Sobre a VPN ponto-a-localAbout Point-to-Site VPN

Uma ligação de gateway de VPN Ponto a Site (P2S) permite-lhe criar uma ligação segura à sua rede virtual a partir de um computador cliente individual.A Point-to-Site (P2S) VPN gateway connection lets you create a secure connection to your virtual network from an individual client computer. É estabelecida uma ligação P2S ao iniciá-la a partir do computador cliente.A P2S connection is established by starting it from the client computer. Esta solução é útil para as pessoas que trabalham à distância que queiram ligar às VNets do Azure a partir de uma localização remota, como, por exemplo, a partir de casa ou de uma conferência.This solution is useful for telecommuters who want to connect to Azure VNets from a remote location, such as from home or a conference. Uma VPN P2S também é uma solução útil para utilizar em vez de uma VPN S2S, quando são poucos os clientes que precisam de ligar a uma VNet.P2S VPN is also a useful solution to use instead of S2S VPN when you have only a few clients that need to connect to a VNet. Este artigo aplica-se ao modelo de implementação clássica e do Resource Manager.This article applies to the Resource Manager deployment model.

Que protocolo utiliza o P2S?What protocol does P2S use?

A VPN ponto-a-local pode utilizar um dos seguintes protocolos:Point-to-site VPN can use one of the following protocols:

  • OpenVPN® Protocol, um protocolo VPN baseado em SSL/TLS.OpenVPN® Protocol, an SSL/TLS based VPN protocol. Uma solução TLS VPN pode penetrar firewalls, uma vez que a maioria das firewalls abrem a porta TCP 443 de saída, que o TLS utiliza.A TLS VPN solution can penetrate firewalls, since most firewalls open TCP port 443 outbound, which TLS uses. O OpenVPN pode ser utilizado para ligar a partir de dispositivos Android, iOS (versões 11.0 e superior), dispositivos Windows, Linux e Mac (versões OSX 10.13 ou superiores).OpenVPN can be used to connect from Android, iOS (versions 11.0 and above), Windows, Linux and Mac devices (OSX versions 10.13 and above).

  • Secure Socket Tunneling Protocol (SSTP), um protocolo VPN baseado em TLS.Secure Socket Tunneling Protocol (SSTP), a proprietary TLS-based VPN protocol. Uma solução TLS VPN pode penetrar firewalls, uma vez que a maioria das firewalls abrem a porta TCP 443 de saída, que o TLS utiliza.A TLS VPN solution can penetrate firewalls, since most firewalls open TCP port 443 outbound, which TLS uses. O SSTP só é suportado em dispositivos Windows.SSTP is only supported on Windows devices. O Azure suporta todas as versões do Windows que tenham SSTP (Windows 7 e mais tarde).Azure supports all versions of Windows that have SSTP (Windows 7 and later).

  • VPN IKEv2, uma solução de VPN IPsec baseada em normas.IKEv2 VPN, a standards-based IPsec VPN solution. A VPN IKEv2 pode ser utilizada para ligar a partir de dispositivos Mac (versões de OSX 10.11 e superiores).IKEv2 VPN can be used to connect from Mac devices (OSX versions 10.11 and above).

Nota

IKEv2 e OpenVPN para P2S estão disponíveis apenas para o modelo de implementação do Gestor de Recursos.IKEv2 and OpenVPN for P2S are available for the Resource Manager deployment model only. Não estão disponíveis para o modelo clássico de implantação.They are not available for the classic deployment model.

Como são autenticados os clientes P2S VPN?How are P2S VPN clients authenticated?

Antes de a Azure aceitar uma ligação P2S VPN, o utilizador tem de ser autenticado primeiro.Before Azure accepts a P2S VPN connection, the user has to be authenticated first. Existem dois mecanismos que a Azure oferece para autenticar um utilizador de ligação.There are two mechanisms that Azure offers to authenticate a connecting user.

Autenticar utilizando a autenticação de certificado azure nativoAuthenticate using native Azure certificate authentication

Ao utilizar a autenticação do certificado Azure nativo, é utilizado um certificado de cliente presente no dispositivo para autenticar o utilizador de ligação.When using the native Azure certificate authentication, a client certificate that is present on the device is used to authenticate the connecting user. Os certificados de cliente são gerados a partir de um certificado de raiz fidedigno e depois instalados em cada computador cliente.Client certificates are generated from a trusted root certificate and then installed on each client computer. Pode utilizar um certificado de raiz que foi gerado usando uma solução Enterprise, ou pode gerar um certificado auto-assinado.You can use a root certificate that was generated using an Enterprise solution, or you can generate a self-signed certificate.

A validação do certificado de cliente é realizada pelo gateway VPN e acontece durante o estabelecimento da ligação P2S VPN.The validation of the client certificate is performed by the VPN gateway and happens during establishment of the P2S VPN connection. O certificado de raiz é necessário para a validação e deve ser enviado para a Azure.The root certificate is required for the validation and must be uploaded to Azure.

Autenticar utilizando a autenticação nativa do Azure Ative DirectoryAuthenticate using native Azure Active Directory authentication

A autenticação AZure AD permite que os utilizadores se conectem ao Azure usando as suas credenciais de Diretório Azure Ative.Azure AD authentication allows users to connect to Azure using their Azure Active Directory credentials. A autenticação AZure AD nativa é suportada apenas para o protocolo OpenVPN e Windows 10 e requer a utilização do Cliente Azure VPN.Native Azure AD authentication is only supported for OpenVPN protocol and Windows 10 and requires the use of the Azure VPN Client.

Com a autenticação AZure AD nativa, pode aproveitar o acesso condicional do Azure AD, bem como as funcionalidades de Autenticação Multi-Factor (MFA) para VPN.With native Azure AD authentication, you can leverage Azure AD's conditional access as well as Multi-Factor Authentication (MFA) features for VPN.

