Configurar uma conexão Ponto a Site usando autenticação de certificado (clássica)

Este artigo mostra como criar uma VNet com uma conexão Ponto a Site usando o modelo de implantação clássico (legado). Esta configuração utiliza certificados para autenticar o cliente da ligação, seja autoassinado ou emitido pela AC. Estas instruções são para o modelo de implantação clássico. Não é mais possível criar um gateway usando o modelo de implantação clássico. Consulte a versão deste artigo do Resource Manager.

Importante

Não é mais possível criar novos gateways de rede virtual para redes virtuais de modelo de implantação clássico (gerenciamento de serviços). Novos gateways de rede virtual podem ser criados somente para redes virtuais do Resource Manager.

Você usa um gateway VPN Ponto a Site (P2S) para criar uma conexão segura com sua rede virtual a partir de um computador cliente individual. As conexões VPN ponto a site são úteis quando você deseja se conectar à sua rede virtual a partir de um local remoto. Quando você tem apenas alguns clientes que precisam se conectar a uma rede virtual, uma VPN P2S é uma solução útil para usar em vez de uma VPN site a site. É estabelecida uma ligação VPN P2S ao iniciá-la a partir do computador cliente.

Importante

O modelo de implementação clássico suporta apenas clientes VPN do Windows e utiliza SSTP (Secure Socket Tunneling Protocol), um protocolo VPN baseado em SSL. Para oferecer suporte a clientes VPN que não sejam do Windows, você deve criar sua rede virtual com o modelo de implantação do Gerenciador de Recursos. O modelo de implementação Resource Manager suporta a VPN IKEv2, além de SSTP. Para obter mais informações, veja Sobre ligações P2S.

Diagrama mostrando a arquitetura clássica ponto-a-site.

Nota

Este artigo foi escrito para o modelo de implantação clássico (legado). Recomendamos que você use o modelo de implantação mais recente do Azure. O modelo de implantação do Resource Manager é o modelo de implantação mais recente e oferece mais opções e compatibilidade de recursos do que o modelo de implantação clássico. Para entender a diferença entre esses dois modelos de implantação, consulte Noções básicas sobre modelos de implantação e o estado de seus recursos.

Se pretender utilizar uma versão diferente deste artigo, utilize o índice no painel esquerdo.

Configurações e requisitos

Requisitos

As conexões de autenticação de certificado ponto a site exigem os seguintes itens. Há etapas neste artigo que ajudarão você a criá-los.

  • Um gateway de VPN Dinâmico.
  • A chave pública (ficheiro .cer) de um certificado de raiz que é carregado para o Azure. Essa chave é considerada um certificado confiável e é usada para autenticação.
  • Um certificado de cliente gerado a partir do certificado de raiz e instalado em cada computador cliente que irá ligar. Este certificado é utilizado para autenticação de cliente.
  • Um pacote de configuração de cliente VPN tem de estar gerado e instalado em todos os computadores cliente que estabelece ligação. O pacote de configuração do cliente configura o cliente VPN nativo que já está no sistema operacional com as informações necessárias para se conectar à rede virtual.

As conexões ponto a site não exigem um dispositivo VPN ou um endereço IP público local. A ligação VPN é criada através de SSTP (Secure Socket Tunneling Protocol). No lado do servidor, suportamos as versões 1.0, 1.1 e 1.2 do SSTP. O cliente decide que versão irá utilizar. Para o Windows 8.1 e versões posteriores, o SSTP utiliza 1.2 por predefinição.

Para obter mais informações, consulte Sobre conexões ponto a site e as Perguntas frequentes.

Definições de exemplo

Use os seguintes valores para criar um ambiente de teste ou consulte esses valores para entender melhor os exemplos neste artigo:

  • Grupo de Recursos: TestRG
  • Nome da VNet: VNet1
  • Espaço de endereço: 192.168.0.0/16
    Para este exemplo, utilizamos apenas um espaço de endereços. Pode ter mais do que um espaço de endereços para a sua VNet.
  • Nome da sub-rede: FrontEnd
  • Intervalo de endereços da sub-rede: 192.168.1.0/24
  • GatewaySubnet: 192.168.200.0/24
  • Região: (EUA) Leste dos EUA
  • Espaço de endereço do cliente: 172.16.201.0/24
    Os clientes VPN que se conectam à rede virtual usando essa conexão ponto a site recebem um endereço IP do pool especificado.
  • Tipo de conexão: Selecione Ponto a site.

