Compartilhar via

Definir configurações de servidor para autenticação RADIUS do Gateway de VPN P2S

  • Artigo

Este artigo ajuda você a criar uma conexão ponto a site (P2S) que usa a autenticação RADIUS. Você pode criar essa configuração usando o PowerShell ou o portal do Azure. As etapas neste artigo funcionam para gateways de VPN de modo ativo-ativo e gateways de VPN de modo ativo-em espera.

As conexões de VPN Ponto a Site (P2S) são úteis quando queremos nos conectar com a rede virtual em um local remoto, como quando fazemos telecomutação de casa ou de uma conferência. Você também pode usar o P2S em vez de uma VPN site a site (S2S), quando você tem apenas alguns poucos clientes que precisam se conectar a uma rede virtual. As conexões P2S não exigem um dispositivo VPN ou um endereço IP voltado para o público. Há várias opções de configuração diferentes disponíveis para o P2S. Para obter mais informações sobre conexões VPN ponto a site, confira Sobre a VPN ponto a site.

Esse tipo de conexão requer o seguinte:

  • Um gateway de VPN RouteBased usando um SKU de gateway de VPN diferente do SKU Básico.
  • Servidor RADIUS para lidar com a autenticação do usuário. O servidor RADIUS pode ser implantado no local ou na rede virtual do Azure (VNet) Também é possível configurar dois servidores RADIUS para alta disponibilidade.
  • O pacote de configuração do perfil de cliente VPN. O pacote de configuração do perfil do cliente VPN é um pacote que você gera. e fornece as configurações necessárias para um cliente VPN se conectar por conexões P2S.

Limitações:

  • Se você estiver usando o IKEv2 com o RADIUS, somente a autenticação baseada em EAP terá suporte.
  • Uma conexão do ExpressRoute não pode ser usada para se conectar a um servidor RADIUS no local.

Sobre a autenticação de Domínio do Active Directory (AD) para as VPNs de P2S

A autenticação de Domínio do AD permite que os usuários façam logon Azure usando suas credenciais de domínio da organização. Ela requer um servidor RADIUS que integra-se com o servidor do AD. As organizações também podem usar sua implantação RADIUS existente.

O servidor RADIUS pode existir no local ou na rede virtual do Azure. Durante a autenticação, o gateway de VPN atua como uma passagem e encaminha as mensagens de autenticação entre o servidor RADIUS e o dispositivo de conexão. É importante para o gateway de VPN poder acessar o servidor RADIUS. Se o servidor RADIUS for local, é necessária uma conexão VPN Site a Site do Azure para o site local.

Além do Active Directory, um servidor RADIUS também pode integrar-se com outros sistemas de identidade externa. Isso possibilita várias opções de autenticação para VPNs P2S, incluindo opções de MFA. Verifique a documentação do fornecedor de servidor RADIUS para obter a lista de sistemas de identidade aos quais ele pode ser integrado.

Diagrama da conexão P2S da autenticação RADIUS.

Configurar o seu servidor RADIUS

Antes de definir as configurações ponto a site do gateway de rede virtual, o servidor RADIUS deve ser configurado corretamente para autenticação.

  1. Se você não tiver um servidor RADIUS implantado, implante um. Para saber sobre as etapas de implantação, confira o guia de instalação do seu fornecedor RADIUS.  
  2. Configure o gateway de VPN como um cliente RADIUS no RADIUS. Ao adicionar esse cliente RADIUS, especifique a rede virtual GatewaySubnet que você criou.
  3. Depois que o servidor RADIUS estiver configurado, obtenha o endereço IP do servidor RADIUS e o segredo compartilhado que os clientes RADIUS devem usar para se comunicar com o servidor RADIUS. Se o servidor RADIUS estiver na rede virtual do Azure, use o IP de AC da máquina virtual do servidor RADIUS.

O artigo sobre o Servidor de Políticas de Rede (NPS) fornece orientações sobre como configurar um servidor RADIUS do Windows (NPS) para autenticação de domínio do AD.

Verificar seu gateway de VPN

Você deve ter um gateway de VPN baseado em rota compatível com a configuração P2S que deseja criar e com os clientes VPN conectados. Para ajudar a determinar a configuração P2S de que você precisa, consulte a tabela do cliente de VPN. Se o gateway usar o SKU Básico, entenda que o SKU Básico tem limitações P2S e não dá suporte à autenticação IKEv2 ou RADIUS. Para obter mais informações, consulte Sobre SKUs de gateway.

Se você ainda não tiver um gateway de VPN funcional compatível com a configuração P2S que deseja criar, consulte Criar e gerenciar um gateway de VPN. Crie um gateway de VPN compatível e retorne a este artigo para definir as configurações de P2S.

