Tutorial: criar uma conexão VPN site a site no portal do Azure
Neste tutorial, use o portal do Azure para criar uma conexão de Gateway de VPN S2S (site a site) entre sua rede local e uma rede virtual. Você também pode criar essa configuração usando o Azure PowerShell ou a CLI do Azure.
Neste tutorial, você:
- Crie uma rede virtual.
- Crie um gateway de VPN.
- Criar um gateway de rede local.
- Criar uma conexão VPN.
- Verifique a conexão.
- Conectar-se a uma máquina virtual.
Pré-requisitos
Você precisa de uma conta do Azure com uma assinatura ativa. Se você não tiver uma conta, é possível criar uma gratuitamente.
Se você não estiver familiarizado com os intervalos de endereço IP localizados na configuração de rede local, fale com alguém que possa lhe dar essa informação. Ao criar essa configuração, você precisa especificar os prefixos do intervalo de endereços IP que o Azure irá encaminhar para o seu local. Nenhuma das sub-redes da rede local podem se sobrepor às sub-redes de rede virtual às quais você deseja se conectar.
Dispositivos de VPN:
- Verifique se você tem um dispositivo VPN compatível e alguém que possa configurá-lo. Para obter mais informações sobre dispositivos VPN compatíveis e a configuração do dispositivo, confira Sobre dispositivos VPN.
- Verifique se você possui um endereço IPv4 público voltado para o exterior para seu dispositivo VPN.
- Verifique se o seu dispositivo de VPN dá suporte a gateways no modo ativo-ativo. Esse artigo cria um gateway de VPN no modo ativo-ativo, o que é recomendado para uma conectividade altamente disponível. O modo ativo-ativo especifica que ambas as instâncias de VM do gateway estão ativas e usam dois endereços IP públicos, um para cada instância de VM do gateway. Você configura seu dispositivo de VPN para se conectar ao endereço IP de cada instância de VM do gateway. Se o seu dispositivo de VPN não for compatível com esse modo, este não deve ser habilitado para o seu gateway. Para obter mais informações, confira Projetar uma conectividade altamente disponível para conexões multilocais e VNet a VNet e Sobre gateways de VPN no modo ativo-ativo.
Criar uma rede virtual
Nesta seção, você cria uma rede virtual usando os seguintes valores:
- Grupo de recursos: TestRG1
- Nome: VNet1
- Região: (EUA) Leste dos EUA
- Espaço de endereço IPv4: 10.1.0.0/16
- Nome da sub-rede: FrontEnd
- Espaço de endereço de sub-rede:
Observação
Ao usar uma rede virtual como parte de uma arquitetura entre locais, é necessário coordenar com o responsável pela administração da rede local para obter um intervalo de endereços IP que possa ser usado especificamente para essa rede virtual. Se houver um intervalo de endereços duplicado nos dois lados da conexão de VPN, o tráfego será roteado inesperadamente. Além disso, se você quiser conectar essa rede virtual a outra rede virtual, o espaço de endereço não poderá se sobrepor ao da outra rede virtual. Planeje sua configuração de rede de forma adequada.
Entre no portal do Azure.
Em Pesquisar recursos, serviço e documentos (G+/) na parte superior da página do portal, insira rede virtual. Selecione Rede virtual nos resultados da pesquisa do Marketplace para abrir a página Rede virtual.
Na página Rede virtual, selecione Criar para abrir a página Criar rede virtual.
Na guia Informações Básicas, defina as configurações Detalhes do projeto e Detalhes da instância da rede virtual. Você verá uma marca de seleção verde quando os valores que você inserir forem validados. É possível ajustar os valores mostrados no exemplo de acordo com as configurações necessárias.
- Assinatura: verifique se a assinatura listada é a correta. É possível alterar as assinaturas usando a caixa suspensa.
- Grupo de recursos: selecione um grupo de recursos ou selecione Criar para criar outro. Para saber mais sobre os grupos de recursos, confira Visão geral do Azure Resource Manager.
