Creación de una conexión de sitio a sitio mediante Azure Portal (clásico)
Este artículo muestra cómo usar Azure Portal para crear una conexión de puerta de enlace VPN de sitio a sitio desde la red local a la red virtual. Los pasos de este artículo se aplican al modelo de implementación clásica (heredada), y no al modelo de implementación actual, Resource Manager. Consulte la versión de Resource Manager de este artículo en su lugar.
Importante
Ya no puede crear nuevas puertas de enlace de red virtual para redes virtuales del modelo de implementación clásica (administración de servicios). Las nuevas puertas de enlace de red virtual solo se pueden crear para redes virtuales de Resource Manager.
Se utiliza una conexión de puerta de enlace VPN de sitio a sitio para conectar su red local a una red virtual de Azure a través de un túnel VPN de IPsec/IKE (IKEv1 o IKEv2). Este tipo de conexión requiere un dispositivo VPN local que tenga una dirección IP pública asignada. Para más información acerca de las puertas de enlace VPN, consulte Acerca de VPN Gateway.
Nota
Este artículo se ha escrito para el modelo de implementación clásica (heredada). Se recomienda usar el modelo de implementación de Azure más reciente en su lugar. El modelo de implementación de Resource Manager es el modelo más reciente y ofrece más opciones y compatibilidad de características que el modelo de implementación clásica. Para comprender la diferencia entre estos dos modelos de implementación, consulte Conozca los modelos de implementación y el estado de los recursos.
Si desea usar una versión diferente de este artículo, use la tabla de contenido en el panel izquierdo.
Antes de empezar
Antes de comenzar con la configuración, compruebe que se cumplen los criterios siguientes:
- Compruebe que desea trabajar en el modelo de implementación clásica. Si desea trabajar en el modelo de implementación de Resource Manager, consulte Creación de una conexión de sitio a sitio (Resource Manager). Se recomienda usar el modelo de implementación de Resource Manager, ya que el modelo clásico es heredado.
- Asegúrese de tener un dispositivo VPN compatible y alguien que pueda configurarlo. Para más información acerca de los dispositivos VPN compatibles y su configuración, consulte Acerca de los dispositivos VPN.
- Compruebe que tiene una dirección IPv4 pública externa para el dispositivo VPN.
- Si no está familiarizado con los intervalos de direcciones IP ubicados en la red local, necesita trabajar con alguien que pueda proporcionarle estos detalles. Al crear esta configuración, debe especificar los prefijos del intervalo de direcciones IP al que Azure enrutará la ubicación local. Ninguna de las subredes de la red local puede superponerse con las subredes de la red virtual a la que desea conectarse.
- Se requiere PowerShell para especificar la clave compartida y crear la conexión de puerta de enlace VPN. Cuando se trabaja con el modelo de implementación clásica, no se puede usar Azure Cloud Shell. En su lugar, debe instalar la versión más reciente de los cmdlets de PowerShell para Azure Service Management (SM) en el equipo. Estos cmdlets son diferentes de los de AzureRM o Az. Para instalar los cmdlets de SM, consulte Instalación de cmdlets de Service Management. Para más información sobre Azure PowerShell en general, consulte la documentación de Azure PowerShell.
Valores de configuración de ejemplo para este ejercicio
Los ejemplos de este artículo utilizan los valores siguientes. Puede usar estos valores para crear un entorno de prueba o hacer referencia a ellos para comprender mejor los ejemplos de este artículo. Normalmente, cuando se trabaja con valores de dirección IP para el espacio de direcciones, se debe coordinar con el administrador de red para evitar espacios de direcciones superpuestos, lo que puede afectar al enrutamiento. En este caso, reemplace los valores de dirección IP por los suyos propios si quiere crear una conexión operativa.
- Grupos de recursos: TestRG1
- Nombre de la red virtual: TestVNet1
- Espacio de direcciones: 10.11.0.0/16
- Nombre de subred: FrontEnd
- Intervalo de direcciones de subred: 10.11.0.0/24
- GatewaySubnet: 10.11.255.0/27
- Región: (EE. UU.) Este de EE. UU.
- Nombre del sitio local: Site2
- Espacio de direcciones de cliente: el espacio de direcciones que se encuentra en el sitio local.
Creación de una red virtual
Cuando se crea una red virtual que se usará para una conexión S2S, debe asegurarse de que los espacios de direcciones que especifique no se superponen con ninguno de los espacios de direcciones de cliente de los sitios locales a los que desea conectarse. Si tiene subredes superpuestas, la conexión no funcionará correctamente.
