Tutorial: criar uma conexão VPN de usuário P2S usando a WAN Virtual do Azure – Certificado ou autenticação RADIUS

Este tutorial mostra como usar a WAN Virtual para se conectar aos recursos no Azure. Neste tutorial, você criará uma conexão VPN do usuário ponto a site via OpenVPN ou IPsec/IKE (IKEv2) usando o portal do Azure. Esse tipo de conexão exige que o cliente VPN nativo seja configurado em cada computador cliente que está se conectando.

Neste tutorial, você aprenderá como:

  • Criar uma WAN virtual
  • Criar a configuração de VPN de Usuário
  • Criar o hub virtual e o gateway
  • Gerar os arquivos de configuração do cliente
  • Configurar clientes de VPN
  • Conectar-se a uma VNet
  • Exibir a WAN virtual
  • Modificar configurações

Captura de tela do diagrama da WAN Virtual.

Pré-requisitos

  • Você tem uma assinatura do Azure. Se você não tiver uma assinatura do Azure, crie uma conta gratuita.

  • Você tem uma rede virtual à qual deseja se conectar.

    • Verifique se nenhuma das sub-redes das redes locais se sobrepõe às redes virtuais às quais você deseja se conectar.
    • Para criar uma rede virtual no portal do Azure, confira o artigo Início Rápido.
  • Sua rede virtual não deverá ter gateways de rede virtual existentes.

    • Caso a rede virtual já tenha gateways (VPN ou ExpressRoute), será necessário remover todos eles antes de continuar.
    • Essa configuração requer que as redes virtuais se conectem somente ao gateway do hub da WAN Virtual.
  • Decida o intervalo de endereços IP que você deseja usar para o espaço de endereço privado do seu hub virtual. Essas informações são usadas durante a configuração do seu hub virtual. Um hub virtual é uma rede virtual criada e usada pela WAN Virtual. Ele é o núcleo da rede de WAN Virtual em uma região. O intervalo de espaço de endereço precisa estar em conformidade com determinadas regras:

    • O intervalo de endereços especificado para o hub não poderá se sobrepor a nenhuma das redes virtuais existentes às quais você se conecta.
    • O intervalo de endereços não poderá se sobrepor aos intervalos de endereços locais aos quais você se conecta.
    • Se você não estiver familiarizado com os intervalos de endereços IP localizados em sua configuração de rede local, converse com alguém que possa fornecer esses detalhes para você.

Criar uma WAN virtual

  1. No portal, na barra Pesquisar recursos, digite WAN Virtual na caixa de pesquisa e selecione Enter.

  2. Escolha WAN Virtual nos resultados. Na página WANs Virtuais, selecione + Criar para abrir a página Criar WAN.

  3. Na página Criar WAN, na guia Básico, preencha os campos. Modifique os valores de exemplo a serem aplicados ao seu ambiente.

    A captura de tela mostra o painel Criar WAN com a guia Noções Básicas selecionada.

    • Assinatura: escolha a assinatura que você quer usar.
    • Grupo de recursos: crie um novo ou use um existente.
    • Localização do grupo de recursos: escolha uma localização de recursos na lista suspensa. Uma WAN é um recurso global e não pode residir em uma região específica. No entanto, você deve selecionar uma região a fim de gerenciar e localizar o recurso de WAN criado.
    • Nome: digite o nome que você quer dar à sua WAN Virtual.
    • Tipo: Básico ou Standard. Selecione Padrão. Se você selecionar Básico, entenda que as WANs virtuais Básicas só podem conter hubs Básicos. Os hubs básicos só podem ser usados para conexões site a site.
  4. Quando terminar de preencher os campos, na parte inferior da página, selecione Examinar + Criar.

  5. Depois que a validação for aprovada, clique em Criar para criar a WAN Virtual.

Criar uma configuração de VPN de Usuário

A configuração de VPN de Usuário (P2S) define os parâmetros para que os clientes remotos se conectem. Você cria configurações de VPN de usuário antes de criar o gateway P2S no hub. Você pode criar várias configurações de VPN de usuário. Ao criar o gateway P2S, selecione a configuração de VPN do usuário que deseja usar.