Antes de começar, verifique se você tem uma assinatura do Azure. Se ainda não tiver uma subscrição do Azure, pode ativar os Benefícios de subscritor do MSDN ou inscrever-se numa conta gratuita.

Criar uma rede virtual

Se já tiver uma VNet, certifique-se de que as definições são compatíveis com a conceção do seu gateway de VPN. Preste especial atenção a quaisquer sub-redes que possam sobrepor-se a outras redes.

  1. Num browser, navegue para o Portal do Azure e, se necessário, inicie sessão com a sua conta do Azure.
  2. Selecione +Criar um recurso. No campo Procurar no Marketplace, escreva "Rede Virtual". Localize Rede Virtual na lista retornada e selecione-a para abrir a página Rede Virtual.
  3. Na página Rede Virtual, no botão Criar, você verá "Implantar com o Gerenciador de Recursos (alterar para Clássico)". O Resource Manager é o padrão para criar uma VNet. Você não deseja criar uma VNet do Resource Manager. Selecione (altere para Clássico) para criar uma rede virtual clássica. Em seguida, selecione a guia Visão geral e selecione Criar.
  4. Na página Criar rede virtual (clássica), na guia Noções básicas, defina as configurações de rede virtual com os valores de exemplo.
  5. Selecione Rever + criar para validar a sua rede virtual.
  6. A validação é executada. Depois que a VNet for validada, selecione Criar.

As configurações de DNS não são uma parte necessária dessa configuração, mas o DNS é necessário se você quiser a resolução de nomes entre suas VMs. A especificação de um valor não cria um novo servidor DNS. O endereço IP do servidor DNS que especificar deve ser um servidor DNS que possa resolver os nomes dos recursos a que se está a ligar.

Depois de criar a rede virtual, pode adicionar o endereço IP de um servidor DNS, para lidar com a resolução de nomes. Abra as definições da sua rede virtual, selecione Servidores DNS e adicione o endereço IP do servidor DNS que pretende utilizar para a resolução de nomes.

  1. Localize a rede virtual no portal.
  2. Na página da sua rede virtual, na seção Configurações , selecione Servidores DNS.
  3. Adicione um servidor DNS.
  4. Para salvar suas configurações, selecione Salvar na parte superior da página.

Criar um gateway de VPN

  1. Navegue até a rede virtual que você criou.

  2. Na página VNet, em Configurações, selecione Gateway. Na página Gateway, você pode exibir o gateway para sua rede virtual. Esta rede virtual ainda não tem um gateway. Clique na nota que diz Clique aqui para adicionar uma conexão e um gateway.

  3. Na página Configurar uma conexão VPN e gateway, selecione as seguintes configurações:

    • Tipo de ligação: Ponto a site
    • Espaço de endereço do cliente: adicione o intervalo de endereços IP a partir do qual os clientes VPN recebem um endereço IP ao se conectarem. Use um intervalo de endereços IP privados que não se sobreponha ao local a partir do qual você se conecta ou à VNet à qual você se conecta.
  4. Deixe a caixa de seleção Não configurar um gateway neste momento desmarcada. Vamos criar uma porta de entrada.

  5. Na parte inferior da página, selecione Next: Gateway >.

  6. Na guia Gateway, selecione os seguintes valores:

    • Tamanho: O tamanho é o SKU do gateway para seu gateway de rede virtual. No portal do Azure, a SKU padrão é Padrão. Para obter mais informações sobre SKUs de gateway, consulte Sobre configurações de gateway VPN.
    • Tipo de roteamento: você deve selecionar Dinâmico para uma configuração ponto a site. O roteamento estático não funcionará.
    • Sub-rede do gateway: este campo já foi preenchido automaticamente. Não é possível alterar o nome. Se você tentar alterar o nome usando o PowerShell ou qualquer outro meio, o gateway não funcionará corretamente.
    • Intervalo de endereços (bloco CIDR): Embora seja possível criar uma sub-rede de gateway tão pequena quanto /29, recomendamos que você crie uma sub-rede maior que inclua mais endereços selecionando pelo menos /28 ou /27. Isso permitirá endereços suficientes para acomodar possíveis configurações adicionais que você possa desejar no futuro. Ao trabalhar com sub-redes de gateway, evite associar um grupo de segurança de rede (NSG) à sub-rede do gateway. Associar um grupo de segurança de rede a essa sub-rede pode fazer com que seu gateway VPN não funcione conforme o esperado.
  7. Selecione Rever + criar para validar as suas definições.

