Perguntas frequentes de gateway de VPN

Conectando-se a redes virtuais

Posso conectar redes virtuais em diferentes regiões do Azure?

Sim. Na verdade, não há nenhuma restrição de região. Uma rede virtual pode se conectar a outra rede virtual na mesma região ou em outra região do Azure.

Posso conectar redes virtuais em assinaturas diferentes?

Sim.

Posso especificar servidores DNS privados em minha VNet ao configurar o Gateway de VPN?

Se você especificou um servidor DNS ou servidores quando criou sua VNet, o Gateway de VPN usará os servidores DNS especificados. Se você especificar um servidor DNS, verifique se ele pode resolver os nomes de domínio necessários para o Azure.

Posso me conectar vários sites de uma única rede virtual?

Você pode se conectar a vários sites usando o Windows PowerShell e as APIs REST do Azure. Consulte a seção Conectividade multissite e de VNet para VNet das perguntas frequentes.

Há um custo adicional para configurar um gateway de VPN como ativo-ativo?

Não.

Quais são minhas opções de conexão entre locais?

Há suporte para as seguintes conexões entre locais:

  • Site a Site – conexão VPN no IPsec (IKE v1 e IKE v2). Esse tipo de conexão exige um dispositivo VPN ou RRAS. Para obter mais informações, consulte Site a Site.
  • Ponto a Site – conexão VPN no SSTP (Secure Socket Tunneling Protocol) ou IKE v2. Essa conexão não exige um dispositivo VPN. Para obter mais informações, consulte Ponto a Site.
  • VNet a VNet - esse tipo de conexão é igual a uma configuração Site a Site. VNet a VNet é uma conexão VPN sobre IPsec (IKE v1 e IKE v2). Ela não requer um dispositivo VPN. Para obter mais informações, consulte VNet a VNet.
  • Multissite - essa é uma variação da configuração Site a Site que permite conectar vários sites locais a uma rede virtual. Para obter mais informações, consulte Multissite.
  • ExpressRoute - ExpressRoute é uma conexão privada com o Azure a partir de sua WAN, não uma conexão VPN na Internet pública. Para saber mais, veja a Visão geral técnica do ExpressRoute e as Perguntas frequentes sobre o ExpressRoute.

Para saber mais sobre conexões de gateway de VPN, confira Sobre gateway de VPN.

Qual é a diferença entre uma conexão site a site e uma ponto a site?

Site a Site as configurações (túnel VPN IPsec/IKE) estão entre o local e o Azure. Isso significa que você pode conectar, a partir de qualquer um dos computadores localizados em suas instalações, qualquer máquina virtual ou instância de função em sua rede virtual, dependendo de como você escolhe configurar o roteamento e as permissões. É uma ótima opção para uma conexão entre locais sempre disponível e é bastante adequada para configurações híbridas. Esse tipo de conexão se baseia em um dispositivo de VPN IPsec (dispositivo de hardware ou software), que deve ser implantado na borda de sua rede. Para criar esse tipo de conexão, você deve ter um endereço IPv4 voltado para o exterior.

As configurações Ponto a Site (VPN no SSTP) permitem conectar, a partir de um único computador e de qualquer lugar, qualquer coisa localizada em sua rede virtual. Elas usam o cliente de VPN integrado ao Windows. Como parte da configuração de ponto a site, você pode instalar um certificado e um pacote de configuração de cliente VPN, que contém as configurações que permitem que o computador se conecte a qualquer máquina virtual ou instância de função na rede virtual. É ótimo quando você deseja se conectar a uma rede virtual, mas não está localizado no local. Também é uma boa opção quando você não tem acesso a hardware de VPN ou a um endereço IPv4 voltado para o exterior, sendo que ambos são necessários para uma conexão site a site.

Você pode configurar sua rede virtual para usar as opções de site a site e ponto a site simultaneamente, desde que crie sua conexão site a site usando um tipo de VPN com base em rota para seu gateway. Tipos de VPN baseados em rota são chamados de gateways dinâmicos no modelo de implantação clássica.

Privacidade

O serviço de VPN armazena ou processa os dados do cliente?

Não.

Gateways de rede virtual

Um gateway de VPN é um gateway de rede virtual?

Um gateway de VPN é um tipo de gateway de rede virtual. Um gateway de VPN envia o tráfego criptografado entre sua rede virtual e seu local em uma conexão pública. Você também pode usar o Gateway de VPN para enviar tráfego entre redes virtuais. Quando você cria um gateway de VPN, pode usar o valor 'Vpn' de -GatewayType. Para saber mais, veja Sobre as configurações de Gateway de VPN.

O que é um gateway baseado em políticas (roteamento estático)?

Os gateways baseados em política implementam VPNs baseadas em política. As VPNs baseadas em política criptografam e direcionam pacotes por meio de túneis IPsec com base em combinações de prefixos de endereço entre sua rede local e a VNet do Azure. A política (ou o seletor de tráfego) normalmente é definida como uma lista de acesso na configuração de VPN.

O que é um gateway baseado em rotas (roteamento dinâmico)?

Gateways baseados em rota implementam VPNs baseadas em rota. As VPNs baseadas em rota usam "rotas" da tabela de roteamento ou de encaminhamento de IP para direcionar pacotes para as interfaces de túnel correspondentes. As interfaces de túnel criptografam ou descriptografam então os pacotes para dentro e para fora dos túneis. O seletor de política ou de tráfego para as VPNs baseadas em rota são configurados como any-to-any (ou curingas).

Posso especificar meus seletores de tráfego baseados em políticas?

Sim, os seletores de tráfego podem ser definidos por meio do atributo trafficSelectorPolicies em uma conexão por meio do comando New-AzIpsecTrafficSelectorPolicy do PowerShell. Para que o seletor de tráfego especificado entre em vigor, verifique se a opção Usar Seletores de Tráfego Baseados em Política está habilitada.

Posso atualizar meu gateway de VPN baseado em política para baseado em rota?

Não. Um tipo de gateway não pode ser alterado de baseado em política para baseado em rota, e vice-versa. Para alterar um tipo de gateway, o gateway deve ser excluído e recriado. Esse processo leva cerca de 60 minutos. Ao criar o novo gateway, você não pode reter o endereço IP do gateway original.

  1. Exclua todas as conexões associadas ao gateway.

  2. Exclua o gateway usando um dos seguintes artigos:

  3. Crie um novo gateway usando o tipo de gateway que você deseja e conclua a configuração da VPN. Para ver as etapas, consulte o tutorial de Site a Site.

É necessária uma 'GatewaySubnet'?

Sim. A sub-rede de gateway contém os endereços IP que usam os serviços de gateway de rede virtual. Você precisa criar uma sub-rede de gateway para a VNet para configurar um gateway de rede virtual. Todas as sub-redes de gateway devem ser nomeadas como ‘GatewaySubnet’ para funcionar adequadamente. Não dê outro nome à sua sub-rede de gateway. E não implante VMs ou qualquer outra coisa na sub-rede de gateway.

Quando você cria a sub-rede de gateway, pode especificar o número de endereços IP que contém a sub-rede. Os endereços IP na sub-rede do gateway são alocados para o serviço de gateway. Algumas configurações exigem mais endereços IP a ser alocada para os serviços de gateway que outras pessoas. Convém certificar-se de que sua sub-rede de gateway contenha endereços IP suficientes para acomodar o crescimento futuro e possíveis novas configurações de conexão adicionais. Dessa forma, embora seja possível criar uma sub-rede de gateway tão pequena quanto /29, é recomendável criar uma sub-rede de gateway de /27 ou maior (/27, /26, /25 etc.). Examine os requisitos para a configuração que deseja criar e verifique se a sub-rede de gateway que você tem atende a esses requisitos.

Posso implantar máquinas virtuais ou instâncias de função na minha sub-rede de gateway?

Não.

Posso obter o endereço IP do gateway de VPN antes de criá-lo?

Gateways em zona ou com redundância de zona (SKUs de gateway que têm AZ no nome) dependem de um recurso de IP público do Azure do SKU Standard. Os recursos de IP público do SKU Standard do Azure devem usar um método de alocação estático. Portanto, você terá o endereço IP público para o gateway de VPN assim que criar o recurso de IP público do SKU Standard que pretende usar para ele.

Para gateways não em zona ou sem redundância de zona (SKUs de gateway que não têm AZ no nome), não é possível obter o endereço IP do gateway de VPN antes que ele seja criado. O endereço IP será alterado somente se você excluir e recriar o gateway de VPN.

Eu posso solicitar um endereço IP Público Estático para o meu gateway de VPN?

Como mencionado acima, os gateways em zona ou com redundância de zona (SKUs de gateway que têm AZ no nome) dependem de um recurso de IP público do Azure do SKU Standard. Os recursos de IP público do SKU Standard do Azure devem usar um método de alocação estático.

