Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Uma conexão de gateway de VPN Ponto a Site (P2S) permite que você crie uma conexão segura para sua rede virtual a partir de um computador cliente individual. Uma conexão P2S é estabelecida iniciando-a do computador cliente. Essa solução é útil para os telecommuters que desejam se conectar a Azure redes virtuais de um local remoto, como de casa ou de uma conferência. A VPN P2S também é uma solução útil para usar em vez da VPN site a site (S2S) quando você tem apenas alguns clientes que precisam se conectar a uma rede virtual. As configurações ponto a site exigem um tipo de VPN baseado em rota.
Qual protocolo o P2S usa?
VPN Ponto a Site pode usar um dos seguintes protocolos:
Protocolo de OpenVPN®, um protocolo VPN baseado em SSL/TLS. Uma solução de VPN TLS pode invadir firewalls, desde que a maioria dos firewalls abre a porta de saída 443 TCP, que o TLS usa. O OpenVPN pode ser usado para se conectar a partir de dispositivos Android, iOS (versões 11.0 e superior), Windows, Linux e Mac (versões do macOS 10.13 e superior). As versões com suporte são TLS 1.2 e TLS 1.3 com base no handshake do TLS.
Protocolo SSTP (Secure Socket Tunneling Protocol), um protocolo VPN baseado em TLS proprietário. Uma solução de VPN TLS pode invadir firewalls, desde que a maioria dos firewalls abre a porta de saída 443 TCP, que o TLS usa. O SSTP só tem suporte em dispositivos Windows. Azure dá suporte a todas as versões de Windows que têm SSTP e dão suporte ao TLS 1.2 (Windows 8.1 e posterior).
VPN IKEv2, uma solução vpn IPsec baseada em padrões. A VPN IKEv2 pode ser usada para se conectar em dispositivos Mac (macOS versões 10.11 e mais recentes).
Como os clientes VPN P2S são autenticados?
Antes que Azure aceite uma conexão VPN P2S, o usuário precisa ser autenticado primeiro. Há três tipos de autenticação que você pode selecionar ao configurar o gateway P2S. As opções são:
Você pode selecionar vários tipos de autenticação para a configuração do gateway P2S. Se você selecionar vários tipos de autenticação, o cliente VPN usado deverá ser compatível com pelo menos um tipo de autenticação e o tipo de túnel correspondente. Por exemplo, se você selecionar "IKEv2 e OpenVPN" para tipos de túnel e "Microsoft Entra ID e Radius" ou "Microsoft Entra ID e Azure Certificado" para o tipo de autenticação, Microsoft Entra ID usará apenas o tipo de túnel OpenVPN, pois não há suporte para IKEv2.
A tabela a seguir mostra os mecanismos de autenticação que são compatíveis com os tipos de túnel selecionados. Cada mecanismo exige que o software cliente VPN correspondente no dispositivo de conexão seja configurado com as definições adequadas disponíveis nos arquivos de configuração do perfil do cliente VPN.
| Tipo de túnel | Mecanismo de autenticação |
|---|---|
| OpenVPN | Qualquer subconjunto de Microsoft Entra ID, autenticação RADIUS e Certificado Azure |
| SSTP | Autenticação RADIUS / Certificado Azure |
| IKEv2 | Autenticação RADIUS / Certificado Azure |
| IKEv2 e OpenVPN | Autenticação Radius/ Certificado do Azure/ Microsoft Entra ID e Autenticação Radius/ Microsoft Entra ID e Certificado do Azure |
| IKEv2 e SSTP | Autenticação RADIUS / Certificado Azure |
Autenticação de certificado
Ao configurar o gateway P2S para autenticação de certificado, você carrega a chave pública do certificado raiz confiável no gateway de Azure. Você pode usar um certificado raiz que foi gerado usando uma solução corporativa ou você pode gerar um certificado autoassinado.
Para autenticar, cada cliente que se conecta deve ter um certificado de cliente instalado que é gerado a partir do certificado raiz confiável. Isso é um acréscimo ao software do cliente VPN. A validação do certificado do cliente é realizada pelo gateway de VPN e acontece durante o estabelecimento da conexão de VPN P2S.
