Creación una conexión VPN de sitio a sitio: Azure PowerShell
En este artículo se muestra cómo usar PowerShell para crear una conexión de puerta de enlace VPN de sitio a sitio desde la red local a una red virtual (VNet).
Se utiliza una conexión de puerta de enlace VPN de sitio a sitio para conectar su red local a una red virtual de Azure a través de un túnel VPN de IPsec/IKE (IKEv1 o IKEv2). Este tipo de conexión requiere un dispositivo VPN local que tenga una dirección IP pública asignada. Los pasos descritos en este artículo crean una conexión entre VPN Gateway y el dispositivo VPN local mediante una clave compartida. Para más información acerca de las puertas de enlace VPN, consulte Acerca de VPN Gateway.
Antes de empezar
Compruebe que el entorno cumple los siguientes criterios antes de comenzar la configuración:
Compruebe que tiene una puerta de enlace de VPN basada en rutas en funcionamiento. Para crear una puerta de enlace de VPN, consulte Creación de una puerta de enlace de VPN.
Si no está familiarizado con los intervalos de direcciones IP ubicados en la red local, necesita trabajar con alguien que pueda proporcionarle estos detalles. Al crear esta configuración, debe especificar los prefijos del intervalo de direcciones IP al que Azure enruta la ubicación local. Ninguna de las subredes de la red local puede superponerse con las subredes de la red virtual a la que desea conectarse.
Dispositivos VPN.
- Asegúrese de tener un dispositivo VPN compatible y alguien que pueda configurarlo. Para más información acerca de los dispositivos VPN compatibles y su configuración, consulte Acerca de los dispositivos VPN.
- Determine si el dispositivo VPN admite puertas de enlace en modo activo-activo. En este artículo, se crea una puerta de enlace de VPN en modo activo-activo, que se recomienda para la conectividad de alta disponibilidad. El modo activo-activo especifica que ambas instancias de máquina virtual de puerta de enlace están activas. Este modo requiere dos direcciones IP públicas, una para cada instancia de máquina virtual de puerta de enlace. Configure el dispositivo VPN para conectarse a la dirección IP de cada instancia de máquina virtual de puerta de enlace.
Si el dispositivo VPN no admite este modo, no habilite este modo para la puerta de enlace. Para más información, consulte Diseño de conectividad de alta disponibilidad para conexiones locales y de red virtual a red virtual y Acerca de las puertas de enlace de VPN de modo activo-activo.
Azure PowerShell
En este artículo se usan cmdlets de PowerShell. Para ejecutar los cmdlets, puede usar Azure Cloud Shell. Cloud Shell es un servicio de shell interactivo gratuito que se puede usar para ejecutar los pasos de este artículo. Tiene las herramientas comunes de Azure preinstaladas y configuradas para usarlas en la cuenta.
Para abrir Cloud Shell, seleccione Abrir Cloud Shell en la esquina superior derecha de un bloque de código. También puede abrir Cloud Shell en una pestaña independiente desde https://shell.azure.com/powershell. Seleccione Copiar para copiar los bloques de código, péguelos en Cloud Shell y, a continuación, seleccione la tecla Entrar para ejecutarlos.
También puede instalar y ejecutar los cmdlets de Azure PowerShell localmente en el equipo. Los cmdlets de PowerShell se actualizan con frecuencia. Si no ha instalado la última versión, los valores especificados en las instrucciones pueden dar lugar a errores. Para buscar las versiones de Azure PowerShell instaladas en el equipo, use el cmdlet Get-Module -ListAvailable Az. Para instalar la actualización, vea Instalación del módulo de Azure PowerShell.
Creación de una puerta de enlace de red local
La puerta de enlace de red local (LNG) suele hacer referencia a la ubicación local. No es lo mismo que una puerta de enlace de red. Asigne al sitio un nombre al que Azure pueda hacer referencia y, luego, especifique la dirección IP del dispositivo VPN local con la que creará una conexión. Especifique también los prefijos de dirección IP que se enrutan a través de la puerta de enlace VPN al dispositivo VPN. Los prefijos de dirección que especifique son los prefijos que se encuentran en la red local. Puede actualizar fácilmente estos prefijos si cambia su red local.
