Partilhar via

Definir configurações do servidor para autenticação de certificado do Gateway VPN P2S

  • Artigo

Este artigo ajuda você a definir as configurações de servidor ponto a site (P2S) do Gateway VPN necessárias para permitir que você conecte com segurança clientes individuais que executam Windows, Linux ou macOS a uma rede virtual (VNet) do Azure. As ligações VPN P2S são úteis quando pretende ligar-se à sua rede virtual a partir de uma localização remota, como quando está em teletrabalho a partir de casa ou de uma conferência. Você também pode usar P2S em vez de uma VPN site a site (S2S) quando tiver apenas alguns clientes que precisam se conectar a uma rede virtual (VNet).

As conexões P2S não exigem um dispositivo VPN ou um endereço IP voltado para o público. Existem várias opções de configuração diferentes disponíveis para P2S. Para obter mais informações sobre VPN ponto a site, consulte Sobre VPN ponto a site.

Diagrama de conexão ponto a site mostrando como se conectar de um computador a uma VNet do Azure.

As etapas neste artigo criam uma configuração P2S que usa a autenticação de certificado e o portal do Azure. Para criar essa configuração usando o Azure PowerShell, consulte o artigo Configurar P2S - Certificado - PowerShell . Para autenticação RADIUS, consulte o artigo P2S RADIUS . Para autenticação do Microsoft Entra, consulte o artigo P2S Microsoft Entra ID .

As conexões de autenticação de certificado do Azure P2S usam os seguintes itens, que você configurará neste exercício:

  • Um gateway VPN baseado em rota (não baseado em políticas). Para obter mais informações sobre o tipo de VPN, consulte Configurações do gateway VPN.
  • A chave pública (ficheiro .cer) de um certificado de raiz que é carregado para o Azure. Depois que o certificado é carregado, ele é considerado um certificado confiável e usado para autenticação.
  • Um certificado de cliente que é gerado a partir do certificado de raiz. O certificado de cliente instalado em cada computador cliente que vai ligar à VNet. Este certificado é utilizado para autenticação de cliente.
  • Arquivos de configuração do cliente VPN. O cliente VPN é configurado usando arquivos de configuração do cliente VPN. Esses arquivos contêm as informações necessárias para o cliente se conectar à rede virtual. Cada cliente que estabelece ligação tem de ser configurado com as definições dos ficheiros de configuração.

Pré-requisitos

Verifique se tem uma subscrição do Azure. Se ainda não tiver uma subscrição do Azure, pode ativar os Benefícios de subscritor do MSDN ou inscrever-se numa conta gratuita.

Valores de exemplo

Pode utilizar os valores seguintes para criar um ambiente de teste ou consultá-los para compreender melhor os exemplos neste artigo:

VNet

  • Nome da VNet: VNet1
  • Espaço de endereço: 10.1.0.0/16
    Para este exemplo, utilizamos apenas um espaço de endereços. Pode ter mais do que um espaço de endereços para a sua VNet.
  • Nome da sub-rede: FrontEnd
  • Intervalo de endereços da sub-rede: 10.1.0.0/24
  • Subscrição: Se tiver mais do que uma subscrição, verifique se está a utilizar a subscrição correta.
  • Grupo de Recursos: TestRG1
  • Localização: E.U.A. Leste

Gateway de rede virtual

  • Nome do gateway de rede virtual: VNet1GW
  • Tipo de gateway: VPN
  • Tipo de VPN: Baseado em rota (necessário para P2S)
  • Referência: VpnGw2
  • Geração: Geração2
  • Intervalo de endereços de sub-rede do gateway: 10.1.255.0/27
  • Nome do endereço IP público: VNet1GWpip
  • Nome do endereço IP público 2: VNet1GWpip2 - para gateways de modo ativo-ativo.

Tipo de conexão e pool de endereços do cliente

  • Tipo de ligação: Ponto a site
  • Conjunto de endereços do cliente: 172.16.201.0/24
    Os clientes VPN que se conectam à rede virtual usando essa conexão ponto a site recebem um endereço IP do pool de endereços do cliente.

Criar uma VNet

Nesta seção, você cria uma rede virtual. Consulte a seção Valores de exemplo para obter os valores sugeridos a serem usados para essa configuração.

Nota

Ao usar uma rede virtual como parte de uma arquitetura entre locais, certifique-se de coordenar com o administrador de rede local para criar um intervalo de endereços IP que possa ser usado especificamente para essa rede virtual. Se existir um intervalo de endereços duplicados em ambos os lados da ligação VPN, o tráfego não será encaminhado corretamente. Além disso, se você quiser conectar essa rede virtual a outra rede virtual, o espaço de endereço não pode se sobrepor à outra rede virtual. Planeje sua configuração de rede de acordo.