As instruções a seguir dependem do método de autenticação que você deseja usar. Para este exercício, selecionamos OpenVpn e IKEv2 e autenticação de certificado. No entanto, outras configurações estão disponíveis. Cada método de autenticação tem requisitos específicos.

  • Certificados do Azure: Para essa configuração, os certificados são necessários. Você precisa gerar ou obter certificados. Um certificado de cliente é necessário para cada cliente. Além disso, as informações do certificado raiz (chave pública) precisam ser carregadas. Para obter mais informações sobre os certificados necessários, confira Gerar e exportar certificados.

  • Autenticação baseada em Radius: obtenha o IP do servidor Radius, o segredo do servidor Radius e as informações do certificado.

  • Autenticação do Microsoft Entra: Consulte Configurar uma conexão VPN do usuário - autenticação do Microsoft Entra.

Etapas de configuração

  1. Navegue até a WAN Virtual que você criou.

  2. Selecione Configurações de VPN do usuário no menu à esquerda.

  3. Na página Configurações de VPN do usuário, selecione + Criar configuração de VPN do usuário.

    Captura de tela da página de configurações de VPN do usuário.

  4. Na guia Básico da página Criar configuração de VPN do usuário, em Detalhes da instância, insira o Nome que você deseja atribuir à configuração de VPN.

    Captura de tela do botão IPsec alternado para Personalizar.

  5. Em Tipo de túnel, selecione o tipo de túnel desejado na lista suspensa. As opções de tipo de túnel são: VPN IKEv2, OpenVPN e OpenVpn e IKEv2. Cada tipo de túnel tem configurações necessárias específicas. O tipo de túnel escolhido corresponde às opções de autenticação disponíveis.

    Requisitos e parâmetros:

    VPN IKEv2

    • Requisitos: quando você seleciona o tipo de túnel IKEv2, aparece uma mensagem que pede a escolha de um método de autenticação. Para IKEv2, você pode especificar vários métodos de autenticação. Você pode escolher o certificado do Azure, a autenticação baseada em RADIUS ou os dois.

    • Parâmetros de IPsec personalizados: para personalizar os parâmetros das fases 1 e 2 do IKE, alterne o botão de IPsec para Personalizar e selecione os valores dos parâmetros. Para obter mais informações sobre parâmetros personalizáveis, confira o artigo IPsec personalizado.

    OpenVPN

    • Requisitos: quando você seleciona o tipo de túnel OpenVPN, aparece uma mensagem que pede a escolha de um mecanismo de autenticação. Se OpenVPN for selecionado como o tipo de túnel, você poderá especificar vários métodos de autenticação. Você pode escolher qualquer subconjunto de Certificado do Azure, Microsoft Entra ID ou autenticação baseada em RADIUS. Para a autenticação baseada em RADIUS, você pode informar um endereço IP secundário do servidor RADIUS e o segredo do servidor.

    OpenVPN e IKEv2

    • Requisitos: quando você seleciona o tipo de túnel OpenVPN e IKEv2, aparece uma mensagem que pede a escolha de um mecanismo de autenticação. Se OpenVPN e IKEv2 for selecionado como o tipo de túnel, você poderá especificar vários métodos de autenticação. Você pode escolher o Microsoft Entra ID junto com o Certificado do Azure ou a autenticação baseada em RADIUS. Para a autenticação baseada em RADIUS, você pode informar um endereço IP secundário do servidor RADIUS e o segredo do servidor.
  6. Configure os métodos de autenticação que você deseja usar. Cada método de autenticação está em uma guia separada: certificado do Azure, autenticação RADIUS e Microsoft Entra ID. Alguns métodos de autenticação só estão disponíveis em determinados tipos de túnel.

    Na guia do método de autenticação que você deseja configurar, selecione Sim para revelar as definições de configuração disponíveis.

