Creación de una conexión de sitio a sitio mediante Azure Portal (clásico)

Este artículo muestra cómo usar Azure Portal para crear una conexión de puerta de enlace VPN de sitio a sitio desde la red local a la red virtual. Los pasos de este artículo se aplican al modelo de implementación clásica, no al modelo de implementación actual, Resource Manager. También se puede crear esta configuración con una herramienta o modelo de implementación distintos, mediante la selección de una opción diferente en la lista siguiente:

Se utiliza una conexión de puerta de enlace VPN de sitio a sitio para conectar su red local a una red virtual de Azure a través de un túnel VPN de IPsec/IKE (IKEv1 o IKEv2). Este tipo de conexión requiere un dispositivo VPN local que tenga una dirección IP pública asignada. Para más información acerca de las puertas de enlace VPN, consulte Acerca de VPN Gateway.

Site-to-Site VPN Gateway cross-premises connection diagram

Antes de empezar

Antes de comenzar con la configuración, compruebe que se cumplen los criterios siguientes:

  • Compruebe que desea trabajar en el modelo de implementación clásica. Si desea trabajar en el modelo de implementación de Resource Manager, consulte Creación de una conexión de sitio a sitio (Resource Manager). Se recomienda usar el modelo de implementación de Resource Manager, ya que el modelo clásico es heredado.
  • Asegúrese de tener un dispositivo VPN compatible y alguien que pueda configurarlo. Para más información acerca de los dispositivos VPN compatibles y su configuración, consulte Acerca de los dispositivos VPN.
  • Compruebe que tiene una dirección IPv4 pública externa para el dispositivo VPN.
  • Si no está familiarizado con los intervalos de direcciones IP ubicados en la red local, necesita trabajar con alguien que pueda proporcionarle estos detalles. Al crear esta configuración, debe especificar los prefijos del intervalo de direcciones IP al que Azure enrutará la ubicación local. Ninguna de las subredes de la red local puede superponerse con las subredes de la red virtual a la que desea conectarse.
  • Se requiere PowerShell para especificar la clave compartida y crear la conexión de puerta de enlace VPN. Cuando se trabaja con el modelo de implementación clásica, no se puede usar Azure Cloud Shell. En su lugar, debe instalar la versión más reciente de los cmdlets de PowerShell para Azure Service Management (SM) en el equipo. Estos cmdlets son diferentes de los de AzureRM o Az. Para instalar los cmdlets de SM, consulte Instalación de cmdlets de Service Management. Para más información sobre Azure PowerShell en general, consulte la documentación de Azure PowerShell.

Valores de configuración de ejemplo para este ejercicio

Los ejemplos de este artículo utilizan los valores siguientes. Puede usar estos valores para crear un entorno de prueba o hacer referencia a ellos para comprender mejor los ejemplos de este artículo. Normalmente, cuando se trabaja con valores de dirección IP para el espacio de direcciones, se debe coordinar con el administrador de red para evitar espacios de direcciones superpuestos, lo que puede afectar al enrutamiento. En este caso, reemplace los valores de dirección IP por los suyos propios si quiere crear una conexión operativa.

  • Grupos de recursos: TestRG1
  • Nombre de la red virtual: TestVNet1
  • Espacio de direcciones: 10.11.0.0/16
  • Nombre de subred: FrontEnd
  • Intervalo de direcciones de subred: 10.11.0.0/24
  • GatewaySubnet: 10.11.255.0/27
  • Región: (EE. UU.) Este de EE. UU.
  • Nombre del sitio local: Site2
  • Espacio de direcciones de cliente: el espacio de direcciones que se encuentra en el sitio local.

Creación de una red virtual

Cuando se crea una red virtual que se usará para una conexión S2S, debe asegurarse de que los espacios de direcciones que especifique no se superponen con ninguno de los espacios de direcciones de cliente de los sitios locales a los que desea conectarse. Si tiene subredes superpuestas, la conexión no funcionará correctamente.

