Definir as configurações do servidor para conexões de Gateway de VPN P2S - autenticação de certificado - portal do Azure

Este artigo ajuda você a definir as configurações necessárias Gateway de VPN de servidor ponto a ponto (P2S) do Gateway de VPN para permitir que você conecte com segurança clientes individuais que executam Windows, Linux ou macOS a uma VNet do Azure. As conexões VPN P2S são úteis quando você quer se conectar à VNet de um local remoto, por exemplo, ao trabalhar de casa ou em uma conferência. Você também pode usar o P2S em vez de um site a site (S2S), quando você tem apenas alguns poucos clientes que precisam se conectar a uma rede virtual (Vnet). As conexões P2S não exigem um dispositivo VPN ou um endereço IP voltado para o público.

Há várias opções de configuração diferentes disponíveis para o P2S. Para obter mais informações sobre conexões VPN ponto a site, confira Sobre a VPN ponto a site. Este artigo ajuda a criar uma configuração P2S que usa autenticação de certificado e o portal do Azure. Para criar esta configuração usando o Azure PowerShell, consulte o artigo Configurar P2S - Certificado - PowerShell. Para autenticação RADIUS, consulte o artigo P2S RADIUS. No caso de autenticação do Microsoft Entra, veja o artigo Microsoft Entra ID P2S.

As conexões de autenticação de certificado do Azure P2S usam os itens a seguir, os quais são configurados neste exercício:

• Gateway de VPN RouteBased.
• A chave pública (arquivo .cer) para um certificado raiz, que é carregado no Azure. Depois que o certificado é carregado, ele é considerado um certificado confiável e é usado para autenticação.
• Um certificado do cliente que é gerado a partir do certificado raiz. O certificado do cliente instalado em cada computador cliente que se conectará à VNet. Esse certificado é usado para autenticação do cliente.
• Arquivos de configuração do cliente VPN. O cliente VPN é configurado com os arquivos de configuração do cliente VPN. Esses arquivos contêm as informações necessárias para o cliente se conectar à VNet. Cada cliente que se conecta deve ser configurado usando as configurações nos arquivos de configuração.

Pré-requisitos

Verifique se você tem uma assinatura do Azure. Se ainda não tiver uma assinatura do Azure, você poderá ativar os Benefícios do assinante do MSDN ou inscrever-se para obter uma conta gratuita.

Valores de exemplo

Você pode usar os seguintes valores para criar um ambiente de teste ou fazer referência a esses valores para entender melhor os exemplos neste artigo:

VNET

• Nome da VNet: VNet1
• Espaço de endereço: 10.1.0.0/16
  Neste exemplo, usamos apenas um espaço de endereço. Você pode ter mais de um espaço de endereço para sua rede virtual.
• Nome da sub-rede: FrontEnd
• Intervalo de endereços da sub-rede: 10.1.0.0/24
• Assinatura:: se você tiver mais de uma assinatura, verifique se está usando a correta.
• Grupo de recursos: TestRG1
• Localização: Leste dos EUA

Gateway de rede virtual

• Nome do gateway de rede virtual: VNet1GW
• Tipo de gateway: VPN
• Tipo de VPN: baseada em rota
• SKU: VpnGw2
• Geração: Generation2
• Intervalo de endereços da sub-rede do gateway: 10.1.255.0/27
• Endereço IP público: VNet1GWpip

Tipo de conexão e pool de endereços do cliente

• Tipo de conexão: ponto a site
• Pool de endereços do cliente: 172.16.201.0/24
  Os clientes VPN que se conectarem à rede virtual usando essa conexão ponto a site receberão um endereço IP do pool de endereços do cliente.

Criar uma VNET

Nesta seção, você cria uma Vnet. Consulte a seção Exemplo de valores para obter os valores sugeridos a serem usados para esta configuração.

Observação

Ao usar uma rede virtual como parte de uma arquitetura entre locais, é necessário coordenar com o responsável pela administração da rede local para obter um intervalo de endereços IP que possa ser usado especificamente para essa rede virtual. Se houver um intervalo de endereços duplicado nos dois lados da conexão de VPN, o tráfego será roteado inesperadamente. Além disso, se você quiser conectar essa rede virtual a outra rede virtual, o espaço de endereço não poderá se sobrepor ao da outra rede virtual. Planeje sua configuração de rede de forma adequada.

