Uma conexão de gateway de VPN Ponto a Site (P2S) permite que você crie uma conexão segura para sua rede virtual a partir de um computador cliente individual. Uma conexão P2S é estabelecida iniciando-a do computador cliente. Essa solução é útil para pessoas que trabalham remotamente que querem se conectar às VNets do Azure de um local remoto, como de casa ou de uma conferência. A VPN P2S também é uma solução útil para usar em vez de uma VPN S2S, quando você tiver apenas alguns clientes que precisam se conectar a uma rede virtual.
CENÁRIO
Vamos utilizar em nosso ambiente um virtual network gateway do tipo OpenVPN (SSL), a autenticação da VPN será por meio do azure active directory e terá Multi-Factor Authentication habilitado.
- Faça login no portal do Azure portal.azure.com
- Vamos criar um Resource group com o nome RG-VPN com o seguinte comando:
New-AzResourceGroup -name RG-VPN -Location eastus
Podemos observar na imagem abaixo a execução do comando:
3. O próximo passo será criar nossa Virtual network e Subnet.
# Criar virtual network
$virtualNetwork = New-AzVirtualNetwork `
-ResourceGroupName RG-VPN `
-Location EastUS `
-Name Vnet-VPN `
-AddressPrefix 10.0.0.0/16
# Adicionar uma subnet
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
-Name subnet-VPN `
-AddressPrefix 10.0.0.0/24 `
-VirtualNetwork $virtualNetwork
# Associar a subnet à virtual network
$virtualNetwork | Set-AzVirtualNetwork
Explicação do comando:
Substitua os seguintes campos de acordo com a necessidade da sua empresa.
ResourceGroupName RG-VPN – Nome do grupo de recursos onde a rede virtual será criada
Name Vnet-VPN – Nome da rede virtual
AddressPrefix 10.0.0.0/16 – Range de IPs da rede
Name subnet-VPN – Range de IPs da sub-rede
AddressPrefix 10.0.0.0/24 – range de IPs da sub-rede
Podemos observar na imagem abaixo que nossa Vnet e subnet foram criadas:
4. O próximo passo será criar o Gateway subnet, clique em Subnets e +Gateway subnet.
Lembrando que a recomendação da Microsoft é que o Gateway subnet tenha a mascara de sub-rede /27
5. Em nosso exemplo vamos utilizar o seguinte range 10.0.1.0/27.
6. Observe que nosso Gateway Subnet foi criado.
7. O próximo passo será criar o virtual network gateway
Pesquise por Virtual network gateways.
8. Na guia Virtual network gateways clique em Create virtual network gateways.
9. Assim que clicar em “create” será apresentada a tela de configuração, onde deverá ser preenchidos os campos, conforme imagem abaixo:
Obs: Para utilizar a vpn point-to-site com autenticação do Azure active directory o sku do virtual network gateway não pode ser do tipo basic.
No campo Virtual network, vamos selecionar a rede criada anteriormente, automaticamente ele já vai definir o GatewaySubet atribuído a essa virtual network.
Também é necessário que seu gateway tenha um ip público, que podemos criar nessa mesma tela.
10. Agora clique em Review + create para inciar a criação do recurso.
11. Na tela Review + create podemos ver um resumo de tudo que será criado, analise se está tudo certo e clique em create.
11. Podemos observar na imagem abaixo que nosso recurso está sendo criado
Obs. O tempo para provisionar essa vpn varia de 20 a 40 minutos
O próximo passo será criar o usuário e grupo que terá acesso a VPN point-to-site
12. Para criar o usuário e grupo que terá acesso a VPN clique em Azure Active Directory.
13. Clique em Users e +New user.
14. Na tela New user preencha as informações conforme a imagem.
15. Observe que nosso usuário foi criado.
Agora vamos criar o grupo VPN Users e adicionar o usuário analista1
16. Clique em Grupos
17. Na tela Groups clique em +New group.
18. Preencha as informações conforme a imagem.
20. Vamos adicionar o usuário analista1 ao grupo, clique no grupo VPN Users
21. Clique em Members e +Add members
22. Pesquise pelo usuário analista1 e clique em Select
23. Observe que nosso usuário foi adicionado ao grupo VPN Users
O próximo passo é habilitar a autenticação do Azure AD no gateway VPN
24. Localize o Tenant ID que você deseja usar para autenticação. Ele está listado na seção de properties da página do Azure Active Directory.
25. Copie o Tenant ID
26. Entre no portal do Azure como um usuário atribuído à função de Global administrator
27. Em seguida, dê o consentimento do administrador global, quando solicitado a permissão de utilizar o Azure VPN para organização clique em Aceitar. Copie e cole o URL na barra de endereços do seu navegador.
Todos os usuários que iram acessar a VPN devem ter a permissão de Global Administrator atribuida.
Observação: Todos os usuários que forem utilizar a VPN point-to-site deveram acessa o link a cima para liberar o acesso ao Azure VPN.
