Conexión de una VPN Gateway (puerta de enlace de red virtual) a una Virtual WAN

Este artículo le ayuda a configurar la conectividad de una VPN Gateway de Azure (puerta de enlace de red) a una Azure Virtual WAN (puerta de enlace de VPN). La creación de una conexión desde un VPN Gateway (puerta de enlace de red virtual) a una Virtual WAN (puerta de enlace de VPN) es similar a la configuración de la conectividad a una WAN virtual desde sitios VPN de rama.

Con el fin de minimizar la posible confusión entre dos características, la puerta de enlace se dirigirá con el nombre de la característica a la que se hace referencia. Por ejemplo, puerta de enlace de red virtual de VPN Gateway y puerta de enlace de VPN Virtual WAN.

Antes de empezar

Antes de empezar, cree los siguientes recursos:

Azure Virtual WAN

• Creación de una WAN virtual.
• Creación de un centro de conectividad.
• Cree una puerta de enlace de VPN S2S configurada en el centro de conectividad.

Virtual Network (para la puerta de enlace de red virtual)

• Cree una red virtual sin ninguna puerta de enlace de red virtual. Esta red virtual se configurará con una puerta de enlace de red virtual de tipo "activo-activo" en los pasos siguientes. Compruebe que ninguna de las subredes de sus redes locales se superpone a las redes virtuales a las que quiere conectarse.

1. Configurar VPN Gateway (puerta de enlace de red virtual)

Intente crear en esta sección una puerta de enlace de red virtual de VPN Gateway en modo "activo-activo" para la red virtual. Al crear la puerta de enlace, puede usar las direcciones IP públicas existentes para las dos instancias de la puerta de enlace o puede crear nuevas direcciones IP públicas. Estas IP públicas se usan cuando se configuran los sitios de Virtual WAN.

1. Cree una puerta de enlace de red virtual de VPN Gateway en modo activo-activo para la red virtual. Para más información sobre los pasos de configuración y las puertas de enlace VPN activo-activo, consulte Configuración de puertas de enlace VPN activo-activo.

2. Las secciones siguientes muestran ejemplos de configuraciones para la puerta de enlace de red virtual.

   • Configuración del modo "activo-activo": en la página de Configuración de puerta de enlace de red virtual, asegúrese de que el modo activo-activo está habilitado.

     

   • Configuración de BGP: en la página de Configuración de la puerta de enlace de red virtual, puede seleccionar de forma opcional Configurar el ASN de BGP. Si configura BGP, cambie el ASN del valor predeterminado que se muestra en el portal. Para esta configuración, el ASN del Protocolo de puerta de enlace de borde (BGP) no puede ser 65515. Azure Virtual WAN usará 65515.

     

   • Direcciones IP públicas: una vez creada la puerta de enlace, vaya a la página de Propiedades. Las propiedades y los valores de configuración serán similares al ejemplo siguiente. Tenga en cuenta las dos direcciones IP públicas que se usan para la puerta de enlace.

     

2. Creación de sitios VPN de Virtual WAN

En esta sección, intentará crear dos sitios VPN de Virtual WAN que corresponden a las puertas de enlace de red virtual que creó en la sección anterior.

1. En la página Virtual WAN, vaya a Sitios de VPN.

2. En la página Sitios de VPN, seleccione +Crear sitio.

3. Dentro de la página Crear un sitio VPN, en la pestaña Aspectos básicos rellene los campos siguientes:

   • Región: la misma región que la puerta de enlace de red virtual de Azure VPN Gateway.
   • Nombre: Ejemplo: Sitio1
   • Proveedor del dispositivo: nombre del proveedor del dispositivo VPN (por ejemplo: Citrix, Cisco o Barracuda). Agregar el proveedor del dispositivo puede ayudar al equipo de Azure a comprender mejor su entorno para agregar posibilidades de optimización adicionales en el futuro, así como para ayudarle a solucionar problemas.
   • Espacio de direcciones privadas: escriba un valor o déjelo en blanco si el protocolo de puerta de enlace de borde (BGP) está habilitado.