1. Entre no portal do Azure.

2. Em Pesquisar recursos, serviço e documentos (G+/) na parte superior da página do portal, insira rede virtual. Selecione Rede virtual nos resultados da pesquisa do Marketplace para abrir a página Rede virtual.

3. Na página Rede virtual, selecione Criar para abrir a página Criar rede virtual.

4. Na guia Informações Básicas, defina as configurações Detalhes do projeto e Detalhes da instância da rede virtual. Você verá uma marca de seleção verde quando os valores que você inserir forem validados. É possível ajustar os valores mostrados no exemplo de acordo com as configurações necessárias.

   

   • Assinatura: verifique se a assinatura listada é a correta. É possível alterar as assinaturas usando a caixa suspensa.
   • Grupo de recursos: selecione um grupo de recursos ou selecione Criar para criar outro. Para saber mais sobre os grupos de recursos, confira Visão geral do Azure Resource Manager.
   • Name: insira o nome de sua rede virtual.
   • Região: selecione o local da sua rede virtual. O local determina onde ficarão os recursos que você implantar nessa rede virtual.

5. Selecione Avançar ou Segurança para acessar a guia Segurança. Para este exercício, mantenha os valores padrão para todos os serviços nesta página.

6. Selecione Endereços IP ou acesse a guia Endereços IP. Na guia Endereços IP, faça as configurações.

   • Espaço de endereço IPv4: por padrão, um espaço de endereço é criado automaticamente. Você pode selecionar o espaço de endereço e ajustá-lo para refletir seus próprios valores. Você também pode adicionar um espaço de endereço diferente e remover o padrão que foi criado automaticamente. Por exemplo, especifique o endereço inicial como 10.1.0.0 e especifique o tamanho do espaço de endereço como /16. Em seguida, selecione Adicionar para adicionar esse espaço de endereço.

   • + Adicionar sub-rede: se você usar o espaço de endereço padrão, uma sub-rede padrão será criada automaticamente. Se você alterar o espaço de endereço, adicione uma nova sub-rede dentro desse espaço de endereço. Selecione + Adicionar sub-rede para abrir a janela Adicionar sub-rede. Defina as configurações a seguir e depois selecione Adicionar na parte inferior da página para adicionar os valores.

     • Nome da sub-rede: um exemplo é FrontEnd.
     • Intervalo de endereços da sub-rede: o intervalo de endereços para esta sub-rede. Os exemplos são 10.1.0.0 e /24.

7. Examine a página endereços IP e remova todos os espaços de endereço ou sub-redes que você não precisa.

8. Selecione Examinar + criar para validar as configurações de rede virtual.

9. Após validar as configurações, selecione Criar para criar a rede virtual.

Criar o gateway de VPN

Nesta etapa, você cria o gateway de rede virtual para sua rede virtual. Criar um gateway pode levar 45 minutos ou mais, dependendo do SKU de gateway selecionado.

Observação

O SKU de gateway Básico não dá suporte à autenticação IKEv2 ou RADIUS. Se você planeja ter clientes Mac conectados à sua Vnet, não use o SKU Básico.

O gateway de rede virtual requer uma sub-rede específica chamada GatewaySubnet. A sub-rede do gateway faz parte do intervalo de endereços IP da sua rede virtual e contém os endereços IP que os recursos e serviços do gateway de rede virtual usam.

Quando você cria a sub-rede de gateway, pode especificar o número de endereços IP que contém a sub-rede. O número de endereços IP necessários depende da configuração do gateway VPN que você deseja criar. Algumas configurações exigem mais endereços IP do que outras. É melhor especificar /27 ou maior (/26, /25 etc.) para sua sub-rede de gateway.

