Configurar grupos de usuários e pools de endereços IP para VPNs de usuário P2S
As VPNs de usuário P2S fornecem a capacidade de atribuir endereços IP de usuários de pools de endereços específicos com base em suas credenciais de identidade ou autenticação criando grupos de usuários. Este artigo ajuda você a configurar grupos de usuários, membros de grupos e grupos de prioridade. Para obter mais informações sobre como trabalhar com grupos de usuários, consulte Sobre grupos de usuários.
Pré-requisitos
Antes de começar, verifique se você configurou uma WAN virtual que usa um ou mais métodos de autenticação. Para conhecer as etapas, consulte Tutorial: Criar uma conexão P2S VPN de usuário WAN virtual.
Fluxo de Trabalho
Este artigo usa o fluxo de trabalho a seguir para ajudá-lo a configurar grupos de usuários e pools de endereços IP para sua conexão VPN P2S.
Considere os requisitos de configuração
Escolha um mecanismo de autenticação
Criar um grupo de usuários
Definir configurações de gateway
Etapa 1: Considerar os requisitos de configuração
Esta seção lista os requisitos de configuração e limitações para grupos de usuários e pools de endereços IP.
Máximo de grupos: um único gateway VPN P2S pode fazer referência a até 90 grupos.
Máximo de membros: o número total de membros da política/grupo em todos os grupos atribuídos a um gateway é de 390.
Várias atribuições: Se um grupo for atribuído a várias configurações de conexão no mesmo gateway, ele e seus membros serão contados várias vezes. Exemplo: Um grupo de políticas com 10 membros atribuídos a três configurações de conexão VPN conta como três grupos com 30 membros, não um grupo com 10 membros.
Usuários simultâneos: o número total de usuários simultâneos é determinado pela unidade de escala do gateway e pelo número de endereços IP alocados para cada grupo de usuários. Não é determinado pelo número de membros da política/grupo associados ao gateway.
Depois que um grupo é criado como parte de uma configuração de servidor VPN, o nome e a configuração padrão de um grupo não podem ser modificados.
Os nomes dos grupos devem ser distintos.
Os grupos com menor prioridade numérica são processados antes dos grupos com maior prioridade numérica. Se um usuário conectado for membro de vários grupos, o gateway considerará que ele é um membro do grupo com menor prioridade numérica para fins de atribuição de endereços IP.
Os grupos que estão sendo usados por gateways VPN ponto a site existentes não podem ser excluídos.
Pode reordenar as prioridades dos seus grupos clicando nos botões de seta para cima correspondentes a esse grupo.
Os pools de endereços não podem se sobrepor aos pools de endereços usados em outras configurações de conexão (gateways iguais ou diferentes) na mesma WAN virtual.
Os pools de endereços também não podem se sobrepor a espaços de endereço de rede virtual, espaços de endereço de hub virtual ou endereços locais.
Os pools de endereços não podem ser menores que /24. Por exemplo, não é possível atribuir um intervalo de /25 ou /26.
Etapa 2: Escolhendo o mecanismo de autenticação
As seções a seguir listam os mecanismos de autenticação disponíveis que podem ser usados durante a criação de grupos de usuários.
Grupos do Microsoft Entra
Para criar e gerenciar grupos do Ative Directory, consulte Gerenciar grupos do Microsoft Entra e associação a grupos.
- A ID do objeto de grupo do Microsoft Entra (e não o nome do grupo) precisa ser especificada como parte da configuração de VPN de usuário ponto a site da WAN virtual.
- Os usuários do Microsoft Entra podem ser atribuídos para fazer parte de vários grupos do Ative Directory, mas a WAN Virtual considera os usuários como parte do grupo de usuários/políticas da WAN Virtual que tem a menor prioridade numérica.
RADIUS - Atributos específicos do fornecedor do NPS
Para obter informações de configuração de atributos específicos do fornecedor do NPS (Servidor de Diretivas de Rede), consulte RADIUS - configurar o NPS para atributos específicos do fornecedor.
