Configurar túneis forçados para a VPN ponto a site da WAN Virtual
O túnel forçado permite enviar todo o tráfego (incluindo o tráfego ligado à Internet) de usuários remotos para o Azure. Na WAN Virtual, o túnel forçado para usuários remotos de VPN ponto a site significa que a rota padrão 0.0.0.0/0 é anunciada para usuários remotos de VPN.
Criar um hub WAN virtual
As etapas neste artigo pressupõem que você já implantou uma WAN virtual com um ou mais hubs.
Para criar uma nova WAN virtual e um novo hub, use as etapas nos seguintes artigos:
Configurar VPN Ponto a Site
As etapas neste artigo também pressupõem que você já implantou um gateway VPN ponto a site no hub WAN Virtual. Ele também pressupõe que você tenha criado perfis VPN ponto a site para atribuir ao gateway.
Para criar o gateway VPN ponto a site e perfis relacionados, consulte Criar um gateway VPN ponto a site.
Anunciar rota padrão para clientes
Há algumas maneiras de configurar o túnel forçado e anunciar a rota padrão (0.0.0.0/0) para seus clientes VPN de usuário remoto conectados à WAN Virtual.
- Você pode especificar uma rota estática 0.0.0.0/0 no defaultRouteTable com a Conexão de Rede Virtual do próximo salto. Isso forçará todo o tráfego ligado à Internet a ser enviado para um Dispositivo Virtual de Rede implantado nessa Rede Virtual falada. Para obter instruções mais detalhadas, considere o fluxo de trabalho alternativo descrito em Rota através de NVAs.
- Você pode usar o Gerenciador de Firewall do Azure para configurar a WAN Virtual para enviar todo o tráfego vinculado à Internet por meio do Firewall do Azure implantado no hub da WAN Virtual. Para obter as etapas de configuração e um tutorial, consulte a documentação do Gerenciador de Firewall do Azure Protegendo hubs virtuais. Como alternativa, isso também pode ser configurado usando uma Política de Roteamento de Tráfego da Internet. Para obter mais informações, consulte Intenção de roteamento e políticas de roteamento.
- Pode utilizar o Firewall Manager para enviar tráfego de Internet através de um fornecedor de segurança de terceiros. Para obter mais informações sobre esse recurso, consulte Provedores de segurança confiáveis.
- Você pode configurar uma de suas ramificações (VPN site a site, circuito ExpressRoute) para anunciar a rota 0.0.0.0/0 para WAN Virtual.
Depois de configurar um dos quatro métodos acima, verifique se o sinalizador EnableInternetSecurity está ativado para seu gateway VPN ponto a site. Esse sinalizador deve ser definido como true para que seus clientes sejam configurados corretamente para tunelamento forçado.
Para ativar o sinalizador EnableInternetSecurity, use o seguinte comando do PowerShell, substituindo os valores apropriados para seu ambiente.
Update-AzP2sVpnGateway -ResourceGroupName "sampleRG" -Name "p2sgwsamplename" -EnableInternetSecurityFlag
Baixe o perfil VPN ponto a site
Para baixar o perfil VPN ponto a site, consulte perfis globais e de hub. As informações no arquivo zip baixado do portal do Azure são essenciais para configurar corretamente seus clientes.
Configurar o túnel forçado para clientes VPN do Azure (OpenVPN)
As etapas para configurar o túnel forçado são diferentes, dependendo do sistema operacional do dispositivo do usuário final.
Clientes Windows
Nota
Para clientes Windows, o túnel forçado com o cliente VPN do Azure só está disponível com a versão de software 2:1900:39.0 ou mais recente.
Valide se a versão do seu cliente VPN do Azure é compatível com o túnel forçado. Para fazer isso, clique nos três pontos na parte inferior do cliente VPN do Azure e clique em Ajuda. Como alternativa, o atalho de teclado para navegar até a Ajuda é Ctrl-H. O número da versão pode ser encontrado na parte superior da tela. Certifique-se de que o número da versão é 2:1900:39.0 ou posterior.
Abra o arquivo zip baixado da seção anterior. Você deve ver uma pasta intitulada AzureVPN. Abra a pasta e abra azurevpnconfig.xml na sua ferramenta de edição XML favorita.
No azureconfig.xml, há um campo chamado versão. Se o número entre as tags de versão for 1, altere o número da versão para 2.
<version>2</version>Importe o perfil para o cliente VPN do Azure. Para obter mais informações sobre como importar um perfil, consulte Instruções de importação do cliente VPN do Azure.
Conecte-se à conexão recém-adicionada. Agora você está forçando o túnel de todo o tráfego para a WAN Virtual do Azure.
Clientes macOS
Depois que um cliente macOS aprende a rota padrão do Azure, o túnel forçado é configurado automaticamente no dispositivo cliente. Não há passos adicionais a tomar. Para obter instruções sobre como usar o cliente VPN do macOS Azure para se conectar ao gateway VPN ponto a site da WAN Virtual, consulte o Guia de Configuração do macOS.
Configurando o túnel forçado para clientes IKEv2
Para clientes IKEv2, você não pode usar diretamente os perfis executáveis baixados do portal do Azure. Para configurar corretamente o cliente, você precisará executar um script do PowerShell ou distribuir o perfil VPN por meio do Intune.
Com base no método de autenticação configurado em seu gateway VPN ponto a site, use um arquivo de configuração EAP diferente. Exemplos de arquivos de configuração EAP são fornecidos abaixo.