Se aparecer um erro informando que o espaço de endereço se sobrepõe a uma sub-rede, ou que a sub-rede não está contida no espaço de endereço da rede virtual, verifique o intervalo de endereços da sua rede virtual. Talvez você não tenha endereços IP suficientes disponíveis no intervalo de endereços que criou para sua rede virtual. Por exemplo, se a sua sub-rede padrão abranger todo o intervalo de endereços, não restará nenhum endereço IP para criar mais sub-redes. Você pode ajustar suas sub-redes no espaço de endereço existente para liberar endereços IP ou especificar outro intervalo de endereços e criar a sub-rede de gateway lá.

1. Em Pesquisar recursos, serviços e documentos (G+/), insira gateway de rede virtual. Localize o Gateway de rede virtual nos resultados da pesquisa do Marketplace e selecione-o para abrir a página Criar gateway de rede virtual.

   

2. Na guia Informações básicas, preencha os valores de Detalhes do projeto e Detalhes da instância.

   

   • Assinatura: escolha na lista de seleção a assinatura que deseja usar.

   • Grupo de recursos: essa configuração é preenchida automaticamente ao selecionar a rede virtual nesta página.

   • Nome: nomeie o seu gateway. Nomear seu gateway não é o mesmo que nomear uma sub-rede de gateway. Trata-se do nome do objeto de gateway que você está criando.

   • Região: Selecione a região na qual deseja criar este recurso. A região do gateway deve ser a mesma que da rede virtual.

   • Tipo de gateway: selecione VPN. Gateways VPN usam o tipo de gateway de rede virtual do tipo VPN.

   • SKU: na lista de seleção, escolha o SKU do gateway que dá suporte aos recursos que você deseja usar. Confira SKUs de Gateway. No portal, os SKUs disponíveis na lista de seleção dependem do VPN type que você selecionar. O SKU Básico só pode ser configurado usando a CLI do Azure ou o PowerShell. Não é possível configurar o SKU Básico no portal do Azure.

   • Geração: selecione a geração que você quer usar. Recomendamos usar um SKU de Geração2. Para obter mais informações, confira SKUs de gateway.

   • Rede virtual: na lista de seleção, escolha a rede virtual à qual você deseja adicionar este gateway. Caso não consiga visualizar a rede virtual para a qual deseja criar um gateway, verifique se selecionou a assinatura e a região corretas nas configurações anteriores.

   • Intervalo de endereços da sub-rede do gateway ou Sub-rede: a sub-rede do gateway é necessária para criar um gateway de VPN.

     Neste momento, este campo tem alguns comportamentos diferentes, dependendo do espaço de endereço da rede virtual e se você já criou uma sub-rede chamada GatewaySubnet para sua rede virtual.

     Caso não tenha uma sub-rede de gateway e não vir a opção para criá-la nesta página, volte para sua rede virtual e crie a sub-rede do gateway. Em seguida, retorne a esta página e configure o gateway de VPN.

3. Especifique os valores do Endereço IP público. Essas configurações especificam o objeto de endereço IP público que será associado ao gateway da VPN. O endereço IP público é atribuído a esse objeto quando o gateway de VPN é criado. A única vez em que o endereço IP público primário muda é quando o gateway é excluído e recriado. Isso não altera o redimensionamento, a redefinição ou outras manutenções/atualizações internas do seu gateway de VPN.

   

   • Tipo de endereço IP público: Para este exercício, se você tiver a opção de escolher o tipo de endereço, selecione Standard.
   • Endereço IP público: Deixe criar novo selecionado.
   • Nome do endereço IP público: na caixa de texto, insira um nome para a instância de endereço IP público.
   • SKU de endereço IP público: A configuração é selecionada automaticamente.
   • Atribuição: a atribuição normalmente é selecionada automaticamente e pode ser Dinâmica ou Estática.
   • Habilitar o modo ativo-ativo: selecione Desabilitado. Habilite esta configuração somente se você estiver criando uma configuração de gateway ativo-ativo.
   • Configurar BGP: selecione Desabilitado, a menos que sua configuração exija especificamente essa configuração. Se você exigir essa configuração, o ASN padrão será 65515, embora esse valor possa ser alterado.

4. Selecione Examinar + criar para executar a validação.

5. Depois que a validação for aprovada, selecione Criar para implantar o Gateway de VPN.

Você pode ver o status de implantação na página de Visão Geral do seu gateway. Após a criação do gateway você pode exibir o endereço IP que lhe foi atribuído, olhando para a Vnet no portal. O gateway aparecerá como um dispositivo conectado.