  8. Quando a validação for aprovada, selecione Criar. Um gateway VPN pode levar até 45 minutos para ser concluído, dependendo da SKU do gateway selecionada.

Criar certificados

O Azure usa certificados para autenticar clientes VPN para VPNs Ponto a Site. Carrega as informações da chave pública do certificado de raiz para o Azure. A chave pública é então considerada confiável. Os certificados de cliente devem ser gerados a partir do certificado raiz confiável e, em seguida, instalados em cada computador cliente no armazenamento de certificados Certificates-Current User\Personal\Certificates. O certificado é usado para autenticar o cliente quando ele se conecta à rede virtual.

Se você usar certificados autoassinados, eles deverão ser criados usando parâmetros específicos. Você pode criar um certificado autoassinado usando as instruções para PowerShell e Windows 10 ou posterior, ou MakeCert. É importante seguir as etapas nestas instruções ao usar certificados raiz autoassinados e gerar certificados de cliente a partir do certificado raiz autoassinado. Caso contrário, os certificados criados não serão compatíveis com conexões P2S e você receberá um erro de conexão.

Adquira a chave pública (.cer) para o certificado raiz

Obtenha o arquivo .cer para o certificado raiz. Você pode usar um certificado raiz que foi gerado com uma solução corporativa (recomendado) ou gerar um certificado autoassinado. Depois de criar o certificado raiz, exporte os dados do certificado público (não a chave privada) como um arquivo de .cer X.509 codificado em Base64. Você carrega esse arquivo posteriormente no Azure.

  • Certificado empresarial: se estiver a utilizar uma solução empresarial, pode utilizar a cadeia de certificados existente. Adquira o arquivo .cer para o certificado raiz que você deseja usar.

  • Certificado raiz autoassinado: se você não estiver usando uma solução de certificado corporativo, crie um certificado raiz autoassinado. Caso contrário, os certificados criados não serão compatíveis com suas conexões P2S e os clientes receberão um erro de conexão quando tentarem se conectar. Pode utilizar o Azure PowerShell, MakeCert ou OpenSSL. As etapas nos seguintes artigos descrevem como gerar um certificado raiz autoassinado compatível:

    • Instruções do PowerShell para Windows 10 ou posterior: estas instruções requerem o PowerShell num computador com o Windows 10 ou posterior. Os certificados de cliente gerados a partir do certificado de raiz podem ser instalados em qualquer cliente P2S suportado.
    • Instruções do MakeCert: Use o MakeCert para gerar certificados se você não tiver acesso a um computador com o Windows 10 ou posterior. Embora o MakeCert tenha sido preterido, você ainda pode usá-lo para gerar certificados. Os certificados de cliente gerados a partir do certificado raiz podem ser instalados em qualquer cliente P2S suportado.
    • Linux - Instruções OpenSSL
    • Linux - instruções strongSwan

Gerar um certificado de cliente

Cada computador cliente conectado a uma rede virtual com uma conexão ponto a site deve ter um certificado de cliente instalado. Gerá-lo a partir do certificado raiz e instalá-lo em cada computador cliente. Se você não instalar um certificado de cliente válido, a autenticação falhará quando o cliente tentar se conectar à rede virtual.

Pode optar por gerar um certificado exclusivo para cada cliente ou pode utilizar o mesmo certificado para vários clientes. A vantagem de gerar certificados para cada cliente individual é a capacidade de revogar um único certificado. Caso contrário, se vários clientes usarem o mesmo certificado de cliente para autenticar e você revogá-lo, será necessário gerar e instalar novos certificados para cada cliente que usar esse certificado.

Você pode gerar certificados de cliente usando os seguintes métodos:

  • Certificado da empresa:

    • Se você estiver usando uma solução de certificado empresarial, gere um certificado de cliente com o formato name@yourdomain.comde valor de nome comum . Use este formato em vez do formato nome de domínio\nome de usuário.

    • Verifique se o certificado do cliente é baseado em um modelo de certificado de usuário que tenha a Autenticação de Cliente listada como o primeiro item na lista de usuários. Verifique o certificado clicando duas vezes nele e visualizando Uso Avançado de Chave na guia Detalhes.

