Agregar o quitar conexiones de sitio a sitio de VPN Gateway

Este artículo le ayuda a agregar o quitar conexiones de sitio a sitio (S2S) para una puerta de enlace de VPN. También puede agregar conexiones S2S a una puerta de enlace de VPN que ya tenga una conexión S2S, una conexión de punto a sitio o una conexión de red virtual a red virtual. Existen algunas limitaciones al agregar conexiones. Vea la sección Requisitos previos de este artículo para comprobarlas antes de iniciar la configuración.

Información sobre las conexiones de sitio a sitio o de ExpressRoute coexistentes

• Puede seguir los pasos descritos en este artículo para agregar una nueva conexión VPN a una conexión coexistente de sitio a sitio o de ExpressRoute que ya exista.
• No puede seguir los pasos de este artículo para configurar una nueva conexión coexistente de sitio a sitio o de ExpressRoute. Para crear una nueva conexión coexistente, vea: Conexiones coexistentes de ExpressRoute/S2S.

Requisitos previos

Compruebe los siguientes aspectos:

• NO va a configurar una nueva conexión coexistente de sitio a sitio de VPN Gateway y ExpressRoute.
• Tiene una red virtual que se ha creado con el modelo de implementación de Resource Manager con una conexión existente.
• La puerta de enlace de su red virtual está basada en rutas. Si tiene una VPN Gateway PolicyBased, necesita eliminar la puerta de enlace de red virtual y crear una VPN Gateway nueva como RouteBased.
• Ninguno de los intervalos de direcciones se superpone para ninguna de las redes virtuales a las que se conecta esta red virtual.
• Tiene un dispositivo VPN compatible y alguien que pueda configurarlo. Consulte Acerca de los dispositivos VPN para conexiones de red virtual de sitio a sitio. Si no conoce la configuración de su dispositivo VPN o los intervalos de direcciones IP ubicados en la configuración de la red local, necesita trabajar con alguien que pueda proporcionarle estos detalles.
• Tiene una dirección IP pública externa para el dispositivo VPN.

Creación de una puerta de enlace de red local

Cree una puerta de enlace de red local que represente la rama o ubicación a la que desea conectarse.

La puerta de enlace de red local es un objeto específico que representa la ubicación local (el sitio) para fines de enrutamiento. Asigne al sitio un nombre al que Azure pueda hacer referencia y, luego, especifique la dirección IP del dispositivo VPN local con la que creará una conexión. Especifique también los prefijos de dirección IP que se enrutarán a través de la puerta de enlace VPN al dispositivo VPN. Los prefijos de dirección que especifique son los prefijos que se encuentran en la red local. Si la red local cambia o necesita cambiar la dirección IP pública del dispositivo VPN, puede actualizar fácilmente los valores más adelante.

En este ejemplo, creamos una puerta de enlace de red local con los siguientes valores.

• Nombre: Site1
• Grupos de recursos: TestRG1
• Ubicación: Este de EE. UU.

1. En Azure Portal, en Buscar recursos, servicios y documentos (G+/) escriba puerta de enlace de red local. Busque la puerta de enlace de red local en Marketplace en los resultados de búsqueda y selecciónela para abrir la página Crear puerta de enlace de red local.

2. En la página Crear puerta de enlace de red local, en la pestaña Aspectos básicos, especifique los valores de la puerta de enlace de red local.

   

   • Suscripción: compruebe que se muestra la suscripción correcta.
   • Grupo de recursos:: seleccione el grupo de recursos que desee utilizar. Puede crear un grupo de recursos nuevo o seleccionar uno ya creado.
   • Región: seleccione la región en la que se creará este objeto. Es posible que quiera seleccionar la misma ubicación que la de la red virtual, pero no es necesario.
   • Nombre: especifique el nombre del objeto de puerta de enlace de red local.
   • Punto de conexión: seleccione el tipo de punto de conexión para el dispositivo VPN local como dirección IP o FQDN (nombre de dominio completo).
     • Dirección IP: si tuviera asignada una dirección IP pública estática de su proveedor de servicios de Internet (ISP) para el dispositivo VPN, seleccione la opción Dirección IP. Rellene la dirección IP como se muestra en el ejemplo. Esta es la dirección IP pública del dispositivo VPN al que desea que Azure VPN Gateway se conecte. Si no tuviera la dirección IP en este momento, use los valores que se muestran en el ejemplo. Después, deberá volver atrás y reemplazar la dirección IP del marcador de posición por la dirección IP pública del dispositivo VPN. De lo contrario, Azure no se podrá conectar.
     • FQDN: si tiene una dirección IP pública dinámica que pudiera cambiar después de un cierto período de tiempo, que a menudo determina el ISP, use un nombre DNS constante con un servicio DNS dinámico que apunte a la dirección IP pública actual del dispositivo VPN. Azure VPN Gateway resuelve el nombre de dominio completo para determinar la dirección IP pública a la que se va a conectar.
   • Espacio de direcciones: el espacio de direcciones hace referencia a los intervalos de direcciones de la red que representa esta red local. Puede agregar varios intervalos de espacios de direcciones. Asegúrese de que los intervalos que especifique aquí no se superpongan con los de otras redes a las que quiera conectarse. Azure enruta el intervalo de direcciones que especifique a la dirección IP del dispositivo VPN local. Use sus propios valores aquí, y no los mostrados en el ejemplo, si quiere conectarse a su sitio local.