Importante

Ao trabalhar com sub-redes de gateway, evite a associação de um grupo de segurança de rede (NSG) à sub-rede de gateway. A associação de um grupo de segurança de rede a essa sub-rede pode fazer com que seu Gateway de rede virtual (Gateways de VPN e ExpressRoute) pare de funcionar conforme o esperado. Para obter mais informações sobre grupos de segurança de rede, confira O que é um grupo de segurança de rede?.

Gerar certificados

Os certificados são usados pelo Azure para autenticar clientes que se conectam a uma VNet por meio de conexão VPN ponto a site. Depois de obter um certificado raiz, você poderá carregar as informações de chave pública para o Azure. O certificado raiz é então considerado 'confiável' pelo Azure para conexão sobre o P2S com o Vnet.

Você também gera certificados do cliente a partir do certificado raiz confiável e os instala em cada computador cliente. O certificado do cliente é usado para autenticar o cliente quando ele inicia uma conexão de rede virtual.

O certificado raiz deve ser gerado e extraído antes de criar sua configuração ponto-a-site nas próximas seções.

Gerar um certificado raiz

Obtenha o arquivo .cer do certificado raiz. Você pode usar um certificado raiz que foi gerado com uma solução corporativa (recomendado) ou gerar um certificado autoassinado. Depois de criar o certificado raiz, exporte os dados de certificado público (não a chave privada) como o arquivo .cer X.509 codificado em Base64. Você carrega esse arquivo mais tarde no Azure.

• Certificado corporativo: Se você estiver usando uma solução empresarial, poderá usar a cadeia de certificados existente. Adquira o arquivo .cer do certificado raiz que você deseja usar.

• Certificado raiz autoassinado: Se você não estiver usando uma solução de certificado empresarial, precisará criar um certificado raiz autoassinado. Caso contrário, os certificados que você criar não serão compatíveis com suas conexões P2S e os clientes receberão um erro de conexão ao tentarem se conectar. Você pode usar o Azure PowerShell, MakeCert ou OpenSSL. As etapas nos artigos a seguir descrevem como gerar um certificado raiz autoassinado compatível:

  • Instruções do PowerShell para Windows 10 ou posterior: essas instruções exigem o PowerShell em um computador com Windows 10 ou posterior. Os certificados de cliente gerados a partir do certificado raiz podem ser instalados em qualquer cliente de P2S com suporte.
  • Instruções do MakeCert: utilize o MakeCert para gerar certificados se não tiver acesso a um computador com Windows 10 ou posterior. Embora o MakeCert tenha sido preterido, você ainda pode usá-lo para gerar certificados. Os certificados de cliente gerados usando o certificado raiz podem ser instalados em qualquer cliente de P2S com suporte.
  • Linux - Instruções OpenSSL
  • Linux - Instruções strongSwan

Gerar certificados de cliente

Cada computador cliente que você conectar a uma VNet com uma conexão ponto a site deve ter um certificado do cliente instalado. Você pode gerá-lo do certificado raiz e instalá-lo em cada computador cliente. Se você não instalar um certificado de cliente válido, a autenticação falhará quando o cliente tenta se conectar à VNet.

Você pode gerar um certificado exclusivo para cada cliente ou pode usar o mesmo certificado para vários clientes. A vantagem da geração de certificados de cliente exclusivos é a capacidade de revogar um único certificado. Caso contrário, se vários clientes usarem o mesmo certificado de cliente para autenticar e você o revogar, você precisará gerar e instalar novos certificados para cada cliente que usa esse certificado.

Você pode gerar certificados de cliente usando os seguintes métodos:

• Certificado corporativo:

  • Se você estiver usando uma solução de certificado empresarial, gere um certificado de cliente com o formato de valor de nome comum name@yourdomain.com. Use esse formato, em vez do formato nome do domínio\nomedeusuário.

  • Verifique se o certificado do cliente é baseado em um modelo de certificado de usuário que tenha Autenticação de Cliente listada como o primeiro item na lista de usuários. Verifique o certificado clicando duas vezes nele e exibindo Uso Avançado de Chave na guia Detalhes.