4. Seleccione Siguiente: Vínculos> para avanzar a la página de Vínculos.

5. En la página Vínculos, complete los campos siguientes:

   • Nombre del vínculo: el nombre que quiera proporcionar para el vínculo físico en el sitio VPN. Ejemplo: Vínculo1.
   • Velocidad del vínculo: esta es la velocidad del dispositivo VPN en la ubicación de la rama. Ejemplo: 50, que significa que 50 Mbps es la velocidad del dispositivo VPN en el sitio de la rama.
   • Nombre del proveedor del vínculo: nombre del vínculo físico en el sitio VPN. Ejemplo: ATT, Verizon.
   • Dirección IP del vínculo: escriba la dirección IP. Para esta configuración, es lo mismo que la primera dirección IP pública que se muestra en las propiedades de la puerta de enlace de red virtual (VPN Gateway).
   • Dirección BGP y la ASN: deben ser las mismas que una de las direcciones IP del nodo del mismo nivel BGP y ASN de la puerta de enlace de red virtual VPN Gateway que configuró en el Paso 1.

6. Una vez que haya terminado de rellenar los campos, seleccione Revisar y crear para verificarlo. Seleccione Crear para crear el sitio.

7. Repita los pasos anteriores para crear el segundo sitio para que coincida con la segunda instancia de la puerta de enlace de red virtual VPN Gateway. Conservará la misma configuración, excepto el uso de la segunda dirección IP pública y la segunda dirección IP del mismo nivel BGP de la configuración de VPN Gateway.

8. Ahora tiene dos sitios aprovisionados correctamente.

3. Conectar sitios al centro de conectividad virtual

A continuación, conecte ambos sitios al centro virtual mediante los pasos siguientes. Para obtener más información sobre cómo conectar sitios, consulte Conectar sitios VPN a un centro virtual.

1. En la página Virtual WAN, vaya a Centros de conectividad.

2. En la página Centros de conectividad, haga clic en el centro que ha creado.

3. En la página del centro de conectividad que ha creado, en el panel izquierdo, seleccione VPN (de sitio a sitio).

4. En la página VPN (de sitio a sitio), debería ver los sitios. Si no es así, es posible que tenga que hacer clic en la burbuja Asociación de concentrador:x para borrar los filtros y ver el sitio.

5. Active la casilla situada junto al nombre de ambos sitios (no haga clic directamente en el nombre del sitio) y, a continuación, haga clic en Conectar sitios de VPN.

6. En la página Conectar sitios, configure los valores. Asegúrese de anotar el valor de Clave precompartida que use. La volverá a usar en el ejercicio más adelante, cuando cree las conexiones.

7. Al final de la página, seleccione Conectar. El centro de conectividad tarda un poco en actualizarse con la configuración del sitio.

4. Descargar los archivos de configuración de VPN

En esta sección, intentará descargar el archivo de configuración de VPN para los sitios que ha creado en la sección anterior.

1. En la página Virtual WAN, vaya a Sitios de VPN.

2. En la página Sitios VPN, en la parte superior, seleccione Descargar configuración de VPN de sitio a sitio y descargue el archivo. En la sección siguiente, Azure creará un archivo de configuración con los valores necesarios que se usan para configurar las puertas de enlace de red local.

   

5. Creación de las puertas de enlace de red local

En esta sección, creará dos puertas de enlace de red local de Azure VPN Gateway. Los archivos de configuración del paso anterior contienen los valores de configuración de la puerta de enlace. Use estos valores para crear y configurar las puertas de enlace de red local de Azure VPN Gateway.

1. Cree la puerta de enlace de red local con estos valores. Para más información sobre cómo crear una puerta de enlace de red local VPN Gateway, consulte el artículo de VPN Gateway Creación de una puerta de enlace de red local.

   • Dirección IP: Use la dirección IP de Instance0 que se muestra para gatewayconfiguration del archivo de configuración.
   • BGP: Si la conexión es a través de BGP, seleccione Configurar los valores de BGP y escriba el ASN '65515'. Escriba la dirección IP del mismo nivel BGP. Use 'Instance0 BgpPeeringAddresses' para gatewayconfiguration del archivo de configuración.
   • Espacio de direcciones: si la conexión no se establece mediante BGP, asegúrese de que la opción Configurar valores BGP permanece desactivada. Escriba los espacios de direcciones que va a anunciar desde la puerta de enlace de red virtual. Puede agregar varios intervalos de espacios de direcciones. Asegúrese de que los intervalos que especifique aquí no se superpongan con los de otras redes a las que quiera conectarse.
   • Suscripción, Grupo de recursos y Ubicación: son los mismos para el centro de conectividad Virtual WAN.