Para gateways não em zona ou sem redundância de zona (SKUs de gateway que não têm AZ no nome), há suporte apenas para a atribuição de endereço IP dinâmico. No entanto, isso não significa que o endereço IP é alterado depois que ele foi atribuído ao seu gateway de VPN. A única vez em que o endereço IP de gateway de VPN é alterado é quando o gateway é excluído e, em seguida, recriado. O endereço IP público do gateway de VPN não é alterado quando você redimensiona, redefine ou conclui outras manutenções internas e atualizações do gateway de VPN.

Como meu túnel de VPN é autenticado?

A VPN do Azure usa autenticação PSK (Chave Pré-Compartilhada). Geramos uma PSK (chave pré-compartilhada) durante a criação do túnel de VPN. Você pode alterar a PSK gerada automaticamente para a sua própria PSK por meio do cmdlet do PowerShell “Definir Chave Pré-Compartilhada” ou com a API REST.

Posso usar a API Definir chave pré-compartilhada para configurar minha VPN de gateway baseada em política (roteamento estático)?

Sim, a API Definir chave pré-compartilhada e o cmdlet do PowerShell podem ser usados para configurar VPNs baseadas em política (estáticas) do Azure e as VPNs de roteamento baseadas em rota (dinâmicas).

É possível usar outras opções de autenticação?

Estamos limitados ao uso de PSK (chaves pré-compartilhadas) para autenticação.

Como especificar qual tráfego passa pelo gateway de VPN?

Modelo de implantação do Gerenciador de Recursos

  • PowerShell: use "AddressPrefix" para especificar o tráfego para o gateway de rede local.
  • Portal do Azure: navegue até o Gateway de rede local > Configuração > Espaço de endereço.

Modelo de implantação clássica

  • Portal do Azure: navegue até a rede virtual clássica > Conexões VPN > Conexões VPN Site a Site> Nome do site Loca > Site local > Espaço de endereço do cliente.

Posso usar um NAT-T em minhas conexões VPN?

Sim, o NAT-T (NAT Traversal) é compatível. O Gateway de VPN do Azure não executará nenhuma funcionalidade semelhante ao NAT de/para túneis IPsec nos pacotes internos. Nessa configuração, verifique se o dispositivo local iniciará o túnel IPSec.

Posso configurar meu próprio servidor de VPN no Azure e usá-lo para me conectar à minha rede local?

Sim, você pode implantar seus próprios gateways de VPN ou servidores no Azure, por meio do Azure Marketplace, ou criar seus próprios roteadores de VPN. Você precisa configurar as rotas definidas pelo usuário em sua rede virtual para garantir que o tráfego seja roteado corretamente entre suas redes locais e as sub-redes da rede virtual.

Por que certas portas são abertas no meu gateway de rede virtual?

Elas são necessárias para a comunicação de infraestrutura do Azure. Elas são protegidas (bloqueadas) por certificados do Azure. Sem certificados apropriados, entidades externas, incluindo os clientes desses gateways, não poderão causar efeitos nesses pontos de extremidade.

Um gateway de rede virtual é fundamentalmente um dispositivo multi-homed com um NIC tocando na rede privada do cliente e uma NIC voltada para a rede pública. As entidades de infraestrutura do Azure não podem tocar em redes privadas de cliente por motivos de conformidade, devendo utilizar pontos de extremidade públicos para comunicação de infraestrutura. Os pontos de extremidade públicos são verificados periodicamente pela auditoria de segurança do Azure.

Mais informações sobre tipos de gateway, requisitos e taxa de transferência

Para saber mais, veja Sobre as configurações de Gateway de VPN.

Conexões de site a site e dispositivos VPN

O que devo considerar ao escolher um dispositivo VPN?

Validamos um conjunto de dispositivos de VPN site a site padrão em parceria com fornecedores de dispositivos. Uma lista de dispositivos de VPN compatíveis e conhecidos, instruções de configuração correspondentes ou exemplos, e especificações do dispositivo podem ser encontrados no arquivo Sobre os dispositivos VPN. Todos os dispositivos das famílias de dispositivos listadas como compatíveis e conhecidas devem funcionar com a Rede Virtual. Para ajudar a configurar seu dispositivo VPN, consulte o exemplo de configuração do dispositivo ou o link que corresponde à família de dispositivos apropriada.

Onde posso encontrar as definições de configuração para o dispositivo VPN?

Para fazer o download de scripts de configuração do dispositivo VPN

Dependendo do seu dispositivo VPN, será possível baixar um script de configuração do dispositivo VPN. Para saber mais, confira Fazer download dos scripts de configuração de dispositivo de VPN.

Confira os links a seguir para obter outras informações de configuração:

Como edito os exemplos de configuração do dispositivo VPN?

Para obter informações sobre a edição dos exemplos de configuração do dispositivo, consulte Edição de exemplos.

Onde encontro os parâmetros IPsec e IKE?

Para obter os parâmetros IPsec/IKE, consulte Parâmetros.

Por que meu túnel VPN baseado em políticas é desativado quando o tráfego está ocioso?

Esse comportamento é esperado para gateways de VPN baseados em políticas (também conhecidos como roteamento estático). Quando o tráfego pelo túnel de fica ocioso por mais de 5 minutos, o túnel é interrompido. Assim que o tráfego começa a fluir em qualquer direção, o túnel é restabelecido imediatamente.

Posso usar VPNs de software para me conectar ao Azure?

Há suporte para servidores RRAS (Roteamento e Acesso Remoto) do Windows Server 2012 para configuração entre locais site a site.

Outras soluções VPN de software devem funcionar com nosso gateway, contanto que estejam em conformidade com implementações de IPsec padrão do setor. Contate o fornecedor do software para obter instruções de configuração e suporte.

Posso me conectar ao Gateway do Azure via ponto a site quando localizado em um site que tenha uma conexão site a site ativa?

Sim, mas os endereços IP públicos do cliente ponto a site precisam ser diferentes dos endereços IP públicos usados pelo dispositivo VPN site a site, caso contrário, a conexão ponto a site não funcionará. Conexões ponto a site com IKEv2 não podem ser iniciadas dos mesmos endereços IP públicos em que uma conexão VPN site a site está configurada no mesmo Gateway de VPN do Azure.

Ponto a Site - Autenticação do certificado

Esta seção se aplica ao modelo de implantação do Resource Manager.

Quantos pontos de extremidade de cliente VPN posso ter em minha configuração ponto a site?

Isso depende da SKU de gateway. Para obter mais informações sobre o número de conexões compatíveis, consulte SKUs de Gateway.

Quais sistemas operacionais de cliente posso usar com ponto a site?

Há suporte para os seguintes sistemas operacionais de cliente:

  • Windows Server 2008 R2 (somente 64 bits)
  • Windows 8.1 (32 bits e 64 bits)
  • Windows Server 2012 (somente 64 bits)
  • Windows Server 2012 R2 (somente 64 bits)
  • Windows Server 2016 (somente 64 bits)
  • Windows Server 2019 (somente 64 bits)
  • Windows 10
  • Windows 11
  • macOS versão 10.11 ou acima
  • Linux (StrongSwan)
  • iOS

Observação

Começando em 1 de julho de 2018, o suporte está sendo removido para TLS 1.0 e 1.1 do Gateway de VPN do Azure. O Gateway de VPN oferecerá suporte somente ao protocolo TLS 1.2. Para manter o suporte, consulte as atualizações para habilitar o suporte para TLS1.2.

Além disso, os seguintes algoritmos herdados também serão preteridos para TLS em 1 de julho de 2018:

  • RC4 (Rivest Cipher 4)
  • DES (Algoritmo de criptografia de dados)
  • 3DES (Algoritmo triplo de criptografia de dados)
  • MD5 (Message Digest 5)

Como fazer para habilitar o suporte para o TLS 1.2 no Windows 8.1?

  1. Abra um prompt de comando com privilégios elevados clicando duas vezes em Prompt de Comando e selecionando Executar como administrador.

  2. Execute os seguintes comandos no prompt de comando:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Instale as seguintes atualizações:

  4. Reinicialize o computador.

  5. Conecte-se à VPN.

Observação

Você precisará definir a chave de registro acima, se você estiver executando uma versão mais antiga do Windows 10 (10240).

Posso atravessar proxies e firewalls usando o recurso de ponto a site?

O Azure dá suporte a três tipos de opções de VPN Ponto a Site:

  • SSTP (Secure Socket Tunneling Protocol). SSTP é uma solução baseada em SSL da Microsoft que pode invadir firewalls, já que a maioria dos firewalls abre a porta TCP de saída, que usa SSL 443.

  • OpenVPN. OpenVPN é uma solução baseada em SSL que pode invadir firewalls, já que a maioria dos firewalls abre a porta TCP de saída, que usa SSL 443.