Certificados
Para gerar certificados autoassinados, consulte Gerar e exportar certificados para conexões P2S VPN de usuário: PowerShell. Para gerar um certificado com um Common Name específico, altere o parâmetro Subject para o valor apropriado (exemplo, xx@domain.com) ao executar o New-SelfSignedCertificate
comando PowerShell. Por exemplo, você pode gerar certificados com o seguinte assunto:
Campo Certificado digital | valor | descrição |
---|---|---|
Assunto | NC= cert@marketing.contoso.com | certificado digital para o departamento de Marketing |
Assunto | NC= cert@sale.contoso.com | certificado digital para o departamento de venda |
Assunto | NC= cert@engineering.contoso.com | certificado digital para o departamento de Engenharia |
Assunto | NC= cert@finance.contoso.com | certificado digital para o departamento financeiro |
Nota
O recurso de pool de endereços múltiplos com autenticação de certificado digital se aplica a um grupo de usuários específico com base no campo Assunto . Os critérios de seleção não funcionam com certificados SAN (Nome Alternativo da Entidade).
Etapa 3: Criar um grupo de usuários
Use as etapas a seguir para criar um grupo de usuários.
No portal do Azure, vá para sua página WAN Virtual -> Configurações de VPN do usuário.
Na página Configurações de VPN do Utilizador, selecione a Configuração VPN do Utilizador que pretende editar e, em seguida, selecione Editar configuração.
Na página Editar configuração de VPN do usuário, abra a guia Grupos de usuários.
Selecione Sim para habilitar grupos de usuários. Quando essa configuração de servidor é atribuída a um gateway VPN P2S, os usuários que fazem parte dos mesmos grupos de usuários recebem endereços IP dos mesmos pools de endereços. Os usuários que fazem parte de grupos diferentes recebem endereços IP de grupos diferentes. Ao usar esse recurso, você deve selecionar Grupo padrão para um dos grupos criados.
Para começar a criar um novo Grupo de Usuários, preencha o parâmetro name com o nome do primeiro grupo.
Ao lado do Nome do Grupo, selecione Configurar Grupo para abrir a página Configurar Configurações do Grupo.
Na página Configurar Definições de Grupo, preencha os valores para cada membro que pretende incluir neste grupo. Um grupo pode conter vários membros do grupo.
Crie um novo membro preenchendo o campo Nome .
Selecione a opção Autenticação: Tipo de configuração na lista suspensa. A lista suspensa é preenchida automaticamente com base nos métodos de autenticação selecionados para a configuração VPN do usuário.
Digite o valor. Para valores válidos, consulte Sobre grupos de usuários.
Quando terminar de criar as configurações para o grupo, selecione Adicionar e Ok.
Crie grupos adicionais.
Selecione pelo menos um grupo como padrão. Os usuários que não fazem parte de nenhum grupo especificado em um gateway serão atribuídos ao grupo padrão no gateway. Observe também que não é possível modificar o status "padrão" de um grupo após a criação do grupo.
Selecione as setas para ajustar a ordem de prioridade do grupo.
Selecione Rever + criar para criar e configurar. Depois de criar a configuração VPN do usuário, configure as definições de configuração do servidor gateway para usar o recurso de grupos de usuários.
Etapa 4: Definir configurações de gateway
No portal, vá para o seu hub virtual e selecione User VPN (Point to site).
Na página apontar para o site, selecione o link Unidades de escala de gateway para abrir o gateway Editar VPN do usuário. Ajuste o valor das unidades de escala do gateway a partir da lista suspensa para determinar a taxa de transferência do gateway.
Para Configuração do servidor Ponto a Site, selecione a configuração VPN do Usuário que você configurou para grupos de usuários. Se você ainda não definiu essas configurações, consulte Criar um grupo de usuários.
Crie um novo ponto para a configuração do site digitando um novo Nome de Configuração.
Selecione um ou mais grupos a serem associados a essa configuração. Todos os usuários que fazem parte de grupos associados a essa configuração receberão endereços IP dos mesmos pools de endereços IP.
Em todas as configurações desse gateway, você deve ter exatamente um grupo de usuários padrão selecionado.