Adicionar o pool de endereços do cliente VPN

O pool de endereços do cliente é um intervalo de endereços IP que você especificar. Os clientes que se conectam por VPN ponto a site recebem dinamicamente um endereço IP desse intervalo. Use um intervalo de endereços IP privado que não coincida com o local de onde você se conecta nem com a VNet à qual quer se conectar. Se você configurar vários protocolos e o SSTP for um deles, o pool de endereços configurado será dividido entre os protocolos configurados igualmente.

  1. No portal do Azure, acesse seu gateway VPN.

  2. Na página do gateway, no painel esquerdo, selecione Configuração ponto a site.

  3. Clique em Configurar agora para abrir a página de configuração.

    Captura de tela da página de configuração de ponto-a-site - pool de endereços.

  4. Na página de Configuração ponto a site, na caixa Pool de endereços, adicione o intervalo de endereços IP privado que deseja usar. Os clientes VPN recebem dinamicamente um endereço IP do intervalo que você especificar. A máscara de sub-rede mínima é de 29 bits para a configuração ativa/passiva e de 28 bits para configuração ativa/ativa.

  5. Continue na próxima seção para definir mais configurações.

Especificar o túnel e o tipo de autenticação

Nesta seção, você especifica o tipo de túnel e o tipo de autenticação. Essas configurações podem se tornar complexas. Você pode selecionar opções que contêm vários tipos de túnel na lista suspensa, como IKEv2 e OpenVPN(SSL) ou IKEv2 e SSTP (SSL). Somente determinadas combinações de tipos de túnel e tipos de autenticação estão disponíveis.

O tipo de túnel e o tipo de autenticação devem corresponder ao software cliente VPN que você deseja usar para se conectar ao Azure. Como se pode perceber, o planejamento do tipo de túnel e do tipo de autenticação é importante quando se tem vários clientes VPN conectados em diferentes sistemas operacionais.

Observação

Se você não vê o tipo de túnel ou o tipo de autenticação na página de Configuração de ponto-a-site, seu gateway está usando o SKU Básico. O SKU Básico não dá suporte à autenticação IKEv2 nem RADIUS. Se você quiser usar essas configurações, será necessário excluir e recriar o gateway usando outro SKU de gateway.

  1. Em Tipo de túnel, selecione o tipo de túnel que você quer usar.

  2. Para Tipo de autenticação, na lista suspensa, selecione autenticação RADIUS.

    Captura de tela da página de configuração de Ponto-a-site - tipo de autenticação.

Adicionar outro endereço IP público

Se você tiver um gateway de modo ativo-ativo, precisará especificar um terceiro endereço IP público para configurar ponto a site. No exemplo, criamos o terceiro endereço IP público usando o valor de exemplo VNet1GWpip3. Se o gateway não estiver no modo ativo-ativo, você não precisará adicionar outro endereço IP público.

Captura de tela da página de configuração Ponto a Site — endereço público.

Especificar o servidor RADIUS

No portal, especifique as seguintes configurações:

  • Endereço IP do servidor primário
  • Segredo do servidor primário. Esse é o segredo RADIUS e deve corresponder ao que está configurado no servidor RADIUS.

Configurações opcionais:

  • Opcionalmente, você pode especificar o endereço IP do servidor secundário e o segredo do servidor secundário. Isso é útil para cenários de alta disponibilidade.
  • Rotas adicionais para anunciar. Para obter mais informações sobre essa configuração, consulte Anunciar rotas personalizadas.

Quando terminar de especificar a configuração ponto a site, selecione Salvar na parte superior da página.

Configurar o cliente VPN e se conectar

Os pacotes de configuração do perfil de cliente VPN contêm as configurações que ajudam você a configurar perfis de cliente VPN para uma conexão com a rede virtual do Azure.

Para gerar um pacote de configuração de cliente VPN e configurar um cliente VPN, consulte um dos seguintes artigos:

Depois de configurar o cliente VPN, conecte-se ao Azure.

Para verificar sua conexão

  1. Para verificar se a conexão VPN está ativa, no seu computador cliente, abra um prompt de comandos com privilégios elevados e execute ipconfig/all.

  2. Exiba os resultados. Observe que o endereço IP que você recebeu é um dos endereços dentro do Pool de Endereços de Cliente VPN P2S que você especificou em sua configuração. Os resultados são semelhantes a este exemplo:

    PPP adapter VNet1:
   Connection-specific DNS Suffix .:
   Description.....................: VNet1
   Physical Address................:
   DHCP Enabled....................: No
   Autoconfiguration Enabled.......: Yes
   IPv4 Address....................: 172.16.201.3(Preferred)
   Subnet Mask.....................: 255.255.255.255
   Default Gateway.................:
   NetBIOS over Tcpip..............: Enabled

Para solucionar problemas com uma conexão P2S, consulte Solução de problemas de conexões de ponto a site do Azure.

Perguntas frequentes

Para obter informações frequentes, consulte a seção De ponto a site – autenticação RADIUS das perguntas frequentes.

Próximas etapas

Para obter mais informações sobre conexões VPN ponto a site, confira Sobre a VPN ponto a site.