Acerca da VPN Ponto a Site

Uma ligação de gateway de VPN Ponto a Site (P2S) permite-lhe criar uma ligação segura à sua rede virtual a partir de um computador cliente individual. É estabelecida uma ligação P2S ao iniciá-la a partir do computador cliente. Esta solução é útil para as pessoas que trabalham à distância que queiram ligar às VNets do Azure a partir de uma localização remota, como, por exemplo, a partir de casa ou de uma conferência. Uma VPN P2S também é uma solução útil para utilizar em vez de uma VPN S2S, quando são poucos os clientes que precisam de ligar a uma VNet. Este artigo aplica-se à modelo de implantação Resource Manager.

What protocol does P2S use? (Que protocolo utiliza a P2S?)

A VPN ponto-a-local pode utilizar um dos seguintes protocolos:

  • Protocolo OpenVPN®, um protocolo VPN baseado em SSL/TLS. Uma solução TLS VPN pode penetrar firewalls, uma vez que a maioria das firewalls abrem a porta TCP 443, que o TLS utiliza. O OpenVPN pode ser utilizado para ligar a partir de dispositivos Android, iOS (versões 11.0 e superior), Dispositivos Windows, Linux e Mac (versões macOS 10.13 ou superior).

  • Secure Socket Tunneling Protocol (SSTP), um protocolo VPN baseado em TLS. Uma solução TLS VPN pode penetrar firewalls, uma vez que a maioria das firewalls abrem a porta TCP 443, que o TLS utiliza. O SSTP só é suportado em dispositivos Windows. O Azure suporta todas as versões do Windows que tenham SSTP e suportem TLS 1.2 (Windows 8.1 e posterior).

  • IKEv2 VPN, uma solução IPsec VPN baseada em padrões. O IKEv2 VPN pode ser utilizado para se ligar a partir de dispositivos Mac (versões macOS 10.11 ou superiores).

Nota

IKEv2 e OpenVPN para P2S estão disponíveis apenas para a Resource Manager modelo. Não estão disponíveis para a implantação clássica modelo.

Como são autenticados os clientes P2S VPN?

Antes de a Azure aceitar uma ligação P2S VPN, o utilizador tem de ser autenticado primeiro. Existem dois mecanismos que a Azure oferece para autenticar um utilizador de ligação.

Autenticação utilizando autenticação de certificado Azure nativo

Ao utilizar a autenticação do certificado Azure nativo, é utilizado um certificado de cliente presente no dispositivo para autenticar o utilizador de ligação. Os certificados de cliente são gerados a partir de um certificado de raiz fidedigno e depois instalados em cada computador cliente. Pode utilizar um certificado de raiz que foi gerado usando uma solução Enterprise, ou pode gerar um certificado auto-assinado.

A validação do certificado de cliente é realizada pelo gateway VPN e acontece durante o estabelecimento da ligação P2S VPN. O certificado de raiz é necessário para a validação e deve ser enviado para Azure.

Autenticar utilizando a autenticação nativa do Azure Ative Directory

Azure AD a autenticação permite que os utilizadores se conectem ao Azure utilizando as suas credenciais de Diretório Azure Ative. A autenticação nativa Azure AD só é suportada para o protocolo OpenVPN e Windows 10 e posteriormente e também requer a utilização do Azure VPN Client.

Com a autenticação nativa Azure AD, pode aproveitar o acesso condicional de Azure AD, bem como as funcionalidades de Autenticação Multi-Factor (MFA) para VPN.

A um nível elevado, é necessário executar os seguintes passos para configurar Azure AD autenticação:

  1. Configurar um inquilino do Azure AD

  2. Ativar Azure AD autenticação no gateway

  3. Descarregue a versão mais recente do Azure VPN Client instalar ficheiros utilizando um dos seguintes links:

Autenticar usando o Servidor de Domínio ativo (AD)

A autenticação do Domínio AD permite que os utilizadores se conectem ao Azure utilizando as suas credenciais de domínio da organização. Requer um servidor RADIUS que se integre com o servidor AD. As organizações também podem aproveitar a implantação do RADIUS existente.

O servidor RADIUS pode ser implantado no local ou no seu Azure VNet. Durante a autenticação, o Azure Gateway de VPN atua como uma passagem e encaminha mensagens de autenticação para trás e para a frente entre o servidor RADIUS e o dispositivo de ligação. Assim, a capacidade de acesso do Gateway ao servidor RADIUS é importante. Se o servidor RADIUS estiver presente no local, então é necessária uma ligação VPN S2S de Azure para o local no local para alcançar.

O servidor RADIUS também pode integrar-se com os serviços de certificados AD. Isto permite-lhe utilizar o servidor RADIUS e a implementação do certificado empresarial para a autenticação de certificadoS P2S como alternativa à autenticação do certificado Azure. A vantagem é que não precisa de carregar certificados de raiz e certificados revogados para a Azure.