  1. Inicie sessão no portal do Azure.

  2. Em Pesquisar recursos, serviço e documentos (G+/) na parte superior da página do portal, insira rede virtual. Selecione Rede virtual nos resultados da pesquisa do Marketplace para abrir a página Rede virtual.

  3. Na página Rede virtual, selecione Criar para abrir a página Criar rede virtual.

  4. Na guia Noções básicas, defina as configurações de rede virtual para detalhes do projeto e detalhes da instância. Você verá uma marca de seleção verde quando os valores inseridos forem validados. Você pode ajustar os valores mostrados no exemplo de acordo com as configurações necessárias.

    Captura de ecrã que mostra o separador Noções básicas.

    • Subscrição: Verifique se a subscrição listada é a correta. Você pode alterar as assinaturas usando a caixa suspensa.
    • Grupo de recursos: selecione um grupo de recursos existente ou selecione Criar novo para criar um novo. Para mais informações sobre grupos de recursos, veja Descrição Geral do Azure Resource Manager.
    • Nome: Introduza o nome da rede virtual.
    • Região: Selecione o local para sua rede virtual. O local determina onde residirão os recursos implantados nessa rede virtual.

  5. Selecione Avançar ou Segurança para ir para a guia Segurança . Para este exercício, deixe os valores padrão para todos os serviços nesta página.

  6. Selecione Endereços IP para ir para a guia Endereços IP . Na guia Endereços IP , defina as configurações.

    • Espaço de endereçamento IPv4: Por padrão, um espaço de endereço é criado automaticamente. Você pode selecionar o espaço de endereço e ajustá-lo para refletir seus próprios valores. Você também pode adicionar um espaço de endereço diferente e remover o padrão que foi criado automaticamente. Por exemplo, você pode especificar o endereço inicial como 10.1.0.0 e especificar o tamanho do espaço de endereço como /16. Em seguida, selecione Adicionar para adicionar esse espaço de endereço.

    • + Adicionar sub-rede: Se você usar o espaço de endereço padrão, uma sub-rede padrão será criada automaticamente. Se você alterar o espaço de endereço, adicione uma nova sub-rede dentro desse espaço de endereço. Selecione + Adicionar sub-rede para abrir a janela Adicionar sub-rede . Configure as seguintes configurações e selecione Adicionar na parte inferior da página para adicionar os valores.

      • Nome da sub-rede: Um exemplo é FrontEnd.
      • Intervalo de endereços da sub-rede: o intervalo de endereços desta sub-rede. Exemplos são 10.1.0.0 e /24.

  7. Reveja a página Endereços IP e remova quaisquer espaços de endereço ou sub-redes de que não necessita.

  8. Selecione Rever + criar para validar as definições de rede virtual.

  9. Depois que as configurações forem validadas, selecione Criar para criar a rede virtual.

Criar uma sub-rede do gateway

O gateway de rede virtual requer uma sub-rede específica chamada GatewaySubnet. A sub-rede do gateway faz parte do intervalo de endereços IP da sua rede virtual e contém os endereços IP que os recursos e serviços do gateway de rede virtual usam. Especifique uma sub-rede de gateway que seja /27 ou maior.

  1. Na página da sua rede virtual, no painel esquerdo, selecione Sub-redes para abrir a página Sub-redes.
  2. Na parte superior da página, selecione + Sub-rede do gateway para abrir o painel Adicionar sub-rede .
  3. O nome é inserido automaticamente como GatewaySubnet. Ajuste o valor do intervalo de endereços IP, se necessário. Um exemplo é 10.1.255.0/27.
  4. Não ajuste os outros valores na página. Selecione Salvar na parte inferior da página para salvar a sub-rede.

Criar o gateway de VPN

Neste passo, vai criar o gateway de rede virtual da VNet. Criar um gateway, muitas vezes, pode demorar 45 minutos ou mais, dependendo do SKU de gateway selecionado.

Nota

O Basic gateway SKU não suporta autenticação IKEv2 ou RADIUS. Se você planeja ter clientes Mac conectados à sua rede virtual, não use a SKU básica.

  1. Em Pesquisar recursos, serviços e documentos (G+/), insira gateway de rede virtual. Localize Gateway de rede virtual nos resultados de pesquisa do Marketplace e selecione-o para abrir a página Criar gateway de rede virtual.