Fluxo de trabalho de autenticação de certificado
Em um alto nível, é necessário executar as seguintes etapas para configurar a autenticação de certificado:
- Habilitar a autenticação de certificado no gateway P2S, juntamente com as configurações adicionais necessárias (pool de endereços do cliente etc.), e carregar as informações da chave pública da AC raiz.
- Gerar e baixar os arquivos de configuração do perfil do cliente VPN (pacote de configuração do perfil).
- Instale o certificado do cliente em cada computador cliente conectado.
- Configure o cliente VPN no computador cliente usando as definições encontradas no pacote de configurações do perfil VPN.
- Conectar.
autenticação Microsoft Entra ID
Você pode configurar o gateway P2S para permitir que os usuários de VPN se autentiquem usando credenciais Microsoft Entra ID. Com a autenticação do Microsoft Entra ID, você pode usar os recursos de acesso condicional e autenticação multifator (MFA) do Microsoft Entra para VPN. A autenticação do Microsoft Entra ID é suportada apenas para o protocolo OpenVPN. Para autenticar e se conectar, os clientes devem usar o cliente VPN Azure.
VPN Gateway agora dá suporte a uma nova ID de Aplicativo registrada pela Microsoft e aos valores de Audiência correspondentes para as versões mais recentes do cliente VPN Azure. Ao configurar um gateway de VPN P2S usando os novos valores de Audience, você elimina a necessidade do registro manual anteriormente exigido do aplicativo cliente VPN Azure para seu locatário Microsoft Entra. A ID do aplicativo já foi criada e seu locatário pode usá-lo automaticamente sem etapas extras de registro. Esse processo é mais seguro do que registrar manualmente o cliente VPN Azure porque você não precisa autorizar o aplicativo ou atribuir permissões por meio da função administrador de aplicativos na nuvem. Para entender melhor a diferença entre os tipos de objetos de aplicativo, consulte How e por que os aplicativos são adicionados ao Microsoft Entra ID.
- Se o Gateway de VPN do usuário P2S estiver configurado usando os valores públicos para o aplicativo cliente VPN do Azure configurado manualmente, você poderá facilmente alterar as configurações do gateway e do cliente para aproveitar a nova ID de Aplicativo registrada pela Microsoft. Se quiser que os clientes Linux se conectem, atualize o gateway P2S com o novo valor de Audiência. O Cliente VPN do Azure para Linux não é compatível com os valores de público-alvo mais antigos.
- Se você quiser criar ou modificar um valor de Audiência personalizado, consulte Criar uma ID de aplicativo de audiência personalizado para VPN P2S.
- Se você quiser configurar ou restringir o acesso ao P2S com base em usuários e grupos, consulte Cenário: Configurar o acesso de VPN P2S com base em usuários e grupos.
Considerações
Um gateway de VPN P2S só pode dar suporte a um valor de Público-alvo. Ele não pode dar suporte para vários valores de Público-alvo simultaneamente.
O Cliente VPN do Azure para Linux não é compatível com versões anteriores de gateways P2S configurados para usar os valores de público-alvo mais antigos que se alinham com o aplicativo registrado manualmente. No entanto, o cliente VPN Azure para Linux dá suporte a valores de Audiência Personalizada.
-
Embora seja possível que o cliente VPN Azure para Linux possa funcionar em outras distribuições e versões do Linux, o cliente VPN Azure para Linux só tem suporte nas seguintes versões:
- Ubuntu 20.04
- Ubuntu 22.04
-
Embora seja possível que o cliente VPN Azure para Windows possa funcionar em outras versões do sistema operacional, o Azure Cliente VPN para Windows só tem suporte nas seguintes versões:
- Versões do Windows com suporte: Windows 10, Windows 11 nas arquiteturas X64, X86, ARM e ARM64.
As versões mais recentes dos clientes VPN do Azure para macOS e Windows são compatíveis com versões anteriores dos gateways P2S configurados para usar os valores mais antigos de público-alvo que se alinham com o aplicativo registrado manualmente. Esses clientes também dão suporte aos valores de público-alvo personalizado.
