Configurar um cliente VPN para ponto a site: RADIUS - autenticação de senha
Para se conectar a uma rede virtual através de P2S (ponto a site), você precisa configurar o dispositivo cliente do qual você se conectará. Você pode criar conexões VPN P2S a partir de dispositivos clientes Windows, macOS e Linux. Este artigo ajuda você a criar e instalar a configuração do cliente VPN para autenticação RADIUS de nome de usuário/senha.
Quando você estiver usando a autenticação RADIUS, há várias instruções de autenticação: autenticação de certificado, autenticação de senha e outros métodos e protocolos de autenticação. A configuração do cliente VPN é diferente para cada tipo de autenticação. Para configurar um cliente VPN, use arquivos de configuração do cliente que contenham as configurações necessárias.
Nota
A partir de 1 de julho de 2018, o suporte será removido para o TLS 1.0 e 1.1 do Gateway de VPN do Azure. O Gateway de VPN irá suportar apenas o TLS 1.2. Apenas as conexões ponto-a-site são afetadas; As conexões site a site não serão afetadas. Se você estiver usando TLS para VPNs ponto a site em clientes Windows 10 ou posteriores, não precisará tomar nenhuma ação. Se você estiver usando TLS para conexões ponto a site em clientes Windows 7 e Windows 8, consulte as Perguntas frequentes sobre o Gateway VPN para obter instruções de atualização.
Fluxo de Trabalho
O fluxo de trabalho de configuração para autenticação P2S RADIUS é o seguinte:
- Configure o gateway de VPN do Azure para conectividade P2S.
- Configure o servidor RADIUS para autenticação.
- Obtenha a configuração do cliente VPN para a opção de autenticação de sua escolha e use-a para configurar o cliente VPN (este artigo).
- Conclua a configuração do P2S e conecte-se.
Importante
Se houver alterações na configuração de VPN ponto a site depois de gerar o perfil de configuração do cliente VPN, como o tipo de protocolo VPN ou o tipo de autenticação, você deverá gerar e instalar uma nova configuração de cliente VPN nos dispositivos dos usuários.
Você pode configurar a autenticação de nome de usuário/senha para usar o Ative Directory ou para não usar o Ative Directory. Em qualquer um dos cenários, certifique-se de que todos os usuários conectados tenham credenciais de nome de usuário/senha que possam ser autenticadas por meio do RADIUS.
Ao configurar a autenticação de nome de usuário/senha, você só pode criar uma configuração para o protocolo de autenticação de nome de usuário/senha EAP-MSCHAPv2. Nos comandos, -AuthenticationMethod
é EapMSChapv2
.
Gerar arquivos de configuração do cliente VPN
Você pode gerar os arquivos de configuração do cliente VPN usando o portal do Azure ou o Azure PowerShell.
Portal do Azure
- Navegue até o gateway de rede virtual.
- Clique em Configuração ponto a site.
- Clique em Baixar cliente VPN.
- Selecione o cliente e preencha todas as informações solicitadas.
- Clique em Download para gerar o arquivo .zip.
- O arquivo .zip é baixado, normalmente para a pasta Downloads.
Azure PowerShell
Gere arquivos de configuração do cliente VPN para uso com autenticação de nome de usuário/senha. Você pode gerar os arquivos de configuração do cliente VPN usando o seguinte comando:
New-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW" -AuthenticationMethod "EapMSChapv2"
A execução do comando retorna um link. Copie e cole o link para um navegador da Web para fazer o download VpnClientConfiguration.zip. Descompacte o arquivo para exibir as seguintes pastas:
- WindowsAmd64 e WindowsX86: Essas pastas contêm os pacotes do instalador do Windows de 64 bits e 32 bits, respectivamente.
- Genérico: Esta pasta contém informações gerais que você usa para criar sua própria configuração de cliente VPN. Você não precisa dessa pasta para configurações de autenticação de nome de usuário/senha.
- Mac: Se configurou o IKEv2 quando criou o gateway de rede virtual, verá uma pasta chamada Mac que contém um ficheiro mobileconfig . Use esse arquivo para configurar clientes Mac.
Se você já criou arquivos de configuração do cliente, poderá recuperá-los usando o Get-AzVpnClientConfiguration
cmdlet. Mas se você fizer alguma alteração na configuração da VPN P2S, como o tipo de protocolo VPN ou o tipo de autenticação, a configuração não será atualizada automaticamente. Você deve executar o New-AzVpnClientConfiguration
cmdlet para criar um novo download de configuração.
Para recuperar arquivos de configuração do cliente gerados anteriormente, use o seguinte comando:
Get-AzVpnClientConfiguration -ResourceGroupName "TestRG" -Name "VNet1GW"
Cliente VPN do Windows
Você pode usar o mesmo pacote de configuração do cliente VPN em cada computador cliente Windows, desde que a versão corresponda à arquitetura do cliente. Para obter a lista de sistemas operativos cliente suportados, consulte as Perguntas frequentes.
