Conceber e validar o túnel de divisão de VPN

  • 10 minutos

O túnel dividido de VPN é um método que permite que determinados pontos finais ignorem o túnel VPN e liguem diretamente ao serviço Do Microsoft 365 a partir da localização do utilizador. Isto permite que o tráfego de multimédia do Teams seja forçado a sair do túnel VPN e diretamente para o Microsoft 365. Também liberta capacidade para tráfego empresarial importante e elimina a necessidade de atualizações dispendiosas.

Túnel dividido de VPN

Uma rede privada virtual (VPN) cliente permite o tráfego de um cliente ou utilizador; por exemplo, um utilizador de portátil remoto, para fazer uma ligação de túnel encriptada ponto a ponto virtual a um servidor remoto, normalmente ligando-os à rede da organização. Isso permite o acesso a recursos na rede da organização.

O túnel VPN é onde todos os clientes remotos roteiam seu tráfego por um túnel criptografado de volta à rede da organização antes de serem roteados para a Internet. Esse modelo foi projetado quando a maioria das organizações tinha a maioria dos usuários do recurso necessários em servidores locais e algum tráfego foi para a Internet.

No entanto, com mais recursos "na cloud" ou na Internet, o envio de todo o tráfego de cliente do cliente para a rede da organização antes da fuga para a Internet é pouco otimizado. Portanto, se você usar uma VPN cliente, a Microsoft recomenda permitir que o tráfego do Teams e do Office 365 ignore a VPN e vá diretamente para a Internet da computador cliente, comumente conhecida como VPN de túnel dividido.

A Microsoft não recomenda o envio de tráfego do Teams por meio de uma VPN, pelos seguintes motivos:

  • As VPNs geralmente não são projetadas ou configuradas para oferecer suporte a mídia em tempo real e algumas não oferecem suporte a UDP, que é o protocolo de transporte ideal para tráfego de mídia.

  • As VPNs fazem com que o tráfego das equipas faça uma rota inferior aotim para a rede da organização antes de aceder à Internet.

  • As VPNs também introduzem uma camada extra de criptografia sobre o tráfego de mídia que já está criptografado.

  • Economize carga em sua VPN e evite que ela se torne um ponto de estrangulamento para o tráfego de rede. Isso pode ser um verdadeiro desafio com a quantidade de tráfego de áudio e vídeo que as equipes geram.

Em uma configuração de túnel dividido, apenas um subconjunto de tráfego é roteado pela VPN. Você pode especificar explicitamente as rotas a serem excluídas da VPN ou incluir explicitamente as rotas para passar pela VPN. Se a VPN for usada para conectar-se a servidores/serviços específicos dentro da rede organizacional, pode ser mais fácil configurar a VPN para rotear apenas o tráfego para esses endereços IP ou sub-redes específicos.

Se, geralmente, a sua organização preferir encaminhar o tráfego da Internet para a rede da organização, através dos proxies e firewalls da organização antes de aceder à Internet, poderá querer excluir os endereços específicos do Microsoft 365 da rota VPN. A Microsoft fornece uma lista de todos os endereços IP do Microsoft 365 que deve excluir da sua VPN.

Observação

Os serviços e o endereço IP estão em constante evolução; portanto, se optar por excluir explicitamente os serviços do Office 365 de sua VPN, você precisará verificar e atualizar essa configuração regularmente.

Nesta imagem, vemos uma VPN de túnel dividido. O tráfego para o Microsoft 365 é intencionalmente excluído do túnel VPN diretamente do utilizador para o serviço através da respetiva ligação à Internet local. Todo o outro tráfego é enviado através da VPN para a rede da organização.

A conexão VPN de um cliente com encapsulamento dividido ativado

A forma como configura a VPN depende do software de cliente VPN que o utilizador ou a sua organização exigem que utilize, mas o túnel dividido é uma funcionalidade que todos os fornecedores de terceiros comuns estão a fornecer.

Importante

Algumas organizações têm políticas que exigem que todos os usuários enviem todo o tráfego de entrada e saída por meio de dispositivos de firewall, e um túnel dividido pode violar essas políticas. Verifique quais são as políticas de sua organização e certifique-se de ter aprovação de política para esta configuração.

Validar Túnel dividido de VPN

Depois de configurar o túnel dividido, pode validar a configuração de algumas formas diferentes. Um simples tracert no PowerShell em uma máquina cliente remota conectada à VPN para um ponto de extremidade/endereço configurado para ir diretamente para a Internet, não por meio da VPN, deve mostrar que o caminho percorrido é diretamente por meio do ISP do cliente, não da VPN.

tracert worldaz.tr.teams.microsoft.com

O resultado mostra os diferentes saltos que seus pacotes vão levar para chegar ao destino:

Tracing route to b-tr-teasc-euno-13.northeurope.cloudapp.azure.com [52.114.251.234]

over a maximum of 30 hops:

    1     1 ms     1 ms     1 ms  localrouter.box [192.168.10.1]

    2     8 ms    53 ms     7 ms  vt1.cor2.lond2.ptn.zen.net.uk [51.148.72.24]

    3     8 ms     7 ms     8 ms  lag-8.p1.ixn-lon.zen.net.uk [51.148.73.188]

    4     8 ms     7 ms     7 ms  lag-2.p1.thn-lon.zen.net.uk [51.148.73.132]

    5     8 ms     7 ms     7 ms  lag-1.br1.thn-lon.zen.net.uk [51.148.73.153]

    6     9 ms     *        *     104.44.6.57

    7     9 ms    22 ms    22 ms  ae29-0.icr01.lon24.ntwk.msn.net [104.44.41.162]

    8    18 ms   144 ms    18 ms  be-100-0.ibr01.lon24.ntwk.msn.net [104.44.21.107]

    9    18 ms    18 ms    18 ms  be-3-0.ibr01.dub08.ntwk.msn.net [104.44.30.47]

    10    18 ms    39 ms    17 ms  ae102-0.icr02.dub08.ntwk.msn.net [104.44.11.66]

    11     *        *        *     Request timed out.

    12     *        *        *     Request timed out.

    13     *        *        *     Request timed out.

    14     *        *

Neste teste, o provedor de serviços de Internet do cliente remoto é chamado de “Zen”. Podemos ver que acedemos a endereços na rede zen.net.uk diretamente para a Microsoft sem passar por uma VPN. Procure nomes relacionados com o ISP do cliente relevante.

Se vir este encaminhamento de traceroute para a VPN, que pode reconhecer ao ver o FQDN de VPN e os endereços IP, terá de configurar a VPN corretamente para dividir o túnel.

É normal que veja "O pedido excedeu o tempo limite" nos saltos posteriores. O firewall do destino ou outro dispositivo de segurança está bloqueando a solicitação de rastreamento. Mesmo que uma firewall esteja a impedir que os saltos finais no destino apareçam na saída de traceroute, é provável que o destino ainda esteja acessível, mas configurado para não responder a um traceroute.

Observação

Em determinados cenários, muitas vezes não relacionados à configuração do cliente do Teams, o tráfego de mídia ainda atravessa o túnel VPN, mesmo com as rotas de cliente corretas. Se encontrar este cenário, pode configurar a regra de firewall para bloquear as sub-redes ou portas IP do Teams de utilizarem a rota VPN.