Configurar um cliente VPN para ponto a site: RADIUS - autenticação de senha

Para se conectar a uma rede virtual através de P2S (ponto a site), você precisa configurar o dispositivo cliente do qual você se conectará. Você pode criar conexões VPN P2S a partir de dispositivos clientes Windows, macOS e Linux. Este artigo ajuda você a criar e instalar a configuração do cliente VPN para autenticação RADIUS de nome de usuário/senha.

Quando você estiver usando a autenticação RADIUS, há várias instruções de autenticação: autenticação de certificado, autenticação de senha e outros métodos e protocolos de autenticação. A configuração do cliente VPN é diferente para cada tipo de autenticação. Para configurar um cliente VPN, use arquivos de configuração do cliente que contenham as configurações necessárias.

Nota

A partir de 1 de julho de 2018, o suporte será removido para o TLS 1.0 e 1.1 do Gateway de VPN do Azure. O Gateway de VPN irá suportar apenas o TLS 1.2. Apenas as conexões ponto-a-site são afetadas; As conexões site a site não serão afetadas. Se você estiver usando TLS para VPNs ponto a site em clientes Windows 10 ou posteriores, não precisará tomar nenhuma ação. Se você estiver usando TLS para conexões ponto a site em clientes Windows 7 e Windows 8, consulte as Perguntas frequentes sobre o Gateway VPN para obter instruções de atualização.

Fluxo de trabalho

O fluxo de trabalho de configuração para autenticação P2S RADIUS é o seguinte:

1. Configure o gateway de VPN do Azure para conectividade P2S.
2. Configure o servidor RADIUS para autenticação.
3. Obtenha a configuração do cliente VPN para a opção de autenticação de sua escolha e use-a para configurar o cliente VPN (este artigo).
4. Conclua a configuração do P2S e conecte-se.

Importante

Se houver alterações na configuração de VPN ponto a site depois de gerar o perfil de configuração do cliente VPN, como o tipo de protocolo VPN ou o tipo de autenticação, você deverá gerar e instalar uma nova configuração de cliente VPN nos dispositivos dos usuários.

Você pode configurar a autenticação de nome de usuário/senha para usar o Ative Directory ou não usar o Ative Directory. Em qualquer um dos cenários, certifique-se de que todos os usuários conectados tenham credenciais de nome de usuário/senha que possam ser autenticadas por meio do RADIUS.

Ao configurar a autenticação de nome de usuário/senha, você só pode criar uma configuração para o protocolo de autenticação de nome de usuário/senha EAP-MSCHAPv2. Nos comandos, -AuthenticationMethod é EapMSChapv2.

Gerar arquivos de configuração do cliente VPN

Você pode gerar os arquivos de configuração do cliente VPN usando o portal do Azure ou o Azure PowerShell.

Portal do Azure

1. Navegue até o gateway de rede virtual.
2. Clique em Configuração ponto a site.
3. Clique em Baixar cliente VPN.
4. Selecione o cliente e preencha todas as informações solicitadas.
5. Clique em Download para gerar o arquivo .zip.
6. O arquivo .zip será baixado, normalmente para sua pasta Downloads.

Azure PowerShell

Gere arquivos de configuração do cliente VPN para uso com autenticação de nome de usuário/senha. Você pode gerar os arquivos de configuração do cliente VPN usando o seguinte comando:

New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapMSChapv2"

A execução do comando retorna um link. Copie e cole o link para um navegador da Web para fazer o download VpnClientConfiguration.zip. Descompacte o arquivo para exibir as seguintes pastas:

• WindowsAmd64 e WindowsX86: Essas pastas contêm os pacotes do instalador do Windows de 64 bits e 32 bits, respectivamente.
• Genérico: Esta pasta contém informações gerais que você usa para criar sua própria configuração de cliente VPN. Você não precisa dessa pasta para configurações de autenticação de nome de usuário/senha.
• Mac: Se configurou o IKEv2 quando criou o gateway de rede virtual, verá uma pasta chamada Mac que contém um ficheiro mobileconfig . Use esse arquivo para configurar clientes Mac.

Se você já criou arquivos de configuração do cliente, poderá recuperá-los usando o Get-AzVpnClientConfiguration cmdlet. Mas se você fizer alguma alteração na configuração da VPN P2S, como o tipo de protocolo VPN ou o tipo de autenticação, a configuração não será atualizada automaticamente. Você deve executar o New-AzVpnClientConfiguration cmdlet para criar um novo download de configuração.

Para recuperar arquivos de configuração do cliente gerados anteriormente, use o seguinte comando:

Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW"

Cliente VPN do Windows

Você pode usar o mesmo pacote de configuração do cliente VPN em cada computador cliente Windows, desde que a versão corresponda à arquitetura do cliente. Para obter a lista de sistemas operativos cliente suportados, consulte as Perguntas frequentes.

Use as seguintes etapas para configurar o cliente VPN nativo do Windows para autenticação de certificado:

1. Selecione os ficheiros de configuração do cliente VPN que correspondem à arquitetura do computador Windows. Para uma arquitetura de processador de 64 bits, escolha o pacote do instalador VpnClientSetupAmd64 . Para uma arquitetura de processador de 32 bits, escolha o pacote do instalador VpnClientSetupX86 .

