Adicionar ou remover conexões site a site do Gateway de VPN
Este artigo ajuda você a adicionar ou remover conexões S2S (site a site) de um gateway de VPN. Você também pode adicionar conexões site a site a um gateway de VPN que já tenha uma conexão site a site, uma conexão ponto a site ou uma conexão VNet a VNet. Existem algumas limitações ao adicionar conexões. Confira a seção Pré-requisitos neste artigo antes de iniciar a configuração.
Sobre conexão de coexistência ExpressRoute/site para site
- Você pode usar as etapas deste artigo para adicionar uma nova conexão VPN a uma conexão já existente de coexistência ExpressRoute/site para site.
- Não é possível usar as etapas deste artigo para configurar uma nova conexão de coexistência ExpressRoute/site para site. Para criar uma nova conexão de coexistência, consulte: Conexões de coexistência ExpressRoute/S2S.
Pré-requisitos
Verifique os itens a seguir:
- Você NÃO está configurando uma nova conexão de coexistência ExpressRoute e VPN Gateway site para site.
- Você tem uma rede virtual que foi criada usando o modelo de implantação do Resource Manager com uma conexão existente.
- O gateway de rede virtual para sua rede virtual é RouteBased. Se você tiver um gateway de VPN PolicyBased, deverá excluir o gateway de rede virtual e criar um novo gateway de VPN como RouteBased.
- Nenhum dos intervalos de endereços se sobrepõe a qualquer uma das redes virtuais às quais essa rede virtual está se conectando.
- Você possui um dispositivo VPN compatível e alguém que possa configurá-lo. Confira Sobre dispositivos VPN. Se você não estiver familiarizado com a configuração de seu dispositivo VPN ou se não estiver familiarizado com os intervalos de endereços IP localizados em sua configuração de rede local, será necessário coordenar com alguém que possa fornecer os detalhes para você.
- Você possui um endereço IP público voltado para o exterior para seu dispositivo VPN.
Criar um gateway de rede local
O gateway de rede local é um objeto específico implantado no Azure que representa seu local no local (o site) para fins de roteamento. Você atribui um nome ao site que o Azure usará para referenciá-lo e especifica o endereço IP do dispositivo VPN local com o qual criará uma conexão. Você também pode especificar os prefixos de endereço IP que serão roteados por meio do gateway de VPN para o dispositivo VPN. Os prefixos de endereço que você especifica são os prefixos localizados em sua rede local. Se as alterações de rede local ou se você precisar alterar o endereço IP público para o dispositivo VPN, poderá atualizar facilmente os valores mais tarde.
Crie um gateway de rede local usando os seguintes valores de exemplo:
- Nome: Site1
- Grupo de recursos: TestRG1
- Local: Leste dos EUA
Considerações de configuração:
- O Gateway de VPN suporta apenas um endereço IPv4 para cada FQDN. Se o nome de domínio for resolvido em vários endereços IP, o Gateway de VPN usará o primeiro endereço IP retornado pelos servidores DNS. Para eliminar a incerteza, recomendamos que seu FQDN sempre resolva para um endereço IPv4. Não há suporte para o IPv6.
- O Gateway de VPN mantém um cache de DNS que é atualizado a cada 5 minutos. O gateway tenta resolver FQDNs somente para túneis desconectados. A redefinição do gateway também dispara a resolução de FQDN.
- Embora o Gateway de VPN ofereça suporte a várias conexões a diferentes gateways de rede local com diferentes FQDNs, todos os FQDNs devem ser resolvidos com diferentes endereços de IP.
No portal, acesse Gateways de rede locais e abra a página Criar gateway de rede local.
Na guia Básico, especifique os valores para o gateway de rede local.
- Assinatura: Verifique se a assinatura correta está sendo exibida.
- Grupo de recursos: selecione o grupo de recursos que você deseja usar. Você pode criar um novo grupo de recursos ou selecionar um que você já criou.
- Região: selecione a região desse objeto. Você pode selecionar o mesmo local em que sua rede virtual está, mas isso não é obrigatório.
- Nome: especifique um nome para seu objeto de gateway de rede local.
