Criar uma conexão de VPN site a site — Azure PowerShell
Este artigo mostra como usar o PowerShell para criar uma conexão de gateway de VPN Site a Site de sua rede local para uma VNet (rede virtual).
Uma conexão de gateway de VPN site a site é usada para conectar a rede local a uma rede virtual do Azure por um túnel VPN IPsec/IKE (IKEv1 ou IKEv2). Esse tipo de conexão exige um dispositivo VPN localizado no local que tenha um endereço IP público voltado para o exterior atribuído a ele. As etapas incluídas neste artigo criam uma conexão entre o gateway de VPN e o dispositivo de VPN local usando uma chave compartilhada. Para saber mais sobre os gateways de VPN, veja Sobre o gateway de VPN.
Antes de começar
Verifique se o seu ambiente atende aos seguintes critérios antes de iniciar a configuração:
Verifique se você tem um gateway de VPN funcional baseado em rota. Para criar um gateway de VPN, confira Criar um gateway de VPN.
Se você não estiver familiarizado com os intervalos de endereço IP localizados na configuração de rede local, fale com alguém que possa lhe dar essa informação. Ao criar essa configuração, você precisa especificar os prefixos do intervalo de endereços IP que o Azure irá encaminhar para o seu local. Nenhuma das sub-redes da rede local podem se sobrepor às sub-redes de rede virtual às quais você deseja se conectar.
Dispositivos de VPN:
- Verifique se você tem um dispositivo VPN compatível e alguém que possa configurá-lo. Para obter mais informações sobre dispositivos VPN compatíveis e a configuração do dispositivo, confira Sobre dispositivos VPN.
- Verifique se o seu dispositivo de VPN dá suporte a gateways no modo ativo-ativo. Esse artigo cria um gateway de VPN no modo ativo-ativo, o que é recomendado para uma conectividade altamente disponível. O modo ativo-ativo especifica que ambas as instâncias de VM do gateway estão ativas. Esse modo requer dois endereços IP públicos, um para cada instância de VM do gateway. Você configura seu dispositivo de VPN para se conectar ao endereço IP de cada instância de VM do gateway.
Se o seu dispositivo de VPN não for compatível com esse modo, este não deve ser habilitado para o seu gateway. Para obter mais informações, confira Projetar uma conectividade altamente disponível para conexões multilocais e VNet a VNet e Sobre gateways de VPN no modo ativo-ativo.
Azure PowerShell
Este artigo usa cmdlets do PowerShell. Para executar os cmdlets, você pode usar o Azure Cloud Shell. O Cloud Shell é um shell interativo e grátis que pode ser usado para executar as etapas deste artigo. Ele tem ferramentas do Azure instaladas e configuradas para usar com sua conta.
Para abrir o Cloud Shell, basta selecionar Abrir Cloud Shell no canto superior direito de um bloco de código. Você também pode abrir o Cloud Shell em uma guia separada do navegador indo até https://shell.azure.com/powershell. Selecione Copiar para copiar os blocos de código, cole-os no Cloud Shell e selecione a tecla Enter para executá-los.
Também é possível instalar e executar cmdlets do Azure PowerShell localmente em seu computador. Os cmdlets do PowerShell são atualizados com frequência. Se você não tiver instalado a versão mais recente, os valores especificados nas instruções poderão falhar. Use o cmdlet Get-Module -ListAvailable Az para localizar versões do Azure PowerShell instaladas em seu computador. Para executar uma instalação ou atualização, confira como Instalar o módulo do Azure PowerShell.
Criar um gateway de rede local
O gateway de rede local (LNG) geralmente se refere ao seu local. Não é o mesmo que um gateway de rede virtual. Você atribui um nome ao site que o Azure usará para referenciá-lo e especifica o endereço IP do dispositivo VPN local com o qual criará uma conexão. Você também especifica os prefixos de endereço IP que serão roteados por meio do gateway de VPN para o dispositivo VPN. Os prefixos de endereço que você especifica são os prefixos localizados em sua rede local. Se sua rede local for alterada, você poderá atualizar facilmente os prefixos.