Use as seguintes etapas para configurar o cliente VPN nativo do Windows para autenticação de certificado:
Selecione os ficheiros de configuração do cliente VPN que correspondem à arquitetura do computador Windows. Para uma arquitetura de processador de 64 bits, escolha o pacote do instalador VpnClientSetupAmd64 . Para uma arquitetura de processador de 32 bits, escolha o pacote do instalador VpnClientSetupX86 .
Para instalar o pacote, clique duas vezes nele. Se vir um pop-up SmartScreen, selecione Mais informações>Executar mesmo assim.
No computador cliente, navegue até Configurações de Rede e selecione VPN. A ligação VPN mostra o nome da rede virtual à qual se liga.
Cliente VPN Mac (macOS)
Selecione o arquivo mobileconfig VpnClientSetup e envie-o para cada um dos usuários. Você pode usar o e-mail ou outro método.
Localize o arquivo mobileconfig no Mac.
Etapa opcional - Se você quiser especificar um DNS personalizado, adicione as seguintes linhas ao arquivo mobileconfig :
<key>DNS</key> <dict> <key>ServerAddresses</key> <array> <string>10.0.0.132</string> </array> <key>SupplementalMatchDomains</key> <array> <string>TestDomain.com</string> </array> </dict>
Clique duas vezes no perfil para instalá-lo e selecione Continuar. O nome do perfil é o mesmo que o nome da sua rede virtual.
Selecione Continuar para confiar no remetente do perfil e prosseguir com a instalação.
Durante a instalação do perfil, você pode especificar o nome de usuário e a senha para autenticação VPN. Não é obrigatório inserir essas informações. Se o fizer, as informações são guardadas e utilizadas automaticamente quando inicia uma ligação. Selecione Instalar para continuar.
Introduza um nome de utilizador e palavra-passe para os privilégios necessários para instalar o perfil no seu computador. Selecione OK.
Depois que o perfil é instalado, ele fica visível na caixa de diálogo Perfis . Também pode abrir esta caixa de diálogo mais tarde a partir das Preferências do Sistema.
Para acessar a conexão VPN, abra a caixa de diálogo Rede nas Preferências do Sistema.
A conexão VPN aparece como IkeV2-VPN. Você pode alterar o nome atualizando o arquivo mobileconfig .
Selecione Configurações de autenticação. Selecione Nome de usuário na lista e insira suas credenciais. Se você inseriu as credenciais anteriormente, o nome de usuário é escolhido automaticamente na lista e o nome de usuário e a senha são pré-preenchidos. Selecione OK para salvar as configurações.
De volta à caixa de diálogo Rede , selecione Aplicar para salvar as alterações. Para iniciar a conexão, selecione Conectar.
Cliente VPN Linux - strongSwan
As seguintes instruções foram criadas através do strongSwan 5.5.1 no Ubuntu 17.0.4.
Abra o Terminal para instalar strongSwan e seu Network Manager executando o comando no exemplo. Se você receber um erro relacionado ao
libcharon-extra-plugins
, substitua-o porstrongswan-plugin-eap-mschapv2
.Selecione o ícone Network Manager (seta para cima/seta para baixo) e selecione Editar conexões.
Selecione o botão Adicionar para criar uma nova conexão.
Selecione IPsec/IKEv2 (strongswan) no menu suspenso e selecione Criar. Você pode renomear sua conexão nesta etapa.
Abra o arquivo VpnSettings.xml da pasta Generic dos arquivos de configuração do cliente baixados. Encontre a tag chamada
VpnServer
e copie o nome, começando comazuregateway
e terminando com.cloudapp.net
.Cole esse nome no campo Endereço da sua nova conexão VPN na seção Gateway . Em seguida, selecione o ícone de pasta no final do campo Certificado , navegue até a pasta Genérico e selecione o arquivo VpnServerRoot .
Na seção Cliente da conexão, selecione EAP para Autenticação e digite seu nome de usuário e senha. Talvez seja necessário selecionar o ícone de cadeado à direita para salvar essas informações. Em seguida, selecione Guardar.
Selecione o ícone do Network Manager (seta para cima/seta para baixo) e passe o mouse sobre Conexões VPN. Você vê a conexão VPN que criou. Para iniciar a conexão, selecione-a.
Etapas adicionais para a máquina virtual do Azure
Caso você esteja executando o procedimento em uma máquina virtual do Azure executando Linux, há etapas adicionais a serem executadas.
Edite o arquivo /etc/netplan/50-cloud-init.yaml para incluir o seguinte parâmetro para a interface
renderer: NetworkManager
Depois de editar o arquivo, execute os dois comandos a seguir para carregar a nova configuração
sudo netplan generate
sudo netplan apply
Parar/Iniciar ou Reimplantar a máquina virtual.
Próximos passos
Volte ao artigo para concluir a configuração do P2S.
Para obter informações sobre solução de problemas do P2S, consulte Solução de problemas de conexões ponto a site do Azure.