  2. Na guia Noções básicas, preencha os valores para Detalhes do projeto e Detalhes da instância.

    Captura de tela que mostra os campos Instância.

    • Assinatura: selecione a assinatura que deseja usar na lista suspensa.

    • Grupo de recursos: essa configuração é preenchida automaticamente quando você seleciona sua rede virtual nesta página.

    • Nome: dê um nome ao gateway. Nomear seu gateway não é o mesmo que nomear uma sub-rede de gateway. É o nome do objeto de gateway que você está criando.

    • Região: selecione a região na qual você deseja criar este recurso. A região do gateway deve ser a mesma da rede virtual.

    • Tipo de gateway: selecione VPN. Os gateways de VPN utilizam o tipo de gateway de rede virtual VPN.

    • SKU: Na lista suspensa, selecione o SKU de gateway que suporta os recursos que você deseja usar. Consulte SKUs de gateway. AZ SKUs suportam zonas de disponibilidade.

    • Geração: Selecione a geração que deseja usar. Recomendamos o uso de um SKU Generation2. Para obter mais informações, veja SKUs de gateway.

    • Rede virtual: na lista suspensa, selecione a rede virtual à qual você deseja adicionar esse gateway. Se não conseguir ver a rede virtual para a qual pretende criar um gateway, certifique-se de que selecionou a subscrição e a região corretas nas definições anteriores.

    • Intervalo de endereços de sub-rede do gateway ou Sub-rede: A sub-rede do gateway é necessária para criar um gateway VPN.

      Neste momento, este campo pode mostrar várias opções de configurações diferentes, dependendo do espaço de endereço da rede virtual e se você já criou uma sub-rede chamada GatewaySubnet para sua rede virtual.

      Se você não tiver uma sub-rede de gateway e não vir a opção de criar uma nesta página, volte para sua rede virtual e crie a sub-rede de gateway. Em seguida, retorne a esta página e configure o gateway de VPN.

  1. Especifique os valores para Endereço IP público. Essas configurações especificam o objeto de endereço IP público que fica associado ao gateway de VPN. O endereço IP público é atribuído a este objeto quando o gateway VPN é criado. A única vez que o endereço IP público primário é alterado é quando o gateway é excluído e recriado. Não é alterado ao redimensionar, repor ou ao realizar qualquer outra manutenção/atualização interna do gateway de VPN.

    Captura de ecrã que mostra o campo Endereço IP público.

    • Tipo de endereço IP público: se esta opção lhe for apresentada, selecione Padrão. O endereço IP público básico SKU só é suportado para gateways VPN SKU básicos .
    • Endereço IP público: Deixe Criar novo selecionado.
    • Nome do endereço IP público: na caixa de texto, insira um nome para sua instância de endereço IP público.
    • SKU de endereço IP público: a configuração é selecionada automaticamente.
    • Atribuição: normalmente a atribuição é selecionada automaticamente. Para o SKU padrão, a atribuição é sempre estática.
    • Ativar modo ativo-ativo: para este exercício, você pode selecionar Desativado. No entanto, você pode optar por habilitar essa configuração se estiver criando uma configuração de gateway de modo ativo-ativo. Para obter mais informações, consulte Sobre gateways ativos-ativos. Se você criar um gateway ativo-ativo, também deverá criar um endereço IP público adicional.
    • Configurar BGP: Selecione Desativado, a menos que sua configuração exija especificamente essa configuração. Se você precisar dessa configuração, o ASN padrão será 65515, embora esse valor possa ser alterado.

  2. Selecione Rever + criar para executar a validação.

  3. Depois que a validação for aprovada, selecione Criar para implantar o gateway de VPN.

Você pode ver o status da implantação na página Visão geral do seu gateway. Depois que o gateway é criado, você pode exibir o endereço IP que foi atribuído a ele observando a VNet no portal. O gateway aparece como um dispositivo ligado.

Importante

Não há suporte para NSGs (grupos de segurança de rede) na sub-rede do gateway. Associar um grupo de segurança de rede a essa sub-rede pode fazer com que seu gateway de rede virtual (gateways VPN e ExpressRoute) pare de funcionar conforme o esperado. Para obter mais informações sobre os grupos de segurança de rede, veja O que é um grupo de segurança de rede (NSG)?

Gerar certificados

Os certificados são usados pelo Azure para autenticar clientes que se conectam a uma VNet por meio de uma conexão VPN ponto a site. Quando conseguir obter um certificado de raiz, carregue as informações da chave pública do certificado de raiz para o Azure. O certificado raiz é então considerado 'confiável' pelo Azure para conexão por P2S com a VNet.