A um nível elevado, você precisa executar os seguintes passos para configurar a autenticação AZure AD:At a high level, you need to perform the following steps to configure Azure AD authentication:

  1. Configurar um inquilino do Azure ADConfigure an Azure AD tenant

  2. Ativar a autenticação AD AD no gatewayEnable Azure AD authentication on the gateway

  3. Baixar e configurar cliente Azure VPNDownload and configure Azure VPN Client

Autenticar usando o Servidor de Domínio ativo (AD)Authenticate using Active Directory (AD) Domain Server

A autenticação do Domínio AD permite que os utilizadores se conectem ao Azure utilizando as suas credenciais de domínio de organização.AD Domain authentication allows users to connect to Azure using their organization domain credentials. Requer um servidor RADIUS que se integre com o servidor AD.It requires a RADIUS server that integrates with the AD server. As organizações também podem aproveitar a implantação do RADIUS existente.Organizations can also leverage their existing RADIUS deployment.

O servidor RADIUS pode ser implantado no local ou no seu Azure VNet.The RADIUS server could be deployed on-premises or in your Azure VNet. Durante a autenticação, o Gateway Azure VPN atua como uma passagem e encaminha mensagens de autenticação para trás e para a frente entre o servidor RADIUS e o dispositivo de ligação.During authentication, the Azure VPN Gateway acts as a pass through and forwards authentication messages back and forth between the RADIUS server and the connecting device. Assim, a capacidade de acesso do Gateway para o servidor RADIUS é importante.So Gateway reachability to the RADIUS server is important. Se o servidor RADIUS estiver presente no local, é necessária uma ligação VPN S2S de Azure para o local no local para alcançar.If the RADIUS server is present on-premises, then a VPN S2S connection from Azure to the on-premises site is required for reachability.

O servidor RADIUS também pode integrar-se com os serviços de certificados AD.The RADIUS server can also integrate with AD certificate services. Isto permite-lhe utilizar o servidor RADIUS e a implementação do certificado da empresa para a autenticação de certificadoS P2S como alternativa à autenticação do certificado Azure.This lets you use the RADIUS server and your enterprise certificate deployment for P2S certificate authentication as an alternative to the Azure certificate authentication. A vantagem é que não precisa de carregar certificados de raiz e revogar certificados para a Azure.The advantage is that you don’t need to upload root certificates and revoked certificates to Azure.

Um servidor RADIUS também pode integrar-se com outros sistemas de identidade externos.A RADIUS server can also integrate with other external identity systems. Isto abre muitas opções de autenticação para P2S VPN, incluindo opções multi-factor.This opens up plenty of authentication options for P2S VPN, including multi-factor options.

Diagrama que mostra uma VPN ponto-a-local com um local no local.

What are the client configuration requirements? (Quais são os requisitos de configuração do cliente?)What are the client configuration requirements?

Nota

Para os clientes windows, deve ter direitos de administrador no dispositivo cliente para iniciar a ligação VPN do dispositivo cliente para a Azure.For Windows clients, you must have administrator rights on the client device in order to initiate the VPN connection from the client device to Azure.

Os utilizadores utilizam os clientes VPN nativos em dispositivos Windows e Mac para P2S.Users use the native VPN clients on Windows and Mac devices for P2S. O Azure fornece um ficheiro zip de configuração de configuração do cliente VPN que contém as configurações exigidas por estes clientes nativos para se conectarem ao Azure.Azure provides a VPN client configuration zip file that contains settings required by these native clients to connect to Azure.

  • Para dispositivos Windows, a configuração do cliente VPN consiste num pacote instalador que os utilizadores instalam nos seus dispositivos.For Windows devices, the VPN client configuration consists of an installer package that users install on their devices.
  • No caso dos dispositivos Mac, é composto pelo ficheiro mobileconfig que os utilizadores instalam nos seus dispositivos.For Mac devices, it consists of the mobileconfig file that users install on their devices.

O ficheiro zip também fornece os valores de algumas das configurações importantes do lado Azure que pode utilizar para criar o seu próprio perfil para estes dispositivos.The zip file also provides the values of some of the important settings on the Azure side that you can use to create your own profile for these devices. Alguns dos valores incluem o endereço de gateway VPN, tipos de túneis configurados, rotas e o certificado de raiz para validação de gateway.Some of the values include the VPN gateway address, configured tunnel types, routes, and the root certificate for gateway validation.

Nota

A partir de 1 de julho de 2018, o suporte será removido para o TLS 1.0 e 1.1 do Gateway de VPN do Azure.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. O Gateway de VPN irá suportar apenas o TLS 1.2.VPN Gateway will support only TLS 1.2. Apenas as ligações ponto a local são impactadas; as ligações site-to-site não serão afetadas.Only point-to-site connections are impacted; site-to-site connections will not be affected. Se estiver a utilizar OTS para VPNs ponto-a-local em clientes windows 10, não precisa de tomar nenhuma ação.If you’re using TLS for point-to-site VPNs on Windows 10 clients, you don’t need to take any action. Se estiver a utilizar o TLS para ligações ponto-a-local nos clientes windows 7 e Windows 8, consulte o VPN Gateway FAQ para obter instruções de atualização.If you are using TLS for point-to-site connections on Windows 7 and Windows 8 clients, see the VPN Gateway FAQ for update instructions.

Qual porta de entrada SKUs suporta P2S VPN?Which gateway SKUs support P2S VPN?

Geração VPN
Gateway
VPN
Gateway
Generation
SKUSKU S2S/VNet para VNet
Túneis
S2S/VNet-to-VNet
Tunnels
Ligações SSTP
P2S
P2S
SSTP Connections
Ligações P2S
IKEv2/OpenVPN
P2S
IKEv2/OpenVPN Connections
Referência de
Débito de Agregação
Aggregate
Throughput Benchmark
BGPBGP Zona redundanteZone-redundant
Geração1Generation1 BásicaBasic Um máximo deMax. 1010 Um máximo deMax. 128128 Não suportadoNot Supported 100 Mbps100 Mbps Não suportadoNot Supported NoNo
Geração1Generation1 VpnGw1VpnGw1 Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 250250 650 Mbps650 Mbps SuportadoSupported NoNo
Geração1Generation1 VpnGw2VpnGw2 Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 500500 1 Gbps1 Gbps SuportadoSupported NoNo
Geração1Generation1 VpnGw3VpnGw3 Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 10001000 1,25 Gbps1.25 Gbps SuportadoSupported NoNo
Geração1Generation1 VpnGw1AZVpnGw1AZ Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 250250 650 Mbps650 Mbps SuportadoSupported YesYes
Geração1Generation1 VPNGw2AZVpnGw2AZ Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 500500 1 Gbps1 Gbps SuportadoSupported YesYes
Geração1Generation1 VpnGw3AZVpnGw3AZ Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 10001000 1,25 Gbps1.25 Gbps SuportadoSupported YesYes
Geração2Generation2 VpnGw2VpnGw2 Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 500500 1,25 Gbps1.25 Gbps SuportadoSupported NoNo
Geração2Generation2 VpnGw3VpnGw3 Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 10001000 2,5 Gbps2.5 Gbps SuportadoSupported NoNo
Geração2Generation2 VpnGw4VpnGw4 Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 50005000 5 Gbps5 Gbps SuportadoSupported NoNo
Geração2Generation2 VpnGw5VpnGw5 Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 1000010000 10 Gbps10 Gbps SuportadoSupported NoNo
Geração2Generation2 VPNGw2AZVpnGw2AZ Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 500500 1,25 Gbps1.25 Gbps SuportadoSupported YesYes
Geração2Generation2 VpnGw3AZVpnGw3AZ Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 10001000 2,5 Gbps2.5 Gbps SuportadoSupported YesYes
Geração2Generation2 VpnGw4AZVpnGw4AZ Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 50005000 5 Gbps5 Gbps SuportadoSupported YesYes
Geração2Generation2 VpnGw5AZVpnGw5AZ Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 1000010000 10 Gbps10 Gbps SuportadoSupported YesYes

