Compartir a través de

Configuración de una conexión VPN de red virtual a red virtual: Azure Portal

  • Artículo

Este artículo le ayuda a conectarse a redes virtuales mediante el tipo de conexión de red virtual a red virtual en Azure Portal. Cuando se usa el portal para conectar redes virtuales de red virtual a red virtual, las redes virtuales pueden estar en regiones diferentes, pero deben estar en la misma suscripción. Si las redes virtuales se encuentran en suscripciones distintas, use las instrucciones de PowerShell en su lugar. Este artículo no se aplica al emparejamiento de red virtual. Para el emparejamiento de red virtual, vea el artículo Emparejamiento de red virtual.

Diagrama de una conexión de red virtual a red virtual.

Acerca de conexiones de red virtual a red virtual

La configuración de una conexión de red virtual a red virtual es una forma sencilla de conectar redes virtuales. La conexión de una red virtual a otra mediante el tipo de conexión de red virtual a red virtual es similar a la creación de una conexión IPsec de sitio a sitio a una ubicación local. Ambos tipos de conectividad usan una puerta de enlace de VPN para proporcionar un túnel seguro mediante IPsec/IKE y funcionan de la misma forma en lo relativo a la comunicación. Sin embargo, la manera en que se configura la puerta de enlace de red local es distinta.

  • Cuando se crea una conexión de red virtual a red virtual, el espacio de direcciones de la puerta de enlace de red local se crea y rellena automáticamente. Sin embargo, la puerta de enlace de red local no está visible en esta configuración. Esto significa que no se puede configurar manualmente.

  • Si actualiza el espacio de direcciones de una de las redes virtuales, la otra enruta automáticamente al espacio de direcciones actualizado.

  • Por lo general, es más rápido y sencillo crear una conexión de red virtual a red virtual que una conexión de sitio a sitio.

  • Si sabe que quiere especificar espacios de direcciones adicionales para la puerta de enlace de red local, o bien tiene previsto agregar conexiones adicionales más adelante y necesita ajustar la puerta de enlace de red local, en su lugar cree la configuración mediante los pasos de conexión de sitio a sitio.

  • La conexión de red virtual a red virtual no incluye el espacio de direcciones del grupo de clientes de punto a sitio. Si necesita enrutamiento transitivo para clientes de punto a sitio, cree una conexión de sitio a sitio entre las puertas de enlace de red virtual o use el emparejamiento de red virtual.

¿Por qué crear una conexión de red virtual a red virtual?

Puede que desee conectar redes virtuales con una conexión de red virtual a red virtual por las siguientes razones:

  • Presencia geográfica y redundancia geográfica entre regiones

    • Puede configurar su propia replicación geográfica o sincronización con conectividad segura sin recurrir a los puntos de conexión a Internet.
    • Con Azure Traffic Manager y Azure Load Balancer, puede configurar cargas de trabajo de alta disponibilidad con redundancia geográfica en varias regiones de Azure. Por ejemplo, puede configurar grupos de disponibilidad AlwaysOn de SQL Server en varias regiones de Azure.

  • Aplicaciones regionales de niveles múltiples con aislamiento o límites administrativos

    Dentro de la misma región, se pueden configurar aplicaciones de niveles múltiples con varias redes virtuales conectadas entre sí debido a requisitos de aislamiento o administrativos. Se puede combinar la comunicación entre redes virtuales con configuraciones de varios sitios. Estas configuraciones permiten establecer topologías de red que combinan la conectividad entre entornos locales con la conectividad entre redes virtuales, como se muestra en el diagrama siguiente:

    Diagrama de una conexión de red virtual a red virtual en el que se muestran varias suscripciones.

Creación y configuración de VNet1

Si ya dispone de una red virtual, compruebe que la configuración sea compatible con el diseño de la puerta de enlace de VPN. Preste especial atención a las subredes que podrían superponerse con otras redes. La conexión no funcionará correctamente si tiene subredes superpuestas.

En esta sección, cree VNet1 con los valores siguientes. Si usa valores propios, asegúrese de que los espacios de direcciones no se superponen con ninguna de las redes virtuales a las que se quiere conectar.

  • Configuración de la red virtual
    • Name: VNet1
    • Espacio de direcciones: 10.1.0.0/16
    • Suscripción: Seleccione la suscripción que quiere usar.
    • Grupo de recursos: TestRG1
    • Ubicación: Este de EE. UU.
    • Subred
      • Name: FrontEnd
      • Intervalo de direcciones: 10.1.0.0/24

  1. Inicie sesión en Azure Portal.

  2. En Buscar recursos, servicios y documentos (G+/) en la parte superior de la página del portal, escriba red virtual. Seleccione Red virtual en los resultados de búsqueda de Marketplace para abrir la página Red virtual.

