Configurar gateway VPN para o Azure Stack Hub
Um gateway de VPN é um tipo de gateway de rede virtual que envia tráfego criptografado entre sua rede virtual no Azure Stack Hub e um gateway de VPN remoto. O gateway de VPN remoto pode estar no Azure, um dispositivo em seu datacenter ou um dispositivo em outro site. Se houver conectividade de rede entre os dois pontos de extremidade, você poderá estabelecer uma conexão VPN S2S (Site a Site) segura entre as duas redes.
Um gateway de VPN depende da configuração de vários recursos, cada um dos quais contém configurações configuráveis. Este artigo descreve os recursos e as configurações relacionados a um gateway de VPN para uma rede virtual que você cria no modelo de implantação do Resource Manager. Você pode encontrar descrições e diagramas de topologia para cada solução de conexão em Criar gateways de VPN para o Azure Stack Hub.
Configurações do gateway de VPN
Tipos de gateway
Cada rede virtual do Azure Stack Hub dá suporte a um único gateway de rede virtual, que deve ser do tipo Vpn. Esse suporte é diferente do Azure, que dá suporte a tipos adicionais.
Ao criar um gateway de rede virtual, você deve verificar se o tipo de gateway está correto para sua configuração. Um gateway de VPN requer o -GatewayType Vpn sinalizador; por exemplo:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
SKUs de gateway sem caminho rápido de VPN habilitado
Ao criar um gateway de rede virtual, você deve especificar o SKU que deseja usar. Selecione os SKUs que atendem aos seus requisitos com base nos tipos de cargas de trabalho, taxa de transferência, recursos e SLAs.
Você pode ter 10 gateways de alto desempenho ou 20 básicos e padrão antes de atingir a capacidade máxima.
O Azure Stack Hub oferece os SKUs de gateway de VPN mostrados na tabela a seguir:
| SKU | Taxa de transferência máxima de conexão VPN | # máximo de conexões por VM GW ativa | # máximo de conexões VPN por selo |
|---|---|---|---|
| Basic | 100 Mbps Tx/Rx | 10 | 20 |
| Standard | 100 Mbps Tx/Rx | 10 | 20 |
| Alto desempenho | 200 Mbps Tx/Rx | 5 | 10 |
SKUs de gateway com o caminho rápido da VPN habilitado
Com o lançamento da versão prévia pública do Caminho Rápido da VPN, o Azure Stack Hub dá suporte a três novos SKUs com taxa de transferência mais alta.
Novos limites e taxa de transferência serão habilitados depois que o Caminho Rápido da VPN for habilitado no carimbo do Azure Stack.
O Azure Stack Hub oferece os SKUs de gateway de VPN mostrados na tabela a seguir:
| SKU | Taxa de transferência máxima de conexão VPN | # máximo de conexões por VM GW ativa | # máximo de conexões VPN por selo |
|---|---|---|---|
| Basic | 100 Mbps Tx/Rx | 25 | 50 |
| Standard | 100 Mbps Tx/Rx | 25 | 50 |
| Alto desempenho | 200 Mbps Tx/Rx | 12 | 24 |
| VPNGw1 | 650 Mbps Tx/Rx | 3 | 6 |
| VPNGw2 | 1000 Mbps Tx/Rx | 2 | 4 |
| VPNGw3 | 1250 Mbps Tx/Rx | 2 | 4 |
Redimensionando SKUs de gateways de rede virtual
O Azure Stack Hub não dá suporte a um redimensionamento de um SKU herdado com suporte (Básico, Standard e Alto Desempenho) para um SKU mais recente com suporte do Azure (VpnGw1, VpnGw2 e VpnGw3).
Novos gateways e conexões de rede virtual devem ser criados para usar os novos SKUs habilitados pelo Caminho Rápido de VPN.
Configurar o SKU do gateway de rede virtual
Portal do Azure Stack Hub
Se você usar o portal do Azure Stack Hub para criar um gateway de rede virtual, o SKU poderá ser selecionado usando a lista suspensa. Os novos SKUs de Caminho Rápido de VPN (VpnGw1, VpnGw2, VpnGw3) só ficarão visíveis depois de adicionar o parâmetro de consulta "?azurestacknewvpnskus=true" à URL e atualizar.
O exemplo de URL a seguir torna os novos SKUs de gateway de rede virtual visíveis no portal do usuário do Azure Stack Hub:
https://portal.local.azurestack.local/?azurestacknewvpnskus=true
Antes de criar esses recursos, o operador deve ter habilitado o Caminho Rápido da VPN no selo do Azure Stack Hub. Para obter mais informações, consulte Caminho rápido de VPN para operadoras.
PowerShell
O exemplo do PowerShell a seguir especifica o -GatewaySku parâmetro como Standard:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewaySku Standard `
-GatewayType Vpn -VpnType RouteBased
Tipos de conexão
No modelo de implantação do Resource Manager, cada configuração exige um tipo específico de conexão de gateway de rede virtual. Os valores disponíveis do PowerShell do Resource Manager são -ConnectionType IPsec.