(*) Utilize a WAN Virtual se precisar de mais de 30 túneis S2S VPN.(*) Use Virtual WAN if you need more than 30 S2S VPN tunnels.

  • A redimensionamento de SKUs VPNGw é permitida dentro da mesma geração, exceto a redimensionamento do SKU Básico.The resizing of VpnGw SKUs is allowed within the same generation, except resizing of the Basic SKU. O SKU Básico é um SKU legado e tem limitações de recursos.The Basic SKU is a legacy SKU and has feature limitations. Para passar de Basic para outro SKU VPNGw, você deve eliminar o gateway Basic SKU VPN e criar um novo gateway com a combinação de tamanhos de Geração e SKU desejado.In order to move from Basic to another VpnGw SKU, you must delete the Basic SKU VPN gateway and create a new gateway with the desired Generation and SKU size combination.

  • Esses limites de ligação são separados.These connection limits are separate. Por exemplo, pode ter 128 ligações SSTP e também 250 ligações IKEv2 num SKU VpnGw1.For example, you can have 128 SSTP connections and also 250 IKEv2 connections on a VpnGw1 SKU.

  • As informações sobre os preços estão disponíveis na página Preços.Pricing information can be found on the Pricing page.

  • Pode encontrar informações sobre SLA (contrato de nível de serviço) na página do SLA.SLA (Service Level Agreement) information can be found on the SLA page.

  • Num único túnel pode ser alcançado um máximo de 1 Gbps.On a single tunnel a maximum of 1 Gbps throughput can be achieved. O Índice de Produção Agregada na tabela acima baseia-se em medições de múltiplos túneis agregados através de um único gateway.Aggregate Throughput Benchmark in the above table is based on measurements of multiple tunnels aggregated through a single gateway. A Referência de Débito Agregado para um Gateway de VPN é uma combinação de S2S + P2S.The Aggregate Throughput Benchmark for a VPN Gateway is S2S + P2S combined. Se tiver muitas ligações P2S, isso pode afetar negativamente uma ligação S2S devido às limitações de débito.If you have a lot of P2S connections, it can negatively impact a S2S connection due to throughput limitations. O Índice de Produção Agregada não é um rendimento garantido devido às condições de tráfego da Internet e aos seus comportamentos de aplicação.The Aggregate Throughput Benchmark is not a guaranteed throughput due to Internet traffic conditions and your application behaviors.

Para ajudar os nossos clientes a compreender o desempenho relativo dos SKUs utilizando diferentes algoritmos, utilizamos ferramentas iPerf e CTSTraffic publicamente disponíveis para medir desempenhos.To help our customers understand the relative performance of SKUs using different algorithms, we used publicly available iPerf and CTSTraffic tools to measure performances. A tabela abaixo lista os resultados dos testes de desempenho para a Geração 1, SKUs VPNGw.The table below lists the results of performance tests for Generation 1, VpnGw SKUs. Como pode ver, o melhor desempenho é obtido quando usamos algoritmo GCMAES256 para encriptação e integridade do IPsec.As you can see, the best performance is obtained when we used GCMAES256 algorithm for both IPsec Encryption and Integrity. Obtivemos um desempenho médio ao usar o AES256 para encriptação IPsec e SHA256 para Integridade.We got average performance when using AES256 for IPsec Encryption and SHA256 for Integrity. Quando usamos DES3 para encriptação IPsec e SHA256 para Integridade, obtivemos o menor desempenho.When we used DES3 for IPsec Encryption and SHA256 for Integrity we got lowest performance.

GeraçãoGeneration SKUSKU Algoritmos
utilizados
Algorithms
used
Produção
observada
Throughput
observed
Pacotes por segundo
observados
Packets per second
observed
Geração1Generation1 VpnGw1VpnGw1 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
650 Mbps650 Mbps
500 Mbps500 Mbps
120 Mbps120 Mbps
58,00058,000
50 00050,000
50 00050,000
Geração1Generation1 VpnGw2VpnGw2 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1 Gbps1 Gbps
500 Mbps500 Mbps
120 Mbps120 Mbps
90.00090,000
80.00080,000
55,00055,000
Geração1Generation1 VpnGw3VpnGw3 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1,25 Gbps1.25 Gbps
550 Mbps550 Mbps
120 Mbps120 Mbps
105,000105,000
90.00090,000
60 00060,000
Geração1Generation1 VpnGw1AZVpnGw1AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
650 Mbps650 Mbps
500 Mbps500 Mbps
120 Mbps120 Mbps
58,00058,000
50 00050,000
50 00050,000
Geração1Generation1 VPNGw2AZVpnGw2AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1 Gbps1 Gbps
500 Mbps500 Mbps
120 Mbps120 Mbps
90.00090,000
80.00080,000
55,00055,000
Geração1Generation1 VpnGw3AZVpnGw3AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1,25 Gbps1.25 Gbps
550 Mbps550 Mbps
120 Mbps120 Mbps
105,000105,000
90.00090,000
60 00060,000

Nota

A SKU Básica não suporta a autenticação IKEv2 ou RADIUS.The Basic SKU does not support IKEv2 or RADIUS authentication.