    • Exemplo – Autenticação de certificado

      Para definir essa configuração, o tipo de túnel na página Básico pode ser IKEv2, OpenVPN ou OpenVPN e IKEv2.

      Captura de tela de Sim selecionado.

    • Exemplo – Autenticação RADIUS

      Para definir essa configuração, o tipo de túnel na página Básico pode ser Ikev2, OpenVPN ou OpenVPN e IKEv2.

      Captura de tela da página de autenticação RADIUS.

    • Exemplo - autenticação do Microsoft Entra

      Para definir essa configuração, o tipo de túnel na página Básico deve ser um OpenVPN. A autenticação baseada em Microsoft Entra ID só é suportada com o OpenVPN.

      Página de autenticação do Microsoft Entra.

  7. Ao terminar de definir as configurações, clique em Examinar + criar na parte inferior da página.

  8. Clique em Criar para criar a configuração de VPN do Usuário.

Criar um hub virtual e um gateway

Página de informações básicas

  1. Acesse a WAN virtual criada. No painel esquerdo da página WAN virtual, em Conectividade, selecione Hubs.

  2. Na página Hubs, selecione +Novo Hub para abrir a página Criar hub virtual.

    A captura de tela mostra o painel Criar hub virtual com a guia Informações Básicas selecionada.

  3. Na página Criar Hub Virtual, na guia Básico, preencha os seguintes campos:

    • Região: selecione a região na qual você deseja implantar o hub virtual.
    • Nome: o nome pelo qual você deseja que o hub virtual seja conhecido.
    • Espaço de endereço privado do hub: o intervalo de endereços do hub na notação CIDR. O espaço de endereço mínimo é /24 para criar um hub.
    • Capacidade do hub virtual: escolha na lista suspensa. Para obter mais informações, consulte Configurações do hub virtual.
    • Preferência de roteamento do hub: deixe como o padrão. Para obter mais informações, confira Preferência de roteamento do hub virtual.

Página ponto a site

  1. Clique na guia Ponto a site para abrir a página de configuração de ponto a site. Para ver as configurações de ponto a site, clique em Sim.

    Captura de tela da configuração do hub virtual com ponto a site selecionado.

  2. Defina as seguintes configurações:

    • Unidades de escala do gateway – Representam a capacidade de agregação do gateway de VPN do usuário. Se você selecionar 40 ou mais unidades de escala do gateway, faça o planejamento correto do pool de endereços de cliente. Para obter informações sobre como essa configuração afeta o pool de endereços do cliente, confira Sobre os pools de endereços de cliente. Para obter informações sobre unidades de escala de gateway, confira as Perguntas frequentes.

    • Configuração ponto a site – Selecione a configuração de VPN do usuário que você criou em uma etapa anterior.

    • Preferência de roteamento – A preferência de roteamento do Azure permite que você escolha como o tráfego é encaminhado entre o Azure e a Internet. Você pode optar por rotear o tráfego por meio da rede da Microsoft ou por meio da rede do ISP (Internet pública). Essas opções também são conhecidas como roteamento cold potato e hot potato, respectivamente. O endereço IP público na WAN Virtual é atribuído pelo serviço com base na opção de roteamento escolhida. Para obter mais informações sobre a preferência de roteamento por meio da rede da Microsoft ou do ISP, confira o artigo Preferência de roteamento.

    • Usar servidor RADIUS remoto/local: quando um gateway VPN de um usuário da WAN Virtual é configurado para usar autenticação baseada no RADIUS, o gateway VPN do usuário atua como proxy e envia solicitações de acesso do RADIUS ao seu servidor RADIUS. A configuração "Usar servidor RADIUS remoto/local" é desabilitada por padrão, o que significa que o gateway de VPN do usuário só poderá encaminhar solicitações de autenticação para servidores RADIUS em redes virtuais conectadas ao hub do gateway. Habilitar a configuração permitirá que o gateway de VPN do usuário se autentique com servidores RADIUS conectados a hubs remotos ou implantados localmente.