  • VPN IKEv2. A VPN IKEv2 é uma solução de VPN IPsec baseada em padrões que usa as portas UDP de saída 500 e 4500 e o protocolo IP número no. 50 Nem sempre os firewalls abrem essas portas, por isso, há uma possibilidade de a VPN IKEv2 não conseguir atravessar proxies e firewalls.

Se eu reiniciar um computador cliente configurado para ponto a site, a VPN se reconectará automaticamente?

A reconexão automática é uma função do cliente que está sendo usado. Windows oferece suporte à reconexão automática configurando o recurso cliente VPN Always On.

O ponto a local dá suporte a DDNS nos clientes VPN?

No momento, o DDNS não tem suporte em VPNs ponto a site.

Posso ter configurações site a site e ponto a site que coexistam para a mesma rede virtual?

Sim. Para o modelo de implantação do Gerenciador de Recursos, você deve ter um tipo de VPN RouteBased para o gateway. Para o modelo de implantação clássica, você precisará de um gateway dinâmico. Não damos suporte a Ponto a Site para o roteamento estático de gateways de VPN ou gateways de VPN PolicyBased.

Posso configurar um cliente de ponto a site para se conectar a vários gateways de rede virtual ao mesmo tempo?

Dependendo do software cliente VPN usado, você poderá se conectar a vários gateways de rede virtual, desde que as redes virtuais que estão sendo conectadas não tenham espaços de endereço conflitantes entre si ou com a rede da qual o cliente está se conectando. Enquanto o Cliente VPN do Azure dá suporte a várias conexões VPN, somente uma conexão pode ser estabelecida em um determinado momento.

Posso configurar um cliente de ponto a site para se conectar a várias redes virtuais ao mesmo tempo?

Sim, as conexões clientes ponto a site com um gateway de rede virtual implantado em uma VNet emparelhada com outras VNets podem acessar outras VNets emparelhadas. Desde que as VNets emparelhadas estejam usando os recursos UseRemoteGateway/AllowGatewayTransit, os clientes ponto a site podem se conectar a essas VNets emparelhadas. Para saber mais, consulte Sobre o roteamento ponto a site.

Quanta taxa de transferência posso esperar por meio de conexões site a site ou ponto a site?

É difícil manter a taxa de transferência exata dos túneis de VPN. IPsec e SSTP são protocolos VPN de criptografia pesada. A taxa de transferência também é limitada pela latência e pela largura de banda entre seus locais e na Internet. Para um Gateway de VPN apenas com conexões de VPN de Ponto a Site IKEv2, a taxa de transferência total que você pode esperar depende do SKU do Gateway. Para saber mais sobre taxa de transferência, confira SKUs de gateway.

Posso usar qualquer cliente de VPN de software para Ponto a Site que dê suporte a SSTP e/ou IKEv2?

Não. Você só pode usar o cliente VPN nativo no Windows para SSTP, e o cliente VPN nativo no Mac para IKEv2. No entanto, você pode usar o cliente OpenVPN em todas as plataformas para se conectar por meio do protocolo OpenVPN. Consulte a lista dos sistemas operacionais compatíveis de cliente.

Posso alterar o tipo de autenticação para uma conexão ponto a site?

Sim. No portal, navegue até a página Configuração Gateway VPN Ponto a site. Para o Tipo de autenticação, selecione os tipos de autenticação que você deseja usar. Observe que, depois de fazer uma alteração em um tipo de autenticação, é possível que os clientes não consigam se conectar até que um novo perfil de configuração de cliente VPN seja gerado, baixado e aplicado a cada cliente VPN.

O Azure oferece suporte à VPN IKEv2 com o Windows?

O IKEv2 tem suporte no Windows 10 e Server 2016. No entanto, para usar o IKEv2 em determinadas versões do sistema operacional, você precisa instalar as atualizações e definir um valor de chave do Registro localmente. Observe que não há suporte para versões do sistema operacional anteriores ao Windows 10 e elas só podem usar o SSTP ou o Protocolo OpenVPN®.

OBSERVAÇÃO: os builds do sistema operacional Windows mais recentes do que o Windows 10 versão 1709 e do Windows Server 2016 versão 1607 não exigem essas etapas.

Para preparar o Windows 10 ou Server 2016 para IKEv2:

  1. Instale a atualização com base na versão do sistema operacional:

    Versão do SO Data Número/Link
    Windows Server 2016
    Windows 10, versão 1607
    17 de janeiro de 2018 KB4057142
    Windows 10, versão 1703 17 de janeiro de 2018 KB4057144
    Windows 10 Versão 1709 22 de março de 2018 BDC4089848
  2. Defina o valor da chave do Registro. Crie ou defina a chave "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD do Registro como 1.

O que acontece quando eu configuro SSTP e IKEv2 para conexões VPN de P2S?

Quando você configura o SSTP e IKEv2 em um ambiente misto (composto por dispositivos com Windows e Mac), o cliente de VPN do Windows sempre tentará primeiro o túnel IKEv2, mas realizará o fail back para SSTP se a conexão IKEv2 não for bem-sucedida. MacOSX só se conecta por meio de IKEv2.

Além do Windows e Mac, quais outras plataformas possuem suporte Azure para VPN P2S?

O Azure é compatível com Windows, Mac e Linux para VPN P2S.

Eu já tenho um Gateway de VPN do Azure implantado. É possível habilitar RADIUS e/ou IKEv2 VPN nele?

Sim, se o SKU do gateway que está usando for compatível com RADIUS e/ou IKEv2, você poderá habilitar esses recursos nos gateways que já implantou usando o PowerShell ou o portal do Azure. Observe que o SKU Básico não é compatível com RADIUS ou IKEv2.

Como fazer para remover a configuração de uma conexão P2S?

Uma configuração P2S pode ser removida usando a CLI do Azure e o PowerShell usando os seguintes comandos:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

CLI do Azure

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

O que deverei fazer se eu tiver uma incompatibilidade de certificado ao me conectar usando a autenticação de certificado?

Desmarque "Verificar a identidade do servidor validando o certificado" ou adicionar o FQDN do servidor junto com o certificado quando você criar um perfil manualmente. Você pode fazer isso executando rasphone em um prompt de comando e escolhendo o perfil na lista suspensa.

Não é recomendável ignorar a validação de identidade do servidor em geral, mas, com a autenticação de certificado do Azure, o mesmo certificado será usado para a validação do servidor no protocolo de túnel VPN (IKEv2/SSTP) e no protocolo EAP. Como o certificado do servidor e o FQDN já foram validados pelo protocolo de túnel VPN, é redundante validar a mesma coisa no EAP novamente.

autenticação ponto a site

Posso usar minha AC raiz de PKI interna para gerar certificados para conectividade ponto a site?

Sim. Anteriormente, somente os certificados raiz autoassinados podiam ser usados. Você ainda pode carregar 20 certificados raiz.

Posso usar certificados do Azure Key Vault?

Não.

Quais ferramentas posso usar para criar certificados?

Você pode usar sua solução de Enterprise PKI (sua PKI interna), Azure PowerShell, MakeCert e OpenSSL.

Há instruções para configurações e parâmetros de certificado?

  • Solução PKI interna/Enterprise PKI : ver as etapas para Gerar certificados.

  • Azure PowerShell: consulte o artigo Azure PowerShell para ver as etapas.

  • MakeCert: consulte o artigo MakeCert para ver as etapas.

  • OpenSSL:

    • Ao exportar certificados, verifique se converteu o certificado raiz em Base64.

    • Para o certificado do cliente:

      • Ao criar a chave privada, especifique o período como 4096.
      • Ao criar o certificado, para o parâmetro -extensions, especifique usr_cert.

Ponto a Site - Autenticação RADIUS

Esta seção se aplica ao modelo de implantação do Resource Manager.

Quantos pontos de extremidade de cliente VPN posso ter em minha configuração ponto a site?

Isso depende da SKU de gateway. Para obter mais informações sobre o número de conexões compatíveis, consulte SKUs de Gateway.

Quais sistemas operacionais de cliente posso usar com ponto a site?

Há suporte para os seguintes sistemas operacionais de cliente:

  • Windows Server 2008 R2 (somente 64 bits)
  • Windows 8.1 (32 bits e 64 bits)
  • Windows Server 2012 (somente 64 bits)
  • Windows Server 2012 R2 (somente 64 bits)
  • Windows Server 2016 (somente 64 bits)
  • Windows Server 2019 (somente 64 bits)
  • Windows 10
  • Windows 11
  • macOS versão 10.11 ou acima
  • Linux (StrongSwan)
  • iOS

Observação

Começando em 1 de julho de 2018, o suporte está sendo removido para TLS 1.0 e 1.1 do Gateway de VPN do Azure. O Gateway de VPN oferecerá suporte somente ao protocolo TLS 1.2. Para manter o suporte, consulte as atualizações para habilitar o suporte para TLS1.2.