   Nota:

   • Azure VPN Gateway solo admite una dirección IPv4 para cada nombre de dominio completo. Si el nombre de dominio se resuelve en varias direcciones IP, VPN Gateway usará la primera dirección IP que devuelvan los servidores DNS. Para eliminar la incertidumbre, se recomienda que el nombre de dominio completo siempre se resuelva en una sola dirección IPv4. No se admite IPv6.
   • VPN Gateway mantiene una caché DNS que se actualiza cada 5 minutos. La puerta de enlace intenta resolver los nombres de dominio completos solo para los túneles desconectados. Al restablecer la puerta de enlace también se desencadena la resolución del nombre de dominio completo.
   • Aunque Azure VPN Gateway admite varias conexiones a diferentes puertas de enlace de red local con distintos FQDN, todos los FQDN deben resolverse en diferentes direcciones IP.

3. En la pestaña Avanzado, es posible configurar los valores de BGP si fuera necesario.

4. Después de especificar los valores, seleccione Revisar y crear en la parte inferior de la página para validar la página.

5. Seleccione Crear para crear el objeto de la puerta de enlace de red local.

Configurar el dispositivo VPN

Las conexiones de sitio a sitio a una red local requieren un dispositivo VPN. En este paso, se configura el dispositivo VPN. Para configurar el dispositivo VPN, necesita los valores siguientes:

• Una clave compartida. Se trata de la misma clave compartida que se especifica al crear la conexión VPN de sitio a sitio. En estos ejemplos se utiliza una clave compartida básica. Se recomienda que genere y utilice una clave más compleja.
• La dirección IP pública de la puerta de enlace de red virtual. Puede ver la dirección IP pública mediante Azure Portal, PowerShell o la CLI. Para buscar la dirección IP pública de una puerta de enlace de VPN desde Azure Portal, vaya a las puertas de enlace de red virtual y seleccione el nombre de su puerta de enlace.

En función del dispositivo VPN que tenga, es posible que pueda descargar un script de configuración del mismo. Para más información, consulte Descarga de scripts de configuración de dispositivos VPN para conexiones VPN S2S.

Para obtener más información de configuración, consulte los vínculos siguientes:

• Para obtener más información sobre dispositivos VPN compatibles, consulte Dispositivos VPN.
• Antes de configurar el dispositivo VPN, compruebe que no haya problemas conocidos de compatibilidad para el dispositivo VPN que desee usar.
• Para obtener vínculos a los valores de configuración del dispositivo, consulte Dispositivos VPN validados. Los vínculos de la configuración de dispositivos se proporcionan dentro de lo posible. Siempre es mejor ponerse en contacto con el fabricante del dispositivo para obtener la información de configuración más reciente. La lista muestra las versiones que hemos probado. Si su sistema operativo no está en esa lista, sigue siendo posible que la versión sea compatible. Póngase en contacto con el fabricante del dispositivo para comprobar que la versión del sistema operativo para el dispositivo VPN sea compatible.
• Para ver una introducción a la configuración de dispositivos VPN, consulte Información general sobre configuraciones de dispositivos VPN de terceros.
• Para obtener información sobre cómo modificar los ejemplos de configuración de dispositivo, consulte Edición de ejemplos.
• Para conocer los requisitos criptográficos, consulte About cryptographic requirements and Azure VPN gateways (Acerca de los requisitos criptográficos y la puertas de enlace de VPN de Azure).
• Para obtener información acerca de los parámetros de protocolo de seguridad de Internet/intercambio de claves por red, consulte Acerca de los dispositivos VPN y los parámetros de IPsec/IKE para conexiones de puerta de enlace de VPN de sitio a sitio. Este vínculo muestra información acerca de la versión de IKE, grupo Diffie-Hellman, método de autenticación, algoritmos de hash y cifrado, duración de SA, PFS y DPD, además de otra información de parámetros que necesarios para completar la configuración.
• Para conocer los pasos de la configuración de la directiva de protocolo de seguridad de Internet/intercambio de claves por red, consulte Configuración de la directiva de protocolo de seguridad de Internet/intercambio de claves por red para conexiones de red virtual a red virtual o VPN de sitio a sitio.
• Para conectar con dispositivos VPN basados en directivas, consulte Conexión de puertas de enlace Azure VPN Gateway a varios dispositivos VPN locales basados en directivas con PowerShell.