Que políticas IKE/IPsec estão configuradas em gateways VPN para P2S?What IKE/IPsec policies are configured on VPN gateways for P2S?

IKEv2IKEv2

CifraCipher IntegridadeIntegrity PRFPRF Grupo DHDH Group
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA384SHA384 GROUP_24GROUP_24
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA384SHA384 GROUP_14GROUP_14
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA384SHA384 GROUP_ECP384GROUP_ECP384
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA384SHA384 GROUP_ECP256GROUP_ECP256
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA256SHA256 GROUP_24GROUP_24
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA256SHA256 GROUP_14GROUP_14
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA256SHA256 GROUP_ECP384GROUP_ECP384
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA256SHA256 GROUP_ECP256GROUP_ECP256
AES256AES256 SHA384SHA384 SHA384SHA384 GROUP_24GROUP_24
AES256AES256 SHA384SHA384 SHA384SHA384 GROUP_14GROUP_14
AES256AES256 SHA384SHA384 SHA384SHA384 GROUP_ECP384GROUP_ECP384
AES256AES256 SHA384SHA384 SHA384SHA384 GROUP_ECP256GROUP_ECP256
AES256AES256 SHA256SHA256 SHA256SHA256 GROUP_24GROUP_24
AES256AES256 SHA256SHA256 SHA256SHA256 GROUP_14GROUP_14
AES256AES256 SHA256SHA256 SHA256SHA256 GROUP_ECP384GROUP_ECP384
AES256AES256 SHA256SHA256 SHA256SHA256 GROUP_ECP256GROUP_ECP256
AES256AES256 SHA256SHA256 SHA256SHA256 GROUP_2GROUP_2

IPsecIPsec

CifraCipher IntegridadeIntegrity Grupo PFSPFS Group
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 GROUP_NONEGROUP_NONE
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 GROUP_24GROUP_24
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 GROUP_14GROUP_14
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 GROUP_ECP384GROUP_ECP384
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 GROUP_ECP256GROUP_ECP256
AES256AES256 SHA256SHA256 GROUP_NONEGROUP_NONE
AES256AES256 SHA256SHA256 GROUP_24GROUP_24
AES256AES256 SHA256SHA256 GROUP_14GROUP_14
AES256AES256 SHA256SHA256 GROUP_ECP384GROUP_ECP384
AES256AES256 SHA256SHA256 GROUP_ECP256GROUP_ECP256
AES256AES256 SHA1SHA1 GROUP_NONEGROUP_NONE

Que políticas TLS estão configuradas em gateways VPN para P2S?What TLS policies are configured on VPN gateways for P2S?

TLSTLS

PolíticasPolicies
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256TLS_RSA_WITH_AES_256_CBC_SHA256

Como posso configurar uma ligação P2S?How do I configure a P2S connection?

Uma configuração P2S requer alguns passos específicos.A P2S configuration requires quite a few specific steps. Os seguintes artigos contêm os passos para o percorrer através da configuração P2S, e ligam-se para configurar os dispositivos clientes VPN:The following articles contain the steps to walk you through P2S configuration, and links to configure the VPN client devices:

Para remover a configuração de uma ligação P2STo remove the configuration of a P2S connection

Para passos, consulte as FAQ,abaixo.For steps, see the FAQ, below.

FAQ para autenticação de certificado azure nativoFAQ for native Azure certificate authentication

Quantos pontos finais de cliente VPN posso ter na minha configuração Ponto a Site?How many VPN client endpoints can I have in my Point-to-Site configuration?

Depende do portal SKU.It depends on the gateway SKU. Para obter mais informações sobre o número de ligações suportadas, consulte gateway SKUs.For more information on the number of connections supported, see Gateway SKUs.

Que sistemas operativos de clientes posso usar com o Ponto a Local?What client operating systems can I use with Point-to-Site?

São suportados os seguintes sistemas operativos cliente:The following client operating systems are supported:

  • Windows 7 (32 e 64 bits)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (apenas 64 bits)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32 e 64 bits)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (apenas 64 bits)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (apenas 64 bits)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (apenas 64 bits)Windows Server 2016 (64-bit only)
  • Windows Server 2019 (apenas 64 bits)Windows Server 2019 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X versão 10.11 ou superiorMac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Nota

A partir de 1 de julho de 2018, o suporte será removido para o TLS 1.0 e 1.1 do Gateway de VPN do Azure.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. O Gateway de VPN irá suportar apenas o TLS 1.2.VPN Gateway will support only TLS 1.2. Para manter o suporte, consulte as atualizações para permitir o suporte para o TLS1.2.To maintain support, see the updates to enable support for TLS1.2.

Além disso, os seguintes algoritmos legados também serão depreciados para TLS em 1 de julho de 2018:Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (Algoritmo de Encriptação de Dados)DES (Data Encryption Algorithm)
  • 3DES (Algoritmo Triplo de Encriptação de Dados)3DES (Triple Data Encryption Algorithm)
  • MD5 (Resumo de Mensagens 5)MD5 (Message Digest 5)

Como posso permitir o suporte para TLS 1.2 no Windows 7 e Windows 8.1?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Abra um pedido de comando com privilégios elevados clicando no Comando Prompt e selecionando Run como administrador.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. Execute os comandos seguintes na linha de comandos:Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Instale as seguintes atualizações:Install the following updates:

  4. Reinicie o computador.Reboot the computer.

  5. Ligue-se à VPN.Connect to the VPN.

Nota

Terá de definir a tecla de registo acima se estiver a executar uma versão mais antiga do Windows 10 (10240).You will have to set the above registry key if you are running an older version of Windows 10 (10240).

Posso atravessar proxies e firewalls com a capacidade Ponto a Site?Can I traverse proxies and firewalls using Point-to-Site capability?