      Observação

      A configuração do servidor RADIUS remoto/local e os IPs de proxy relacionados serão usados somente se o gateway estiver configurado para usar a autenticação baseada em RADIUS. Se o gateway não estiver configurado para usar a autenticação baseada em RADIUS, essa configuração será ignorada.

      Ative "Usar servidor RADIUS remoto/local" se os usuários se conectarem ao perfil de VPN global, e não ao perfil baseado em hub. Para obter mais informações, consulte perfis globais e de nível de hub.

      Depois de criar o gateway VPN do usuário, acesse-o e anote o campo “IPs do proxy do RADIUS”. Os IPs de proxy RADIUS são os IPs de origem dos pacotes RADIUS que o gateway de VPN de usuário envia para o servidor RADIUS. Portanto, o servidor RADIUS precisa ser configurado para aceitar solicitações de autenticação dos IPs de proxy RADIUS. Se o campo IPs de proxy RADIUS estiver em branco ou com valor nenhum, configure o servidor RADIUS para aceitar solicitações de autenticação do espaço de endereço do hub.

      Além disso, defina as associações e veja se as propagações da conexão (VNet ou local) que hospeda o servidor RADIUS são feitas para a defaultRouteTable do hub implantado com o gateway de VPN ponto a site e se a configuração de VPN ponto a site é propagada para a tabela de rotas da conexão que hospeda o servidor RADIUS. Isso é obrigatório para garantir que o gateway possa se comunicar com o servidor RADIUS e vice-versa.

      Captura de tela de configuração de VPN com IPs do proxy RADIUS.

    • Pool de endereços de cliente – O pool de endereços do qual os endereços IP serão atribuídos automaticamente aos clientes da VPN. Os pools de endereços precisam ser distintos. Não pode haver nenhuma sobreposição entre pools de endereços. Para obter mais informações, confira Sobre pools de endereços de cliente.

    • Servidores DNS personalizados – O endereço IP dos servidores DNS que os clientes usarão. Você pode especificar até cinco.

  3. Selecione Examinar + criar para validar suas configurações.

  4. Quando a validação for aprovada na validação, selecione Criar. A criação de um hub pode levar 30 minutos ou mais para ser concluída.

Ao criar um novo hub, você pode observar uma mensagem de aviso no portal referente à versão do roteador. Isso às vezes ocorre quando o roteador está provisionando. Depois que o roteador estiver totalmente provisionado, a mensagem não aparecerá mais.

Gerar os arquivos de configuração do cliente

Quando você se conecta a uma VNet usando a VPN de Usuário (P2S), você usa o cliente VPN instalado originalmente no sistema operacional do qual você está se conectando. Todas as definições de configuração necessárias para os clientes VPN estão contidas em um arquivo zip de configuração do cliente VPN. As configurações no arquivo zip ajudam você a configurar facilmente os clientes VPN. Os arquivos de configuração do cliente VPN gerados são específicos para a configuração da VPN de Usuário para o seu gateway. Nesta seção, você gera e baixa os arquivos usados para configurar seus clientes VPN.

Há dois tipos diferentes de perfis de configuração que você pode baixar: global e hub. O perfil global é um perfil de configuração no nível da WAN. Ao baixar a configuração no nível de WAN, você obtém um perfil de VPN de usuário baseado no Gerenciador de Tráfego interno. Se, por algum motivo, um hub não estiver disponível quando você usar um perfil global, o gerenciamento de tráfego interno fornecido pelo serviço garantirá a conectividade (por meio de um hub diferente) com os recursos do Azure para usuários de ponto a site. Para obter mais informações ou para baixar um pacote de configuração de cliente VPN no nível do hub, consulte perfis globais e de hub.

  1. Para gerar um pacote de configuração de cliente VPN do perfil global de nível da WAN, vá para a WAN virtual (não o hub virtual).

  2. No painel esquerdo, selecione Configurações de VPN do usuário.

  3. Escolha a configuração para a qual deseja baixar o perfil. Se você tiver vários hubs atribuídos ao mesmo perfil, expanda o perfil para mostrar os hubs e selecione um dos hubs que usa o perfil.