  • Certificado raiz autoassinado: siga as etapas em um dos seguintes artigos de certificado P2S para que os certificados de cliente criados sejam compatíveis com suas conexões P2S.

    Quando você gera um certificado de cliente a partir de um certificado raiz autoassinado, ele é instalado automaticamente no computador que você usou para gerá-lo. Se você quiser instalar um certificado de cliente em outro computador cliente, exporte-o como um arquivo .pfx, juntamente com toda a cadeia de certificados. Isso criará um arquivo .pfx que contém as informações do certificado raiz necessárias para o cliente autenticar.

    As etapas nestes artigos geram um certificado de cliente compatível, que você pode exportar e distribuir.

    • Instruções do PowerShell do Windows 10 ou posterior: estas instruções exigem o Windows 10 ou posterior e o PowerShell para gerar certificados. Os certificados gerados podem ser instalados em qualquer cliente P2S suportado.

    • Instruções do MakeCert: Use o MakeCert se você não tiver acesso a um computador com Windows 10 ou posterior para gerar certificados. Embora o MakeCert tenha sido preterido, você ainda pode usá-lo para gerar certificados. Você pode instalar os certificados gerados em qualquer cliente P2S suportado.

    • Linux: Veja instruções strongSwan ou OpenSSL .

Carregar o ficheiro .cer do certificado de raiz

Depois que o gateway for criado, carregue o arquivo .cer (que contém as informações de chave pública) de um certificado raiz confiável para o servidor do Azure. Não carregue a chave privada para o certificado raiz. Depois de carregar o certificado, o Azure usa-o para autenticar clientes que instalaram um certificado de cliente gerado a partir do certificado raiz confiável. Mais tarde, você pode carregar arquivos de certificado raiz confiáveis adicionais (até 20), se necessário.

  1. Navegue até a rede virtual que você criou.
  2. Em Configurações, selecione Conexões ponto a site.
  3. Selecione Gerenciar certificado.
  4. Selecione Carregar.
  5. No painel Carregar um certificado, selecione o ícone de pasta e navegue até o certificado que deseja carregar.
  6. Selecione Carregar.
  7. Depois que o certificado for carregado com êxito, você poderá visualizá-lo na página Gerenciar certificado. Talvez seja necessário selecionar Atualizar para exibir o certificado que acabou de carregar.

Configurar o cliente

Para se conectar a uma VNet usando uma VPN Ponto a Site, cada cliente deve instalar um pacote para configurar o cliente VPN nativo do Windows. O pacote de configuração configura o cliente VPN do Windows nativo com as definições necessárias para ligar à rede virtual.

Pode utilizar o mesmo pacote de configuração do cliente VPN em cada computador cliente, desde que a versão corresponda à arquitetura do cliente. Para obter a lista de sistemas operacionais cliente suportados, consulte Sobre conexões ponto a site e as Perguntas frequentes.

Gerar e instalar um pacote de configuração de cliente VPN

  1. Navegue até as configurações de conexões ponto a site para sua rede virtual.

  2. Na parte superior da página, selecione o pacote de download que corresponde ao sistema operacional cliente onde será instalado:

    • Para clientes de 64 bits, selecione Cliente VPN (64 bits).
    • Para clientes de 32 bits, selecione Cliente VPN (32 bits).
  3. O Azure gera um pacote com as configurações específicas que o cliente exige. Cada vez que você faz alterações na VNet ou gateway, você precisa baixar um novo pacote de configuração do cliente e instalá-los em seus computadores cliente.

  4. Depois que o pacote gerar, selecione Download.

  5. Instale o pacote de configuração do cliente no computador cliente. Ao instalar, se vir um pop-up SmartScreen a indicar que o Windows protegeu o seu PC, selecione Mais informações e, em seguida, selecione Executar mesmo assim. Também pode guardar o pacote para instalar noutros computadores cliente.

Instalar um certificado de cliente

Para este exercício, quando você gerou o certificado de cliente, ele foi instalado automaticamente no seu computador. Para criar uma conexão P2S a partir de um computador cliente diferente daquele usado para gerar os certificados de cliente, você deve instalar o certificado de cliente gerado nesse computador.

Ao instalar um certificado de cliente, você precisa da senha que foi criada quando o certificado de cliente foi exportado. Normalmente, você pode instalar o certificado apenas clicando duas vezes nele. Para obter mais informações, veja Install an exported client certificate(Instalar um certificado de cliente exportado).