Também pode gerar certificados de cliente a partir do certificado de raiz fidedigna e, em seguida, instalá-los em cada computador do cliente. O certificado de cliente é utilizado para autenticar o cliente quando é iniciada uma ligação à VNet.

O certificado raiz deve ser gerado e extraído antes de definir as configurações de gateway ponto a site.

Gerar um certificado raiz

Obtenha o arquivo .cer para o certificado raiz. Você pode usar um certificado raiz que foi gerado com uma solução corporativa (recomendado) ou gerar um certificado autoassinado. Depois de criar o certificado raiz, exporte os dados do certificado público (não a chave privada) como um arquivo de .cer X.509 codificado em Base64. Você carrega esse arquivo posteriormente no Azure.

  • Certificado empresarial: se estiver a utilizar uma solução empresarial, pode utilizar a cadeia de certificados existente. Adquira o arquivo .cer para o certificado raiz que você deseja usar.

  • Certificado raiz autoassinado: se você não estiver usando uma solução de certificado corporativo, crie um certificado raiz autoassinado. Caso contrário, os certificados criados não serão compatíveis com suas conexões P2S e os clientes receberão um erro de conexão quando tentarem se conectar. Pode utilizar o Azure PowerShell, MakeCert ou OpenSSL. As etapas nos seguintes artigos descrevem como gerar um certificado raiz autoassinado compatível:

    • Instruções do PowerShell para Windows 10 ou posterior: estas instruções requerem o PowerShell num computador com o Windows 10 ou posterior. Os certificados de cliente gerados a partir do certificado de raiz podem ser instalados em qualquer cliente P2S suportado.
    • Instruções do MakeCert: Use o MakeCert para gerar certificados se você não tiver acesso a um computador com o Windows 10 ou posterior. Embora o MakeCert tenha sido preterido, você ainda pode usá-lo para gerar certificados. Os certificados de cliente gerados a partir do certificado raiz podem ser instalados em qualquer cliente P2S suportado.
    • Linux - Instruções OpenSSL
    • Linux - instruções strongSwan

Gerar certificados de cliente

Cada computador cliente conectado a uma rede virtual com uma conexão ponto a site deve ter um certificado de cliente instalado. Gerá-lo a partir do certificado raiz e instalá-lo em cada computador cliente. Se você não instalar um certificado de cliente válido, a autenticação falhará quando o cliente tentar se conectar à rede virtual.

Pode optar por gerar um certificado exclusivo para cada cliente ou pode utilizar o mesmo certificado para vários clientes. A vantagem de gerar certificados para cada cliente individual é a capacidade de revogar um único certificado. Caso contrário, se vários clientes usarem o mesmo certificado de cliente para autenticar e você revogá-lo, será necessário gerar e instalar novos certificados para cada cliente que usar esse certificado.

Você pode gerar certificados de cliente usando os seguintes métodos:

  • Certificado da empresa:

    • Se você estiver usando uma solução de certificado empresarial, gere um certificado de cliente com o formato name@yourdomain.comde valor de nome comum . Use este formato em vez do formato nome de domínio\nome de usuário.

    • Verifique se o certificado do cliente é baseado em um modelo de certificado de usuário que tenha a Autenticação de Cliente listada como o primeiro item na lista de usuários. Verifique o certificado clicando duas vezes nele e visualizando Uso Avançado de Chave na guia Detalhes.

  • Certificado raiz autoassinado: siga as etapas em um dos seguintes artigos de certificado P2S para que os certificados de cliente criados sejam compatíveis com suas conexões P2S.

    Quando você gera um certificado de cliente a partir de um certificado raiz autoassinado, ele é instalado automaticamente no computador que você usou para gerá-lo. Se você quiser instalar um certificado de cliente em outro computador cliente, exporte-o como um arquivo .pfx, juntamente com toda a cadeia de certificados. Isso criará um arquivo .pfx que contém as informações do certificado raiz necessárias para o cliente autenticar.

    As etapas nestes artigos geram um certificado de cliente compatível, que você pode exportar e distribuir.

    • Instruções do PowerShell do Windows 10 ou posterior: estas instruções exigem o Windows 10 ou posterior e o PowerShell para gerar certificados. Os certificados gerados podem ser instalados em qualquer cliente P2S suportado.

