Acerca do encaminhamento VPN de Ponto a Site

  • Artigo

Este artigo ajuda você a entender como o roteamento de VPN Ponto a Site do Azure se comporta. O comportamento de roteamento de VPN P2S depende do sistema operacional cliente, do protocolo usado para a conexão VPN e de como as redes virtuais (VNets) estão conectadas entre si. Para obter mais informações sobre VPN Ponto a Site, incluindo protocolos suportados, consulte Sobre VPN Ponto a Site.

Se você fizer uma alteração na topologia da sua rede e tiver clientes VPN do Windows, o pacote do cliente VPN para clientes Windows deverá ser baixado e instalado novamente para que as alterações sejam aplicadas ao cliente.

Nota

Este artigo aplica-se apenas ao IKEv2 e OpenVPN.

Sobre os diagramas

Há vários diagramas diferentes neste artigo. Cada seção mostra uma topologia ou configuração diferente. Para os fins deste artigo, as conexões Site-to-Site (S2S) e VNet-to-VNet funcionam da mesma maneira, pois ambas são túneis IPsec. Todos os gateways VPN neste artigo são baseados em rota.

Uma VNet isolada

A conexão de gateway VPN ponto a site neste exemplo é para uma VNet que não está conectada ou emparelhada com qualquer outra rede virtual (VNet1). Neste exemplo, os clientes podem acessar a VNet1.

Roteamento de VNet isolado

Espaço de endereços

  • VNet1: 10.1.0.0/16

Rotas adicionadas

  • Rotas adicionadas a clientes Windows: 10.1.0.0/16, 192.168.0.0/24

  • Rotas adicionadas a clientes que não são Windows: 10.1.0.0/16, 192.168.0.0/24

Access

  • Os clientes Windows podem acessar a VNet1

  • Clientes que não são Windows podem acessar a VNet1

Várias VNets emparelhadas

Neste exemplo, a conexão de gateway VPN ponto a site é para VNet1. VNet1 é emparelhado com VNet2. A VNet 2 é emparelhada com a VNet3. VNet1 é emparelhado com VNet4. Não há emparelhamento direto entre VNet1 e VNet3. A VNet1 tem "Permitir trânsito de gateway" e a VNet2 e a VNet4 têm a opção "Usar gateways remotos" habilitada.

Os clientes que usam o Windows podem acessar redes virtuais emparelhadas diretamente, mas o cliente VPN deve ser baixado novamente se forem feitas alterações no emparelhamento de VNet ou na topologia de rede. Clientes que não são Windows podem acessar redes virtuais emparelhadas diretamente. O acesso não é transitivo e está limitado apenas a redes virtuais diretamente emparelhadas.

Várias VNets emparelhadas

Espaço de endereços:

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • VNet4: 10.4.0.0/16

Rotas adicionadas

  • Rotas adicionadas a clientes Windows: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24

  • Rotas adicionadas a clientes que não são Windows: 10.1.0.0/16, 10.2.0.0/16, 10.4.0.0/16, 192.168.0.0/24

Access

  • Os clientes Windows podem acessar VNet1, VNet2 e VNet4, mas o cliente VPN deve ser baixado novamente para que quaisquer alterações de topologia entrem em vigor.

  • Clientes que não são Windows podem acessar VNet1, VNet2 e VNet4

Várias redes virtuais conectadas usando uma VPN S2S

Neste exemplo, a conexão de gateway VPN ponto a site é para VNet1. A VNet1 está conectada à VNet2 usando uma conexão VPN Site a Site. A VNet2 está conectada à VNet3 usando uma conexão VPN Site a Site. Não há emparelhamento direto ou conexão VPN Site a Site entre VNet1 e VNet3. Todas as conexões Site a Site não estão executando BGP para roteamento.

Os clientes que usam o Windows ou outro sistema operacional suportado só podem acessar a VNet1. Para acessar redes virtuais adicionais, o BGP deve ser usado.

Várias redes virtuais e S2S

Espaço de endereços

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

Rotas adicionadas

  • Rotas adicionadas a clientes Windows: 10.1.0.0/16, 192.168.0.0/24

  • Rotas adicionadas a clientes que não são Windows: 10.1.0.0/16, 10.2.0.0/16, 192.168.0.0/24

Access

  • Os clientes Windows só podem acessar a VNet1

  • Clientes que não são Windows podem acessar somente VNet1

Várias VNets conectadas usando uma VPN S2S (BGP)

Neste exemplo, a conexão de gateway VPN ponto a site é para VNet1. A VNet1 está conectada à VNet2 usando uma conexão VPN Site a Site. A VNet2 está conectada à VNet3 usando uma conexão VPN Site a Site. Não há emparelhamento direto ou conexão VPN Site a Site entre VNet1 e VNet3. Todas as conexões Site-to-Site estão executando BGP para roteamento.

Os clientes que usam o Windows ou outro sistema operacional suportado podem acessar todas as redes virtuais conectadas usando uma conexão VPN Site a Site, mas as rotas para redes virtuais conectadas precisam ser adicionadas manualmente aos clientes Windows.

