Configuración de una conexión de VPN Gateway de red virtual a red virtual: Azure Portal

Este artículo le ayuda a conectarse a redes virtuales mediante el tipo de conexión de red virtual a red virtual y Azure Portal. Las redes virtuales pueden estar en distintas regiones y provenir de distintas suscripciones. Al conectar redes virtuales provenientes de distintas suscripciones, no es necesario que las suscripciones estén asociadas con el mismo inquilino. Este tipo de configuración crea una conexión entre dos puertas de enlace de red virtual. Este artículo no se aplica al emparejamiento de redes virtuales. Si busca información sobre el emparejamiento de redes virtuales, consulte el artículo Emparejamiento de redes virtuales.

Puede crear esta configuración mediante varias herramientas, en función del modelo de implementación de la red virtual. Los pasos descritos en este artículo se aplican al modelo de implementación de Azure Resource Manager y a Azure Portal. Para cambiar a otro modelo de implementación o a un artículo de método de implementación diferente, use la lista desplegable.

• Azure Portal
• PowerShell
• CLI de Azure

Acerca de la conexión de redes virtuales

En las secciones siguientes se describen las distintas formas de conectar redes virtuales.

De red virtual a red virtual

Configurar una conexión de red virtual a red virtual es una forma sencilla de conectar redes virtuales. Cuando conecta una red virtual a otra mediante el tipo de conexión entre redes virtuales (VNet2VNet) es parecida a la creación de una conexión IPsec de sitio a sitio en una ubicación local. Ambos tipos de conectividad usan una puerta de enlace de VPN para proporcionar un túnel seguro mediante IPsec/IKE y funcionan de la misma forma en lo relativo a la comunicación. Sin embargo, la manera en que se configura la puerta de enlace de red local es distinta.

Cuando se crea una conexión de red virtual a red virtual, el espacio de direcciones de la puerta de enlace de red local se crea y rellena automáticamente. Si actualiza el espacio de direcciones de una de las redes virtuales, la otra enruta automáticamente al espacio de direcciones actualizado. Por lo general, es más rápido y sencillo crear una conexión de red virtual a red virtual que una conexión de sitio a sitio. Sin embargo, la puerta de enlace de red local no está visible en esta configuración.

• Si tiene la seguridad de que desea especificar espacios de direcciones adicionales para la puerta de enlace de red local o tiene previsto agregar conexiones adicionales más adelante y necesita ajustar la puerta de enlace de red local, debe crear la configuración mediante los pasos de sitio a sitio.
• La conexión de red virtual a red virtual no incluye el espacio de direcciones del grupo de clientes de punto a sitio. Si necesita enrutamiento transitivo para clientes de punto a sitio, cree una conexión de sitio a sitio entre las puertas de enlace de red virtual o use el emparejamiento de VNet.

De sitio a sitio (IPsec)

Si trabaja con una configuración de red complicada, puede que, en su lugar, prefiera conectar las redes virtuales mediante una Conexión de sitio a sitio. Cuando se siguen las instrucciones para la conexión IPsec de sitio a sitio, las puertas de enlace de red locales se crean y se configuran manualmente. La puerta de enlace de red local de cada red virtual trata a la otra red virtual como un sitio local. Estos pasos le permiten especificar espacios de direcciones adicionales para que la puerta de enlace de red local enrute el tráfico. Si el espacio de direcciones de una red virtual cambia, debe actualizar automáticamente la puerta de enlace de red local correspondiente.

Emparejamiento de VNET

También puede conectar las redes virtuales a través del emparejamiento de redes virtuales.

• El emparejamiento de VNET no utiliza una puerta de enlace de VPN y tiene distintas restricciones.
• Los precios del emparejamiento de VNET se calculan de forma diferente que los precios de VPN Gateway entre redes virtuales.
• Para más información sobre el emparejamiento de redes virtuales, consulte el artículo Emparejamiento de redes virtuales.

¿Por qué crear una conexión de red virtual a red virtual?

Puede que desee conectar redes virtuales con una conexión de red virtual a red virtual por las siguientes razones:

Presencia geográfica y redundancia geográfica entre regiones

• Puede configurar su propia replicación geográfica o sincronización con conectividad segura sin recurrir a los puntos de conexión a Internet.
• Con Azure Traffic Manager y Azure Load Balancer, puede configurar cargas de trabajo de alta disponibilidad con redundancia geográfica en varias regiones de Azure. Por ejemplo, puede configurar grupos de disponibilidad AlwaysOn de SQL Server en varias regiones de Azure.