Valores de Público do Cliente VPN do Azure
A tabela a seguir mostra as versões do cliente VPN Azure que têm suporte para cada ID do aplicativo e os valores de Audiência disponíveis correspondentes.
| ID do Aplicativo | Valores de público-alvo com suporte | Clientes com suporte |
|---|---|---|
| Registrado pela Microsoft | O valor c632b3df-fb67-4d84-bdcf-b95ad541b5c8 de audiência se aplica a:- Azure Público – Azure Governamental - Azure Alemanha - Microsoft Azure operado pela 21Vianet |
-Linux -Windows – macOS |
| Registrado manualmente | – Azure Público: 41b23e61-6c1e-4545-b367-cd054e0ed4b4- Azure Governamental: 51bb15d4-3a4f-4ebf-9dca-40096fe32426- Azure Alemanha: 538ee9e6-310a-468d-afef-ea97365856a9- Microsoft Azure operado pela 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa |
-Windows – macOS |
| Personalizado | <custom-app-id> |
-Linux -Windows – macOS |
Microsoft Entra ID procedimento de autenticação
De forma geral, você precisa executar as seguintes etapas para configurar a autenticação do Microsoft Entra ID:
- Se estiver usando o registro manual do aplicativo, execute as etapas necessárias no tenant do Microsoft Entra.
- Habilite a autenticação do Microsoft Entra ID no gateway do P2S, juntamente com as configurações adicionais necessárias (pool de endereços do cliente etc.).
- Gerar e baixar os arquivos de configuração do perfil do cliente VPN (pacote de configuração do perfil).
- Baixe, instale e configure o Azure Cliente VPN no computador cliente.
- Conectar.
RADIUS – autenticação do Servidor de Domínio do Active Directory (AD)
A autenticação de domínio do AD permite que os usuários se conectem a Azure usando suas credenciais de domínio da organização. Ela requer um servidor RADIUS que integra-se com o servidor do AD. As organizações também podem usar sua implantação RADIUS existente.
O servidor RADIUS pode ser implantado localmente ou em sua rede virtual Azure. Durante o processo de autenticação, o Azure VPN Gateway atua como um repassador e encaminha mensagens de autenticação entre o servidor RADIUS e o dispositivo de conexão. Portanto, a capacidade de acesso ao servidor RADIUS pelo Gateway é importante. Se o servidor RADIUS estiver presente no local, uma conexão VPN S2S de Azure para o site local será necessária para acessibilidade.
O servidor RADIUS também pode ser integrado aos Serviços de Certificados do AD. Isso permite que você use o servidor RADIUS e sua implantação de certificado empresarial para autenticação de certificado P2S como uma alternativa à autenticação de certificado Azure. A vantagem é que você não precisa carregar certificados raiz e certificados revogados para Azure.
Um servidor RADIUS também pode integrar-se com outros sistemas de identidade externa. Isso possibilita várias opções de autenticação para VPNs P2S, incluindo opções de multifator.
Para as etapas de configuração do gateway P2S, consulte Configurar P2S – RADIUS.
Quais são os requisitos de configuração do cliente?
Os requisitos de configuração do cliente variam com base no cliente VPN que você utiliza, no tipo de autenticação e no protocolo. A tabela a seguir mostra os clientes disponíveis e os artigos correspondentes de cada configuração.
| Método de autenticação | Tipo de túnel | Sistema operacional cliente | cliente VPN |
|---|---|---|---|
| Certificado | |||
| IKEv2, SSTP | Windows | Cliente VPN nativo | |
| IKEv2 | macOS | Cliente VPN nativo | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows |
Cliente VPN do Azure Cliente OpenVPN versão 2.x Cliente OpenVPN versão 3.x |
|
| OpenVPN | macOS | Cliente OpenVPN | |
| OpenVPN | iOS | Cliente OpenVPN | |
| OpenVPN | Linux |
Azure Cliente VPN Cliente OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Cliente VPN do Azure | |
| OpenVPN | macOS | Azure Cliente VPN | |
| OpenVPN | Linux | Azure Cliente VPN |
Quais versões do cliente VPN Azure estão disponíveis?
Para obter informações sobre Azure versões disponíveis do cliente VPN, datas de lançamento e novidades em cada versão, consulte Azure versões do cliente VPN.
Quais SKUs de gateway dão suporte à VPN P2S?