No exemplo do PowerShell a seguir, é criada uma conexão S2S que requer o tipo de conexão IPsec:
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
Tipos de VPN
Quando você cria o gateway de rede virtual para uma configuração de gateway de VPN, é preciso especificar um tipo de VPN. O tipo de VPN que você escolhe depende da topologia de conexão que quer criar. Um tipo de VPN também pode depender do hardware que você usa. As configurações S2S requerem um dispositivo VPN. Alguns dispositivos VPN recebem suporte apenas de um determinado tipo de VPN.
Importante
Atualmente, o Azure Stack Hub dá suporte apenas ao tipo VPN baseado em rota. Se o dispositivo der suporte apenas a VPNs baseadas em política, não haverá suporte para conexões com esses dispositivos do Azure Stack Hub.
Além disso, o Azure Stack Hub não dá suporte ao uso de seletores de tráfego baseados em política para gateways baseados em rota no momento, pois o Azure Stack Hub não dá suporte a seletores de tráfego baseados em política, embora eles tenham suporte no Azure.
PolicyBased: as VPNs baseadas em política criptografam e direcionam pacotes por meio de túneis IPsec com base nas políticas IPsec configuradas com as combinações de prefixos de endereço entre sua rede local e a VNet do Azure Stack Hub. A política, ou seletor de tráfego, geralmente é uma lista de acesso na configuração do dispositivo VPN.
Observação
Há suporte para PolicyBased no Azure, mas não no Azure Stack Hub.
RouteBased: as VPNs baseadas em rota usam rotas configuradas na tabela de encaminhamento ou roteamento de IP para direcionar pacotes para suas interfaces de túnel correspondentes. As interfaces de túnel criptografam ou descriptografam então os pacotes para dentro e para fora dos túneis. A política, ou seletor de tráfego, para VPNs RouteBased é configurada como qualquer para qualquer (ou usa curingas). Por padrão, eles não podem ser alterados. O valor de um tipo de VPN RouteBased é RouteBased.
O exemplo do PowerShell a seguir especifica o -VpnType como RouteBased. Ao criar um gateway, você deve certificar-se de que o -VpnType está correto para sua configuração.
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased
Configurações com suporte para gateways de rede virtual quando o Caminho Rápido de VPN não está habilitado
| SKU | Tipo de VPN | Tipo de conexão | Suporte a roteamento ativo (BGP) | Ponto de extremidade remoto habilitado para NAT-T |
|---|---|---|---|---|
| SKU VNG básico | VPN baseada em rota | Chave pré-compartilhada IPSec | Sem suporte | Não é necessária |
| SKU VNG padrão | VPN baseada em rota | Chave pré-compartilhada IPSec | Suportado, até 150 rotas | Não é necessária |
| SKU VNG de alto desempenho | VPN baseada em rota | Chave pré-compartilhada IPSec | Suportado, até 150 rotas | Não é necessária |
Configurações com suporte para gateways de rede virtual quando o Caminho Rápido de VPN está habilitado
| SKU | Tipo de VPN | Tipo de conexão | Suporte ao roteamento ativo (BGP) | Ponto de extremidade remoto habilitado para NAT-T |
|---|---|---|---|---|
| SKU VNG básico | VPN baseada em rota | Chave pré-compartilhada IPSec | Sem suporte | Obrigatório |
| SKU VNG padrão | VPN baseada em rota | Chave pré-compartilhada IPSec | Suportado, até 150 rotas | Obrigatório |
| SKU VNG de alto desempenho | VPN baseada em rota | Chave pré-compartilhada IPSec | Suportado, até 150 rotas | Obrigatório |
| VPNGw1 VNG SKU | VPN baseada em rota | Chave pré-compartilhada IPSec | Suportado, até 150 rotas | Obrigatório |
| VPNGw2 VNG SKU | VPN baseada em rota | Chave pré-compartilhada IPSec | Suportado, até 150 rotas | Obrigatório |
| VPNGw2 VNG SKU | VPN baseada em rota | Chave pré-compartilhada IPSec | Suportado, até 150 rotas | Obrigatório |
Sub-rede do gateway
Antes de criar um gateway de VPN, crie uma sub-rede de gateway. A sub-rede do gateway tem os endereços IP que as VMs e os serviços do gateway de rede virtual usam. Quando você cria o gateway de rede virtual e a conexão, a VM do Gateway que possui a conexão será vinculada à sub-rede do gateway e será configurada com as configurações de gateway de VPN necessárias. Não implante mais nada (por exemplo, VMs adicionais) na sub-rede do gateway.
Importante
A sub-rede do gateway deve ser nomeada como GatewaySubnet para funcionar corretamente. O Azure Stack Hub usa esse nome para identificar a sub-rede na qual implantar as VMs e os serviços do gateway de rede virtual.
