Acerca de la configuración de VPN Gateway
La arquitectura de conexión de puerta de enlace de VPN se basa en la configuración de varios recursos, cada uno de los cuales contiene valores configurables. Las secciones de este artículo tratan los recursos y la configuración relacionados con una instancia de VPN Gateway para una red virtual creada en el modelo de implementación de Resource Manager. Encontrará descripciones y diagramas topológicos de cada solución de conexión en el artículo Topología y diseño de VPN Gateway.
Los valores de este artículo se aplican específicamente a las puertas de enlace de VPN (puertas de enlace de red virtual que usan -GatewayType Vpn). Si busca información sobre los siguientes tipos de puertas de enlace, consulte los siguientes artículos:
- Para los valores que se aplican a -GatewayType "ExpressRoute", consulte Puertas de enlace de red virtual para ExpressRoute.
- Para las puertas de enlace con redundancia de zona, consulte Acerca de VPN Gateway.
- Para las puertas de enlace de Virtual WAN, consulte Acerca de Virtual WAN.
Puertas de enlace y tipos de puerta de enlace
Una puerta de enlace de red virtual está formada por dos o más máquinas virtuales administradas por Azure que se configuran e implementan automáticamente en la subred específica que cree, que se llama subred de puerta de enlace. Las máquinas virtuales de puerta de enlace contienen tablas de enrutamiento y ejecutan servicios de puerta de enlace específicos.
Al crear una puerta de enlace de red virtual, las máquinas virtuales de puerta de enlace se implementan automáticamente en la subred de puerta de enlace (que siempre se llama GatewaySubnet) y se configuran con las opciones que especifique. Este proceso puede tardar 45 minutos o más en completarse, dependiendo de la SKU de puerta de enlace que haya seleccionado.
Una de las opciones de configuración que se especifican al crear una puerta de enlace de red virtual es el tipo de puerta de enlace. El tipo de puerta de enlace especifica cómo se utiliza la puerta de enlace de red virtual y las acciones que realiza la puerta de enlace. Una red virtual puede tener dos puertas de enlace de red virtual, una puerta de enlace de VPN y una puerta de enlace de ExpressRoute. El tipo de puerta de enlace "Vpn" especifica que el tipo de puerta de enlace de red virtual creado es una puerta de enlace de VPN. Esto lo distingue de una puerta de enlace de ExpressRoute, que usa un tipo de puerta de enlace diferente.
Al crear una puerta de enlace de red virtual, debe asegurarse de que el tipo de puerta de enlace es el correcto para su configuración. Los valores disponibles para -GatewayType son:
- VPN
- ExpressRoute
Una puerta de enlace de VPN requiere la red privada virtual -GatewayType.
Ejemplo:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
SKU de puerta de enlace y rendimiento
Consulte el artículo Acerca de las SKU de puerta de enlace para obtener la información más reciente sobre las SKU de puerta de enlace, el rendimiento y las características admitidas.
Tipos de VPN
Azure admite dos tipos de VPN diferentes para las puertas de enlace de VPN: basadas en directivas y basadas en rutas. Las puertas de enlace de VPN basadas en rutas se basan en una plataforma diferente de las puertas de enlace de VPN basadas en directivas. Esto da como resultado diferentes especificaciones de puerta de enlace. En la mayoría de los casos, creará una puerta de enlace de VPN basada en rutas.
Anteriormente, las SKU de puerta de enlace anteriores no admitían IKEv1 para las puertas de enlace basadas en rutas. Ahora, la mayoría de las SKU de puerta de enlace actuales admiten IKEv1 y IKEv2. Desde el 1 de octubre de 2023, no puede crear una puerta de enlace de VPN basada en directivas a través de Azure Portal; solo están disponibles las puertas de enlace basadas en rutas. Si desea crear una puerta de enlace basada en directivas, use PowerShell o la CLI.