  • Si ya dispone de una red virtual, compruebe que la configuración sea compatible con el diseño de la puerta de enlace de VPN. Preste especial atención a las subredes que se pueden superponer con otras redes.

  • Si no tiene una red virtual, créela. Las capturas de pantalla se proporcionan a modo de ejemplo. Asegúrese de reemplazar los valores por los suyos.

Creación de una red virtual

  1. Desde un explorador, vaya Azure Portal y, si fuera necesario, inicie sesión con su cuenta de Azure.
  2. Seleccione +Crear un recurso. En el campo Buscar en el Marketplace, escriba "Virtual Network". En la lista de resultados, busque Virtual Network y seleccione esa opción para abrir la página Virtual Network.
  3. En la página Virtual Network, debajo del botón Crear, verá "Deploy with Resource Manager (change to Classic)" [Implementar con Resource Manager (cambiar a la versión clásica)]. Resource Manager es el valor predeterminado para crear una red virtual. No obstante, no quiere crear una red virtual de Resource Manager. Seleccione (change to Classic) (cambiar a la versión clásica) para crear una red virtual clásica. A continuación, elija la pestaña Información general y seleccione Crear.
  4. En la página Create virtual network(classic) [Crear red virtual (clásica)], en la pestaña Aspectos básicos, configure las opciones de la red virtual con los valores de ejemplo.
  5. Seleccione Revisar y crear para validar la red virtual.
  6. Se ejecuta la validación. Una vez validada la red virtual, seleccione Crear.

La configuración de DNS no es un paso necesario de esta configuración, pero el servidor DNS es necesario si quiere resolver los nombres de las VM. La especificación de un valor no crea un servidor DNS nuevo. La dirección IP del servidor DNS que especifique debe ser un servidor DNS que pueda resolver los nombres de los recursos a los que se conecta.

Después de crear la red virtual, puede agregar la dirección IP de un servidor DNS para controlar la resolución de nombres. Abra la configuración de su red virtual, seleccione los servidores DNS y agregue la dirección IP del servidor DNS que quiere utilizar para la resolución de nombres.

  1. Busque la red virtual en el portal.
  2. En la página de la red virtual, en la sección Configuración, haga clic en Servidores DNS.
  3. Agregue un servidor DNS.
  4. Para guardar la configuración, haga clic en Guardar en la parte superior de la página.

Configuración del sitio y la puerta de enlace

Configuración del sitio

Normalmente, sitio local suele hacer referencia a la ubicación local. Contiene la dirección IP del dispositivo VPN al que se creará una conexión y los intervalos de direcciones IP que se enrutarán a través de la puerta de enlace VPN en el dispositivo VPN.

  1. En la página de la red virtual, en Configuración, seleccione Conexiones de sitio a sitio.

  2. En la página Conexiones de sitio a sitio, seleccione + Agregar.

  3. En la página Configurar una conexión VPN y una puerta de enlace, para Tipo de conexión, deje seleccionado De sitio a sitio. Para este ejercicio, debe usar una combinación de los valores de ejemplo y sus propios valores.

    • Dirección IP de la puerta de enlace de VPN: es la dirección IP pública del dispositivo VPN en la red local. El dispositivo VPN requiere una dirección IP IPv4 pública. Especifique una dirección IP pública válida para el dispositivo VPN al que desea conectarse. Debe ser accesible para Azure. Si no conoce la dirección IP del dispositivo VPN, siempre puede poner un valor de marcador de posición (siempre que tenga el formato de una dirección IP pública válida) y cambiarlo más adelante.

    • Espacio de direcciones de cliente: lista de los intervalos de direcciones IP que quiere enrutar a la red local mediante esta puerta de enlace. Puede agregar varios intervalos de espacios de direcciones. Asegúrese de que los intervalos que especifique aquí no se superponen con los intervalos de otras redes a la que se conecta su red virtual, ni con los intervalos de direcciones de la propia red virtual.

