Tutorial: Criar uma conexão VPN de usuário P2S usando a WAN Virtual do Azure - Autenticação de certificado ou RADIUS
Este tutorial mostra como usar a WAN Virtual para se conectar aos seus recursos no Azure. Neste tutorial, você cria uma conexão VPN de usuário ponto a site sobre OpenVPN ou IPsec/IKE (IKEv2) usando o portal do Azure. Este tipo de ligação exige que o cliente VPN nativo esteja configurado em cada computador cliente que realiza a ligação.
- Este artigo aplica-se ao certificado e à autenticação RADIUS. Para autenticação do Microsoft Entra, consulte Configurar uma conexão VPN de usuário - autenticação do Microsoft Entra.
- Para obter mais informações sobre a WAN Virtual, veja a Descrição Geral da WAN Virtual.
Neste tutorial, irá aprender a:
- Criar uma WAN Virtual
- Criar a configuração VPN do usuário
- Criar o hub virtual e o gateway
- Gerar arquivos de configuração do cliente
- Configurar clientes VPN
- Conectar-se a uma rede virtual
- Ver a WAN Virtual
- Modificar configurações
Pré-requisitos
Tem uma subscrição do Azure. Se não tiver uma subscrição do Azure, crie uma conta gratuita.
Você tem uma rede virtual à qual deseja se conectar.
- Verifique se nenhuma das sub-redes de suas redes locais se sobrepõe às redes virtuais às quais você deseja se conectar.
- Para criar uma rede virtual no portal do Azure, consulte o artigo Guia de início rápido.
Sua rede virtual não deve ter nenhum gateway de rede virtual existente.
- Se sua rede virtual já tiver gateways (VPN ou Rota Expressa), você deverá remover todos os gateways antes de prosseguir.
- Essa configuração requer que as redes virtuais se conectem somente ao gateway de hub WAN Virtual.
Decida o intervalo de endereços IP que você deseja usar para seu espaço de endereço privado do hub virtual. Essas informações são usadas ao configurar seu hub virtual. Um hub virtual é uma rede virtual que é criada e usada pela WAN Virtual. É o núcleo da sua rede WAN virtual em uma região. O intervalo de espaço de endereçamento deve estar em conformidade com determinadas regras:
- O intervalo de endereços especificado para o hub não pode se sobrepor a nenhuma das redes virtuais existentes às quais você se conecta.
- O intervalo de endereços não pode se sobrepor aos intervalos de endereços locais aos quais você se conecta.
- Se você não estiver familiarizado com os intervalos de endereços IP localizados em sua configuração de rede local, coordene com alguém que possa fornecer esses detalhes para você.
Criar uma WAN Virtual
No portal, na barra de recursos de pesquisa, digite WAN Virtual na caixa de pesquisa e selecione Enter.
Selecione WANs virtuais nos resultados. Na página WANs Virtuais, selecione + Criar para abrir a página Criar WAN .
Na página Criar WAN, na guia Noções básicas, preencha os campos. Modifique os valores de exemplo a serem aplicados ao seu ambiente.
- Subscrição: selecione a subscrição que pretende utilizar.
- Grupo de recursos: crie novos ou use existentes.
- Local do grupo de recursos: escolha um local de recurso na lista suspensa. Uma WAN é um recurso global e não vive em uma região específica. No entanto, você deve selecionar uma região para gerenciar e localizar o recurso WAN criado.
- Nome: digite o Nome que você deseja chamar de WAN virtual.
- Tipo: Básico ou Padrão. selecione Standard. Se você selecionar Básico, entenda que as WANs virtuais básicas só podem conter hubs básicos. Os hubs básicos só podem ser usados para conexões site a site.
Depois de concluir o preenchimento dos campos, na parte inferior da página, selecione Rever + Criar.
Quando a validação for aprovada, clique em Criar para criar a WAN virtual.
Criar uma configuração VPN de usuário
A configuração User VPN (P2S) define os parâmetros para os clientes remotos se conectarem. Você cria configurações de VPN de usuário antes de criar o gateway P2S no hub. Você pode criar várias configurações de VPN de usuário. Ao criar o gateway P2S, você seleciona a configuração VPN do usuário que deseja usar.
As instruções que você segue dependem do método de autenticação que você deseja usar. Para este exercício, selecionamos OpenVpn e IKEv2 e autenticação de certificado. No entanto, outras configurações estão disponíveis. Cada método de autenticação tem requisitos específicos.
Certificados do Azure: para esta configuração, os certificados são necessários. Você precisa gerar ou obter certificados. Um certificado de cliente é necessário para cada cliente. Além disso, as informações do certificado raiz (chave pública) precisam ser carregadas. Para obter mais informações sobre os certificados necessários, consulte Gerar e exportar certificados.