  4. Selecione Baixar perfil de VPN do usuário da WAN virtual.

  5. Na página de download, selecione EAPTLS e, em seguida, Gerar e baixar o perfil. Um pacote de perfil (arquivo zip) que contém as definições de configuração do cliente é gerado e baixado no computador. O conteúdo do pacote depende das opções de autenticação e de túnel da sua configuração.

Configurar clientes de VPN

Use o pacote de perfil baixado para configurar o cliente VPN nativo em seu computador. O procedimento para cada sistema operacional é diferente. Siga as instruções que se aplicam ao sistema. Depois de concluir a configuração do cliente, você poderá se conectar.

IKEv2

Na configuração da VPN do usuário, se você especificou o tipo de túnel de IKEv2 da VPN, poderá configurar o cliente VPN nativo (Windows e macOS Catalina ou posterior).

As etapas a seguir são para Windows. Para macOS, consulte as etapas do IKEv2-macOS.

  1. Selecione os arquivos de configuração de cliente VPN que correspondem à arquitetura do computador com Windows. Para uma arquitetura de processador de 64 bits, escolha o pacote do instalador 'VpnClientSetupAmd64'. Para uma arquitetura de processador de 32 bits, escolha o pacote do instalador 'VpnClientSetupX86'.

  2. Clique duas vezes no pacote para instalá-lo. Se vir um pop-up do SmartScreen, selecione Mais informações e Executar mesmo assim.

  3. No computador cliente, navegue até Configurações de Rede e selecione VPN. A conexão VPN mostra o nome da rede virtual a que ele se conecta.

  4. Instale um certificado do cliente em cada computador que você deseja conectar por meio dessa configuração de VPN do usuário. Um certificado do cliente é necessário para autenticação ao usar o tipo de autenticação de certificado do Azure nativo. Para obter mais informações sobre como gerar certificados, consulte Gerar Certificados. Para obter mais informações sobre como instalar um certificado do cliente, consulte Instalar um certificado do cliente.

OpenVPN

Na configuração da VPN do usuário, se você especificou o tipo de túnel de OpenVPN, pode baixar e configurar o cliente VPN do Azure ou, em alguns casos, pode usar o software cliente OpenVPN. Para ver as etapas, use o link que corresponde à sua configuração.

Conectar VNet ao hub

Nesta seção, você pode criar uma conexão entre uma VNet e seu hub. Para este tutorial, você não precisa definir as configurações de roteamento.

  1. No portal do Azure, vá para WAN Virtual No painel esquerdo, selecione Conexões de rede virtual.

  2. paginarNa página Conexões de rede virtual, selecione + Adicionar conexão.

  3. Na página Adicionar conexão, defina as configurações de conexão. Para saber sobre as configurações de roteamento, confira Sobre o roteamento.

    Captura de tela da página Adicionar conexão.

    • Nome da conexão: nomeie a sua conexão.
    • Hubs: selecione o hub que você deseja associar a essa conexão.
    • Assinatura: verifique a assinatura.
    • Grupo de recursos: selecione o grupo de recursos que contém a rede virtual à qual você deseja se conectar.
    • Rede virtual: selecione a rede virtual que você deseja conectar a esse hub. A rede virtual selecionada não pode ter um gateway de rede virtual já existente.
    • Propagar para nenhum: fica configurado como Não por padrão. Alterar a opção para Sim deixa as opções de configuração para Propagar para tabelas de rotas e Propagar para rótulos não disponíveis para configuração.
    • Associar tabela de rotas: no menu suspenso, selecione uma tabela de rotas que deseja associar.
    • Propagar para rótulos: rótulos são um grupo lógico de tabelas de rotas. Para essa configuração, selecione na lista suspensa.
    • Rotas estáticas: configurar rotas estáticas, se necessário. Configure as rotas estáticas da Soluções de Virtualização de Rede (se aplicável). A WAN Virtual dá suporte a um único IP do próximo salto para a rota estática em uma conexão de rede virtual. Por exemplo, se você tiver uma solução de virtualização separada para fluxos de tráfego de entrada e saída, seria melhor ter as soluções de virtualização em VNets separadas e anexar as VNets ao hub virtual.
    • Ignorar o IP do Próximo Salto para cargas de trabalho nessa VNet: essa configuração permite implantar NVAs e outras cargas de trabalho na mesma VNet sem forçar todo o tráfego por meio da NVA. Essa definição só pode ser configurada quando você estiver configurando uma nova conexão. Se você quiser usar essa configuração para uma conexão que já criou, exclua a conexão e adicione uma nova conexão.
    • Propagar rota estática: essa configuração está sendo distribuída no momento. Essa configuração permite propagar rotas estáticas definidas na seção Rotas estáticas para rotear tabelas especificadas em Propagar para Tabelas de Rotas. Além disso, as rotas serão propagadas para tabelas de rotas que têm rótulos especificados como Propagar para rótulos. Essas rotas podem ser propagadas entre hubs, exceto para a rota padrão 0/0. Este recurso está em processo de distribuição. Se você precisar desse recurso habilitado, abra um caso de suporte
  4. Depois de concluir as definições de configuração, clique em Criar para criar a conexão.

