Conceitos de VPN de usuário (ponto a site)
O artigo a seguir descreve os conceitos e as opções configuráveis pelo cliente associados às configurações e aos gateways de VPN P2S (ponto a site) de usuário da WAN Virtual. Este artigo é dividido em diversas seções, incluindo sobre os conceitos de configuração do servidor VPN P2S e de gateway VPN P2S.
Conceitos de configuração do servidor VPN
As configurações do servidor VPN definem os parâmetros de autenticação, criptografia e grupo de usuários usados para autenticar usuários, atribuir endereços IP e criptografar o tráfego. Os gateways P2S estão associados às configurações do servidor VPN P2S.
Conceitos comuns
| Conceito | Descrição | Observações |
|---|---|---|
| Tipo de túnel | Protocolos usados entre o gateway de VPN P2S e os usuários conectados. | Parâmetros disponíveis: IKEv2, OpenVPN ou ambos. Para configurações de servidor IKEv2, somente as autenticações RADIUS e baseadas em certificado estão disponíveis. Para configurações do servidor Open VPN, estão disponíveis as autenticações RADIUS, baseada em certificado e baseada no Microsoft Entra ID. Além disso, diversos métodos de autenticação na mesma configuração de servidor (por exemplo, certificado e RADIUS na mesma configuração) são compatíveis apenas com OpenVPN. O IKEv2 também tem um limite de nível de protocolo de 255 rotas, enquanto o OpenVPN tem um limite de mil rotas. |
| Parâmetros IPsec personalizados | Parâmetros de criptografia usados pelo gateway VPN P2S para gateways que usam IKEv2. | Para ver os parâmetros disponíveis, confira Parâmetros IPsec personalizados para VPN ponto a site. Esse parâmetro não se aplica a gateways que usam a autenticação do OpenVPN. |
Conceitos de autenticação de certificado do Azure
Os conceitos a seguir estão relacionados às configurações do servidor que usam a autenticação baseada em certificado.
| Conceito | Descrição | Observações |
|---|---|---|
| Nome do certificado raiz | Nome usado pelo Azure para identificar os certificados raiz do cliente. | Pode ser configurado com qualquer nome. É possível ter diversos certificados raiz. |
| Dados públicos do certificado | Certificados raiz por meio dos quais os certificados de cliente são emitidos. | Insira a cadeia de caracteres correspondente aos dados públicos do certificado raiz. Para ver um exemplo de como obter os dados públicos do certificado raiz, confira a etapa 8 no documento a seguir sobre como gerar certificados. |
| Certificado revogado | Nome usado pelo Azure para identificar certificados que serão revogados. | Pode ser configurado com qualquer nome. |
| Impressão digital do certificado revogado | Impressão digital dos certificados de usuário final que não devem conseguir se conectar ao gateway. | A entrada para este parâmetro é uma ou mais impressões digitais de certificado. Cada certificado de usuário deve ser revogado individualmente. A revogação de um certificado intermediário ou raiz não revogará automaticamente todos os certificados filhos. |
Conceitos da autenticação RADIUS
Se um gateway de VPN P2S estiver configurado para usar a autenticação RADIUS, ele atuará como um proxy de NPS (servidor de políticas de rede) a fim de encaminhar solicitações de autenticação para servidores RADIUS do cliente. Os gateways podem usar um ou dois servidores RADIUS para processar solicitações de autenticação. Quando muitas solicitações de autenticação são fornecidas, elas passam por um balanceamento de carga automático nos servidores RADIUS.
| Conceito | Descrição | Observações |
|---|---|---|
| Segredo do servidor principal | Segredo do servidor, configurado no servidor RADIUS primário do cliente, que é usado para criptografia pelo protocolo RADIUS. | Qualquer cadeia de caracteres de segredo compartilhada. |
| Endereço IP do servidor primário | Endereço IP privado do servidor RADIUS | Esse IP deve ser privado e acessível pelo hub virtual. Verifique se a conexão que hospeda o servidor RADIUS está sendo propagada para a defaultRouteTable do hub com o gateway. |
| Segredo do servidor secundário | Segredo do servidor configurado no segundo servidor RADIUS usado para criptografia pelo protocolo RADIUS. | Qualquer cadeia de caracteres de segredo compartilhada que tenha sido fornecida. |
| Endereço IP do servidor secundário | O endereço IP privado do servidor RADIUS | Esse IP deve ser privado e acessível pelo hub virtual. Verifique se a conexão que hospeda o servidor RADIUS está sendo propagada para a defaultRouteTable do hub com o gateway. |
| Certificado raiz do servidor RADIUS | Dados públicos do certificado raiz do servidor RADIUS. | Esse campo é opcional. Insira as cadeias de caracteres correspondentes aos dados públicos do certificado raiz RADIUS. É possível inserir diversos certificados raiz. Todos os certificados de cliente apresentados para autenticação devem ser emitidos com base nos certificados raiz especificados. Para ver um exemplo de como obter os dados públicos do certificado, confira a etapa 8 no documento a seguir sobre como gerar certificados. |
| Certificados de cliente revogados | Impressões digitais de certificados de cliente RADIUS revogados. Os clientes que apresentarem certificados revogados não poderão se conectar. | Esse campo é opcional. Cada certificado de usuário deve ser revogado individualmente. A revogação de um certificado intermediário ou raiz não revogará automaticamente todos os certificados filhos. |
Conceitos de autenticação do Microsoft Entra
Os conceitos a seguir estão relacionados às configurações do servidor que utilizam a autenticação baseada no Microsoft Entra ID. A autenticação baseada em Microsoft Entra ID só estará disponível se o tipo de túnel for OpenVPN.
