Compartilhar via


Criar uma conexão VPN site a site – autenticação de chave compartilhada – CLI do Azure

Este artigo mostra como usar a CLI do Azure para criar uma conexão de gateway de VPN S2S (site a site) da sua rede local para uma rede virtual. Você também pode criar essa configuração usando uma ferramenta de implantação diferente, selecionando uma opção diferente na lista a seguir:

Diagrama de conexão entre locais do Gateway de VPN site a site para o artigo da CLI.

Uma conexão de gateway de VPN site a site é usada para conectar a rede local a uma rede virtual do Azure por um túnel VPN IPsec/IKE (IKEv1 ou IKEv2). Esse tipo de conexão exige um dispositivo VPN localizado no local que tenha um endereço IP público voltado para o exterior atribuído a ele. Para saber mais sobre os gateways de VPN, veja Sobre o gateway de VPN.

Antes de começar

Verifique se o seu ambiente atende aos seguintes critérios antes de iniciar a configuração:

  • Você tem uma conta do Azure com uma assinatura ativa. Se você não tiver uma conta, é possível criar uma gratuitamente.
  • Se você não estiver familiarizado com os intervalos de endereço IP localizados na configuração de rede local, fale com alguém que possa lhe dar essa informação. Ao criar essa configuração, você precisa especificar os prefixos do intervalo de endereços IP que o Azure irá encaminhar para o seu local. Nenhuma das sub-redes da rede local podem se sobrepor às sub-redes de rede virtual às quais você deseja se conectar.
  • Dispositivos de VPN:
    • Verifique se você tem um dispositivo VPN compatível e alguém que possa configurá-lo. Para obter mais informações sobre dispositivos VPN compatíveis e a configuração do dispositivo, confira Sobre dispositivos VPN.
    • Verifique se o seu dispositivo de VPN dá suporte a gateways no modo ativo-ativo. Esse artigo cria um gateway de VPN no modo ativo-ativo, o que é recomendado para uma conectividade altamente disponível. O modo ativo-ativo especifica que ambas as instâncias de VM do gateway estão ativas. Esse modo requer dois endereços IP públicos, um para cada instância de VM do gateway. Você configura seu dispositivo de VPN para se conectar ao endereço IP de cada instância de VM do gateway.
      Se o seu dispositivo de VPN não for compatível com esse modo, este não deve ser habilitado para o seu gateway. Para obter mais informações, confira Projetar uma conectividade altamente disponível para conexões multilocais e VNet a VNet e Sobre gateways de VPN no modo ativo-ativo.
  • Este artigo exige a versão 2.0 ou posterior da CLI do Azure. Se você está usando o Azure Cloud Shell, a versão mais recente já está instalada.

Conecte-se as suas assinaturas

Se você optar por executar a CLI localmente, conecte-se à sua assinatura. Se você estiver usando o Azure Cloud Shell no navegador, não precisa se conectar à sua assinatura. No entanto, talvez seja necessário verificar se você está usando a assinatura correta depois de se conectar.

Inicie sessão na sua assinatura do Azure com o comando az login e siga as instruções na tela. Para obter mais informações sobre como conectar-se, confira Introdução à CLI do Azure.

az login

Se tiver mais de uma assinatura do Azure, liste as assinaturas para a conta.

az account list --all

Especifique a assinatura que você deseja usar.

az account set --subscription <replace_with_your_subscription_id>

Criar um grupo de recursos

O exemplo a seguir cria um grupo de recursos denominado 'TestRG1' no local 'eastus'. Se já tiver um grupo de recursos na região em que deseja criar sua rede virtual, você poderá usá-lo.

az group create --name TestRG1 --location eastus

Criar uma rede virtual

Se você ainda não tiver uma rede virtual, crie uma usando o comando az network vnet create. Ao criar uma rede virtual, certifique-se de que os espaços de endereço que você especificar não se sobreponham nenhum espaço de endereço que você tenha na rede local.

