Como criar uma rede remota com o Global Secure Access
Redes remotas são locais remotos, como uma filial ou redes que exigem conectividade com a Internet. A configuração de redes remotas conecta seus usuários em locais remotos ao Acesso Seguro Global. Depois que uma rede remota estiver configurada, você poderá atribuir um perfil de encaminhamento de tráfego para gerenciar o tráfego da rede corporativa. O Global Secure Access fornece conectividade de rede remota para que você possa aplicar políticas de segurança de rede ao seu tráfego de saída.
Há várias maneiras de conectar redes remotas ao Acesso Seguro Global. Em resumo, você está criando um túnel IPSec (Internet Protocol Security) entre um roteador principal, conhecido como equipamento de instalações do cliente (CPE), em sua rede remota e o ponto de extremidade de Acesso Seguro Global mais próximo. Todo o tráfego ligado à Internet é roteado através do router principal da rede remota para avaliação da política de segurança na nuvem. A instalação de um cliente não é necessária em dispositivos individuais.
Este artigo explica como criar uma rede remota para o Acesso Seguro Global.
Pré-requisitos
Para configurar redes remotas, você deve ter:
- Uma função de Administrador de Acesso Seguro Global no Microsoft Entra ID.
- O produto requer licenciamento. Para obter detalhes, consulte a seção de licenciamento de O que é o Acesso Seguro Global. Se necessário, você pode comprar licenças ou obter licenças de avaliação.
- O equipamento das instalações do cliente (CPE) deve suportar os seguintes protocolos:
- Segurança do Protocolo Internet (IPSec)
- GCMEAES128, GCMAES 192 ou algoritmos GCMAES256 para negociação da fase 2 do Internet Key Exchange (IKE)
- Internet Key Exchange Versão 2 (IKEv2)
- Protocolo BGP (Border Gateway Protocol)
- Analise as configurações válidas para configurar redes remotas.
- A solução de conectividade de rede remota usa a configuração VPN RouteBased com seletores de tráfego de qualquer para qualquer (curinga ou 0.0.0.0/0). Certifique-se de que o seu CPE tem o seletor de tráfego correto definido.
- A solução de conectividade de rede remota usa os modos de Respondente . Seu CPE deve iniciar a conexão.
Limitações conhecidas
- O número de redes remotas por locatário é limitado a 10. O número de links de dispositivo por rede remota é limitado a quatro.
- O tráfego da Microsoft é acessado por meio de conectividade de rede remota sem o cliente Global Secure Access. No entanto, a política de Acesso Condicional não é imposta. Em outras palavras, as políticas de Acesso Condicional para o tráfego Microsoft de Acesso Seguro Global só são aplicadas quando um usuário tem o cliente de Acesso Seguro Global.
- Você deve usar o cliente Global Secure Access para o Microsoft Entra Private Access. A conectividade de rede remota suporta apenas o Microsoft Entra Internet Access.
Etapas de alto nível
Você pode criar uma rede remota no centro de administração do Microsoft Entra ou por meio da API do Microsoft Graph.
Em um alto nível, há cinco etapas para criar uma rede remota e configurar um túnel IPsec ativo:
Noções básicas: insira os detalhes básicos, como o Nome e a Região da sua rede remota. Região especifica onde você deseja sua outra extremidade do túnel IPsec. A outra extremidade do túnel é o seu router ou CPE.
Conectividade: adicione um link de dispositivo (ou túnel IPsec) à rede remota. Nesta etapa, você insere os detalhes do roteador no centro de administração do Microsoft Entra, que informa à Microsoft de onde esperar que as negociações IKE venham.
Perfil de encaminhamento de tráfego: associe um perfil de encaminhamento de tráfego à rede remota, que especifica qual tráfego adquirir no túnel IPsec. Usamos roteamento dinâmico através de BGP.
Exibir configuração de conectividade CPE: recupere os detalhes do túnel IPsec do fim do túnel da Microsoft. Na etapa Conectividade, você forneceu os detalhes do roteador à Microsoft. Nesta etapa, você recupera o lado da Microsoft da configuração de conectividade.