Selecione um dos exemplos a seguir. Os valores usados nos exemplos são:
- O GatewayIPAddress é o endereço IP do dispositivo VPN local, não o gateway de VPN do Azure.
- O AddressPrefix é o espaço de endereço local.
Exemplo de prefixo de endereço único
New-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1 `
-Location 'East US' -GatewayIpAddress '[IP address of your on-premises VPN device]' -AddressPrefix '10.0.0.0/24'
Exemplo de prefixo de múltiplos endereços
New-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1 `
-Location 'East US' -GatewayIpAddress '[IP address of your on-premises VPN device]' -AddressPrefix @('10.3.0.0/16','10.0.0.0/24')
Configurar o dispositivo de VPN
As conexões site a site para uma rede local exigem um dispositivo VPN. Nesta etapa, você deve configurar seu dispositivo VPN. Ao configurar seu dispositivo VPN, você precisará dos itens a seguir:
Chave compartilhada: essa chave compartilhada é a mesma que você especifica ao criar a conexão VPN site a site. Em nossos exemplos, usamos uma chave compartilhada simples. Recomendamos gerar uma chave mais complexa para uso.
Endereços IP públicos de suas instâncias de gateway de rede virtual: obtenha o endereço IP para cada instância de VM. Se o seu gateway estiver no modo ativo-ativo, você terá um endereço IP para cada instância de VM do gateway. Certifique-se de configurar seu dispositivo com ambos os dois endereços IP, um para cada VM ativa do gateway. Os gateways no modo ativo-em espera têm apenas um endereço IP. No exemplo, VNet1GWpip1 é o nome do recurso de endereço IP público.
Get-AzPublicIpAddress -Name VNet1GWpip1 -ResourceGroupName TestRG1
Dependendo do dispositivo VPN que você tem, talvez seja possível fazer o download de um script de configuração do dispositivo VPN. Para saber mais, confira Fazer download dos scripts de configuração de dispositivo de VPN.
Os links a seguir fornecem mais informações de configuração:
Para obter informações sobre dispositivos de VPN compatíveis, veja Sobre dispositivos de VPN.
Antes de configurar seu dispositivo de VPN, verifique se há problemas conhecidos de compatibilidade de dispositivos.
Para obter links para as definições de configuração do dispositivo, confira Dispositivos VPN Validados. Fornecemos os links de configuração do dispositivo da melhor maneira possível, mas é sempre melhor verificar com o fabricante do dispositivo as informações de configuração mais recentes.
A lista mostra as versões que testamos. Se a versão do sistema operacional do seu dispositivo de VPN não estiver na lista, ele ainda poderá ser compatível. Verifique com o fabricante do seu dispositivo.
Para obter informações básicas sobre a configuração de dispositivos de VPN, veja Visão geral das configurações de dispositivos de VPN de parceiros.
Para obter informações sobre a edição dos exemplos de configuração do dispositivo, consulte Edição de exemplos.
Para requisitos de criptografia, veja Sobre os requisitos de criptografia e gateways de VPN do Azure.
Para obter informações sobre os parâmetros necessários para concluir sua configuração, veja Parâmetros IPsec/IKE padrão. As informações incluem versão do IKE, grupo DH (Diffie-Hellman), método de autenticação, algoritmos de criptografia e hash, vida útil da SA ( associação de segurança), PFS (sigilo de encaminhamento perfeito) e DPD (detecção de par morto).
Para obter as etapas de configuração da política IPsec/IKE, veja Configurar políticas de conexão IPsec/IKE personalizadas para VPN S2S e VNet-to-VNet.
Para conectar vários dispositivos de VPN baseados em políticas, veja Conectar um gateway da VPN a vários dispositivos de VPN locais baseados em políticas.
Criar a conexão VPN
Crie uma conexão VPN site a site entre o gateway de rede virtual e o dispositivo VPN local. Se você estiver usando um gateway em modo ativo-ativo (recomendado), cada instância de VM do gateway terá um endereço IP separado. Para configurar corretamente a conectividade altamente disponível, você deve estabelecer um túnel entre cada instância de VM e seu dispositivo VPN. Ambos os túneis fazem parte da mesma conexão.
