Uma conexão de gateway de VPN Ponto a Site (P2S) permite que você crie uma conexão segura para sua rede virtual a partir de um computador cliente individual. Uma conexão P2S é estabelecida iniciando-a do computador cliente. Essa solução é útil para pessoas que trabalham remotamente que querem se conectar às VNets do Azure de um local remoto, como de casa ou de uma conferência. A VPN P2S também é uma solução útil para usar em vez de uma VPN S2S, quando você tiver apenas alguns clientes que precisam se conectar a uma rede virtual.
CENÁRIO
Vamos utilizar em nosso ambiente um virtual network gateway do tipo OpenVPN (SSL), a autenticação da VPN será por meio do azure active directory e terá Multi-Factor Authentication habilitado.
- Faça login no portal do Azure portal.azure.com
- Vamos criar um Resource group com o nome RG-VPN com o seguinte comando:
New-AzResourceGroup -name RG-VPN -Location eastus
Podemos observar na imagem abaixo a execução do comando:
3. O próximo passo será criar nossa Virtual network e Subnet.
# Criar virtual network
$virtualNetwork = New-AzVirtualNetwork `
-ResourceGroupName RG-VPN `
-Location EastUS `
-Name Vnet-VPN `
-AddressPrefix 10.0.0.0/16
# Adicionar uma subnet
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
-Name subnet-VPN `
-AddressPrefix 10.0.0.0/24 `
-VirtualNetwork $virtualNetwork
# Associar a subnet à virtual network
$virtualNetwork | Set-AzVirtualNetwork
Explicação do comando:
Substitua os seguintes campos de acordo com a necessidade da sua empresa.
ResourceGroupName RG-VPN – Nome do grupo de recursos onde a rede virtual será criada
Name Vnet-VPN – Nome da rede virtual
AddressPrefix 10.0.0.0/16 – Range de IPs da rede
Name subnet-VPN – Range de IPs da sub-rede
AddressPrefix 10.0.0.0/24 – range de IPs da sub-rede
Podemos observar na imagem abaixo que nossa Vnet e subnet foram criadas:
4. O próximo passo será criar o Gateway subnet, clique em Subnets e +Gateway subnet.
Lembrando que a recomendação da Microsoft é que o Gateway subnet tenha a mascara de sub-rede /27
5. Em nosso exemplo vamos utilizar o seguinte range 10.0.1.0/27.
6. Observe que nosso Gateway Subnet foi criado.
7. O próximo passo será criar o virtual network gateway
Pesquise por Virtual network gateways.
8. Na guia Virtual network gateways clique em Create virtual network gateways.
9. Assim que clicar em “create” será apresentada a tela de configuração, onde deverá ser preenchidos os campos, conforme imagem abaixo:
Obs: Para utilizar a vpn point-to-site com autenticação do Azure active directory o sku do virtual network gateway não pode ser do tipo basic.
No campo Virtual network, vamos selecionar a rede criada anteriormente, automaticamente ele já vai definir o GatewaySubet atribuído a essa virtual network.
Também é necessário que seu gateway tenha um ip público, que podemos criar nessa mesma tela.
10. Agora clique em Review + create para inciar a criação do recurso.
11. Na tela Review + create podemos ver um resumo de tudo que será criado, analise se está tudo certo e clique em create.
11. Podemos observar na imagem abaixo que nosso recurso está sendo criado
Obs. O tempo para provisionar essa vpn varia de 20 a 40 minutos
O próximo passo será criar o usuário e grupo que terá acesso a VPN point-to-site
12. Para criar o usuário e grupo que terá acesso a VPN clique em Azure Active Directory.
13. Clique em Users e +New user.
14. Na tela New user preencha as informações conforme a imagem.
15. Observe que nosso usuário foi criado.
Agora vamos criar o grupo VPN Users e adicionar o usuário analista1
16. Clique em Grupos
17. Na tela Groups clique em +New group.
18. Preencha as informações conforme a imagem.
20. Vamos adicionar o usuário analista1 ao grupo, clique no grupo VPN Users
21. Clique em Members e +Add members
22. Pesquise pelo usuário analista1 e clique em Select
23. Observe que nosso usuário foi adicionado ao grupo VPN Users
O próximo passo é habilitar a autenticação do Azure AD no gateway VPN
24. Localize o Tenant ID que você deseja usar para autenticação. Ele está listado na seção de properties da página do Azure Active Directory.
25. Copie o Tenant ID
26. Entre no portal do Azure como um usuário atribuído à função de Global administrator
27. Em seguida, dê o consentimento do administrador global, quando solicitado a permissão de utilizar o Azure VPN para organização clique em Aceitar. Copie e cole o URL na barra de endereços do seu navegador.
Todos os usuários que iram acessar a VPN devem ter a permissão de Global Administrator atribuida.
Observação: Todos os usuários que forem utilizar a VPN point-to-site deveram acessa o link a cima para liberar o acesso ao Azure VPN.