O Azure suporta três tipos de opções VPN ponto-a-local:Azure supports three types of Point-to-site VPN options:

  • Secure Socket Tunneling Protocol (SSTP).Secure Socket Tunneling Protocol (SSTP). SSTP é uma solução baseada em SSL proprietária da Microsoft que pode penetrar firewalls uma vez que a maioria das firewalls abre a porta TCP de saída que 443 SSL usa.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • OpenVPN.OpenVPN. OpenVPN é uma solução baseada em SSL que pode penetrar firewalls uma vez que a maioria das firewalls abre a porta TCP de saída que 443 SSL usa.OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • VPN IKEv2.IKEv2 VPN. IKEv2 VPN é uma solução IPsec VPN baseada em padrões que utiliza portas UDP de saída 500 e 4500 e protocolo IP nº.IKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. 50.50. As firewalls nem sempre abrem estas portas, pelo que existe a possibilidade de a VPN IKEv2 não conseguir atravessar proxies e firewalls.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

Se reiniciar o computador cliente configurado para Ponto a Site, a VPN restabelece ligação automaticamente?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Por predefinição, o computador cliente não restabelece a ligação VPN automaticamente.By default, the client computer will not reestablish the VPN connection automatically.

A ligação Ponto a Site suporta o restabelecimento de ligação automático e DDNS nos clientes VPN?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

Atualmente, o restabelecimento de ligação automático e DDNS não são suportados nas VPNs Ponto a Site.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

Posso ter configurações Site a Site e Ponto a Site coexistentes na mesma rede virtual?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Sim.Yes. Para o modelo de implementação do Resource Manager, tem de ter um tipo de VPN RouteBased para o seu gateway.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. No modelo de implementação clássica, precisa de um gateway dinâmico.For the classic deployment model, you need a dynamic gateway. Não suportamos a ligação Ponto a Site para gateways de VPN de encaminhamento estático ou gateways de VPN PolicyBased.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

Posso configurar um cliente ponto-a-local para ligar a vários gateways de rede virtuais ao mesmo tempo?Can I configure a Point-to-Site client to connect to multiple virtual network gateways at the same time?

Dependendo do software VPN Client utilizado, poderá ser capaz de se conectar a vários Gateways de Rede Virtual, desde que as redes virtuais ligadas não tenham espaços de endereço conflituosos entre eles ou a rede a partir do qual o cliente está a ligar..Depending on the VPN Client software used, you may be able to connect to multiple Virtual Network Gateways provided the virtual networks being connected to do not have conflicting address spaces between them or the network from with the client is connecting from. Enquanto o Cliente Azure VPN suporta muitas ligações VPN, apenas uma ligação pode ser conectada a qualquer momento.While the Azure VPN Client supports many VPN connections, only one connection can be Connected at any given time.

Posso configurar um cliente Ponto a Site para ligar a várias redes virtuais ao mesmo tempo?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Sim, as ligações ponto-a-local a um Gateway de rede virtual implantado num VNet que é espremiado com outros VNets podem ter acesso a outros VNets esprevados.Yes, Point-to-Site connections to a Virtual Network Gateway deployed in a VNet that is peered with other VNets may have access to other peered VNets. Desde que os VNets espreitentes estejam a utilizar as funcionalidades UseRemoteGateway / AllowGatewayTransit, o cliente ponto-a-local poderá ligar-se aos VNets esprevados.Provided the peered VNets are using the UseRemoteGateway / AllowGatewayTransit features, the Point-to-Site client will be able to connect to those peered VNets. Para mais informações, por favor, consulte este artigo.For more information please reference this article.

Que débito posso esperar através das ligações Site a Site ou Ponto a Site?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

É difícil manter o débito exato dos túneis VPN.It's difficult to maintain the exact throughput of the VPN tunnels. O IPsec e SSTP são protocolos VPN extremamente encriptados.IPsec and SSTP are crypto-heavy VPN protocols. O débito também é limitado pela latência e pela largura de banda entre o local e a Internet.Throughput is also limited by the latency and bandwidth between your premises and the Internet. Para um Gateway de VPN com apenas ligações VPN Ponto a Site IKEv2, o débito total que pode esperar depende do SKU de Gateway.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Para obter mais informações sobre o débito, veja SKUs de Gateway.For more information on throughput, see Gateway SKUs.

Posso utilizar qualquer cliente VPN de software para a ligação Ponto a Site que suporte SSTP e/ou IKEv2?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

N.ºNo. Só pode utilizar o cliente VPN nativo no Windows para SSTP e o cliente VPN nativo no Mac para IKEv2.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. No entanto, pode utilizar o cliente OpenVPN em todas as plataformas para se conectar através do protocolo OpenVPN.However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. Veja a lista de sistemas operativos cliente suportados.Refer to the list of supported client operating systems.

O Azure suporta a VPN IKEv2 no Windows?Does Azure support IKEv2 VPN with Windows?

O IKEv2 é suportado no Windows 10 e Windows Server 2016.IKEv2 is supported on Windows 10 and Server 2016. No entanto, para poder utilizar o IKEv2, tem de instalar as atualizações e definir uma chave de registo localmente.However, in order to use IKEv2, you must install updates and set a registry key value locally. As versões OS antes do Windows 10 não são suportadas e só podem utilizar SSTP ou OpenVPN® Protocol.OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Para preparar o Windows 10 ou o Windows Server 2016 para o IKEv2:To prepare Windows 10 or Server 2016 for IKEv2:

  1. Instale a atualização.Install the update.

    Versão do SOOS version DataDate Número/LigaçãoNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10, Versão 1607Windows 10 Version 1607
    17 de janeiro de 2018January 17, 2018 KB4057142KB4057142
    Windows 10, Versão 1703Windows 10 Version 1703 17 de janeiro de 2018January 17, 2018 KB4057144KB4057144
    Versão 1709 do Windows 10Windows 10 Version 1709 22 de março de 2018March 22, 2018 KB4089848KB4089848
  2. Defina o valor da chave de registo.Set the registry key value. Crie ou defina a chave "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD no registo como 1.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

O que acontece quando configuro o SSTP e o IKEv2 para ligações VPN P2S?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Quando configura o SSTP e o IKEv2 num ambiente misto (composto por dispositivos Windows e Mac), o cliente VPN do Windows tentará sempre utilizar o túnel IKEv2 em primeiro lugar, mas irá reverter para o SSTP se a ligação IKEv2 não tiver êxito.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. O MacOSX só liga através do IKEv2.MacOSX will only connect via IKEv2.

Que outras plataformas não Windows e Mac suporta o Azure na VPN P2S?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

O Azure suporta Windows, Mac e Linux para P2S VPN.Azure supports Windows, Mac and Linux for P2S VPN.