- Name: insira o nome de sua rede virtual.
- Região: selecione o local da sua rede virtual. A localização determina onde residirão os recursos que você implanta nessa rede virtual.
Selecione Avançar ou Segurança para acessar a guia Segurança. Para este exercício, mantenha os valores padrão para todos os serviços nesta página.
Selecione Endereços IP ou acesse a guia Endereços IP. Na guia Endereços IP, faça as configurações.
Espaço de endereço IPv4: por padrão, um espaço de endereço é criado automaticamente. Você pode selecionar o espaço de endereço e ajustá-lo para refletir seus próprios valores. Você também pode adicionar um espaço de endereço diferente e remover o padrão que foi criado automaticamente. Por exemplo, especifique o endereço inicial como 10.1.0.0 e especifique o tamanho do espaço de endereço como /16. Em seguida, selecione Adicionar para adicionar esse espaço de endereço.
+ Adicionar sub-rede: se você usar o espaço de endereço padrão, uma sub-rede padrão será criada automaticamente. Se você alterar o espaço de endereço, adicione uma nova sub-rede dentro desse espaço de endereço. Selecione + Adicionar sub-rede para abrir a janela Adicionar sub-rede. Defina as configurações a seguir e depois selecione Adicionar na parte inferior da página para adicionar os valores.
- Nome da sub-rede: um exemplo é FrontEnd.
- Intervalo de endereços da sub-rede: o intervalo de endereços para esta sub-rede. Os exemplos são 10.1.0.0 e /24.
Examine a página endereços IP e remova todos os espaços de endereço ou sub-redes que você não precisa.
Selecione Examinar + criar para validar as configurações de rede virtual.
Depois que as configurações forem validadas, selecione Criar para criar a rede virtual.
Depois de criar a rede virtual, opcionalmente, você pode configurar a Proteção contra DDoS do Azure. É muito simples habilitar a Proteção contra DDoS do Azure em qualquer rede virtual nova ou existente, e ela não exige nenhum aplicativo nem alterações de recursos. Para obter mais informações sobre a Proteção contra DDoS, confira O que é a Proteção contra DDoS do Azure?.
Criar uma sub-rede de gateway
O gateway de rede virtual requer uma sub-rede específica chamada GatewaySubnet. A sub-rede do gateway faz parte do intervalo de endereços IP da sua rede virtual e contém os endereços IP que os recursos e serviços do gateway de rede virtual usam.
Quando você cria a sub-rede de gateway, pode especificar o número de endereços IP que contém a sub-rede. O número de endereços IP necessários depende da configuração do gateway VPN que você deseja criar. Algumas configurações exigem mais endereços IP do que outras. É melhor especificar /27 ou maior (/26, /25 etc.) para sua sub-rede de gateway.
- Na página da rede virtual, no painel à esquerda, selecione sub-redes para abrir a página Sub-redes.
- Na parte superior da página, selecione + Sub-rede do gateway para abrir o painel Adicionar sub-rede.
- O nome é inserido automaticamente como GatewaySubnet. Ajuste o valor do intervalo de endereços IP, se necessário. Um exemplo é 10.1.255.0/27.
- Não ajuste os outros valores na página. Selecione Salvar na parte inferior da página para criar a sub-rede.
Importante
Não há suporte para NSGs (grupos de segurança de rede) na sub-rede do gateway. A associação de um grupo de segurança de rede a essa sub-rede pode fazer com que seu Gateway de rede virtual (Gateways de VPN e ExpressRoute) pare de funcionar conforme o esperado. Para obter mais informações sobre grupos de segurança de rede, confira O que é um grupo de segurança de rede?
Criar um gateway de VPN
Nessa etapa, você vai criar um gateway de rede virtual (gateway de VPN) para a sua rede virtual. Criar um gateway pode levar 45 minutos ou mais, dependendo do SKU de gateway selecionado.
