configuração de roteamento (veja abaixo as advertências) e representa um grupo ou segmento de usuários aos quais são atribuídos endereços IP dos mesmos pools de endereços.
| Conceito | Descrição | Notas |
|---|---|---|
| Nome da Configuração | Nome para uma configuração de VPN P2S | Qualquer nome pode ser fornecido. Você pode ter mais de uma configuração de conexão em um gateway se estiver aproveitando o recurso de grupos de usuários/vários pools. Se você não estiver usando esse recurso, só poderá haver uma configuração por gateway. |
| Grupos de Utilizadores | Grupos de usuários que correspondem a uma configuração | Qualquer grupo de usuários referenciado na configuração do Servidor VPN. Este parâmetro é opcional. Para obter mais informações, consulte Sobre grupos de usuários. |
| Conjuntos de Endereços | Os pools de endereços são endereços IP privados atribuídos aos usuários que se conectam. | Os pools de endereços podem ser especificados como qualquer bloco CIDR que não se sobreponha a nenhum espaço de endereço do Hub Virtual, endereços IP usados em Redes Virtuais conectadas à WAN Virtual ou endereços anunciados localmente. Dependendo da unidade de escala especificada no gateway, você pode precisar de mais de um bloco CIDR. Para obter mais informações, consulte sobre pools de endereços. |
| Configuração de encaminhamento | Cada conexão com o Hub Virtual tem uma configuração de roteamento, que define a qual tabela de rotas a conexão está associada e para quais tabelas de rotas a tabela de rotas se propaga. | Todas as conexões de filial para o mesmo hub (ExpressRoute, VPN, NVA) devem ser associadas ao defaultRouteTable e propagadas para o mesmo conjunto de tabelas de rotas. Ter diferentes propagações para conexões de ramificações pode resultar em comportamentos de roteamento inesperados, pois a WAN Virtual escolherá a configuração de roteamento para uma ramificação e a aplicará a todas as ramificações e, portanto, às rotas aprendidas localmente. |
Próximos passos
Adicione links aqui para alguns artigos para as próximas etapas.