Aplicaciones regionales de niveles múltiples con aislamiento o límites administrativos

• Dentro de la misma región, se pueden configurar aplicaciones de niveles múltiples con varias redes virtuales conectadas entre sí debido a requisitos de aislamiento o administrativos.

Se puede combinar la comunicación entre redes virtuales con configuraciones de varios sitios. Estas configuraciones permiten establecer topologías de red que combinan la conectividad entre entornos locales con la conectividad entre redes virtuales, como se muestra en el diagrama siguiente:

En este artículo se muestra cómo conectar redes virtuales mediante el tipo de conexión de red virtual a red virtual. Cuando sigue estos pasos como ejercicio, puede usar estos valores de configuración de ejemplo. En el ejemplo, las redes virtuales se encuentran en la misma suscripción, pero en distintos grupos de recursos. Si las redes virtuales se encuentran en distintas suscripciones, no se puede crear la conexión en el portal. En su lugar, use PowerShell o la CLI. Para más información sobre las conexiones de red virtual a red virtual, consulte las preguntas más frecuentes sobre red virtual a red virtual.

Configuración de ejemplo

Valores de VNet1:

• Configuración de la red virtual

  • Name: VNet1
  • Espacio de direcciones: 10.1.0.0/16
  • Suscripción: Seleccione la suscripción que quiere usar.
  • Grupo de recursos: TestRG1
  • Ubicación: Este de EE. UU.
  • Subred
    • Name: FrontEnd
    • Intervalo de direcciones: 10.1.0.0/24

• Configuración de puerta de enlace de red virtual

  • Name: VNet1GW
  • Grupo de recursos: Este de EE. UU.
  • Generación: Generación 2
  • Tipo de puerta de enlace: Seleccione VPN.
  • Tipo de VPN: seleccione Basada en rutas.
  • SKU: VpnGw2
  • Generación: generación 2
  • Red virtual: VNet1
  • Intervalo de direcciones de subred de puerta de enlace: 10.1.255.0/27
  • Dirección IP pública: Crear nuevo
  • Nombre de dirección IP pública: VNet1GWpip
  • Habilitar el modo activo/activo: deshabilitado
  • Configurar BGP: deshabilitado

• Connection

  • Name: VNet1toVNet4
  • Clave compartida: Puede crear usted mismo la clave compartida. Cuando crea la conexión entre las redes virtuales, los valores deben coincidir. Para este ejercicio, use abc123.

Valores de VNet4:

• Configuración de la red virtual

  • Name: VNet4
  • Espacio de direcciones: 10.41.0.0/16
  • Suscripción: Seleccione la suscripción que quiere usar.
  • Grupo de recursos: TestRG4
  • Ubicación: Oeste de EE. UU.
  • Subred
  • Name: FrontEnd
  • Intervalo de direcciones: 10.41.0.0/24

• Configuración de puerta de enlace de red virtual

  • Name: VNet4GW
  • Grupo de recursos: Oeste de EE. UU.
  • Generación: Generación 2
  • Tipo de puerta de enlace: Seleccione VPN.
  • Tipo de VPN: seleccione Basada en rutas.
  • SKU: VpnGw2
  • Generación: generación 2
  • Red virtual: VNet4
  • Intervalo de direcciones de subred de puerta de enlace: 10.41.255.0/27
  • Dirección IP pública: Crear nuevo
  • Nombre de dirección IP pública: VNet4GWpip
  • Habilitar el modo activo/activo: deshabilitado
  • Configurar BGP: deshabilitado

• Connection

  • Name: VNet4toVNet1
  • Clave compartida: Puede crear usted mismo la clave compartida. Cuando crea la conexión entre las redes virtuales, los valores deben coincidir. Para este ejercicio, use abc123.

Creación y configuración de VNet1

Si ya dispone de una red virtual, compruebe que la configuración sea compatible con el diseño de la puerta de enlace de VPN. Preste especial atención a las subredes que podrían superponerse con otras redes. La conexión no funcionará correctamente si tiene subredes superpuestas.

Creación de una red virtual

Nota:

Cuando use una red virtual como parte de una arquitectura entre entornos, asegúrese de coordinarse con el administrador de la red local para delimitar un intervalo de direcciones IP que pueda usar específicamente para esta red virtual. Si existe un intervalo de direcciones duplicado en ambos lados de la conexión VPN, el tráfico se enrutará de forma inesperada. Además, si quiere conectar esta red virtual a otra, el espacio de direcciones no puede superponerse con la otra red virtual. Planee la configuración de red en consecuencia.