IKEv2 com autenticação de certificado de utilizador
Para usar certificados de usuário para autenticar usuários remotos, use o script PowerShell de exemplo abaixo. Para importar corretamente o conteúdo dos arquivos XML VpnSettings e EAP para o PowerShell, navegue até o diretório apropriado antes de executar o comando Get-Content PowerShell.
# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"
# get the VPN Server FQDN from the profile downloaded from Azure Portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer
# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)
# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML
# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false
O exemplo a seguir mostra um arquivo XML EAP para autenticação baseada em certificado de usuário. Substitua o campo IssuerHash pela impressão digital do certificado raiz para garantir que seu dispositivo cliente selecione o certificado correto para apresentar ao servidor VPN para autenticação.
<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<EapMethod>
<Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
<VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
<VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
<AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
</EapMethod>
<Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
<Type>13</Type>
<EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
<CredentialsSource>
<CertificateStore>
<SimpleCertSelection>true</SimpleCertSelection>
</CertificateStore>
</CredentialsSource>
<ServerValidation>
<DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
<ServerNames></ServerNames>
</ServerValidation>
<DifferentUsername>false</DifferentUsername>
<PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
<AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
<TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
<FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
<CAHashList Enabled="true">
<IssuerHash> REPLACE THIS WITH ROOT CERTIFICATE THUMBPRINT </IssuerHash>
</CAHashList>
</FilteringInfo>
</TLSExtensions>
</EapType>
</Eap>
</Config>
</EapHostConfig>
IKEv2 com autenticação de certificado de máquina
Para usar certificados de máquina para autenticar usuários remotos, use o script PowerShell de exemplo abaixo. Para importar corretamente o conteúdo dos arquivos XML VpnSettings e EAP para o PowerShell, navegue até o diretório apropriado antes de executar o comando Get-Content PowerShell.
# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "UserCertVPNConnection"
# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer
# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod MachineCertificate
# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false
IKEv2 com autenticação de servidor RADIUS com nome de utilizador e palavra-passe (EAP-MSCHAPv2)
Para usar a autenticação RADIUS baseada em nome de usuário e senha (EAP-MASCHAPv2) para autenticar usuários remotos, use o script PowerShell de exemplo abaixo. Para importar corretamente o conteúdo dos arquivos XML VpnSettings e EAP para o PowerShell, navegue até o diretório apropriado antes de executar o comando Get-Content PowerShell.
# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"
# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer
# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)
# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Point-to-sitev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML
# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false
Um exemplo de arquivo XML EAP é o seguinte.
<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<EapMethod>
<Type xmlns="http://www.microsoft.com/provisioning/EapCommon">26</Type>
<VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
<VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
<AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
</EapMethod>
<Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
<Type>26</Type>
<EapType xmlns="http://www.microsoft.com/provisioning/MsChapV2ConnectionPropertiesV1">
<UseWinLogonCredentials>false</UseWinLogonCredentials>
</EapType>
</Eap>
</Config>
</EapHostConfig>
IKEv2 com autenticação de servidor RADIUS com certificados de utilizador (EAP-TLS)
Para usar a autenticação RADIUS baseada em certificado (EAP-TLS) para autenticar usuários remotos, use o script PowerShell de exemplo abaixo. Observe que, para importar o conteúdo dos arquivos XML VpnSettings e EAP para o PowerShell, você terá que navegar até o diretório apropriado antes de executar o comando Get-Content PowerShell.
# specify the name of the VPN Connection to be installed on the client
$vpnConnectionName = "SampleConnectionName"
# get the VPN Server FQDN from the profile downloaded from Azure portal
$downloadedXML = [xml] (Get-Content VpnSettings.xml)
$vpnserverFQDN = $downloadedXML.VpnProfile.VpnServer
# use the appropriate EAP XML file based on the authentication method specified on the Point-to-site VPN gateway
$EAPXML = [xml] (Get-Content EapXML.xml)
# create the VPN Connection
Add-VpnConnection -Name $vpnConnectionName -ServerAddress $vpnserverFQDN -TunnelType Ikev2 -AuthenticationMethod Eap -EapConfigXmlStream $EAPXML
# enabled forced tunneling
Set-VpnConnection -Name $vpnConnectionName -SplitTunneling $false
Abaixo está um exemplo de arquivo XML EAP. Altere o campo TrustedRootCA para a impressão digital do certificado da Autoridade de Certificação e o IssuerHash para ser a impressão digital do Certificado Raiz.
<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<EapMethod>
<Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
<VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
<VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
<AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
</EapMethod>
<Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
<Type>13</Type>
<EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
<CredentialsSource>
<CertificateStore>
<SimpleCertSelection>false</SimpleCertSelection>
</CertificateStore>
</CredentialsSource>
<ServerValidation>
<DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
<ServerNames></ServerNames>
<TrustedRootCA> CERTIFICATE AUTHORITY THUMBPRINT </TrustedRootCA>
</ServerValidation>
<DifferentUsername>true</DifferentUsername>
<PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation>
<AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName>
<TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
<FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
<CAHashList Enabled="true">
<IssuerHash> ROOT CERTIFICATE THUMBPRINT </IssuerHash>
</CAHashList>
</FilteringInfo>
</TLSExtensions>
</EapType>
</Eap>
</Config>
</EapHostConfig>
Próximos passos
Para obter mais informações sobre a WAN Virtual, consulte as Perguntas frequentes.