IBM Cloud Docs
Perguntas frequentes sobre servidores VPN cliente-para-site

Perguntas frequentes sobre servidores VPN cliente-para-site

É possível que você tenha essas perguntas mais frequentes ao usar o IBM Cloud® VPN for VPC.

O que um status de funcionamento de VPN indica?

As descrições de status são as seguintes:

  • Healthy- Indica que o servidor VPN está funcionando corretamente.
  • Degraded - Indica que o seu servidor VPN comprometeu o desempenho, a capacidade ou a conectividade.
  • Faulted - Indica que o seu servidor VPN está completamente inalcançável e inoperante.
  • Inapplicable - Indica que o estado de funcionamento não se aplica por causa do estado do ciclo de vida atual. Um recurso com um estado de ciclo de vida failed ou deleting terá um estado de funcionamento de inaplicável. Um recurso Pending também pode ter este estado.

Por que eu não posso salvar a senha no cliente VPN?

A senha gerada pelo IBM IAM é uma senha única baseada em tempo (TOTP), que não pode ser reutilizada. Deve-se gerá-la novamente a cada vez.

Se eu atualizar um servidor VPN com clientes VPN conectados, o que acontecerá com os clientes VPN?

Os clientes VPN serão desconectados juntamente com o servidor VPN. Todos os clientes VPN precisam se reconectar com o servidor VPN novamente. Ao utilizar a autenticação de ID e senha do usuário, é preciso recuperar a senha e iniciar a conexão por meio do seu cliente VPN.

Por que o cliente VPN é desconectado?

O administrador do servidor VPN pode especificar um tempo inativo do cliente VPN. Quando não há tráfego do cliente VPN durante a janela de tempo inativo, o servidor VPN desconecta o cliente automaticamente. Deve-se reiniciar a sessão de VPN do seu cliente VPN se ele estiver desconectado.

Se um servidor VPN com clientes VPN conectados for excluído, o que acontecerá com os clientes VPN?

Os clientes VPN serão desconectados juntamente com o servidor VPN.

O que acontece com um servidor VPN se eu tentar excluir a sub-rede na qual o servidor VPN está?

Não é possível excluir a sub-rede se algum servidor VPN está presente.

Como atualizar o grupo de segurança ao qual meu servidor VPN está conectado?

  1. No painel de navegação, clique em VPNs> Servidores cliente-a-site, e selecione o servidor VPN que deseja atualizar.
  2. Clique em Anexar grupos de segurança> Anexar e selecione o grupo de segurança que deseja anexar.

Posso criar rotas e utilizar os IPs privados do servidor VPN como próximo hop?

Não, não é possível criar rotas e utilizar os IPs privados. Os IPs privados não são estáticos e podem mudar a qualquer momento. O serviço VPN for VPC atualiza rotas na tabela de roteamento do VPC automaticamente. Se você criar uma tabela de roteamento VPC e quiser o serviço VPN for VPC para injetar rotas na nova tabela de roteamento, você tem que adicionar o servidor VPN na sinalização accept routes from. Você também deve remover o servidor VPN da sinalização accept routes from se você não quiser que o servidor VPN injete rotas na tabela de roteamento. Para obter mais informações, consulte Configurando a propagação de rotas para servidores VPN.

O que acontece com um servidor VPN se eu tentar excluir o grupo de segurança ao qual o servidor VPN está ligado?

Não será possível excluir um grupo de segurança se algum servidor VPN estiver presente.

Como faço para alternar uma VPN cliente-para-site do modo de túnel completo para o modo de túnel dividido?

Siga as etapas:

  1. No console IBM Cloud, clique no ícone do menu Navegação > ícone VPC de infraestrutura > Rede > VPNs.
  2. Clique em Client-to-site servers e clique no nome do servidor VPN que você deseja atualizar.
  3. Nos detalhes do servidor VPN, clique em Edit (Editar ) e selecione Split Tunnel (Túnel dividido ) no menu Tunnel mode (Modo de túnel).
  4. Digite os endereços IP específicos ou os intervalos de endereços das redes que você deseja acessar por meio da VPN.
  5. Clique em Salvar.

Por que devo escolher sub-redes durante o fornecimento de servidor VPN?

O servidor reside na sub-rede VPN que você escolher. Um servidor VPN precisa de dois endereços IP privados disponíveis em cada sub-rede para oferecer alta disponibilidade e manutenção automática. É melhor se você utilizar a sub-rede dedicada para o servidor VPN do tamanho 8, em que o comprimento do prefixo de sub-rede é mais curto ou igual a 29. Com sub-redes dedicadas, é possível customizar o grupo de segurança e a ACL para maior flexibilidade do servidor VPN.

O servidor VPN suporta configurações de alta disponibilidade?

Sim, ele suporta alta disponibilidade em uma configuração Ativa/Ativa. Deve-se escolher duas sub-redes se quiser implementar um servidor VPN de alta disponibilidade com dois domínios com falha. Você também pode atualizar o servidor VPN independente para o modo de alta disponibilidade, e fazer o downgrade do servidor VPN de alta disponibilidade para o modo independente.