• Certificado raiz autoassinado: Siga as etapas em um dos seguintes artigos de certificado de P2S para que os certificados de cliente que você cria sejam compatíveis com as conexões P2S.

  Ao gerar um certificado do cliente de um certificado raiz autoassinado, ele é instalado automaticamente no computador que você usou para gerá-lo. Se você quiser instalar um certificado de cliente em outro computador cliente, exporte-o como arquivo .pfx e junto com toda a cadeia de certificados. Essa ação criará um arquivo .pfx que contém as informações do certificado raiz necessárias para o cliente autenticar.

  As etapas desses artigos geram um certificado de cliente compatível, que você poderá exportar e distribuir.

  • Instruções do PowerShell para o Windows 10 ou posterior: essas instruções exigem o Windows 10 ou posterior e o PowerShell para gerar certificados. Os certificados gerados podem ser instalados em qualquer cliente de P2S com suporte.

  • Instruções MakeCert: use MakeCert se você não tiver acesso a um computador com o Windows 10 ou posterior para gerar certificados. Embora o MakeCert tenha sido preterido, você ainda pode usá-lo para gerar certificados. Você pode instalar os certificados gerados em qualquer cliente de P2S com suporte.

  • Instruções do Linux.

Adicionar o pool de endereços

A página de Configuração de ponto-a-site contém as informações de configuração que são necessárias para a VPN P2S. Uma vez que todas as configurações do P2S tenham sido definidas e o gateway tenha sido atualizado, a página de configuração Ponto a site é usada para exibir ou alterar as configurações do P2S VPN.

1. Vá até o gateway que você criou na seção anterior.
2. No painel esquerdo, selecione Configuração ponto-a-site.
3. Clique em Configurar agora para abrir a página de configuração.

O pool de endereços do cliente é um intervalo de endereços IP que você especificar. Os clientes que se conectam por VPN ponto a site recebem dinamicamente um endereço IP desse intervalo. Use um intervalo de endereços IP privado que não coincida com o local de onde você se conecta nem com a VNet à qual quer se conectar. Se você configurar vários protocolos e o SSTP for um deles, o pool de endereços configurado será dividido entre os protocolos configurados igualmente.

1. Na página de Configuração ponto a site, na caixa Pool de endereços, adicione o intervalo de endereços IP privado que deseja usar. Os clientes VPN recebem dinamicamente um endereço IP do intervalo que você especificar. A máscara de sub-rede mínima é de 29 bits para a configuração ativa/passiva e de 28 bits para configuração ativa/ativa.

2. Em seguida, configure o túnel e o tipo de autenticação.

Especificar o túnel e o tipo de autenticação

Observação

Se você não vê o tipo de túnel ou o tipo de autenticação na página de Configuração de ponto-a-site, seu gateway está usando o SKU Básico. O SKU Básico não dá suporte à autenticação IKEv2 nem RADIUS. Se você quiser usar essas configurações, será necessário excluir e recriar o gateway usando um SKU de gateway diferente.

Nesta seção, você especifica o tipo de túnel e o tipo de autenticação. Estas configurações podem se tornar complexas, dependendo do tipo de túnel desejado e do software de cliente VPN que será usado para fazer a conexão a partir do sistema operacional do usuário. As etapas deste artigo o guiarão através das configurações e escolhas básicas de configuração.

Você pode selecionar opções que contenham vários tipos de túneis a partir da lista suspensa como IKEv2 e OpenVPN(SSL) ou IKEv2 e SSTP (SSL), entretanto, somente certas combinações de tipos de túneis e tipos de autenticação têm suporte. Por exemplo, a autenticação do Microsoft Entra só pode ser usada quando você seleciona OpenVPN (SSL) na lista suspensa de tipo de túnel e não IKEv2 e OpenVPN(SSL).

Além disso, o tipo de túnel e o tipo de autenticação escolhido afetam o software de cliente VPN que pode ser usado para se conectar ao Azure. Alguns softwares de cliente VPN só podem se conectar via IKEv2, outros só podem se conectar via OpenVPN. E alguns softwares de clientes, embora suportem um determinado tipo de túnel, podem não dar suporte ao tipo de autenticação que você escolher.