Criar um gateway de VPN
Crie um gateway de rede virtual (gateway de VPN) usando os seguintes valores:
- Nome: Vnet1GW
- Tipo de gateway: VPN
- SKU: VpnGw2AZ
- Geração: geração 2
- Rede virtual: VNet1
- Intervalo de endereços da sub-rede do gateway: 10.1.255.0/27
- Endereço de IP público: Criar novo
- Nome do endereço IP público: VNet1GWpip1
- SKU do endereço IP público: padrão
- Atribuição: estático
- Nome do segundo endereço IP público: VNet1GWpip2
- Habilite o modo ativo-ativo: habilitado
- Configurar BGP: Desabilitado
Em Pesquisar recursos, serviços e documentos (G+/), insira gateway de rede virtual. Localize o Gateway de rede virtual nos resultados da pesquisa do Marketplace e selecione-o para abrir a página Criar gateway de rede virtual.
Na guia Informações básicas, preencha os valores de Detalhes do projeto e Detalhes da instância.
Assinatura: escolha na lista de seleção a assinatura que deseja usar.
Grupo de recursos: esse valor é preenchido automaticamente ao selecionar a rede virtual nesta página.
Nome: este é o nome do objeto de gateway que você está criando. Isso é diferente da sub-rede de gateway para a qual os recursos do gateway serão implantados.
Região: Selecione a região na qual deseja criar este recurso. A região do gateway deve ser a mesma que da rede virtual.
Tipo de gateway: selecione VPN. Gateways VPN usam o tipo de gateway de rede virtual do tipo VPN.
SKU: na lista de seleção, escolha o SKU do gateway que dá suporte aos recursos que você deseja usar. Para saber mais sobre os SKUs, consulte SKUs de Gateway. Para configurar um gateway SKU Básico, veja as etapas do PowerShell.
Geração: selecione Generation2 no menu suspenso.
Rede virtual: na lista de seleção, escolha a rede virtual à qual você deseja adicionar este gateway. Caso não consiga visualizar a rede virtual que deseja usar, verifique se selecionou a assinatura e a região corretas nas configurações anteriores.
Intervalo de endereços da sub-rede do gateway ou Sub-rede: a sub-rede do gateway é necessária para criar um gateway de VPN.
Atualmente, esse campo pode mostrar diferentes opções de configurações, dependendo do espaço de endereço da rede virtual e se você já criou uma sub-rede chamada GatewaySubnet para sua rede virtual.
Caso não tenha uma sub-rede de gateway e não vir a opção para criá-la nesta página, volte para sua rede virtual e crie a sub-rede do gateway. Em seguida, retorne a esta página e configure o gateway de VPN.
Especifique os valores do Endereço IP público. Essas configurações especificam os objetos de endereço IP público que serão associados ao Gateway de VPN. O endereço IP público é atribuído a cada objeto do endereço IP público quando o gateway de VPN é criado. A única vez em que o endereço IP público atribuído é alterado é quando o gateway é excluído e recriado. Endereços IP não alteram o redimensionamento, redefinição ou outras manutenções/atualizações internas do seu gateway de VPN.
Tipo de endereço IP público: se essa opção aparecer, selecione Standard.
Endereço IP público: Deixe criar novo selecionado.
Nome do endereço IP público: na caixa de texto, insira um nome para a instância de endereço IP público.
SKU de endereço IP público: a configuração é selecionada automaticamente como SKU Standard.
Atribuição: a atribuição normalmente é selecionada automaticamente e deve ser Estática.
Zona de disponibilidade: selecione com redundância de zona, a menos que você saiba que deseja especificar uma zona.
Habilitar o modo ativo-ativo: selecione Habilitado. Isso cria um configuração de gateway ativa-ativa.
Segundo endereço IP público: selecione Criar.
Nome do endereço IP público: na caixa de texto, insira um nome para a instância de endereço IP público.
SKU de endereço IP público: a configuração é selecionada automaticamente como SKU Standard.
Zona de disponibilidade: selecione com redundância de zona, a menos que você saiba que deseja especificar uma zona.
