Sobre definições de configuração do Gateway de VPN
A arquitetura de conexão de gateway de VPN tem base na configuração de vários recursos, cada um deles contendo definições configuráveis. As seções neste artigo abordam os recursos e configurações relacionados a um gateway de VPN para uma rede virtual criada no modelo de implantação do Resource Manager. Você pode encontrar descrições e diagramas de topologia para cada solução de conexão no artigo Design e topologia de Gateway de VPN.
Os valores neste artigo se aplicam especificamente aos gateways de VPN (gateways de rede virtual que usam o -GatewayType Vpn). Se você estiver procurando informações sobre os seguintes tipos de gateways, consulte os seguintes artigos:
- Para obter valores que se aplicam a -GatewayType 'ExpressRoute', consulte Gateways de rede virtual para ExpressRoute.
- Para gateways redundantes de zona, consulte Sobre gateways redundantes de zona.
- Para gateways ativos-ativos, consulte Sobre conectividade altamente disponível.
- Para gateways de WAN Virtual, confira Sobre a WAN Virtual.
Gateways e tipos de gateway
Um gateway de rede virtual é composto por duas ou mais VMs gerenciadas pelo Azure que são automaticamente configuradas e implantadas em uma sub-rede específica criada chamada sub-rede de gateway. As VMs de gateway são configuradas para conter tabelas de roteamento e executar serviços de gateway específicos.
Quando você cria um gateway de rede virtual, as VMs de gateway são implantadas automaticamente na sub-rede de gateway (sempre chamada GatwaySubnet) e definidas com as configurações especificadas. Esse processo pode levar 45 minutos ou mais para ser concluído, dependendo do SKU de gateway selecionado.
Umas das configurações especificadas ao criar um gateway de rede virtual é o tipo de gateway. O tipo de gateway determina como o gateway de rede virtual é usado e as ações que ele realiza. Uma rede virtual pode ter dois gateways de rede virtual: um gateway de VPN e um gateway de ExpressRoute. O tipo de gateway 'VPN' especifica que o tipo de gateway de rede virtual criado é um gateway de VPN. Isso o distingue de um gateway de ExpressRoute, que usa um tipo de gateway diferente.
Quando estiver criando um gateway de rede virtual, você deve garantir que o tipo de gateway seja o correto para sua configuração. Os valores disponíveis para o -GatewayType são:
- Vpn
- ExpressRoute
Um gateway de VPN exige o -GatewayTypeVpn.
Exemplo:
New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased
Desempenho e SKUs de gateway
Confira o artigo sobre SKUs de Gateway para obter as informações mais recentes sobre SKUs de gateway, desempenho e recursos com suporte.
Tipos de VPN
O Azure dá suporte a dois tipos diferentes de VPN para gateways de VPN: baseado em políticas e baseado em rotas. Gateways de VPN baseados em rotas são criados em uma plataforma diferente dos gateways de VPN baseados em políticas. Isso resulta em especificações de gateway diferentes.
Na maioria dos casos, você criará um gateway de VPN baseado em rotas. Anteriormente, os SKUs de gateway mais antigos não davam suporte ao IKEv1 para gateways baseados em rota. Agora, a maioria dos SKUs de gateway atuais dá suporte a IKEv1 e IKEv2. Se você já tiver um gateway baseado em políticas, não precisará atualizar seu gateway para um baseado em rotas.
Se quiser criar um gateway baseado em políticas, use o PowerShell ou a CLI. A partir de 1º de outubro de 2023, não será possível criar um gateway de VPN baseado em políticas por meio do portal do Azure, apenas gateways baseados em rotas estarão disponíveis.
| Tipo de VPN de gateway | SKU de gateway | Versões do IKE com suporte |
|---|---|---|
| Gateway baseado em políticas | Básico | IKEv1 |
| Gateway baseado em rotas | Básico | IKEv2 |
| Gateway baseado em rotas | VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 | IKEv1 e IKEv2 |
| Gateway baseado em rotas | VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ | IKEv1 e IKEv2 |
Tipos de conexão
No modelo de implantação do Resource Manager, cada configuração exige um tipo específico de conexão de gateway de rede virtual. Os valores disponíveis do PowerShell do Gerenciador de Recursos para o -ConnectionType são:
- IPsec
- Vnet2Vnet
- ExpressRoute
- VPNClient
No exemplo do PowerShell a seguir, criamos uma conexão S2S que exige o tipo de conexão IPsec.
