Conectar gateways VPN do Azure a vários dispositivos VPN com base em políticas locais usando o PowerShell

  • Artigo

Este artigo ajuda você a configurar um gateway de VPN com base em rotas do Azure para se conectar a vários dispositivos VPN com base em políticas locais utilizando políticas de IPsec/IKE personalizadas em conexões VPN S2S.

Sobre gateways VPN com base em políticas e rotas

Os dispositivos VPN com base em políticas versus em rotas diferem em como os seletores de tráfego IPsec são definidos em uma conexão:

  • Os dispositivos VPN com base em políticas usam as combinações de prefixos de ambas as redes para definir como o tráfego será criptografado/descriptografado por meio de túneis IPsec. Normalmente, ele é criado em dispositivos de firewall que executam a filtragem de pacote. A criptografia e descriptografia de túnel IPsec são adicionadas à filtragem de pacote e ao mecanismo de processamento.
  • Os dispositivos VPN com base em rotas usam seletores de tráfego qualquer (curinga) e permitem roteamento/encaminhamento do tráfego da direção das tabelas para diferentes túneis IPsec. Normalmente, ele é criado em plataformas de roteador, onde cada túnel IPsec é modelado como uma interface de rede ou VTI (interface do túnel virtual).

Os diagramas a seguir realçam dois modelos:

Exemplo de VPN com base em políticas

baseado em políticas

Exemplo de VPN com base em rotas

baseado em rotas

Suporte do Azure para VPN com base em políticas

Atualmente, o Azure oferece suporte a ambos os modos de gateways VPN: gateways VPN com base em rotas e gateways VPN com base em políticas. Eles são criados em diferentes plataformas internas que resultam em especificações diferentes:

Categoria Gateway de VPN baseado em política Gateway de VPN baseado em rota Gateway de VPN baseado em rota Gateway de VPN baseado em rota
SKU de gateway do Azure Básico Básico VpnGw1, VpnGw2, VpnGw3, VpnGw1AZ, VpnGw2AZ, VpnGw3AZ VpnGw4, VpnGw5, VpnGw4AZ, VpnGw5AZ
Versão do IKE IKEv1 IKEv2 IKEv1 e IKEv2 IKEv1 e IKEv2
Máx. Conexões S2S 1 10 30 100

Anteriormente, ao trabalhar com VPNs baseadas em política, você ficava limitado a usar o SKU Básico do gateway de VPN baseado em política e só podia se conectar a um dispositivo de firewall/VPN local. Agora, usando a política personalizada de IPsec/IKE, você pode usar um gateway de VPN baseado em rota e se conectar a vários dispositivos de firewall/VPN baseados em política. Para fazer uma conexão de VPN baseada em política usando um gateway de VPN baseado em rota, configure o gateway de VPN baseado em rota para usar seletores de tráfego baseados em prefixo com a opção "PolicyBasedTrafficSelectors".

Importante

  1. Para habilitar essa conectividade, seus dispositivos VPN com base em políticas locais devem oferecer suporte a IKEv2 para conectarem os gateways VPN com base em rotas do Azure. Verifique as especificações do dispositivo VPN.
  2. As redes locais que se conectam por meio de dispositivos VPN com base em políticas com esse mecanismo só podem se conectar à rede virtual do Azure. eles não podem transitar por outras redes locais ou redes virtuais por meio do mesmo gateway de VPN do Azure.
  3. A opção de configuração faz parte da política de conexão IPsec/IKE personalizada. Se você habilitar a opção do seletor de tráfego com base em políticas, deverá especificar a política toda (algoritmos de criptografia e de integridade de IPsec/IKE, restrições de chave e tempos de vida do SA).

O diagrama a seguir mostra por que o roteamento de tráfego por meio do gateway de VPN do Azure não funcionará com a opção baseada em políticas:

trânsito com base em políticas

Conforme mostrado no diagrama, o gateway de VPN do Azure terá seletores de tráfego da rede virtual para cada prefixo de rede local, mas não os prefixos de conexão cruzada. Por exemplo, o local 2, local 3 e local 4 podem cada um se comunicar com a VNet1 respectivamente, mas não podem se conectar por meio do gateway de VPN do Azure entre si. O diagrama mostra os seletores de tráfego com conexão cruzada que não estão disponíveis no gateway de VPN do Azure nesta configuração.

Fluxo de trabalho

As instruções neste artigo seguem o mesmo exemplo, conforme descrito em Configurar política de IPsec/IKE para conexões S2S ou VNet para VNet, para estabelecer uma conexão VPN S2S. Isso é mostrado no diagrama a seguir:

política de S2S

O fluxo de trabalho para habilitar esta conectividade:

  1. Criar a rede virtual, o gateway de VPN e o gateway de rede local para suas conexões locais cruzadas.
  2. Criar uma política de IPsec/IKE.
  3. Aplicar a política, quando você cria uma conexão S2S ou VNet para VNet e habilita os seletores de tráfego com base em políticas na conexão.
  4. Se a conexão já estiver criada, você poderá aplicar ou atualizar a política para uma conexão existente.

Antes de começar

  • Verifique se você tem uma assinatura do Azure. Se ainda não tiver uma assinatura do Azure, você poderá ativar os Benefícios do assinante do MSDN ou inscrever-se para obter uma conta gratuita.