Configurar BGP: selecione Desabilitado, a menos que sua configuração exija especificamente essa configuração. Se você exigir essa configuração, o ASN padrão será 65515, embora esse valor possa ser alterado.
Selecione Examinar + criar para executar a validação.
Depois que a validação for aprovada, selecione Criar para implantar o Gateway de VPN.
Podem ser necessários 45 minutos ou mais para criar e implantar um gateway por completo. Você pode ver o status de implantação na página de Visão Geral do seu gateway.
Importante
Não há suporte para NSGs (grupos de segurança de rede) na sub-rede do gateway. A associação de um grupo de segurança de rede a essa sub-rede pode fazer com que seu Gateway de rede virtual (Gateways de VPN e ExpressRoute) pare de funcionar conforme o esperado. Para obter mais informações sobre grupos de segurança de rede, confira O que é um grupo de segurança de rede?
Exibir o endereço IP público
Para ver o endereço IP associado a cada instância de VM de gateway de rede virtual, vá para o seu gateway de rede virtual no portal.
- Vá para a página Propriedades do seu gateway de rede virtual (não para a página Visão Geral). Talvez você precise expandir Configurações para ver a página Propriedades na lista.
- Se o seu gateway estiver no modo ativo-passivo, você verá apenas um endereço IP. Se o seu gateway estiver no modo ativo-ativo, você verá dois endereços IP públicos listados, um para cada instância de VM do gateway. Ao criar uma conexão site a site, você precisa especificar cada endereço IP ao configurar seu dispositivo de VPN, porque ambas as VMs de gateway estão ativas.
- Para visualizar mais informações sobre o objeto de endereço IP, clique no link de endereço IP associado.
Criar um gateway de rede local
O gateway de rede local é um objeto específico implantado no Azure que representa seu local no local (o site) para fins de roteamento. O nome que você atribuir ao site é o que o Azure usará para referenciá-lo. Você também especificará o endereço IP do dispositivo VPN local com o qual criará uma conexão. Você também especifica os prefixos de endereço IP que serão roteados por meio do gateway de VPN para o dispositivo VPN. Os prefixos de endereço que você especifica são os prefixos localizados em sua rede local. Se as alterações de rede local ou se você precisar alterar o endereço IP público para o dispositivo VPN, poderá atualizar facilmente os valores mais tarde. Você vai criar um gateway de rede local separado para cada dispositivo de VPN ao qual quiser se conectar. Alguns projetos de conectividade altamente disponível especificam vários dispositivos de VPN locais.
Crie um gateway de rede local usando os seguintes valores:
- Nome: Site1
- Grupo de recursos: TestRG1
- Local: Leste dos EUA
Considerações de configuração:
- O Gateway de VPN suporta apenas um endereço IPv4 para cada FQDN. Se o nome de domínio for resolvido em vários endereços IP, o Gateway de VPN usará o primeiro endereço IP retornado pelos servidores DNS. Para eliminar a incerteza, recomendamos que seu FQDN sempre resolva para um endereço IPv4. Não há suporte para o IPv6.
- O Gateway de VPN mantém um cache de DNS que é atualizado a cada 5 minutos. O gateway tenta resolver FQDNs somente para túneis desconectados. A redefinição do gateway também dispara a resolução de FQDN.
- Embora o Gateway de VPN ofereça suporte a várias conexões a diferentes gateways de rede local com diferentes FQDNs, todos os FQDNs devem ser resolvidos com diferentes endereços de IP.
No portal, acesse Gateways de rede locais e abra a página Criar gateway de rede local.
Na guia Básico, especifique os valores para o gateway de rede local.
- Assinatura: Verifique se a assinatura correta está sendo exibida.
- Grupo de recursos: selecione o grupo de recursos que você deseja usar. Você pode criar um novo grupo de recursos ou selecionar um que você já criou.
- Região: selecione a região desse objeto. Você pode selecionar o mesmo local em que sua rede virtual está, mas isso não é obrigatório.