Autenticação baseada em Radius: obtenha o IP do servidor Radius, o segredo do servidor Radius e as informações do certificado.
Autenticação do Microsoft Entra: consulte Configurar uma conexão VPN do usuário - Autenticação do Microsoft Entra.
Passos de configuração
Navegue até a WAN virtual que você criou.
Selecione Configurações de VPN do usuário no menu à esquerda.
Na página Configurações de VPN do usuário, selecione +Criar configuração de VPN do usuário.
Na guia Noções básicas da página Criar nova configuração de VPN de usuário, em Detalhes da instância, insira o Nome que você deseja atribuir à sua configuração de VPN.
Em Tipo de túnel, selecione o tipo de túnel desejado na lista suspensa. As opções de tipo de túnel são: IKEv2 VPN, OpenVPN e OpenVpn e IKEv2. Cada tipo de túnel tem configurações específicas necessárias. O tipo de túnel escolhido corresponde às opções de autenticação disponíveis.
Requisitos e parâmetros:
IKEv2 VPN
Requisitos: Quando você seleciona o tipo de túnel IKEv2 , você vê uma mensagem direcionando para selecionar um método de autenticação. Para IKEv2, você pode especificar vários métodos de autenticação. Você pode escolher Certificado do Azure, autenticação baseada em RADIUS ou ambos.
Parâmetros personalizados IPSec: Para personalizar os parâmetros para IKE Fase 1 e IKE Fase 2, alterne a opção IPsec para Personalizado e selecione os valores dos parâmetros. Para obter mais informações sobre parâmetros personalizáveis, consulte o artigo IPsec personalizado.
OpenVPN
- Requisitos: Quando você seleciona o tipo de túnel OpenVPN , você vê uma mensagem direcionando-o para selecionar um mecanismo de autenticação. Se OpenVPN for selecionado como o tipo de túnel, você poderá especificar vários métodos de autenticação. Você pode escolher qualquer subconjunto de Certificado do Azure, ID do Microsoft Entra ou autenticação baseada em RADIUS. Para autenticação baseada em RADIUS, você pode fornecer um endereço IP do servidor RADIUS secundário e um segredo do servidor.
OpenVPN e IKEv2
- Requisitos: Quando você seleciona o tipo de túnel OpenVPN e IKEv2 , você vê uma mensagem direcionando para selecionar um mecanismo de autenticação. Se OpenVPN e IKEv2 for selecionado como o tipo de túnel, você pode especificar vários métodos de autenticação. Você pode escolher a ID do Microsoft Entra junto com o Certificado do Azure ou a autenticação baseada em RADIUS. Para autenticação baseada em RADIUS, você pode fornecer um endereço IP do servidor RADIUS secundário e um segredo do servidor.
Configure os métodos de autenticação que você deseja usar. Cada método de autenticação está em uma guia separada: certificado do Azure, autenticação RADIUS e ID do Microsoft Entra. Alguns métodos de autenticação só estão disponíveis em determinados tipos de túnel.
Na guia do método de autenticação que você deseja configurar, selecione Sim para revelar as definições de configuração disponíveis.
Exemplo - Autenticação de certificado
Para definir essa configuração, o tipo de túnel da página Noções básicas pode ser IKEv2, OpenVPN ou OpenVPN e IKEv2.
Exemplo - autenticação RADIUS
Para definir essa configuração, o tipo de túnel na página Noções básicas pode ser Ikev2, OpenVPN ou OpenVPN e IKEv2.
Exemplo - Autenticação Microsoft Entra
Para definir essa configuração, o tipo de túnel na página Noções básicas deve ser OpenVPN. A autenticação baseada em ID do Microsoft Entra só é suportada com OpenVPN.
Quando terminar de definir as configurações, selecione Revisar + criar na parte inferior da página.
Selecione Criar para criar a configuração VPN do usuário.
Criar um hub virtual e um gateway
Página Noções básicas
Vá para a WAN virtual que você criou. No painel esquerdo da página WAN virtual, em Conectividade, selecione Hubs.
Na página Hubs, selecione +Novo Hub para abrir a página Criar hub virtual.
Na guia Noções básicas da página Criar hub virtual, preencha os seguintes campos:
- Região: selecione a região na qual você deseja implantar o hub virtual.
- Nome: o nome pelo qual você deseja que o hub virtual seja conhecido.
- Espaço de endereçamento privado do hub: o intervalo de endereços do hub na notação CIDR. O espaço de endereço mínimo é /24 para criar um hub.
