Conectar um gateway VPN a vários dispositivos VPN locais baseados em políticas

  • Artigo

Este artigo ajuda você a configurar um gateway VPN baseado em rota do Azure para se conectar a vários dispositivos VPN locais baseados em políticas aproveitando políticas IPsec/IKE personalizadas em conexões VPN S2S. As etapas neste artigo usam o Azure PowerShell.

Sobre gateways VPN baseados em políticas e rotas

Os dispositivos VPN baseados em política versus dispositivos VPN baseados em rota diferem na forma como os seletores de tráfego IPsec são definidos em uma conexão:

  • Os dispositivos VPN baseados em políticas usam as combinações de prefixos de ambas as redes para definir como o tráfego é criptografado/descriptografado por meio de túneis IPsec. Normalmente é construído em dispositivos de firewall que executam filtragem de pacotes. A encriptação e desencriptação de túnel IPsec são adicionadas à filtragem de pacotes e ao motor de processamento.
  • Os dispositivos VPN baseados em rota usam seletores de tráfego de qualquer para qualquer (curinga) e permitem que as tabelas de roteamento/encaminhamento direcionem o tráfego para diferentes túneis IPsec. Normalmente é construído em plataformas de roteador onde cada túnel IPsec é modelado como uma interface de rede ou VTI (interface de túnel virtual).

Os diagramas a seguir destacam os dois modelos:

Exemplo de VPN baseada em políticas

Diagram of policy-based VPN.

Exemplo de VPN baseada em rota

Diagram of route-based VPN for multiple sites.

Suporte do Azure para VPN baseada em políticas

Atualmente, o Azure suporta ambos os modos de gateways VPN: gateways VPN baseados em rota e gateways VPN baseados em políticas. Eles são construídos em diferentes plataformas internas, o que resulta em especificações diferentes. Para obter mais informações sobre gateways, taxa de transferência e conexões, consulte Sobre as configurações do Gateway VPN.

Tipo de VPN de gateway SKU do Gateway Versões IKE suportadas
Gateway baseado em políticas Básica IKEv1
Gateway baseado em rota Básica IKEv2
Gateway baseado em rota VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 IKEv1 e IKEv2
Gateway baseado em rota VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ IKEv1 e IKEv2

Anteriormente, ao trabalhar com VPNs baseadas em políticas, você estava limitado a usar o gateway VPN baseado em políticas Basic SKU e só podia se conectar a 1 dispositivo VPN/firewall local. Agora, usando a política IPsec/IKE personalizada, você pode usar um gateway VPN baseado em rota e conectar-se a vários dispositivos VPN/firewall baseados em política. Para fazer uma conexão VPN baseada em política usando um gateway VPN baseado em rota, configure o gateway VPN baseado em rota para usar seletores de tráfego baseados em prefixo com a opção "PolicyBasedTrafficSelectors".

Considerações

  • Para habilitar essa conectividade, seus dispositivos VPN locais baseados em políticas devem oferecer suporte ao IKEv2 para se conectar aos gateways VPN baseados em rota do Azure. Verifique as especificações do seu dispositivo VPN.

  • As redes locais que se conectam por meio de dispositivos VPN baseados em políticas com esse mecanismo só podem se conectar à rede virtual do Azure; eles não podem transitar para outras redes locais ou redes virtuais por meio do mesmo gateway de VPN do Azure.

  • A opção de configuração faz parte da política de conexão IPsec/IKE personalizada. Se você habilitar a opção de seletor de tráfego baseado em política, deverá especificar a política completa (criptografia IPsec/IKE e algoritmos de integridade, pontos fortes da chave e tempos de vida da SA).

O diagrama a seguir mostra por que o roteamento de trânsito via gateway VPN não funciona com a opção baseada em política:

Diagram of policy-based transit.

Conforme mostrado no diagrama, o gateway de VPN do Azure tem seletores de tráfego da rede virtual para cada um dos prefixos de rede local, mas não os prefixos de conexão cruzada. Por exemplo, o site local 2, o site 3 e o site 4 podem se comunicar com a VNet1, respectivamente, mas não podem se conectar entre si por meio do gateway de VPN do Azure. O diagrama mostra os seletores de tráfego de conexão cruzada que não estão disponíveis no gateway de VPN do Azure sob essa configuração.

Fluxo de trabalho

As instruções neste artigo seguem o mesmo exemplo descrito em Configurar política IPsec/IKE para conexões S2S ou VNet-to-VNet para estabelecer uma conexão VPN S2S. Isso é mostrado no diagrama a seguir:

Diagram shows an image of site-to-site with traffic selectors.

Para habilitar a conectividade, use o seguinte fluxo de trabalho:

  1. Crie a rede virtual, o gateway VPN e o gateway de rede local para sua conexão entre locais.
  2. Crie uma política IPsec/IKE.
  3. Aplique a política ao criar uma conexão S2S ou VNet-to-VNet e habilite os seletores de tráfego baseados em política na conexão.
  4. Se a conexão já estiver criada, você poderá aplicar ou atualizar a política para uma conexão existente.

Habilitar seletores de tráfego baseados em políticas

Esta seção mostra como habilitar seletores de tráfego baseados em políticas em uma conexão. Certifique-se de ter concluído a Parte 3 do artigo Configurar política IPsec/IKE. As etapas neste artigo usam os mesmos parâmetros.

Crie a rede virtual, o gateway VPN e o gateway de rede local

  1. Estabelecer a ligação à subscrição. Se você estiver executando o PowerShell localmente em seu computador, entre usando o cmdlet Connect-AzAccount . Ou, em vez disso, use o Azure Cloud Shell em seu navegador.

