Acerca de la configuración de VPN Gateway
La arquitectura de conexión de puerta de enlace de VPN se basa en la configuración de varios recursos, cada uno de los cuales contiene valores configurables. En las secciones de este artículo se describen los recursos y la configuración relacionados con una puerta de enlace de VPN para una red virtual. Encontrará descripciones y diagramas topológicos de cada solución de conexión en el artículo Topología y diseño de VPN Gateway.
Los valores de este artículo se aplican específicamente a las puertas de enlace de VPN (puertas de enlace de red virtual que usan -GatewayType Vpn). Si busca información sobre los siguientes tipos de puertas de enlace, consulte los siguientes artículos:
- Para los valores que se aplican a -GatewayType "ExpressRoute", consulte Puertas de enlace de red virtual para ExpressRoute.
- Para las puertas de enlace con redundancia de zona, consulte Acerca de VPN Gateway.
- Para las puertas de enlace de Virtual WAN, consulte Acerca de Virtual WAN.
Puertas de enlace y tipos de puerta de enlace
Una puerta de enlace de red virtual está formada por dos o más máquinas virtuales administradas por Azure que se configuran e implementan automáticamente en la subred específica que cree, que se llama subred de puerta de enlace. Las máquinas virtuales de puerta de enlace contienen tablas de enrutamiento y ejecutan servicios de puerta de enlace específicos. Al crear una puerta de enlace de red virtual, las máquinas virtuales de puerta de enlace se implementan automáticamente en la subred de puerta de enlace (que siempre se llama GatewaySubnet) y se configuran con los valores que ha especificado. Este proceso puede tardar 45 minutos o más en completarse, dependiendo de la SKU de puerta de enlace que haya seleccionado.
Una de las opciones de configuración que se especifican al crear una puerta de enlace de red virtual es el tipo de puerta de enlace. El tipo de puerta de enlace especifica cómo se utiliza la puerta de enlace de red virtual y las acciones que realiza la puerta de enlace. Una red virtual puede tener dos puertas de enlace de red virtual, una puerta de enlace de VPN y una puerta de enlace de ExpressRoute. Un valor de GatewayType de "Vpn" indica que el tipo de puerta de enlace de red virtual creado es una puerta de enlace de VPN. Esto lo distingue de una puerta de enlace de ExpressRoute.
SKU de puerta de enlace y rendimiento
Consulte el artículo Acerca de las SKU de puerta de enlace para obtener la información más reciente sobre las SKU de puerta de enlace, el rendimiento y las características admitidas.
Tipos de VPN
Azure admite dos tipos de VPN diferentes para las puertas de enlace de VPN: basadas en directivas y basadas en rutas. Las puertas de enlace de VPN basadas en rutas se basan en una plataforma diferente de las puertas de enlace de VPN basadas en directivas. Esto da como resultado diferentes especificaciones de puerta de enlace. En la tabla siguiente se muestran las SKU de puerta de enlace que admiten cada uno de los tipos de VPN y las versiones de IKE admitidas asociadas.
Tipo de VPN de la puerta de enlace | SKU de puerta de enlace | Versiones de IKE admitidas |
---|---|---|
Puerta de enlace basada en directivas | Basic | IKEv1 |
Puerta de enlace basada en rutas | Basic | IKEv2 |
Puerta de enlace basada en rutas | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 e IKEv2 |
Puerta de enlace basada en rutas | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 e IKEv2 |
En la mayoría de los casos, creará una puerta de enlace de VPN basada en rutas. Anteriormente, las SKU de puerta de enlace anteriores no admitían IKEv1 para las puertas de enlace basadas en rutas. Ahora, la mayoría de las SKU de puerta de enlace actuales admiten IKEv1 y IKEv2.
A partir del 1 de octubre de 2023, las puertas de enlace basadas en directivas solo se pueden configurar mediante PowerShell o la CLI y no están disponibles en Azure Portal. Para crear una puerta de enlace basada en directivas, consulte Creación de una puerta de enlace de VPN de SKU básica mediante PowerShell.
Si ya tiene una puerta de enlace basada en directivas, no es necesario cambiarla a una puerta de enlace basada en rutas, a menos que quiera usar una configuración que requiera una puerta de enlace basada en rutas, como de punto a sitio.
No se puede convertir una puerta de enlace basada en directivas en una basada en rutas. Debe eliminar la puerta de enlace existente y, a continuación, crear una nueva puerta de enlace basada en rutas.
Puertas de enlace en modo activo-activo
Las puertas de enlace de VPN de Azure se pueden configurar como activo-en espera o activo-activo. En una configuración activo-activo, ambas instancias de las máquinas virtuales de puerta de enlace establecen túneles VPN S2S con su dispositivo VPN local. Las puertas de enlace de modo activo-activo son una parte clave del diseño de conectividad de puerta de enlace de alta disponibilidad. Vea los siguientes artículos para más información:
- Acerca de las puertas de enlace activas y activas
- Diseño de la conectividad de puerta de enlace de alta disponibilidad para conexiones entre locales y de red virtual a red virtual
Tipos de conexión
Cada conexión requiere un tipo de conexión de puerta de enlace de red virtual específico. Los valores de PowerShell disponibles para New-AzVirtualNetworkGatewayConnection-Connection Type
son: IPsec, Vnet2Vnet, ExpressRoute, VPNClient.