- Nome: especifique um nome para seu objeto de gateway de rede local.
- Ponto de extremidade: selecione o tipo de ponto de extremidade para o dispositivo VPN local como endereço IP ou FQDN (Nome de Domínio Totalmente Qualificado).
- Endereço IP: se você tiver um endereço IP público estático alocado pelo seu provedor de serviços de Internet (ISP) para o seu dispositivo VPN, selecione a opção Endereço IP. Preencha o endereço IP conforme mostrado no exemplo. Esse endereço é o endereço IP público do dispositivo VPN ao qual você deseja que o Gateway de VPN do Azure se conecte. Se você não tiver o endereço IP no momento, poderá usar os valores mostrados no exemplo. Posteriormente, você deve voltar e substituir o endereço IP do espaço reservado pelo endereço IP público do seu dispositivo VPN. Caso contrário, o Azure não poderá se conectar.
- FQDN: se você tiver um endereço IP público dinâmico que possa mudar após um determinado período, geralmente determinado pelo seu ISP, poderá usar um nome DNS constante com um serviço de DNS dinâmico para apontar para o endereço IP público atual do seu dispositivo VPN. Seu gateway VPN do Azure resolve o FQDN para determinar o endereço IP público ao qual se conectar.
- Espaço de endereços: o espaço de endereço refere-se aos intervalos de endereços da rede que essa rede local representa. Você pode adicionar vários intervalos de espaço de endereço. Verifique se os intervalos especificados aqui não se sobrepõem aos intervalos de outras redes com as quais você deseja se conectar. O Azure roteia o intervalo de endereços especificado para o endereço IP do dispositivo VPN local. Se deseja se conectar ao site local, use seus próprios valores aqui, e não os valores mostrados no exemplo.
Na guia Avançado, você pode definir as configurações do BGP, se necessário.
Depois de especificar os valores, selecione Revisar + criar na parte inferior da página para validar a página.
Selecione Criar para criar o objeto de gateway de rede local.
Configurar o dispositivo de VPN
As conexões site a site para uma rede local exigem um dispositivo VPN. Nesta etapa, você deve configurar seu dispositivo VPN. Ao configurar o dispositivo VPN, você precisará dos seguintes valores:
- Chave compartilhada: essa chave compartilhada é a mesma que você especifica ao criar a conexão VPN site a site. Em nossos exemplos, usamos uma chave compartilhada simples. Recomendamos gerar uma chave mais complexa para uso.
- Endereços IP públicos de suas instâncias de gateway de rede virtual: obtenha o endereço IP para cada instância de VM. Se o seu gateway estiver no modo ativo-ativo, você terá um endereço IP para cada instância de VM do gateway. Certifique-se de configurar seu dispositivo com ambos os dois endereços IP, um para cada VM ativa do gateway. Os gateways no modo ativo-em espera têm apenas um endereço IP.
Observação
Para conexões S2S com um gateway de VPN de modo ativo-ativo, verifique se os túneis são estabelecidos para cada instância de VM de gateway. Caso estabeleça um túnel para apenas uma instância de VM de gateway, a conexão diminuirá durante a manutenção. Se o seu dispositivo VPN não for compatível com essa configuração, configure o gateway para o modo ativo-em espera.
Dependendo do dispositivo VPN que você tem, talvez seja possível fazer o download de um script de configuração do dispositivo VPN. Para saber mais, confira Fazer download dos scripts de configuração de dispositivo de VPN.
Para obter mais informações sobre configuração, confira os links a seguir:
- Para obter informações sobre dispositivos VPN compatíveis, confira Dispositivos VPN.
- Antes de configurar o dispositivo VPN, verifique se há algum problema de compatibilidade conhecido com o dispositivo VPN que você deseja usar.
- Para obter links para as definições de configuração do dispositivo, confira Dispositivos VPN Validados. Os links de configuração do dispositivo são fornecidos em uma base de melhor esforço. Sempre é melhor verificar com o fabricante do dispositivo para obter as últimas informações de configuração. A lista mostra as versões que testamos. Se o sistema operacional não estiver nessa lista, ainda será possível que a versão seja compatível. Confira com o fabricante do seu dispositivo para verificar se a versão do SO do dispositivo VPN é compatível.
