Conectar um Gateway de VPN (gateway de rede virtual) à WAN Virtual

Este artigo ajuda você a configurar a conectividade de um Gateway de VPN do Azure (gateway de rede virtual) com uma WAN Virtual do Azure (gateway de VPN). Criar uma conexão de um Gateway de VPN (gateway de rede virtual) com uma WAN Virtual (gateway de VPN) é semelhante a configurar a conectividade com uma WAN virtual por meio de sites de VPN de ramificação.

Para minimizar a possível confusão entre dois recursos, iniciaremos o gateway com o nome do recurso ao qual estamos nos referindo. Por exemplo, o gateway de rede virtual do Gateway de VPN e o gateway de VPN de WAN Virtual.

Antes de começar

Antes de começar, crie os seguintes recursos:

WAN Virtual do Azure

• Crie uma WAN virtual.
• Crie um hub.
• Crie um gateway de VPN S2S configurado no hub.

Rede Virtual (para gateway de rede virtual)

• Crie uma rede virtual sem nenhum gateway de rede virtual. Essa rede virtual será configurada com um gateway de rede virtual ativo/ativo em etapas posteriores. Verifique se nenhuma das sub-redes das redes locais se sobrepõe às redes virtuais às quais você deseja se conectar.

1. Configure o Gateway de rede virtual do Gateway de VPN

Nesta seção, você cria um gateway de rede virtual do Gateway de VPN no modo ativo-ativo para a sua rede virtual. Ao criar o gateway, você pode usar endereços IP públicos existentes para as duas instâncias do gateway ou pode criar IPs públicos. Você usará esses IPs públicos ao configurar os sites de WAN Virtual.

1. Crie um gateway de rede virtual do Gateway de VPN no modo ativo-ativo para a sua rede virtual. Para obter mais informações sobre os gateways de VPN no modo ativo-ativo e as etapas de configuração, confira Configurar gateways de VPN no modo ativo-ativo.

2. As seções a seguir mostram as configurações de exemplo para o gateway de rede virtual.

   • Configuração do modo ativo-ativo – na página configuração do gateway de rede virtual, verifique se o modo ativo-ativo está habilitado.

     

   • Configuração de BGP – na página y Configuração do gateway de rede virtual, você pode (opcionalmente) selecionar Configurar o ASN do BGP. Se você configurar o BGP, altere o valor padrão do ASN mostrado no portal. Para essa configuração, o ASN do BGP não pode ser 65515. 65515 será usado pela WAN Virtual do Azure.

     

   • Endereços IP públicos – depois que o gateway for criado, vá para a página Propriedades. As propriedades e as definições de configuração serão semelhantes ao exemplo a seguir. Observe os dois endereços IP públicos usados para o gateway.

     

2. Criar sites de VPN da WAN Virtual

Nesta seção, você criará dois sites de VPN da WAN Virtual que correspondem aos gateways de rede virtual criados na seção anterior.

1. Na página WAN Virtual do Azure, vá para sites de VPN.

2. Na página Sites VPN, clique em +Criar site.

3. Na página Criar Site VPN, na guia Informações Gerais, preencha os seguintes campos:

   • Região: a mesma região que o gateway de rede virtual do Gateway de VPN do Azure.
   • Nome: exemplo: Site1
   • Fornecedor de dispositivo: nome do fornecedor de dispositivo VPN (por exemplo: Citrix, Cisco ou Barracuda). Adicionar o fornecedor do dispositivo pode ajudar a equipe do Azure a entender melhor seu ambiente para possível e futuramente adicionar otimizações ou para ajudá-lo a solucionar problemas.
   • Espaço de endereço privado: insira um valor ou deixe em branco quando o BGP estiver habilitado.