1. Inicie sesión en Azure Portal.

2. En Buscar recursos, servicios y documentos (G+/) en la parte superior de la página del portal, escriba red virtual. Seleccione Red virtual en los resultados de búsqueda de Marketplace para abrir la página Red virtual.

3. En la página Red virtual, seleccione Crear para abrir la página Crear red virtual.

4. En la pestaña Aspectos básicos, configure las opciones de la red virtual en Detalles del proyecto y Detalles de la instancia. Verá una marca de verificación verde cuando se validen los valores que escriba. Puede ajustar los valores que se muestran en el ejemplo según la configuración que necesite.

   

   • Suscripción: compruebe que la suscripción que aparece en la lista es la correcta. Puede cambiar las suscripciones mediante el cuadro desplegable.
   • Grupo de recursos: Seleccione uno existente o seleccione Crear nuevo para crear uno. Para más información sobre los grupos de recursos, consulte Información general de Azure Resource Manager.
   • Name: escriba el nombre de la red virtual.
   • Región: Seleccione la ubicación de la red virtual. La ubicación determina dónde van a residir los recursos que se implementen en esta red virtual.

5. Seleccione Siguiente o Seguridad para ir a la pestaña Seguridad. Para este ejercicio, mantenga los valores predeterminados para todos los servicios de esta página.

6. Seleccione Direcciones IP para ir a la pestaña Direcciones IP. Configure los valores en la pestaña Direcciones IP.

   • Espacio de direcciones IPv4: de manera predeterminada, se crea automáticamente un espacio de direcciones. Puede seleccionar el espacio de direcciones y modificarlo para que refleje sus valores. También puede agregar un espacio de direcciones diferente y quitar el valor predeterminado que se creó automáticamente. Por ejemplo, puede especificar la dirección inicial como 10.1.0.0 y especificar el tamaño del espacio de direcciones como /16. A continuación, seleccione Agregar para agregar ese espacio de direcciones.

   • + Agregar subred: Si usa el espacio de direcciones predeterminado, se crea automáticamente una subred predeterminada. Si cambia el espacio de direcciones, agregue una nueva subred dentro de ese espacio de direcciones. Seleccione + Agregar una subred para abrir la ventana Agregar subred. Configure las siguientes opciones y, a continuación, seleccione Agregar al final de la página para agregar los valores.

     • Nombre de subred: Un ejemplo es FrontEnd.
     • Rango de direcciones de subred: intervalo de direcciones para esta subred. Algunos ejemplos de ello son 10.1.0.0 y /24.

7. Revise la página Direcciones IP y quite los espacios de direcciones o subredes que no necesite.

8. Seleccione Revisar y crear para validar la configuración de la red virtual.

9. Después de validar la configuración, seleccione Crear para crear la red virtual.

Creación de la puerta de enlace de VNet1

En este paso, se crea la puerta de enlace para la red virtual. La creación de una puerta de enlace suele tardar 45 minutos o más, según la SKU de la puerta de enlace seleccionada. Para conocer los precios de la SKU de puerta de enlace, consulte Precios. Si va a crear esta configuración como ejercicio, consulte la configuración de ejemplo.

La puerta de enlace de red virtual requiere una subred específica denominada GatewaySubnet. La subred de puerta de enlace forma parte del intervalo de direcciones IP de la red virtual y contiene las direcciones IP que usan los servicios y los recursos de la puerta de enlace de red virtual.

Al crear la subred de puerta de enlace, especifique el número de direcciones IP que contiene la subred. El número de direcciones IP que se necesitan depende de la configuración de puerta de enlace de VPN que se desea crear. Algunas configuraciones requieren más direcciones IP que otras. Es mejor especificar /27 o superior (/26, /25, etc.) para la subred de puerta de enlace.

Si ve un error en el que se indica que el espacio de direcciones se superpone con una subred o que la subred no se encuentra dentro del espacio de direcciones de la red virtual, compruebe el intervalo de direcciones de la red virtual. Es posible que no tenga suficientes direcciones IP disponibles en el intervalo de direcciones que creó para la red virtual. Por ejemplo, si la subred predeterminada engloba todo el intervalo de direcciones, no quedan direcciones IP para crear más subredes. Puede ajustar las subredes en el espacio de direcciones existente para liberar direcciones IP o especificar un intervalo de direcciones adicionales y crear en él la subred de la puerta de enlace.