Configure seu CPE: pegue a configuração de conectividade da Microsoft da etapa anterior e insira-a no console de gerenciamento do seu roteador ou CPE. Esta etapa não está no centro de administração do Microsoft Entra.
As redes remotas são configuradas em três guias. Você deve preencher cada guia na ordem. Depois de preencher a guia, selecione a próxima guia na parte superior da página ou selecione o botão Avançar na parte inferior da página.
Noções Básicas
O primeiro passo é fornecer o nome e a localização da sua rede remota. É necessário preencher este separador.
- Entre no centro de administração do Microsoft Entra como um Administrador de Acesso Seguro Global.
- Navegue até Global Secure Access>Connect>Remote networks.
- Selecione o botão Criar rede remota e forneça os detalhes.
- Nome
- Região
Conectividade
A guia Conectividade é onde você adiciona os links de dispositivo para a rede remota. Você pode adicionar links de dispositivo depois de criar a rede remota. Você precisa fornecer o tipo de dispositivo, o endereço IP público do seu CPE, o endereço BGP (border gateway protocol) e o número do sistema autônomo (ASN) para cada link de dispositivo.
Os detalhes necessários para preencher a guia Conectividade podem ser complexos. Para obter mais informações, consulte Como gerenciar links de dispositivos de rede remotos.
Perfis de encaminhamento de tráfego
Você pode atribuir a rede remota a um perfil de encaminhamento de tráfego ao criar a rede remota. Você também pode atribuir a rede remota posteriormente. Para obter mais informações, consulte Perfis de encaminhamento de tráfego.
- Selecione o botão Avançar ou selecione a guia Perfis de tráfego.
- Selecione o perfil de encaminhamento de tráfego apropriado.
- Selecione o botão Rever + Criar .
A guia final no processo é revisar todas as configurações que você forneceu. Analise os detalhes fornecidos aqui e selecione o botão Criar rede remota.
Ver configuração de conectividade CPE
Todas as suas redes remotas aparecem na página Rede remota. Selecione o link Exibir configuração na coluna Detalhes de conectividade para exibir os detalhes da configuração.
Esses detalhes contêm as informações de conectividade do lado da Microsoft do canal de comunicação bidirecional que você usa para configurar seu CPE.
Esse processo é abordado em detalhes em Como configurar o equipamento das instalações do cliente.
Configurar o seu CPE
Esta etapa é executada no console de gerenciamento do seu CPE, não no centro de administração do Microsoft Entra. Até concluir esta etapa, seu IPsec não será configurado. IPsec é uma comunicação bidirecional. As negociações da IKE acontecem entre duas partes antes de o túnel ser montado com sucesso. Então, não perca este passo.
Verificar as configurações de rede remota
Há algumas coisas a considerar e verificar ao criar redes remotas. Talvez seja necessário verificar novamente algumas configurações.
Verificar perfil de criptografia IKE: O perfil de criptografia (algoritmos IKE fase 1 e fase 2) definido para um link de dispositivo deve corresponder ao que está definido no CPE. Se você escolher a política IKE padrão, verifique se o CPE está configurado com o perfil de criptografia especificado no artigo de referência Configurações de rede remota.
Verificar chave pré-compartilhada: compare a chave pré-compartilhada (PSK) especificada ao criar o link de dispositivo no Microsoft Global Secure Access com a PSK especificada no CPE. Esse detalhe é adicionado na guia Segurança durante o processo Adicionar um link . Para obter mais informações, consulte Como gerenciar links de dispositivos de rede remotos.
Verificar endereços IP BGP locais e pares: O endereço IP público e BGP que você usa para configurar o CPE deve corresponder ao que você usa quando cria um link de dispositivo no Microsoft Global Secure Access.
- Consulte a lista de endereços BGP válida para valores reservados que não podem ser usados.
- Os endereços BGP locais e de mesmo nível são invertidos entre o CPE e o que é inserido no Acesso Seguro Global.