Além disso, os seguintes algoritmos herdados também serão preteridos para TLS em 1 de julho de 2018:

  • RC4 (Rivest Cipher 4)
  • DES (Algoritmo de criptografia de dados)
  • 3DES (Algoritmo triplo de criptografia de dados)
  • MD5 (Message Digest 5)

Como fazer para habilitar o suporte para o TLS 1.2 no Windows 8.1?

  1. Abra um prompt de comando com privilégios elevados clicando duas vezes em Prompt de Comando e selecionando Executar como administrador.

  2. Execute os seguintes comandos no prompt de comando:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Instale as seguintes atualizações:

  4. Reinicialize o computador.

  5. Conecte-se à VPN.

Observação

Você precisará definir a chave de registro acima, se você estiver executando uma versão mais antiga do Windows 10 (10240).

Posso atravessar proxies e firewalls usando o recurso de ponto a site?

O Azure dá suporte a três tipos de opções de VPN Ponto a Site:

  • SSTP (Secure Socket Tunneling Protocol). SSTP é uma solução baseada em SSL da Microsoft que pode invadir firewalls, já que a maioria dos firewalls abre a porta TCP de saída, que usa SSL 443.

  • OpenVPN. OpenVPN é uma solução baseada em SSL que pode invadir firewalls, já que a maioria dos firewalls abre a porta TCP de saída, que usa SSL 443.

  • VPN IKEv2. A VPN IKEv2 é uma solução de VPN IPsec baseada em padrões que usa as portas UDP de saída 500 e 4500 e o protocolo IP número no. 50 Nem sempre os firewalls abrem essas portas, por isso, há uma possibilidade de a VPN IKEv2 não conseguir atravessar proxies e firewalls.

Se eu reiniciar um computador cliente configurado para ponto a site, a VPN se reconectará automaticamente?

A reconexão automática é uma função do cliente que está sendo usado. Windows oferece suporte à reconexão automática configurando o recurso cliente VPN Always On.

O ponto a local dá suporte a DDNS nos clientes VPN?

No momento, o DDNS não tem suporte em VPNs ponto a site.

Posso ter configurações site a site e ponto a site que coexistam para a mesma rede virtual?

Sim. Para o modelo de implantação do Gerenciador de Recursos, você deve ter um tipo de VPN RouteBased para o gateway. Para o modelo de implantação clássica, você precisará de um gateway dinâmico. Não damos suporte a Ponto a Site para o roteamento estático de gateways de VPN ou gateways de VPN PolicyBased.

Posso configurar um cliente de ponto a site para se conectar a vários gateways de rede virtual ao mesmo tempo?

Dependendo do software cliente VPN usado, você poderá se conectar a vários gateways de rede virtual, desde que as redes virtuais que estão sendo conectadas não tenham espaços de endereço conflitantes entre si ou com a rede da qual o cliente está se conectando. Enquanto o Cliente VPN do Azure dá suporte a várias conexões VPN, somente uma conexão pode ser estabelecida em um determinado momento.

Posso configurar um cliente de ponto a site para se conectar a várias redes virtuais ao mesmo tempo?

Sim, as conexões clientes ponto a site com um gateway de rede virtual implantado em uma VNet emparelhada com outras VNets podem acessar outras VNets emparelhadas. Desde que as VNets emparelhadas estejam usando os recursos UseRemoteGateway/AllowGatewayTransit, os clientes ponto a site podem se conectar a essas VNets emparelhadas. Para saber mais, consulte Sobre o roteamento ponto a site.

Quanta taxa de transferência posso esperar por meio de conexões site a site ou ponto a site?

É difícil manter a taxa de transferência exata dos túneis de VPN. IPsec e SSTP são protocolos VPN de criptografia pesada. A taxa de transferência também é limitada pela latência e pela largura de banda entre seus locais e na Internet. Para um Gateway de VPN apenas com conexões de VPN de Ponto a Site IKEv2, a taxa de transferência total que você pode esperar depende do SKU do Gateway. Para saber mais sobre taxa de transferência, confira SKUs de gateway.

Posso usar qualquer cliente de VPN de software para Ponto a Site que dê suporte a SSTP e/ou IKEv2?

Não. Você só pode usar o cliente VPN nativo no Windows para SSTP, e o cliente VPN nativo no Mac para IKEv2. No entanto, você pode usar o cliente OpenVPN em todas as plataformas para se conectar por meio do protocolo OpenVPN. Consulte a lista dos sistemas operacionais compatíveis de cliente.

Posso alterar o tipo de autenticação para uma conexão ponto a site?

Sim. No portal, navegue até a página Configuração Gateway VPN Ponto a site. Para o Tipo de autenticação, selecione os tipos de autenticação que você deseja usar. Observe que, depois de fazer uma alteração em um tipo de autenticação, é possível que os clientes não consigam se conectar até que um novo perfil de configuração de cliente VPN seja gerado, baixado e aplicado a cada cliente VPN.

O Azure oferece suporte à VPN IKEv2 com o Windows?

O IKEv2 tem suporte no Windows 10 e Server 2016. No entanto, para usar o IKEv2 em determinadas versões do sistema operacional, você precisa instalar as atualizações e definir um valor de chave do Registro localmente. Observe que não há suporte para versões do sistema operacional anteriores ao Windows 10 e elas só podem usar o SSTP ou o Protocolo OpenVPN®.

OBSERVAÇÃO: os builds do sistema operacional Windows mais recentes do que o Windows 10 versão 1709 e do Windows Server 2016 versão 1607 não exigem essas etapas.

Para preparar o Windows 10 ou Server 2016 para IKEv2:

  1. Instale a atualização com base na versão do sistema operacional:

    Versão do SO Data Número/Link
    Windows Server 2016
    Windows 10, versão 1607
    17 de janeiro de 2018 KB4057142
    Windows 10, versão 1703 17 de janeiro de 2018 KB4057144
    Windows 10 Versão 1709 22 de março de 2018 BDC4089848
  2. Defina o valor da chave do Registro. Crie ou defina a chave "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload" REG_DWORD do Registro como 1.

O que acontece quando eu configuro SSTP e IKEv2 para conexões VPN de P2S?

Quando você configura o SSTP e IKEv2 em um ambiente misto (composto por dispositivos com Windows e Mac), o cliente de VPN do Windows sempre tentará primeiro o túnel IKEv2, mas realizará o fail back para SSTP se a conexão IKEv2 não for bem-sucedida. MacOSX só se conecta por meio de IKEv2.

Além do Windows e Mac, quais outras plataformas possuem suporte Azure para VPN P2S?

O Azure é compatível com Windows, Mac e Linux para VPN P2S.

Eu já tenho um Gateway de VPN do Azure implantado. É possível habilitar RADIUS e/ou IKEv2 VPN nele?

Sim, se o SKU do gateway que está usando for compatível com RADIUS e/ou IKEv2, você poderá habilitar esses recursos nos gateways que já implantou usando o PowerShell ou o portal do Azure. Observe que o SKU Básico não é compatível com RADIUS ou IKEv2.

Como fazer para remover a configuração de uma conexão P2S?

Uma configuração P2S pode ser removida usando a CLI do Azure e o PowerShell usando os seguintes comandos:

Azure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

CLI do Azure

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

A autenticação RADIUS tem suporte em todos os SKUs de Gateway de VPN do Azure?

A autenticação RADIUS tem suporte nos SKUs VpnGw1, VpnGw2 e VpnGw3. Se você estiver usando SKUs herdados, a autenticação RADIUS terá suporte nos SKUs Standard e de Alto Desempenho. Ela não tem suporte no SKU de Gateway Básico. 

Há suporte para autenticação RADIUS para o modelo de implantação clássico?

Não. Não há suporte para autenticação RADIUS para o modelo de implantação clássico.

Qual é o período de tempo limite para solicitações RADIUS enviadas ao servidor RADIUS?

As solicitações RADIUS são definidas para tempo limite após 30 segundos. Atualmente, não há suporte para valores de tempo limite definidos pelo usuário.

Há suporte para os servidores RADIUS de terceiros?

Sim, há suporte para os servidores RADIUS de terceiros.

Quais são os requisitos de conectividade para garantir que o gateway do Azure seja capaz de acessar um servidor RADIUS local?

Uma conexão VPN Site a Site com o site local, com as rotas apropriadas configuradas.  

O tráfego para um servidor RADIUS local (do gateway de VPN do Azure) pode ser roteado por uma conexão de ExpressRoute?

Não. Ele só pode ser roteado através de uma conexão Site a Site.

Há uma alteração no número de conexões SSTP com suporte na autenticação RADIUS? Qual é o número máximo de conexões SSTP e IKEv2 com suporte?