Painel de sessões ponto a site

  1. Para exibir suas sessões ponto a site ativas, clique em Sessões ponto a site. Isto mostrará todos os usuários do ponto a site ativos que estão conectados ao seu gateway de VPN do Usuário. Captura de tela que mostra a folha do ponto a site na WAN Virtual.

  2. Para desconectar os usuários do Gateway de VPN do usuário, clique em ... menu de contexto e clique em "Desconectar".

A captura de tela mostra o ponto para o painel de sessões do site.

Modificar configurações

Modificar o pool de endereços do cliente

  1. Navegue até o HUB Virtual -> VPN de Usuário (ponto a site).

  2. Clique no valor próximo a Unidades de escala do gateway para abrir a página Editar gateway da VPN do usuário.

  3. Na página Editar gateway da VPN do usuário, edite as configurações.

  4. Clique em Editar na parte inferior da página para validar as configurações.

  5. Para salvar suas configurações, clique em Confirmar. As alterações nesta página podem levar até 30 minutos para ser concluídas.

Modificar servidores DNS

  1. Navegue até o HUB Virtual -> VPN de Usuário (ponto a site).

  2. Clique no valor próximo a Servidores DNS Personalizados para abrir a página Editar Gateway da VPN de Usuário.

  3. Na página Editar Gateway da VPN de Usuário, edite o campo Servidores DNS Personalizados. Insira os endereços IP do servidor DNS nas caixas de texto Servidores DNS Personalizados. Você pode especificar até cinco servidores DNS.

  4. Clique em Editar na parte inferior da página para validar as configurações.

  5. Para salvar suas configurações, clique em Confirmar. As alterações nesta página podem levar até 30 minutos para ser concluídas.

Limpar os recursos

Quando não precisar mais dos recursos que criou, exclua-os. Alguns dos recursos da WAN Virtual precisam ser excluídos em determinada ordem devido às dependências. A exclusão poderá levar cerca de 30 minutos para ser concluída.

  1. Abra a WAN virtual criada.

  2. Selecione um hub virtual associado à WAN virtual para abrir a página do hub.

  3. Exclua todas as entidades de gateway seguindo a ordem abaixo para o tipo de gateway. Isso poderá levar até 30 minutos para ser concluído.

    VPN:

    • Desconectar os sites VPN
    • Excluir conexões VPN
    • Excluir gateways VPN

    ExpressRoute:

    • Excluir conexões do ExpressRoute
    • Excluir gateways do ExpressRoute
  4. Repita esta etapa para todos os hubs associados à WAN virtual.

  5. Exclua os hubs agora ou mais tarde, ao excluir o grupo de recursos.

  6. Procure o grupo de recursos no portal do Azure.

  7. Selecione Excluir grupo de recursos. Isso excluirá os outros recursos no grupo de recursos, incluindo os hubs e a WAN virtual.

Próximas etapas