Seleccione uno de los ejemplos siguientes. Los valores usados en los ejemplos son:
- GatewayIPAddress es la dirección IP del dispositivo VPN local, no la puerta de enlace de VPN de Azure.
- AddressPrefix es el espacio de direcciones local.
Ejemplo de prefijo de dirección único
New-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1 `
-Location 'East US' -GatewayIpAddress '[IP address of your on-premises VPN device]' -AddressPrefix '10.0.0.0/24'
Ejemplo de prefijo de varias direcciones
New-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1 `
-Location 'East US' -GatewayIpAddress '[IP address of your on-premises VPN device]' -AddressPrefix @('10.3.0.0/16','10.0.0.0/24')
Configurar el dispositivo VPN
Las conexiones de sitio a sitio a una red local requieren un dispositivo VPN. En este paso, se configura el dispositivo VPN. Para configurar el dispositivo VPN, necesita los elementos siguientes:
Clave compartida: esta clave compartida es la misma que se especifica al crear la conexión VPN de sitio a sitio. En nuestros ejemplos, se utiliza una clave compartida básica. Se recomienda que genere y utilice una clave más compleja.
Direcciones IP públicas de las instancias de puerta de enlace de red virtual: obtenga la dirección IP de cada instancia de máquina virtual. Si la puerta de enlace está en modo activo-activo, tendrá una dirección IP para cada instancia de máquina virtual de puerta de enlace. Asegúrese de configurar el dispositivo con ambas direcciones IP, una para cada máquina virtual de puerta de enlace activa. Las puertas de enlace en modo activo-en espera solo tienen una dirección IP. En el ejemplo, VNet1GWpip1 es el nombre del recurso de dirección IP pública.
Get-AzPublicIpAddress -Name VNet1GWpip1 -ResourceGroupName TestRG1
En función del dispositivo VPN que tenga, es posible que pueda descargar un script de configuración del mismo. Para más información, consulte Descarga de scripts de configuración de dispositivos VPN para conexiones VPN S2S.
En los siguientes vínculos se proporciona más información de configuración:
Para obtener más información sobre dispositivos VPN compatibles, consulte Acerca de los dispositivos VPN.
Antes de configurar el dispositivo VPN, compruebe si hay problemas conocidos de compatibilidad de dispositivos.
Para obtener vínculos a los valores de configuración del dispositivo, consulte Dispositivos VPN validados. Proporcionamos los vínculos de configuración de dispositivos en la medida de lo posible, pero siempre es mejor comprobar con el fabricante del dispositivo la información de configuración más reciente.
En la lista se muestran las versiones que probamos. Aunque la versión del sistema operativo del dispositivo VPN no aparezca en la lista, podría ser compatible. Consulte con el fabricante del dispositivo.
Para obtener información básica sobre la configuración de dispositivos VPN, consulte Introducción a las configuraciones de dispositivos VPN de asociados.
Para obtener información sobre cómo modificar los ejemplos de configuración de dispositivo, consulte Edición de ejemplos.
Para conocer los requisitos criptográficos, consulte About cryptographic requirements and Azure VPN gateways (Acerca de los requisitos criptográficos y la puertas de enlace de VPN de Azure).
Para obtener información sobre los parámetros que necesita para completar la configuración, consulte Parámetros de IPsec o IKE predeterminados. La información incluye la versión de IKE, el grupo Diffie-Hellman (DH), el método de autenticación, los algoritmos de cifrado y hash, la duración de la asociación de seguridad (SA), la confidencialidad directa total (PFS) y la detección de elementos del mismo nivel inactivos (DPD).
Para conocer los pasos de configuración de la directiva IPsec o IKE, consulte Configuración de directivas de conexión IPsec o IKE personalizadas para VPN S2S y red virtual a red virtual.
Para conectar varios dispositivos VPN basados en directivas, consulte Conexión de una puerta de enlace de VPN a varios dispositivos VPN locales basados en directivas.
Creación de la conexión VPN
Creación de una conexión VPN de sitio a sitio entre la puerta de enlace de la red virtual y el dispositivo VPN local. Si usa una puerta de enlace en modo activo-activo (recomendado), cada instancia de máquina virtual de puerta de enlace tiene una dirección IP asignada independiente. Para configurar correctamente la conectividad de alta disponibilidad, debe establecer un túnel entre cada instancia de máquina virtual y su dispositivo VPN. Ambos túneles forman parte de la misma conexión.