Si ya tiene una puerta de enlace basada en directivas, no es necesario cambiarla a una puerta de enlace basada en rutas, a menos que quiera usar una configuración que requiera una puerta de enlace basada en rutas, como de punto a sitio. No se puede convertir una puerta de enlace basada en directivas en una basada en rutas. Debe eliminar la puerta de enlace existente y, a continuación, crear una nueva puerta de enlace basada en rutas.
| Tipo de VPN de la puerta de enlace | SKU de puerta de enlace | Versiones de IKE admitidas |
|---|---|---|
| Puerta de enlace basada en directivas | Basic | IKEv1 |
| Puerta de enlace basada en rutas | Basic | IKEv2 |
| Puerta de enlace basada en rutas | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 e IKEv2 |
| Puerta de enlace basada en rutas | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 e IKEv2 |
Instancias de VPN Gateway activa-activa
Puede crear una instancia de Azure VPN Gateway en una configuración activa-activa, donde ambas instancias de las VM de la puerta de enlace establecen túneles VPN S2S al dispositivo VPN local.
En esta configuración, cada instancia de puerta de enlace de Azure tiene una dirección IP pública única y cada una establecerá un túnel VPN S2S IPsec/IKE al dispositivo VPN local especificado en la conexión y la puerta de enlace de red local. En realidad, ambos túneles VPN forman parte de la misma conexión. Todavía necesita configurar el dispositivo VPN local para que acepte o establezca dos túneles VPN S2S a esas dos direcciones IP públicas de la instancia de Azure VPN Gateway.
Dado que las instancias de puerta de enlace de Azure están en una configuración activa-activa, el tráfico desde su instancia de Azure Virtual Network hasta su red local se enrutará a través de ambos túneles simultáneamente, aunque el dispositivo VPN local pueda favorecer un túnel sobre el otro. Para un único flujo TCP o UDP, Azure intenta usar el mismo túnel al enviar paquetes a la red local. Sin embargo, la red local podría usar un túnel diferente para enviar paquetes a Azure.
Cuando se produce un mantenimiento planeado o un evento imprevisto en una instancia de puerta de enlace, se desconectará el túnel IPsec desde esa instancia hacia el dispositivo VPN local. Las rutas correspondientes en los dispositivos VPN se deben eliminar o retirar automáticamente para que el tráfico cambie al otro túnel IPsec activo. En el lado de Azure, el cambio se realizará automáticamente de la instancia afectada a la activa.
Para obtener información sobre el uso de puertas de enlace activo-activo en un escenario de conectividad de alta disponibilidad, consulte Acerca de la conectividad de alta disponibilidad.
Tipos de conexión
En el modelo de implementación de Resource Manager, cada configuración requiere un tipo de conexión de puerta de enlace de red virtual específico. Los valores de PowerShell de Resource Manager para -ConnectionType son:
- IPsec
- Vnet2Vnet
- ExpressRoute
- VPNClient
En el siguiente ejemplo de PowerShell, vamos a crear una conexión de S2S que requiere el tipo de conexión IPsec.
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'
Modos de conexión
La propiedad Modo de conexión solo se aplica a las puertas de enlace de VPN basadas en rutas que usan conexiones IKEv2. Los modos de conexión definen la dirección de inicio de la conexión y solo se aplican al establecimiento inicial de la conexión IKE. Cualquier entidad puede volver a especificar las claves y los mensajes adicionales. InitiatorOnly significa que Azure debe iniciar la conexión. ResponderOnly significa que el dispositivo local debe iniciar la conexión. El comportamiento predeterminado es aceptar y marcar lo que se conecte primero.
Subred de puerta de enlace
Antes de crear una puerta de enlace de VPN, debe crear una subred de puerta de enlace. La subred de puerta de enlace contiene las direcciones IP que usan los servicios y las máquinas virtuales de la puerta de enlace de red virtual. Al crear la puerta de enlace de red virtual, las máquinas virtuales de puerta de enlace se implementan en la subred de puerta de enlace, y se configuran con las opciones de puerta de enlace de VPN necesarias. Nunca implemente nada más (por ejemplo, más máquinas virtuales) en la subred de puerta de enlace. Para que la subred de puerta de enlace funcione correctamente, su nombre tiene que ser “GatewaySubnet2”. La asignación del nombre "GatewaySubnet" a la subred de puerta de enlace permite a Azure saber que esta es la subred en la que debe implementar las máquinas virtuales y los servicios de la puerta de enlace de red virtual.