  4. En la parte inferior de la página, NO seleccione Revisar y crear. En su lugar, seleccione Siguiente: Puerta de enlace>.

Configuración de la puerta de enlace de red virtual

  1. En la página Puerta de enlace, seleccione los siguientes valores:

    • Size: Es la SKU de la puerta de enlace que va a usa para crear la puerta de enlace de red virtual. Las puertas de enlace de VPN clásicas utilizan las SKU antiguas (heredadas). Para más información acerca de las SKU antiguas de puerta de enlace, consulte Funcionamiento de SKU de puerta de enlace de red virtual (SKU antigua). Puede seleccionar Estándar para este ejercicio.

    • Tipo de enrutamiento: Seleccione el tipo de enrutamiento de la puerta de enlace. Esto también se conoce como tipo de VPN. Es importante seleccionar el tipo correcto porque la puerta de enlace no se puede convertir de un tipo a otro. El dispositivo VPN debe ser compatible con el tipo de enrutamiento que seleccione. Para más información acerca del tipo de enrutamiento, consulte Acerca de la configuración de VPN Gateway. Verá que muchos artículos hacen referencia a los tipos de VPN 'RouteBased' y 'PolicyBased'. 'Dynamic' corresponde a 'RouteBased' y 'Static' corresponde a 'PolicyBased'. Normalmente, se quiere el enrutamiento dinámico.

    • Subred de puerta de enlace: El tamaño de la subred de la puerta de enlace que especifique depende de la configuración de la puerta de enlace VPN que desea crear. Aunque es posible crear una puerta de enlace tan pequeña como /29, le recomendamos que use /27 o /28. Esto crea una subred mayor que incluye más direcciones. El uso de una subred de la puerta de enlace mayor permite suficientes direcciones IP para dar cabida a posibles configuraciones futuras.

  2. En la parte inferior de la página, seleccione Revisar y crear para validar la configuración. Seleccione Crear para realizar la implementación. Según la SKU de puerta de enlace que seleccione, puede tardar hasta 45 minutos en crear una puerta de enlace de red virtual.

Configurar el dispositivo VPN

Las conexiones de sitio a sitio a una red local requieren un dispositivo VPN. En este paso, se configura el dispositivo VPN. Para configurar el dispositivo VPN, necesita los valores siguientes:

  • Una clave compartida. Se trata de la misma clave compartida que se especifica al crear la conexión VPN de sitio a sitio. En estos ejemplos se utiliza una clave compartida básica. Se recomienda que genere y utilice una clave más compleja.
  • La dirección IP pública de la puerta de enlace de red virtual. Puede ver la dirección IP pública mediante Azure Portal, PowerShell o la CLI.

Para descargar el script de configuración de dispositivos VPN:

En función del dispositivo VPN que tenga, es posible que pueda descargar un script de configuración del mismo. Para más información, consulte Descarga de scripts de configuración de dispositivos VPN para conexiones VPN S2S.

En los siguientes vínculos encontrará más información acerca de la configuración:

Recuperación de valores

Cuando crea redes virtuales clásicas en Azure Portal, el nombre que ve no es el nombre completo que usa para PowerShell. Por ejemplo, una red virtual que pareciera tener el nombre TestVNet1 en el portal podría tener un nombre mucho más largo en el archivo de configuración de red. En el caso de una red virtual del grupo de recursos "ClassicRG" el nombre sería algo así: Group ClassicRG TestVNet1. Cuando cree conexiones, es importante usar los valores que ve en el archivo de configuración de red.

En los pasos siguientes, se conectará a la cuenta de Azure y descargará y verá el archivo de configuración de red para obtener los valores requeridos para las conexiones.