- Capacidade do hub virtual: selecione na lista suspensa. Para obter mais informações, consulte Configurações do hub virtual.
- Preferência de roteamento de hub: deixe como padrão. Para obter mais informações, consulte Preferência de roteamento de hub virtual.
Apontar para a página do site
Clique na guia Apontar para o site para abrir a página de configuração ponto a site. Para exibir as configurações do ponto para o site, clique em Sim.
Configure as seguintes definições:
Unidades de escala de gateway - Representa a capacidade agregada do gateway VPN do usuário. Se você selecionar 40 ou mais unidades de escala de gateway, planeje o pool de endereços do cliente de acordo. Para obter informações sobre como essa configuração afeta o pool de endereços do cliente, consulte Sobre pools de endereços do cliente. Para obter informações sobre unidades de escala de gateway, consulte as Perguntas frequentes.
Configuração do ponto para o site - Selecione a configuração VPN do usuário que você criou em uma etapa anterior.
Preferência de roteamento - A preferência de roteamento do Azure permite que você escolha como seu tráfego roteia entre o Azure e a Internet. Pode optar por encaminhar o tráfego através da rede Microsoft ou através da rede ISP (Internet pública). Essas opções também são conhecidas como roteamento de batata fria e roteamento de batata quente, respectivamente. O endereço IP público na WAN Virtual é atribuído pelo serviço com base na opção de roteamento selecionada. Para obter mais informações sobre a preferência de roteamento via rede Microsoft ou ISP, consulte o artigo Preferência de roteamento.
Usar servidor RADIUS remoto/local - Quando um gateway VPN de usuário WAN virtual é configurado para usar autenticação baseada em RADIUS, o gateway VPN do usuário age como um proxy e envia solicitações de acesso RADIUS para seu servidor RADIUS. A configuração "Usar servidor RADIUS remoto/local" está desabilitada por padrão, o que significa que o gateway VPN do usuário só poderá encaminhar solicitações de autenticação para servidores RADIUS em redes virtuais conectadas ao hub do gateway. Habilitar a configuração permitirá que o gateway VPN do usuário se autentique com servidores RADIUS conectados a hubs remotos ou implantados localmente.
Nota
A configuração do servidor RADIUS remoto/local e os IPs de proxy relacionados só serão usados se o Gateway estiver configurado para usar a autenticação baseada em RADIUS. Se o Gateway não estiver configurado para usar a autenticação baseada em RADIUS, essa configuração será ignorada.
Você deve ativar "Usar servidor RADIUS remoto/local" se os usuários se conectarem ao perfil VPN global em vez do perfil baseado em hub. Para obter mais informações, consulte perfis globais e de nível de hub.
Depois de criar o gateway VPN do usuário, vá para gateway e anote o campo IPs do proxy RADIUS. Os IPs de proxy RADIUS são os IPs de origem dos pacotes RADIUS que o gateway VPN do usuário envia para o servidor RADIUS. Portanto, o servidor RADIUS precisa ser configurado para aceitar solicitações de autenticação dos IPs de proxy RADIUS. Se o campo IPs do proxy RADIUS estiver em branco ou nenhum, configure o servidor RADIUS para aceitar solicitações de autenticação do espaço de endereço do hub.
Além disso, certifique-se de definir as associações e propagações da conexão (VNet ou local) que hospeda o servidor RADIUS propaga para defaultRouteTable do hub implantado com o gateway VPN ponto a site e que a configuração VPN ponto a site se propaga para a tabela de rotas da conexão que hospeda o servidor RADIUS. Isso é obrigatório para garantir que o gateway possa falar com o servidor RADIUS e vice-versa.
Pool de endereços do cliente - O pool de endereços a partir do qual os endereços IP serão atribuídos automaticamente aos clientes VPN. Os pools de endereços devem ser distintos. Não pode haver sobreposição entre pools de endereços. Para obter mais informações, consulte Sobre pools de endereços de clientes.
Servidores DNS personalizados - O endereço IP do(s) servidor(es) DNS que os clientes utilizarão. Você pode especificar até 5.
Selecione Rever + criar para validar as suas definições.
Quando a validação for aprovada, selecione Criar. A criação de um hub pode levar 30 minutos ou mais para ser concluída.
Quando você cria um novo hub, você pode notar uma mensagem de aviso no portal referindo-se à versão do roteador. Isso às vezes ocorre quando o roteador está provisionando. Quando o roteador estiver totalmente provisionado, a mensagem não aparecerá mais.