Al crear la subred de puerta de enlace, especifique el número de direcciones IP que contiene la subred. Las direcciones IP de la subred de puerta de enlace se asignan a las máquinas virtuales y los servicios de puerta de enlace. Algunas configuraciones requieren más direcciones IP que otras.
Cuando planee el tamaño de la subred de puerta de enlace, consulte la documentación de la configuración que piensa crear. Por ejemplo, la configuración de coexistencia de ExpressRoute/VPN Gateway requiere una subred de puerta de enlace mayor que la mayoría de las restantes. Aunque es posible crear una subred de puerta de enlace tan pequeña como /29 (aplicable solo a la SKU básica), todas las demás SKU requieren una subred de puerta de enlace de tamaño /27 o mayor (/27, /26, /25, etc.). Es posible que desee crear una subred de puerta de enlace mayor que /27 para que la subred tenga suficientes direcciones IP para dar cabida a posibles configuraciones futuras.
En el ejemplo de PowerShell de Resource Manager siguiente, se muestra una subred de puerta de enlace con el nombre GatewaySubnet. Puede ver que la notación CIDR especifica /27, que permite suficientes direcciones IP para la mayoría de las configuraciones que existen.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Consideraciones:
Las rutas definidas por el usuario con un destino 0.0.0.0/0 y NSG en GatewaySubnet no se admiten. Las puertas de enlace con esta configuración no se pueden crear. Las puertas de enlace requieren acceso a los controladores de administración para que funcionen correctamente. Propagación de rutas BGP debe establecerse en "Habilitado" en GatewaySubnet para garantizar la disponibilidad de la puerta de enlace. Si la propagación de rutas BGP está establecida en deshabilitada, la puerta de enlace no funcionará.
Los diagnósticos, la ruta de acceso de datos y la ruta de acceso de control se pueden ver afectados si una ruta definida por el usuario se superpone con el intervalo de subred de puerta de enlace o el intervalo de direcciones IP públicas de la puerta de enlace.
Puertas de enlace de red local
Una puerta de enlace de red local es diferente a una puerta de enlace de red virtual. Cuando trabaja con una arquitectura de sitio a sitio de VPN Gateway, la puerta de enlace de red local suele representar su red local y el dispositivo VPN correspondiente. En el modelo de implementación clásica, la puerta de enlace de red local se conoce como un sitio local.
Cuando se configura la puerta de enlace de red local, se especifica el nombre, la dirección IP pública o el nombre de dominio completo del dispositivo VPN local, así como los prefijos de dirección que se encuentran en la ubicación local. Azure examina los prefijos de dirección de destino para el tráfico de red, consulta la configuración que especificó para la puerta de enlace de red local y enruta los paquetes según corresponda. Si usa el Protocolo de puerta de enlace de borde (BGP) en el dispositivo VPN, debe proporcionar la dirección IP del par BGP del dispositivo VPN y el número de sistema autónomo (ASN) de la red local. También debe especificar puertas de enlace de red local para configuraciones de red virtual a red virtual local que usan una conexión de puerta de enlace de VPN.
En el ejemplo siguiente de PowerShell, se crea una nueva puerta de enlace de red local:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
A veces es necesario modificar la configuración de la puerta de enlace de red local. Por ejemplo, al agregar o modificar el intervalo de direcciones, o si cambia la dirección IP del dispositivo VPN. Para más información, consulte Modificar la configuración de la puerta de enlace de red local.
API de REST, cmdlets de PowerShell y CLI
Para obtener información sobre los recursos técnicos y los requisitos de sintaxis específicos al usar las API de REST, los cmdlets de PowerShell o la CLI de Azure para configuraciones de VPN Gateway, consulte las páginas siguientes:
| Clásico | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
| No compatible | CLI de Azure |
Pasos siguientes
Para más información sobre las configuraciones de conexión disponibles, vea About VPN Gateway (Acerca de VPN Gateway).
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de