Pular para o conteúdo principal

Laboratório Técnico: Implement a VPN Client Configuration File

Questões

Questão 1 — Múltipla Escolha

Ao baixar um arquivo de configuração de cliente VPN de um gateway do Azure, um administrador percebe que, após qualquer alteração nas propriedades do gateway (como a regeneração de certificados raiz), os clientes existentes param de se conectar.

Qual é a ação correta que os clientes devem realizar para restaurar a conectividade?

A) Reinstalar o sistema operacional e reconfigura o adaptador de rede virtual.

B) Revogar o certificado de cliente atual e solicitar um novo ao administrador.

C) Baixar e reinstalar o pacote de configuração de cliente VPN gerado após a alteração.

D) Alterar manualmente o endereço IP do gateway no arquivo de configuração existente.

Questão 2 — Cenário Técnico

Um engenheiro configura um gateway VPN ponto a site (P2S) no Azure com o tipo de túnel IKEv2 e OpenVPN. Ao gerar o arquivo de configuração do cliente e distribuí-lo para usuários com Windows 10, alguns relatam que o cliente VPN nativo do Windows não aparece como opção utilizável, enquanto usuários de macOS conseguem conectar normalmente.

Qual é a causa mais provável desse comportamento?

A) O gateway foi configurado com SKU Basic, que não suporta IKEv2 em clientes Windows.

B) O arquivo de configuração gerado para Windows exige que o cliente Azure VPN seja instalado separadamente para suportar OpenVPN, e os usuários não o instalaram.

C) O certificado raiz não foi carregado corretamente no gateway, impedindo autenticação apenas em Windows.

D) O tipo de túnel IKEv2 não é compatível com Windows 10 e requer atualização para Windows 11.

Questão 3 — Múltipla Escolha

Um gateway VPN ponto a site está configurado para usar autenticação por certificado com o pool de endereços 172.16.0.0/24. Um novo desenvolvedor recebe o pacote de configuração de cliente VPN e instala o certificado de cliente corretamente, mas ao tentar conectar recebe o erro de autenticação.

O administrador verifica que o certificado raiz está carregado no gateway. Qual verificação adicional é mais provável de resolver o problema?

A) Confirmar que o pool de endereços do cliente não sobrepõe a rede local do desenvolvedor.

B) Verificar se o certificado de cliente instalado foi gerado a partir do mesmo certificado raiz carregado no gateway.

C) Regenerar o arquivo de configuração do cliente e redistribuí-lo ao desenvolvedor.

D) Aumentar o SKU do gateway para suportar mais conexões simultâneas.

Questão 4 — Cenário Técnico

Considere o seguinte trecho de um arquivo de configuração de cliente VPN gerado pelo Azure para OpenVPN:

<VpnProfile>
  <GatewayIpAddress>20.50.100.200</GatewayIpAddress>
  <VpnType>RouteBased</VpnType>
  <TunnelType>OpenVPN</TunnelType>
  <ClientRootCertName>RootCert2023</ClientRootCertName>
  <ClientCertificate>...</ClientCertificate>
</VpnProfile>

Após uma manutenção, o gateway recebeu um novo IP público. O administrador atualiza manualmente o campo GatewayIpAddress no arquivo e redistribui para os clientes. Os clientes ainda falham na conexão.

Qual é o motivo mais provável para a falha persistir?

A) O campo VpnType foi invalidado pela troca de IP e precisa ser redefinido no portal.

B) Arquivos de configuração de cliente VPN do Azure não podem ser editados manualmente; qualquer alteração os invalida por checksum interno.

C) O arquivo de configuração contém referências adicionais ao IP antigo em seções de perfil e certificado que não foram atualizadas, e a abordagem correta é baixar um novo pacote do portal.

D) O tipo de túnel OpenVPN não suporta atualização de endpoint sem que o cliente seja desinstalado e reinstalado completamente.

Questão 5 — Verdadeiro ou Falso

Afirmação: Em uma configuração de gateway VPN ponto a site com autenticação por Microsoft Entra ID, o arquivo de configuração de cliente VPN gerado pelo Azure inclui o ID do tenant e o ID do aplicativo do servidor VPN registrado no Entra ID, e esses valores são incorporados diretamente no perfil XML para que o cliente Azure VPN possa autenticar o usuário via fluxo OAuth 2.0.