    • Instruções do MakeCert: Use o MakeCert se você não tiver acesso a um computador com Windows 10 ou posterior para gerar certificados. Embora o MakeCert tenha sido preterido, você ainda pode usá-lo para gerar certificados. Você pode instalar os certificados gerados em qualquer cliente P2S suportado.

    • Linux: Veja instruções strongSwan ou OpenSSL .

Adicionar o pool de endereços

A página de configuração ponto a site contém as informações de configuração necessárias para a VPN P2S. Depois que todas as configurações P2S tiverem sido configuradas e o gateway tiver sido atualizado, a página de configuração Ponto a Site será usada para exibir ou alterar as configurações de VPN P2S.

  1. Vá para o gateway que você criou na seção anterior.
  2. No painel esquerdo, selecione Configuração ponto a site.
  3. Clique em Configurar agora para abrir a página de configuração.

O conjunto de endereços de cliente é um conjunto de endereços IP privados que especificar. Os clientes que se conectam através de uma VPN ponto a site recebem dinamicamente um endereço IP desse intervalo. Use um intervalo de endereços IP privados que não se sobreponha ao local a partir do qual você se conecta ou à rede virtual à qual deseja se conectar. Se você configurar vários protocolos e o SSTP for um dos protocolos, o pool de endereços configurado será dividido entre os protocolos configurados igualmente.

Captura de tela da página de configuração ponto a site - pool de endereços.

  1. Na página de configuração Ponto a site, na caixa Conjunto de endereços, adicione o intervalo de endereços IP privados que pretende utilizar. Os clientes VPN recebem dinamicamente um endereço IP do intervalo que especificou. A máscara de sub-rede mínima é de 29 bits para configuração ativa/passiva e 28 bits para configuração ativa/ativa.

Se o seu gateway VPN estiver configurado com uma zona de disponibilidade SKU (AZ) e estiver no modo ativo-ativo, as configurações de VPN ponto a site exigirão três endereços IP públicos. Você pode usar o valor de exemplo VNet1GWpip3.

Especificar o túnel e o tipo de autenticação

Nota

Se você não vir o tipo de túnel ou o tipo de autenticação na página de configuração Ponto a Site, seu gateway está usando a SKU Básica. O SKU Básico não suporta a autenticação IKEv2 ou RADIUS. Se quiser utilizar estas definições, é necessário eliminar e recriar o gateway utilizando um SKU de gateway diferente.

Nesta seção, você especifica o tipo de túnel e o tipo de autenticação. Essas configurações podem se tornar complexas, dependendo do tipo de túnel necessário e do software cliente VPN que será usado para fazer a conexão a partir do sistema operacional do usuário. As etapas neste artigo orientam você pelas definições e opções básicas de configuração.

Você pode selecionar opções que contêm vários tipos de túnel na lista suspensa - como IKEv2 e OpenVPN (SSL) ou IKEv2 e SSTP (SSL), no entanto, apenas certas combinações de tipos de túnel e tipos de autenticação são suportadas. Por exemplo, a autenticação do Microsoft Entra só pode ser usada quando você seleciona OpenVPN (SSL) na lista suspensa de tipo de túnel, e não IKEv2 e OpenVPN(SSL).

Além disso, o tipo de túnel e o tipo de autenticação correspondem ao software cliente VPN que pode ser usado para se conectar ao Azure. Por exemplo, um aplicativo de software cliente VPN só pode ser capaz de se conectar via IKEv2, enquanto outro só pode se conectar via OpenVPN. E alguns softwares cliente, embora suportem um determinado tipo de túnel, podem não suportar o tipo de autenticação escolhido.

Como você pode ver, planejar o tipo de túnel e o tipo de autenticação é importante quando você tem vários clientes VPN se conectando de diferentes sistemas operacionais. Considere os seguintes critérios ao escolher seu tipo de túnel em combinação com a autenticação de certificado do Azure. Outros tipos de autenticação têm considerações diferentes.

  • Windows:

    • Os computadores Windows que se conectam através do cliente VPN nativo já instalado no sistema operacional experimentam o IKEv2 primeiro e, se isso não se conectar, eles voltam para o SSTP (se você selecionou IKEv2 e SSTP na lista suspensa do tipo de túnel).
    • Se você selecionar o tipo de túnel OpenVPN, poderá se conectar usando um Cliente OpenVPN ou o Cliente VPN do Azure.
    • O Cliente VPN do Azure pode dar suporte a definições de configuração opcionais, como rotas personalizadas e túnel forçado.

