Condividi tramite


Cómo conectar la red interna con las redes virtuales de Windows Azure de Forefront TMG 2010

Hola

En el post anterior hemos definido una red virtual en Windows Azure y la hemos conectado mediante un tunel Site-to-Site con nuestra red interna, de modo que las máquinas virtuales que pongamos a funcionar en la nube tengan la conectividad necesaria con los recursos internos.

Para ello contamos con las dos direcciones IP públicas de ambos extremos, con los direccionamientos IP de cada lado y con el secreto compartido que se ha generado al configurar la red de Windows Azure

  • On-Premise: 10.0.0.0/16:
  • Azure Virtual Network: 10.1.0.0/16, dividida a su vez en las subredes10.1.0.0/24 (dedicada al gateway), 10.1.1.0/24, 10.1.2.0/24, 10.1.3.0/24

Los parámetros del tunel que tenemos que utilizar son:

 

  • IKE Phase I Parameters:
    • Mode: Main mode
    • Encryption: AES128 (o 3DES)
    • Integrity: SHA1
    • Diffie-Hellman group: Group 2 (1024 bit)
    • Authentication Method: Pre-shared secret
    • Security Association Lifetime: 28800 seconds
  • IKE Phase II Parameters:
    • Mode: ESP tunnel mode
    • Encryption: AES128 (o 3DES)
    • Integrity: SHA1
    • Perfect Forward Secrecy: OFF
    • Diffie-Hellman group: Group 2 (1024 bit)
    • Time Rekeying: ON
    • Security Association Lifetime: 3600 seconds
    • Kbyte Rekeying: ON
    • Rekey After Sending: 102400000 Kbytes

Vamos a ver como se configura todo esto en TMG 2010:

1.- Si Microsoft Forefront TMG 2010 esta instalado sobre Windows Server 2008 R2, necesitamos aplicar este parche:

2.- Generamos el tunel con el asistente de TMG:

imageimage

Ponemos la dirección IP del gateway local (la interfaz externa del TMG, con la dirección IP pública) y da dirección IP del gateway de Windows Azure que aparece en el portal:

image

Introducimos ahora el secreto compartido de IPSec que nos sale al darle al botón iKey del portal

image

Ahora definimos cual es el espacio de direcciones remoto que hemos definido en la Virtual Network de Windows Azure. Por defecto nos aparece la IP del gateway e introducimos el rango 10.1.0.0/16

image

Especificamos que no queremos generar ni la regla de enrutado ni las reglas de accesos del firewall. Lo haremos luego manualmente. El final del asistente nos recuerda que tenemos esa tarea pendiente:

image     image   image     image

Editamos las propiedades del tunel, y en la pestaña conexión especificamos los parámetros que usaremos en las fases I y II de la negociación de IPSec

image     image

Tras unos minutos, el tunel aparecerá como conectado:

image

Pero no seremos capaces de transmitir tráfico por él todavía:

3.- Crear la relación entre la red interna y la red Virtual de Windows Azure

En TMG, vamos a Networking, Network Rules y creamos una Network Rule para especifica que las redes Interna y la Virtual de Azure deben enrutarse entre si

image  image  imageimage  image

Con lo que nos queda:

image

4.- Crear reglas de acceso en las políticas del firewall para permitir el tráfico de todos los protocolos en ambos sentidos (este punto podría configurarse de forma más fina, en función del uso que le vayamos a dar a la red virtual):

image   image   image

image   image   image

image   image

y tras estos pasos, ya deberíamos ver tráfico en el portal en ambas direcciones, simplemente por los propios mecanismos de mantenimiento del mismo:

image

En el próximo post veremos como crear algunas VMs que colocaremos en las subredes de la red virtual que hemos configurado en Windows Azure.

Saludos

David Cervigón

Comments

  • Anonymous
    July 03, 2012
    Gracias David, después de parcheado el TMG y reiniciado todo funciona.

  • Anonymous
    March 21, 2013
    Una nota: si va a haber tráfico RPC entre Azure y On-Premise, es necesario deshabituar el cumplimiento estricto de RPC (Strict RPC compliance) que TMG habilita por defecto (blogs.technet.com/.../rpc-filter-and-enable-strict-rpc-compliance.aspx) Saludos.