Definir configurações do servidor Gateway VPN P2S - autenticação RADIUS

Este artigo ajuda você a criar uma conexão ponto a site (P2S) que usa autenticação RADIUS. Você pode criar essa configuração usando o PowerShell ou o portal do Azure. Se você quiser autenticar usando um método diferente, consulte os seguintes artigos:

• Autenticação de certificado
• Autenticação do Microsoft Entra ID

Para obter mais informações sobre conexões VPN ponto a site, consulte Sobre VPN P2S.

Este tipo de ligação requer:

• Um gateway de VPN RouteBased.
• Um servidor RADIUS para lidar com a autenticação do usuário. O servidor RADIUS pode ser implantado no local ou na rede virtual do Azure (VNet). Você também pode configurar dois servidores RADIUS para alta disponibilidade.
• O pacote de configuração do perfil do cliente VPN. O pacote de configuração do perfil do cliente VPN é um pacote que você gera. Ele contém as configurações necessárias para um cliente VPN se conectar por P2S.

Limitações:

• Se estiver a utilizar o IKEv2 com RADIUS, apenas a autenticação baseada em EAP é suportada.
• Uma conexão de Rota Expressa não pode ser usada para se conectar a um servidor RADIUS local.

Sobre a autenticação de domínio do Ative Directory (AD) para VPNs P2S

A autenticação de Domínio do AD permite que os usuários entrem no Azure usando suas credenciais de domínio da organização. Requer um servidor RADIUS que se integre com o servidor AD. As organizações também podem usar sua implantação RADIUS existente.

O servidor RADIUS pode residir no local ou na sua rede virtual do Azure. Durante a autenticação, o gateway VPN atua como uma passagem e encaminha mensagens de autenticação entre o servidor RADIUS e o dispositivo de conexão. É importante que o gateway VPN possa alcançar o servidor RADIUS. Se o servidor RADIUS estiver localizado localmente, será necessária uma conexão VPN site a site do Azure para o site local.

Além do Ative Directory, um servidor RADIUS também pode se integrar com outros sistemas de identidade externos. Isso abre muitas opções de autenticação para VPNs P2S, incluindo opções de MFA. Verifique a documentação do fornecedor do servidor RADIUS para obter a lista de sistemas de identidade com os quais ele se integra.

Antes de começar

Verifique se tem uma subscrição do Azure. Se ainda não tiver uma subscrição do Azure, pode ativar os Benefícios de subscritor do MSDN ou inscrever-se numa conta gratuita.

Trabalhando com o Azure PowerShell

Este artigo usa cmdlets do PowerShell. Para executar os cmdlets, você pode usar o Azure Cloud Shell. O Cloud Shell é um shell interativo gratuito que você pode usar para executar as etapas neste artigo. Tem as ferramentas comuns do Azure pré-instaladas e configuradas para utilização com a sua conta.

Para abrir o Cloud Shell, basta selecionar Abrir Cloudshell no canto superior direito de um bloco de código. Você também pode abrir o Cloud Shell em uma guia separada do https://shell.azure.com/powershellnavegador acessando . Selecione Copiar para copiar os blocos de código, cole-os no Cloud Shell e selecione a tecla Enter para executá-los.

Você também pode instalar e executar os cmdlets do Azure PowerShell localmente em seu computador. Os cmdlets do PowerShell são atualizados com frequência. Se você não tiver instalado a versão mais recente, os valores especificados nas instruções podem falhar. Para localizar as versões do Azure PowerShell instaladas no seu computador, use o Get-Module -ListAvailable Az cmdlet. Para instalar ou atualizar, consulte Instalar o módulo do Azure PowerShell.

Valores de exemplo

Pode utilizar os valores de exemplo para criar um ambiente de teste ou consultá-los para compreender melhor os exemplos neste artigo. Pode utilizar os passos como orientação e utilizar os valore sem os alterar ou alterá-los de modo a refletir o seu ambiente.