27. Selecione a conta Global Admin
28. Selecione Accept quando solicitado.
29. No seu Azure Active Directory em Enterprise applications, você vê a VPN do Azure listada.
Agora vamos habilitar a autenticação do Azure AD no gateway VPN
30. Selecione o nosso virtual network gateway (VPN-WG)
31. Clique em User VPN configuration e clique em configure now.
32. Escolhe o pool de endereço IP para VPN, selecione o tipo de túnel OpenVPN (SSL) . Selecione Azure Active Directory como o tipo de Autenticação e preencha as informações na seção Azure Active Directory, após preencher todas as informações clique em save.
Tenant:
https://login.microsoftonline.com/coloque seu Tenant ID aqui
Audience:
41b23e61-6c1e-4545-b367-cd054e0ed4b4
Issuer:
https://sts.windows.net/coloque seu Tenant ID/
Observação: O valor Audience é padrão
Observação:
Certifique-se de incluir uma barra final no final do Issuer. Caso contrário, a conexão poderá falhar.
33. Baixe o perfil clicando no link Download VPN client
35. Extraia o arquivo zip baixado
36. Navegue até a pasta “AzureVPN” descompactada.
37. Anote o local do arquivo “azurevpnconfig.xml”. O azurevpnconfig.xml contém a configuração da conexão VPN e pode ser importado diretamente para o aplicativo Cliente VPN do Azure. Você também pode distribuir esse arquivo para todos os usuários que precisam se conectar via e-mail ou outros meios. O usuário precisará de credenciais válidas do Azure AD para se conectar com sucesso.
Agora vamos fazer o download do Cliente VPN do Azure
38. Acesse o seguinte link para baixar o Cliente VPN do Azure.
https://www.microsoft.com/en-us/p/azure-vpn-client/9np355qt2sqb?activetab=pivot:overviewtab
39. Baixe e instale o Cliente VPN do Azure.
Agora vamos habilitar o Multi-Factor Authentication
40. Navegue até Azure Active Directory -> Enterprise applications
40. Selecione Azure VPN
41. Clique em Properties e marque yes para as opções Enabled for users to sign-in e User assignment required.
42. Clique em Users, selecione o usuário analista1 e clique em Multi-Factor-Authentication.
43. Na página multi-factor authentication, selecione os usuários para os quais você deseja habilitar o MFA e clique Enable.
O próximo passo será configurar a Conditional Access
44. Clique em Azure active directory –> Enterprise Applications.
45. Na tela Enterprise applications clique em Conditional Access.
46. Na Conditional Access clique em +New policy
47. Preencha as informações da imagem abaixo de acordo com as configurações que foram realizadas em seu ambiente.
Habilite a policy e clique em create.
48. Observe que nossa politica foi criada.
O próximo passo será configurar o software Cliente VPN do Azure
48. Execute o software Cliente VPN do Azure
49. Clique em Import e selecione o arquivo de configuração azurevpnconfig.xml
50. Após importar o arquivo de configuração da VPN clique em Salvar.
51. Agora a configuração está completa como podemos observar na imagem abaixo
52. Para conectar na VPN selecione o tipo de conta corporativa ou de estudante e clique em concluir.
53. Selecione o usuário o usuário para conectar na VPN.
54. Após fornecer o usuário e senha será informado que temos mais uma etapa de verificação para ser realizada.
55. A tela de verificação de segurança adicional sera aberta, para nosso cenário vamos utilizar a autenticação por Aplicativo móvel, marque Receber notificações para verificação e clique em configurar.
55. Baixe o aplicativo na play store Microsoft Authenticator, scanei o QR código e clique em Configurar.
55. Escanei o QR Code com o aplicativo Microsoft Authenticator, sua conta de usuário será adicionada ao aplicativo .
56. Na Etapa 3: Forneça o número do seu telefone para caso você perca o acesso a aplicativo móvel você possa autenticar com código de verificação enviado via sms.
57. A configuração foi realizada clique em concluir.
56. Agora todas as vezes que o usuário for acessar a VPN será solicitada a confirmação no celular.
57. Após realizar o primeiro acesso observe que nossas configuração foram finalizadas.
58. Nossa VPN está configurada, podemos observar na imagem abaixo que já estamos conectados.
Espero que este conteúdo tenha contribuído com o enriquecimento do conhecimento de vocês em Azure
Tem alguma sugestão ou observação, comente.
Forte abraço, obrigado e até o próximo post. 🙂
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud Computing, com foco em Microsoft Azure.
Fui nomeado Microsoft MVP na categoria Microsoft Azure.
Faço parte da Ong MTAC, sou MCT Microsoft, tenho algumas certificações como AZ-303 Microsoft Azure Architect Technologies, AZ-104 Azure Administrator, MCSE Core Infrastructure e MCSA Windows Server 2012.
Também participo como palestrante em eventos online da comunidade de TI, sou administrador e escritor no blog https://jadsonalves.com.br cujo principal objetivo é compartilhar conhecimento com a comunidade de TI e também escrevo artigos técnicos no portal https://cooperati.com.br