Creación una conexión VPN de sitio a sitio: CLI de Azure

En este artículo se muestra cómo usar la CLI de Azure para crear una conexión de puerta de enlace VPN de sitio a sitio (S2S) desde la red local a una red virtual (VNet).

Se utiliza una conexión de puerta de enlace VPN de sitio a sitio para conectar su red local a una red virtual de Azure a través de un túnel VPN de IPsec/IKE (IKEv1 o IKEv2). Este tipo de conexión requiere un dispositivo VPN local que tenga una dirección IP pública asignada. Los pasos descritos en este artículo crean una conexión entre VPN Gateway y el dispositivo VPN local mediante una clave compartida. Para más información acerca de las puertas de enlace VPN, consulte Acerca de VPN Gateway.

Antes de empezar

Compruebe que el entorno cumple los siguientes criterios antes de comenzar la configuración:

• Compruebe que tiene una puerta de enlace de VPN basada en rutas en funcionamiento. Para crear una puerta de enlace de VPN, consulte Creación de una puerta de enlace de VPN.

• Si no está familiarizado con los intervalos de direcciones IP ubicados en la red local, necesita trabajar con alguien que pueda proporcionarle estos detalles. Al crear esta configuración, debe especificar los prefijos del intervalo de direcciones IP al que Azure enruta la ubicación local. Ninguna de las subredes de la red local puede superponerse con las subredes de la red virtual a la que desea conectarse.

• Dispositivos VPN.

  • Asegúrese de tener un dispositivo VPN compatible y alguien que pueda configurarlo. Para más información acerca de los dispositivos VPN compatibles y su configuración, consulte Acerca de los dispositivos VPN.
  • Determine si el dispositivo VPN admite puertas de enlace en modo activo-activo. En este artículo, se crea una puerta de enlace de VPN en modo activo-activo, que se recomienda para la conectividad de alta disponibilidad. El modo activo-activo especifica que ambas instancias de máquina virtual de puerta de enlace están activas. Este modo requiere dos direcciones IP públicas, una para cada instancia de máquina virtual de puerta de enlace. Configure el dispositivo VPN para conectarse a la dirección IP de cada instancia de máquina virtual de puerta de enlace.
    Si el dispositivo VPN no admite este modo, no habilite este modo para la puerta de enlace. Para más información, consulte Diseño de conectividad de alta disponibilidad para conexiones locales y de red virtual a red virtual y Acerca de las puertas de enlace de VPN de modo activo-activo.

• En este artículo se necesita la versión 2.0 o posterior de la CLI de Azure.

  • Use el entorno de Bash en Azure Cloud Shell. Para más información, consulte Inicio rápido para Bash en Azure Cloud Shell.

    

  • Si prefiere ejecutar comandos de referencia de la CLI localmente, instale la CLI de Azure. Si utiliza Windows o macOS, considere la posibilidad de ejecutar la CLI de Azure en un contenedor Docker. Para más información, vea Ejecución de la CLI de Azure en un contenedor de Docker.

    • Si usa una instalación local, inicie sesión en la CLI de Azure mediante el comando az login. Siga los pasos que se muestran en el terminal para completar el proceso de autenticación. Para ver otras opciones de inicio de sesión, consulte Inicio de sesión con la CLI de Azure.

    • En caso de que se le solicite, instale las extensiones de la CLI de Azure la primera vez que la use. Para más información sobre las extensiones, consulte Uso de extensiones con la CLI de Azure.

    • Ejecute az version para buscar cuál es la versión y las bibliotecas dependientes que están instaladas. Para realizar la actualización a la versión más reciente, ejecute az upgrade.

Creación de la puerta de enlace de red local

La puerta de enlace de red local suele hacer referencia a la ubicación local. Asigne al sitio un nombre al que Azure pueda hacer referencia y, luego, especifique la dirección IP del dispositivo VPN local con la que creará una conexión. Especifique también los prefijos de dirección IP que se enrutarán a través de la puerta de enlace VPN al dispositivo VPN. Los prefijos de dirección que especifique son los prefijos que se encuentran en la red local. Puede actualizar fácilmente estos prefijos si cambia su red local.

Use los valores siguientes:

• --gateway-ip-address es la dirección IP del dispositivo VPN local.
• --local-address-prefixes son los espacios de direcciones locales.

Use el comando az network local-gateway create para agregar una puerta de enlace de red local. En el ejemplo siguiente se muestra una puerta de enlace de red local con varios prefijos de direcciones. Reemplace los valores por los suyos.

az network local-gateway create --gateway-ip-address [IP address of your on-premises VPN device] --name Site1 --resource-group TestRG1 --local-address-prefixes 10.3.0.0/16 10.0.0.0/24

Configurar el dispositivo VPN

Las conexiones de sitio a sitio a una red local requieren un dispositivo VPN. En este paso, se configura el dispositivo VPN. Al configurar el dispositivo VPN, necesita los siguientes valores:

• Clave compartida: esta clave compartida es la misma que se especifica al crear la conexión VPN de sitio a sitio. En nuestros ejemplos, se utiliza una clave compartida básica. Se recomienda que genere y utilice una clave más compleja.