A chave compartilhada deve corresponder ao valor usado para a configuração do dispositivo VPN. Observe que o '-ConnectionType' para site a site é IPsec.
Defina as variáveis.
$gateway1 = Get-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1Crie a conexão.
New-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1 ` -Location 'East US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local ` -ConnectionType IPsec -SharedKey 'abc123'
Verificar a conexão VPN
Existem algumas maneiras diferentes de verificar a conexão VPN.
Você pode verificar se a conexão foi bem-sucedida usando o cmdlet 'Get-AzVirtualNetworkGatewayConnection', com ou sem '-Debug'.
Use o seguinte exemplo de cmdlet, configurando os valores para coincidirem com os seus. Quando solicitado, selecione ‘A’ para executar ‘Todos’. No exemplo, "-Name" refere-se ao nome da conexão que você criou e deseja testar.
Get-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1Após o cmdlet ter sido concluído, exiba os valores. No exemplo abaixo, o status da conexão é exibido como ‘Conectado’ e é possível ver os bytes de entrada e saída.
"connectionStatus": "Connected", "ingressBytesTransferred": 33509044, "egressBytesTransferred": 4142431
Para modificar os prefixos do endereço IP para um gateway de rede local
Se os prefixos de endereço IP que você deseja rotear para o seu local forem alterados, você pode modificar o gateway de rede local. Ao usar esses exemplos, modifique os valores de acordo com seu ambiente.
Para adicionar mais prefixos de endereços:
Defina a variável para LocalNetworkGateway.
$local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1Modifique os prefixos. Os valores especificados substituem os valores anteriores.
Set-AzLocalNetworkGateway -LocalNetworkGateway $local ` -AddressPrefix @('10.101.0.0/24','10.101.1.0/24','10.101.2.0/24')
Para remover os prefixo de endereço:
Exclua os prefixos de que você não precisa mais. Nesse exemplo, não precisamos mais do prefixo 10.101.2.0/24 (do exemplo anterior), então vamos atualizar o gateway de rede local e excluir o prefixo.
Defina a variável para LocalNetworkGateway.
$local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1Defina o gateway com os prefixos atualizados.
Set-AzLocalNetworkGateway -LocalNetworkGateway $local ` -AddressPrefix @('10.101.0.0/24','10.101.1.0/24')
Para modificar o endereço IP do gateway para um gateway de rede local
Se alterar o endereço IP público do seu dispositivo de VPN, você precisará modificar o gateway de rede local com seu endereço IP atualizado. Ao modificar esse valor, você também pode modificar os prefixos do endereço ao mesmo tempo. Ao modificar, certifique-se de usar o nome existente do seu gateway de rede local. Se usar um nome diferente, você vai criar um novo gateway de rede local, em vez de substituir as informações do gateway existente.
New-AzLocalNetworkGateway -Name Site1 `
-Location "East US" -AddressPrefix @('10.101.0.0/24','10.101.1.0/24') `
-GatewayIpAddress "5.4.3.2" -ResourceGroupName TestRG1
Para excluir uma conexão de gateway
Se você não souber o nome da conexão, poderá encontrá-la usando o cmdlet “Get-AzVirtualNetworkGatewayConnection”.
Remove-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 `
-ResourceGroupName TestRG1
Próximas etapas
- Quando sua conexão for concluída, você poderá adicionar máquinas virtuais às suas redes virtuais. Para saber mais, veja Máquinas virtuais.
- Para obter informações sobre o BGP, consulte a Visão Geral do BGP e Como configurar o BGP.
- Para saber mais sobre como criar uma conexão VPN site a site usando o modelo do Azure Resource Manager, confira Criar uma conexão VPN site a site.
- Para saber mais sobre como criar uma conexão VPN de rede virtual para rede virtual usando o modelo do Azure Resource Manager, veja Implantar a replicação geográfica do HBase.