- Para obter uma visão geral da configuração do dispositivo VPN, confira Visão geral das configurações de dispositivos VPN de terceiros.
- Para obter informações sobre a edição dos exemplos de configuração do dispositivo, consulte Edição de exemplos.
- Para requisitos de criptografia, veja Sobre os requisitos de criptografia e gateways de VPN do Azure.
- Para obter informações sobre parâmetros IPsec/IKE, confira Sobre dispositivos VPN e os parâmetros IPsec/IKE para conexões do Gateway de VPN site a site. Esse link mostra informações sobre a versão do IKE, o grupo Diffie-Hellman, o método de autenticação, os algoritmos de criptografia e de hash, o tempo de vida do SA, o PFS e o DPD, além de outras informações de parâmetros necessárias para concluir a configuração.
- Para ver as etapas de configuração da política IPsec/IKE, confira Configurar a política IPsec/IKE para conexões VPN site a site ou VNet a VNet.
- Para conectar vários dispositivos VPN baseados em política, confira Conectar gateways VPN do Azure a vários dispositivos VPN com base em políticas locais usando o PowerShell.
Criar conexões VPN
Crie uma conexão VPN site a site entre o gateway de rede virtual e o dispositivo VPN local. Se você estiver usando um gateway em modo ativo-ativo (recomendado), cada instância de VM do gateway terá um endereço IP separado. Para configurar corretamente a conectividade altamente disponível, você deve estabelecer um túnel entre cada instância de VM e seu dispositivo VPN. Ambos os túneis fazem parte da mesma conexão.
Crie uma conexão usando os seguintes valores:
- Nome do gateway de rede local: Site1
- Nome da conexão: VNet1toSite1
- Chave compartilhada: para esse exemplo, use abc123. Mas você pode usar o que for compatível com o hardware de VPN. O importante é que os valores correspondam em ambos os lados da conexão.
No portal, vá para o gateway de rede virtual e o abra.
Na página do gateway, clique em Conexões.
Na parte superior da página Conexões, selecione + Adicionar para abrir a página Criar conexão.
Na página Criar conexão, na guia Informações Básicas, configure os valores para sua conexão:
Em Detalhes do projeto, selecione a assinatura e o grupo de recursos no qual os recursos estão localizados.
Em Detalhes da instância, defina as seguintes configurações:
- Tipo de conexão: selecione site a site (IPSec) .
- Nome: nomeie sua conexão.
- Região: Selecione a região para essa conexão.
Selecione a guia Configurações e configure os valores a seguir:
- Gateway de rede virtual: selecione o gateway de rede virtual na lista suspensa.
- Gateway de rede local: selecione o gateway de rede local na lista suspensa.
- Chave compartilhada: o valor aqui deve corresponder ao valor que você está usando para o seu dispositivo VPN local. Se esse campo não aparecer na página do portal ou se você quiser atualizar essa chave posteriormente, poderá fazer isso depois que o objeto de conexão for criado. Vá para o objeto de conexão criado (nome de exemplo: VNet1toSite1) e atualize a chave na página Autenticação.
- Protocolo IKE: selecione IKEv2.
- Usar endereço IP privado do Azure: não selecionar.
- Habilitar BGP: não selecionar.
- FastPath: não selecionar.
- Política IPsec/IKE: selecione Padrão.
- Usar seletor de tráfego baseado em políticas: selecione Desabilitar.
- Tempo limite do DPD em segundos: selecione 45.
- Modo de Conexão: selecione Padrão. Essa configuração é usada para decidir qual gateway pode iniciar a conexão. Para obter mais informações, confira Configurações do Gateway de VPN – Modos de conexão.
Para Associações de Regras NAT, deixe tanto Entrada quanto Saída como 0 selecionado.