• Nome: VNet1
• Espaço de endereço: 10.1.0.0/16 e 10.254.0.0/16
  Para este exemplo, utilizamos mais do que um espaço de endereço para ilustrar que esta configuração funciona com vários espaços de endereço. No entanto, vários espaços de endereço não são necessários para essa configuração.
• Nome da sub-rede: FrontEnd
  • Intervalo de endereços da sub-rede: 10.1.0.0/24
• Nome da sub-rede: BackEnd
  • Intervalo de endereços da sub-rede: 10.254.1.0/24
• Nome da sub-rede: GatewaySubnet
  O nome da Sub-rede GatewaySubnet é obrigatório para o gateway de VPN funcionar.
  • GatewayIntervalo de endereços de sub-rede: 10.1.255.0/27
• Conjunto de endereços de cliente VPN: 172.16.201.0/24
  Os clientes VPN que se conectam à rede virtual usando essa conexão P2S recebem um endereço IP do pool de endereços do cliente VPN.
• Subscrição: se tiver mais do que uma subscrição, verifique se está a utilizar a correta.
• Grupo de Recursos: TestRG1
• Localização: E.U.A. Leste
• Servidor DNS: endereço IP do servidor DNS que pretende utilizar para a resolução de nomes para a sua rede virtual. (opcional)
• Nome do GW: Vnet1GW
• Nome do IP público: VNet1GWPIP
• VpnType: RouteBased

Criar o grupo de recursos, a rede virtual e o endereço IP público

As etapas a seguir criam um grupo de recursos e uma rede virtual no grupo de recursos com três sub-redes. Ao substituir valores, é importante que você sempre nomeie sua sub-rede de gateway especificamente como GatewaySubnet. Se der outro nome, a criação da gateway falha.

1. Crie um grupo de recursos usando New-AzResourceGroup.

   New-AzResourceGroup -Name "TestRG1" -Location "EastUS"
   

2. Crie a rede virtual usando New-AzVirtualNetwork.

   $vnet = New-AzVirtualNetwork `
   -ResourceGroupName "TestRG1" `
   -Location "EastUS" `
   -Name "VNet1" `
   -AddressPrefix 10.1.0.0/16
   

3. Crie sub-redes usando New-AzVirtualNetworkSubnetConfig com os seguintes nomes: FrontEnd e GatewaySubnet (uma sub-rede de gateway deve ser chamada GatewaySubnet).

   $subnetConfigFrontend = Add-AzVirtualNetworkSubnetConfig `
     -Name Frontend `
     -AddressPrefix 10.1.0.0/24 `
     -VirtualNetwork $vnet
   
   $subnetConfigGW = Add-AzVirtualNetworkSubnetConfig `
     -Name GatewaySubnet `
     -AddressPrefix 10.1.255.0/27 `
     -VirtualNetwork $vnet
   

4. Escreva as configurações de sub-rede na rede virtual com Set-AzVirtualNetwork, que cria as sub-redes na rede virtual:

   $vnet | Set-AzVirtualNetwork
   

Solicitar um endereço IP público

Um gateway de VPN deve ter um endereço IP público. Primeira, requeira o recurso de endereço IP e, em seguida, faça referência ao mesmo ao criar o gateway de rede virtual. O endereço IP é atribuído estaticamente ao recurso quando o gateway VPN é criado. O endereço IP Público só é alterado quando o gateway é eliminado e recriado. Não é alterado ao redimensionar, repor ou ao realizar qualquer outra manutenção/atualização interna do gateway de VPN.

1. Solicite um endereço IP público para seu gateway VPN usando New-AzPublicIpAddress.

   $gwpip = New-AzPublicIpAddress -Name "GatewayIP" -ResourceGroupName "TestRG1" -Location "EastUS" -AllocationMethod Static -Sku Standard
   

2. Crie a configuração do endereço IP do gateway usando New-AzVirtualNetworkGatewayIpConfig. Essa configuração é referenciada quando você cria o gateway VPN.

   $vnet = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG1"
   $gwsubnet = Get-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
   $gwipconfig = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId $gwsubnet.Id -PublicIpAddressId $gwpip.Id
   

Configurar o servidor RADIUS

Antes de criar e configurar o gateway de rede virtual, o servidor RADIUS deve ser configurado corretamente para autenticação.

1. Se você não tiver um servidor RADIUS implantado, implante um. Para conhecer as etapas de implantação, consulte o guia de configuração fornecido pelo fornecedor do RADIUS.  
2. Configure o gateway VPN como um cliente RADIUS no RADIUS. Ao adicionar esse cliente RADIUS, especifique a rede virtual GatewaySubnet que você criou.
3. Depois que o servidor RADIUS estiver configurado, obtenha o endereço IP do servidor RADIUS e o segredo compartilhado que os clientes RADIUS devem usar para falar com o servidor RADIUS. Se o servidor RADIUS estiver na VNet do Azure, use o IP da CA da VM do servidor RADIUS.

O artigo Servidor de Políticas de Rede (NPS) fornece orientação sobre como configurar um servidor RADIUS do Windows (NPS) para autenticação de domínio do AD.

