Sobre definições de configuração do Gateway de VPN

Um gateway de VPN é um tipo de gateway de rede virtual que envia o tráfego criptografado entre sua rede virtual e seu local em uma conexão pública. Você também pode usar o Gateway de VPN para enviar o tráfego entre redes virtuais no backbone do Azure.

As conexões do gateway de VPN dependem da configuração de vários recursos, cada um dos quais contém definições configuráveis. As seções neste artigo abordam os recursos e configurações relacionados a um gateway de VPN para uma rede virtual criada no modelo de implantação do Resource Manager. Você pode encontrar descrições e diagramas de topologia para cada solução de conexão no artigo Projeto de Gateway de VPN.

Os valores neste artigo aplicam gateways VPN (gateways de rede virtual que usam o -GatewayType Vpn). Consulte os artigos a seguir para obter informações sobre os gateways que utilizam essas configurações especificadas:

Tipos de VPN

Atualmente, o Azure dá suporte a dois tipos de gateway de VPN: gateways de VPN baseados em rotas e gateways de VPN baseados em políticas. Eles são criados em plataformas internas diferentes, o que resulta em especificações diferentes.

A partir de 1º de outubro de 2023, você não poderá criar um Gateway de VPN baseado em políticas por meio do portal do Microsoft Azure. Todos os novos gateways de VPN serão criados automaticamente como baseados em rota. Se você já tiver um gateway baseado em políticas, não precisará atualizar seu gateway para um baseado em rotas. Você pode utilizar o Powershell/CLI para criar os gateways baseados em políticas.

Anteriormente, os SKUs de gateways mais antigos não davam suporte ao IKEv1 para gateways baseados em rota. Agora, a maioria dos SKUs de gateway atuais dá suporte a IKEv1 e IKEv2.

Tipo de VPN de gateway SKU de gateway Versões do IKE com suporte
Gateway baseado em políticas Básico IKEv1
Gateway baseado em rotas Básico IKEv2
Gateway baseado em rotas VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 IKEv1 e IKEv2
Gateway baseado em rotas VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ IKEv1 e IKEv2

Tipos de gateway

Cada rede virtual pode ter apenas um gateway de rede virtual de cada tipo. Quando estiver criando um gateway de rede virtual, você deve garantir que o tipo de gateway seja o correto para sua configuração.

Os valores disponíveis para o -GatewayType são:

  • Vpn
  • ExpressRoute

Um gateway de VPN exige o -GatewayTypeVpn.

Exemplo:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased

Desempenho e SKUs de gateway

Confira o artigo sobre SKUs de Gateway para obter as informações mais recentes sobre SKUs de gateway, desempenho e recursos com suporte.

Tipos de conexão

No modelo de implantação do Resource Manager, cada configuração exige um tipo específico de conexão de gateway de rede virtual. Os valores disponíveis do PowerShell do Gerenciador de Recursos para o -ConnectionType são:

  • IPsec
  • Vnet2Vnet
  • ExpressRoute
  • VPNClient

No exemplo do PowerShell a seguir, criamos uma conexão S2S que exige o tipo de conexão IPsec.

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'

Modos de conexão

A propriedade Modo de Conexão só se aplica a gateways de VPN baseados em rota que usam conexões IKEv2. Os modos de conexão definem a direção de iniciação da conexão e se aplicam somente ao estabelecimento de conexão IKE inicial. Qualquer parte pode iniciar rechaves e outras mensagens. InitiatorOnly significa que a conexão precisa ser iniciada pelo Azure. ResponderOnly significa que a conexão precisa ser iniciada pelo dispositivo local. O comportamento Padrão é aceitar e discar o que se conectar primeiro.

Sub-rede do gateway

Antes de criar um gateway de VPN, crie uma sub-rede de gateway. A sub-rede de gateway contém os endereços IP que as VMs do gateway de rede virtual e os serviços usam. Quando você cria o gateway de rede virtual, as VMs de gateway são implantadas na sub-rede de gateway e definidas com as configurações necessárias de gateway de VPN. Nunca implante qualquer outra coisa (por exemplo, VMs adicionais) na sub-rede de gateway. A sub-rede do gateway deve ser nomeada como GatewaySubnet para funcionar corretamente. Nomear a sub-rede do gateway como ''GatewaySubnet'' permite que o Azure saiba que essa é a sub-rede na qual deve implantar as VMs e os serviços do gateway de rede virtual.