Não há alteração no número máximo de conexões SSTP com suporte em um gateway com autenticação RADIUS. Ele permanece 128 para SSTP, mas depende do SKU do gateway para IKEv2. Para obter mais informações sobre o número de conexões compatíveis, consulte SKUs de Gateway.

Qual é a diferença entre realizar a autenticação de certificado usando um servidor RADIUS e usando a autenticação de certificado nativa do Azure (carregando um certificado confiável no Azure).

Na autenticação de certificado RADIUS, a solicitação de autenticação é encaminhada a um servidor RADIUS que manipula a própria validação de certificado. Essa opção será útil se você quiser integrar-se a uma infraestrutura de autenticação de certificado já existente por meio do RADIUS.

Ao usar o Azure para autenticação de certificado, o gateway de VPN do Azure executa a validação do certificado. Você precisa carregar a chave pública do certificado no gateway. Você também pode especificar a lista de certificados revogados que não podem se conectar.

A autenticação RADIUS funciona com o IKEv2 e o SSTP VPN?

Sim, há suporte para a autenticação RADIUS tanto para IKEv2 quanto para SSTP VPN. 

A autenticação RADIUS funciona com o cliente OpenVPN?

A autenticação RADIUS é compatível com o protocolo OpenVPN somente por meio do PowerShell.

Conexões Rede Virtual para Rede Virtual e Multissite

As perguntas frequentes sobre redes virtuais para redes virtuais se aplicam a conexões de Gateway de VPN. Para obter informações sobre o emparelhamento de rede virtual, consulte emparelhamento de rede Virtual.

O Azure cobra pelo tráfego entre VNets?

O tráfego de VNet para VNet na mesma região é gratuito para ambas as direções ao usar uma conexão de gateway de VPN. O tráfego de saída de rede virtual com rede virtual entre regiões é cobrado de acordo com as taxas de transferência de dados entre redes virtuais de saída com base nas regiões de origem. Para saber mais, veja a página Preços do Gateway de VPN. Se você estiver conectando VNets usando o Emparelhamento de VNet, em vez de Gateway de VPN, confira a página de preços de Rede Virtual.

O tráfego de Rede Virtual para Rede Virtual viaja pela Internet?

Não. O tráfego de rede virtual com rede virtual viaja pelo backbone do Microsoft Azure, não pela Internet.

Posso estabelecer uma conexão VNet a VNet entre os Locatários do Azure Active Directory (AAD)?

Sim, as conexões VNet a VNet, usando gateways de VPN do Azure, funcionam entre os Locatários do AAD.

O tráfego de VNet para VNet é seguro?

Sim, ele é protegido por criptografia IPsec/IKE.

É necessário um dispositivo VPN para conectar redes virtuais?

Não. A conexão de várias redes virtuais do Azure entre si não exige um dispositivo VPN, a menos que a conectividade entre locais seja necessária.

Minhas redes virtuais precisam estar na mesma região?

Não. As redes virtuais podem estar na mesma região ou em regiões diferentes do Azure (locais).

Se as Redes Virtuais não estiverem na mesma assinatura, as assinaturas precisam ser associadas ao mesmo locatário do Active Directory?

Não.

Posso usar VNet para VNet a fim de conectar a redes virtuais em instâncias separadas do Azure?

Não. VNet para VNet dá suporte à conexão de redes virtuais na mesma instância do Azure. Por exemplo, não é possível criar uma conexão entre a instância global do Azure e a instâncias da China/da Alemanha/do governo dos EUA. Considere o uso de uma conexão VPN Site a Site para esses cenários.

Posso usar Rede Virtual para Rede Virtual com conexões multissite?

Sim. A conectividade de rede virtual pode ser usada simultaneamente com VPNs de multissite.

A quantos sites locais e redes virtuais uma rede virtual pode se conectar?

Veja a tabela Requisitos de gateway.

Posso usar Rede Virtual para Rede Virtual para me conectar a máquinas virtuais ou serviços de nuvem fora de uma rede virtual?

Não. A rede virtual com rede virtual dá suporte à conexão de redes virtuais. Ele não dá suporte à conexão de máquinas virtuais ou serviços de nuvem que não estão em uma rede virtual.

Um serviço de nuvem ou um ponto de extremidade de balanceamento de carga pode abranger redes virtuais?

Não. Um serviço de nuvem ou um ponto de extremidade de balanceamento de carga não pode abranger redes virtuais, mesmo que elas estejam conectadas entre si.

Posso usar um tipo de VPN PolicyBased para conexões de Rede Virtual para Rede Virtual ou Multissite?

Não. As conexões de rede virtual para rede virtual e de vários sites exigem gateways de VPN com tipos de VPN RouteBased (anteriormente chamado de Roteamento Dinâmico).

Posso conectar uma rede virtual a um tipo de VPN RouteBased para outra rede virtual com um tipo de VPN PolicyBased?

Não, ambas as redes virtuais DEVEM usar VPNs baseados em rota (anteriormente, chamados de roteamento dinâmico).

Os túneis de VPN compartilham largura de banda?

Sim. Todos os túneis de VPN da rede virtual compartilham a largura de banda disponível no gateway de VPN do Azure e o mesmo SLA de tempo de atividade de gateway de VPN no Azure.

Há suporte para túneis redundantes?

Os túneis redundantes entre um par de redes virtuais terão suporte quando um gateway de rede virtual estiver configurado como ativo.

Posso ter espaços de endereço sobrepostos para configurações de Rede Virtual para Rede Virtual?

Não. Você não pode ter intervalos de endereços IP sobrepostos.

Pode haver sobreposição de espaços de endereço entre as redes virtuais conectadas e sites local locais?

Não. Você não pode ter intervalos de endereços IP sobrepostos.

Como fazer o roteamento entre minha conexão VPN site a site e meu ExpressRoute?

Se você quiser habilitar o roteamento entre o branch conectado ao ExpressRoute e o branch conectado a uma conexão VPN site a site, precisará configurar o Servidor de Rota do Azure.

Posso usar o gateway de VPN do Azure para o tráfego entre meus sites locais ou para outra rede virtual?

Modelo de implantação do Resource Manager
Sim. Veja a seção BGP para saber mais.

Modelo de implantação clássica
O tráfego via Gateway de VPN do Azure é possível usando o modelo de implantação clássica, mas se baseia em espaços de endereço estaticamente definidos no arquivo de configuração de rede. Ainda não há suporte a BGP com Redes Virtuais do Azure e Gateways de VPN usando o modelo de implantação clássica. Sem BGP, a definição manual de espaços de endereço de trânsito é muito propensa a erros e não é recomendada.

O Azure gera a mesma chave pré-compartilhada IPsec/IKE para todas as minhas conexões VPN para a mesma rede virtual?

Não, por padrão, o Azure gera chaves pré-compartilhadas diferentes para conexões VPN diferentes. No entanto, você pode usar a API REST Definir Chave de Gateway de VPN ou o cmdlet do PowerShell para definir o valor de chave que preferir. A chave DEVE ser em caracteres ASCII imprimíveis.

Obtenho mais largura de banda com mais VPNs site a site do que com uma única rede virtual?

Não, todos os túneis de VPN, incluindo VPNs site a ponto, compartilham o mesmo gateway de VPN do Azure e a largura de banda disponível.

Posso configurar vários túneis entre minha rede virtual e meu site local usando uma VPN multissite?

Sim, mas você deve configurar o BGP em ambos os túneis para o mesmo local.

O Gateway de VPN do Azure respeita a precedência de caminho AS para influenciar as decisões de roteamento entre várias conexões com meus sites locais?

Sim, o gateway de VPN do Azure respeitará a precedência de caminho AS para ajudar a tomar decisões de roteamento quando o BGP estiver habilitado. Um caminho AS mais curto terá preferência na seleção do caminho BGP.

Posso usar VPNs de ponto a site com minha rede virtual com vários túneis de VPN?

Sim, as VPNs P2S (ponto a site) podem ser usadas com os gateways de VPN conectando a vários sites locais e outras redes virtuais.

Posso conectar uma rede virtual com VPNs IPsec a meu circuito ExpressRoute?

Sim, isso é suportado. Para obter mais informações, consulte Configurar conexões de VPN Site a Site e de ExpressRoute que coexistam.

Política IPsec/IKE

A política de IPsec/IKE personalizada tem suporte em todos os SKUs de Gateway de VPN do Azure?

A política de IPsec/IKE personalizada tem suporte em todas as SKUs do Azure, exceto pela SKU básica.

Quantas políticas eu posso especificar em uma conexão?

Você só pode especificar uma combinação de políticas para uma determinada conexão.

Eu posso especificar uma política parcial em uma conexão? (por exemplo, somente os algoritmos de IKE, mas não IPsec)

Não, você deve especificar todos os algoritmos e parâmetros para IKE (modo principal) e IPsec (modo rápido). A especificação de política parcial não é permitida.