  • macOS e iOS:

    • O cliente VPN nativo para iOS e macOS só pode usar o tipo de túnel IKEv2 para se conectar ao Azure.
    • O Cliente VPN do Azure não tem suporte para autenticação de certificado no momento, mesmo se você selecionar o tipo de túnel OpenVPN.
    • Se você quiser usar o tipo de túnel OpenVPN com autenticação de certificado, você pode usar um cliente OpenVPN.
    • Para macOS, você pode usar o Cliente VPN do Azure com o tipo de túnel OpenVPN e a autenticação Microsoft Entra ID (não autenticação de certificado).

  • Linux:

    • O Cliente VPN do Azure para Linux dá suporte ao tipo de túnel OpenVPN.
    • O cliente strongSwan no Android e Linux pode usar apenas o tipo de túnel IKEv2 para se conectar.

Tipo de túnel e autenticação

Captura de ecrã da página Configuração ponto-a-site - tipo de autenticação.

  1. Em Tipo de túnel, selecione o tipo de túnel que você deseja usar. Para este exercício, na lista suspensa, selecione IKEv2 e OpenVPN(SSL).

  2. Em Tipo de autenticação, selecione o tipo de autenticação que deseja usar. Para este exercício, na lista suspensa, selecione Certificado do Azure. Se você estiver interessado em outros tipos de autenticação, consulte os artigos para Microsoft Entra ID e RADIUS.

Endereço IP adicional

Se você tiver um gateway de modo ativo-ativo que usa uma zona de disponibilidade SKU (AZ SKU), precisará de um terceiro endereço IP público. Se essa configuração não se aplicar ao seu gateway, não será necessário adicionar um endereço IP adicional.

Captura de ecrã da página de configuração ponto-a-site - endereço IP público.

Carregar informações de chave pública do certificado raiz

Nesta seção, você carrega dados de certificado raiz público no Azure. Assim que os dados do certificado público forem carregados, o Azure pode utilizá-lo para autenticar clientes que tenham instalado um certificado de cliente gerado a partir do certificado de raiz fidedigna.

  1. Certifique-se de que exportou o certificado raiz como um X.509 codificado em Base-64 (. CER) nas etapas anteriores. Tem de exportar o certificado neste formato para poder abrir o certificado com o editor de texto. Não é necessário exportar a chave privada.

  2. Abra o certificado com um editor de texto, como o Bloco de Notas. Ao copiar os dados do certificado, certifique-se de copiar o texto como uma linha contínua:

    Captura de ecrã dos dados no certificado.

  3. Vá para o gateway de rede virtual -> página de configuração ponto a site na seção Certificado raiz. Esta seção só estará visível se você tiver selecionado o certificado do Azure para o tipo de autenticação.

  4. Na seção Certificado raiz, você pode adicionar até 20 certificados raiz confiáveis.

    • Cole os dados do certificado no campo Dados do certificado público.
    • Nomeie o certificado.

    Captura de ecrã do campo de dados do certificado.

  5. Não são necessárias rotas adicionais para este exercício. Para obter mais informações sobre o recurso de roteamento personalizado, consulte Anunciar rotas personalizadas.

  6. Selecione Salvar na parte superior da página para salvar todas as definições de configuração.

Gerar arquivos de configuração de perfil de cliente VPN

Todas as definições de configuração necessárias para os clientes VPN estão contidas em um arquivo zip de configuração de perfil de cliente VPN. Os arquivos de configuração de perfil de cliente VPN são específicos para a configuração do gateway VPN P2S para a rede virtual. Se houver alguma alteração na configuração da VPN P2S depois de gerar os arquivos, como alterações no tipo de protocolo VPN ou no tipo de autenticação, você precisará gerar novos arquivos de configuração de perfil de cliente VPN e aplicar a nova configuração a todos os clientes VPN que deseja conectar. Para obter mais informações sobre conexões P2S, consulte Sobre VPN ponto a site.

Você pode gerar arquivos de configuração de perfil de cliente usando o PowerShell ou usando o portal do Azure. Os exemplos a seguir mostram ambos os métodos. Qualquer um dos métodos retorna o mesmo arquivo zip.

Portal do Azure

  1. No portal do Azure, vá para o gateway de rede virtual da rede virtual à qual você deseja se conectar.

  2. Na página de gateway de rede virtual, selecione Configuração ponto a site para abrir a página Configuração ponto a site.

  3. Na parte superior da página de configuração Ponto a Site, selecione Baixar cliente VPN. Isso não baixa o software do cliente VPN, ele gera o pacote de configuração usado para configurar clientes VPN. Leva alguns minutos para o pacote de configuração do cliente gerar. Durante esse tempo, você pode não ver nenhuma indicação até que o pacote gere.