  2. Declarar as variáveis. Para este exercício, utilizamos as seguintes variáveis:

    $Sub1          = "<YourSubscriptionName>"
$RG1           = "TestPolicyRG1"
$Location1     = "East US 2"
$VNetName1     = "TestVNet1"
$FESubName1    = "FrontEnd"
$BESubName1    = "Backend"
$GWSubName1    = "GatewaySubnet"
$VNetPrefix11  = "10.11.0.0/16"
$VNetPrefix12  = "10.12.0.0/16"
$FESubPrefix1  = "10.11.0.0/24"
$BESubPrefix1  = "10.12.0.0/24"
$GWSubPrefix1  = "10.12.255.0/27"
$DNS1          = "8.8.8.8"
$GWName1       = "VNet1GW"
$GW1IPName1    = "VNet1GWIP1"
$GW1IPconf1    = "gw1ipconf1"
$Connection16  = "VNet1toSite6"
$LNGName6      = "Site6"
$LNGPrefix61   = "10.61.0.0/16"
$LNGPrefix62   = "10.62.0.0/16"
$LNGIP6        = "131.107.72.22"

  3. Crie um grupo de recursos.

    New-AzResourceGroup -Name $RG1 -Location $Location1

  4. Use o exemplo a seguir para criar a rede virtual TestVNet1 com três sub-redes e o gateway VPN. Se você quiser substituir valores, é importante que você sempre nomeie sua sub-rede de gateway especificamente como 'GatewaySubnet'. Se der outro nome, a criação da gateway falha.

    $fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

$gw1pip1    = New-AzPublicIpAddress -Name $GW1IPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic
$vnet1      = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1    = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gw1ipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GW1IPconf1 -Subnet $subnet1 -PublicIpAddress $gw1pip1

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gw1ipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1

New-AzLocalNetworkGateway -Name $LNGName6 -ResourceGroupName $RG1 -Location $Location1 -GatewayIpAddress $LNGIP6 -AddressPrefix $LNGPrefix61,$LNGPrefix62

Criar uma conexão VPN S2S com uma política IPsec/IKE

  1. Crie uma política IPsec/IKE.

    Importante

    Você precisa criar uma política IPsec/IKE para habilitar a opção "UsePolicyBasedTrafficSelectors" na conexão.

    O exemplo a seguir cria uma política IPsec/IKE com esses algoritmos e parâmetros:

    • IKEv2: AES256, SHA384, DHGroup24
    • IPsec: AES256, SHA256, PFS Nenhum, SA Tempo de vida 14400 segundos & 102400000KB
    $ipsecpolicy6 = New-AzIpsecPolicy -IkeEncryption AES256 -IkeIntegrity SHA384 -DhGroup DHGroup24 -IpsecEncryption AES256 -IpsecIntegrity SHA256 -PfsGroup None -SALifeTimeSeconds 14400 -SADataSizeKilobytes 102400000

  2. Crie a conexão VPN S2S com seletores de tráfego baseados em política e política IPsec/IKE e aplique a política IPsec/IKE criada na etapa anterior. Esteja ciente do parâmetro adicional "-UsePolicyBasedTrafficSelectors $True", que habilita seletores de tráfego baseados em política na conexão.

    $vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng6 = Get-AzLocalNetworkGateway  -Name $LNGName6 -ResourceGroupName $RG1

New-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng6 -Location $Location1 -ConnectionType IPsec -UsePolicyBasedTrafficSelectors $True -IpsecPolicies $ipsecpolicy6 -SharedKey 'AzureA1b2C3'

  3. Depois de concluir as etapas, a conexão VPN S2S usará a política IPsec/IKE definida e habilitará seletores de tráfego baseados em política na conexão. Você pode repetir as mesmas etapas para adicionar mais conexões a dispositivos VPN locais baseados em políticas adicionais a partir do mesmo gateway de VPN do Azure.

Para atualizar seletores de tráfego baseados em políticas

Esta seção mostra como atualizar a opção de seletores de tráfego baseados em política para uma conexão VPN S2S existente.

  1. Obtenha o recurso de conexão.

    $RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

  2. Exiba a opção de seletores de tráfego baseados em políticas. A linha a seguir mostra se os seletores de tráfego baseados em política são usados para a conexão:

    $connection6.UsePolicyBasedTrafficSelectors

    Se a linha retornar "True", os seletores de tráfego baseados em política serão configurados na conexão, caso contrário, retornará "False".

  3. Depois de obter o recurso de conexão, você pode habilitar ou desabilitar os seletores de tráfego baseados em política em uma conexão.

    • Para ativar

      O exemplo a seguir habilita a opção de seletores de tráfego baseados em política, mas deixa a política IPsec/IKE inalterada:

      $RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $True

    • Para desativar

      O exemplo a seguir desabilita a opção de seletores de tráfego baseados em política, mas deixa a política IPsec/IKE inalterada:

      $RG1          = "TestPolicyRG1"
$Connection16 = "VNet1toSite6"
$connection6  = Get-AzVirtualNetworkGatewayConnection -Name $Connection16 -ResourceGroupName $RG1

Set-AzVirtualNetworkGatewayConnection -VirtualNetworkGatewayConnection $connection6 -UsePolicyBasedTrafficSelectors $False

Próximos passos

Assim que a ligação estiver concluída, pode adicionar máquinas virtuais às redes virtuais. Veja Criar uma Máquina Virtual para obter os passos.

Consulte também Configurar política IPsec/IKE para conexões S2S VPN ou VNet-to-VNet para obter mais detalhes sobre políticas IPsec/IKE personalizadas.