Observação

Para que essa rede virtual se conecte a um local, é necessário coordenar com o administrador de rede local para que ele consiga um intervalo de endereços IP que possa ser usado especificamente para essa rede virtual. Se um intervalo de endereços duplicado existir em ambos os lados da conexão de VPN, o tráfego não será roteado da maneira esperada. Além disso, se você quiser conectar essa rede virtual a outra rede virtual, o espaço de endereço não poderá se sobrepor com a outra rede virtual. Tome cuidado e planeje sua configuração de rede de forma adequada.

O exemplo a seguir cria uma rede virtual chamada ''VNet1'' e uma sub-rede ''Subrede 1''.

az network vnet create --name VNet1 --resource-group TestRG1 --address-prefix 10.1.0.0/16 --location eastus --subnet-name Subnet1 --subnet-prefix 10.1.0.0/24

Criar a sub-rede de gateway

Os recursos do gateway de rede virtual são implantados em uma sub-rede específica chamada GatewaySubnet. O gateway faz parte do intervalo de endereços IP de rede virtual que você especifica ao configurar sua rede virtual.

Se você não tiver uma sub-rede chamada GatewaySubnet, ao criar seu gateway de VPN, ele falhará. Recomendamos que você crie uma sub-rede de gateway que use um /27 (ou maior). Por exemplo, /27 ou /26. Para obter mais informações, confira Configurações do Gateway de VPN - Sub-rede do Gateway.

Execute o comando azure network vnet subnet create para criar uma sub-rede de gateway.

az network vnet subnet create --address-prefix 10.1.255.0/27 --name GatewaySubnet --resource-group TestRG1 --vnet-name VNet1

Importante

Não há suporte para NSGs (grupos de segurança de rede) na sub-rede do gateway. A associação de um grupo de segurança de rede a essa sub-rede pode fazer com que seu Gateway de rede virtual (Gateways de VPN e ExpressRoute) pare de funcionar conforme o esperado. Para obter mais informações sobre grupos de segurança de rede, confira O que é um grupo de segurança de rede?

Criar o gateway de rede local

O gateway de rede local geralmente se refere ao seu local. Você atribui um nome ao site que o Azure usará para referenciá-lo e especifica o endereço IP do dispositivo VPN local com o qual criará uma conexão. Você também pode especificar os prefixos de endereço IP que serão roteados por meio do gateway de VPN para o dispositivo VPN. Os prefixos de endereço que você especifica são os prefixos localizados em sua rede local. Se sua rede local for alterada, você poderá atualizar facilmente os prefixos.

Use os seguintes valores:

  • O --gateway-ip-address é o endereço IP do dispositivo VPN local.
  • Os --local-address-prefixes são seus espaços de endereços locais.

Use o comando az network local-gateway create para adicionar um gateway de rede local com vários prefixos de endereço:

az network local-gateway create --gateway-ip-address 203.0.133.8 --name Site1 --resource-group TestRG1 --local-address-prefixes 192.168.1.0/24 192.168.3.0/24

Solicitar um endereço IP público

Um gateway de VPN deve ter um endereço IP público. Se você quiser criar um gateway ativo-ativo (recomendado), deverá solicitar dois endereços IP públicos. Para obter mais informações sobre configurações de gateway ativo-ativo, confira Você primeiro solicita o recurso de endereço IP e, em seguida, faz referência a ele ao criar seu gateway de rede virtual. O endereço IP é atribuído ao recurso quando o gateway de VPN é criado. A única vez em que o endereço IP Público é alterado é quando o gateway é excluído e recriado. Isso não altera o redimensionamento, a redefinição ou outras manutenções/atualizações internas do seu gateway de VPN. Se você quiser criar um Gateway de VPN usando o SKU de gateway básico, solicite um endereço IP público com os valores --allocation-method Dynamic --sku Basic a seguir.

Use o comando az network public-ip create para solicitar um endereço IP público.

az network public-ip create --name VNet1GWpip1 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3

Para criar um gateway ativo-ativo (recomendado), solicite um segundo endereço IP público:

az network public-ip create --name VNet1GWpip2 --resource-group TestRG1 --allocation-method Static --sku Standard --version IPv4 --zone 1 2 3

Criar o gateway de VPN

Crie o gateway de VPN da rede virtual. Criar um gateway pode levar 45 minutos ou mais, dependendo do SKU de gateway selecionado.