Gerar arquivos de configuração do cliente
Quando você se conecta à VNet usando VPN de usuário (P2S), você pode usar o cliente VPN que está instalado nativamente no sistema operacional do qual você está se conectando. Todas as definições de configuração necessárias para os clientes VPN estão contidas em um arquivo zip de configuração do cliente VPN. As configurações no arquivo zip ajudam você a configurar facilmente os clientes VPN. Os arquivos de configuração do cliente VPN que você gera são específicos para a configuração VPN do usuário para seu gateway. Nesta seção, você gera e baixa os arquivos usados para configurar seus clientes VPN.
Há dois tipos diferentes de perfis de configuração que você pode baixar: global e hub. O perfil global é um perfil de configuração de nível WAN. Ao baixar o perfil de configuração no nível da WAN, você obtém um perfil VPN de usuário interno baseado no Gerenciador de Tráfego. Quando você usa um perfil global, se, por algum motivo, um hub não estiver disponível, o gerenciamento de tráfego interno fornecido pelo serviço garante conectividade (por meio de um hub diferente) aos recursos do Azure para usuários ponto a site. Para obter mais informações ou para baixar um pacote de configuração de cliente VPN de perfil de hub, consulte Perfis globais e de hub.
Para gerar um pacote de configuração de cliente VPN de perfil global de nível WAN, vá para a WAN virtual (não para o hub virtual).
No painel esquerdo, selecione Configurações de VPN do usuário.
Selecione a configuração para a qual você deseja baixar o perfil. Se você tiver vários hubs atribuídos ao mesmo perfil, expanda o perfil para mostrar os hubs e selecione um dos hubs que usa o perfil.
Selecione Baixar perfil VPN de usuário WAN virtual.
Na página de download, selecione EAPTLS, depois Gerar e baixar perfil. Um pacote de perfil (arquivo zip) contendo as definições de configuração do cliente é gerado e baixado para o seu computador. O conteúdo do pacote depende das opções de autenticação e túnel para sua configuração.
Configurar clientes VPN
Use o pacote de perfil baixado para configurar o cliente VPN nativo em seu computador. O procedimento para cada sistema operacional é diferente. Siga as instruções que se aplicam ao seu sistema. Depois de concluir a configuração do cliente, você pode se conectar.
IKEv2
Na configuração VPN do usuário, se você especificou o tipo de túnel VPN IKEv2, poderá configurar o cliente VPN nativo (Windows e macOS Catalina ou posterior).
As etapas a seguir são para Windows. Para macOS, consulte Etapas do IKEv2-macOS .
Selecione os ficheiros de configuração do cliente VPN que correspondem à arquitetura do computador Windows. Para uma arquitetura de processador de 64 bits, escolha o pacote do instalador "VpnClientSetupAmd64". Para uma arquitetura de processador de 32 bits, escolha o pacote do instalador "VpnClientSetupX86".
Faça duplo clique no pacote para instalá-lo. Se vir um pop-up SmartScreen, selecione Mais informações e, em seguida , Executar mesmo assim.
No computador cliente, navegue até Configurações de Rede e selecione VPN. A ligação VPN mostra o nome da rede virtual à qual se liga.
Instale um certificado de cliente em cada computador que você deseja conectar por meio dessa configuração de VPN de usuário. Se utilizar o tipo de autenticação de certificados nativa do Azure, é preciso um certificado de cliente para a autenticação. Para obter mais informações sobre como gerar certificados, consulte Gerar certificados. Para obter informações sobre como instalar um certificado de cliente, consulte Instalar um certificado de cliente.
OpenVPN
Na configuração VPN do Usuário, se você especificou o tipo de túnel OpenVPN, poderá baixar e configurar o cliente VPN do Azure ou, em alguns casos, poderá usar o software cliente OpenVPN. Para as etapas, use o link que corresponde à sua configuração.
- Autenticação do Microsoft Entra - Cliente VPN do Azure - Windows
- Autenticação do Microsoft Entra - Cliente VPN do Azure - macOS
- Configurar o software cliente OpenVPN - Windows, macOS, iOS, Linux
Conectar VNet ao hub
Nesta seção, você cria uma conexão entre seu hub virtual e sua rede virtual. Para este tutorial, você não precisa definir as configurações de roteamento.
No portal do Azure, vá para sua WAN Virtual No painel esquerdo, selecione Conexões de rede virtual.
Na página Conexões de rede virtual, selecione + Adicionar conexão.
Na página Adicionar ligação, configure as definições da ligação. Para obter informações sobre configurações de roteamento, consulte Sobre roteamento.
- Nome da conexão: nomeie sua conexão.
- Hubs: selecione o hub que você deseja associar a essa conexão.
- Assinatura: verifique a assinatura.
- Grupo de recursos: selecione o grupo de recursos que contém a rede virtual à qual você deseja se conectar.