| Conceito | Descrição | Parâmetros disponíveis |
|---|---|---|
| Público | ID do Aplicativo do Aplicativo Empresarial da VPN do Azure registrado no locatário do Microsoft Entra. | Para saber como registrar o aplicativo da VPN do Azure no locatário e localizar a ID dele, confira Configurar um locatário para conexões de protocolo OpenVPN de VPN de usuário P2S |
| Emissor | URL completa correspondente ao STS (serviço de token de segurança) associado ao Active Directory. | Cadeia de caracteres no seguinte formato: https://sts.windows.net/<your Directory ID>/ |
| Locatário do Microsoft Entra | URL completa correspondente ao locatário do Active Directory usado para a autenticação no gateway. | Varia de acordo com a nuvem em que o locatário do Active Directory está implantado. Veja abaixo os detalhes por nuvem. |
ID de locatário do Entra ID da Microsoft
A tabela a seguir descreve o formato da URL do Microsoft Entra com base em qual nuvem o Microsoft Entra ID está implantado.
| Nuvem | Formato do parâmetro |
|---|---|
| Nuvem Pública do Azure | https://login.microsoftonline.com/{AzureAD TenantID} |
| Nuvem do Azure Governamental | https://login.microsoftonline.us/{AzureAD TenantID} |
| Nuvem China 21Vianet | https://login.chinacloudapi.cn/{AzureAD TenantID} |
Conceitos do grupo de usuários (diversos pools)
Os conceitos a seguir estão relacionados a grupos de usuários (diversos pools) na WAN Virtual. Os grupos de usuários permitem atribuir diferentes endereços IP para conectar usuários com base em suas credenciais, o que permite configurar ACLs (listas de controle de acesso) e regras de firewall a fim de proteger as cargas de trabalho. Para saber mais e ver exemplos, confira Conceitos de diversos pools.
A configuração do servidor contém as definições dos grupos e eles são usados em gateways para mapear os grupos de configuração do servidor para endereços IP.
| Conceito | Descrição | Observações |
|---|---|---|
| Grupo de usuários/grupo de políticas | Um grupo de usuários ou de políticas é uma representação lógica de um grupo de usuários que deve receber endereços IP do mesmo pool de endereços. | Para saber mais, confira Grupos de usuários. |
| Grupo padrão | Quando um usuário tenta se conectar a um gateway usando o recurso de grupo de usuários, se ele não corresponder a nenhum grupo atribuído ao gateway, será automaticamente considerado como parte do grupo padrão e receberá um endereço IP associado a esse grupo. | Cada grupo em uma configuração de servidor pode ser especificado como padrão ou não padrão e essa configuração não pode ser alterada após a criação dele. Apenas um único grupo padrão pode ser atribuído a cada gateway VPN P2S, mesmo que a configuração do servidor atribuída tenha diversos grupos padrão. |
| Prioridade de grupo | Quando diversos grupos são atribuídos a um gateway, um usuário conectado pode apresentar credenciais que correspondem a vários deles. A WAN Virtual processa os grupos atribuídos a um gateway em ordem crescente de prioridade. | As prioridades são inteiros positivos e os grupos com prioridades numéricas mais baixas são processados primeiro. Cada grupo deve ter uma prioridade distinta. |
| Configurações/membros de grupo | Os grupos de usuários consistem em membros. Os membros não correspondem a usuários individuais, mas definem os critérios/condições de correspondência usados para determinar de qual grupo um usuário conectado faz parte. Depois que um grupo é atribuído a um gateway, um usuário conectado com credenciais que correspondem aos critérios especificados para um dos membros do grupo é considerado parte desse grupo e pode receber um endereço IP apropriado. | Para obter uma lista completa dos critérios disponíveis, confira as configurações de grupo disponíveis. |
Conceitos de configuração de gateway
As seções a seguir descrevem os conceitos associados ao gateway VPN P2S. Cada gateway está associado a uma configuração de servidor VPN e conta com muitas outras opções configuráveis.