Um servidor RADIUS também pode integrar-se com outros sistemas de identidade externos. Isto abre muitas opções de autenticação para P2S VPN, incluindo opções multi-factor.

Diagrama que mostra uma VPN ponto a local com um local no local.

What are the client configuration requirements? (Quais são os requisitos de configuração do cliente?)

Nota

Para os clientes Windows, deve ter direitos de administrador no dispositivo cliente para iniciar a ligação VPN do dispositivo cliente para a Azure.

Os utilizadores utilizam os clientes VPN nativos em dispositivos Windows e Mac para P2S. O Azure fornece um ficheiro zip de configuração de cliente VPN que contém configurações necessárias por estes clientes nativos para se conectarem ao Azure.

  • Para dispositivos Windows, a configuração do cliente VPN consiste num pacote instalador que os utilizadores instalam nos seus dispositivos.
  • No caso dos dispositivos Mac, é constituído pelo ficheiro mobileconfig que os utilizadores instalam nos seus dispositivos.

O ficheiro zip também fornece os valores de algumas das configurações importantes do lado Azure que pode usar para criar o seu próprio perfil para estes dispositivos. Alguns dos valores incluem o endereço de gateway VPN, tipos de túneis configurados, rotas e o certificado de raiz para validação de gateway.

Nota

A partir de 1 de julho de 2018, o suporte será removido para o TLS 1.0 e 1.1 do Gateway de VPN do Azure. O Gateway de VPN irá suportar apenas o TLS 1.2. Apenas as ligações ponto a local são impactadas; as ligações site-to-site não serão afetadas. Se estiver a utilizar tLS para VPNs ponto-a-local em Windows 10 ou clientes posteriores, não precisa de tomar nenhuma ação. Se estiver a utilizar o TLS para ligações ponto-a-local no Windows 7 e Windows 8 clientes, consulte as FAQ Gateway de VPN para obter instruções de atualização.

Que SKU de gateway suporta a VPN P2S?

VPN
Gateway
Geração
SKU S2S/VNet-to-VNet
Túneis
P2S
Conexões SSTP
P2S
Ligações IKEv2/OpenVPN
Agregado
Referência de produção
BGP Zona redundante
Geração1 Básica Um máximo de 10 Um máximo de 128 Não suportado 100 Mbps Não suportado Não
Geração1 VpnGw1 Um máximo de 30 Um máximo de 128 Um máximo de 250 650 Mbps Suportado Não
Geração1 VpnGw2 Um máximo de 30 Um máximo de 128 Um máximo de 500 1 Gbps Suportado Não
Geração1 VpnGw3 Um máximo de 30 Um máximo de 128 Um máximo de 1000 1,25 Gbps Suportado Não
Geração1 VpnGw1AZ Um máximo de 30 Um máximo de 128 Um máximo de 250 650 Mbps Suportado Yes
Geração1 VPNGw2AZ Um máximo de 30 Um máximo de 128 Um máximo de 500 1 Gbps Suportado Yes
Geração1 VpnGw3AZ Um máximo de 30 Um máximo de 128 Um máximo de 1000 1,25 Gbps Suportado Yes
Geração2 VpnGw2 Um máximo de 30 Um máximo de 128 Um máximo de 500 1,25 Gbps Suportado Não
Geração2 VpnGw3 Um máximo de 30 Um máximo de 128 Um máximo de 1000 2,5 Gbps Suportado Não
Geração2 VpnGw4 Um máximo de 100* Um máximo de 128 Um máximo de 5000 5 Gbps Suportado Não
Geração2 VpnGw5 Um máximo de 100* Um máximo de 128 Um máximo de 10000 10 Gbps Suportado Não
Geração2 VPNGw2AZ Um máximo de 30 Um máximo de 128 Um máximo de 500 1,25 Gbps Suportado Yes
Geração2 VpnGw3AZ Um máximo de 30 Um máximo de 128 Um máximo de 1000 2,5 Gbps Suportado Yes
Geração2 VpnGw4AZ Um máximo de 100* Um máximo de 128 Um máximo de 5000 5 Gbps Suportado Yes
Geração2 VpnGw5AZ Um máximo de 100* Um máximo de 128 Um máximo de 10000 10 Gbps Suportado Yes

(*) Utilize WAN Virtual se precisar de mais de 100 túneis VPN S2S.

  • A redimensionamento de SKUs VPNGw é permitida dentro da mesma geração, exceto a redimensionamento do SKU Básico. O SKU Básico é um SKU legado e tem limitações de recursos. Para passar de Basic para outro SKU, você deve eliminar o gateway Basic SKU VPN e criar uma nova porta de entrada com a combinação de tamanhos de Geração e SKU desejado. (ver Trabalhar com SKUs legado).

  • Esses limites de ligação são separados. Por exemplo, pode ter 128 ligações SSTP e também 250 ligações IKEv2 num SKU VpnGw1.

  • As informações sobre os preços estão disponíveis na página Preços.

  • Pode encontrar informações sobre SLA (contrato de nível de serviço) na página do SLA.