Configuración de una conexión

Creación de una conexión VPN de sitio a sitio entre la puerta de enlace de la red virtual y el dispositivo VPN local.

Cree una conexión con los valores siguientes:

• Nombre de la puerta de enlace de red local: Site1
• Nombre de la conexión: VNet1toSite1
• Clave compartida: en este ejemplo, usamos abc123. Sin embargo, puede usar cualquiera compatible con el hardware VPN. Lo importante es que los valores coincidan en ambos lados de la conexión.

1. Vaya a la red virtual. En la página de la red virtual, a la izquierda, seleccione Dispositivos conectados. Busque la puerta de enlace de VPN y selecciónela para abrirla.

2. En la página de la puerta de enlace, seleccione Conexiones.

3. En la parte superior de la página Conexiones, seleccione +Agregar para abrir la página Crear conexión.

   

4. En la página Crear conexión, en la pestaña Aspectos básicos, configure los valores de la conexión:

   • En Detalles del proyecto, seleccione la suscripción y el grupo de recursos donde se encuentren los recursos.

   • En Detalles de la instancia, configure las siguientes opciones:

     • Tipo de conexión: Seleccione Sitio a sitio (IPSec) .
     • Nombre: asigne un nombre a la conexión.
     • Región: Seleccione la región de esta conexión.

5. Seleccione la pestaña Configuración y configure los valores siguientes:

   

   • Puerta de enlace de red virtual: seleccione la puerta de enlace de red virtual de la lista desplegable.
   • Puerta de enlace de red local: seleccione la puerta de enlace de red local de la lista desplegable.
   • Clave compartida: este valor debe coincidir con el que usa para el dispositivo VPN local.
   • Protocolo IKE: seleccione IKEv2.
   • Usar la dirección IP privada de Azure: no seleccionar.
   • Habilitar BGP: no seleccionar.
   • FastPath: no seleccionar.
   • Directiva de IPsec/IKE: seleccione Valor predeterminado.
   • Usar el selector de tráfico basado en directivas: seleccione Deshabilitar.
   • Tiempo de expiración de DPD en segundos: seleccione 45.
   • Modo de conexión: seleccione Predeterminado. Este valor se usa para especificar qué puerta de enlace puede iniciar la conexión. Para obtener más información, consulte Configuración de VPN Gateway: modos de conexión.

6. En Asociaciones de reglas de NAT, deje tanto la opción Entrada como Salida en 0 seleccionadas.

7. Seleccione Revisar y crear para validar la configuración de la conexión.

8. Seleccione Create (Crear) para crear la conexión.

9. Una vez que termine la implementación, podrá ver la conexión en la página Conexiones de la puerta de enlace de red virtual. El estado cambiará de Desconocido a Conectando y, después, a Correcto.

Visualización y comprobación de la conexión VPN

En Azure Portal, puede ver el estado de la conexión de una instancia de VPN Gateway navegando a la conexión. Los pasos siguientes muestran una manera de ir a la conexión y de realizar las comprobaciones necesarias.

1. En el menú de Azure Portal, seleccione Todos los recursos o busque y seleccione Todos los recursos en cualquier página.
2. Seleccione la puerta de enlace de red virtual.
3. En el panel de la puerta de enlace de red virtual, seleccione Conexiones. Puede ver el estado de cada conexión.
4. Seleccione el nombre de la conexión que desee comprobar para abrir Essentials. En el panel Essentials, podrá ver más información acerca de la conexión. El estado será Correcto y Conectado después de realizar una conexión correcta.

Quitar una conexión

1. En el portal, vaya a la página Conexiones de su puerta de enlace VPN.
2. Haga clic en la conexión que desee modificar. Se abrirá la página de la conexión.
3. Haga clic en Eliminar para quitar la conexión.

Pasos siguientes

Para obtener más información sobre las configuraciones de puerta de enlace VPN de sitio a sitio, vea Tutorial: Configuración de una puerta de enlace VPN sitio a sitio.