  1. Descargue e instale la versión más reciente de los cmdlets de PowerShell para Azure Service Management (SM). La mayoría de los usuarios tienen los módulos de Resource Manager instalados localmente, pero no tienen módulos para la administración de servicios. Los módulos de administración de servicios son heredados y deben instalarse por separado. Para obtener más información, consulte la Instalación de los cmdlets de administración de servicios.

  2. Abra la consola de PowerShell con privilegios elevados y conéctela a su cuenta. Use los siguientes ejemplos para conectarse. Estos comandos se deben ejecutar localmente mediante el módulo de administración de servicios de PowerShell. Conéctese a su cuenta. Use el siguiente ejemplo para conectarse:

    Add-AzureAccount
    
  3. Compruebe las suscripciones para la cuenta.

    Get-AzureSubscription
    
  4. Si tiene varias suscripciones, seleccione la que quiera usar.

    Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"
    
  5. Cree un directorio en el equipo. Por ejemplo, C:\AzureVNet

  6. Exporte el archivo de configuración de red al directorio. En este ejemplo, se exporta el archivo de configuración de red a C:\AzureNet.

    Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
    
  7. Abra el archivo con un editor de texto y consulte los nombres de las redes virtuales y los sitios. Estos serán los nombres que usará cuando cree las conexiones.
    Los nombres de las redes virtuales aparecen como VirtualNetworkSite name =
    Los nombres de los sitios aparecen como LocalNetworkSiteRef name =

Creación de la conexión

Nota:

En el modelo de implementación clásica, este paso no está disponible en Azure Portal o a través de Azure Cloud Shell. Debe usar la versión para Service Management (SM) de los cdmlets de Azure PowerShell localmente desde el escritorio.

En este paso, con los valores de los pasos anteriores, establezca la clave compartida y cree la conexión. La clave que se establezca debe ser la misma que se usó en la configuración del dispositivo VPN.

  1. Establezca la clave compartida y cree la conexión.

    • Cambie los valores de -VNetName y -LocalNetworkSiteName. Al especificar el nombre que contiene espacios, escriba el valor entre comillas simples.
    • "SharedKe" es un valor que se puede generar y especificar. En el ejemplo, hemos usado "abc123" pero puede usar algo más complejo. Lo importante es que el valor que especifique aquí debe ser el mismo que el que se especificó al configurar el dispositivo VPN.
    Set-AzureVNetGatewayKey -VNetName 'Group TestRG1 TestVNet1' `
    -LocalNetworkSiteName '6C74F6E6_Site2' -SharedKey abc123
    
  2. Cuando se crea la conexión, el resultado es: Estado: Correcto.

Comprobación de la conexión

En Azure Portal, puede ver el estado de la conexión de una instancia de VPN Gateway de la red virtual clásica navegando a la conexión. Los pasos siguientes muestran una manera de navegar a su conexión y realizar las comprobaciones necesarias.

  1. En Azure Portal, vaya a la red virtual clásica.
  2. En la página de la red virtual, haga clic en el tipo de conexión que desea ver. Por ejemplo, Conexiones de sitio a sitio.
  3. En la página Conexiones de sitio a sitio, en Nombre, seleccione la conexión de sitio que desea ver.
  4. En la página Propiedades, vea la información acerca de la conexión.

Si tiene problemas para conectarse, consulte la sección de solución de problemas de la tabla de contenido en el panel izquierdo.

Procedimientos para restablecer una puerta de enlace de VPN

Restablecer una puerta de enlace de VPN de Azure es útil si se pierde la conectividad VPN entre locales en uno o varios túneles VPN de sitio a sitio. En esta situación, todos tus dispositivos VPN locales funcionan correctamente, pero no pueden establecer túneles IPsec con las Puertas de enlace de VPN de Azure. Para conocer los pasos, consulte Restablecimiento de una puerta de enlace de VPN.

Procedimientos para cambiar la SKU de una puerta de enlace

Para que conocer los pasos para cambiar la SKU de puerta de enlace, consulte la sección Cambio de tamaño de las SKU de una puerta de enlace.

Pasos siguientes