27. Selecione a conta Global Admin
28. Selecione Accept quando solicitado.
29. No seu Azure Active Directory em Enterprise applications, você vê a VPN do Azure listada.
Agora vamos habilitar a autenticação do Azure AD no gateway VPN
30. Selecione o nosso virtual network gateway (VPN-WG)
31. Clique em User VPN configuration e clique em configure now.
32. Escolhe o pool de endereço IP para VPN, selecione o tipo de túnel OpenVPN (SSL) . Selecione Azure Active Directory como o tipo de Autenticação e preencha as informações na seção Azure Active Directory, após preencher todas as informações clique em save.
Tenant:
https://login.microsoftonline.com/coloque seu Tenant ID aqui
Audience:
41b23e61-6c1e-4545-b367-cd054e0ed4b4
Issuer:
https://sts.windows.net/coloque seu Tenant ID/
Observação: O valor Audience é padrão
Observação:
Certifique-se de incluir uma barra final no final do Issuer. Caso contrário, a conexão poderá falhar.
33. Baixe o perfil clicando no link Download VPN client
35. Extraia o arquivo zip baixado
36. Navegue até a pasta “AzureVPN” descompactada.
37. Anote o local do arquivo “azurevpnconfig.xml”. O azurevpnconfig.xml contém a configuração da conexão VPN e pode ser importado diretamente para o aplicativo Cliente VPN do Azure. Você também pode distribuir esse arquivo para todos os usuários que precisam se conectar via e-mail ou outros meios. O usuário precisará de credenciais válidas do Azure AD para se conectar com sucesso.
Agora vamos fazer o download do Cliente VPN do Azure
38. Acesse o seguinte link para baixar o Cliente VPN do Azure.
https://www.microsoft.com/en-us/p/azure-vpn-client/9np355qt2sqb?activetab=pivot:overviewtab
39. Baixe e instale o Cliente VPN do Azure.
Agora vamos habilitar o Multi-Factor Authentication
40. Navegue até Azure Active Directory -> Enterprise applications
40. Selecione Azure VPN
41. Clique em Properties e marque yes para as opções Enabled for users to sign-in e User assignment required.
42. Clique em Users, selecione o usuário analista1 e clique em Multi-Factor-Authentication.
43. Na página multi-factor authentication, selecione os usuários para os quais você deseja habilitar o MFA e clique Enable.
O próximo passo será configurar a Conditional Access
44. Clique em Azure active directory –> Enterprise Applications.
45. Na tela Enterprise applications clique em Conditional Access.
46. Na Conditional Access clique em +New policy
47. Preencha as informações da imagem abaixo de acordo com as configurações que foram realizadas em seu ambiente.
Habilite a policy e clique em create.
48. Observe que nossa politica foi criada.
O próximo passo será configurar o software Cliente VPN do Azure
48. Execute o software Cliente VPN do Azure
49. Clique em Import e selecione o arquivo de configuração azurevpnconfig.xml
50. Após importar o arquivo de configuração da VPN clique em Salvar.
51. Agora a configuração está completa como podemos observar na imagem abaixo
52. Para conectar na VPN selecione o tipo de conta corporativa ou de estudante e clique em concluir.
53. Selecione o usuário o usuário para conectar na VPN.
54. Após fornecer o usuário e senha será informado que temos mais uma etapa de verificação para ser realizada.
55. A tela de verificação de segurança adicional sera aberta, para nosso cenário vamos utilizar a autenticação por Aplicativo móvel, marque Receber notificações para verificação e clique em configurar.
55. Baixe o aplicativo na play store Microsoft Authenticator, scanei o QR código e clique em Configurar.
55. Escanei o QR Code com o aplicativo Microsoft Authenticator, sua conta de usuário será adicionada ao aplicativo .
56. Na Etapa 3: Forneça o número do seu telefone para caso você perca o acesso a aplicativo móvel você possa autenticar com código de verificação enviado via sms.
57. A configuração foi realizada clique em concluir.
56. Agora todas as vezes que o usuário for acessar a VPN será solicitada a confirmação no celular.
57. Após realizar o primeiro acesso observe que nossas configuração foram finalizadas.
58. Nossa VPN está configurada, podemos observar na imagem abaixo que já estamos conectados.
Espero que este conteúdo tenha contribuído com o enriquecimento do conhecimento de vocês em Azure
Tem alguma sugestão ou observação, comente.
Forte abraço, obrigado e até o próximo post. 🙂
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud
Computing e Cloud Security.
Forte atuação em projetos de Cloud Security no Microsoft Azure e com tecnologias de
segurança do Microsoft 365.
Tenho Experiência em Microsoft Azure, Microsoft 365, AWS e Windows Server.
Sou Microsoft MVP na categoria Microsoft Azure, AWS Communit Builder Security & Identity e
MCT.