Criar o gateway de VPN

Nesta etapa, você configura e cria o gateway de rede virtual para sua rede virtual. Para obter informações mais completas sobre autenticação e tipo de túnel, consulte Especificar túnel e tipo de autenticação na versão deste artigo do portal do Azure.

• O -GatewayType deve ser 'Vpn' e o -VpnType deve ser 'RouteBased'.
• Um gateway VPN pode levar 45 minutos ou mais para ser criado, dependendo da SKU de gateway selecionada.

No exemplo a seguir, usamos o VpnGw2, SKU de Geração 2. Se você vir erros ValidateSet em relação ao valor GatewaySKU e estiver executando esses comandos localmente, verifique se instalou a versão mais recente dos cmdlets do PowerShell. A versão mais recente contém os novos valores validados para as SKUs de gateway mais recentes.

Crie o gateway de rede virtual com o tipo de gateway "Vpn" usando New-AzVirtualNetworkGateway.

New-AzVirtualNetworkGateway -Name "VNet1GW" -ResourceGroupName "TestRG1" `
-Location "EastUS" -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased -EnableBgp $false -GatewaySku VpnGw2 -VpnGatewayGeneration "Generation2"

Adicionar o servidor RADIUS

• O -RadiusServer pode ser especificado pelo nome ou pelo endereço IP. Se você especificar o nome e o servidor residir localmente, o gateway VPN pode não conseguir resolver o nome. Se for esse o caso, então é melhor especificar o endereço IP do servidor.
• O -RadiusSecret deve corresponder ao que está configurado no seu servidor RADIUS.
• O -VpnClientAddressPool é o intervalo a partir do qual os clientes VPN conectados recebem um endereço IP. Use um intervalo de endereços IP privados que não se sobreponha ao local a partir do qual você se conectará ou à VNet à qual deseja se conectar. Certifique-se de ter um pool de endereços grande o suficiente configurado.  

1. Crie uma cadeia de caracteres segura para o segredo RADIUS.

   $Secure_Secret=Read-Host -AsSecureString -Prompt "RadiusSecret"
   

2. Você será solicitado a inserir o segredo RADIUS. Os caracteres inseridos não serão exibidos e, em vez disso, serão substituídos pelo caractere "*".

   RadiusSecret:***
   

Adicionar o pool de endereços do cliente e os valores do servidor RADIUS

Nesta seção, você adiciona o pool de endereços do cliente VPN e as informações do servidor RADIUS. Existem várias configurações possíveis. Selecione o exemplo que você deseja configurar.

Configurações SSTP

$Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName "TestRG1" -Name "VNet1GW"
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
-VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "SSTP" `
-RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret

Configurações OpenVPN®

$Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName "TestRG1" -Name "VNet1GW"
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -VpnClientRootCertificates @()
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
-VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "OpenVPN" `
-RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret

Configurações do IKEv2

$Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName "TestRG1" -Name "VNet1GW"
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
-VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "IKEv2" `
-RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret

SSTP + IKEv2

$Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName "TestRG1" -Name "VNet1GW"
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
-VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol @( "SSTP", "IkeV2" ) `
-RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret

Especificar dois servidores RADIUS

Para especificar dois servidores RADIUS, use a sintaxe a seguir. Modifique o valor -VpnClientProtocol conforme necessário.

$radiusServer1 = New-AzRadiusServer -RadiusServerAddress 10.1.0.15 -RadiusServerSecret $radiuspd -RadiusServerScore 30
$radiusServer2 = New-AzRadiusServer -RadiusServerAddress 10.1.0.16 -RadiusServerSecret $radiuspd -RadiusServerScore 1

$radiusServers = @( $radiusServer1, $radiusServer2 )

Set-AzVirtualNetworkGateway -VirtualNetworkGateway $actual -VpnClientAddressPool 201.169.0.0/16 -VpnClientProtocol "IkeV2" -RadiusServerList $radiusServers

Configurar o cliente VPN e conectar-se

Os pacotes de configuração de perfil de cliente VPN contêm as configurações que ajudam a configurar perfis de cliente VPN para uma conexão com a VNet do Azure.

Para gerar um pacote de configuração de cliente VPN e configurar um cliente VPN, consulte um dos seguintes artigos:

• RADIUS - autenticação de certificado para clientes VPN
• RADIUS - autenticação de senha para clientes VPN
• RADIUS - outros métodos de autenticação para clientes VPN

Depois de configurar o cliente VPN, conecte-se ao Azure.