Já tenho um Gateway de VPN do Azure implementado.I already have an Azure VPN Gateway deployed. Posso ativar a VPN RADIUS e/ou IKEv2 no mesmo?Can I enable RADIUS and/or IKEv2 VPN on it?

Sim, pode ativar estas novas funcionalidades nos gateways que já estejam implementados através do PowerShell ou do portal do Azure, desde que o SKU de gateway que estiver a utilizar suporte RADIUS e/ou IKEv2.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. Por exemplo, o SKU Básico do gateway de VPN não suporta RADIUS nem IKEv2.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

Como remover a configuração de uma ligação P2S?How do I remove the configuration of a P2S connection?

Uma configuração P2S pode ser removida utilizando O Azure CLI e PowerShell utilizando os seguintes comandos:A P2S configuration can be removed using Azure CLI and PowerShell using the following commands:

Azure PowerShellAzure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

CLI do AzureAzure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

O que devo fazer se receber um desfasamento de certificado ao ligar usando a autenticação de certificado?What should I do if I'm getting a certificate mismatch when connecting using certificate authentication?

Desmarque "Verifique a identidade do servidor validando o certificado" ou adicione o servidor FQDN juntamente com o certificado ao criar um perfil manualmente.Uncheck "Verify the server's identity by validating the certificate" or add the server FQDN along with the certificate when creating a profile manually. Pode fazê-lo executando rasphone a partir de um pedido de comando e escolhendo o perfil da lista de drop-down.You can do this by running rasphone from a command prompt and picking the profile from the drop-down list.

Contornar a validação da identidade do servidor não é recomendado em geral, mas com a autenticação do certificado Azure, o mesmo certificado está a ser utilizado para validação do servidor no protocolo de túnel VPN (IKEv2/SSTP) e no protocolo EAP.Bypassing server identity validation is not recommended in general, but with Azure certificate authentication, the same certificate is being used for server validation in the VPN tunneling protocol (IKEv2/SSTP) and the EAP protocol. Uma vez que o certificado de servidor e fQDN já é validado pelo protocolo de túnel VPN, é redundante validar o mesmo novamente em EAP.Since the server certificate and FQDN is already validated by the VPN tunneling protocol, it is redundant to validate the same again in EAP.

auth ponto a-localpoint-to-site auth

Posso usar o meu próprio CA de raiz PKI interno para gerar certificados para a conectividade ponto-a-local?Can I use my own internal PKI root CA to generate certificates for Point-to-Site connectivity?

Sim.Yes. Anteriormente, só podiam ser utilizados os certificados de raiz autoassinados.Previously, only self-signed root certificates could be used. Ainda pode carregar 20 certificados de raiz.You can still upload 20 root certificates.

Posso usar certificados do Azure Key Vault?Can I use certificates from Azure Key Vault?

N.ºNo.

Que ferramentas posso utilizar para criar certificados?What tools can I use to create certificates?

Pode utilizar a sua solução de PKI de Empresa (o PKI interno), o Azure PowerShell, MakeCert e OpenSSL.You can use your Enterprise PKI solution (your internal PKI), Azure PowerShell, MakeCert, and OpenSSL.

Existem instruções para parâmetros e definições de certificado?Are there instructions for certificate settings and parameters?

  • Solução PKI de Empresa/Interno: Veja os passos para Gerar certificados.Internal PKI/Enterprise PKI solution: See the steps to Generate certificates.

  • Azure PowerShell: Veja o artigo Azure PowerShell para saber quais os passos a seguir.Azure PowerShell: See the Azure PowerShell article for steps.

  • MakeCert: Veja o artigo MakeCert para saber quais os passos a seguir.MakeCert: See the MakeCert article for steps.

  • Abertura:OpenSSL:

    • Ao exportar certificados, certifique-se de que converte o certificado de raiz para Base64.When exporting certificates, be sure to convert the root certificate to Base64.

    • Para o certificado de cliente:For the client certificate:

      • Ao criar a chave privada, especifique o comprimento como 4096.When creating the private key, specify the length as 4096.
      • Ao criar o certificado para o parâmetro -extensions, especifique usr_cert.When creating the certificate, for the -extensions parameter, specify usr_cert.

FAQ para autenticação RADIUSFAQ for RADIUS authentication

Quantos pontos finais de cliente VPN posso ter na minha configuração Ponto a Site?How many VPN client endpoints can I have in my Point-to-Site configuration?

Depende do portal SKU.It depends on the gateway SKU. Para obter mais informações sobre o número de ligações suportadas, consulte gateway SKUs.For more information on the number of connections supported, see Gateway SKUs.

Que sistemas operativos de clientes posso usar com o Ponto a Local?What client operating systems can I use with Point-to-Site?

São suportados os seguintes sistemas operativos cliente:The following client operating systems are supported:

  • Windows 7 (32 e 64 bits)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (apenas 64 bits)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32 e 64 bits)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (apenas 64 bits)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (apenas 64 bits)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (apenas 64 bits)Windows Server 2016 (64-bit only)
  • Windows Server 2019 (apenas 64 bits)Windows Server 2019 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X versão 10.11 ou superiorMac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Nota

A partir de 1 de julho de 2018, o suporte será removido para o TLS 1.0 e 1.1 do Gateway de VPN do Azure.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. O Gateway de VPN irá suportar apenas o TLS 1.2.VPN Gateway will support only TLS 1.2. Para manter o suporte, consulte as atualizações para permitir o suporte para o TLS1.2.To maintain support, see the updates to enable support for TLS1.2.

Além disso, os seguintes algoritmos legados também serão depreciados para TLS em 1 de julho de 2018:Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (Algoritmo de Encriptação de Dados)DES (Data Encryption Algorithm)
  • 3DES (Algoritmo Triplo de Encriptação de Dados)3DES (Triple Data Encryption Algorithm)
  • MD5 (Resumo de Mensagens 5)MD5 (Message Digest 5)

Como posso permitir o suporte para TLS 1.2 no Windows 7 e Windows 8.1?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Abra um pedido de comando com privilégios elevados clicando no Comando Prompt e selecionando Run como administrador.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. Execute os comandos seguintes na linha de comandos:Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Instale as seguintes atualizações:Install the following updates:

  4. Reinicie o computador.Reboot the computer.

  5. Ligue-se à VPN.Connect to the VPN.

Nota

Terá de definir a tecla de registo acima se estiver a executar uma versão mais antiga do Windows 10 (10240).You will have to set the above registry key if you are running an older version of Windows 10 (10240).