Ligar à VNet

Nota

Tem de ter direitos de Administrador no computador cliente a partir do qual está a ligar.

  1. No computador cliente, vá para Configurações de VPN.
  2. Selecione a VPN que você criou. Se você usou as configurações de exemplo, a conexão será rotulada como Group TestRG VNet1.
  3. Selecione Ligar.
  4. Na caixa Rede Virtual do Windows Azure, selecione Conectar. Se aparecer uma mensagem pop-up sobre o certificado, selecione Continuar para usar privilégios elevados e Sim para aceitar alterações de configuração.
  5. Quando a conexão for bem-sucedida, você verá uma notificação Conectado .

Se você tiver problemas para se conectar, verifique os seguintes itens:

  • Se você exportou um certificado de cliente com o Assistente para Exportação de Certificados, certifique-se de exportá-lo como um arquivo .pfx e selecionou Incluir todos os certificados no caminho de certificação, se possível. Quando você exporta com esse valor, as informações do certificado raiz também são exportadas. Depois de instalar o certificado no computador cliente, o certificado raiz no arquivo .pfx também é instalado. Para verificar se o certificado raiz está instalado, abra Gerenciar certificados de usuário e selecione Autoridades de certificação raiz confiáveis\Certificados. Verifique se o certificado raiz está listado, que deve estar presente para que a autenticação funcione.

  • Se você usou um certificado emitido por uma solução de autoridade de certificação corporativa e não pode autenticar, verifique a ordem de autenticação no certificado do cliente. Verifique a ordem da lista de autenticação clicando duas vezes no certificado do cliente, selecionando a guia Detalhes e, em seguida, selecionando Uso Avançado de Chave. Certifique-se de que a Autenticação de Cliente é o primeiro item da lista. Se não estiver, emita um certificado de cliente com base no modelo de usuário que tem a Autenticação de Cliente como o primeiro item da lista.

  • Para obter informações adicionais sobre a resolução de problemas com P2S, veja Resolução de problemas com ligações P2S.

Verificar a ligação VPN

  1. Verifique se sua conexão VPN está ativa. Abra um prompt de comando elevado no computador cliente e execute ipconfig/all.

  2. Veja os resultados. Repare que o endereço IP que recebeu é um dos endereços dentro do intervalo de endereços de conetividade Ponto a Site que especificou quando criou a VNet. Os resultados deverão ser semelhantes a este exemplo:

     PPP adapter VNet1:
         Connection-specific DNS Suffix .:
         Description.....................: VNet1
         Physical Address................:
         DHCP Enabled....................: No
         Autoconfiguration Enabled.......: Yes
         IPv4 Address....................: 172.16.201.11 (Preferred)
         Subnet Mask.....................: 255.255.255.255
         Default Gateway.................:
         NetBIOS over Tcpip..............: Enabled
    

Ligar a uma máquina virtual

Crie uma Conexão de Área de Trabalho Remota para se conectar a uma VM implantada em sua rede virtual. A melhor maneira de verificar se você pode se conectar à sua VM é conectar-se com seu endereço IP privado, em vez de seu nome de computador. Dessa forma, você está testando para ver se consegue se conectar, não se a resolução de nomes está configurada corretamente.

  1. Localizar o endereço IP privado para a sua VM. Para localizar o endereço IP privado de uma VM, exiba as propriedades da VM no portal do Azure ou use o PowerShell.
  2. Verifique se você está conectado à sua rede virtual com a conexão VPN ponto a site.
  3. Para abrir a Ligação ao Ambiente de Trabalho Remoto, introduza RDP ou Ligação ao Ambiente de Trabalho Remoto na caixa de pesquisa na barra de tarefas e, em seguida, selecione Ligação ao Ambiente de Trabalho Remoto. Você também pode abri-lo usando o comando mstsc no PowerShell.
  4. Em Ligação ao Ambiente de Trabalho Remoto, introduza o endereço IP privado da VM. Se necessário, selecione Mostrar opções para ajustar as configurações adicionais e, em seguida, conecte-se.

Para resolver problemas de ligação RDP numa VM

Se você estiver tendo problemas para se conectar a uma máquina virtual por meio de sua conexão VPN, há algumas coisas que você pode verificar.