  • Se tiver muitas ligações P2S, pode ter um impacto negativo nas suas ligações S2S. Os Índices de Referência de Produção Agregada foram testados maximizando uma combinação de ligações S2S e P2S. Uma única ligação P2S ou S2S pode ter uma produção muito mais baixa.

  • Note que todos os critérios de referência não estão garantidos devido às condições de tráfego da Internet e aos seus comportamentos de aplicação

Para ajudar os nossos clientes a compreender o desempenho relativo dos SKUs utilizando diferentes algoritmos, utilizamos ferramentas iPerf e CTSTraffic publicamente disponíveis para medir desempenhos para ligações site-to-site. A tabela abaixo lista os resultados dos testes de desempenho para SKUs VPNGw. Como pode ver, o melhor desempenho é obtido quando usamos algoritmo GCMAES256 para encriptação e integridade do IPsec. Obtivemos um desempenho médio quando usamos AES256 para encriptação IPsec e SHA256 para Integridade. Quando usamos DES3 para encriptação IPsec e SHA256 para Integridade, obtivemos o menor desempenho.

Um túnel VPN liga-se a uma instância de gateway VPN. Cada produção de instância é mencionada no quadro de produção acima e está disponível agregada em todos os túneis que se ligam a esse caso.

A tabela abaixo mostra a largura de banda observada e os pacotes por segundo de produção por túnel para os diferentes SKUs de gateway. Todos os testes foram realizados entre gateways (pontos finais) em Azure em diferentes regiões com 100 ligações e em condições de carga padrão.

Geração SKU Algoritmos
usado
Débito
observado por túnel
Pacotes por segundo por túnel
observado
Geração1 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
130 Mbps
62,000
47,000
12.000
Geração1 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gbps
650 Mbps
140 Mbps
100.000
61,000
13,000
Geração1 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
700 Mbps
140 Mbps
120,000
66,000
13,000
Geração1 VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
130 Mbps
62,000
47,000
12.000
Geração1 VPNGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gbps
650 Mbps
140 Mbps
110,000
61,000
13,000
Geração1 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
700 Mbps
140 Mbps
120,000
66,000
13,000
Geração2 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
550 Mbps
130 Mbps
120,000
52,000
12.000
Geração2 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gbps
700 Mbps
140 Mbps
140,000
66,000
13,000
Geração2 VpnGw4 GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
Geração2 VpnGw5 GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
Geração2 VPNGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
550 Mbps
130 Mbps
120,000
52,000
12.000
Geração2 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gbps
700 Mbps
140 Mbps
140,000
66,000
13,000
Geração2 VpnGw4AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
Geração2 VpnGw5AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000

Nota

A SKU Básica não suporta a autenticação IKEv2 ou RADIUS.

Que políticas IKE/IPsec estão configuradas em gateways VPN para P2S?

IKEv2

Cifra Integridade PRF Grupo DH
GCM_AES256 GCM_AES256 SHA384 GROUP_24
GCM_AES256 GCM_AES256 SHA384 GROUP_14
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP256
GCM_AES256 GCM_AES256 SHA256 GROUP_24
GCM_AES256 GCM_AES256 SHA256 GROUP_14
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP256
AES256 SHA384 SHA384 GROUP_24
AES256 SHA384 SHA384 GROUP_14
AES256 SHA384 SHA384 GROUP_ECP384
AES256 SHA384 SHA384 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_24
AES256 SHA256 SHA256 GROUP_14
AES256 SHA256 SHA256 GROUP_ECP384
AES256 SHA256 SHA256 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_2

IPsec

Cifra Integridade Grupo PFS
GCM_AES256 GCM_AES256 GROUP_NONE
GCM_AES256 GCM_AES256 GROUP_24
GCM_AES256 GCM_AES256 GROUP_14
GCM_AES256 GCM_AES256 GROUP_ECP384
GCM_AES256 GCM_AES256 GROUP_ECP256
AES256 SHA256 GROUP_NONE
AES256 SHA256 GROUP_24
AES256 SHA256 GROUP_14
AES256 SHA256 GROUP_ECP384
AES256 SHA256 GROUP_ECP256
AES256 SHA1 GROUP_NONE

Que políticas TLS estão configuradas em gateways VPN para P2S?

TLS

Políticas
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256

Como devo proceder para configurar uma ligação P2S?

Uma configuração P2S requer alguns passos específicos. Os seguintes artigos contêm os passos para o acompanhar através da configuração P2S, e liga-se para configurar os dispositivos clientes VPN:

Para remover a configuração de uma ligação P2S

Pode remover a configuração de uma ligação utilizando PowerShell ou CLI. Por exemplo, consulte as FAQ.

Como funciona o encaminhamento P2S?

Consulte os seguintes artigos:

FAQs

Existem várias secções faq para P2S, com base na autenticação.

Passos Seguintes

"OpenVPN" é uma marca registada da OpenVPN Inc.