Posso atravessar proxies e firewalls com a capacidade Ponto a Site?Can I traverse proxies and firewalls using Point-to-Site capability?

O Azure suporta três tipos de opções VPN ponto-a-local:Azure supports three types of Point-to-site VPN options:

  • Secure Socket Tunneling Protocol (SSTP).Secure Socket Tunneling Protocol (SSTP). SSTP é uma solução baseada em SSL proprietária da Microsoft que pode penetrar firewalls uma vez que a maioria das firewalls abre a porta TCP de saída que 443 SSL usa.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • OpenVPN.OpenVPN. OpenVPN é uma solução baseada em SSL que pode penetrar firewalls uma vez que a maioria das firewalls abre a porta TCP de saída que 443 SSL usa.OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • VPN IKEv2.IKEv2 VPN. IKEv2 VPN é uma solução IPsec VPN baseada em padrões que utiliza portas UDP de saída 500 e 4500 e protocolo IP nº.IKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. 50.50. As firewalls nem sempre abrem estas portas, pelo que existe a possibilidade de a VPN IKEv2 não conseguir atravessar proxies e firewalls.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

Se reiniciar o computador cliente configurado para Ponto a Site, a VPN restabelece ligação automaticamente?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

Por predefinição, o computador cliente não restabelece a ligação VPN automaticamente.By default, the client computer will not reestablish the VPN connection automatically.

A ligação Ponto a Site suporta o restabelecimento de ligação automático e DDNS nos clientes VPN?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

Atualmente, o restabelecimento de ligação automático e DDNS não são suportados nas VPNs Ponto a Site.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

Posso ter configurações Site a Site e Ponto a Site coexistentes na mesma rede virtual?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Sim.Yes. Para o modelo de implementação do Resource Manager, tem de ter um tipo de VPN RouteBased para o seu gateway.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. No modelo de implementação clássica, precisa de um gateway dinâmico.For the classic deployment model, you need a dynamic gateway. Não suportamos a ligação Ponto a Site para gateways de VPN de encaminhamento estático ou gateways de VPN PolicyBased.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

Posso configurar um cliente ponto-a-local para ligar a vários gateways de rede virtuais ao mesmo tempo?Can I configure a Point-to-Site client to connect to multiple virtual network gateways at the same time?

Dependendo do software VPN Client utilizado, poderá ser capaz de se conectar a vários Gateways de Rede Virtual, desde que as redes virtuais ligadas não tenham espaços de endereço conflituosos entre eles ou a rede a partir do qual o cliente está a ligar..Depending on the VPN Client software used, you may be able to connect to multiple Virtual Network Gateways provided the virtual networks being connected to do not have conflicting address spaces between them or the network from with the client is connecting from. Enquanto o Cliente Azure VPN suporta muitas ligações VPN, apenas uma ligação pode ser conectada a qualquer momento.While the Azure VPN Client supports many VPN connections, only one connection can be Connected at any given time.

Posso configurar um cliente Ponto a Site para ligar a várias redes virtuais ao mesmo tempo?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Sim, as ligações ponto-a-local a um Gateway de rede virtual implantado num VNet que é espremiado com outros VNets podem ter acesso a outros VNets esprevados.Yes, Point-to-Site connections to a Virtual Network Gateway deployed in a VNet that is peered with other VNets may have access to other peered VNets. Desde que os VNets espreitentes estejam a utilizar as funcionalidades UseRemoteGateway / AllowGatewayTransit, o cliente ponto-a-local poderá ligar-se aos VNets esprevados.Provided the peered VNets are using the UseRemoteGateway / AllowGatewayTransit features, the Point-to-Site client will be able to connect to those peered VNets. Para mais informações, por favor, consulte este artigo.For more information please reference this article.

Que débito posso esperar através das ligações Site a Site ou Ponto a Site?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

É difícil manter o débito exato dos túneis VPN.It's difficult to maintain the exact throughput of the VPN tunnels. O IPsec e SSTP são protocolos VPN extremamente encriptados.IPsec and SSTP are crypto-heavy VPN protocols. O débito também é limitado pela latência e pela largura de banda entre o local e a Internet.Throughput is also limited by the latency and bandwidth between your premises and the Internet. Para um Gateway de VPN com apenas ligações VPN Ponto a Site IKEv2, o débito total que pode esperar depende do SKU de Gateway.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Para obter mais informações sobre o débito, veja SKUs de Gateway.For more information on throughput, see Gateway SKUs.

Posso utilizar qualquer cliente VPN de software para a ligação Ponto a Site que suporte SSTP e/ou IKEv2?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

N.ºNo. Só pode utilizar o cliente VPN nativo no Windows para SSTP e o cliente VPN nativo no Mac para IKEv2.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. No entanto, pode utilizar o cliente OpenVPN em todas as plataformas para se conectar através do protocolo OpenVPN.However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. Veja a lista de sistemas operativos cliente suportados.Refer to the list of supported client operating systems.

O Azure suporta a VPN IKEv2 no Windows?Does Azure support IKEv2 VPN with Windows?

O IKEv2 é suportado no Windows 10 e Windows Server 2016.IKEv2 is supported on Windows 10 and Server 2016. No entanto, para poder utilizar o IKEv2, tem de instalar as atualizações e definir uma chave de registo localmente.However, in order to use IKEv2, you must install updates and set a registry key value locally. As versões OS antes do Windows 10 não são suportadas e só podem utilizar SSTP ou OpenVPN® Protocol.OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Para preparar o Windows 10 ou o Windows Server 2016 para o IKEv2:To prepare Windows 10 or Server 2016 for IKEv2:

  1. Instale a atualização.Install the update.

    Versão do SOOS version DataDate Número/LigaçãoNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10, Versão 1607Windows 10 Version 1607
    17 de janeiro de 2018January 17, 2018 KB4057142KB4057142
    Windows 10, Versão 1703Windows 10 Version 1703 17 de janeiro de 2018January 17, 2018 KB4057144KB4057144
    Versão 1709 do Windows 10Windows 10 Version 1709 22 de março de 2018March 22, 2018 KB4089848KB4089848
  2. Defina o valor da chave de registo.Set the registry key value. Crie ou defina a chave "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD no registo como 1.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

O que acontece quando configuro o SSTP e o IKEv2 para ligações VPN P2S?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Quando configura o SSTP e o IKEv2 num ambiente misto (composto por dispositivos Windows e Mac), o cliente VPN do Windows tentará sempre utilizar o túnel IKEv2 em primeiro lugar, mas irá reverter para o SSTP se a ligação IKEv2 não tiver êxito.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. O MacOSX só liga através do IKEv2.MacOSX will only connect via IKEv2.