Várias VNets e S2S (BGP)

Espaço de endereços

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

Rotas adicionadas

  • Rotas adicionadas a clientes Windows: 10.1.0.0/16, 192.168.0.0/24

  • Rotas adicionadas a clientes que não são Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 192.168.0.0/24

Access

  • Os clientes Windows podem acessar VNet1, VNet2 e VNet3, mas as rotas para VNet2 e VNet3 terão que ser adicionadas manualmente.

  • Clientes que não são Windows podem acessar VNet1, VNet2 e VNet3

Uma VNet e uma filial

Neste exemplo, a conexão de gateway VPN ponto a site é para VNet1. A VNet1 não está conectada/emparelhada com nenhuma outra rede virtual, mas está conectada a um site local por meio de uma conexão VPN Site a Site que não está executando BGP.

Clientes Windows e não Windows só podem acessar VNet1.

Roteamento com uma rede virtual e uma filial

Espaço de endereços

  • VNet1: 10.1.0.0/16

  • Sítio 1: 10.101.0.0/16

Rotas adicionadas

  • Rotas adicionadas a clientes Windows: 10.1.0.0/16, 192.168.0.0/24

  • Rotas adicionadas a clientes que não são Windows: 10.1.0.0/16, 192.168.0.0/24

Access

  • Os clientes Windows só podem aceder à VNet1

  • Clientes que não são Windows podem acessar somente VNet1

Uma VNet e uma filial (BGP)

Neste exemplo, a conexão de gateway VPN ponto a site é para VNet1. A VNet1 não está conectada ou emparelhada com nenhuma outra rede virtual, mas está conectada a um site local (Site1) por meio de uma conexão VPN Site a Site executando BGP.

Os clientes Windows podem acessar a VNet e a filial (Site1), mas as rotas para o Site1 devem ser adicionadas manualmente ao cliente. Os clientes que não são Windows podem acessar a VNet e a filial local.

Roteamento com uma VNet e uma filial - BGP

Espaço de endereços

  • VNet1: 10.1.0.0/16

  • Sítio 1: 10.101.0.0/16

Rotas adicionadas

  • Rotas adicionadas a clientes Windows: 10.1.0.0/16, 192.168.0.0/24

  • Rotas adicionadas a clientes que não são Windows: 10.1.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Os clientes Windows podem aceder à VNet1 e ao Site1, mas as rotas para o Site1 terão de ser adicionadas manualmente.

  • Clientes que não são Windows podem acessar VNet1 e Site1.

Várias redes virtuais conectadas usando S2S e uma filial

Neste exemplo, a conexão de gateway VPN ponto a site é para VNet1. A VNet1 está conectada à VNet2 usando uma conexão VPN Site a Site. A VNet2 está conectada à VNet3 usando uma conexão VPN Site a Site. Não há emparelhamento direto ou túnel VPN Site-to-Site entre as redes VNet1 e VNet3. A VNet3 está conectada a uma filial (Site1) usando uma conexão VPN Site a Site. Todas as conexões VPN não estão executando BGP.

Todos os clientes podem acessar somente VNet1.

Diagrama que mostra um S2S multi-VNet e uma filial

Espaço de endereços

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • Sítio 1: 10.101.0.0/16

Rotas adicionadas

  • Rotas adicionadas a clientes Windows: 10.1.0.0/16, 192.168.0.0/24

  • Rotas adicionadas a clientes que não são Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Os clientes Windows podem acessar VNet1 somente

  • Clientes que não são Windows podem acessar somente VNet1

Várias redes virtuais conectadas usando S2S e uma filial (BGP)

Neste exemplo, a conexão de gateway VPN ponto a site é para VNet1. A VNet1 está conectada à VNet2 usando uma conexão VPN Site a Site. A VNet2 está conectada à VNet3 usando uma conexão VPN Site a Site. Não há emparelhamento direto ou túnel VPN Site-to-Site entre as redes VNet1 e VNet3. A VNet3 está conectada a uma filial (Site1) usando uma conexão VPN Site a Site. Todas as conexões VPN estão executando BGP.

Os clientes que usam o Windows podem acessar redes virtuais e sites conectados usando uma conexão VPN Site a Site, mas as rotas para VNet2, VNet3 e Site1 devem ser adicionadas manualmente ao cliente. Clientes que não são Windows podem acessar redes virtuais e sites conectados usando uma conexão VPN Site a Site sem qualquer intervenção manual. O acesso é transitivo e os clientes podem acessar recursos em todas as redes virtuais e sites conectados (locais).

multi-VNet S2S e filial

Espaço de endereços

  • VNet1: 10.1.0.0/16

  • VNet2: 10.2.0.0/16

  • VNet3: 10.3.0.0/16

  • Sítio 1: 10.101.0.0/16

Rotas adicionadas

  • Rotas adicionadas a clientes Windows: 10.1.0.0/16, 192.168.0.0/24

  • Rotas adicionadas a clientes que não são Windows: 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16, 10.101.0.0/16, 192.168.0.0/24

Access

  • Os clientes Windows podem acessar VNet1, VNet2, VNet3 e Site1, mas as rotas para VNet2, VNet3 e Site1 devem ser adicionadas manualmente ao cliente.

  • Clientes que não são Windows podem acessar VNet1, Vnet2, VNet3 e Site1.

Próximos passos

Consulte Criar uma VPN P2S usando o portal do Azure para começar a criar sua VPN P2S.