Si ya dispone de una red virtual, compruebe que la configuración sea compatible con el diseño de la puerta de enlace de VPN. Preste especial atención a las subredes que podrían superponerse con otras redes.
Si no tiene una red virtual, créela. Las capturas de pantalla se proporcionan a modo de ejemplo. Asegúrese de reemplazar los valores por los suyos.
Creación de una red virtual
- Desde un explorador, vaya Azure Portal y, si fuera necesario, inicie sesión con su cuenta de Azure.
- Seleccione +Crear un recurso. En el campo Buscar en el Marketplace, escriba "Virtual Network". En la lista de resultados, busque Virtual Network y seleccione esa opción para abrir la página Virtual Network.
- En la página Virtual Network, debajo del botón Crear, verá "Deploy with Resource Manager (change to Classic)" [Implementar con Resource Manager (cambiar a la versión clásica)]. Resource Manager es el valor predeterminado para crear una red virtual. No obstante, no quiere crear una red virtual de Resource Manager. Seleccione (change to Classic) (cambiar a la versión clásica) para crear una red virtual clásica. A continuación, elija la pestaña Información general y seleccione Crear.
- En la página Create virtual network(classic) [Crear red virtual (clásica)], en la pestaña Aspectos básicos, configure las opciones de la red virtual con los valores de ejemplo.
- Seleccione Revisar y crear para validar la red virtual.
- Se ejecuta la validación. Una vez validada la red virtual, seleccione Crear.
La configuración de DNS no es un paso necesario de esta configuración, pero el servidor DNS es necesario si quiere resolver los nombres de las VM. La especificación de un valor no crea un servidor DNS nuevo. La dirección IP del servidor DNS que especifique debe ser un servidor DNS que pueda resolver los nombres de los recursos a los que se conecta.
Después de crear la red virtual, puede agregar la dirección IP de un servidor DNS para controlar la resolución de nombres. Abra la configuración de su red virtual, seleccione los servidores DNS y agregue la dirección IP del servidor DNS que quiere utilizar para la resolución de nombres.
- Busque la red virtual en el portal.
- En la página de la red virtual, en la sección Configuración, haga clic en Servidores DNS.
- Agregue un servidor DNS.
- Para guardar la configuración, haga clic en Guardar en la parte superior de la página.
Configuración del sitio y la puerta de enlace
Configuración del sitio
Normalmente, sitio local suele hacer referencia a la ubicación local. Contiene la dirección IP del dispositivo VPN al que se creará una conexión y los intervalos de direcciones IP que se enrutarán a través de la puerta de enlace VPN al dispositivo VPN.
En la página de la red virtual, en Configuración, seleccione Conexiones de sitio a sitio.
En la página Conexiones de sitio a sitio, seleccione + Agregar.
En la página Configurar una conexión VPN y una puerta de enlace, para Tipo de conexión, deje seleccionado De sitio a sitio. Para este ejercicio, debe usar una combinación de los valores de ejemplo y sus propios valores.
Dirección IP de la puerta de enlace de VPN: es la dirección IP pública del dispositivo VPN en la red local. El dispositivo VPN requiere una dirección IP IPv4 pública. Especifique una dirección IP pública válida para el dispositivo VPN al que desea conectarse. Debe ser accesible para Azure. Si no conoce la dirección IP del dispositivo VPN, siempre puede poner un valor de marcador de posición (siempre que tenga el formato de una dirección IP pública válida) y cambiarlo más adelante.
Espacio de direcciones de cliente: lista de los intervalos de direcciones IP que quiere enrutar a la red local mediante esta puerta de enlace. Puede agregar varios intervalos de espacios de direcciones. Asegúrese de que los intervalos que especifica aquí no se superponen con los intervalos de otras redes a la que se conecta su red virtual, ni con los intervalos de direcciones de la propia red virtual.
En la parte inferior de la página, NO seleccione Revisar y crear. En su lugar, seleccione Siguiente: Puerta de enlace>.
Configuración de la puerta de enlace de red virtual
En la página Puerta de enlace, seleccione los siguientes valores:
Size: Es la SKU de la puerta de enlace que va a usa para crear la puerta de enlace de red virtual. Las puertas de enlace de VPN clásicas utilizan las SKU antiguas (heredadas). Para más información acerca de las SKU antiguas de puerta de enlace, consulte Funcionamiento de SKU de puerta de enlace de red virtual (SKU antigua). Puede seleccionar Estándar para este ejercicio.
Subred de puerta de enlace: El tamaño de la subred de la puerta de enlace que especifique depende de la configuración de la puerta de enlace VPN que desea crear. Aunque es posible crear una subred de puerta de enlace tan pequeña como /29, le recomendamos que use /27 o /28. Esto crea una subred mayor que incluye más direcciones. El uso de una subred de la puerta de enlace mayor permite suficientes direcciones IP para dar cabida a posibles configuraciones futuras.