  3. En la página Red virtual, seleccione Crear para abrir la página Crear red virtual.

  4. En la pestaña Aspectos básicos, configure las opciones de la red virtual en Detalles del proyecto y Detalles de la instancia. Verá una marca de verificación verde cuando se validen los valores que escriba. Puede ajustar los valores que se muestran en el ejemplo según la configuración que necesite.

    Captura de pantalla que muestra la ficha Datos básicos.

    • Suscripción: compruebe que la suscripción que aparece en la lista es la correcta. Puede cambiar las suscripciones mediante el cuadro desplegable.
    • Grupo de recursos: Seleccione uno existente o seleccione Crear nuevo para crear uno. Para más información sobre los grupos de recursos, consulte Información general de Azure Resource Manager.
    • Name: escriba el nombre de la red virtual.
    • Región: Seleccione la ubicación de la red virtual. La ubicación determina dónde van a residir los recursos que implemente en esta red virtual.

  5. Seleccione Siguiente o Seguridad para ir a la pestaña Seguridad. Para este ejercicio, mantenga los valores predeterminados para todos los servicios de esta página.

  6. Seleccione Direcciones IP para ir a la pestaña Direcciones IP. Configure los valores en la pestaña Direcciones IP.

    • Espacio de direcciones IPv4: de manera predeterminada, se crea automáticamente un espacio de direcciones. Puede seleccionar el espacio de direcciones y modificarlo para que refleje sus valores. También puede agregar un espacio de direcciones diferente y quitar el valor predeterminado que se creó automáticamente. Por ejemplo, puede especificar la dirección inicial como 10.1.0.0 y especificar el tamaño del espacio de direcciones como /16. A continuación, seleccione Agregar para agregar ese espacio de direcciones.

    • + Agregar subred: Si usa el espacio de direcciones predeterminado, se crea automáticamente una subred predeterminada. Si cambia el espacio de direcciones, agregue una nueva subred dentro de ese espacio de direcciones. Seleccione + Agregar una subred para abrir la ventana Agregar subred. Configure las siguientes opciones y, a continuación, seleccione Agregar al final de la página para agregar los valores.

      • Nombre de subred: puede usar el valor predeterminado o especificar el nombre. Ejemplo: FrontEnd.
      • Rango de direcciones de subred: intervalo de direcciones para esta subred. Algunos ejemplos de ello son 10.1.0.0 y /24.

  7. Revise la página Direcciones IP y quite los espacios de direcciones o subredes que no necesite.

  8. Seleccione Revisar y crear para validar la configuración de la red virtual.

  9. Después de validar la configuración, seleccione Crear para crear la red virtual.

Creación de la subred de la puerta de enlace

La puerta de enlace de red virtual requiere una subred específica denominada GatewaySubnet. La subred de puerta de enlace forma parte del intervalo de direcciones IP de la red virtual y contiene las direcciones IP que usan los servicios y los recursos de la puerta de enlace de red virtual.

Al crear la subred de puerta de enlace, especifique el número de direcciones IP que contiene la subred. El número de direcciones IP que se necesitan depende de la configuración de puerta de enlace de VPN que se desea crear. Algunas configuraciones requieren más direcciones IP que otras. Es mejor especificar /27 o superior (/26, /25, etc.) para la subred de puerta de enlace.

  1. En la página de la red virtual, en el panel izquierdo, seleccione Subredes para abrir la página de Subredes.
  2. En la parte superior de la página Subred de puerta de enlace, para abrir el panel de Agregar subred.
  3. El nombre se escribe automáticamente como GatewaySubnet. Ajuste el valor del intervalo de direcciones IP, si es necesario. Por ejemplo, 10.1.255.0/27.
  4. No ajuste los demás valores de la página. Seleccione Guardar en la parte inferior de la página para guardar la subred.

Importante

No se admiten grupos de seguridad de red (NSG) en la subred de puerta de enlace. La asociación de grupos de seguridad de red a esta subred podría causar que la puerta de enlace de la red virtual (puertas de enlace de ExpressRoute y VPN) dejase de funcionar como cabría esperar. Para más información acerca de los grupos de seguridad de red, consulte ¿Qué es un grupo de seguridad de red?