Use os seguintes valores:

  • O --gateway-type para uma configuração site a site é Vpn. O tipo de gateway é sempre específico para a configuração que você está implementando. Para obter mais informações, consulte Tipos de gateway.
  • O --vpn-type é RouteBased.
  • Selecione a SKU de Gateway que você deseja usar. Há limitações de configuração para alguns SKUs. Para obter mais informações, confira SKUs de gateway.

Criar o gateway de VPN usando o comando az network vnet-gateway create. Se você executar esse comando usando o parâmetro '--no-wait', você não receberá nenhum feedback ou saída. Esse parâmetro permite que o gateway seja criado em segundo plano. Dependendo da SKU, leva 45 minutos ou mais para criar um gateway.

Gateway do modo ativo-ativo

az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 VNet1GWpip2 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait

Gateway do modo em espera-ativo

az network vnet-gateway create --name VNet1GW --public-ip-addresses VNet1GWpip1 --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw2AZ --vpn-gateway-generation Generation2 --no-wait

Configurar o dispositivo de VPN

As conexões site a site para uma rede local exigem um dispositivo VPN. Nesta etapa, você deve configurar seu dispositivo VPN. Ao configurar o dispositivo VPN, você precisará dos seguintes valores:

  • Chave compartilhada: essa chave compartilhada é a mesma que você especifica ao criar a conexão VPN site a site. Em nossos exemplos, usamos uma chave compartilhada simples. Recomendamos gerar uma chave mais complexa para uso.

  • Endereços IP públicos de suas instâncias de gateway de rede virtual: obtenha o endereço IP para cada instância de VM. Se o seu gateway estiver no modo ativo-ativo, você terá um endereço IP para cada instância de VM do gateway. Certifique-se de configurar seu dispositivo com ambos os dois endereços IP, um para cada VM ativa do gateway. Os gateways no modo ativo-em espera têm apenas um endereço IP.

    Observação

    Para conexões S2S com um gateway de VPN de modo ativo-ativo, verifique se os túneis são estabelecidos para cada instância de VM de gateway. Caso estabeleça um túnel para apenas uma instância de VM de gateway, a conexão diminuirá durante a manutenção. Se o seu dispositivo VPN não for compatível com essa configuração, configure o gateway para o modo ativo-em espera.

    Para localizar o endereço IP público do seu gateway de rede virtual, use o comando az network public-ip list. Para facilitar a leitura, a saída é formatada para exibir a lista de IPs públicos em formato de tabela.

    az network public-ip list --resource-group TestRG1 --output table
    

Dependendo do dispositivo VPN que você tem, talvez seja possível fazer o download de um script de configuração do dispositivo VPN. Para saber mais, confira Fazer download dos scripts de configuração de dispositivo de VPN.

Os links a seguir fornecem mais informações de configuração:

Criar a conexão VPN

Crie a conexão VPN site a site entre o gateway de rede virtual e o dispositivo VPN local. Preste atenção especial ao valor de chave compartilhada, que deve corresponder ao valor de chave compartilhada configurado para seu dispositivo VPN.

Crie a conexão usando o comando az network vpn-connection create. Crie conexões adicionais caso esteja criando uma configuração de gateway altamente disponível, como o modo ativo-ativo.

az network vpn-connection create --name VNet1toSite1 --resource-group TestRG1 --vnet-gateway1 VNet1GW -l eastus --shared-key abc123 --local-gateway2 Site1

Após um instante, a conexão será estabelecida.

Verificar a conexão VPN

Você pode verificar se a conexão foi bem-sucedida usando o comando az network vpn-connection show. No exemplo, '--name' refere-se ao nome da conexão que deseja testar. Quando a conexão ainda está sendo estabelecida, seu status de conexão mostra "Conectando". Quando a conexão for estabelecida, o status será alterado para "Conectado". Modifique o exemplo a seguir com os valores do seu ambiente.

az network vpn-connection show --name <connection-name> --resource-group <resource-group-name>

Se quiser usar outro método para verificar a conexão, confira Verificar uma conexão de gateway de VPN.