- Ponto de extremidade: selecione o tipo de ponto de extremidade para o dispositivo VPN local como endereço IP ou FQDN (Nome de Domínio Totalmente Qualificado).
- Endereço IP: se você tiver um endereço IP público estático alocado pelo seu provedor de serviços de Internet (ISP) para o seu dispositivo VPN, selecione a opção Endereço IP. Preencha o endereço IP conforme mostrado no exemplo. Esse endereço é o endereço IP público do dispositivo VPN ao qual você deseja que o Gateway de VPN do Azure se conecte. Se você não tiver o endereço IP no momento, poderá usar os valores mostrados no exemplo. Posteriormente, você deve voltar e substituir o endereço IP do espaço reservado pelo endereço IP público do seu dispositivo VPN. Caso contrário, o Azure não poderá se conectar.
- FQDN: se você tiver um endereço IP público dinâmico que possa mudar após um determinado período, geralmente determinado pelo seu ISP, poderá usar um nome DNS constante com um serviço de DNS dinâmico para apontar para o endereço IP público atual do seu dispositivo VPN. Seu gateway VPN do Azure resolve o FQDN para determinar o endereço IP público ao qual se conectar.
- Espaço de endereços: o espaço de endereço refere-se aos intervalos de endereços da rede que essa rede local representa. Você pode adicionar vários intervalos de espaço de endereço. Verifique se os intervalos especificados aqui não se sobrepõem aos intervalos de outras redes com as quais você deseja se conectar. O Azure roteia o intervalo de endereços especificado para o endereço IP do dispositivo VPN local. Se deseja se conectar ao site local, use seus próprios valores aqui, e não os valores mostrados no exemplo.
Na guia Avançado, você pode definir as configurações do BGP, se necessário.
Depois de especificar os valores, selecione Revisar + criar na parte inferior da página para validar a página.
Selecione Criar para criar o objeto de gateway de rede local.
Configurar o dispositivo de VPN
As conexões site a site para uma rede local exigem um dispositivo VPN. Nesta etapa, você deve configurar seu dispositivo VPN. Ao configurar seu dispositivo VPN, você precisará dos seguintes valores:
- Uma chave compartilhada. Essa é a mesma chave compartilhada especificada ao criar a conexão VPN site a site. Em nossos exemplos, usamos uma chave compartilhada básica. Recomendamos gerar uma chave mais complexa para uso.
- O endereço IP público do seu gateway de rede virtual. Você pode exibir o endereço IP público usando o portal do Azure, o PowerShell ou a CLI. Para localizar o endereço IP público do seu gateway de VPN usando o portal do Azure, navegue até Gateways de rede virtual e selecione o nome do seu gateway.
Dependendo do dispositivo VPN que você possui, talvez seja possível fazer o download de um script de configuração do dispositivo VPN. Para saber mais, confira Fazer download dos scripts de configuração de dispositivo de VPN.
Para obter mais informações sobre configuração, confira os links a seguir:
- Para obter informações sobre dispositivos VPN compatíveis, confira Dispositivos VPN.
- Antes de configurar o dispositivo VPN, verifique se há algum problema de compatibilidade conhecido com o dispositivo VPN que você deseja usar.
- Para obter links para as definições de configuração do dispositivo, confira Dispositivos VPN Validados. Os links de configuração do dispositivo são fornecidos em uma base de melhor esforço. Sempre é melhor verificar com o fabricante do dispositivo para obter as últimas informações de configuração. A lista mostra as versões que testamos. Se o sistema operacional não estiver nessa lista, ainda será possível que a versão seja compatível. Confira com o fabricante do seu dispositivo para verificar se a versão do SO do dispositivo VPN é compatível.
- Para obter uma visão geral da configuração do dispositivo VPN, confira Visão geral das configurações de dispositivos VPN de terceiros.
- Para obter informações sobre a edição dos exemplos de configuração do dispositivo, consulte Edição de exemplos.
- Para requisitos de criptografia, veja Sobre os requisitos de criptografia e gateways de VPN do Azure.
- Para obter informações sobre parâmetros IPsec/IKE, confira Sobre dispositivos VPN e os parâmetros IPsec/IKE para conexões do Gateway de VPN site a site. Esse link mostra informações sobre a versão do IKE, o grupo Diffie-Hellman, o método de autenticação, os algoritmos de criptografia e de hash, o tempo de vida do SA, o PFS e o DPD, além de outras informações de parâmetros necessárias para concluir a configuração.