  • Este artigo usa cmdlets do PowerShell. Para executar os cmdlets, você pode usar o Azure Cloud Shell. O Cloud Shell é um shell interativo e grátis que pode ser usado para executar as etapas deste artigo. Ele tem ferramentas do Azure instaladas e configuradas para usar com sua conta.

    Para abrir o Cloud Shell, basta selecionar Abrir Cloud Shell no canto superior direito de um bloco de código. Você também pode abrir o Cloud Shell em uma guia separada do navegador indo até https://shell.azure.com/powershell. Selecione Copiar para copiar os blocos de código, cole-os no Cloud Shell e selecione a tecla Enter para executá-los.

    Também é possível instalar e executar cmdlets do Azure PowerShell localmente em seu computador. Os cmdlets do PowerShell são atualizados com frequência. Se você não tiver instalado a versão mais recente, os valores especificados nas instruções poderão falhar. Use o cmdlet Get-Module -ListAvailable Az para localizar versões do Azure PowerShell instaladas em seu computador. Para executar uma instalação ou atualização, confira como Instalar o módulo do Azure PowerShell.

Habilitar seletores de tráfego baseado em política

Esta seção mostra como habilitar os seletores de tráfego baseados em políticas em uma conexão. Verifique se você concluiu a Parte 3 do artigo Configurar a política de IPsec/IKE. As etapas neste artigo usam os mesmos parâmetros.

Etapa 1: criar a rede virtual, o gateway de VPN e o gateway de rede local

Conectar a assinatura e declarar as variáveis

  1. Se você estiver executando o PowerShell localmente em seu computador, entre usando o cmdlet Connect-AzAccount. Ou use o Azure Cloud Shell em seu navegador.

  2. Declare as variáveis. Para este exercício, usamos as seguintes variáveis:

    $Sub1          = "<YourSubscriptionName>"
$RG1           = "TestPolicyRG1"
$Location1     = "East US 2"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.11.0.0/16"
$VNetPrefix12  = "10.12.0.0/16"
$FESubPrefix1  = "10.11.0.0/24"
$BESubPrefix1  = "10.12.0.0/24"
$GWSubPrefix1  = "10.12.255.0/27"
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GW1IPName1    = "VNet1GWIP1"
$GW1IPconf1    = "gw1ipconf1"
$Connection16  = "VNet1toSite6"
$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"

Criar a rede virtual, o gateway de VPN e o gateway de rede local

  1. Crie um grupos de recursos.

    New-AzResourceGroup -Name $RG1 -Location $Location1

  2. Use o exemplo a seguir para criar a rede virtual TestVNet1 com três sub-redes e o gateway de VPN. Se você quiser substituir valores, é importante sempre nomear sua sub-rede de gateway especificamente como 'GatewaySubnet'. Se você usar outro nome, a criação do gateway falhará.

    $fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1    = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1      = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1

New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62

Etapa 2: criar uma conexão de VPN S2S com a política de IPsec/IKE

  1. Criar uma política de IPsec/IKE.

    Importante

    Você precisa criar uma política de IPsec/IKE para habilitar a opção "UsePolicyBasedTrafficSelectors" na conexão.

    O exemplo a seguir cria uma política de IPsec/IKE com esses algoritmos e parâmetros:

    • IKEv2: AES256, SHA384, DHGroup24
    • IPsec: AES256, SHA256, PFS Nenhum, Tempo de Vida da SA de 14400 segundos & 102400000 KB
    $ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

  2. Crie a conexão VPN S2S com seletores de tráfego baseados em políticas, com a política de IPsec/IKE e aplique a política de IPsec/IKE criada na etapa anterior. Observe o parâmetro adicional "-UsePolicyBasedTrafficSelectors $True", que habilita o seletor de tráfego baseado em políticas na conexão.

    $vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -UsePolicyBasedTrafficSelectors $True -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'

  3. Depois de concluir as etapas, a conexão VPN S2S usará a política de IPsec/IKE definida e habilita os seletores de tráfego com base em políticas na conexão. Você pode repetir as mesmas etapas para adicionar mais conexões para dispositivos VPN baseados em políticas locais adicionais do mesmo gateway de VPN do Azure.

Atualizar seletores de tráfego baseado em política

Essa seção mostra como atualizar a opção de seletores de tráfego com base em políticas para uma conexão VPN S2S existente.

  1. Obtenha o recurso de conexão.

    $RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

  2. Exiba a opção dos seletores de tráfego com base em políticas. A linha a seguir mostra se os seletores de tráfego com base em políticas são usados para a conexão:

    $connection6.UsePolicyBasedTrafficSelectors

    Se a linha retornar "True", então os seletores de tráfego com base em políticas serão configurados na conexão; caso contrário, ela retorna "False".

  3. Depois de obter o recurso de conexão, você pode habilitar ou desabilitar os seletores de tráfego com base em políticas em uma conexão.

    • Para habilitar

      O exemplo a seguir habilita a opção de seletores de tráfego com base na política, mas deixa a política de IPsec/IKE inalterada:

      $RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $True

    • Para desabilitar

      O exemplo a seguir desabilita a opção de seletores de tráfego com base na política, mas deixa a política de IPsec/IKE inalterada:

      $RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $False

Próximas etapas

Quando sua conexão for concluída, você poderá adicionar máquinas virtuais às suas redes virtuais. Veja Criar uma máquina virtual para obter as etapas.

Também analise Configurar política de IPsec/IKE para conexões de VPN S2S ou Rede Virtual para Rede Virtual para obter mais detalhes sobre políticas de IPsec/IKE personalizadas.