Tarefas comuns

Esta seção contém os comandos comuns que são úteis ao trabalhar com configurações de site a site. Para obter a lista completa dos comandos de rede da CLI, consulte CLI do Azure - Rede.

Para exibir os gateways de rede local

Para exibir uma lista de gateways de rede local, use o comando az network local-gateway list.

az network local-gateway list --resource-group TestRG1

Para modificar prefixos de endereço IP de gateway de rede local - sem conexão de gateway

Se você não tiver uma conexão de gateway e deseja adicionar ou remover os prefixos de endereço IP, você use o mesmo comando que você usa para criar o gateway de rede local, az network local-gateway create. Você também pode usar esse comando para atualizar o endereço IP do gateway para o dispositivo VPN. Para sobrescrever as configurações atuais, use o nome existente do seu gateway de rede local. Se você usar um nome diferente, um novo gateway de rede local será criado, em vez de substituir o existente.

Sempre que você fizer uma alteração, toda a lista de prefixos deverá ser especificada, não apenas os prefixos que você deseja alterar. Especifique apenas os prefixos que você deseja manter. Neste caso, 10.0.0.0/24 e 20.0.0.0/24

az network local-gateway create --gateway-ip-address 23.99.221.164 --name Site2 -g TestRG1 --local-address-prefixes 10.0.0.0/24 20.0.0.0/24

Para modificar prefixos de endereço IP de gateway de rede local - conexão de gateway existente

Se você tiver uma conexão de gateway e deseja adicionar ou remover os prefixos de endereço IP, você pode atualizar os prefixos usando az network local-gateway update. Isso resulta em algum tempo de inatividade para a conexão VPN. Ao modificar os prefixos de endereço IP, você não precisa excluir o gateway de VPN.

Sempre que você fizer uma alteração, toda a lista de prefixos deverá ser especificada, não apenas os prefixos que você deseja alterar. Neste exemplo, 10.0.0.0/24 e 20.0.0.0/24 já estão presentes. Podemos adicionar os prefixos 30.0.0.0/24 e 40.0.0.0/24 e especificar todos os 4 prefixos durante a atualização.

az network local-gateway update --local-address-prefixes 10.0.0.0/24 20.0.0.0/24 30.0.0.0/24 40.0.0.0/24 --name VNet1toSite2 -g TestRG1

Para modificar o 'gatewayIpAddress' para um gateway de rede local

Se o dispositivo VPN ao qual você deseja se conectar mudou seu endereço IP público, você precisará modificar o gateway de rede local para refletir essa alteração. O endereço IP do gateway pode ser alterado sem remover uma conexão de gateway de VPN existente (se houver uma). Para modificar o endereço IP do gateway, substitua os valores 'Site2' e 'TestRG1' pelos seus próprios valores usando o comando az network local-gateway update.

az network local-gateway update --gateway-ip-address 23.99.222.170 --name Site2 --resource-group TestRG1

Verifique se o endereço IP está correto na saída:

"gatewayIpAddress": "23.99.222.170",

Para verificar os valores de chave compartilhados

Verifique se o valor de chave compartilhado é o mesmo valor usado para a configuração do dispositivo VPN. Caso contrário, execute a conexão novamente usando o valor do dispositivo ou atualize o dispositivo com o valor de retorno. Os valores devem ser correspondentes. Para exibir a chave compartilhada, use az network vpn-connection-list.

az network vpn-connection shared-key show --connection-name VNet1toSite2 --resource-group TestRG1

Para exibir o endereço IP público do gateway de VPN

Para localizar o endereço IP público do seu gateway de rede virtual, use o comando az network public-ip list. Para facilitar a leitura, a saída para este exemplo é formatada para exibir a lista de IPs públicos em formato de tabela.

az network public-ip list --resource-group TestRG1 --output table

Próximas etapas