Configurar uma conexão VPN ponto a site para uma rede virtual usando vários tipos de autenticação: Portal do Azure

  • Artigo

Este artigo ajuda você a conectar com segurança clientes individuais que executam Windows, Linux ou macOS a uma VNet do Azure. As conexões VPN ponto a site são úteis quando você deseja se conectar à sua rede virtual a partir de um local remoto, como quando você está em teletrabalho em casa ou em uma conferência. Pode também utilizar P2S em vez de uma VPN Site a Site, quando são poucos os clientes que precisam de ligar a uma VNet. As conexões ponto a site não exigem um dispositivo VPN ou um endereço IP voltado para o público. A P2S cria a ligação VPN através de SSTP (Secure Socket Tunneling Protocol) ou de IKEv2. Para obter mais informações sobre VPN ponto a site, consulte Sobre VPN ponto a site.

Connect from a computer to an Azure VNet - point-to-site connection diagram

Para obter mais informações sobre VPN ponto a site, consulte Sobre VPN ponto a site. Para criar essa configuração usando o Azure PowerShell, consulte Configurar uma VPN ponto a site usando o Azure PowerShell.

Pré-requisitos

Verifique se tem uma subscrição do Azure. Se ainda não tiver uma subscrição do Azure, pode ativar os Benefícios de subscritor do MSDN ou inscrever-se numa conta gratuita.

Vários tipos de autenticação no mesmo gateway VPN só são suportados com o tipo de túnel OpenVPN.

Valores de exemplo

Pode utilizar os valores seguintes para criar um ambiente de teste ou consultá-los para compreender melhor os exemplos neste artigo:

  • Nome da VNet: VNet1
  • Espaço de endereço: 10.1.0.0/16
    Para este exemplo, utilizamos apenas um espaço de endereços. Pode ter mais do que um espaço de endereços para a sua VNet.
  • Nome da sub-rede: FrontEnd
  • Intervalo de endereços da sub-rede: 10.1.0.0/24
  • Subscrição: se tiver várias subscrições, verifique se tem a correta.
  • Grupo de Recursos: TestRG1
  • Localização: E.U.A. Leste
  • Sub-rede Gateway: 10.1.255.0/27
  • Referência: VpnGw2
  • Geração: Geração 2
  • Tipo de gateway: VPN
  • Tipo de VPN: baseado na rota
  • Nome do endereço IP público: VNet1GWpip
  • Tipo de ligação: Ponto a site
  • Conjunto de endereços do cliente: 172.16.201.0/24
    Os clientes VPN que se conectam à rede virtual usando essa conexão ponto a site recebem um endereço IP do pool de endereços do cliente.

Criar uma rede virtual

Antes de começar, verifique se tem uma subscrição do Azure. Se ainda não tiver uma subscrição do Azure, pode ativar os Benefícios de subscritor do MSDN ou inscrever-se numa conta gratuita.

Nota

Ao usar uma rede virtual como parte de uma arquitetura entre locais, certifique-se de coordenar com o administrador de rede local para criar um intervalo de endereços IP que possa ser usado especificamente para essa rede virtual. Se existir um intervalo de endereços duplicado em ambos os lados da conexão VPN, o tráfego será encaminhado de forma inesperada. Além disso, se você quiser conectar essa rede virtual a outra rede virtual, o espaço de endereço não pode se sobrepor à outra rede virtual. Planeje sua configuração de rede de acordo.

  1. Inicie sessão no portal do Azure.

  2. Em Pesquisar recursos, serviço e documentos (G+/) na parte superior da página do portal, insira rede virtual. Selecione Rede virtual nos resultados da pesquisa do Marketplace para abrir a página Rede virtual.

  3. Na página Rede virtual, selecione Criar para abrir a página Criar rede virtual.

  4. Na guia Noções básicas, defina as configurações de rede virtual para detalhes do projeto e detalhes da instância. Você verá uma marca de seleção verde quando os valores inseridos forem validados. Você pode ajustar os valores mostrados no exemplo de acordo com as configurações necessárias.

    Screenshot that shows the Basics tab.

    • Subscrição: Verifique se a subscrição listada é a correta. Você pode alterar as assinaturas usando a caixa suspensa.
    • Grupo de recursos: selecione um grupo de recursos existente ou selecione Criar novo para criar um novo . Para mais informações sobre grupos de recursos, veja Descrição Geral do Azure Resource Manager.
    • Nome: Introduza o nome da rede virtual.
    • Região: Selecione o local para sua rede virtual. O local determina onde os recursos que você implanta nessa rede virtual irão viver.