Para verificar a ligação

1. Para verificar se a ligação VPN está ativa, abra uma linha de comandos elevada e execute ipconfig/all.

2. Veja os resultados. Observe que o endereço IP que você recebeu é um dos endereços dentro do Pool de Endereços de Cliente VPN P2S que você especificou em sua configuração. Os resultados são semelhantes a este exemplo:

   PPP adapter VNet1:
      Connection-specific DNS Suffix .:
      Description.....................: VNet1
      Physical Address................:
      DHCP Enabled....................: No
      Autoconfiguration Enabled.......: Yes
      IPv4 Address....................: 172.16.201.3(Preferred)
      Subnet Mask.....................: 255.255.255.255
      Default Gateway.................:
      NetBIOS over Tcpip..............: Enabled
   

Para solucionar problemas de uma conexão P2S, consulte Solucionando problemas de conexões ponto a site do Azure.

Ligar a uma máquina virtual

Você pode se conectar a uma VM implantada em sua rede virtual criando uma Conexão de Área de Trabalho Remota para sua VM. A melhor forma de verificar, inicialmente, que se pode ligar à VM é ligar-se utilizando o respetivo endereço IP privado, em vez do nome do computador. Dessa forma, você está testando para ver se consegue se conectar, não se a resolução de nomes está configurada corretamente.

1. Localizar o endereço IP privado. Você pode encontrar o endereço IP privado de uma VM examinando as propriedades da VM no portal do Azure ou usando o PowerShell.

   • Portal do Azure: localize sua VM no portal do Azure. Ver as propriedades da VM. O endereço IP privado está listado.

   • PowerShell: Use o exemplo para exibir uma lista de VMs e endereços IP privados de seus grupos de recursos. Não é necessário modificar este exemplo antes de o utilizar.

     $VMs = Get-AzVM
     $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null
     
     foreach ($Nic in $Nics) {
     $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
     $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
     $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
     Write-Output "$($VM.Name): $Prv,$Alloc"
     }
     

2. Verifique se você está conectado à sua rede virtual.

3. Abra a Ligação ao Ambiente de Trabalho Remoto introduzindo RDP ou Ligação ao Ambiente de Trabalho Remoto na caixa de pesquisa na barra de tarefas. Em seguida, selecione Conexão de Área de Trabalho Remota. Você também pode abrir a Conexão de Área de Trabalho Remota usando o mstsc comando no PowerShell.

4. Em Ligação ao Ambiente de Trabalho Remoto, introduza o endereço IP privado da VM. Pode selecionar Mostrar Opções para ajustar outras definições e, em seguida, ligar.

Se você estiver tendo problemas para se conectar a uma VM por meio de sua conexão VPN, verifique os seguintes pontos:

• Certifique-se de que a ligação VPN é efetuada com êxito.
• Verifique se você está se conectando ao endereço IP privado da VM.
• Se você puder se conectar à VM usando o endereço IP privado, mas não o nome do computador, verifique se configurou o DNS corretamente. Para obter mais informações sobre como a resolução de nomes funciona para VMs, consulte Resolução de nomes para VMs.

Para obter mais informações sobre ligações RDP, veja Troubleshoot Remote Desktop connections to a VM(Resolução de Problemas de ligações de Ambiente de Trabalho Remoto a uma VM).

• Certifique-se de que o pacote de configuração de clientes VPN gerado depois dos endereços IP do servidor DNS foi especificado para a VNet. Se atualizou os endereços IP do servidor DNS, gere e instale um novo pacote de configuração de cliente VPN.

• Use 'ipconfig' para verificar o endereço IPv4 atribuído ao adaptador Ethernet no computador do qual você está se conectando. Se o endereço IP estiver dentro do intervalo de endereços da rede virtual à qual você está se conectando ou dentro do intervalo de endereços do seu VPNClientAddressPool, isso será chamado de espaço de endereço sobreposto. Quando o seu espaço de endereços se sobrepõe desta forma, o tráfego de rede não chega ao Azure e permanece na rede local.

FAQ

Para obter informações sobre perguntas frequentes, consulte a seção Autenticação ponto a site - RADIUS das Perguntas frequentes.

Próximos passos

Assim que a ligação estiver concluída, pode adicionar máquinas virtuais às redes virtuais. Para obter mais informações, veja Máquinas Virtuais. Para compreender melhor o funcionamento em rede e as máquinas virtuais, veja Descrição geral da rede VM do Azure e Linux.