Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Uma ligação de gateway de VPN ponto a site (P2S) permite criar uma ligação segura para a sua rede virtual a partir de um computador cliente individual. É estabelecida uma ligação P2S ao iniciá-la a partir do computador cliente. Este artigo fala sobre maneiras de superar o limite de conexão simultânea de 128 do SSTP fazendo a transição para o protocolo OpenVPN ou IKEv2.
What protocol does P2S use? (Que protocolo utiliza a P2S?)
VPN ponto a site pode usar um dos seguintes protocolos:
OpenVPN® Protocol, um protocolo VPN baseado em SSL/TLS. Uma solução de VPN SSL pode passar por firewalls, uma vez que a maioria dos firewalls abre a porta TCP 443 de saída, que o SSL usa. O OpenVPN pode ser usado para se conectar a partir de dispositivos Android, iOS (versões 11.0 e superiores), Windows, Linux e Mac (macOS versões 12.x e superiores).
Secure Socket Tunneling Protocol (SSTP), um protocolo VPN proprietário baseado em SSL. Uma solução VPN SSL pode penetrar firewalls, uma vez que a maioria dos firewalls abrem a porta TCP 443 de saída, que o SSL usa. SSTP só é suportado em dispositivos Windows. O Azure suporta todas as versões do Windows que têm SSTP (Windows 7 e posterior). O SSTP suporta até 128 conexões simultâneas somente independentemente da SKU do gateway.
VPN IKEv2, uma solução de VPN IPsec baseada em normas. O IKEv2 VPN pode ser usado para se conectar a partir de dispositivos Mac (macOS versões 10.11 e superiores).
Nota
O Basic gateway SKU não suporta protocolos IKEv2 ou OpenVPN. Se você estiver usando o SKU Básico, terá que excluir e recriar um gateway de rede virtual de SKU de produção.
Migrando de SSTP para IKEv2 ou OpenVPN
Pode haver casos em que você deseja oferecer suporte a mais de 128 conexões P2S simultâneas a um gateway VPN, mas está usando SSTP. Nesse caso, você precisa mudar para o protocolo IKEv2 ou OpenVPN.
Opção 1 - Adicionar IKEv2 além do SSTP no gateway
Esta é a opção mais simples. SSTP e IKEv2 podem coexistir no mesmo gateway e fornecer um número maior de conexões simultâneas. Você pode habilitar o IKEv2 no gateway existente e baixar o pacote de configuração do cliente que contém as configurações atualizadas.
Adicionar o IKEv2 a um gateway VPN SSTP existente não afetará os clientes existentes e você pode configurá-los para usar o IKEv2 em pequenos lotes ou apenas configurar os novos clientes para usar o IKEv2. Se um cliente Windows estiver configurado para SSTP e IKEv2, ele tentará se conectar usando IKEV2 primeiro e, se isso falhar, ele retornará ao SSTP.
O IKEv2 usa portas UDP não padrão, portanto, você precisa garantir que essas portas não sejam bloqueadas no firewall do usuário. As portas em uso são UDP 500 e 4500.
- Para adicionar o IKEv2 a um gateway existente, vá para o gateway de rede virtual no portal.
- No painel esquerdo, selecione Configuração ponto a site.
- Na página Configuração ponto a site, para tipo de túnel, selecione IKEv2 e SSTP (SSL) na caixa suspensa.
- Aplique as alterações.
Nota
Quando você tiver o SSTP e o IKEv2 habilitados no gateway, o pool de endereços ponto a site será dividido estaticamente entre os dois, de modo que os clientes que usam protocolos diferentes receberão endereços IP de qualquer subintervalo. Observe que o número máximo de clientes SSTP é sempre 128. Isso se aplica mesmo se o intervalo de endereços for maior que /24, resultando em uma quantidade maior de endereços disponíveis para clientes IKEv2. Para intervalos mais pequenos, a piscina é igualmente reduzida para metade. Os seletores de tráfego usados pelo gateway podem não incluir o CIDR do intervalo de endereços ponto a site, mas os dois CIDRs de subintervalo.
Opção 2 - Remover SSTP e ativar OpenVPN no gateway
Como SSTP e OpenVPN são ambos protocolos baseados em TLS, eles não podem coexistir no mesmo gateway. Se você decidir se afastar do SSTP para o OpenVPN, você terá que desativar o SSTP e habilitar o OpenVPN no gateway. Essa operação faz com que os clientes existentes percam a conectividade com o gateway VPN até que o novo perfil tenha sido configurado no cliente.
Você pode ativar o OpenVPN junto com o IKEv2, se desejar. O OpenVPN é baseado em TLS e usa a porta TCP 443 padrão.
- Para mudar para OpenVPN, vá para o seu gateway de rede virtual no portal.
- No painel esquerdo, selecione Configuração ponto a site.