2. Revise y cree la puerta de enlace de red local. La puerta de enlace de red local debe ser similar a la de este ejemplo.

   

3. Repita estos pasos para crear otra puerta de enlace de red local, pero esta vez use los valores de 'Instance1' en lugar de los valores de 'Instance0' del archivo de configuración.

   

Importante

Tenga en cuenta que, al configurar una conexión BGP mediante IPsec a una dirección IP pública que no sea una dirección IP pública de puerta de enlace de vWAN con el ASN remoto "65515", se producirá un error en la implementación de la puerta de enlace de red local, ya que ASN '65515' es un ASN reservado documentado como se describe en Qué sistemas autónomos puedo usar. Pero cuando la puerta de enlace de red local lee la dirección pública de vWAN con el ASN remoto "65515", la plataforma eleva esta restricción.

6. Creación de conexiones

En esta sección, creará una conexión entre las puertas de enlace de red local VPN Gateway y la puerta de enlace de red virtual. Para conocer los pasos para crear una conexión VPN Gateway, consulte Configurar una conexión.

1. En el portal, vaya a la puerta de enlace de red virtual y haga clic en Conexiones. En la parte superior de la página Conexiones, seleccione +Agregar para abrir la página Agregar conexión.

2. En la página Agregar conexión, configure los valores de la conexión:

   • Nombre: asigne un nombre a la conexión.
   • Tipo de conexión: Seleccione Sitio a sitio (IPSec)
   • Puerta de enlace de red virtual: el valor es fijo porque se conecta desde esta puerta de enlace.
   • Puerta de enlace de red local: Esta conexión conectará la puerta de enlace de red virtual y la puerta de enlace de red local. Elija una de las puertas de enlace de red local que creó anteriormente.
   • Clave compartida: escriba la clave compartida anterior.
   • Protocolo TLS: Elija el protocolo IKE.

3. Haga clic en Aceptar para crear la conexión.

4. La conexión se puede ver en la página Conexiones de la puerta de enlace de red virtual.

5. Repita los pasos anteriores para crear otra red virtual. Para la segunda conexión, elija la otra puerta de enlace de red local que creó.

6. Si las conexiones han usado BGP, después de crearlas vaya a una conexión y haga clic en Configuración. En la página Configuración, en BGP, seleccione Habilitado. Después, seleccione Guardar.

7. Repita la operación en la segunda conexión.

7. Prueba de conexiones

Para probar la conectividad, puede crear dos máquinas virtuales, una en el lateral de la puerta de enlace de red virtual de VPN Gateway y otra en una red virtual para la Virtual WAN y luego hacer ping en las dos máquinas virtuales.

1. Cree una máquina virtual en la red virtual (Test1-VNet) para Azure VPN Gateway (Test1-VNG). No cree la máquina virtual en GatewaySubnet.

2. Cree otra red virtual para conectarse a la WAN virtual. Cree una máquina virtual en una subred de esta red virtual. Esta red virtual no puede contener ninguna puerta de enlace de red virtual. Puede crear rápidamente una red virtual con los pasos de PowerShell que se describen en el artículo Conexión de sitio a sitio. Asegúrese de cambiar los valores antes de ejecutar los cmdlets.

3. Conecte la VNet a la central de Virtual WAN. En la página de la red WAN virtual, haga clic en Conexiones de red virtual luego en +Agregar conexión. En la página Agregar conexión, rellene los campos siguientes:

   • Nombre de la conexión: asigne un nombre a la conexión.
   • Centros: seleccione el concentrador que desea asociar a esta conexión.
   • Suscripción: compruebe la suscripción.
   • Red virtual: seleccione la red virtual que quiere conectar con este concentrador. La red virtual no puede tener una puerta de enlace de red virtual que ya exista.

4. Haga clic en Aceptar para crear la conexión de red virtual.

5. Ahora se establece la conectividad entre las máquinas virtuales. Debe poder hacer ping a una máquina virtual desde la otra, a menos que haya firewalls u otras directivas que bloqueen la comunicación.

Pasos siguientes

• Para obtener más información sobre VPN de sitio a sitio de Virtual WAN, consulte Tutorial: VPN de sitio a sitio de Virtual WAN.
• Para obtener más información sobre la configuración de la puerta de enlace de sitio a sitio de VPN Gateway, consulte Configuraciones de tipo "activo-activo" de VPN Gateway.