Como se pode perceber, o planejamento do tipo de túnel e do tipo de autenticação é importante quando se tem uma variedade de clientes VPN conectados a partir de diferentes sistemas operacionais. Considere os seguintes critérios ao escolher seu tipo de túnel em combinação com a autenticação do certificado do Azure. Outros tipos de autenticação têm considerações diferentes.

• Windows:

  • Os computadores Windows conectados através do cliente VPN nativo já instalado no sistema operacional tentarão primeiro o IKEv2 e, se este não se conectar, eles voltarão ao SSTP (se você selecionou tanto o IKEv2 como o e SSTP a partir do tipo de túnel da lista suspensa).
  • Se você selecionar o tipo de túnel OpenVPN, você pode se conectar usando um Cliente OpenVPN ou o Cliente VPN do Azure.
  • O Cliente VPN do Azure pode dar suporte a definições de configurações opcionais adicionais, tais como rotas personalizadas e túneis forçados.

• macOS e iOS:

  • O cliente VPN nativo para iOS e macOS só pode usar o tipo de túnel IKEv2 para se conectar ao Azure.
  • O cliente VPN do Azure não tem suporte para autenticação de certificados neste momento, mesmo se você selecionar o tipo de túnel OpenVPN.
  • Se você quiser usar o tipo de túnel OpenVPN com autenticação de certificado, você pode usar um cliente OpenVPN.
  • No macOS, é possível usar o Cliente VPN do Azure com o tipo de túnel OpenVPN e a autenticação do Microsoft Entra (não a autenticação de certificado).

• Android e Linux:

  • O cliente strongSwan no Android e Linux pode usar apenas o tipo de túnel IKEv2 para se conectar. Se você quiser usar o tipo de túnel OpenVPN, use um cliente VPN diferente.

Tipo de túnel

Na página Configuração ponto a site, selecione o Tipo de túnel. Para este exercício, selecione IKEv2 e OpenVPN(SSL) do menu suspenso.

Tipo de autenticação

Para este exercício, selecione o certificado do Azure para o tipo de autenticação. Se você estiver interessado em outros tipos de autenticação, consulte os artigos para Microsoft Entra ID e RADIUS.

Carregar informações de chave pública do certificado raiz

Nesta seção, você carrega os dados do certificado raiz público no Azure. Uma vez carregados os dados públicos do certificado, o Azure pode usá-los para autenticar clientes com um certificado do cliente instalado gerado a partir de um certificado raiz confiável.

1. Verifique se você exportou o certificado raiz como um arquivo x.509 (.CER) codificado em Base 64 nas etapas anteriores. Você precisa exportar o certificado neste formato para poder abri-lo em um editor de texto. Você não precisa exportar a chave privada.

2. Abra o certificado com um editor de texto, como o Bloco de Notas. Ao copiar os dados do certificado, certifique-se de copiar o texto como uma linha contínua sem retornos de carro ou alimentações de linha. Talvez seja necessário modificar a exibição no editor de texto para 'Mostrar símbolo/Mostrar todos os caracteres' para ver os retornos de carro e alimentações de linha. Copie apenas a seção a seguir como uma linha contínua:

   

3. Navegue até a página Gateway de rede virtual -> Configuração ponto a site na seção Certificado raiz. Esta seção só será visível se você tiver selecionado certificado do Azure no tipo de autenticação.

4. Na seção Certificado raiz, você pode adicionar até 20 certificados raiz confiáveis.

   • Cole os dados do certificado no campo Dados de certificado público.
   • Nomeie o certificado.

   

5. Rotas adicionais não são necessárias para este exercício. Para obter mais informações sobre o recurso de roteamento personalizado, consulte Anunciar rotas personalizadas.

6. Selecione Salvar na parte superior da página para salvar todas as configurações.

   

Instalar certificado do cliente exportado

Cada cliente VPN que deseja se conectar precisa ter um certificado do cliente. Quando você gera um certificado de cliente, o computador que você usou normalmente instalará automaticamente o certificado de cliente para você. Se você quiser criar uma conexão P2S a partir de outro computador, você precisa instalar um certificado de cliente no computador que deseja se conectar. Ao instalar um certificado do cliente, você precisará da senha criada durante a exportação do certificado do cliente.