Creación de una puerta de enlace de red virtual

1. En Buscar recursos, servicios y documentos (G+/), escriba puerta de enlace de red virtual. Busque Puerta de enlace de red virtual en los resultados de búsqueda de Marketplace y selecciónelo para abrir la página Crear puerta de enlace de red virtual.

   

2. En la pestaña Aspectos básicos, rellene los valores de Detalles del proyecto y Detalles de la instancia.

   

   • Subscripción: Seleccione la suscripción que quiere usar en la lista desplegable.

   • Grupo de recursos: Este valor se rellena automáticamente cuando se selecciona la red virtual en esta página.

   • Name: Asigne un nombre a la puerta de enlace. Asignar un nombre a la puerta de enlace no es el mismo que asignar un nombre a una subred de puerta de enlace. Este es el nombre del objeto de puerta de enlace que va a crear.

   • Región: Seleccione la región en la que quiere crear este recurso. La región de la puerta de enlace debe ser la misma que la red virtual.

   • Tipo de puerta de enlace: Seleccione VPN. Las puertas de enlace VPN usan el tipo de puerta de enlace de red virtual VPN.

   • SKU: En la lista desplegable, seleccione el SKU de puerta de enlace que admita las características que desea usar. Consulte SKU de puerta de enlace. En el portal, los SKU disponibles de la lista desplegable dependen de la opción de la opción de VPN type que seleccione. El SKU Básico solo se puede configurar mediante PowerShell o la CLI de Azure. No se puede configurar el SKU Básico en Azure Portal.

   • Generación: seleccione la generación que desea usar. Se recomienda usar una SKU de segunda generación. Consulte SKU de puertas de enlace para más información.

   • Red virtual: En la lista desplegable, seleccione la red virtual a la que quiere agregar esta puerta de enlace. Si no puede ver la red virtual para la que desea crear una puerta de enlace, asegúrese de haber seleccionado la suscripción y la región correctas en la configuración anterior.

   • Intervalo de direcciones de subred de puerta de enlace o subred: La subred de puerta de enlace es necesaria para crear una puerta de enlace de VPN.

     En este momento, este campo tiene un par de comportamientos diferentes, según el espacio de direcciones de la red virtual y si ya creó una subred denominada GatewaySubnet para la red virtual.

     Si no tiene una subred de puerta de enlace y no ve la opción de crear una en esta página, vuelva a la red virtual y cree la subred de puerta de enlace. A continuación, vuelva a esta página y configure la puerta de enlace de VPN.

3. Especifique los valores de Dirección IP pública. estas opciones de configuración especifican el objeto de dirección IP pública que se asocia a la puerta de enlace de VPN. La dirección IP pública se asigna a este objeto cuando se crea la puerta de enlace de VPN. La única vez que la dirección IP pública principal cambia es cuando la puerta de enlace se elimina y se vuelve a crear. No cambia cuando se cambia el tamaño, se restablece o se realizan actualizaciones u otras operaciones de mantenimiento interno de una puerta de enlace VPN.

   

   • Tipo de dirección IP pública: para este ejercicio, si tiene la opción de elegir el tipo de dirección, seleccione Estándar.
   • Dirección IP pública: Mantenga la opción Crear nueva seleccionada.
   • Nombre de la dirección IP pública: En el cuadro de texto, escriba un nombre para la dirección IP pública.
   • SKU de dirección IP pública: la configuración se selecciona automáticamente.
   • Asignación: Por lo general, la asignación se selecciona automáticamente y puede ser Dinámica o Estática.
   • Habilitar el modo activo/activo: seleccione Deshabilitado. Habilite esta configuración solo si va a crear una configuración de puerta de enlace activa-activa.
   • Configurar BGP: Seleccione Deshabilitado, a menos que su configuración requiera específicamente este valor. Si necesita este valor de configuración, el valor predeterminado del ASN es 65515, aunque esto se puede cambiar.

4. Seleccione Revisar y crear para ejecutar la validación.

5. Una vez superada la validación, seleccione Crear para implementar VPN Gateway.

Puede ver el estado de implementación en la página Información general de la puerta de enlace. Una puerta de enlace puede tardar 45 minutos aproximadamente en crearse e implementarse completamente. Una vez creada la puerta de enlace, puede ver la dirección IP que se le ha asignado consultando la red virtual en el portal. La puerta de enlace aparece como un dispositivo conectado.

Importante

Cuando trabaje con subredes de la puerta de enlace, evite asociar un grupo de seguridad de red (NSG) a la subred de la puerta de enlace. La asociación de un grupo de seguridad de red a esta subred puede causar que la puerta de enlace de la red virtual (VPN, puerta de enlace de ExpressRoute) deje de funcionar como cabría esperar. Para más información acerca de los grupos de seguridad de red, consulte ¿Qué es un grupo de seguridad de red?