Selecione Revisar + criar para validar suas configurações de conexão.
Selecione Criar para criar a conexão.
Após a conclusão da implantação, você poderá ver a conexão na página Conexões do gateway de rede virtual. O status muda de Desconhecido para Conectando e depois para Bem-sucedido.
Definir mais configurações de conexão (opcional)
Você pode definir outras configurações para sua conexão, se necessário. Caso contrário, ignore esta seção e deixe os padrões em vigor. Para obter mais informações, consulte Configurar políticas de conexão IPsec/IKE personalizadas.
Acesse o gateway de rede virtual e selecione Conexões para abrir a página Conexões.
Selecione o nome da conexão que você quer configurar para abrir a página Conexão.
No lado esquerdo da página Conexão, selecione Configuração para abrir a página Configuração. Faça as alterações necessárias e selecione Salvar.
Nas capturas de tela a seguir, as configurações são habilitadas para que você possa ver as configurações disponíveis no portal. Selecione a captura de tela para ver a exibição expandida. Ao configurar as conexões, defina apenas as configurações necessárias. Caso contrário, deixe as configurações padrão em vigor.
Verificar a conexão VPN
No portal do Azure, você pode ver o status da conexão de um gateway de VPN indo até a conexão. As etapas a seguir mostram uma maneira de acessar a conexão e verificar.
- No menu do portal do Azure, selecione Todos os recursos ou pesquise e selecione Todos os recursos de qualquer página.
- Selecione seu gateway de rede virtual.
- No painel do seu gateway de rede virtual, selecione Conexões. Você pode ver o status de cada conexão.
- Selecione o nome da conexão que você deseja verificar para abrir as Informações básicas. No painel Informações básicas, você pode ver mais informações sobre a sua conexão. O status é Bem-sucedido e Conectado depois que a conexão for bem-sucedida.
Conectar-se a uma máquina virtual
É possível se conectar a uma VM implantada em sua rede virtual criando uma conexão de Área de Trabalho Remota com a VM. É a melhor maneira de verificar inicialmente se você pode se conectar à sua VM usando seu endereço IP privado, em vez do nome do computador. Dessa forma, você está testando para ver se pode conectar-se e não se a resolução de nomes está configurada corretamente.
Localize o endereço IP privado. É possível encontrar o endereço IP privado de uma VM observando as propriedades da VM no portal do Azure ou usando o PowerShell.
Portal do Azure: localize sua VM no portal do Azure. Exiba as propriedades para a VM. O endereço IP privado está listado.
PowerShell: use o exemplo para exibir uma lista de VMs e endereços de IP privados dos seus grupos de recursos. Você não precisa modificar esse exemplo antes de usá-lo.
$VMs = Get-AzVM $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null foreach ($Nic in $Nics) { $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod Write-Output "$($VM.Name): $Prv,$Alloc" }
Verifique se você está conectado à sua rede virtual.
Abra a Conexão de Área de Trabalho Remota, inserindo RDP ou Conexão de Área de Trabalho Remota na caixa de pesquisa na barra de tarefas. Em seguida, selecione Conexão de Área de Trabalho Remota. Você também pode abrir a Conexão de Área de Trabalho Remota usando o comando
mstsc
no PowerShell.Na Conexão de Área de Trabalho Remota, insira o endereço IP privado da VM. É possível selecionar Mostrar Opções para ajustar outras configurações e depois se conectar.
Se você estiver com problemas para se conectar a uma VM por meio da conexão VPN, verifique o seguinte pontos:
- Verifique se a conexão VPN é estabelecida.
- Verifique se você está se conectando ao endereço IP privado da VM.
- Se você puder se conectar à VM usando o endereço IP privado, mas não o nome do computador, verifique se o DNS foi configurado corretamente. Para obter mais informações sobre como funciona a resolução de nomes para VMs, confira Resolução de nomes para VMs.
Para obter mais informações sobre conexões RDP, confira Solucionar problemas de conexões da Área de Trabalho Remota a uma VM.