Creación de la puerta de enlace VPN de VNet1

En este paso, se crea la puerta de enlace de red virtual. La creación de una puerta de enlace suele tardar 45 minutos o más, según la SKU de la puerta de enlace seleccionada. Para conocer los precios de la SKU de puerta de enlace, consulte Precios.

Cree una puerta de enlace de red virtual (puerta de enlace de VPN) con los siguientes valores:

  • Name: VNet1GW
  • Tipo de puerta de enlace: VPN
  • SKU: VpnGw2AZ
  • Generación: Generación 2
  • Red virtual: VNet1
  • Intervalo de direcciones de subred de puerta de enlace: 10.1.255.0/27
  • Dirección IP pública: Crear nuevo
  • Nombre de dirección IP pública: VNet1GWpip1
  • SKU de dirección IP pública: Estándar
  • Asignación de: estática
  • Segundo nombre de dirección IP pública: VNet1GWpip2
  • Habilitación del modo activo-activo: Habilitado

  1. En Buscar recursos, servicios y documentos (G+/), escriba puerta de enlace de red virtual. Busque Puerta de enlace de red virtual en los resultados de búsqueda de Marketplace y selecciónelo para abrir la página Crear puerta de enlace de red virtual.

  2. En la pestaña Aspectos básicos, rellene los valores de Detalles del proyecto y Detalles de la instancia.

    Captura de pantalla que muestra los campos Instancia.

    • Subscripción: Seleccione la suscripción que quiere usar en la lista desplegable.

    • Grupo de recursos: este valor se rellena automáticamente al seleccionar la red virtual en esta página.

    • Nombre: este es el nombre del objeto de puerta de enlace que va a crear. Esto es diferente de la subred de puerta de enlace en la que se implementarán los recursos de puerta de enlace.

    • Región: Seleccione la región en la que quiere crear este recurso. La región de la puerta de enlace debe ser la misma que la red virtual.

    • Tipo de puerta de enlace: Seleccione VPN. Las puertas de enlace VPN usan el tipo de puerta de enlace de red virtual VPN.

    • SKU: en la lista desplegable, seleccione una SKU de puerta de enlace que admita las características que quiere usar.

      • Siempre que sea posible, se recomienda seleccionar una SKU que termine en AZ. Las SKU de AZ admiten zonas de disponibilidad.
      • La SKU básica no está disponible en el portal. Para configurar una puerta de enlace de SKU Básica, debe usar PowerShell o la CLI.

    • Generación: seleccione Generation2en la lista desplegable.

    • Red virtual: En la lista desplegable, seleccione la red virtual a la que quiere agregar esta puerta de enlace. Si no puede ver la red virtual que quiere usar, asegúrese de seleccionar la suscripción y la región correctas en la configuración anterior.

    • Intervalo de direcciones de subred de puerta de enlace o subred: La subred de puerta de enlace es necesaria para crear una puerta de enlace de VPN.

      Actualmente, este campo puede mostrar diferentes opciones de configuración, según el espacio de direcciones de la red virtual y si ya ha creado una subred denominada GatewaySubnet para la red virtual.

      Si no tiene una subred de puerta de enlace y no ve la opción de crear una en esta página, vuelva a la red virtual y cree la subred de puerta de enlace. A continuación, vuelva a esta página y configure la puerta de enlace de VPN.

  1. Especifique los valores de Dirección IP pública. Esta configuración especifica los objetos de dirección IP pública que se asociarán a la puerta de enlace de VPN. Una dirección IP pública se asigna a cada objeto de dirección IP pública cuando se crea la puerta de enlace de VPN. La única vez que cambia la dirección IP pública asignada es cuando se elimina y se vuelve a crear la puerta de enlace. Las direcciones IP no cambian en el cambio de tamaño, el restablecimiento u otras actualizaciones o mantenimiento internos de la puerta de enlace de VPN.

    Captura de pantalla que muestra el campo Dirección IP pública.

    • Tipo de dirección IP pública: si aparece esta opción, seleccione Estándar.

    • Dirección IP pública: Mantenga la opción Crear nueva seleccionada.

    • Nombre de la dirección IP pública: En el cuadro de texto, escriba un nombre para la dirección IP pública.

    • SKU de dirección IP pública: la configuración se selecciona automáticamente en SKU estándar.

    • Asignación: la asignación suele seleccionarse automáticamente y debe ser Estática.