  • Certifique-se de que a ligação VPN é efetuada com êxito.
  • Verifique se você está se conectando ao endereço IP privado da VM.
  • Digite ipconfig para verificar o endereço IPv4 atribuído ao adaptador Ethernet no computador do qual você está se conectando. Um espaço de endereçamento sobreposto ocorre quando o endereço IP está dentro do intervalo de endereços da VNet à qual você está se conectando ou dentro do intervalo de endereços do seu VPNClientAddressPool. Quando o seu espaço de endereços se sobrepõe desta forma, o tráfego de rede não chega ao Azure e permanece na rede local.
  • Se você puder se conectar à VM usando o endereço IP privado, mas não o nome do computador, verifique se você configurou o DNS corretamente. Para obter mais informações sobre como funciona a resolução de nomes para VMs, consulte o artigo Name Resolution for VMs(Resolução de Nomes para VMs).
  • Verifique se o pacote de configuração do cliente VPN é gerado depois de especificar os endereços IP do servidor DNS para a rede virtual. Se você atualizar os endereços IP do servidor DNS, gere e instale um novo pacote de configuração do cliente VPN.

Para obter mais informações sobre a resolução de problemas, veja Troubleshoot Remote Desktop connections to a VM(Resolução de Problemas de ligações de Ambiente de Trabalho Remoto a uma VM).

Para adicionar ou remover certificados de raiz fidedigna

Pode adicionar e remover certificados de raiz fidedigna do Azure. Quando você remove um certificado raiz, os clientes que têm um certificado gerado a partir dessa raiz não podem mais se autenticar e se conectar. Para que esses clientes se autentiquem e se conectem novamente, você deve instalar um novo certificado de cliente gerado a partir de um certificado raiz confiável pelo Azure.

Adicionar um certificado de raiz fidedigna

Você pode adicionar até 20 arquivos de .cer de certificado raiz confiável ao Azure usando o mesmo processo usado para adicionar o primeiro certificado raiz confiável.

Remover um certificado de raiz fidedigna

  1. Na seção Conexões ponto a site da página da sua rede virtual, selecione Gerenciar certificado.
  2. Selecione as reticências junto ao certificado que pretende remover e, em seguida, selecione Eliminar.

Para revogar um certificado de cliente

Se necessário, você pode revogar um certificado de cliente. A lista de revogação de certificado permite-lhe negar seletivamente a conectividade de Ponto a Site, com base em certificados de cliente individuais. Esse método difere da remoção de um certificado raiz confiável. Se remover um certificado de raiz .cer fidedigno do Azure, revoga o acesso a todos os certificados de cliente gerados/assinados pelo certificado de raiz revogado. Ao revogar um certificado de cliente, em vez do certificado de raiz, permite que os outros certificados que foram gerados a partir do certificado de raiz continuem a ser utilizados para autenticação da ligação Ponto a Site.

A prática comum é utilizar o certificado de raiz para gerir o acesso nos níveis de equipa ou organização e utilizar certificados de cliente revogados para controlo de acesso detalhado dos utilizadores individuais.

Pode revogar um certificado de cliente, ao adicionar o thumbprint à lista de revogação.

  1. Obtenha o thumbprint do certificado de cliente. Para obter mais informações, veja Como: Obter o Thumbprint de um Certificado.
  2. Copie as informações para um editor de texto e remova seus espaços para que seja uma cadeia de caracteres contínua.
  3. Navegue até Conexão VPN ponto a site e selecione Gerenciar certificado.
  4. Selecione Lista de revogação para abrir a página Lista de revogação .
  5. Em Impressão digital, cole a impressão digital do certificado como uma linha contínua de texto, sem espaços.
  6. Selecione + Adicionar à lista para adicionar a impressão digital à lista de revogação de certificados (CRL).

Após a conclusão da atualização, o certificado não poderá mais ser usado para se conectar. Os clientes que tentam se conectar usando esse certificado recebem uma mensagem informando que o certificado não é mais válido.

FAQ

Estas perguntas frequentes se aplicam a conexões P2S que usam o modelo de implantação clássico.

Que sistemas operativos cliente posso utilizar com o ponto-a-site?

São suportados os seguintes sistemas operativos cliente:

  • Windows 7 (32 e 64 bits)
  • Windows Server 2008 R2 (apenas 64 bits)
  • Windows 8 (32 e 64 bits)
  • Windows 8.1 (32 e 64 bits)
  • Windows Server 2012 (apenas 64 bits)
  • Windows Server 2012 R2 (apenas 64 bits)
  • Windows 10
  • Windows 11

Posso usar qualquer cliente VPN de software que suporte SSTP para ponto-a-site?