Modos de conexión
La propiedad Modo de conexión solo se aplica a las puertas de enlace de VPN basadas en rutas que usan conexiones IKEv2. Los modos de conexión definen la dirección de inicio de la conexión y solo se aplican al establecimiento inicial de la conexión IKE. Cualquier entidad puede volver a especificar las claves y los mensajes adicionales. InitiatorOnly significa que Azure debe iniciar la conexión. ResponderOnly significa que el dispositivo local debe iniciar la conexión. El comportamiento predeterminado es aceptar y marcar lo que se conecte primero.
Subred de puerta de enlace
Antes de crear una puerta de enlace de VPN, debe crear una subred de puerta de enlace. La subred de puerta de enlace contiene las direcciones IP que usan los servicios y las máquinas virtuales de la puerta de enlace de red virtual. Al crear la puerta de enlace de red virtual, las máquinas virtuales de puerta de enlace se implementan en la subred de puerta de enlace, y se configuran con las opciones de puerta de enlace de VPN necesarias. Nunca implemente nada más (por ejemplo, más máquinas virtuales) en la subred de puerta de enlace. Para que la subred de puerta de enlace funcione correctamente, su nombre tiene que ser “GatewaySubnet2”. La asignación del nombre "GatewaySubnet" a la subred de puerta de enlace permite a Azure saber que esta es la subred en la que debe implementar las máquinas virtuales y los servicios de la puerta de enlace de red virtual.
Al crear la subred de puerta de enlace, especifique el número de direcciones IP que contiene la subred. Las direcciones IP de la subred de puerta de enlace se asignan a las máquinas virtuales y los servicios de puerta de enlace. Algunas configuraciones requieren más direcciones IP que otras.
Cuando planee el tamaño de la subred de puerta de enlace, consulte la documentación de la configuración que piensa crear. Por ejemplo, la configuración de coexistencia de ExpressRoute/VPN Gateway requiere una subred de puerta de enlace mayor que la mayoría de las restantes. Aunque es posible crear una subred de puerta de enlace tan pequeña como /29 (aplicable solo a la SKU básica), todas las demás SKU requieren una subred de puerta de enlace de tamaño /27 o mayor (/27, /26, /25, etc.). Es posible que desee crear una subred de puerta de enlace mayor que /27 para que la subred tenga suficientes direcciones IP para dar cabida a posibles configuraciones futuras.
En el ejemplo de PowerShell siguiente, se muestra una subred de puerta de enlace con el nombre GatewaySubnet. Puede ver que la notación CIDR especifica /27, que permite suficientes direcciones IP para la mayoría de las configuraciones que existen.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Consideraciones:
Las rutas definidas por el usuario con un destino 0.0.0.0/0 y NSG en GatewaySubnet no se admiten. Las puertas de enlace con esta configuración no se pueden crear. Las puertas de enlace requieren acceso a los controladores de administración para que funcionen correctamente. Propagación de rutas BGP debe establecerse en "Habilitado" en GatewaySubnet para garantizar la disponibilidad de la puerta de enlace. Si la propagación de rutas BGP está establecida en deshabilitada, la puerta de enlace no funcionará.
Los diagnósticos, la ruta de acceso de datos y la ruta de acceso de control se pueden ver afectados si una ruta definida por el usuario se superpone con el intervalo de subred de puerta de enlace o el intervalo de direcciones IP públicas de la puerta de enlace.
Puertas de enlace de red local
Una puerta de enlace de red local es diferente a una puerta de enlace de red virtual. Cuando trabaja con una arquitectura de sitio a sitio de VPN Gateway, la puerta de enlace de red local suele representar su red local y el dispositivo VPN correspondiente.
Cuando se configura la puerta de enlace de red local, se especifica el nombre, la dirección IP pública o el nombre de dominio completo del dispositivo VPN local, así como los prefijos de dirección que se encuentran en la ubicación local. Azure examina los prefijos de dirección de destino para el tráfico de red, consulta la configuración que especificó para la puerta de enlace de red local y enruta los paquetes según corresponda. Si usa el Protocolo de puerta de enlace de borde (BGP) en el dispositivo VPN, debe proporcionar la dirección IP del par BGP del dispositivo VPN y el número de sistema autónomo (ASN) de la red local. También debe especificar puertas de enlace de red local para configuraciones de red virtual a red virtual local que usan una conexión de puerta de enlace de VPN.
En el ejemplo siguiente de PowerShell, se crea una nueva puerta de enlace de red local:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
A veces es necesario modificar la configuración de la puerta de enlace de red local. Por ejemplo, al agregar o modificar el intervalo de direcciones, o si cambia la dirección IP del dispositivo VPN. Para más información, consulte Modificar la configuración de la puerta de enlace de red local.
API de REST, cmdlets de PowerShell y CLI
Para obtener información sobre los recursos técnicos y los requisitos de sintaxis específicos al usar las API de REST, los cmdlets de PowerShell o la CLI de Azure para configuraciones de VPN Gateway, consulte las páginas siguientes:
Pasos siguientes
Para más información sobre las configuraciones de conexión disponibles, vea About VPN Gateway (Acerca de VPN Gateway).