- Para ver as etapas de configuração da política IPsec/IKE, confira Configurar a política IPsec/IKE para conexões VPN site a site ou VNet a VNet.
- Para conectar vários dispositivos VPN baseados em política, confira Conectar gateways VPN do Azure a vários dispositivos VPN com base em políticas locais usando o PowerShell.
Configurar uma conexão
Crie uma conexão VPN site a site entre o gateway de rede virtual e o dispositivo VPN local. Nesta seção, usamos os seguintes valores de exemplo:
- Nome do gateway de rede local: Site1
- Nome da conexão: VNet1toSite1
- Chave compartilhada: para esse exemplo, usaremos abc123. Mas você pode usar o que for compatível com o hardware de VPN. O importante é que os valores correspondam em ambos os lados da conexão.
No portal, vá para o gateway de rede virtual e o abra.
Na página do gateway, clique em Conexões.
Na parte superior da página Conexões, selecione + Adicionar para abrir a página Criar conexão.
Na página Criar conexão, na guia Informações Básicas, configure os valores para sua conexão:
Em Detalhes do projeto, selecione a assinatura e o grupo de recursos no qual os recursos estão localizados.
Em Detalhes da instância, defina as seguintes configurações:
- Tipo de conexão: selecione site a site (IPSec) .
- Nome: nomeie sua conexão.
- Região: Selecione a região para essa conexão.
Selecione a guia Configurações e configure os valores a seguir:
- Gateway de rede virtual: selecione o gateway de rede virtual na lista suspensa.
- Gateway de rede local: selecione o gateway de rede local na lista suspensa.
- Chave compartilhada: o valor aqui deve corresponder ao valor que você está usando para o seu dispositivo VPN local. Se esse campo não aparecer na página do portal ou se você quiser atualizar essa chave posteriormente, poderá fazer isso depois que o objeto de conexão for criado. Vá para o objeto de conexão criado (nome de exemplo: VNet1toSite1) e atualize a chave na página Autenticação.
- Protocolo IKE: selecione IKEv2.
- Usar endereço IP privado do Azure: não selecionar.
- Habilitar BGP: não selecionar.
- FastPath: não selecionar.
- Política IPsec/IKE: selecione Padrão.
- Usar seletor de tráfego baseado em políticas: selecione Desabilitar.
- Tempo limite do DPD em segundos: selecione 45.
- Modo de Conexão: selecione Padrão. Essa configuração é usada para decidir qual gateway pode iniciar a conexão. Para obter mais informações, confira Configurações do Gateway de VPN – Modos de conexão.
Para Associações de Regras NAT, deixe tanto Entrada quanto Saída como 0 selecionado.
Selecione Revisar + criar para validar suas configurações de conexão.
Selecione Criar para criar a conexão.
Após a conclusão da implantação, você poderá ver a conexão na página Conexões do gateway de rede virtual. O status muda de Desconhecido para Conectando e depois para Bem-sucedido.
Exibir e verificar a conexão VPN
No portal do Azure, você pode ver o status da conexão de um gateway de VPN indo até a conexão. As etapas a seguir mostram uma maneira de acessar a conexão e verificar.
- No menu do portal do Azure, selecione Todos os recursos ou pesquise e selecione Todos os recursos de qualquer página.
- Selecione seu gateway de rede virtual.
- No painel do seu gateway de rede virtual, selecione Conexões. Você pode ver o status de cada conexão.
- Selecione o nome da conexão que você deseja verificar para abrir as Informações básicas. No painel Informações básicas, você pode ver mais informações sobre a sua conexão. O status é Bem-sucedido e Conectado depois que a conexão for bem-sucedida.
Remover uma conexão
- No portal, acesse a página Conexões do gateway de VPN.
- Clique na conexão que deseja remover. Isso abre a página da conexão.
- Clique em Excluir para remover a conexão.
Próximas etapas
Para obter mais informações sobre as configurações do gateway de VPN site a site, consulte Tutorial: definir uma configuração de gateway de VPN site a site.