- CPE: Endereço IP BGP local = IP1, Endereço IP BGP de mesmo nível = IP2
- Acesso Seguro Global: Endereço IP BGP Local = IP2, Endereço IP BGP Peer = IP1
- Escolha um endereço IP para Acesso Seguro Global que não se sobreponha à sua rede local.
Verifique o ASN: o Global Secure Access usa BGP para anunciar rotas entre dois sistemas autônomos: sua rede e a da Microsoft. Estes sistemas autónomos devem ter diferentes números de sistema autónomo (ASN).
- Consulte a lista de valores ASN válidos para valores reservados que não podem ser usados.
- Ao criar uma rede remota no centro de administração do Microsoft Entra, use o ASN da rede.
- Ao configurar seu CPE, use o ASN da Microsoft. Vá para Redes Remotas de Dispositivos de Acesso>Seguro>Global. Selecione Links e confirme o valor na coluna Link ASN .
Verifique seu endereço IP público: em um ambiente de teste ou configuração de laboratório, o endereço IP público do seu CPE pode mudar inesperadamente. Esta alteração pode fazer com que a negociação IKE falhe, mesmo que tudo permaneça igual.
- Se você encontrar esse cenário, conclua as seguintes etapas:
- Atualize o endereço IP público no perfil de criptografia do seu CPE.
- Vá para Redes Remotas de Dispositivos de Acesso>Seguro>Global.
- Selecione a rede remota apropriada, exclua o túnel antigo e recrie um novo túnel com o endereço IP público atualizado.
- Se você encontrar esse cenário, conclua as seguintes etapas:
Verifique o endereço IP público da Microsoft: quando você exclui um link de dispositivo e/ou cria um novo, pode obter outro ponto de extremidade IP público desse link em Exibir configuração para essa rede remota. Essa alteração pode fazer com que a negociação IKE falhe. Se você encontrar esse cenário, atualize o endereço IP público no perfil de criptografia do seu CPE.
Verifique a configuração de conectividade BGP no seu CPE: suponha que você crie um link de dispositivo para uma rede remota. A Microsoft fornece o endereço IP público, digamos PIP1, e o endereço BGP, digamos BGP1, de seu gateway. Essas informações de conectividade estão disponíveis no
localConfigurations
blob jSON que você vê quando seleciona Exibir configuração para essa rede remota. No seu CPE, certifique-se de que tem uma rota estática destinada ao BGP1 enviada através da interface de túnel criada com o PIP1. A rota é necessária para que o CPE possa aprender as rotas BGP que publicamos no túnel IPsec que você criou com a Microsoft.Verifique as regras de firewall: permita as portas 500 e 4500 do protocolo UDP (User Datagram Protocol) e a porta 179 do protocolo TCP para conectividade de túnel IPsec e BGP no firewall.
Reencaminhamento de portas: Em algumas situações, o router Internet Service Provider (ISP) é também um dispositivo de conversão de endereços de rede (NAT). Um NAT converte os endereços IP privados de dispositivos domésticos em um dispositivo público roteável pela Internet.
- Geralmente, um dispositivo NAT altera o endereço IP e a porta. Esta mudança de porta é a raiz do problema.
- Para que os túneis IPsec funcionem, o Global Secure Access usa a porta 500. Esta porta é onde a negociação IKE acontece.
- Se o roteador do ISP alterar essa porta para outra coisa, o Global Secure Access não poderá identificar esse tráfego e a negociação falhará.
- Como resultado, a fase 1 da negociação IKE falha e o túnel não é estabelecido.
- Para corrigir essa falha, conclua o encaminhamento de porta no seu dispositivo, que diz ao roteador do ISP para não alterar a porta e encaminhá-la como está.
Próximos passos
A próxima etapa para começar a usar o Microsoft Entra Internet Access é direcionar o perfil de tráfego da Microsoft com a política de Acesso Condicional.
Para obter mais informações sobre redes remotas, consulte os seguintes artigos: