Oi pessoal,
temos um Azure VPN Gateway usado tanto para S2S quanto para P2S (este locatário na nuvem foi criado durante uma emergência, e estou trabalhando em um novo acesso remoto usando ZTNA nos próximos meses). Meu maior problema é que todas as rotas usadas na VPN S2S (incluindo algumas coisas que estão na premissa) são enviadas pelo VPN P2S, e obviamente isso interrompe a conexão quando o VPN está ativo.
Existe alguma forma de evitar que essa rota seja enviada ao cliente? Já tentei (mas não foi viável porque precisa editar e redeployar a configuração XML) usar rota de exclusão, mas não funcionou.
Qualquer sugestão será muito bem-vinda.
Obrigado!
Resposta do ChatGPT:
Sim, você pode impedir que rotas Site-to-Site (S2S) sejam enviadas aos clientes Point-to-Site (P2S) no Azure VPN Gateway. Aqui estão algumas abordagens para isso:
- Usar Configuração de Rota Personalizada no Perfil P2S
Por padrão, o Azure VPN Gateway envia todas as rotas da rede virtual (VNet) e VPNs S2S conectadas para os clientes P2S. Para modificar esse comportamento, você precisa personalizar a configuração P2S:
• Defina um pool de endereços específico para os clientes P2S que não se sobreponha à rede local.
• Use rotas personalizadas na configuração XML (para clientes OpenVPN e SSTP).
Se você estiver usando OpenVPN ou SSTP, a configuração XML permite personalizar rotas, mas como você mencionou, isso requer redeployar o XML.
- Modificar a Configuração da VNet
Outra maneira de impedir que rotas S2S cheguem aos clientes P2S é controlar as rotas propagadas ao nível da rede virtual:
• Se seu VPN Gateway estiver configurado com BGP, você pode modificar as rotas anunciadas.
• Para VPNs baseadas em rotas estáticas, você pode controlar quais sub-redes estão incluídas na configuração P2S.
- Configurar uma Tabela de Rotas (UDR) na GatewaySubnet
Você pode manipular a propagação de rotas usando uma Rota Personalizada de Usuário (UDR):
1. Criar uma tabela de rotas e associá-la à GatewaySubnet.
2. Adicionar uma rota para a rede local com um próximo salto do tipo “Nenhum”.
• Isso impede que o Azure VPN Gateway envie essas rotas para os clientes P2S.
- Habilitar Túnel Dividido para Clientes P2S
Se seus clientes P2S não precisarem de acesso aos recursos locais, você pode configurar o túnel dividido:
• Clientes Windows: Use Set-VpnConnection com -SplitTunneling $True
• Configuração Azure: Modifique a tabela de rotas P2S para limitar os prefixos anunciados.
Melhor solução para você
Como editar e redeployar o XML não é viável, a melhor abordagem é usar uma Tabela de Rotas (UDR) na GatewaySubnet para bloquear rotas S2S de serem propagadas aos clientes P2S. Este método não requer modificações no lado do cliente.