Conceitos gerais de gateway
| Conceito | Descrição | Observações |
|---|---|---|
| Unidade de escala de gateway | Uma unidade de escala de gateway define a quanta taxa de transferência agregada e usuários simultâneos um gateway VPN P2S pode dar suporte. | As unidades de escala de gateway podem variar de 1 a 200 e são compatíveis com 500 a 100 mil usuários por gateway. |
| Configuração do servidor de P2S | Define os parâmetros de autenticação usados pelo gateway P2S VPN para autenticar os usuários recebidos. | Qualquer configuração de servidor P2S associada ao gateway de WAN Virtual. A configuração do servidor deve ser criada com sucesso para que um gateway faça referência a ela. |
| Preferência de roteamento | Permite escolher como o tráfego é roteado entre o Azure e a Internet. | É possível optar por rotear o tráfego pela rede Microsoft ou pela rede ISP (rede pública). Para saber mais sobre essa configuração, confira O que é preferência de roteamento?. Esta configuração não pode ser modificada após a criação do gateway. |
| Servidores DNS Personalizados | Os endereços IP dos servidores DNS que conectam os usuários devem encaminhar as solicitações de DNS. | Qualquer endereço IP roteável. |
| Propagar rota padrão | Se o hub da WAN Virtual estiver configurado com uma rota padrão 0.0.0.0/0 (rota estática na tabela de rotas padrão ou 0.0.0.0/0 anunciada no local), esta configuração controlará se a rota 0.0.0.0/0 é anunciada ou não para conectar usuários. | Este campo pode ser definido como verdadeiro ou falso. |
Conceitos específicos do RADIUS
| Conceito | Descrição | Observações |
|---|---|---|
| Usar a configuração do servidor RADIUS remoto/local | Controla se a WAN Virtual pode ou não encaminhar pacotes de autenticação RADIUS para servidores RADIUS hospedados no local ou em uma rede virtual conectada a um hub virtual diferente. | Essa configuração tem dois valores, verdadeiro ou falso. Quando a WAN Virtual é configurada para usar a autenticação RADIUS, o gateway P2S dela atua como um proxy RADIUS que envia solicitações de autenticação para os servidores RADIUS. Essa configuração (se verdadeira) permite que o gateway da WAN Virtual se comunique com servidores RADIUS implantados no local ou em uma rede virtual conectada a um hub diferente. Se a configuração for falsa, a WAN Virtual só poderá realizar a autenticação com servidores RADIUS hospedados em redes virtuais conectadas ao hub com o gateway. |
| IPs de proxy do RADIUS | Os pacotes de autenticação RADIUS enviados pelo gateway de VPN P2S para o servidor RADIUS têm IPs de origem especificados pelo campo IP do proxy do RADIUS. Esses IPs precisam ser permitidos como clientes RADIUS no servidor RADIUS. | Este parâmetro não é diretamente configurável. Se “Usar o servidor RADIUS remoto/local” for definido como verdadeiro, os IPs do proxy do RADIUS serão configurados automaticamente como endereços IP dos pools de endereços do cliente especificados no gateway. Se essa configuração for falsa, os IPs serão endereços IP do espaço de endereço do hub. Os IPs de proxy do RADIUS podem ser encontrados no portal do Azure na página do gateway de VPN P2S. |
Conceitos da configuração de conexão
Pode haver uma ou mais configurações de conexão em um gateway de VPN P2S. Cada configuração de conexão tem uma configuração de roteamento (veja abaixo as ressalvas) e representa um grupo ou segmento de usuários aos quais são atribuídos endereços IP dos mesmos pools de endereços.
| Conceito | Descrição | Observações |
|---|---|---|
| Nome da configuração | Nome de uma configuração de VPN P2S | Qualquer nome pode ser fornecido. É possível ter mais de uma configuração de conexão em um gateway utilizando o recurso de grupos de usuários/diversos grupos. Se você não estiver usando esse recurso, só poderá haver uma configuração por gateway. |
| Grupos de usuários | Grupos de usuários que correspondem a uma configuração | Quaisquer grupos de usuários referenciados na configuração do servidor VPN. Esse parâmetro é opcional. Para saber mais, confira Grupos de usuários. |
| Pool de endereços | Os pools de endereços são endereços IP privados atribuídos aos usuários que se conectam. | Eles podem ser especificados como qualquer bloco CIDR que não se sobreponha a nenhum espaço de endereço do hub virtual, endereços IP usados em redes virtuais conectadas à WAN Virtual ou endereços anunciados no local. Dependendo da unidade de escala especificada no gateway, pode ser necessário ter mais de um bloco CIDR. Para saber mais, confira Pools de endereços. |
| Configuração de roteamento | Toda conexão com o hub virtual contém uma configuração de roteamento, que define a qual tabela de roteamento ela está associada e para quais outras tabelas de roteamento essa tabela se propaga. | Todas as conexões de branch com o mesmo hub (ExpressRoute, VPN, NVA) devem ser associadas à defaultRouteTable e propagadas para o mesmo conjunto de tabelas de rota. Ter diferentes propagações para conexões de branches pode resultar em comportamentos de roteamento inesperados, pois a WAN Virtual escolherá a configuração de roteamento para um branch e a aplicará a todos os outros e, portanto, às rotas aprendidas no local. |
Próximas etapas
Adicione aqui links para alguns artigos relacionados às próximas etapas.