Creación y configuración de VNet4

Después de configurar VNet1, cree VNet4 y la puerta de enlace de VNet4 repitiendo los pasos anteriores, pero reemplazando los valores por los de VNet4. No es preciso esperar a que la puerta de enlace de red virtual de VNet1 haya terminado de crearse para configurar VNet4. Si usa sus propios valores, asegúrese de que los espacios de direcciones no se superponen con las redes virtuales a las que quiere conectarse.

Configuración de las conexiones

Cuando se hayan completado las puertas de enlace de red privada virtual de VNet1 y VNet4, puede crear las conexiones de dichas puertas de enlace.

Las redes virtuales de la misma suscripción se pueden conectar mediante el portal, aunque se encuentren en grupos de recursos diferentes. Sin embargo, si las redes virtuales se encuentran en distintas suscripciones, debe usar PowerShell para realizar la conexiones.

Puede crear una conexión bidireccional o unidireccional. Para este ejercicio, especificaremos una conexión bidireccional. El valor de conexión bidireccional crea dos conexiones separadas para que el tráfico pueda fluir en ambas direcciones.

1. En el portal, vaya a VNet1GW.

2. En la página de puerta de enlace de red virtual, vaya a Conexiones. Seleccione +Agregar.

   

3. En la página Crear conexión, rellene los valores de la conexió.

   

   • Tipo de conexión: Seleccione De red virtual a red virtual en la lista desplegable.
   • Establecer conectividad bidireccional: seleccione este valor
   • Nombre de la primera conexión: VNet1-to-VNet4
   • Nombre de la segunda conexión: VNet4-to-VNet1
   • Región: Este de EE. UU. (la región de VNet1GW)

4. Haga clic en Siguiente: Configuración > en la parte inferior de la página para avanzar a la página Configuración.

5. En la página Configuración, especifique los siguientes valores:

   • Primera puerta de enlace de red virtual: seleccione VNet1GW en la lista desplegable.
   • Segunda puerta de enlace de red virtual: seleccione VNet4GW en la lista desplegable.
   • Clave compartida (PSK) : En este campo, escriba una clave compartida para la conexión. Dicha clave puede generarla o crearla manualmente. En una conexión de sitio a sitio, la clave que usa es la misma del dispositivo local y de la conexión de puerta de enlace de red virtual. Aquí el concepto es similar, salvo en que en lugar de conectarse a un dispositivo VPN, la conexión se establece con otra puerta de enlace de red virtual.
   • Protocolo IKE: IKEv2

6. Para este ejercicio, puede dejar el resto de la configuración con sus valores predeterminados.

7. Seleccione Revisar y crear y, después, Crear para validar y crear las conexiones.

Comprobación de las conexiones

1. Busque la puerta de enlace de red virtual en Azure Portal. Por ejemplo, VNet1GW

2. En la página Puerta de enlace de red virtual, seleccione Conexiones para ver la página Conexiones de la puerta de enlace de red virtual. Una vez que se establece la conexión, verá que los valores de Estado cambian a Conectado.

   

3. En la columna Nombre, seleccione una de las conexiones para ver más información. Cuando se inicia el flujo de datos, aparecerán los valores para Datos de entrada y Datos de salida.

   

Agregar más conexiones

Si quiere agregar más conexiones, vaya a la puerta de enlace de red virtual desde la que quiere crear la conexión y, luego, seleccione Conexiones. Puede crear otra conexión entre redes virtual o bien crear una conexión de IPsec de sitio a sitio en una ubicación local. Asegúrese de ajustar el Tipo de conexión para coincidir con el tipo de conexión que desea crear. Antes de crear más conexiones, compruebe que el espacio de direcciones de la red virtual no se superponga con ninguno de los espacios de direcciones con los que quiere conectarse. Para saber qué pasos son necesarios para crear una conexión de sitio a sitio, consulte Creación de una conexión de sitio a sitio.

P+F sobre conexiones de red virtual a red virtual

Consulte las preguntas más frecuentes de la VPN Gateway para las preguntas más frecuentes sobre red virtual a red virtual.

Pasos siguientes

• Para información sobre cómo limitar el tráfico de red a los recursos de una red virtual, consulte Seguridad de red.

• Para información acerca de cómo enruta Azure el tráfico entre los recursos locales, de Internet y de Azure, vea Enrutamiento del tráfico de redes virtuales.