Quando você cria a sub-rede de gateway, pode especificar o número de endereços IP que contém a sub-rede. Os endereços IP na sub-rede do gateway são alocados para as VMs de gateway e para os serviços de gateway. Algumas configurações exigem mais endereços IP do que outras. Examine as instruções da configuração que você deseja criar e verifique se a sub-rede de gateway que você quer criar atende a esses requisitos.
Além disso, você deve verificar se a sub-rede do gateway tem endereços IP suficientes para lidar com configurações futuras adicionais. Embora você possa criar uma sub-rede de gateway tão pequena quanto /29, recomendamos que você crie uma sub-rede de gateway de /28 ou maior (/28, /27, /26 e assim por diante). Dessa forma, se você adicionar funcionalidade no futuro, não precisará derrubar seu gateway e, em seguida, excluir e recriar a sub-rede do gateway para permitir mais endereços IP.
O exemplo do PowerShell do Resource Manager a seguir mostra uma sub-rede de gateway chamada GatewaySubnet. Você pode ver que a notação CIDR especifica /27, que permite endereços IP suficientes para a maioria das configurações existentes no momento.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Importante
Ao trabalhar com sub-redes de gateway, evite a associação de um NSG (grupo de segurança de rede) à sub-rede de gateway. Associar um grupo de segurança de rede a essa sub-rede pode fazer com que o gateway de VPN pare de funcionar conforme o esperado. Para obter mais informações sobre grupos de segurança de rede, confira O que é um grupo de segurança de rede?.
Gateways de rede local
Ao criar uma configuração de gateway de VPN no Azure, o gateway de rede local geralmente representa sua localização local. No Azure Stack Hub, ele representa qualquer dispositivo VPN remoto que fica fora do Azure Stack Hub. Esse dispositivo pode ser um dispositivo VPN em seu datacenter (ou um datacenter remoto) ou um gateway de VPN no Azure.
Você dá um nome ao gateway de rede local, o endereço IP público do dispositivo VPN remoto e especifica os prefixos de endereço que estão no local local. O Azure Stack Hub examina os prefixos de endereço de destino para tráfego de rede, consulta a configuração que você especificou para o gateway de rede local e roteia os pacotes adequadamente.
Este exemplo do PowerShell cria um novo gateway de rede local:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '198.51.100.101' -AddressPrefix '10.5.51.0/24'
Às vezes, você precisa modificar as configurações do gateway de rede local; por exemplo, quando você adiciona ou modifica o intervalo de endereços ou se o endereço IP do dispositivo VPN for alterado. Para obter mais informações, consulte Modificar configurações de gateway de rede local usando o PowerShell.
Parâmetros de IPsec/IKE
Ao configurar uma conexão VPN no Azure Stack Hub, você deve configurar a conexão em ambas as extremidades. Se você estiver configurando uma conexão VPN entre o Azure Stack Hub e um dispositivo de hardware, como um comutador ou roteador que está atuando como um gateway de VPN, esse dispositivo poderá solicitar configurações adicionais.
Ao contrário do Azure, que dá suporte a várias ofertas como iniciador e respondente, o Azure Stack Hub dá suporte a apenas uma oferta por padrão. Se você precisar usar diferentes configurações de IPSec/IKE para trabalhar com seu dispositivo VPN, há mais configurações disponíveis para você configurar sua conexão manualmente. Para obter mais informações, consulte Configurar a política IPsec/IKE para conexões VPN site a site.
Importante
Ao usar o túnel S2S, os pacotes são encapsulados com cabeçalhos adicionais, o que aumenta o tamanho geral do pacote. Nesses cenários, você deve fixar o TCP MSS em 1350. Ou, se seus dispositivos VPN não suportarem a fixação de MSS, você pode, alternativamente, definir o MTU na interface do túnel como 1400 bytes. Para obter mais informações, consulte Ajuste de desempenho TCPIP da rede virtual.
Parâmetros da Fase 1 de IKE (Modo Principal)
| Propriedade | Valor |
|---|---|
| Versão IKE | IKEv2 |
| Grupo Diffie-Hellman* | ECP384 |
| Método de autenticação | Chave Pré-Compartilhada |
| Algoritmos de criptografia e hash* | AES256, SHA384 |
| Tempo de vida da SA (Tempo) | 28.800 segundos |
Parâmetros da Fase 2 de IKE (Modo Rápido)
| Propriedade | Valor |
|---|---|
| Versão IKE | IKEv2 |
| Algoritmos de criptografia e hash (criptografia) | GCMAES256 |
| Algoritmos de criptografia e hash (autenticação) | GCMAES256 |
| Tempo de vida da SA (Tempo) | 27.000 segundos |
| Tempo de vida da SA (kilobytes) | 33,553,408 |
| Sigilo de encaminhamento perfeito (PFS)* | ECP384 |
| Detecção de par inativo | Com suporte |
* Parâmetro novo ou alterado.