    Captura de ecrã da página de configuração Ponto-a-site.

  4. Depois que o pacote de configuração é gerado, seu navegador indica que um arquivo zip de configuração do cliente está disponível. Tem o mesmo nome que o seu gateway.

  5. Descompacte o arquivo para visualizar as pastas. Você usará alguns ou todos esses arquivos para configurar seu cliente VPN. Os arquivos gerados correspondem às configurações de autenticação e tipo de túnel que você configurou no servidor P2S.

PowerShell

Quando você gera arquivos de configuração do cliente VPN, o valor para '-AuthenticationMethod' é 'EapTls'. Gere os arquivos de configuração do cliente VPN usando o seguinte comando:

$profile=New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapTls"

$profile.VPNProfileSASUrl

Copie o URL para o seu navegador para baixar o arquivo zip.

Configurar clientes VPN e conectar-se ao Azure

Para conhecer as etapas para configurar seus clientes VPN e conectar-se ao Azure, consulte os seguintes artigos:

Autenticação Tipo de túnel SO de Cliente cliente de VPN
Certificado
IKEv2, SSTP Windows Cliente VPN nativo
IKEv2 macOS Cliente VPN nativo
IKEv2 Linux forteSwan
OpenVPN Windows Cliente VPN do Azure
Cliente OpenVPN versão 2.x
Cliente OpenVPN versão 3.x
OpenVPN macOS Cliente OpenVPN
OpenVPN iOS Cliente OpenVPN
OpenVPN Linux Azure VPN Client
Cliente OpenVPN
Microsoft Entra ID
OpenVPN Windows Cliente VPN do Azure
OpenVPN macOS Azure VPN Client
OpenVPN Linux Azure VPN Client

Verificar a ligação

Estas instruções aplicam-se aos clientes Windows.

  1. Para verificar se a ligação VPN está ativa, abra uma linha de comandos elevada e execute ipconfig/all.

  2. Veja os resultados. Observe que o endereço IP que você recebeu é um dos endereços dentro do Pool de Endereços de Cliente VPN ponto a site que você especificou em sua configuração. Os resultados são semelhantes a este exemplo:

    PPP adapter VNet1:
   Connection-specific DNS Suffix .:
   Description.....................: VNet1
   Physical Address................:
   DHCP Enabled....................: No
   Autoconfiguration Enabled.......: Yes
   IPv4 Address....................: 172.16.201.3(Preferred)
   Subnet Mask.....................: 255.255.255.255
   Default Gateway.................:
   NetBIOS over Tcpip..............: Enabled

Ligar a uma máquina virtual

Estas instruções aplicam-se aos clientes Windows.

Você pode se conectar a uma VM implantada em sua rede virtual criando uma Conexão de Área de Trabalho Remota para sua VM. A melhor forma de verificar, inicialmente, que se pode ligar à VM é ligar-se utilizando o respetivo endereço IP privado, em vez do nome do computador. Dessa forma, você está testando para ver se consegue se conectar, não se a resolução de nomes está configurada corretamente.

  1. Localizar o endereço IP privado. Você pode encontrar o endereço IP privado de uma VM examinando as propriedades da VM no portal do Azure ou usando o PowerShell.

    • Portal do Azure: localize sua VM no portal do Azure. Ver as propriedades da VM. O endereço IP privado está listado.

    • PowerShell: Use o exemplo para exibir uma lista de VMs e endereços IP privados de seus grupos de recursos. Não é necessário modificar este exemplo antes de o utilizar.

      $VMs = Get-AzVM
$Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null

foreach ($Nic in $Nics) {
$VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
$Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
$Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
Write-Output "$($VM.Name): $Prv,$Alloc"
}

  2. Verifique se você está conectado à sua rede virtual.

  3. Abra a Ligação ao Ambiente de Trabalho Remoto introduzindo RDP ou Ligação ao Ambiente de Trabalho Remoto na caixa de pesquisa na barra de tarefas. Em seguida, selecione Conexão de Área de Trabalho Remota. Você também pode abrir a Conexão de Área de Trabalho Remota usando o mstsc comando no PowerShell.

  4. Em Ligação ao Ambiente de Trabalho Remoto, introduza o endereço IP privado da VM. Pode selecionar Mostrar Opções para ajustar outras definições e, em seguida, ligar.