New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -SharedKey 'abc123'
Modos de conexão
A propriedade Modo de Conexão só se aplica a gateways de VPN baseados em rota que usam conexões IKEv2. Os modos de conexão definem a direção de iniciação da conexão e se aplicam somente ao estabelecimento de conexão IKE inicial. Qualquer parte pode iniciar rechaves e outras mensagens. InitiatorOnly significa que a conexão precisa ser iniciada pelo Azure. ResponderOnly significa que a conexão precisa ser iniciada pelo dispositivo local. O comportamento Padrão é aceitar e discar o que se conectar primeiro.
Sub-rede do gateway
Antes de criar um gateway de VPN, crie uma sub-rede de gateway. A sub-rede de gateway contém os endereços IP que as VMs do gateway de rede virtual e os serviços usam. Quando você cria o gateway de rede virtual, as VMs de gateway são implantadas na sub-rede de gateway e definidas com as configurações necessárias de gateway de VPN. Nunca implante outros itens (por exemplo, mais VMs) na sub-rede do gateway. A sub-rede do gateway deve ser nomeada como GatewaySubnet para funcionar corretamente. Nomear a sub-rede do gateway como ''GatewaySubnet'' permite que o Azure saiba que essa é a sub-rede na qual deve implantar as VMs e os serviços do gateway de rede virtual.
Quando você cria a sub-rede de gateway, pode especificar o número de endereços IP que contém a sub-rede. Os endereços IP na sub-rede do gateway são alocados para as VMs de gateway e para os serviços de gateway. Algumas configurações exigem mais endereços IP do que outras.
Ao planejar o tamanho da sub-rede do gateway, confira a documentação da configuração que você planeja criar. Por exemplo, a configuração de gateway ExpressRoute/VPN coexistente requer uma sub-rede de gateway maior do que a maioria das outras configurações. Embora seja possível criar uma sub-rede de gateway tão pequena quanto /29 (aplicável somente ao SKU Básico), todos os outros SKUs exigem uma sub-rede de gateway de tamanho /27 ou maior ( /27, /26, /25 etc.). Talvez você queira criar uma sub-rede de Gateway maior que /27 para que a sub-rede tenha endereços IP suficientes para acomodar possíveis configurações futuras.
O exemplo de PowerShell do Resource Manager a seguir mostra uma sub-rede de gateway chamada GatewaySubnet. Você pode ver que a notação CIDR especifica /27, que permite endereços IP suficientes para a maioria das configurações existentes no momento.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Considerações:
Não há suporte para rotas definidas pelo usuário com um destino 0.0.0.0/0 e NSGs no GatewaySubnet. Os gateways com essa configuração são bloqueados para não serem criados. Os gateways exigem acesso aos controladores de gerenciamento para funcionar corretamente. A propagação de rotas BGP deve ser definida como "Habilitada" no GatewaySubnet para garantir a disponibilidade do gateway. Se a propagação de rotas BGP estiver definida como desabilitada, o gateway de rede não funcionará.
O diagnóstico, o caminho de dados e o caminho de controle podem ser afetados se uma rota definida pelo usuário se sobrepuser ao intervalo de sub-rede do gateway ou ao intervalo de IP público do gateway.
Gateways de rede local
Um gateway de rede local e diferente de um gateway de rede virtual. Quando você está trabalhando com uma arquitetura site a site do gateway de VPN, o gateway de rede local geralmente representa sua rede local e o dispositivo VPN correspondente. No modelo de implantação clássico, o gateway de rede local é conhecido como um Site Local.
Ao configurar um gateway de rede local, você especificará o nome, o endereço IP público ou o nome de domínio totalmente qualificado (FQDN) do dispositivo VPN local e os prefixos de endereço localizados no caminho local. O Azure examina os prefixos de endereço de destino para o tráfego de rede, consulta a configuração especificada para o gateway de rede local e roteia os pacotes adequadamente. Se usar o BGP (Border Gateway Protocol) em seu dispositivo VPN, você fornecerá o endereço IP do par BGP do seu dispositivo VPN e o número do sistema autônomo (ASN) da sua rede local. Você também especifica os gateways de rede para configurações de rede virtual para rede virtual que usam uma conexão de gateway de VPN.
O seguinte exemplo de PowerShell cria um novo gateway de rede local:
New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'
Às vezes, você precisa modificar as configurações do gateway de rede local. Por exemplo, quando você adicionar ou modificar o intervalo de endereços, ou se o endereço IP do dispositivo VPN mudar. Para obter mais informações, confira Modificar as configurações do gateway de rede local.
APIs REST, cmdlets do PowerShell e CLI
Para obter recursos técnicos e requisitos de sintaxe específicos ao usar APIs REST, cmdlets do PowerShell ou a CLI do Azure para configurações do Gateway de VPN, veja as seguintes páginas:
| Clássico | Resource Manager |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
| Sem suporte | CLI do Azure |
Próximas etapas
Para saber mais sobre as configurações de conexão disponíveis, confira Sobre o Gateway de VPN.