En la parte inferior de la página, seleccione Revisar y crear para validar la configuración. Seleccione Crear para realizar la implementación. Según la SKU de puerta de enlace que seleccione, puede tardar hasta 45 minutos en crear una puerta de enlace de red virtual.
Configurar el dispositivo VPN
Las conexiones de sitio a sitio a una red local requieren un dispositivo VPN. En este paso, se configura el dispositivo VPN. Para configurar el dispositivo VPN, necesita los valores siguientes:
- Una clave compartida. Se trata de la misma clave compartida que se especifica al crear la conexión VPN de sitio a sitio. En estos ejemplos se utiliza una clave compartida básica. Se recomienda que genere y utilice una clave más compleja.
- La dirección IP pública de la puerta de enlace de red virtual. Puede ver la dirección IP pública mediante Azure Portal, PowerShell o la CLI.
En función del dispositivo VPN que tenga, es posible que pueda descargar un script de configuración del mismo. Para más información, consulte Descarga de scripts de configuración de dispositivos VPN para conexiones VPN S2S.
En los siguientes vínculos se proporciona más información de configuración:
Para obtener más información sobre dispositivos VPN compatibles, consulte Acerca de los dispositivos VPN.
Antes de configurar el dispositivo VPN, compruebe si hay problemas conocidos de compatibilidad de dispositivos.
Para obtener vínculos a los valores de configuración del dispositivo, consulte Dispositivos VPN validados. Proporcionamos los vínculos de configuración de dispositivos en la medida de lo posible, pero siempre es mejor comprobar con el fabricante del dispositivo la información de configuración más reciente.
En la lista se muestran las versiones que probamos. Aunque la versión del sistema operativo del dispositivo VPN no aparezca en la lista, podría ser compatible. Consulte con el fabricante del dispositivo.
Para obtener información básica sobre la configuración de dispositivos VPN, consulte Introducción a las configuraciones de dispositivos VPN de asociados.
Para obtener información sobre cómo modificar los ejemplos de configuración de dispositivo, consulte Edición de ejemplos.
Para conocer los requisitos criptográficos, consulte About cryptographic requirements and Azure VPN gateways (Acerca de los requisitos criptográficos y la puertas de enlace de VPN de Azure).
Para obtener información sobre los parámetros que necesita para completar la configuración, consulte Parámetros de IPsec o IKE predeterminados. La información incluye la versión de IKE, el grupo Diffie-Hellman (DH), el método de autenticación, los algoritmos de cifrado y hash, la duración de la asociación de seguridad (SA), la confidencialidad directa total (PFS) y la detección de elementos del mismo nivel inactivos (DPD).
Para conocer los pasos de configuración de la directiva IPsec o IKE, consulte Configuración de directivas de conexión IPsec o IKE personalizadas para VPN S2S y red virtual a red virtual.
Para conectar con varios dispositivos VPN basados en directivas, consulte Conexión de una puerta de enlace de VPN a varios dispositivos VPN locales basados en directivas.
Recuperación de valores
Cuando crea redes virtuales clásicas en Azure Portal, el nombre que ve no es el nombre completo que usa para PowerShell. Por ejemplo, una red virtual que pareciera tener el nombre TestVNet1 en el portal podría tener un nombre mucho más largo en el archivo de configuración de red. En el caso de una red virtual del grupo de recursos "ClassicRG" el nombre sería algo así: Group ClassicRG TestVNet1. Cuando cree conexiones, es importante usar los valores que ve en el archivo de configuración de red.
En los pasos siguientes, se conectará a la cuenta de Azure y descargará y verá el archivo de configuración de red para obtener los valores requeridos para las conexiones.
Descargue e instale la versión más reciente de los cmdlets de PowerShell para Azure Service Management (SM). La mayoría de los usuarios tienen los módulos de Resource Manager instalados localmente, pero no tienen módulos para la administración de servicios. Los módulos de administración de servicios son heredados y deben instalarse por separado. Para obtener más información, consulte la Instalación de los cmdlets de administración de servicios.
Abra la consola de PowerShell con privilegios elevados y conéctela a su cuenta. Use los siguientes ejemplos para conectarse. Estos comandos se deben ejecutar localmente mediante el módulo de administración de servicios de PowerShell. Conéctese a su cuenta. Use el siguiente ejemplo para conectarse:
Add-AzureAccount
Compruebe las suscripciones para la cuenta.
Get-AzureSubscription
Si tiene varias suscripciones, seleccione la que quiera usar.
Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"
Cree un directorio en el equipo. Por ejemplo, C:\AzureVNet
Exporte el archivo de configuración de red al directorio. En este ejemplo, se exporta el archivo de configuración de red a C:\AzureNet.
Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
Abra el archivo con un editor de texto y consulte los nombres de las redes virtuales y los sitios. Estos serán los nombres que usará cuando cree las conexiones.
Los nombres de las redes virtuales aparecen como VirtualNetworkSite name =
Los nombres de los sitios aparecen como LocalNetworkSiteRef name =
Creación de la conexión
Nota:
En el modelo de implementación clásica, este paso no está disponible en Azure Portal o a través de Azure Cloud Shell. Debe usar la versión para Service Management (SM) de los cdmlets de Azure PowerShell localmente desde el escritorio.
En este paso, con los valores de los pasos anteriores, establezca la clave compartida y cree la conexión. La clave que establezca debe ser la misma que se usó en la configuración del dispositivo VPN.
Establezca la clave compartida y cree la conexión.
- Cambie los valores de -VNetName y -LocalNetworkSiteName. Al especificar el nombre que contiene espacios, escriba el valor entre comillas simples.
- "SharedKe" es un valor que se puede generar y especificar. En el ejemplo, hemos usado "abc123" pero puede usar algo más complejo. Lo importante es que el valor que especifique aquí debe ser el mismo que el que se especificó al configurar el dispositivo VPN.
Set-AzureVNetGatewayKey -VNetName 'Group TestRG1 TestVNet1' ` -LocalNetworkSiteName '6C74F6E6_Site2' -SharedKey abc123
Cuando se crea la conexión, el resultado es: Estado: Correcto.
Comprobación de la conexión
En Azure Portal, puede ver el estado de la conexión de una instancia de VPN Gateway de la red virtual clásica navegando a la conexión. Los pasos siguientes muestran una manera de navegar a su conexión y realizar las comprobaciones necesarias.
- En Azure Portal, vaya a la red virtual clásica.
- En la página de la red virtual, haga clic en el tipo de conexión que desea ver. Por ejemplo, Conexiones de sitio a sitio.
- En la página Conexiones de sitio a sitio, en Nombre, seleccione la conexión de sitio que desea ver.
- En la página Propiedades, vea la información acerca de la conexión.
Si tiene problemas para conectarse, consulte la sección Solución de problemas de la tabla de contenido en el panel izquierdo.
Procedimientos para restablecer una puerta de enlace de VPN
Restablecer una puerta de enlace de VPN de Azure es útil si se pierde la conectividad VPN entre locales en uno o varios túneles VPN de sitio a sitio. En esta situación, todos tus dispositivos VPN locales funcionan correctamente, pero no pueden establecer túneles IPsec con las puertas de enlace de VPN de Azure.
El cmdlet para restablecer una puerta de enlace clásica es Reset-AzureVNetGateway. Los cmdlets de Azure PowerShell para la administración de servicios deben instalarse localmente en el escritorio. No se puede usar Azure Cloud Shell. Antes de realizar el restablecimiento, asegúrese de disponer de la versión más reciente de los cmdlets de PowerShell de Service Management (SM).
Cuando emplee este comando, asegúrese de que está usando el nombre completo de la red virtual. Las redes virtuales clásicas que se crearon con el portal tienen un nombre largo que es necesario para PowerShell. Puede ver el nombre largo mediante Get-AzureVNetConfig -ExportToFile C:\Myfoldername\NetworkConfig.xml
.
En el ejemplo siguiente se restablece la puerta de enlace de una red virtual denominada "Group TestRG1 TestVNet1" (que se muestra simplemente como "TestVNet1" en el portal):
Reset-AzureVNetGateway –VnetName 'Group TestRG1 TestVNet1'
Resultado:
Error :
HttpStatusCode : OK
Id : f1600632-c819-4b2f-ac0e-f4126bec1ff8
Status : Successful
RequestId : 9ca273de2c4d01e986480ce1ffa4d6d9
StatusCode : OK
Cómo cambiar el tamaño de una SKU de puerta de enlace
Para cambiar el tamaño de una puerta de enlace al modelo de implementación clásica, debe usar los cmdlets de PowerShell de administración de servicios. Use el comando siguiente:
Resize-AzureVirtualNetworkGateway -GatewayId <Gateway ID> -GatewaySKU HighPerformance
Pasos siguientes
- Una vez completada la conexión, puede agregar máquinas virtuales a las redes virtuales. Consulte Virtual Machines para más información.
- Para más información acerca de la tunelización forzada, consulte la información acerca de la tunelización forzada.