Existe algum limite no rendimento para o servidor VPN?

Até 600 Mbps de taxa de transferência de agregação são suportados com um servidor VPN autônomo. Um máximo de 1200 Mbps de taxa de transferência de agregação é suportado com um servidor VPN de alta disponibilidade. Até 150 Mbps de rendimento para uma única conexão do cliente (aplicável para servidores VPN independentes e de alta disponibilidade).

É possível usar um servidor VPN para a infraestrutura clássica da IBM Cloud?

Sim, é possível usar um servidor VPN para a infraestrutura clássica da IBM Cloud. No entanto, também é preciso ativar o acesso clássico na VPC ou configurar o IBM Cloud Transit Gateway para conectar a VPC onde o servidor VPN reside.

Qual cliente VPN é suportado?

Consulte Software cliente suportado para obter detalhes.

Qual protocolo e porta podem ser usados para o servidor VPN?

É possível usar UDP ou TCP e qualquer número de porta para executar o servidor VPN. O UDP é recomendado porque proporciona melhor desempenho; a porta 443 é recomendada porque outras portas podem ser bloqueadas por provedores de serviços da Internet. Se você não puder se conectar ao servidor VPN do seu cliente VPN, poderá tentar o TCP/443 porque ele está aberto em quase todos os provedores de serviços da Internet.

Qual ação de rota devo usar?

A ação da rota VPN depende do destino da rota:

  • Se o destino da rota estiver na VPC ou em uma sub-rede privada no local conectada usando gateway de VPN, a ação da rota poderá ser deliver; caso contrário, ela será translate.
  • Se você deseja bloquear o tráfego do cliente, use a ação de rota drop para encaminhar o tráfego de rede indesejado para uma rota nula ou "buraco negro".
  • Quando a ação de rota for translate, o IP de origem será convertido para o IP privado do servidor VPN antes que ele seja enviado para fora do servidor VPN. Isso significa que o seu IP cliente VPN é invisível por meio dos dispositivos de destino.

Quais endereços IP do servidor DNS devem ser usados?

Os endereços IP do servidor DNS são opcionais quando você provisiona um servidor VPN. É necessário usar endereços IP 161.26.0.10 e 161.26.0.11 se quiser acessar terminais em serviço e terminais IaaS por meio do seu cliente. Consulte Terminais em serviço e Terminais IaaS para obter detalhes.

Use 161.26.0.7 e 161.26.0.8 se você precisar resolver nomes DNS privados de seu cliente. Consulte Sobre Serviços DNS para obter detalhes.

Como atualizar o certificado para o servidor VPN?

O servidor VPN não está ciente das atualizações feitas em um certificado em Secrets Manager. Deve-se reimportar o certificado com um CRN diferente e, em seguida, atualizar o servidor VPN com o novo certificado CRN.

Posso usar um hostname personalizado para o servidor VPN?

Sim, você pode. Você deve criar um registro DNS do CNAME e apontá-lo para o hostname do servidor VPN em seu provedor de DNS. Depois disso, edite o perfil do cliente, substituindo direto remote 445df6c234345.us-south.vpn-server.appdomain.cloud por remote your-customized-hostname.com.

445df6c234345.us-south.vpn-server.appdomain.cloud é um exemplo de hostname do servidor VPN.

Se você estiver usando IBM Cloud Internet Services como seu provedor de DNS, consulte Registro do tipo CNAME para obter informações sobre como adicionar um registro DNS CNAME.

Quais informações devo fornecer em um Caso de suporte IBM se precisar de ajuda?

Forneça o conteúdo a seguir em seu Caso de suporte IBM:

  1. Seu ID de servidor VPN.

  2. Seu cliente VPN e a versão do sistema operacional.

  3. Os logs do seu cliente VPN.

  4. O intervalo de tempo ao se deparar com o problema.

  5. Se a autenticação baseada em ID do usuário for usada, forneça o nome de usuário.

  6. Se a autenticação baseada em certificado for usada, forneça o nome comum do seu certificado de cliente.

    Para visualizar o nome comum do seu certificado de cliente, use o comando OpenSSL openssl x509 -noout -text -in your_client_certificate_file na seção subject.

Como atribuo a função VPN client usando tags de gerenciamento de acesso IAM na API?

Ao gerenciar o acesso do usuário usando tags de gerenciamento de acesso em um VPN cliente-a-site e ativar o modo UserId and Passcode para Client Authentication, deve-se anexar a função VPN Client com uma tag de acesso. Caso contrário, o cliente VPN não pode se conectar ao servidor VPN. Para obter mais informações, consulte Concetando aos usuários acesso à tag recursos habilitados pelo IAM usando a API e configure o role_id a crn:v1:bluemix:public:is::::serviceRole:VPNClient para conceder acesso.