Consideraciones para una Conexión Sitio a Sitio en Azure
En este artículo mostraré una solución alternativa sobre cómo configurar la puerta de enlace de Vnet de sitio a sitio cuando vemos conexiones inestables. Las redes virtuales de Azure pueden estar en la misma o en diferentes regiones, y de la misma o diferentes suscripciones.
Al conectar Vnets desde diferentes suscripciones, las suscripciones no necesitan asociarse con el mismo inquilino de Active Directory..
Por otro lado, la conexión de puerta de enlace VPN de sitio a sitio se usa para conectar su red local a una red virtual Azure a través de un túnel VPN IPsec / IKE (IKEv1 o IKEv2).
Este tipo de conexión requiere un dispositivo VPN ubicado en las instalaciones con una dirección IP pública externa asignada.
Este es un escenario muy común cuando intenta conectarse desde una ubicación local a Azure usando un dispositivo de red de un tercero..
https://wikiazure.azureedge.net/wp-content/uploads/2018/03/site-to-site-diagram.png
Consideraciones a tener en cuenta:
- 1 vnet = 1 gateway
- Gateway Type = Static Routing = PolicyBased = 1 conexión
- Gateway Type = Dynamic Routing = Route Based = 10 conexiones
- Puede usar Policy Based Gateway para conectar los dispositivos que aún no están validados.
Error:
IKE diagnostic event:, Failure type: IKE/Authip Main Mode Failure, Failure error code:0x000035ed, Negotiation timed out, , Failure point: Local, Keying module type: IKEv2, MM State: Initial state, no packets sent, MM SA role: Initiator, MM auth method: Unknown, 0000000000000000000000000000000000000000, MM ID: 0x0000000000000020
Solución:
Azure ahora permite configurar múltiples puertas de enlace VPN para un Vnet, sin embargo, debe considerar::
- No está creando una conexión coexistente con ExpressRoute / S2S.
- La puerta de enlace de red virtual para su red virtual está en modo Route Based. Si tiene una puerta de enlace VPN basada en política(policy -based), debe eliminar la puerta de enlace de red virtual y crear una nueva puerta de enlace VPN en Route Based.
- Ninguno de los rangos de direcciones se superponen para las VNets a las que esta red virtual se está conectando.
Cree una política personalizada IPsec / IKE personalizada, asegúrese de verificar el Tipo de puerta de enlace que su dispositivo admite.
La siguiente tabla muestra las opciones de IPSec / IKEv2::
| IPsec/IKEv2 | Options |
|---|---|
| IKEv2 Encryption | AES256, AES192, AES128, DES3, DES |
| IKEv2 Integrity | SHA384, SHA256, SHA1, MD5 |
| DH Group | DHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, None |
| IPsec Encryption | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None |
| IPsec Integrity | GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5 |
| PFS Group | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None |
| QM SA Lifetime | Seconds (integer; min. 300/default 27000 seconds) KBytes (integer; min. 1024/default 102400000 KBytes) |
| Traffic Selector | UsePolicyBasedTrafficSelectors ($True/$False; default $False) |
La siguiente tabla muestra las instrucciones de configuración de otros fabricantes. Para soporte de dispositivos VPN, comuníquese con el fabricante de su dispositivo.
| Vendor | Device family | Minimum OS version | PolicyBased configuration instructions | RouteBased configuration instructions |
|---|---|---|---|---|
| A10 Networks, Inc. | Thunder CFW | ACOS 4.1.1 | Not compatible | Configuration guide |
| Allied Telesis | AR Series VPN Routers | 2.9.2 | Coming soon | Not compatible |
| Barracuda Networks, Inc. | Barracuda NextGen Firewall F-series | PolicyBased: 5.4.3 RouteBased: 6.2.0 |
Configuration guide | Configuration guide |
| Barracuda Networks, Inc. | Barracuda NextGen Firewall X-series | Barracuda Firewall 6.5 | Configuration guide | Not compatible |
| Brocade | Vyatta 5400 vRouter | Virtual Router 6.6R3 GA | Configuration guide | Not compatible |
| Check Point | Security Gateway | R77.30 | Configuration guide | Configuration guide |
| Cisco | ASA | 8.3 8.4+ (IKEv2*) |
Configuration samples | Configuration guide* |
| Cisco | ASR | PolicyBased: IOS 15.1 RouteBased: IOS 15.2 |
Configuration samples | Configuration samples |
| Cisco | ISR | PolicyBased: IOS 15.0 RouteBased*: IOS 15.1 |
Configuration samples | Configuration samples** |
| Cisco | Meraki | N/A | Not compatible | Not compatible |
| Citrix | NetScaler MPX, SDX, VPX | 10.1 and above | Configuration guide | Not compatible |
| F5 | BIG-IP series | 12.0 | Configuration guide | Configuration guide |
| Fortinet | FortiGate | FortiOS 5.6 | Configuration guide | |
| Internet Initiative Japan (IIJ) | SEIL Series | SEIL/X 4.60 SEIL/B1 4.60 SEIL/x86 3.20 |
Configuration guide | Not compatible |
| Juniper | SRX | PolicyBased: JunOS 10.2 Routebased: JunOS 11.4 |
Configuration samples | Configuration samples |
| Juniper | J-Series | PolicyBased: JunOS 10.4r9 RouteBased: JunOS 11.4 |
Configuration samples | Configuration samples |
| Juniper | ISG | ScreenOS 6.3 | Configuration samples | Configuration samples |
| Juniper | SSG | ScreenOS 6.2 | Configuration samples | Configuration samples |
| Microsoft | Routing and Remote Access Service | Windows Server 2012 | Not compatible | Configuration samples |
| Open Systems AG | Mission Control Security Gateway | N/A | Configuration guide | Not compatible |
| Palo Alto Networks | All devices running PAN-OS | PAN-OS PolicyBased: 6.1.5 or later RouteBased: 7.1.4 |
Configuration guide | Configuration guide |
| ShareTech | Next Generation UTM (NU series) | 9.0.1.3 | Not compatible | Configuration guide |
| SonicWall | TZ Series, NSA Series SuperMassive Series E-Class NSA Series |
SonicOS 5.8.x SonicOS 5.9.x SonicOS 6.x |
Not compatible | Configuration guide |
| Sophos | XG Next Gen Firewall | XG v17 | Configuration guide | |
| WatchGuard | All | Fireware XTM PolicyBased: v11.11.x RouteBased: v11.12.x |
Configuration guide | Configuration guide |