Verifique se o certificado do cliente foi exportado como um .pfx juntamente com a cadeia de certificado inteira (que é o padrão). Caso contrário, as informações do certificado raiz não estão presentes no computador cliente e este não será capaz de fazer a autenticação corretamente.

Para as etapas de instalação, confira Instalar um certificado de cliente.

Configurar clientes VPN e conectar-se ao Azure

Cada cliente VPN é configurado usando os arquivos em um pacote de configuração de perfil do cliente VPN que você gera e baixa. O pacote de configuração contém configurações específicas para o gateway de VPN que você criou. Se você fizer alterações no gateway, como alterar um tipo de túnel, certificado ou tipo de autenticação, será necessário gerar outro pacote de configuração de perfil de cliente VPN e instalá-lo em cada cliente. Caso contrário, seus clientes VPN podem não conseguir se conectar.

Para obter as etapas para gerar um pacote de configuração de perfil de cliente VPN, configurar seus clientes VPN e conectar-se ao Azure, consulte os seguintes artigos:

• Windows
• macOS-iOS
• Linux

Para verificar sua conexão

Essas instruções se aplicam a clientes do Windows.

1. Para verificar se a conexão VPN está ativa, abra um prompt de comandos com privilégios elevados e execute ipconfig/all.

2. Exiba os resultados. Observe que o endereço IP que você recebeu é um dos endereços dentro do Pool de Endereços de Cliente VPN ponto a site que você especificou em sua configuração. Os resultados são semelhantes a este exemplo:

   PPP adapter VNet1:
      Connection-specific DNS Suffix .:
      Description.....................: VNet1
      Physical Address................:
      DHCP Enabled....................: No
      Autoconfiguration Enabled.......: Yes
      IPv4 Address....................: 172.16.201.3(Preferred)
      Subnet Mask.....................: 255.255.255.255
      Default Gateway.................:
      NetBIOS over Tcpip..............: Enabled
   

Para conectar-se a uma máquina virtual

Essas instruções se aplicam a clientes do Windows.

É possível se conectar a uma VM implantada em sua rede virtual criando uma conexão de Área de Trabalho Remota com a VM. É a melhor maneira de verificar inicialmente se você pode se conectar à sua VM usando seu endereço IP privado, em vez do nome do computador. Dessa forma, você está testando para ver se pode conectar-se e não se a resolução de nomes está configurada corretamente.

1. Localize o endereço IP privado. É possível encontrar o endereço IP privado de uma VM observando as propriedades da VM no portal do Azure ou usando o PowerShell.

   • Portal do Azure: localize sua VM no portal do Azure. Exiba as propriedades para a VM. O endereço IP privado está listado.

   • PowerShell: use o exemplo para exibir uma lista de VMs e endereços de IP privados dos seus grupos de recursos. Você não precisa modificar esse exemplo antes de usá-lo.

     $VMs = Get-AzVM
     $Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne $null
     
     foreach ($Nic in $Nics) {
     $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
     $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
     $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
     Write-Output "$($VM.Name): $Prv,$Alloc"
     }
     

2. Verifique se você está conectado à sua rede virtual.

3. Abra a Conexão de Área de Trabalho Remota, inserindo RDP ou Conexão de Área de Trabalho Remota na caixa de pesquisa na barra de tarefas. Em seguida, selecione Conexão de Área de Trabalho Remota. Você também pode abrir a Conexão de Área de Trabalho Remota usando o comando mstsc no PowerShell.

4. Na Conexão de Área de Trabalho Remota, insira o endereço IP privado da VM. É possível selecionar Mostrar Opções para ajustar outras configurações e depois se conectar.

Se você estiver com problemas para se conectar a uma VM por meio da conexão VPN, verifique o seguinte pontos:

• Verifique se a conexão VPN é estabelecida.
• Verifique se você está se conectando ao endereço IP privado da VM.
• Se você puder se conectar à VM usando o endereço IP privado, mas não o nome do computador, verifique se o DNS foi configurado corretamente. Para obter mais informações sobre como funciona a resolução de nomes para VMs, confira Resolução de nomes para VMs.