Quais são os algoritmos e as restrições principais suportadas na política personalizada?

A tabela a seguir lista os algoritmos de criptografia com suporte e restrições de chave configuráveis pelos clientes. Você deve selecionar uma opção para cada campo.

IPsec/IKEv2 Opções
Criptografia IKEv2 AES256, AES192, AES128, DES3, DES
Integridade do IKEv2 SHA384, SHA256, SHA1, MD5
Grupo DH DHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, nenhum
Criptografia IPsec GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, nenhum
Integridade do IPsec GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Grupo PFS PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, nenhum
Tempo de vida da QM SA Segundos (inteiro; mínimo de 300/padrão de 27000 segundos)
KBytes (inteiro; mín. de 1024 /padrão de 102400000 KBytes)
Seletor de tráfego UsePolicyBasedTrafficSelectors ($True/$False; default $False)

Importante

  • DHGroup2048 & PFS2048 são semelhantes ao Grupo Diffie-Hellman & em IKE e IPsec PFS. Confira Grupos Diffie-Hellman para obter os mapeamentos completos.
  • Para os algoritmos GCMAES, você deve especificar o mesmo algoritmo GCMAES e o comprimento de chave para a Criptografia e a Integridade IPsec.
  • O tempo de vida da SA de modo principal IKEv2 é fixo em 28.800 segundos nos gateways de VPN do Azure.
  • As Vidas Úteis de SA QM são parâmetros opcionais. Se nenhum for especificado, os valores padrão de 27.000 segundos (7,5 horas) e 102400000 KBytes (102 GB) serão usados.
  • UsePolicyBasedTrafficSelector é um parâmetro de opção na conexão. Confira o próximo item de Perguntas frequentes sobre "UsePolicyBasedTrafficSelectors".

As configurações do dispositivo VPN local e a política do gateway de VPN do Azure devem corresponder em todos os aspectos?

A configuração do dispositivo VPN local deve corresponder ou conter os seguintes algoritmos e parâmetros que você especifica na política de IPsec/IKE do Azure:

  • Algoritmo de criptografia IKE
  • Algoritmo de integridade de IKE
  • Grupo DH
  • Algoritmo de criptografia IPsec
  • Algoritmo de integridade de IPsec
  • Grupo PFS
  • Seletor de tráfego (\*)

Os tempos de vida da SA são apenas especificações locais, portanto não precisam ser correspondentes.

Caso habilite UsePolicyBasedTrafficSelectors, você precisa garantir que o seu dispositivo VPN tem os seletores de tráfego correspondentes definidos com todas as combinações de prefixos de rede local (gateway de rede local) de/para prefixos de rede virtual 'do Azure, em vez de "qualquer para qualquer". Por exemplo, se os prefixos da rede local são 10.1.0.0/16 e 10.2.0.0/16, e os prefixos da rede virtual são 192.168.0.0/16 e 172.16.0.0/16, você precisa especificar os seguintes seletores de tráfego:

  • 10.1.0.0/16 <====> 192.168.0.0/16
  • 10.1.0.0/16 <====> 172.16.0.0/16
  • 10.2.0.0/16 <====> 192.168.0.0/16
  • 10.2.0.0/16 <====> 172.16.0.0/16

Para saber mais, confira Conectar vários dispositivos VPN locais baseados em políticas.

Há suporte para quais grupos Diffie-Hellman?

A tabela abaixo lista os Grupos Diffie-Hellman com suporte para IKE (DHGroup) e IPsec (PFSGroup):

Grupo Diffie-Hellman DHGroup PFSGroup Comprimento da chave
1 DHGroup1 PFS1 MODP de 768 bits
2 DHGroup2 PFS2 MODP de 1024 bits
14 DHGroup14
DHGroup2048
PFS2048 MODP de 2048 bits
19 ECP256 ECP256 ECP de 256 bits
20 ECP384 ECP384 ECP de 384 bits
24 DHGroup24 PFS24 MODP de 2048 bits

Para saber mais, confira RFC3526 e RFC5114.

A política personalizada substitui os conjuntos de políticas de IPsec/IKE padrão para gateways de VPN do Azure?

Sim, depois que uma política personalizada for especificada em uma conexão, o gateway de VPN do Azure usará a política na conexão, como iniciador do IKE e respondente do IKE.

Se eu remover uma política de IPsec/IKE personalizada, a conexão ficará desprotegida?

Não, a conexão ainda estará protegida por IPsec/IKE. Após você remover a política personalizada de uma conexão, o gateway de VPN do Azure reverterá para a lista padrão de propostas de IPsec/IKE e reiniciará o handshake do IKE novamente com o dispositivo VPN local.

Adicionar ou atualizar uma política de IPsec/IKE pode atrapalhar minha conexão VPN?

Sim, isso pode causar uma interrupção pequena (alguns segundos) uma vez que o gateway de VPN do Azure subdivide a conexão existente e reiniciará o handshake do IKE para restabelecer o túnel IPsec com os algoritmos de criptografia e os parâmetros novos. Verifique se o dispositivo VPN local também está configurado com os algoritmos correspondentes e as restrições de chave para minimizar a interrupção.

Eu posso usar políticas diferentes em conexões diferentes?

Sim. A política personalizada é aplicada em uma base por conexão. Você pode criar e aplicar políticas de IPsec/IKE diferentes em conexões diferentes. Também é possível aplicar políticas personalizadas em um subconjunto de conexões. As restantes usam os conjuntos de políticas de IPsec/IKE padrão do Azure.

Eu também posso usar a política personalizada na conexão de VNet para VNet?

Sim, você pode aplicar a política personalizada em conexões entre locais de IPsec ou conexões de VNet para VNet.

É necessário especificar a mesma política em ambos os recursos de conexão de VNet para VNet?

Sim. Um túnel de VNet para VNet consiste em dois recursos de conexão no Azure, uma para cada sentido. Faça com que ambos os recursos de conexão tenham a mesma política; caso contrário, a conexão de VNet para VNet não se estabelecerá.

Qual é o valor do tempo limite de DPD padrão? Posso especificar um tempo limite de DPD diferente?

O tempo limite de DPD padrão é de 45 segundos. Você pode especificar um valor de tempo limite de DPD diferente em cada conexão IPsec ou VNet a VNet entre 9 segundos e 3600 segundos.

A política de IPsec/IKE personalizada funciona em conexão de ExpressRoute?

Não. A política IPsec/IKE só funciona em conexões VNet para VNet e VPN S2S por meio de gateways de VPN do Azure.

Como fazer para criar conexões com o tipo de protocolo IKEv1 ou IKEv2?

Conexões IKEv1 podem ser criadas em todos os SKUs do tipo VPN RouteBased, exceto pelo SKU Básico, SKU Standard e outros SKUs herdados. Você pode especificar o tipo de protocolo de conexão IKEv1 ou IKEv2 ao criar conexões. Se você não especificar um tipo de protocolo de conexão, o IKEv2 será usado como opção padrão quando aplicável. Para obter mais informações, consulte a documentação do cmdlet do PowerShell. Para obter informações sobre os tipos de SKU e sobre o suporte para IKEv1/IKEv2, confira Conectar gateways a dispositivos VPN com base em políticas.

O tráfego entre conexões IKEv1 e IKEv2 é permitido?

Sim. O tráfego entre conexões IKEv1 e IKEv2 tem suporte.

Posso ter conexões de site a site IKEv1 em SKUs Básicas do tipo VPN RouteBased?

Não. A SKU Básica não tem suporte para isso.

Posso alterar o tipo de protocolo de conexão após a conexão ser criada (IKEv1 para IKEv2 e vice-versa)?

Não. Após a conexão ser criada, os protocolos IKEv1/IKEv2 não podem ser alterados. Você precisa excluir e recriar uma conexão com o tipo de protocolo desejado.

Onde posso encontrar mais informações de configuração para o IPsec?

Confira Configurar política de IPsec/IKE para conexões S2S ou VNet a VNet.

BGP e roteamento

O BGP tem suporte em todas as SKUs de Gateway de VPN do Azure?

O BGP tem suporte em todos os SKUs de Gateway de VPN do Azure, exceto o SKU Básico.

Posso usar o BGP com gateways de VPN do Azure Policy?

Não, o BGP é compatível somente com gateways de VPN baseados em rota.

Quais ASNs (Números do Sistema Autônomo) posso usar?

Você pode usar seus ASNs públicos ou ASNs privados para redes locais e redes virtuais do Azure. Não é possível usar os intervalos reservados pelo Azure nem pela IANA.

Os seguintes ASNs são reservados pelo Azure ou pela IANA:

  • ASNs reservados pelo Azure:

    • ASNs públicos: 8074, 8075, 12076
    • ASNs privados: 65515, 65517, 65518, 65519, 65520
  • Os ASNs reservados pela IANA:

    • 23456, 64496-64511, 65535-65551 e 429496729

Não é possível especificar esses ASNs para seus dispositivos VPN locais ao se conectar a gateways de VPN do Azure.