  5. Selecione Avançar ou Segurança para ir para a guia Segurança. Para este exercício, deixe os valores padrão para todos os serviços nesta página.

  6. Selecione Endereços IP para ir para a guia Endereços IP. Na guia Endereços IP, defina as configurações.

    • Espaço de endereçamento IPv4: Por padrão, um espaço de endereço é criado automaticamente. Você pode selecionar o espaço de endereço e ajustá-lo para refletir seus próprios valores. Você também pode adicionar um espaço de endereço diferente e remover o padrão que foi criado automaticamente. Por exemplo, você pode especificar o endereço inicial como 10.1.0.0 e especificar o tamanho do espaço de endereço como /16. Em seguida, selecione Adicionar para adicionar esse espaço de endereço.

    • + Adicionar sub-rede: Se você usar o espaço de endereço padrão, uma sub-rede padrão será criada automaticamente. Se você alterar o espaço de endereço, adicione uma nova sub-rede dentro desse espaço de endereço. Selecione + Adicionar sub-rede para abrir a janela Adicionar sub-rede. Configure as seguintes configurações e selecione Adicionar na parte inferior da página para adicionar os valores.

      • Nome da sub-rede: Um exemplo é FrontEnd.
      • Intervalo de endereços da sub-rede: o intervalo de endereços desta sub-rede. Exemplos são 10.1.0.0 e /24.

  7. Reveja a página Endereços IP e remova quaisquer espaços de endereço ou sub-redes de que não necessita.

  8. Selecione Rever + criar para validar as definições de rede virtual.

  9. Depois que as configurações forem validadas, selecione Criar para criar a rede virtual.

Gateway de rede virtual

Neste passo, vai criar o gateway de rede virtual da VNet. Criar um gateway, muitas vezes, pode demorar 45 minutos ou mais, dependendo do SKU de gateway selecionado.

Nota

O Basic gateway SKU não suporta o tipo de túnel OpenVPN.

O gateway de rede virtual requer uma sub-rede específica chamada GatewaySubnet. A sub-rede do gateway faz parte do intervalo de endereços IP da sua rede virtual e contém os endereços IP que os recursos e serviços do gateway de rede virtual usam.

Quando cria a sub-rede do gateway, especifica o número de endereços IP que a sub-rede contém. O número de endereços IP necessários depende da configuração do gateway VPN que pretende criar. Algumas configurações requerem mais endereços IP do que outras. É melhor especificar /27 ou maior (/26, /25, etc.) para sua sub-rede de gateway.

Se vir um erro que especifique que o espaço de endereço se sobrepõe a uma sub-rede ou que a sub-rede não está contida no espaço de endereço da sua rede virtual, verifique o intervalo de endereços da rede virtual. Poderá não ter endereços IP suficientes disponíveis no intervalo de endereços que criou para a sua rede virtual. Por exemplo, se a sua sub-rede padrão englobar todo o intervalo de endereços, não há endereços IP restantes para criar mais sub-redes. Você pode ajustar suas sub-redes dentro do espaço de endereço existente para liberar endereços IP ou especificar outro intervalo de endereços e criar a sub-rede do gateway lá.

  1. Em Pesquisar recursos, serviços e documentos (G+/), insira gateway de rede virtual. Localize Gateway de rede virtual nos resultados de pesquisa do Marketplace e selecione-o para abrir a página Criar gateway de rede virtual.

    Screenshot that shows the Search field.

  2. Na guia Noções básicas, preencha os valores para Detalhes do projeto e Detalhes da instância.

    Screenshot that shows the Instance fields.

    • Assinatura: selecione a assinatura que deseja usar na lista suspensa.

    • Grupo de recursos: essa configuração é preenchida automaticamente quando você seleciona sua rede virtual nesta página.

    • Nome: dê um nome ao gateway. Nomear seu gateway não é o mesmo que nomear uma sub-rede de gateway. É o nome do objeto de gateway que você está criando.

    • Região: selecione a região na qual você deseja criar este recurso. A região do gateway deve ser a mesma da rede virtual.

    • Tipo de gateway: selecione VPN. Os gateways de VPN utilizam o tipo de gateway de rede virtual VPN.