Para obter mais informações sobre conexões RDP, confira Solucionar problemas de conexões da Área de Trabalho Remota a uma VM.

• Verifique se o pacote de configuração de cliente VPN foi gerado depois que os endereços IP do servidor DNS foram especificados para a rede virtual. Se você atualizou os endereços IP do servidor DNS, gere e instale um novo pacote de configuração de cliente VPN.

• Use 'ipconfig' para verificar o endereço IPv4 atribuído ao adaptador Ethernet no computador do qual está se conectando. Se o endereço IP está dentro do intervalo de endereços da VNet a qual você está se conectando ou dentro do intervalo de endereços do VPNClientAddressPool, isso é chamado de espaço de endereço sobreposto. Quando o espaço de endereço se sobrepõe dessa forma, o tráfego de rede não alcança o Azure; ele permanece na rede local.

Para adicionar ou remover certificados raiz confiáveis

Você pode adicionar e remover um certificado raiz do Azure. Quando você remove um certificado raiz, os clientes que têm um certificado gerado dessa raiz não podem se autenticar e, portanto, não podem se conectar. Se você deseja que um clientes faça autenticação e se conecte, você precisa instalar um novo certificado de cliente gerado a partir de um certificado confiável (carregado) no Azure.

Você pode adicionar até 20 arquivos .cer de certificado raiz ao Azure. Para obter instruções, consulte a seção Carregar um certificado raiz confiável.

Para remover um certificado raiz confiável:

1. Navegue até a página Configuração ponto a site do gateway de rede virtual.
2. Na seção Certificado raiz da página, encontre o certificado que você deseja remover.
3. Selecione botão de reticências ao lado do certificado e clique em Remover.

Para revogar um certificado de cliente

É possível revogar certificados de cliente. A lista de certificados revogados permite negar seletivamente a conectividade P2S com base em certificados individuais de clientes. Isso é diferente da remoção de um certificado raiz confiável. Se você remover um arquivo .cer de certificado raiz confiável do Azure, ele revogará o acesso para todos os certificados de cliente gerados/assinados pelo certificado raiz revogado. Revogar um certificado de cliente, em vez do certificado raiz, permite que os outros certificados gerados a partir do certificado raiz continuem a ser usados para autenticação.

A prática comum é usar o certificado raiz para gerenciar o acesso em níveis de equipe ou organização, enquanto estiver usando certificados de cliente revogados para controle de acesso refinado em usuários individuais.

Você pode revogar um certificado de cliente adicionando a impressão digital à lista de revogação.

1. Recupere a impressão digital do certificado de cliente. Para saber mais, confira Como recuperar a impressão digital de um certificado.
2. Copie as informações em um editor de texto e remova todos os espaços para que ele seja uma cadeia de caracteres contínua.
3. Navegue até a página Configuração ponto a site do gateway de rede virtual. É a mesma página que você usou para carregar um certificado raiz confiável.
4. Na seção Certificados revogados, insira um nome amigável para o certificado (não precisa ser o CN do certificado).
5. Copie e cole a cadeia de caracteres de impressão digital no campo Impressão digital.
6. A impressão digital é validada e adicionada automaticamente à lista de revogação. Uma mensagem aparece na tela informando que a lista está atualizando.
7. Após a conclusão da atualização, o certificado não poderá mais ser usado para se conectar. Os clientes que tentam se conectar usando este certificado recebem uma mensagem informando que o certificado não é mais válido.

Perguntas frequentes sobre ponto a site

Para perguntas frequentes, confira as Perguntas frequentes.

Próximas etapas

Uma vez que sua conexão esteja completa, você pode adicionar máquinas virtuais a suas VNets. Para saber mais, veja Máquinas virtuais. Para saber mais sobre redes e máquinas virtuais, consulte Visão geral de rede do Azure e VM Linux.

Para obter informações sobre solução de problemas de P2S, consulte Solução de problemas de conexões de ponto a site do Azure.