4. Selecione Avançar: Links> para avançar para a página Links.

5. Na página Links, preencha os seguintes campos:

   • Nome do link: nome que você deseja dar ao link físico no site VPN. Exemplo: Link1.
   • Velocidade do link: é a velocidade do dispositivo VPN na localização do branch. Exemplo: 50, que significa 50 Mbps na velocidade do dispositivo VPN no branch.
   • Nome do provedor do link: nome do link físico no site VPN. Exemplo: ATT, Verizon.
   • Endereço IP do link – insira o endereço IP. Para esta configuração, é igual ao primeiro endereço IP público mostrado nas propriedades do gateway de rede virtual (Gateway de VPN).
   • Endereço BGP e ASN – eles precisam ser iguais a um dos endereços IP do par no nível de protocolo BGP e ao ASN do gateway de rede virtual do Gateway de VPN que você configurou na Etapa 1.

6. Após preencher os campos, selecione Examinar + criar para verificar. Selecione Criar para criar o site.

7. Repita as etapas anteriores para criar o segundo site para corresponder à segunda instância do gateway de rede virtual do Gateway de VPN. Você manterá as mesmas configurações, a não ser pelo uso do segundo endereço IP público e do segundo endereço IP do par no nível de protocolo BGP na configuração do Gateway de VPN.

8. Agora você tem dois sites provisionados com êxito.

3. Conexão sites para o hub virtual

Em seguida, conecte ambos os sites ao hub virtual usando as etapas a seguir. Para obter mais informações sobre como conectar sites, consulte Conexão sites de VPN a um hub virtual.

1. Na página WAN virtual, vá para hubs.

2. Na página Hubs, clique no Hub que você criou.

3. Na página do hub criada, no painel esquerdo, selecione VPN (site a site).

4. Na página VPN (site a site), você deve ver seu site. Caso contrário, talvez seja necessário clicar na bolha Associação de Hub: x para limpar os filtros e exibir seu site.

5. Marque a caixa de seleção ao lado do nome de ambos os sites (não clique diretamente no nome do site) e clique em Conexão sites VPN.

6. Na página Conectar sites, defina as configurações necessárias. Observe o valor da chave pré-compartilhada que você usa. Ele será usado novamente mais tarde no exercício ao criar suas conexões.

7. Na parte inferior da página, selecione Conectar. Leva pouco tempo para que o hub seja atualizado com as configurações do site.

4. Baixar os arquivos de configuração VPN

Nesta seção, você baixa o arquivo de configuração de VPN para os sites criado na seção anterior.

1. Na página WAN Virtual do Azure, vá para sites de VPN.

2. Na página sites de VPN, na parte superior da página, selecione Baixar a configuração de VPN site a site e baixe o arquivo. O Azure cria um arquivo de configuração com os valores necessários que são usados para configurar seus gateways de rede locais na próxima seção.

   

5. Criar os gateways de rede local

Nesta seção, você criará dois gateways de rede local do Gateway de VPN do Azure. Os arquivos de configuração da etapa anterior contêm as definições de configuração do gateway. Use essas configurações para criar e configurar os gateways de rede local do Gateway de VPN do Azure.

1. Crie o gateway de rede local usando essas configurações. Para obter informações sobre como criar um gateway de rede local do Gateway de VPN, confira o artigo Criar um gateway de rede local do Gateway de VPN.

   • Endereço IP: use o endereço IP Instance0 mostrado para gatewayconfiguration no arquivo de configuração.
   • BGP: se a conexão usar BGP, selecione Definir as configurações de BGP e insira o ASN '65515'. Insira o endereço IP do par no nível de protocolo BGP. Use 'Instance0 BgpPeeringAddresses' para gatewayconfiguration no arquivo de configuração.
   • Espaço de Endereço – se a conexão não usa o BGP, deixe desmarcada a opção Definir as configurações do BGP. Insira os espaços de endereço que você vai anunciar do lado do gateway de rede virtual. Você pode adicionar vários intervalos de espaço de endereço. Verifique se os intervalos especificados aqui não se sobrepõem aos intervalos de outras redes com as quais você deseja se conectar.
   • Assinatura, grupo de recursos e localização – estes são os mesmos usados no hub de WAN Virtual do Azure.