    • SKU: Na lista suspensa, selecione o SKU de gateway que suporta os recursos que você deseja usar. Consulte SKUs de gateway. No portal, as SKUs disponíveis na lista suspensa dependem da VPN type sua seleção. A SKU Básica só pode ser configurada usando a CLI do Azure ou o PowerShell. Não é possível configurar a SKU Básica no portal do Azure.

    • Geração: Selecione a geração que deseja usar. Recomendamos o uso de um SKU Generation2. Para obter mais informações, veja SKUs de gateway.

    • Rede virtual: na lista suspensa, selecione a rede virtual à qual você deseja adicionar esse gateway. Se não conseguir ver a rede virtual para a qual pretende criar um gateway, certifique-se de que selecionou a subscrição e a região corretas nas definições anteriores.

    • Intervalo de endereços de sub-rede do gateway ou Sub-rede: A sub-rede do gateway é necessária para criar um gateway VPN.

      No momento, esse campo tem alguns comportamentos diferentes, dependendo do espaço de endereço da rede virtual e se você já criou uma sub-rede chamada GatewaySubnet para sua rede virtual.

      Se você não tiver uma sub-rede de gateway e não vir a opção de criar uma nesta página, volte para sua rede virtual e crie a sub-rede de gateway. Em seguida, retorne a esta página e configure o gateway de VPN.

  1. Especifique os valores para Endereço IP público. Essas configurações especificam o objeto de endereço IP público que fica associado ao gateway de VPN. O endereço IP público é atribuído a este objeto quando o gateway VPN é criado. A única vez que o endereço IP público primário é alterado é quando o gateway é excluído e recriado. Não é alterado ao redimensionar, repor ou ao realizar qualquer outra manutenção/atualização interna do gateway de VPN.

    Screenshot that shows the Public IP address field.

    • Tipo de endereço IP público: para este exercício, se você tiver a opção de escolher o tipo de endereço, selecione Padrão.
    • Endereço IP público: Deixe Criar novo selecionado.
    • Nome do endereço IP público: na caixa de texto, insira um nome para sua instância de endereço IP público.
    • SKU de endereço IP público: a configuração é selecionada automaticamente.
    • Atribuição: A atribuição é normalmente selecionada automaticamente e pode ser Dinâmica ou Estática.
    • Ativar modo ativo-ativo: Selecione Desativado. Habilite essa configuração somente se estiver criando uma configuração de gateway ativo-ativo.
    • Configurar BGP: Selecione Desativado, a menos que sua configuração exija especificamente essa configuração. Se você precisar dessa configuração, o ASN padrão será 65515, embora esse valor possa ser alterado.

  2. Selecione Rever + criar para executar a validação.

  3. Depois que a validação for aprovada, selecione Criar para implantar o gateway de VPN.

Você pode ver o status da implantação na página Visão geral do seu gateway. Muitas vezes, um gateway pode levar 45 minutos ou mais para ser totalmente criado e implantado. Uma vez criado o gateway, pode visualizar o endereço IP que lhe foi atribuído vendo a rede virtual no portal. O gateway aparece como um dispositivo ligado.

Importante

Ao trabalhar com sub-redes de gateway, evite associar um NSG (grupo de segurança de rede) à sub-rede do gateway. Associar um grupo de segurança de rede a essa sub-rede pode fazer com que seu gateway de rede virtual (gateways VPN e ExpressRoute) pare de funcionar conforme o esperado. Para obter mais informações sobre grupos de segurança de rede, consulte O que é um grupo de segurança de rede?.

Conjunto de endereços de cliente

O conjunto de endereços de cliente é um conjunto de endereços IP privados que especificar. Os clientes que se conectam através de uma VPN ponto a site recebem dinamicamente um endereço IP desse intervalo. Utilize um intervalo de endereços IP privados que não se sobreponha à localização no local a partir da qual se ligou ou à VNet à qual se quer ligar. Se você configurar vários protocolos e o SSTP for um dos protocolos, o pool de endereços configurado será dividido entre os protocolos configurados igualmente.

  1. Assim que o gateway da rede virtual for criado, navegue até à secção Definições da página do gateway de rede virtual. Em Configurações, selecione Configuração ponto a site. Selecione Configurar agora para abrir a página de configuração.

    Screenshot of point-to-site configuration page.