    • Zona de disponibilidad: esta configuración está disponible para las SKU de puerta de enlace de AZ en regiones que admiten zonas de disponibilidad. Seleccione Redundancia de zona, a menos que sepa que quiere especificar una zona.

    • Habilitar el modo activo-activo: se recomienda seleccionar Habilitado para aprovechar las ventajas de una puerta de enlace de modo activo-activo. Si tiene previsto usar esta puerta de enlace para una conexión de sitio a sitio, tenga en cuenta lo siguiente:

      • Compruebe el diseño activo-activo que quiera usar. Las conexiones con el dispositivo VPN local se deben configurar específicamente para aprovechar el modo activo-activo.
      • Algunos dispositivos VPN no admiten el modo activo-activo. Si no está seguro, consulte con el proveedor del dispositivo VPN. Si usa un dispositivo VPN que no admite el modo activo-activo, puede seleccionar Deshabilitado para esta configuración.

    • Segunda dirección IP pública: Seleccione Crear nuevo. Solo está disponible si ha seleccionado Habilitado para el valor Habilitar modo activo-activo.

    • Nombre de la dirección IP pública: En el cuadro de texto, escriba un nombre para la dirección IP pública.

    • SKU de dirección IP pública: la configuración se selecciona automáticamente en SKU estándar.

    • Zona de disponibilidad: seleccione Redundancia de zona, a menos que sepa que desea especificar una zona.

    • Configurar BGP: Seleccionar deshabilitado a menos que la configuración requiera específicamente esta configuración. Si necesita este valor de configuración, el valor predeterminado del ASN es 65515, aunque esto se puede cambiar.

    • Habilitar el acceso a Key Vault: seleccione Deshabilitado a menos que la configuración requiera específicamente este valor.

  2. Seleccione Revisar y crear para ejecutar la validación.

  3. Una vez superada la validación, seleccione Crear para implementar VPN Gateway.

Una puerta de enlace puede tardar 45 minutos aproximadamente en crearse e implementarse completamente. Puede ver el estado de implementación en la página Información general de la puerta de enlace. Una vez creada la puerta de enlace, puede ver la dirección IP que se le ha asignado consultando la red virtual en el portal. La puerta de enlace aparece como un dispositivo conectado.

Importante

No se admiten grupos de seguridad de red (NSG) en la subred de puerta de enlace. La asociación de grupos de seguridad de red a esta subred podría causar que la puerta de enlace de la red virtual (puertas de enlace de ExpressRoute y VPN) dejase de funcionar como cabría esperar. Para más información acerca de los grupos de seguridad de red, consulte ¿Qué es un grupo de seguridad de red?

Creación y configuración de VNet4

Después de configurar VNet1, cree VNet4 y la puerta de enlace de VNet4 repitiendo los pasos anteriores, pero reemplazando los valores por los de VNet4. No es preciso esperar a que la puerta de enlace de red virtual de VNet1 haya terminado de crearse para configurar VNet4. Si usa valores propios, asegúrese de que los espacios de direcciones no se superponen con ninguna de las redes virtuales a las que se quiere conectar.

Puede usar los siguientes valores de ejemplos para configurar VNet4 y la puerta de enlace de VNet4.

  • Configuración de la red virtual
    • Name: VNet4
    • Espacio de direcciones: 10.41.0.0/16
    • Suscripción: Seleccione la suscripción que quiere usar.
    • Grupo de recursos: TestRG4
    • Ubicación: Oeste de EE. UU. 2
    • Subred
      • Name: FrontEnd
      • Intervalo de direcciones: 10.41.0.0/24

Agregue la subred de puerta de enlace:

  • Nombre: GatewaySubnet
  • Intervalo de direcciones de subred de puerta de enlace: 10.41.255.0/27

Configuración de la puerta de enlace de VPN VNet4

Puede usar los siguientes valores de ejemplos para configurar la puerta de enlace de VPN VNet4.

  • Configuración de puerta de enlace de red virtual
    • Name: VNet4GW
    • Grupo de recursos: Oeste de EE. UU 2
    • Generación: Generación 2
    • Tipo de puerta de enlace: Seleccione VPN.
    • Tipo de VPN: seleccione Basada en rutas.
    • SKU: VpnGw2AZ
    • Generación: generación 2
    • Red virtual: VNet4
    • Nombre de dirección IP pública: VNet4GWpip1
    • SKU de dirección IP pública: Estándar
    • Asignación de: estática
    • Segundo nombre de dirección IP pública: VNet4GWpip2
    • Habilitación del modo activo-activo: Habilitado

Configuración de las conexiones

Cuando se hayan completado las puertas de enlace de red privada virtual de VNet1 y VNet4, puede crear las conexiones de dichas puertas de enlace.