• Direcciones IP públicas de las instancias de puerta de enlace de red virtual: obtenga la dirección IP de cada instancia de máquina virtual. Si la puerta de enlace está en modo activo-activo, tendrá una dirección IP para cada instancia de máquina virtual de puerta de enlace. Asegúrese de configurar el dispositivo con ambas direcciones IP, una para cada máquina virtual de puerta de enlace activa. Las puertas de enlace en modo activo-en espera solo tienen una dirección IP.

  Para buscar la dirección IP pública de la puerta de enlace de red virtual, use el comando az network public-ip list. Para facilitar la lectura, la salida muestra la lista de direcciones IP públicas en formato de tabla. En el ejemplo, VNet1GWpip1 es el nombre del recurso de dirección IP pública.

  az network public-ip list --resource-group TestRG1 --output table
  

En función del dispositivo VPN que tenga, es posible que pueda descargar un script de configuración del mismo. Para más información, consulte Descarga de scripts de configuración de dispositivos VPN para conexiones VPN S2S.

En los siguientes vínculos se proporciona más información de configuración:

• Para obtener más información sobre dispositivos VPN compatibles, consulte Acerca de los dispositivos VPN.

• Antes de configurar el dispositivo VPN, compruebe si hay problemas conocidos de compatibilidad de dispositivos.

• Para obtener vínculos a los valores de configuración del dispositivo, consulte Dispositivos VPN validados. Proporcionamos los vínculos de configuración de dispositivos en la medida de lo posible, pero siempre es mejor comprobar con el fabricante del dispositivo la información de configuración más reciente.

  En la lista se muestran las versiones que probamos. Aunque la versión del sistema operativo del dispositivo VPN no aparezca en la lista, podría ser compatible. Consulte con el fabricante del dispositivo.

• Para obtener información básica sobre la configuración de dispositivos VPN, consulte Introducción a las configuraciones de dispositivos VPN de asociados.

• Para obtener información sobre cómo modificar los ejemplos de configuración de dispositivo, consulte Edición de ejemplos.

• Para conocer los requisitos criptográficos, consulte About cryptographic requirements and Azure VPN gateways (Acerca de los requisitos criptográficos y la puertas de enlace de VPN de Azure).

• Para obtener información sobre los parámetros que necesita para completar la configuración, consulte Parámetros de IPsec o IKE predeterminados. La información incluye la versión de IKE, el grupo Diffie-Hellman (DH), el método de autenticación, los algoritmos de cifrado y hash, la duración de la asociación de seguridad (SA), la confidencialidad directa total (PFS) y la detección de elementos del mismo nivel inactivos (DPD).

• Para conocer los pasos de configuración de la directiva IPsec o IKE, consulte Configuración de directivas de conexión IPsec o IKE personalizadas para VPN S2S y red virtual a red virtual.

• Para conectar varios dispositivos VPN basados en directivas, consulte Conexión de una puerta de enlace de VPN a varios dispositivos VPN locales basados en directivas.

Creación de la conexión VPN

Creación de una conexión VPN de sitio a sitio entre la puerta de enlace de la red virtual y el dispositivo VPN local. Si usa una puerta de enlace en modo activo-activo (recomendado), cada instancia de máquina virtual de puerta de enlace tiene una dirección IP asignada independiente. Para configurar correctamente la conectividad de alta disponibilidad, debe establecer un túnel entre cada instancia de máquina virtual y su dispositivo VPN. Ambos túneles forman parte de la misma conexión.

Cree la conexión mediante el comando az network vpn-connection create. La clave compartida debe coincidir con el valor usado para la configuración del dispositivo VPN.

az network vpn-connection create --name VNet1toSite1 --resource-group TestRG1 --vnet-gateway1 VNet1GW -l eastus --shared-key abc123 --local-gateway2 Site1

Pasado un momento, se establecerá la conexión.

Comprobación de la conexión VPN

Puede comprobar que la conexión se realizó correctamente mediante el comando az network vpn-connection show. En el ejemplo, "-Name" hace referencia al nombre de la conexión que quiere probar. Mientras la conexión aún se está estableciendo, su estado de conexión muestra "Conectando". Una vez establecida la conexión, el estado cambia a "Conectado". Modifica el siguiente ejemplo con los valores para tu entorno.

az network vpn-connection show --name <connection-name> --resource-group <resource-group-name>

Si desea usar otro método para comprobar la conexión, consulte Comprobación de una conexión de VPN Gateway.