Posso usar ASNs de 32 bits (4 bytes)?

Sim, o Gateway de VPN agora é compatível com ASNs de 32 bits (4 bytes). Para configurar usando um ASN em formato decimal, use o PowerShell, a CLI do Azure ou o SDK do Azure.

Quais ASNs privados posso usar?

Os intervalos utilizáveis de ASNs privados são:

  • 64512-65514 e 65521-65534

Esses ASNs não são reservados pela IANA nem pelo Azure para uso, portanto, podem ser usados para atribuição ao seu gateway de VPN do Azure.

Qual endereço o Gateway de VPN usa para o IP do par no nível de protocolo BGP?

Por padrão, o Gateway de VPN alocará um endereço IP do intervalo GatewaySubnet para gateways de VPN em espera ativos ou dois endereços IP para gateways de VPN ativos/ativos. Esses endereços são alocados automaticamente quando você cria o gateway de VPN. É possível obter o real endereço IP BGP alocado usando o PowerShell ou localizando-o no portal do Azure. No PowerShell, use Get-AzVirtualNetworkGateway e procure a propriedade bgpPeeringAddress. No portal do Azure, na página Configuração de Gateway, procure na propriedade da opção Configurar BGP ASN.

Se os roteadores VPN locais usarem endereços IP APIPA (169.254.x.x) como os endereços IP BGP, você precisará especificar um endereço IP BGP APIPA do Azure adicional no gateway de VPN do Azure. O Gateway de VPN do Azure selecionará o endereço APIPA a ser usado com o par no nível de protocolo BGP APIPA local especificado no gateway de rede local ou o endereço IP privado para o par no nível de protocolo BGP local não pertencente ao APIPA. Para obter mais informações, confira Configurar o BGP.

Quais são os requisitos para obter endereços IP do par no nível de protocolo BGP em meu dispositivo VPN?

O seu endereço do par no nível de protocolo BGP local não poderá ser igual ao endereço IP público do dispositivo VPN nem do espaço de endereços da rede virtual do gateway de VPN. Use um endereço IP diferente no dispositivo VPN para o IP de par no nível de protocolo BGP. Ele poderá ser um endereço atribuído à interface de loopback no dispositivo (um endereço IP regular ou um endereço APIPA). Caso o dispositivo use um endereço APIPA para o BGP, você deverá especificar o endereço IP BGP APIPA em seu gateway de VPN do Azure, conforme descrito em como Configurar o BGP. Especifique esse endereço no gateway de rede local e correspondente que representa o local.

O que devo especificar como prefixos de endereço para o gateway de rede local ao usar o BGP?

Importante

Essa é uma alteração do requisito documentado anteriormente. Caso use o BGP para uma conexão, deixe o campo Espaço de endereços IP vazio para o recurso de gateway de rede local correspondente. O Gateway de VPN do Azure adicionará de modo interno uma rota de host ao IP do par no nível de protocolo BGP local pelo túnel IPsec. Não adicione a rota /32 ao campo Espaço de endereço. Isso será redundante. Caso use um endereço APIPA como o IP BGP do dispositivo VPN local, ela não poderá ser adicionada a esse campo. Caso adicione outros prefixos ao campo Espaço de endereços IP, eles serão adicionados como rotas estáticas ao gateway de VPN do Azure, além das rotas obtidas por meio do BGP.

Posso usar o mesmo ASN para redes de VPN locais e redes virtuais do Azure?

Não, você deverá atribuir ASNs diferentes entre redes locais e redes virtuais do Azure caso os esteja conectando juntamente com o BGP. Os gateways de VPN do Azure têm um ASN padrão de 65515 atribuído, mesmo que o BGP esteja habilitado ou não para uma conectividade entre locais. É possível substituir esse padrão atribuindo um ASN diferente ao criar um gateway de VPN ou você pode alterar o ASN depois de criar o gateway. Será necessário atribuir ASNs locais aos gateways de rede locais e correspondentes do Azure.

Quais prefixos de endereço os gateways de VPN do Azure anunciarão para mim?

Os gateways anunciarão as seguintes rotas para seus dispositivos BGP locais:

  • Prefixos de endereço da rede virtual.
  • Prefixos de endereço para cada gateway de rede local conectado ao gateway de VPN do Azure.
  • As rotas obtidas de outras sessões de emparelhamento via protocolo BGP conectadas ao gateway de VPN do Azure, exceto a rota padrão ou rotas sobrepostas com um prefixo de rede virtual.

Quantos prefixos posso anunciar para o Gateway de VPN do Azure?

O Gateway de VPN do Azure é compatível com até 4.000 prefixos. A sessão BGP é descartada se o número de prefixos exceder o limite.

Posso anunciar a rota padrão (0.0.0.0/0) para gateways de VPN do Azure?

Sim. Observe que isso forçará todo o tráfego de saída da rede virtual em direção ao site local. Além disso, impedirá que as VMs da rede virtual aceitem uma comunicação pública da Internet de modo direto, como RDP ou SSH da Internet para as VMs.

Posso anunciar prefixos exatos como meus prefixos de rede virtual?

Não, ação de anunciar os mesmos prefixos como um de seus prefixos de endereço da rede virtual será bloqueada ou filtrada pelo Azure. No entanto, será possível anunciar um prefixo que seja um superconjunto do que você tem em sua rede virtual.

Por exemplo, caso a rede virtual tenha usado o espaço de endereços 10.0.0.0/16, você poderá anunciar o 10.0.0.0/8. No entanto, não será possível anunciar o 10.0.0.0/16 nem o 10.0.0.0/24.

Posso usar o BGP com minhas conexões entre redes virtuais?

Sim, você poderá usar o BGP para conexões entre locais e conexões entre redes virtuais.

Posso combinar o BGP a conexões não BGP para meu gateways de VPN do Azure?

Sim, você pode combinar conexões BGP e não BGP para o mesmo gateway de VPN do Azure.

O Gateway de VPN do Azure é compatível com o roteamento de trânsito do BGP?

Sim, o roteamento de trânsito do BGP é compatível. Porém, os gateways de VPN do Azure não anunciam rotas padrão para outros pares no nível de protocolo BGP. Para habilitar o roteamento de trânsito entre vários gateways de VPN do Azure, você deverá habilitar o BGP em todas as conexões intermediárias entre redes virtuais. Para obter mais informações, confira Sobre o BGP.

Posso ter mais de um túnel entre um gateway de VPN do Azure e minha rede local?

Sim, você poderá estabelecer mais de um túnel VPN S2S (site a site) entre um gateway de VPN do Azure e sua rede local. Observe que todos esses túneis serão contados em relação ao número total de túneis de seus gateways de VPN do Azure. Além disso, você deverá habilitar o BGP em dois túneis.

Por exemplo, caso você tenha dois túneis redundantes entre o gateway de VPN do Azure e uma de suas redes locais, eles consumirão dois túneis da cota total de seu gateway de VPN do Azure.

Posso ter vários túneis entre duas redes virtuais do Azure com o BGP?

Sim, mas pelo menos um dos gateways de rede virtual deve estar na configuração ativo-ativo.

Posso usar o BGP para uma VPN S2S em uma configuração de coexistência do Azure ExpressRoute e da VPN S2S?

Sim.

O que devo adicionar a meu dispositivo VPN local para a sessão de emparelhamento de BGP?

Adicione uma rota de host do endereço IP do par no nível de protocolo BGP do Azure ao dispositivo VPN. Essa rota apontará para o túnel VPN S2S IPsec. Por exemplo, caso o IP do par de VPN do Azure seja 10.12.255.30, você deverá adicionar uma rota de host ao 10.12.255.30 com uma interface do próximo salto da interface de túnel IPsec correspondente em seu dispositivo VPN.

O gateway de rede virtual é compatível com o BFD para conexões site a site com o BGP?

Não. A Detecção de Encaminhamento Bidirecional (BFD) é um protocolo que você pode usar com o BGP para detectar o tempo de inatividade do vizinho mais rápido do que pode usando o padrão BGP "keepalives". O BFD usa timers de subsegundos projetados para funcionar em ambientes LAN, mas não na Internet pública ou em conexões de Rede de Ampla Área.

Para conexões por meio de Internet pública, ter determinados pacotes atrasados ou mesmo ignorados não é incomum. Portanto, introduzir esses temporizadores agressivos poderá adicionar instabilidade. Essa instabilidade poderá fazer com que as rotas sejam amortecidas pelo BGP. Como alternativa, será possível configurar seu dispositivo local com temporizadores menores do que o padrão, um intervalo de "manutenção de atividade" de 60 segundos e um temporizador de retenção de 180 segundos. Isso resultará em um tempo de convergência mais rápido.