A tabela a seguir mostra SKUs de gateways por túnel, conexão e taxa de transferência. Para obter mais informações, confira Sobre SKUs de gateway.
|
VPN Porta de entrada Geração |
SKU |
S2S/VNet-a-VNet Túneis |
P2S Conexões SSTP |
P2S Conexões IKEv2/OpenVPN |
Agregação Parâmetro de comparação de taxa de transferência |
BGP | Zone-redundant | Número Suportado de VMs na Rede Virtual |
|---|---|---|---|---|---|---|---|---|
| Generation1 | Basic | Máx. 10 | Máx. 128 | Sem suporte | 100 Mbps | Sem suporte | Não | 200 |
| Generation1 | VpnGw1 | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Com suporte | Não | 450 |
| Generation1 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Com suporte | Não | 1300 |
| Generation1 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Com suporte | Não | 4000 |
| Generation1 | VpnGw1AZ | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Com suporte | Sim | 1000 |
| Generation1 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Com suporte | Sim | 2000 |
| Generation1 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Com suporte | Sim | Cinco mil |
| Generation2 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Com suporte | Não | 685 |
| Generation2 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Com suporte | Não | 2240 |
| Generation2 | VpnGw4 | Máx. 100* | Máx. 128 | Máx. Cinco mil | 5 Gbps | Com suporte | Não | 5300 |
| Generation2 | VpnGw5 | Máx. 100* | Máx. 128 | Máx. 10.000 | 10 Gbps | Com suporte | Não | 6700 |
| Generation2 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Com suporte | Sim | 2000 |
| Generation2 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Com suporte | Sim | 3.300 |
| Generation2 | VpnGw4AZ | Máx. 100* | Máx. 128 | Máx. Cinco mil | 5 Gbps | Com suporte | Sim | 4400 |
| Generation2 | VpnGw5AZ | Máx. 100* | Máx. 128 | Máx. 10.000 | 10 Gbps | Com suporte | Sim | 9000 |
Observação
"Número de VMs com suporte no Virtual Network" refere-se à contagem de recursos que se comunicam por meio do gateway. Isso inclui:
- Máquinas Virtuais nas redes virtuais hub e spoke interligadas
- Pontos de extremidade privados
- Dispositivos Virtuais de Rede (como Gateway de Aplicativo, Azure Firewall)
- Instâncias de back-end dos serviços de PaaS implantados em redes virtuais (como SQL Managed Instance, App Service Environment)
Observação
A SKU Básica tem limitações e não dá suporte à autenticação IKEv2, IPv6 ou RADIUS. Para obter mais informações, consulte VPN Gateway configurações.
Quais políticas de IKE/IPsec são configuradas em gateways de VPN P2S?
As tabelas nesta seção mostram os valores das políticas padrão. No entanto, eles não refletem os valores disponíveis com suporte para políticas personalizadas. Para políticas personalizadas, consulte os valores aceitos listados no cmdlet New-AzVpnClientIpsecParameter PowerShell.
IKEv2
| Cipher | Integridade | PRF | Grupo DH |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| Cipher | Integridade | Grupo PFS |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
Quais políticas de TLS são configuradas em gateways de VPN P2S?
TLS
| Políticas |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| **TLS_AES_256_GCM_SHA384 |
| **TLS_AES_128_GCM_SHA256 |
**Com suporte somente no TLS1.3 com OpenVPN
Como fazer para configurar uma conexão P2S?
Uma configuração P2S exige algumas etapas específicas. Os artigos a seguir contêm as etapas para orientar você nas etapas comuns de configuração P2S.
Para remover a configuração de uma conexão P2S
Você pode remover a configuração de uma conexão usando o PowerShell ou a CLI. Para obter exemplos, consulte as perguntas frequentes.
Como funciona o roteamento P2S?
Veja os artigos a seguir:
Perguntas frequentes
Há várias entradas de perguntas frequentes para ponto a site. Consulte as perguntas frequentes VPN Gateway, prestando atenção especial às seções Certificate authentication e RADIUS, conforme apropriado.
Próximas etapas
- Configurar uma conexão P2S – autenticação de certificado Azure
- Configurar uma conexão P2S – autenticação Microsoft Entra ID
"OpenVPN" é uma marca comercial da OpenVPN Inc.