Que outras plataformas não Windows e Mac suporta o Azure na VPN P2S?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

O Azure suporta Windows, Mac e Linux para P2S VPN.Azure supports Windows, Mac and Linux for P2S VPN.

Já tenho um Gateway de VPN do Azure implementado.I already have an Azure VPN Gateway deployed. Posso ativar a VPN RADIUS e/ou IKEv2 no mesmo?Can I enable RADIUS and/or IKEv2 VPN on it?

Sim, pode ativar estas novas funcionalidades nos gateways que já estejam implementados através do PowerShell ou do portal do Azure, desde que o SKU de gateway que estiver a utilizar suporte RADIUS e/ou IKEv2.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. Por exemplo, o SKU Básico do gateway de VPN não suporta RADIUS nem IKEv2.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

Como remover a configuração de uma ligação P2S?How do I remove the configuration of a P2S connection?

Uma configuração P2S pode ser removida utilizando O Azure CLI e PowerShell utilizando os seguintes comandos:A P2S configuration can be removed using Azure CLI and PowerShell using the following commands:

Azure PowerShellAzure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

CLI do AzureAzure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

A autenticação RADIUS é suportada em todos os SKUs de Gateway de VPN do Azure?Is RADIUS authentication supported on all Azure VPN Gateway SKUs?

A autenticação RADIUS é suportada para SKUs de VpnGw1, VpnGw2 e VpnGw3.RADIUS authentication is supported for VpnGw1, VpnGw2, and VpnGw3 SKUs. Se estiver a utilizar SKUs legados, a autenticação RADIUS é suportada em SKUs Standard e de Elevado Desempenho.If you are using legacy SKUs, RADIUS authentication is supported on Standard and High Performance SKUs. Não é suportada no SKU de Gateway Básico.It is not supported on the Basic Gateway SKU.

A autenticação RADIUS é suportada para o modelo de implementação clássica?Is RADIUS authentication supported for the classic deployment model?

N.ºNo. A autenticação RADIUS não é suportada para o modelo de implementação clássica.RADIUS authentication is not supported for the classic deployment model.

Os servidores RADIUS de terceiros são suportados?Are 3rd-party RADIUS servers supported?

Sim, os servidores RADIUS de terceiros são suportados.Yes, 3rd-party RADIUS servers are supported.

Quais são os requisitos de conectividade necessários para garantir que o gateway do Azure é capaz de alcançar um servidor RADIUS no local?What are the connectivity requirements to ensure that the Azure gateway is able to reach an on-premises RADIUS server?

É necessária uma ligação de rede de VPNs ao site no local com as rotas adequadas configuradas.A VPN Site-to-Site connection to the on-premises site, with the proper routes configured, is required.

O tráfego para um servidor RADIUS no local (a partir do gateway de VPN do Azure) pode ser encaminhado através de uma ligação do ExpressRoute?Can traffic to an on-premises RADIUS server (from the Azure VPN gateway) be routed over an ExpressRoute connection?

N.ºNo. O tráfego só pode ser encaminhado através de uma ligação de rede de VPNs.It can only be routed over a Site-to-Site connection.

Existe uma alteração no número de ligações SSTP suportadas com a autenticação RADIUS?Is there a change in the number of SSTP connections supported with RADIUS authentication? Qual é o número máximo de ligações SSTP e IKEv2 suportadas?What is the maximum number of SSTP and IKEv2 connections supported?

Não existe qualquer alteração no número máximo de ligações SSTP suportadas num gateway com a autenticação RADIUS.There is no change in the maximum number of SSTP connections supported on a gateway with RADIUS authentication. Permanece 128 para a SSTP, mas depende do gateway SKU para iKEv2.It remains 128 for SSTP, but depends on the gateway SKU for IKEv2. Para obter mais informações sobre o número de ligações suportadas, consulte gateway SKUs.For more information on the number of connections supported, see Gateway SKUs.

Qual é a diferença entre fazer a autenticação de certificados com um servidor RADIUS relativamente à autenticação de certificados nativa do Azure (através do carregamento de um certificado fidedigno para o Azure).What is the difference between doing certificate authentication using a RADIUS server vs. using Azure native certificate authentication (by uploading a trusted certificate to Azure).

Na autenticação de certificados RADIUS, o pedido de autenticação é reencaminhado para um servidor RADIUS que processa a validação de certificados.In RADIUS certificate authentication, the authentication request is forwarded to a RADIUS server that handles the actual certificate validation. Esta opção é útil caso queira integrar numa infraestrutura de autenticação de certificados que já tenha através de RADIUS.This option is useful if you want to integrate with a certificate authentication infrastructure that you already have through RADIUS.

Ao utilizar o Azure para a autenticação de certificados, o gateway de VPN do Azure realiza a validação do certificado.When using Azure for certificate authentication, the Azure VPN gateway performs the validation of the certificate. Tem de carregar a chave pública do certificado para o gateway.You need to upload your certificate public key to the gateway. Também pode especificar uma lista de certificados revogados que não devem ter permissão para estabelecer ligação.You can also specify list of revoked certificates that shouldn’t be allowed to connect.

A autenticação RADIUS funciona com as VPN IKEv2 e SSTP?Does RADIUS authentication work with both IKEv2, and SSTP VPN?

Sim, a autenticação RADIUS funciona com as VPNs IKEv2 e SSTP.Yes, RADIUS authentication is supported for both IKEv2, and SSTP VPN.

A autenticação RADIUS funciona com o cliente OpenVPN?Does RADIUS authentication work with the OpenVPN client?

A autenticação RADIUS é suportada apenas através do powerShell.RADIUS authentication is supported for the OpenVPN protocol only through PowerShell.

Passos SeguintesNext Steps

"OpenVPN" é uma marca registada da OpenVPN Inc."OpenVPN" is a trademark of OpenVPN Inc.