Os gateways de VPN do Azure iniciam conexões ou sessões de emparelhamento via protocolo BGP?

O gateway iniciará sessões de emparelhamento via protocolo BGP com os endereços IP do par no nível de protocolo BGP local especificados nos recursos de gateway de rede local usando os endereços IP privados nos gateways de VPN. Isso ocorre independentemente de os endereços IP do BGP local estarem no intervalo APIPA ou serem endereços IP privados regulares. Se os dispositivos VPN locais usarem endereços APIPA como IP do BGP, você precisará configurar seu alto-falante BGP para iniciar as conexões.

Posso configurar o túnel forçado?

Sim. Consulte Configurar o túnel forçado.

NAT

O NAT tem suporte em todos os SKUs de Gateway de VPN do Azure?

O NAT tem suporte no VpnGw2~5 e no VpnGw2AZ~5AZ.

Posso usar o NAT em conexões VNet a VNet ou P2S?

Não, o NAT tem suporte somente em conexões IPsec entre locais.

Quantas regras de NAT posso usar em um gateway de VPN?

Você pode criar até 100 regras de NAT (regras de entrada e saída combinadas) em um gateway de VPN.

O NAT é aplicado a todas as conexões em um gateway de VPN?

O NAT é aplicado às conexões com regras de NAT. Se uma conexão não tiver uma regra de NAT, o NAT não terá efeito nela. No mesmo gateway de VPN, você pode ter algumas conexões com NAT e outras sem trabalhando juntas.

Quais tipos de NAT têm suporte em gateways de VPN do Azure?

Somente NAT 1:1 estático. Não há suporte para NAT dinâmico ou NAT64.

O NAT funciona em gateways de VPN do tipo ativo-ativo?

Sim. O NAT funciona em gateways de VPN dos tipos ativo-ativo e ativo-em espera.

O NAT funciona com conexões BGP?

Sim, você pode usar o BGP com o NAT. Algumas considerações importantes:

  • Selecione Habilitar conversão de rota BGP na página de configuração de regras de NAT para garantir que as rotas aprendidas e anunciadas sejam convertidas em prefixos de endereço pós-NAT (mapeamentos externos) com base nas regras de NAT associadas às conexões. Você precisa garantir que os roteadores BGP locais anunciem os prefixos exatos, conforme definido nas regras IngressSNAT.

  • Se o roteador de VPN local usar APIPA (169.254.x.x) como o IP do par/alto-falante de BGP, use o endereço APIPA diretamente no campo Endereço IP do par de BGP do gateway de rede local. Se o roteador de VPN local usar um endereço regular, não APIPA, e ele colidir com o espaço de endereço da VNet ou com outros espaços de redes locais, verifique se a regra IngressSNAT converterá o IP do par de BGP em um endereço não sobreposto exclusivo e colocará o endereço pós-NAT no campo Endereço IP do par de BGP do gateway de rede local.

É necessário criar as regras de DNAT correspondentes à regra SNAT?

Não. Apenas uma regra SNAT define a conversão para ambas as direções de uma rede específica:

  • Uma regra IngressSNAT define a conversão dos endereços IP de origem que entram no gateway de VPN do Azure provenientes da rede local. Ela também cuida da conversão dos endereços IP de destino que saem da VNet para a mesma rede local.

  • Uma regra EgressSNAT define a conversão dos endereços IP de origem da VNet que saem do gateway de VPN do Azure para as redes locais. Ela também cuida da conversão dos endereços IP de destino para os pacotes que entram na VNet por meio das conexões com a regra EgressSNAT.

  • Em todos os casos, nenhuma regra DNAT é necessária.

O que devo fazer se o espaço de endereço do gateway de rede local ou VNet tiver dois ou mais prefixos? Posso aplicar o NAT a todos eles? Ou apenas um subconjunto?

Você precisa criar uma regra de NAT para cada prefixo cujo NAT é necessário, pois cada regra de NAT pode incluir apenas um prefixo de endereço para NAT. Por exemplo, se o espaço de endereço do gateway de rede local consistir em 10.0.1.0/24 e em 10.0.2.0/25, você poderá criar duas regras, conforme mostrado abaixo:

  • Regra IngressSNAT 1: mapear 10.0.1.0/24 para 100.0.1.0/24
  • Regra IngressSNAT 2: mapear 10.0.2.0/25 para 100.0.2.0/25

As duas regras devem corresponder aos comprimentos dos prefixos de endereço correspondentes. O mesmo se aplica às regras EgressSNAT para o espaço de endereço de VNet.

Importante

Se você vincular apenas uma regra à conexão acima, o outro espaço de endereço NÃO será convertido.

Posso usar diferentes regras EgressSNAT para converter meu espaço de endereço de VNet em diferentes prefixos em diferentes redes locais?

Sim, você pode criar várias regras EgressSNAT para o mesmo espaço de endereço de VNet e aplicá-las a diferentes conexões. Para as conexões sem uma regra EgressSNAT,

Posso usar a mesma regra IngressSNAT em conexões diferentes?

Sim, isso é normalmente usado quando as conexões são para a mesma rede local, a fim de fornecer redundância. Você não pode usar a mesma regra de entrada quando as conexões são para diferentes redes locais.

Preciso das regras de entrada e de saída em uma conexão NAT?

Você precisa das regras de entrada e de saída na mesma conexão quando o espaço de endereço de rede local se sobrepõe ao espaço de endereço de VNet. Se o espaço de endereço de VNet for exclusivo entre todas as redes conectadas, você não precisará da regra EgressSNAT nessas conexões. Você pode usar as regras de entrada para evitar a sobreposição de endereços entre as redes locais.

Conectividade entre locais e VMs

Se minha máquina virtual estiver em uma rede virtual e eu tiver uma conexão entre locais, como devo me conectar à VM?

Você tem algumas opções. Se você tiver um protocolo RDP habilitado para a sua VM, você pode se conectar à sua máquina virtual usando o endereço IP privado. Nesse caso, você especificaria o endereço IP privado e a porta à qual deseja se conectar (normalmente 3389). Você precisará configurar a porta em sua máquina virtual para o tráfego.

Você também pode se conectar à sua máquina virtual com o endereço IP privado de outra máquina virtual localizada na mesma rede virtual. Você não poderá RDP para sua máquina virtual usando o endereço IP privado se estiver se conectando de um local fora de sua rede virtual. Por exemplo, se tiver uma rede virtual de ponto para site configurada e não estabelecer uma conexão do seu computador, você não poderá se conectar à máquina virtual com o endereço IP privado.

Se a minha máquina virtual estiver em uma rede virtual com conectividade entre locais, todo o tráfego de minha VM passará por essa conexão?

Não. Somente o tráfego com um destino IP contido em intervalos de endereços IP de rede Local virtual de rede especificado passará pelo gateway de rede virtual. O tráfego que tiver um destino IP localizado na rede virtual permanecerá na rede virtual. Outro tráfego é enviado pelo balanceador de carga para as redes públicas ou, se for usado o túnel forçado, enviado pelo gateway da VPN do Azure.

Como eu faço para solucionar problemas de uma conexão de RDP para uma VM

Se você estiver tendo problemas para se conectar a uma máquina virtual em sua conexão VPN, verifique o seguinte:

  • Verifique se a conexão VPN é estabelecida.
  • Verifique se você está se conectando ao endereço IP privado para a VM.
  • Se você puder se conectar à VM usando o endereço IP privado, mas não o nome do computador, verifique se você configurou o DNS corretamente. Para obter mais informações sobre como funciona a resolução de nome para VMs, confira Resolução de nomes para VMs.

Quando você se conectar via Ponto a Site, verifique os seguintes itens adicionais:

  • Use 'ipconfig' para verificar o endereço IPv4 atribuído ao adaptador Ethernet no computador do qual está se conectando. Se o endereço IP está dentro do intervalo de endereços da VNet a que você está se conectando ou dentro do intervalo de endereços de seu VPNClientAddressPool, isso é chamado de espaço de endereço sobreposto. Quando o espaço de endereço se sobrepõe dessa forma, o tráfego de rede não alcança o Azure; ele permanece na rede local.
  • Verifique se o pacote de configuração de cliente VPN foi gerado depois que os endereços IP do servidor DNS foram especificados para a rede virtual. Se você atualizou os endereços IP do servidor DNS, gere e instale um novo pacote de configuração de cliente VPN.

Para obter mais informações sobre como solucionar problemas de conexões RDP, confira Solucionar problemas de conexões da Área de Trabalho Remota a uma VM.

Perguntas frequentes sobre rede virtual

É possível exibir as informações adicionais de rede virtual em Perguntas Frequentes sobre Rede Virtual.

Próximas etapas

"OpenVPN" é uma marca comercial da OpenVPN Inc.