Se você estiver tendo problemas para se conectar a uma VM por meio de sua conexão VPN, verifique os seguintes pontos:

  • Certifique-se de que a ligação VPN é efetuada com êxito.
  • Verifique se você está se conectando ao endereço IP privado da VM.
  • Se você puder se conectar à VM usando o endereço IP privado, mas não o nome do computador, verifique se configurou o DNS corretamente. Para obter mais informações sobre como a resolução de nomes funciona para VMs, consulte Resolução de nomes para VMs.

Para obter mais informações sobre ligações RDP, veja Troubleshoot Remote Desktop connections to a VM(Resolução de Problemas de ligações de Ambiente de Trabalho Remoto a uma VM).

  • Certifique-se de que o pacote de configuração de clientes VPN gerado depois dos endereços IP do servidor DNS foi especificado para a VNet. Se atualizou os endereços IP do servidor DNS, gere e instale um novo pacote de configuração de cliente VPN.

  • Use 'ipconfig' para verificar o endereço IPv4 atribuído ao adaptador Ethernet no computador do qual você está se conectando. Se o endereço IP estiver dentro do intervalo de endereços da rede virtual à qual você está se conectando ou dentro do intervalo de endereços do seu VPNClientAddressPool, isso será chamado de espaço de endereço sobreposto. Quando o seu espaço de endereços se sobrepõe desta forma, o tráfego de rede não chega ao Azure e permanece na rede local.

Adicionar ou remover certificados de raiz fidedigna

Pode adicionar e remover certificados de raiz fidedigna do Azure. Quando você remove um certificado raiz, os clientes que têm um certificado gerado a partir dessa raiz não poderão se autenticar e, portanto, não poderão se conectar. Se quiser que um cliente faça a autenticação e estabeleça ligação, terá de instalar um novo certificado de cliente gerado a partir de um certificado de raiz considerado fidedigno (carregado) no Azure.

Pode adicionar até 20 ficheiros .cer de certificado de raiz fidedigna ao Azure. Para obter instruções, consulte a seção Carregar um certificado raiz confiável.

Para remover um certificado raiz confiável:

  1. Navegue até a página de configuração ponto a site do gateway de rede virtual.
  2. Na secção Certificado de raiz da página, localize o certificado que pretende remover.
  3. Selecione as reticências ao lado do certificado e, em seguida, selecione Remover.

Revogar um certificado de cliente

Pode revogar certificados de cliente. A lista de revogação de certificados permite negar seletivamente a conectividade P2S com base em certificados de cliente individuais. Isto é diferente da remoção de um certificado de raiz fidedigna. Se remover um certificado de raiz .cer fidedigno do Azure, revoga o acesso a todos os certificados de cliente gerados/assinados pelo certificado de raiz revogado. Quando você revoga um certificado de cliente, em vez do certificado raiz, ele permite que os outros certificados que foram gerados a partir do certificado raiz continuem a ser usados para autenticação.

A prática comum é utilizar o certificado de raiz para gerir o acesso nos níveis de equipa ou organização e utilizar certificados de cliente revogados para controlo de acesso detalhado dos utilizadores individuais.

Pode revogar um certificado de cliente, ao adicionar o thumbprint à lista de revogação.

  1. Obtenha o thumbprint do certificado de cliente. Para obter mais informações, veja Como obter o Thumbprint de um Certificado.
  2. Copie as informações para um editor de texto e remova todos os espaços para que seja uma cadeia de caracteres contínua.
  3. Navegue até à página Configuração ponto a site do gateway de rede virtual. Esta é a mesma página que utilizou para carregar um certificado de raiz fidedigna.
  4. Na secção Certificados revogados, introduza um nome amigável para o certificado (não tem de ser o CN do certificado).
  5. Copie e cole a cadeia de thumbprint para o campo Thumbprint.
  6. O thumbprint valida e é adicionado automaticamente à lista de revogação. Verá uma mensagem no ecrã a indicar que a lista está a atualizar.
  7. Depois de concluída a atualização, o certificado já não pode ser utilizado para ligar. Os clientes que se tentarem ligar com este certificado irão receber uma mensagem a indicar que o certificado já não é válido.

FAQ Ponto a Site

Para perguntas frequentes, consulte as Perguntas frequentes.

Próximos passos

Quando a conexão estiver concluída, você poderá adicionar máquinas virtuais às suas redes virtuais. Para obter mais informações, veja Máquinas Virtuais. Para compreender melhor o funcionamento em rede e as máquinas virtuais, veja Descrição geral da rede VM do Azure e Linux.

Para obter informações de resolução de problemas P2S, consulte Resolução de problemas de ligações ponto a site do Azure.