A afirmação é verdadeira ou falsa?

Gabarito e Explicações

Gabarito — Questão 1

Resposta: C

Quando qualquer propriedade relevante do gateway VPN é alterada, como regeneração de certificados raiz, atualização de SKU ou mudança no pool de endereços, o pacote de configuração de cliente gerado anteriormente torna-se desatualizado. O arquivo de configuração carrega metadados do gateway no momento da geração, incluindo referências a certificados e endpoints. A única forma correta de restaurar a conectividade é baixar o novo pacote gerado após a alteração e reinstalá-lo nos clientes afetados.

A revogação de certificado de cliente (alternativa B) resolve problemas de segurança ou de certificado comprometido, mas não endereça metadados desatualizados do gateway. Editar manualmente o arquivo (alternativa D) é inadequado porque o arquivo contém múltiplas referências interdependentes que não podem ser corrigidas de forma confiável com edição pontual.

Gabarito — Questão 2

Resposta: B

O cliente VPN nativo do Windows suporta IKEv2 nativamente, mas não suporta OpenVPN sem um cliente adicional. Quando um gateway é configurado com ambos os tipos de túnel, o arquivo de configuração gerado contém perfis distintos para cada protocolo. Para usar OpenVPN no Windows, o usuário deve instalar o cliente Azure VPN (ou o cliente OpenVPN oficial). O macOS conecta via IKEv2 de forma nativa, o que explica o comportamento assimétrico.

A alternativa A é um equívoco comum: o SKU Basic de fato não suporta IKEv2 nem OpenVPN para P2S, mas o cenário descreve conectividade parcial funcionando, o que já descarta esse SKU como causa. A alternativa D é incorreta: IKEv2 é suportado nativamente no Windows 10.

Gabarito — Questão 3

Resposta: B

Em autenticação por certificado P2S, o Azure valida que o certificado de cliente apresentado foi emitido a partir do certificado raiz carregado no gateway. Se o desenvolvedor recebeu um certificado de cliente gerado a partir de uma CA raiz diferente (mesmo que válida em outros contextos), o gateway rejeitará a autenticação. A presença do certificado raiz no gateway é necessária, mas não suficiente: a cadeia de confiança entre o certificado de cliente e esse certificado raiz específico deve ser íntegra.

A alternativa A descreve um problema de roteamento que impediria o tráfego após a conexão, não a autenticação em si. A alternativa C não resolverá o problema porque o arquivo de configuração não altera a cadeia de certificados do cliente.

Gabarito — Questão 4

Resposta: C

O arquivo de configuração de cliente VPN gerado pelo Azure para OpenVPN não é um arquivo simples com um único campo de IP. Ele contém referências ao endpoint do gateway em múltiplos contextos: no perfil de conexão, nas configurações TLS e, dependendo do tipo de autenticação, em campos de certificado. Editar apenas o campo GatewayIpAddress deixa outras referências apontando para o IP antigo, causando falhas de handshake. A prática correta e documentada pela Microsoft é sempre baixar um novo pacote de configuração após qualquer alteração relevante no gateway.

A alternativa B representa um equívoco: o arquivo não possui checksum criptográfico que impeça edições, mas edições manuais são propensas a erros exatamente pelo motivo descrito na alternativa C. A alternativa D é incorreta: OpenVPN suporta atualização de endpoint sem reinstalação completa, desde que o perfil esteja correto.

Gabarito — Questão 5

Resposta: Verdadeiro

Quando o gateway VPN ponto a site é configurado com autenticação via Microsoft Entra ID, o arquivo de configuração XML gerado pelo Azure inclui explicitamente o Tenant ID do diretório Entra ID e o App ID do aplicativo de servidor VPN do Azure registrado nesse tenant. O cliente Azure VPN utiliza esses valores para iniciar o fluxo de autenticação OAuth 2.0 com o endpoint de autorização correto, permitindo que o usuário se autentique com suas credenciais corporativas do Entra ID.

Esse comportamento diferencia a autenticação via Entra ID da autenticação por certificado: no modelo de certificado, o arquivo carrega a cadeia de certificados; no modelo Entra ID, o arquivo carrega os identificadores do tenant e da aplicação, delegando a validação de identidade ao plano de controle do Entra ID. Confundir esses modelos é um erro comum que leva a configurações incorretas de perfil.