Etapas opcionais
Redefinir um gateway
A redefinição de um gateway de VPN do Azure é útil se você perder a conectividade VPN entre locais em um ou mais túneis de VPN site a site. Nessa situação, os dispositivos VPN locais estão funcionando corretamente, mas não conseguem estabelecer túneis IPsec com os gateways de VPN do Azure. Se você precisar redefinir um gateway ativo-ativo, poderá redefinir ambas as instâncias usando o portal. Você também pode usar o PowerShell ou a CLI para redefinir cada instância de gateway separadamente usando VIPs de instância. Para obter mais informações, confira Redefinir uma conexão ou um gateway.
- No portal, acesse o gateway de rede virtual que você deseja redefinir.
- Na página Gateway de rede virtual, no painel esquerdo, role e localize Ajuda –> Redefinir.
- Na página Redefinir, selecione Redefinir. Após a emissão do comando, a instância ativa atual do gateway Azure VPN é reiniciada imediatamente. A redefinição do gateway causará uma lacuna na conectividade VPN e poderá limitar a análise da causa raiz do problema no futuro.
Adicionar outra conexão
Um gateway pode ter várias conexões. Se você quiser configurar conexões para vários sites locais a partir do mesmo gateway de VPN, os espaços de endereço não poderão se sobrepor entre nenhuma das conexões.
- Se estiver se conectando usando uma VPN site a site e não tiver um gateway de rede local para o site ao qual você quer se conectar, crie outro gateway de rede local e especifique os detalhes do site. Para obter mais informações, consulte Criar um gateway de rede local.
- Para adicionar uma conexão, vá para o gateway de VPN e, a seguir selecione Conexões para abrir a página Conexões.
- Selecione + Adicionar para adicionar sua conexão. Ajuste o tipo de conexão para que reflita a opção VNet a VNet (se estiver se conectando a um outro gateway de rede virtual) ou site a site.
- Especifique a chave compartilhada que deseja usar e depois selecione OK para criar a conexão.
Atualizar uma chave compartilhada de conexão
Você pode especificar uma chave compartilhada diferente para sua conexão.
- No portal, vá para a conexão.
- Altere a chave compartilhada na página Autenticação.
- Salve suas alterações.
- Atualize seu dispositivo VPN com a nova chave compartilhada conforme necessário.
Redimensionar ou alterar um SKU de gateway
Você pode redimensionar um SKU de gateway ou alterar a SKU do gateway. Há regras específicas sobre qual opção está disponível, dependendo da SKU que seu gateway está usando no momento. Para obter mais informações, confira Redimensionar ou alterar os SKUs de gateway.
Outras considerações de configuração
Você pode personalizar configurações site a site de várias maneiras. Para obter mais informações, consulte os seguintes artigos:
- Para obter informações sobre o BGP, consulte a Visão Geral do BGP e Como configurar o BGP.
- Para obter mais informações sobre túneis forçados, consulte Sobre o túnel forçado.
- Para obter informações sobre conexões altamente disponíveis ativo-ativo, consulte Conectividade altamente disponível entre locais e entre rede virtual a rede virtual.
- Para obter mais informações sobre como limitar o tráfego de rede para recursos em uma rede virtual, consulte Segurança de rede.
- Para obter mais informações sobre como o Azure roteia o tráfego entre o Azure, locais e recursos da Internet, consulte Roteamento de tráfego da rede virtual.
Limpar os recursos
Se você não for continuar usando este aplicativo ou for para o próximo tutorial, exclua os recursos.
- Insira o nome do grupo de recursos na caixa Pesquisar na parte superior do portal e selecione-o nos resultados da pesquisa.
- Selecione Excluir grupo de recursos.
- Insira seu grupo de recursos para obter a opção DIGITAR O NOME DO GRUPO DE RECURSOS e clique em Excluir.
Próximas etapas
Depois de configurar uma conexão site a site, você pode adicionar uma conexão ponto a site ao mesmo gateway.