N.º O suporte é limitado apenas às versões listadas do sistema operacional Windows.

Quantos pontos de extremidade de cliente VPN podem existir na minha configuração ponto-a-site?

O número de pontos de extremidade do cliente VPN depende da sua sku e protocolo de gateway.

VPN
Gateway
Geração
SKU S2S/VNet-to-VNet
Túneis
P2S
Conexões SSTP
P2S
Conexões IKEv2/OpenVPN
Agregado
Benchmark de taxa de transferência
BGP Zona redundante Número suportado de VMs na rede virtual
Geração1 Básica Máx. 10 Máx. 128 Não suportado 100 Mbps Não suportado Não 200
Geração1 VpnGw1 Máx. 30 Máx. 128 Máx. 250 650 Mbps Suportado Não 450
Geração1 VpnGw2 Máx. 30 Máx. 128 Máx. 500 1 Gbps Suportado Não 1300
Geração1 VpnGw3 Máx. 30 Máx. 128 Máx. 1000 1,25 Gbps Suportado Não 4000
Geração1 VpnGw1AZ Máx. 30 Máx. 128 Máx. 250 650 Mbps Suportado Sim 1000
Geração1 VpnGw2AZ Máx. 30 Máx. 128 Máx. 500 1 Gbps Suportado Sim 2000
Geração1 VpnGw3AZ Máx. 30 Máx. 128 Máx. 1000 1,25 Gbps Suportado Sim 5000
Geração2 VpnGw2 Máx. 30 Máx. 128 Máx. 500 1,25 Gbps Suportado Não 685
Geração2 VpnGw3 Máx. 30 Máx. 128 Máx. 1000 2,5 Gbps Suportado Não 2240
Geração2 VpnGw4 Máx. 100* Máx. 128 Máx. 5000 5 Gbps Suportado Não 5300
Geração2 VpnGw5 Máx. 100* Máx. 128 Máx. 10000 10 Gbps Suportado Não 6700
Geração2 VpnGw2AZ Máx. 30 Máx. 128 Máx. 500 1,25 Gbps Suportado Sim 2000
Geração2 VpnGw3AZ Máx. 30 Máx. 128 Máx. 1000 2,5 Gbps Suportado Sim 3300
Geração2 VpnGw4AZ Máx. 100* Máx. 128 Máx. 5000 5 Gbps Suportado Sim 4400
Geração2 VpnGw5AZ Máx. 100* Máx. 128 Máx. 10000 10 Gbps Suportado Sim 9000

Posso usar minha própria autoridade de certificação raiz PKI interna para conectividade ponto a site?

Sim. Anteriormente, só podiam ser utilizados os certificados de raiz autoassinados. Você ainda pode carregar até 20 certificados raiz.

Posso atravessar proxies e firewalls usando ponto-a-site?

Sim. Usamos o protocolo SSTP (Secure Socket Tunneling Protocol) para encapsular através de firewalls. Este túnel aparece como uma conexão HTTPS.

Se eu reiniciar um computador cliente configurado para ponto a site, a VPN se reconectará automaticamente?

Por padrão, o computador cliente não restabelecerá a conexão VPN automaticamente.

O ponto-a-site suporta reconexão automática e DDNS nos clientes VPN?

N.º A reconexão automática e o DDNS não são suportados atualmente em VPNs ponto a site.

Posso ter configurações Site-to-Site e ponto-a-site para a mesma rede virtual?

Sim. Ambas as soluções funcionarão se você tiver um tipo de VPN RouteBased para seu gateway. No modelo de implementação clássica, precisa de um gateway dinâmico. Não oferecemos suporte ponto a site para gateways VPN de roteamento estático ou gateways que usam o cmdlet -VpnType PolicyBased .

Posso configurar um cliente ponto a site para se conectar a várias redes virtuais ao mesmo tempo?

Sim. No entanto, as redes virtuais não podem ter prefixos IP sobrepostos e os espaços de endereço ponto a site não devem se sobrepor entre as redes virtuais.

Quanta taxa de transferência posso esperar por meio de conexões Site-to-Site ou ponto-a-site?

É difícil manter o débito exato dos túneis VPN. O IPsec e SSTP são protocolos VPN extremamente encriptados. A taxa de transferência também é limitada pela latência e largura de banda entre suas instalações e a Internet.

Próximos passos