Oi pessoal,
Trabalho para uma empresa que não investiu muito em “home office” ou qualquer coisa relacionada a VPN. Temos um servidor OpenVPN com 13 licenças. Com a crise do Corona, isso é pouco, e a solução alternativa que tentei implementar não funciona devido às licenças com o firewall. Acontece que a Sonicwall refere-se a túneis IPSec quando fala de VPN. Ops.
Pensei em uma solução diferente (como um firewall pfsense, mas apenas como um serviço VPN). Então lembrei que a Azure tem uma porta VPN. Meu plano é que os clientes se conectem à porta VPN da Azure e que nosso site tenha um túnel IPSec para ela. Isso funcionaria? Precisaria de uma máquina que roteasse o tráfego?
Agradeceria algum comentário, pois algumas cidades no meu estado começaram a ficar em lockdown, e meu tempo está acabando. Obrigado desde já 
O que você está tentando fazer? Está tentando fazer com que clientes remotos usando laptops se conectem a uma VNET? Caso positivo, isso é fácil de fazer. Qual é o seu caso de uso que você quer resolver? Posso te enviar templates Terraform que configuram isso.
Por que você não pode apenas comprar mais licenças do Sonicwall VPN? Você pode comprá-las online na Sonicwall e recebê-las em minutos.
Desisti do OpenVPN e optei pelo WireGuard rodando em um droplet na DigitalOcean. Está rodando quase um ano sem problemas.. Para nossa rede PROD, usamos uma Fortigate virtual com mais de 400 usuários atualmente para VPN SSL. Funciona muito bem, bom filtro, gerenciamento relativamente fácil. A única coisa sobre a FG é que o failover deles é meio capenga. Tentei há dois anos e acabei implementando duas appliances VPN com suas próprias configurações e IPs. Manter tudo sincronizado é complicado. Talvez eu devesse revisitar isso
Sobre o Corona. Implantamos a FG em alguns dias. A “atualização” de 150 para 400 usuários levou um dia. Eles têm várias formas de gerenciar a licença. A mais rápida é Marketplace PAYG, mas a mais barata é BYO. Você precisa de um servidor RADIUS para integrar ao AD ou fazer as contas manualmente (não recomendado para mais de 20). A instalação na Azure é bem tranquila.
Azure VNG é para links site-to-site, não para clientes de acesso remoto.
Que recursos você está dando acesso via OpenVPN agora, onsite ou Azure? Estou tendo dificuldade em entender o que uma VPN de acesso remoto “para a Azure” forneceria aos seus usuários.
Fico feliz em ajudar a discutir ideias e encontrar uma solução. Edit: lendo novamente, percebi que você tem o S2S para onsite. Existem muitas formas de colocar uma VPN de acesso remoto na Azure; pode ou não ser eficiente o suficiente para trafegar via Azure até onsite. Poderia implantar uma máquina virtual onsite e cortar o tráfego de/para a Azure?
Aqui está o que o usuário deveria fazer:
- conectar à VPN de casa
- se conectar via RDP ao PC no escritório
- trabalhar normalmente
O dispositivo é antigo e está fora de manutenção, pois na verdade queríamos atualizar todo o nosso data center, com novos firewalls e tudo mais. Comprar licenças agora não é “valer a pena” (estou procurando a palavra certa para isso, desculpe).
Vejo que o Wireguard é realmente gratuito? Estou confuso, não vejo preços para o software em si.
Gateways VPN do Azure suportam client VPN via configuração ponto a site. No entanto, o OP precisará revisar a documentação para verificar se sua configuração permitiria roteamento para onsite: https://docs.microsoft.com/pt-br/azure/vpn-gateway/vpn-gateway-about-point-to-site-routing
Bem, sim, poderia montar uma VM onsite, e como disse, considerei configurar pfSense para VPN.
E o desempenho não é essencial, pois isso é apenas uma solução temporária pela crise do Corona. O plano é que as pessoas de casa se conectem ao PC do escritório via RDP através da conexão VPN, para que as transmissões ao banco de dados não sobrecarreguem tanto a conexão.
As licenças de VPN podem ser transferidas entre unidades, então se você substituir seu SW por outro, basta migrá-las.