Neste post passo a passo, vamos criar uma VPN point-to-site do Azure com autenticação do Azure AD e MFA.
Você precisará também autorizar a utilização de VPN pelo locatário, então antes de começar este artigo, recomendo fortemente ler estes outros dois documentos antes. Vai ajuda-lo no processo.
DOC2 - https://docs.microsoft.com/pt-br/azure/vpn-gateway/openvpn-azure-ad-tenant
1. O primeiro passo é efetuar logon em seu portal do Microsoft Azure. Depois, identifique os grupos de recursos e clique em + Criar. Preencha então os dados relacionados a assinatura, o nome do grupo de recursos e o detalhamento do recurso (região), conforme demonstrado pela figura abaixo. Ao término, clique em Revisar + Criar. Se tudo der certo, clique em Criar e aguarde até que o recurso fique disponível.
2. Vamos criar uma VNET (rede virtual) para nossa estrutura. Para meu laboratório utilizo o Centro Sul dos EUA. Localize o recurso de Rede Virtual e clique em criar, conforme demonstrado pela figura abaixo.
3. Preencha as etapas abaixo e quando terminar clique em Avançar.
a. Assinatura: Eu utilizei a minha MSDN mas você pode encontrar aqui outros tipos de assinatura.
b. Grupo de recursos: Eu coloquei aqui o rg-vpn-azure-point-to-site que criamos anteriormente, mas você pode usar o grupo de recursos que preferir (só fique atento a região).
c. Nome: Chamei minha VNET de vnet-estrutura-01
d. Região: Coloquei como (US) Centro-Sul dos EUA
4. Em endereços IP podemos customizar a sub-rede ou utilizar uma fornecida automaticamente pelo Microsoft Azure. Eu farei uso de uma que já existe (para facilitar o laboratório). Será uma rede /16 com sub-rede /24. Quando terminar a configuração clique em Avançar.
5. Em segurança manteremos com o mínimo necessário para que o laboratório funcione, porém, é muito importante testar todos os cenários antes de colocar esse modelo de conexão em produção. Primar pela segurança é extremamente importante. Depois de preencher os dados conforme a figura abaixo, clique em avançar.
6. Adicione as tags (marcas) que achar importante ou interessante e depois clique em Avançar.
7. Revise as configurações e então clique em Criar.
8. Agora aguarde até que o recurso seja criado. Vamos precisar desse recurso para criar nosso gateway de rede virtual.
9. Feito isso, vamos para o próximo passo, que é criar um Gateway de rede virtual. Você pode buscar pelo nome do recurso na barra superior de pesquisa. Ao localizar o item, clique em Criar para iniciar o preenchimento das configurações.
10. Esta tela tem diversas informações então vamos configura-la por etapas.
a. Assinaturas: Adicione sua assinatura
b. Nome: De um nome a seu Gateway, eu utilizei gw-lab-popovici-01
c. Região: Coloque na mesma região em que sua VNET foi criada ou não conseguirá selecionar a rede virtual
d. Tipo de gateway: VPN
e. Tipo de VPN: Baseado em rota
f. SKU: Como estamos em um laboratório, a VpnGw1 me atende muito bem (mais barata)
Veja os preços e detalhes aqui: https://docs.microsoft.com/en-us/azure/vpn-gateway/point-to-site-about
g. Rede virtual: Selecione a VNET que criamos anteriormente
11. Continue preenchendo as informações:
a. Intervalo de sub-rede: Mantive o padrão 10.0.1.0/24
b. Endereço IP público: Criar novo
c. Nome do endereço IP público: Adicione um nome que faça referência com a configuração, eu utilizei o nome ip-vpn-lab-popovici-01
Assim que preencher todas as etapas clique em avançar.
12. Preencha as etiquetas como achar melhor e então clique em avançar.
13. Revise as informações e clique em Criar.
14. Agora aguarde a implantação ser finalizada. Esta etapa pode levar um certo tempo para ser finalizada. Em meu laboratório o tempo máximo foi de 15 minutos.
15. Se tudo deu certo teremos um grupo de recurso com 03 recursos sendo um gateway de rede virtual, um endereço IP público e uma VNET (rede virtual), conforme demonstrado pela figura abaixo.
16. Clique no Gateway (gw-lab-popovici-01) e depois em Configuração de ponto a site. Clique em configurar agora para iniciar a configuração.
17. Agora você precisará preencher informações importantes que podem ser mais difíceis de encontrar. Você precisará preencher:
a. Pool de endereços: Eu coloquei 172.16.41.0/24 (você precisa validar algo funcional dentro de sua estrutura atual)
b. Tipo de túnel: Eu escolhi o OpenVPN (SSL), mas existem inúmeros outros
c. Tipo de autenticação: Utilizei Azure Active Directory
d. Locatário: Baseado em sua assinatura
e. Publico-alvo: Adicione seu público alvo.
f. Emissor: O endereço do emissor
Completando o preenchimento dos dados salve sua configuração e baixe o client VPN. Com ele você já pode utilizar a conexão tranquilamente.
Estes links aqui podem ajuda-lo com mais detalhes de configuração:
- https://www.youtube.com/watch?v=Ur0WNjnXJrU
- https://www.youtube.com/watch?v=Yshpo6V1qUQ
- https://www.youtube.com/watch?v=WMZOJ7lE-D4
- https://www.youtube.com/watch?v=VPtRMTbGT0c