  2. Na página Configuração ponto a site , você pode definir uma variedade de configurações. Na caixa Pool de endereços , adicione o intervalo de endereços IP privados que você deseja usar. Os clientes VPN recebem dinamicamente um endereço IP do intervalo que especificou. A máscara de sub-rede mínima é de 29 bits para configuração ativa/passiva e 28 bits para configuração ativa/ativa.

    Screenshot of client address pool.

  3. Continue para a próxima seção para configurar a autenticação e os tipos de túnel.

Tipos de autenticação e túnel

Nesta seção, você configura o tipo de autenticação e o tipo de túnel. Na página Configuração ponto a site, se você não vir Tipo de túnel ou Tipo de autenticação, seu gateway está usando a SKU básica. A SKU Básica não suporta a autenticação IKEv2 ou RADIUS. Se você quiser usar essas configurações, precisará excluir e recriar o gateway usando uma SKU de gateway diferente.

Importante

O portal do Azure está no processo de atualização dos campos do Azure Ative Directory para o Entra. Se vir o Microsoft Entra ID referenciado e ainda não vir esses valores no portal, pode selecionar os valores do Azure Ative Directory.

Screenshot of authentication types and tunnel type.

Tipo de túnel

Na página Configuração ponto a site , selecione os tipos desejados. As opções são:

  • OpenVPN (SSL)
  • SSTP (SSL)
  • IKEv2
  • IKEv2 e OpenVPN (SSL)
  • IKEv2 e SSTP (SSL)

Authentication type

Em Tipo de autenticação, selecione os tipos desejados. As opções são:

  • Certificado do Azure
  • RADIUS
  • Microsoft Entra ID

Consulte a tabela abaixo para verificar quais mecanismos de autenticação são compatíveis com os tipos de túnel selecionados.

Tipo de túnel Mecanismo de autenticação
OpenVPN Qualquer subconjunto do Microsoft Entra ID, Radius Auth e Azure Certificate
SSTP Radius Auth/ Certificado do Azure
IKEv2 Radius Auth/ Certificado do Azure
IKEv2 e OpenVPN Radius Auth/ Certificado do Azure/ ID do Microsoft Entra e Radius Auth/ ID do Microsoft Entra e Certificado do Azure
IKEv2 e SSTP Radius Auth/ Certificado do Azure

Nota

Para o tipo de túnel "IKEv2 e OpenVPN" e mecanismos de autenticação selecionados "Microsoft Entra ID and Radius" ou "Microsoft Entra ID e Certificado do Azure", o Microsoft Entra ID só funcionará para OpenVPN, uma vez que não é suportado pelo IKEv2

Dependendo do(s) tipo(s) de autenticação selecionado(s), você verá diferentes campos de definição de configuração que terão de ser preenchidos. Preencha as informações necessárias e selecione Salvar na parte superior da página para salvar todas as definições de configuração.

Para obter mais informações sobre o tipo de autenticação, consulte:

Pacote de configuração do cliente VPN

Os clientes VPN devem ser configurados com as definições de configuração do cliente. O pacote de configuração do cliente VPN contém arquivos com as configurações para configurar clientes VPN para se conectar a uma VNet através de uma conexão P2S.

Para obter instruções sobre como gerar e instalar arquivos de configuração do cliente VPN, use o artigo referente à sua configuração:

Autenticação Tipo de túnel Gerar arquivos de configuração Configurar cliente VPN
Certificado do Azure IKEv2, SSTP Windows Cliente VPN nativo
Certificado do Azure OpenVPN Windows - Cliente OpenVPN
- Cliente VPN do Azure
Certificado do Azure IKEv2, OpenVPN macOS-iOS macOS-iOS
Certificado do Azure IKEv2, OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS - certificado - Artigo Artigo
RADIUS - palavra-passe - Artigo Artigo
RADIUS - outros métodos - Artigo Artigo

FAQ Ponto a Site

Para obter informações de perguntas frequentes ponto a site, consulte as seções ponto a site das Perguntas frequentes do Gateway de VPN.

Próximos passos

Assim que a ligação estiver concluída, pode adicionar máquinas virtuais às redes virtuais. Para obter mais informações, veja Máquinas Virtuais. Para compreender melhor o funcionamento em rede e as máquinas virtuais, veja Descrição geral da rede VM do Azure e Linux.

Para obter informações de resolução de problemas P2S, consulte Resolução de problemas de ligações ponto a site do Azure.