La clave compartida debe coincidir con el valor usado para la configuración del dispositivo VPN. Tenga en cuenta que el valor de '-ConnectionType' para la configuración sitio a sitio es IPsec.
Establezca las variables.
$gateway1 = Get-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1Cree la conexión.
New-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1 ` -Location 'East US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local ` -ConnectionType IPsec -SharedKey 'abc123'
Comprobación de la conexión VPN
Hay varias maneras diferentes de comprobar la conexión VPN.
Puede comprobar que la conexión se realizó correctamente mediante el uso del cmdlet "Get-AzVirtualNetworkGatewayConnection", con o sin "-Debug".
Puede usar el siguiente ejemplo de cmdlet, configurando los valores para que coincidan con los tuyos. Cuando se le pida, seleccione "A" para ejecutar "todo". En el ejemplo, " -Name" hace referencia al nombre de la conexión que desea probar.
Get-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1Cuando el cmdlet haya finalizado, consulte los valores. En el ejemplo siguiente, el estado de conexión aparece como "Conectado" y pueden verse los bytes de entrada y salida.
"connectionStatus": "Connected", "ingressBytesTransferred": 33509044, "egressBytesTransferred": 4142431
Para modificar los prefijos de dirección IP de una puerta de enlace de red local
Si cambian los prefijos de las direcciones IP que desea enrutar a una ubicación local, puede modificar la puerta de enlace de red local. Al usar estos ejemplos, modifique los valores para que coincidan con su entorno.
Para agregar más prefijos de dirección:
Establezca la variable para LocalNetworkGateway.
$local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1Modifique los prefijos. Los valores especificados sobrescriben los valores anteriores.
Set-AzLocalNetworkGateway -LocalNetworkGateway $local ` -AddressPrefix @('10.101.0.0/24','10.101.1.0/24','10.101.2.0/24')
Para quitar prefijos de dirección:
Omita los prefijos que ya no necesite. En este ejemplo, ya no necesitamos el prefijo 10.101.2.0/24 (del ejemplo anterior), por lo que se actualizará la puerta de enlace de red local y se excluirá ese prefijo.
Establezca la variable para LocalNetworkGateway.
$local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1Establezca la puerta de enlace con los prefijos actualizados.
Set-AzLocalNetworkGateway -LocalNetworkGateway $local ` -AddressPrefix @('10.101.0.0/24','10.101.1.0/24')
Para modificar la dirección IP de una puerta de enlace de red local
Si cambia la dirección IP pública del dispositivo VPN, debe modificar la puerta de enlace de red local con la dirección IP actualizada. Al modificar este valor, también puede modificar al mismo tiempo los prefijos de dirección. Al modificarlo, asegúrese de usar el nombre existente de la puerta de enlace de red local. Si usa otro nombre, creará una nueva puerta de enlace de red local, en lugar de sobrescribir la información sobre la puerta de enlace existente.
New-AzLocalNetworkGateway -Name Site1 `
-Location "East US" -AddressPrefix @('10.101.0.0/24','10.101.1.0/24') `
-GatewayIpAddress "5.4.3.2" -ResourceGroupName TestRG1
Para eliminar una conexión de puerta de enlace
Si no conoce el nombre de la conexión, puede encontrarlo mediante el cmdlet "Get-AzVirtualNetworkGatewayConnection".
Remove-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 `
-ResourceGroupName TestRG1
Pasos siguientes
- Una vez completada la conexión, puede agregar máquinas virtuales a las redes virtuales. Consulte Virtual Machines para más información.
- Para más información acerca de BGP, consulte Información general de BGP y Configuración de BGP.
- Para información acerca de cómo crear una conexión VPN de sitio a sitio mediante una plantilla de Azure Resource Manager, consulte Creación de una conexión VPN de sitio a sitio.
- Para obtener información acerca de cómo crear una conexión VPN entre redes virtuales mediante una plantilla de Azure Resource Manager, consulte Deploy HBase geo replication (Implementación de replicación geográfica de HBase).