Las redes virtuales de la misma suscripción se pueden conectar mediante el portal, aunque se encuentren en grupos de recursos diferentes. Pero si las redes virtuales se encuentran en suscripciones distintas, debe usar PowerShell para realizar la conexión.

Puede crear una conexión bidireccional o bien unidireccional. Para este ejercicio, especificaremos una conexión bidireccional. El valor de conexión bidireccional crea dos conexiones separadas para que el tráfico pueda fluir en ambas direcciones.

  1. En el portal, vaya a VNet1GW.

  2. En la página de la puerta de enlace de red virtual, en el panel de la izquierda, seleccione Conexiones para abrir la página Conexiones. Después, seleccione + Agregar para abrir la página Crear conexión.

  3. En la página Crear conexión, rellene los valores de la conexió.

    Captura de pantalla en la que se muestra la página Crear conexión.

    • Tipo de conexión: Seleccione De red virtual a red virtual en la lista desplegable.
    • Establecer conectividad bidireccional: seleccione este valor si quiere establecer el flujo de tráfico en ambas direcciones. Si no selecciona este valor y más adelante quiere agregar una conexión en la dirección opuesta, deberá crear una conexión que se origine en la otra puerta de enlace de red virtual.
    • Nombre de la primera conexión: VNet1-to-VNet4
    • Nombre de la segunda conexión: VNet4-to-VNet1
    • Región: Este de EE. UU. (la región de VNet1GW)

  4. Haga clic en Siguiente: Configuración > en la parte inferior de la página para avanzar a la página Configuración.

  5. En la página Configuración, especifique los siguientes valores:

    • Primera puerta de enlace de red virtual: seleccione VNet1GW en la lista desplegable.
    • Segunda puerta de enlace de red virtual: seleccione VNet4GW en la lista desplegable.
    • Clave compartida (PSK) : En este campo, escriba una clave compartida para la conexión. Dicha clave puede generarla o crearla manualmente. En una conexión de sitio a sitio, la clave que usa es la misma del dispositivo local y de la conexión de puerta de enlace de red virtual. Aquí el concepto es similar, salvo en que en lugar de conectarse a un dispositivo VPN, la conexión se establece con otra puerta de enlace de red virtual. Lo importante al especificar una clave compartida es que es exactamente lo mismo para ambos lados de la conexión.
    • Protocolo IKE: IKEv2

  6. Para este ejercicio, puede dejar el resto de la configuración con sus valores predeterminados.

  7. Seleccione Revisar y crear y, después, Crear para validar y crear las conexiones.

Comprobación de las conexiones

  1. Busque la puerta de enlace de red virtual en Azure Portal. Por ejemplo, VNet1GW.

  2. En la página Puerta de enlace de red virtual, seleccione Conexiones para ver la página Conexiones de la puerta de enlace de red virtual. Una vez que se establece la conexión, verá que los valores de Estado cambian a Conectado.

  3. En la columna Nombre, seleccione una de las conexiones para ver más información. Cuando se inicia el flujo de datos, aparecerán los valores para Datos de entrada y Datos de salida.

Agregar más conexiones

Puede crear otra conexión de red virtual a red virtual, o bien crear una conexión IPsec de sitio a sitio en una ubicación local.

  • Antes de crear más conexiones, compruebe que el espacio de direcciones de la red virtual no se superponga con ninguno de los espacios de direcciones con los que quiere conectarse.

  • Al configurar una conexión nueva, asegúrese de ajustar el Tipo de conexión para que coincida con el tipo de conexión que quiere crear. Si va a agregar una conexión de sitio a sitio, debe crear una puerta de enlace de red local para poder crear la conexión.

  • Al configurar una conexión que usa una clave compartida, asegúrese de que la clave compartida sea exactamente la misma para ambos lados de la conexión.

Para crear más conexiones, siga estos pasos:

  1. En Azure Portal, vaya a la puerta de enlace de VPN desde la que quiere crear la conexión.
  2. En el panel izquierdo, seleccione Conexiones. Vea las conexiones existentes.
  3. Cree la conexión.

P+F sobre conexiones de red virtual a red virtual

Consulte las preguntas más frecuentes de la VPN Gateway para las preguntas más frecuentes sobre red virtual a red virtual.

Pasos siguientes