- Rede virtual: selecione a rede virtual que você deseja conectar a este hub. A rede virtual selecionada não pode ter um gateway de rede virtual já existente.
- Propagar para nenhum: é definido como Não por padrão. Alterar a opção para Sim torna as opções de configuração para Propagar para tabelas de rotas e Propagar para rótulos indisponíveis para configuração.
- Associar tabela de rotas: Na lista suspensa, você pode selecionar uma tabela de rotas que deseja associar.
- Propagar para rótulos: os rótulos são um grupo lógico de tabelas de rotas. Para essa configuração, selecione na lista suspensa.
- Rotas estáticas: configure rotas estáticas, se necessário. Configure rotas estáticas para Dispositivos Virtuais de Rede (se aplicável). A WAN virtual suporta um único IP de salto seguinte para rota estática em uma conexão de rede virtual. Por exemplo, se você tiver um dispositivo virtual separado para fluxos de tráfego de entrada e saída, seria melhor ter os dispositivos virtuais em VNets separadas e anexar as VNets ao hub virtual.
- Ignorar IP do próximo salto para cargas de trabalho dentro desta VNet: essa configuração permite implantar NVAs e outras cargas de trabalho na mesma VNet sem forçar todo o tráfego através do NVA. Essa configuração só pode ser definida quando você estiver configurando uma nova conexão. Se pretender utilizar esta definição para uma ligação que já criou, elimine a ligação e, em seguida, adicione uma nova ligação.
- Propagar rota estática: essa configuração está sendo implementada no momento. Essa configuração permite propagar rotas estáticas definidas na seção Rotas estáticas para tabelas de rotas especificadas em Propagar para tabelas de rotas. Além disso, as rotas serão propagadas para tabelas de rotas que tenham rótulos especificados como Propagar para rótulos. Essas rotas podem ser propagadas entre hubs, exceto para a rota padrão 0/0. Este recurso está em processo de implantação. Se você precisar desse recurso ativado, abra um caso de suporte
Depois de concluir as configurações que deseja definir, clique em Criar para criar a conexão.
Apontar para o painel de sessões do site
Para visualizar suas sessões ativas ponto a site, clique em Sessões ponto a site. Isso mostrará todos os usuários ativos do site que estão conectados ao seu gateway VPN de usuário.
Para desconectar os usuários do gateway VPN do usuário, clique no botão ... menu de contexto e clique em "Desconectar".
Modificar configurações
Modificar o pool de endereços do cliente
Navegue até o seu HUB Virtual -> User VPN (Point to site).
Clique no valor ao lado de Unidades de escala de gateway para abrir a página Editar gateway VPN do usuário.
Na página Editar gateway VPN do usuário, edite as configurações.
Clique em Editar na parte inferior da página para validar suas configurações.
Clique em Confirmar para salvar suas configurações. Qualquer alteração nesta página pode levar até 30 minutos para ser concluída.
Modificar servidores DNS
Navegue até o seu HUB Virtual -> User VPN (Point to site).
Clique no valor ao lado de Servidores DNS personalizados para abrir a página Editar gateway VPN do usuário.
Na página Editar gateway VPN do Usuário, edite o campo Servidores DNS Personalizados. Insira os endereços IP do servidor DNS nas caixas de texto Servidores DNS personalizados . Você pode especificar até cinco servidores DNS.
Clique em Editar na parte inferior da página para validar suas configurações.
Clique em Confirmar para salvar suas configurações. Qualquer alteração nesta página pode levar até 30 minutos para ser concluída.
Clean up resources (Limpar recursos)
Quando não precisar mais dos recursos que criou, exclua-os. Alguns dos recursos da WAN Virtual devem ser excluídos em uma determinada ordem devido a dependências. A conclusão da eliminação pode demorar cerca de 30 minutos.
Abra a WAN virtual que você criou.
Selecione um hub virtual associado à WAN virtual para abrir a página do hub.
Exclua todas as entidades de gateway seguindo a ordem abaixo para cada tipo de gateway. Isso pode levar 30 minutos para ser concluído.
VPN:
- Desconectar sites VPN
- Excluir conexões VPN
- Excluir gateways VPN
ExpressRoute:
- Excluir conexões de Rota Expressa
- Excluir gateways de Rota Expressa
Repita para todos os hubs associados à WAN virtual.
Você pode excluir os hubs neste momento ou excluir os hubs mais tarde quando excluir o grupo de recursos.
Navegue até o grupo de recursos no portal do Azure.
Selecione Eliminar grupo de recursos. Isso exclui os outros recursos no grupo de recursos, incluindo os hubs e a WAN virtual.