Tareas comunes

Esta sección contiene comandos comunes que son útiles al trabajar con configuraciones de sitio a sitio. Para obtener la lista completa de los comandos de red de la CLI, consulte Azure CLI - Networking (CLI de Azure - Redes).

Para ver las puertas de enlace de la red local

Para ver una lista de las puertas de enlace de red local, use el comando az network local-gateway list.

az network local-gateway list --resource-group TestRG1

Para modificar los prefijos de dirección IP de la puerta de enlace de red local (sin conexión de puerta de enlace)

Si desea agregar o quitar prefijos de direcciones IP y su puerta de enlace todavía no tiene una conexión, puede actualizar los prefijos mediante az network local-gateway update. Para sobrescribir la configuración actual, utilice el nombre existente de la puerta de enlace de red local. Si usa otro nombre, creará una nueva puerta de enlace de red local, en lugar de sobrescribir la existente. Este comando también se puede usar para actualizar la dirección IP de la puerta de enlace del dispositivo VPN.

Cada vez que se realiza un cambio, debe especificarse toda la lista de prefijos, no solo los prefijos que se desea cambiar. Especifique solo los prefijos que desea conservar. En este caso, 10.0.0.0/24 y 10.3.0.0/16

az network local-gateway create --gateway-ip-address 23.99.221.164 --name Site2 -g TestRG1 --local-address-prefixes 10.0.0.0/24 10.3.0.0/16

Para modificar los prefijos de dirección IP de la puerta de enlace de red local (conexión de puerta de enlace existente)

Si tiene una conexión de puerta de enlace y desea agregar o quitar prefijos de direcciones IP, estos se pueden actualizar mediante az network local-gateway update. Esto tendrá como resultado un tiempo de inactividad para la conexión VPN.

Cada vez que se realiza un cambio, debe especificarse toda la lista de prefijos, no solo los prefijos que se desea cambiar. En este ejemplo, 10.0.0.0/24 y 10.3.0.0/16 ya están presentes. Agregamos los prefijos 10.5.0.0/16 y 10.6.0.0/16, y especificamos los cuatro prefijos al actualizar.

az network local-gateway update --local-address-prefixes 10.0.0.0/24 10.3.0.0/16 10.5.0.0/16 10.6.0.0/16 --name VNet1toSite2 -g TestRG1

Para modificar la puerta de enlace de red local "gatewayIpAddress"

Si cambia la dirección IP pública del dispositivo VPN, debe modificar la puerta de enlace de red local con la dirección IP actualizada. Al modificar la puerta de enlace, asegúrese de especificar el nombre existente de la puerta de enlace de red local. Si usa otro nombre, creará una nueva puerta de enlace de red local, en lugar de sobrescribir la información sobre la puerta de enlace existente.

Para modificar la dirección IP de puerta de enlace, reemplace los valores "Site2" y "TestRG1" por los suyos propios mediante el comando az network local-gateway update.

az network local-gateway update --gateway-ip-address 23.99.222.170 --name Site2 --resource-group TestRG1

Compruebe que la dirección IP sea correcta en la salida:

"gatewayIpAddress": "23.99.222.170",

Para comprobar los valores de la clave compartida

Compruebe que el valor de la clave compartida es el mismo valor que utilizó para la configuración del dispositivo VPN. Si no es así, ejecute de nuevo la conexión con el valor del dispositivo, o actualice el dispositivo con el valor devuelto. Los valores deben coincidir. Para ver la clave compartida, use az network vpn-connection-list.

az network vpn-connection shared-key show --connection-name VNet1toSite2 --resource-group TestRG1

Para ver la dirección IP pública de la puerta de enlace de VPN

Para buscar la dirección IP pública de la puerta de enlace de red virtual, use el comando az network public-ip list. Para facilitar la lectura, la salida de este ejemplo tiene el formato preciso para mostrar la lista de direcciones IP públicas en formato de tabla.

az network public-ip list --resource-group TestRG1 --output table

Pasos siguientes

• Para más información acerca de BGP, consulte Información general de BGP y Configuración de BGP.
• Para información acerca de la tunelización forzada, consulte la Acerca de la tunelización forzada.
• Para obtener información acerca de las conexiones activo/activo de alta disponibilidad, consulte Conectividad de alta disponibilidad entre locales y de red virtual a red virtual.
• Para obtener una lista de comandos de red de la CLI de Azure, consulte Networking - az network (Redes: az network).
• Para información acerca de cómo crear una conexión VPN de sitio a sitio mediante una plantilla de Azure Resource Manager, consulte Create a Site-to-Site VPN Connection (Creación de una conexión VPN de sitio a sitio).
• Para información sobre cómo crear una conexión VPN entre redes virtuales mediante una plantilla de Azure Resource Manager, consulte Implementación de la replicación geográfica de HBase.