Em Pools de Endereços, selecione Configurar para abrir a página Especificar Pools de Endereços. Nesta página, associe novos pools de endereços a essa configuração. Os usuários que são membros de grupos associados a essa configuração receberão endereços IP dos pools especificados. Com base no número de Unidades de Escala de Gateway associadas ao gateway, talvez seja necessário especificar mais de um pool de endereços. Os pools de endereços não podem ser menores que /24. Por exemplo, não é possível atribuir um intervalo de /25 ou /26 se quiser ter um intervalo de pool de endereços menor para os grupos de usuários. O prefixo mínimo é /24. Selecione Adicionar e Ok para salvar seus pools de endereços.
Você precisa de uma configuração para cada conjunto de grupos aos quais devem ser atribuídos endereços IP de diferentes pools de endereços. Repita as etapas para criar mais configurações. Consulte a Etapa 1 para obter os requisitos e limitações em relação a pools de endereços e grupos.
Depois de criar as configurações necessárias, selecione Editar e, em seguida , Confirmar para salvar suas configurações.
Resolução de Problemas
- Verifique se os pacotes têm os atributos certos?: O Wireshark ou outra captura de pacotes pode ser executada no modo NPS e descriptografar pacotes usando chave compartilhada. Você pode validar que os pacotes estão sendo enviados do seu servidor RADIUS para o gateway VPN ponto a site com o VSA RADIUS correto configurado.
- Os usuários estão recebendo IP atribuído errado?: Configure e verifique o log de eventos do NPS para autenticação, independentemente de os usuários estarem ou não combinando políticas.
- Está tendo problemas com pools de endereços? Cada pool de endereços é especificado no gateway. Os pools de endereços são divididos em dois pools de endereços e atribuídos a cada instância ativa-ativa em um par de gateway VPN ponto a site. Esses endereços divididos devem aparecer na tabela de rotas efetiva. Por exemplo, se você especificar "10.0.0.0/24", deverá ver duas rotas "/25" na tabela de rotas efetiva. Se esse não for o caso, tente alterar os pools de endereços definidos no gateway.
- Cliente P2S não consegue receber rotas? Verifique se todas as configurações de conexão VPN ponto a site estão associadas ao defaultRouteTable e se propagam para o mesmo conjunto de tabelas de rotas. Isso deve ser configurado automaticamente se você estiver usando portal, mas se estiver usando REST, PowerShell ou CLI, certifique-se de que todas as propagações e associações estejam definidas adequadamente.
- Não é capaz de habilitar o Multipool usando o cliente VPN do Azure? Se estiver a utilizar o cliente VPN do Azure, certifique-se de que o cliente VPN do Azure instalado nos dispositivos do utilizador é a versão mais recente. Você precisa baixar o cliente novamente para ativar esse recurso.
- Todos os usuários que estão sendo atribuídos ao grupo Padrão? Se você estiver usando a autenticação do Microsoft Entra, verifique se a entrada da URL do locatário na configuração
(https://login.microsoftonline.com/<tenant ID>)
do servidor não termina em um\
arquivo . Se a URL for de entrada para terminar com\
, o gateway não poderá processar corretamente os grupos de usuários do Microsoft Entra e todos os usuários serão atribuídos ao grupo padrão. Para corrigir, modifique a configuração do servidor para remover o trailing\
e modifique os pools de endereços configurados no gateway para aplicar as alterações ao gateway. Trata-se de um problema conhecido. - Tentando convidar usuários externos para usar o recurso Multipool? Se você estiver usando a autenticação do Microsoft Entra e planeja convidar usuários externos (usuários que não fazem parte do domínio Microsoft Entra configurado no gateway VPN) para se conectarem ao gateway VPN Ponto a Site da WAN Virtual, verifique se o tipo de usuário do usuário externo é "Membro" e não "Convidado". Além disso, certifique-se de que o "Nome" do usuário está definido para o endereço de e-mail do usuário. Se o tipo de usuário e o nome do usuário conectado não estiverem definidos corretamente, conforme descrito acima, ou se você não puder definir um membro externo para ser um "Membro" do seu domínio do Microsoft Entra, o usuário conectado será atribuído ao grupo padrão e atribuído um IP do pool de endereços IP padrão.
Próximos passos
- Para obter mais informações sobre grupos de usuários, consulte Sobre grupos de usuários e pools de endereços IP para VPNs de usuário P2S.