2. Para instalar o pacote, clique duas vezes nele. Se vir um pop-up SmartScreen, selecione Mais informações>Executar mesmo assim.

3. No computador cliente, navegue até Configurações de Rede e selecione VPN. A ligação VPN mostra o nome da rede virtual à qual se liga.

Cliente VPN Mac (macOS)

1. Selecione o arquivo mobileconfig VpnClientSetup e envie-o para cada um dos usuários. Você pode usar o e-mail ou outro método.

2. Localize o arquivo mobileconfig no Mac.

   

3. Etapa opcional - Se você quiser especificar um DNS personalizado, adicione as seguintes linhas ao arquivo mobileconfig :

    <key>DNS</key>
    <dict>
      <key>ServerAddresses</key>
        <array>
            <string>10.0.0.132</string>
        </array>
      <key>SupplementalMatchDomains</key>
        <array>
            <string>TestDomain.com</string>
        </array>
    </dict> 
   

4. Clique duas vezes no perfil para instalá-lo e selecione Continuar. O nome do perfil é o mesmo que o nome da sua rede virtual.

   

5. Selecione Continuar para confiar no remetente do perfil e prosseguir com a instalação.

   

6. Durante a instalação do perfil, você pode especificar o nome de usuário e a senha para autenticação VPN. Não é obrigatório inserir essas informações. Se o fizer, as informações são guardadas e utilizadas automaticamente quando inicia uma ligação. Selecione Instalar para continuar.

   

7. Introduza um nome de utilizador e palavra-passe para os privilégios necessários para instalar o perfil no seu computador. Selecione OK.

   

8. Depois que o perfil é instalado, ele fica visível na caixa de diálogo Perfis . Também pode abrir esta caixa de diálogo mais tarde a partir das Preferências do Sistema.

   

9. Para acessar a conexão VPN, abra a caixa de diálogo Rede nas Preferências do Sistema.

   

10. A conexão VPN aparece como IkeV2-VPN. Você pode alterar o nome atualizando o arquivo mobileconfig .

    

11. Selecione Configurações de autenticação. Selecione Nome de usuário na lista e insira suas credenciais. Se você inseriu as credenciais anteriormente, o nome de usuário é escolhido automaticamente na lista e o nome de usuário e a senha são pré-preenchidos. Selecione OK para salvar as configurações.

    

12. De volta à caixa de diálogo Rede , selecione Aplicar para salvar as alterações. Para iniciar a conexão, selecione Conectar.

Cliente VPN Linux - strongSwan

As seguintes instruções foram criadas através do strongSwan 5.5.1 no Ubuntu 17.0.4. As telas reais podem ser diferentes, dependendo da sua versão do Linux e strongSwan.

1. Abra o Terminal para instalar strongSwan e seu Network Manager executando o comando no exemplo. Se você receber um erro relacionado ao libcharon-extra-plugins, substitua-o por strongswan-plugin-eap-mschapv2.

   sudo apt-get install strongswan libcharon-extra-plugins moreutils iptables-persistent network-manager-strongswan
   

2. Selecione o ícone Network Manager (seta para cima/seta para baixo) e selecione Editar conexões.

   

3. Selecione o botão Adicionar para criar uma nova conexão.

   

4. Selecione IPsec/IKEv2 (strongswan) no menu suspenso e selecione Criar. Você pode renomear sua conexão nesta etapa.

   

5. Abra o arquivo VpnSettings.xml da pasta Generic dos arquivos de configuração do cliente baixados. Encontre a tag chamada VpnServer e copie o nome, começando com azuregateway e terminando com .cloudapp.net.

   

6. Cole esse nome no campo Endereço da sua nova conexão VPN na seção Gateway . Em seguida, selecione o ícone de pasta no final do campo Certificado , navegue até a pasta Genérico e selecione o arquivo VpnServerRoot .

7. Na seção Cliente da conexão, selecione EAP para Autenticação e digite seu nome de usuário e senha. Talvez seja necessário selecionar o ícone de cadeado à direita para salvar essas informações. Em seguida, selecione Guardar.

   

8. Selecione o ícone do Network Manager (seta para cima/seta para baixo) e passe o mouse sobre Conexões VPN. Você vê a conexão VPN que criou. Para iniciar a conexão, selecione-a.

   

Etapas adicionais para a máquina virtual do Azure

Caso você esteja executando o procedimento em uma máquina virtual do Azure executando Linux, há etapas adicionais a serem executadas.

1. Edite o arquivo /etc/netplan/50-cloud-init.yaml para incluir o seguinte parâmetro para a interface

   renderer: NetworkManager
   

2. Depois de editar o arquivo, execute os dois comandos a seguir para carregar a nova configuração

   sudo netplan generate
   

   sudo netplan apply
   

3. Parar/Iniciar ou Reimplantar a máquina virtual.

Próximos passos

Volte ao artigo para concluir a configuração do P2S.

Para obter informações sobre solução de problemas do P2S, consulte Solução de problemas de conexões ponto a site do Azure.