2. Examine e crie o gateway de rede local. O gateway de rede local deve ser semelhante a este exemplo.

   

3. Repita essas etapas para criar outro gateway de rede local, mas, desta vez, use os valores 'Instance1' em vez dos valores de 'Instance0' no arquivo de configuração.

   

Importante

Lembre-se de que, ao configurar uma conexão BGP por IPsec com um IP público que NÃO é um endereço IP público do gateway vWAN com o ASN remoto '65515', a implantação do Gateway de Rede Local falhará, pois o ASN '65515' é um ASN reservado documentado, conforme descrito em Quais sistemas autônomos posso usar. No entanto, quando o Gateway de Rede Local lê o endereço público vWAN com o ASN remoto '65515', essa restrição é levantada pela plataforma.

6. Criar conexões

Nesta seção, você criará uma conexão entre os gateways de rede local do Gateway de VPN e o gateway de rede virtual. Para ver as etapas sobre como criar uma conexão do Gateway de VPN, confira Configurar uma conexão.

1. No portal, acesse o gateway de rede virtual e selecione Conexões. Na parte superior da página Conexões, clique em + Adicionar para abrir a página Adicionar conexão.

2. Na página Adicionar conexão, configure os seguintes valores da sua conexão:

   • Nome: nomeie sua conexão.
   • Tipo de conexão: selecione Site a site (IPSec)
   • Gateway de rede virtual: o valor é fixo porque você está se conectando por meio desse gateway.
   • Gateway de rede local: essa conexão conecta o gateway de rede virtual ao gateway de rede local. Escolha um dos gateways de rede local que você criou anteriormente.
   • Chave Compartilhada: Insira a chave compartilhada de antes.
   • Protocolo IKE: escolha o protocolo IKE.

3. Selecione OK para criar a conexão.

4. Você pode exibir a conexão na página Conexões do seu gateway de rede virtual.

5. Repita as etapas anteriores para criar uma segunda conexão. Para a segunda conexão, selecione o outro gateway de rede local que você criou.

6. Se as conexões são por BGP, depois de criar as suas conexões, acesse uma conexão e selecione Configuração. Na página Configuração, para BGP, selecione Habilitado. Em seguida, selecione Salvar.

7. Repita isso na segunda conexão.

7. Testar conectividade

Você pode testar a conectividade criando duas máquinas virtuais, uma no lado do gateway de rede virtual do Gateway de VPN e outra em uma rede virtual da WAN Virtual e executando ping nas duas máquinas virtuais.

1. Crie uma máquina virtual na rede virtual (Test1-VNet) do Gateway de VPN do Azure (Test1-VNG). Não crie a máquina virtual no GatewaySubnet.

2. Crie outra rede virtual para se conectar à WAN virtual. Crie uma máquina virtual em uma sub-rede dessa rede virtual. Essa rede virtual não pode conter nenhum gateway de rede virtual. Você pode criar rapidamente uma rede virtual usando as etapas do PowerShell no artigo conexão site a site. Altere os valores antes de executar os cmdlets.

3. Conecte a VNet ao hub de WAN Virtual. Na página da WAN virtual, selecione Conexões de rede virtual e +Adicionar conexão. Na página Adicionar conexão, preencha os seguintes campos:

   • Nome da Conexão: nomeie sua conexão.
   • Hubs: selecione o hub que você deseja associar a essa conexão.
   • Assinatura: verifique a assinatura.
   • Rede virtual: selecione a rede virtual que você deseja conectar a esse hub. A rede virtual não pode ter um gateway de rede virtual já existente.

4. Selecione OK para criar a conexão de rede virtual.

5. A conectividade agora está definida entre as VMs. Você deve ser capaz de executar ping de uma VM da outra, a menos que haja firewalls ou outras políticas que bloqueiem a comunicação.

Próximas etapas

• Para obter mais informações sobre VPN site a site de WAN virtual, consulte Tutorial: VPN site a site de WAN Virtual do Azure.
• Para obter mais informações sobre Gateway de VPN configurações de gateway ativo-ativo, consulte Gateway de VPN configurações ativas-ativas.