- Na página Configuração ponto a site, para tipo de túnel, selecione OpenVPN (SSL) ou IKEv2 e OpenVPN (SSL) na caixa suspensa.
- Aplique as alterações.
Depois que o gateway tiver sido configurado, os clientes existentes não poderão se conectar até que você implante e configure os clientes OpenVPN. Se estiver a utilizar o Windows 10 ou posterior, também pode utilizar o Cliente VPN do Azure.
Perguntas mais frequentes
What are the client configuration requirements? (Quais são os requisitos de configuração do cliente?)
Nota
Nos clientes Windows, deve ter direitos de administrador no dispositivo cliente para iniciar a ligação VPN do dispositivo cliente para o Azure.
Os usuários usam os clientes VPN nativos em dispositivos Windows e Mac para P2S. O Azure fornece um arquivo zip de configuração do cliente VPN que contém as configurações exigidas por esses clientes nativos para se conectar ao Azure.
- Para dispositivos Windows, a configuração do cliente VPN consiste em um pacote de instalação que os usuários instalam em seus dispositivos.
- Para dispositivos Mac, consiste no arquivo mobileconfig que os usuários instalam em seus dispositivos.
O arquivo zip também fornece os valores de algumas das configurações importantes no lado do Azure que você pode usar para criar seu próprio perfil para esses dispositivos. Alguns dos valores incluem o endereço do gateway VPN, tipos de túnel configurados, rotas e o certificado raiz para validação de gateway.
Nota
A partir de 1 de julho de 2018, o suporte será removido para o TLS 1.0 e 1.1 do Gateway de VPN do Azure. O Gateway de VPN irá suportar apenas o TLS 1.2. Apenas as conexões ponto-a-site são afetadas; As conexões site a site não serão afetadas. Se você estiver usando TLS para VPNs ponto a site em clientes Windows 10 ou posteriores, não precisará tomar nenhuma ação. Se você estiver usando TLS para conexões ponto a site em clientes Windows 7 e Windows 8, consulte as Perguntas frequentes sobre o Gateway VPN para obter instruções de atualização.
Que SKU de gateway suporta a VPN P2S?
A tabela a seguir mostra SKUs de gateway por túnel, conexão e taxa de transferência. Para obter tabelas adicionais e mais informações sobre essa tabela, consulte a seção SKUs de gateway do artigo Configurações do gateway VPN.
|
VPN Gateway Geração |
SKU |
S2S/VNet-to-VNet Túneis |
P2S Conexões SSTP |
P2S Conexões IKEv2/OpenVPN |
Agregado Benchmark de taxa de transferência |
BGP | Zona redundante | Número suportado de VMs na rede virtual |
|---|---|---|---|---|---|---|---|---|
| Geração1 | Básica | Máx. 10 | Máx. 128 | Não suportado | 100 Mbps | Não suportado | Não | 200 |
| Geração1 | VpnGw1 | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Suportado | Não | 450 |
| Geração1 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Suportado | Não | 1300 |
| Geração1 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Suportado | Não | 4000 |
| Geração1 | VpnGw1AZ | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Suportado | Sim | 1000 |
| Geração1 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Suportado | Sim | 2000 |
| Geração1 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Suportado | Sim | 5000 |
| Geração2 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Suportado | Não | 685 |
| Geração2 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Suportado | Não | 2240 |
| Geração2 | VpnGw4 | Máx. 100* | Máx. 128 | Máx. 5000 | 5 Gbps | Suportado | Não | 5300 |
| Geração2 | VpnGw5 | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Suportado | Não | 6700 |
| Geração2 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Suportado | Sim | 2000 |
| Geração2 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Suportado | Sim | 3300 |
| Geração2 | VpnGw4AZ | Máx. 100* | Máx. 128 | Máx. 5000 | 5 Gbps | Suportado | Sim | 4400 |
| Geração2 | VpnGw5AZ | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Suportado | Sim | 9000 |
Nota
O Basic SKU tem limitações e não suporta autenticação IKEv2 ou RADIUS.
Quais políticas IKE/IPsec são configuradas em gateways VPN para P2S?
IKEv2
| Cifra | Integridade | PRF | Grupo DH |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| Cifra | Integridade | Grupo PFS |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
Quais políticas TLS são configuradas em gateways VPN para P2S?
TLS
| Políticas |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| **TLS_AES_256_GCM_SHA384 |
| **TLS_AES_128_GCM_SHA256 |
**Apenas suportado em TLS1.3 com OpenVPN
Como faço para configurar uma conexão P2S?
Uma configuração P2S requer algumas etapas específicas. Os artigos a seguir contêm as etapas para orientá-lo pela configuração P2S e links para configurar os dispositivos cliente VPN:
Próximos passos
"OpenVPN" é uma marca comercial da OpenVPN Inc.