Quando você cria a sub-rede de gateway, pode especificar o número de endereços IP que contém a sub-rede. Os endereços IP na sub-rede do gateway são alocados para as VMs de gateway e para os serviços de gateway. Algumas configurações exigem mais endereços IP do que outras.

Ao planejar o tamanho da sub-rede do gateway, confira a documentação da configuração que você planeja criar. Por exemplo, a configuração de gateway ExpressRoute/VPN coexistente requer uma sub-rede de gateway maior do que a maioria das outras configurações. Embora seja possível criar uma sub-rede de gateway tão pequena quanto /29 (aplicável somente ao SKU Básico), todos os outros SKUs exigem uma sub-rede de gateway de tamanho /27 ou maior ( /27, /26, /25 etc.). Talvez você queira criar uma sub-rede de Gateway maior que /27 para que a sub-rede tenha endereços IP suficientes para acomodar possíveis configurações futuras.

O exemplo de PowerShell do Resource Manager a seguir mostra uma sub-rede de gateway chamada GatewaySubnet. Você pode ver que a notação CIDR especifica /27, que permite endereços IP suficientes para a maioria das configurações existentes no momento.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Considerações:

  • Não há suporte para rotas definidas pelo usuário com um destino 0.0.0.0/0 e NSGs no GatewaySubnet. Os gateways com essa configuração são bloqueados para não serem criados. Os gateways exigem acesso aos controladores de gerenciamento para funcionar corretamente. A propagação de rotas BGP deve ser definida como "Habilitada" no GatewaySubnet para garantir a disponibilidade do gateway. Se a propagação de rotas BGP estiver definida como desabilitada, o gateway de rede não funcionará.

  • O diagnóstico, o caminho de dados e o caminho de controle podem ser afetados se uma rota definida pelo usuário se sobrepuser ao intervalo de sub-rede do gateway ou ao intervalo de IP público do gateway.

Gateways de rede local

Um gateway de rede local e diferente de um gateway de rede virtual. Ao criar uma configuração de gateway de VPN, o gateway de rede local geralmente representa sua localização no local e o dispositivo VPN correspondente. No modelo de implantação clássico, o gateway de rede local era conhecido como um Site Local.

Ao configurar um gateway de rede local, você especificará o nome, o endereço IP público ou o nome de domínio totalmente qualificado (FQDN) do dispositivo VPN local e os prefixos de endereço localizados no caminho local. O Azure examina os prefixos de endereço de destino para o tráfego de rede, consulta a configuração que você especificou para o gateway de rede local e roteia os pacotes adequadamente. Se usar o BGP (Border Gateway Protocol) em seu dispositivo VPN, você fornecerá o endereço IP do par BGP do seu dispositivo VPN e o número do sistema autônomo (ASN) da sua rede local. Você também especifica os gateways de rede para configurações de rede virtual para rede virtual que usam uma conexão de gateway de VPN.

O seguinte exemplo de PowerShell cria um novo gateway de rede local:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Às vezes, você precisa modificar as configurações do gateway de rede local. Por exemplo, quando você adicionar ou modificar o intervalo de endereços, ou se o endereço IP do dispositivo VPN mudar. Para obter mais informações, confira Modificar as configurações do gateway de rede local.

APIs REST, cmdlets do PowerShell e CLI

Para obter recursos técnicos adicionais e requisitos de sintaxe específicos ao usar APIs REST, cmdlets do PowerShell na CLI do Azure para configurações do Gateway de VPN, veja as seguintes páginas:

Clássico Resource Manager
PowerShell PowerShell
REST API REST API
Sem suporte CLI do Azure

Próximas etapas

Para saber mais sobre as configurações de conexão disponíveis, confira Sobre o Gateway de VPN.