Criptografia de Rota Expressa: IPsec sobre Rota Expressa para WAN Virtual
Este artigo mostra como usar a WAN Virtual do Azure para estabelecer uma conexão VPN IPsec/IKE de sua rede local para o Azure através do emparelhamento privado de um circuito de Rota Expressa do Azure. Essa técnica pode fornecer um trânsito criptografado entre as redes locais e as redes virtuais do Azure pela Rota Expressa, sem passar pela Internet pública ou usar endereços IP públicos.
Topologia e roteamento
O diagrama a seguir mostra um exemplo de conectividade VPN no emparelhamento privado da Rota Expressa:
O diagrama mostra uma rede dentro da rede local conectada ao gateway VPN do hub do Azure por meio do emparelhamento privado da Rota Expressa. O estabelecimento de conectividade é simples:
- Estabeleça conectividade de Rota Expressa com um circuito de Rota Expressa e emparelhamento privado.
- Estabeleça a conectividade VPN conforme descrito neste artigo.
Um aspeto importante dessa configuração é o roteamento entre as redes locais e o Azure pelos caminhos ExpressRoute e VPN.
Tráfego de redes locais para o Azure
Para o tráfego de redes locais para o Azure, os prefixos do Azure (incluindo o hub virtual e todas as redes virtuais spoke conectadas ao hub) são anunciados por meio do BGP de emparelhamento privado da Rota Expressa e do BGP VPN. Isso resulta em duas rotas de rede (caminhos) para o Azure a partir das redes locais:
- Um sobre o caminho protegido por IPsec
- Um diretamente sobre a Rota Expressa sem proteção IPsec
Para aplicar criptografia à comunicação, você deve certificar-se de que, para a rede conectada à VPN no diagrama, as rotas do Azure por meio do gateway VPN local sejam preferidas sobre o caminho direto da Rota Expressa.
Tráfego do Azure para redes locais
O mesmo requisito se aplica ao tráfego do Azure para redes locais. Para garantir que o caminho IPsec seja preferido sobre o caminho direto da Rota Expressa (sem IPsec), você tem duas opções:
Anuncie prefixos mais específicos na sessão VPN BGP para a rede conectada por VPN. Você pode anunciar um intervalo maior que engloba a rede conectada por VPN através do emparelhamento privado da Rota Expressa e, em seguida, intervalos mais específicos na sessão BGP VPN. Por exemplo, anuncie 10.0.0.0/16 sobre a Rota Expressa e 10.0.1.0/24 sobre VPN.
Anuncie prefixos separados para VPN e ExpressRoute. Se os intervalos de rede conectados à VPN estiverem separados de outras redes conectadas à Rota Expressa, você poderá anunciar os prefixos nas sessões VPN e BGP da Rota Expressa, respectivamente. Por exemplo, anuncie 10.0.0.0/24 sobre ExpressRoute e 10.0.1.0/24 sobre VPN.
Em ambos os exemplos, o Azure enviará tráfego para 10.0.1.0/24 através da ligação VPN em vez de diretamente através da Rota Expressa sem proteção VPN.
Aviso
Se você anunciar os mesmos prefixos nas conexões ExpressRoute e VPN, o Azure usará o caminho ExpressRoute diretamente sem proteção VPN.
Antes de começar
Antes de iniciar a configuração, verifique se você atende aos seguintes critérios:
- Se você já tiver uma rede virtual à qual deseja se conectar, verifique se nenhuma das sub-redes da sua rede local se sobrepõe a ela. Sua rede virtual não requer uma sub-rede de gateway e não pode ter nenhum gateway de rede virtual. Se você não tiver uma rede virtual, poderá criar uma usando as etapas neste artigo.
- Obtenha um intervalo de endereços IP para a região do seu hub. O hub é uma rede virtual e o intervalo de endereços especificado para a região do hub não pode se sobrepor a uma rede virtual existente à qual você se conecta. Ele também não pode se sobrepor aos intervalos de endereços aos quais você se conecta localmente. Se você não estiver familiarizado com os intervalos de endereços IP localizados em sua configuração de rede local, coordene com alguém que possa fornecer esses detalhes para você.
- Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
1. Crie uma WAN virtual e um hub com gateways
Os seguintes recursos do Azure e as configurações locais correspondentes devem estar em vigor antes de prosseguir:
Para conhecer as etapas para criar uma WAN virtual do Azure e um hub com uma associação de Rota Expressa, consulte Criar uma associação de Rota Expressa usando a WAN Virtual do Azure. Para conhecer as etapas para criar um gateway VPN na WAN virtual, consulte Criar uma conexão site a site usando a WAN Virtual do Azure.
2. Criar um site para a rede local
O recurso do site é o mesmo que os sites VPN que não são da Rota Expressa para uma WAN virtual. O endereço IP do dispositivo VPN local agora pode ser um endereço IP privado ou um endereço IP público na rede local acessível por meio do emparelhamento privado ExpressRoute criado na etapa 1.
Nota
O endereço IP do dispositivo VPN local deve fazer parte dos prefixos de endereço anunciados para o hub WAN virtual por meio do emparelhamento privado da Rota Expressa do Azure.
Vá para sites YourVirtualWAN > VPN e crie um site para sua rede local. Para conhecer as etapas básicas, consulte Criar um site. Lembre-se dos seguintes valores de configurações:
- Border Gateway Protocol: Selecione "Ativar" se sua rede local usar BGP.
- Espaço de endereço privado: insira o espaço de endereço IP localizado no site local. O tráfego destinado a esse espaço de endereço é roteado para a rede local por meio do gateway VPN.
Selecione Links para adicionar informações sobre os links físicos. Lembre-se das seguintes informações de configurações:
Nome do provedor: O nome do provedor de serviços de Internet para este site. Para uma rede local da Rota Expressa, é o nome do provedor de serviços da Rota Expressa.
Velocidade: A velocidade do link de serviço de internet ou circuito de Rota Expressa.
Endereço IP: o endereço IP público do dispositivo VPN que reside no seu site local. Ou, para a Rota Expressa local, é o endereço IP privado do dispositivo VPN via Rota Expressa.
Se o BGP estiver habilitado, ele se aplicará a todas as conexões criadas para este site no Azure. Configurar o BGP em uma WAN virtual é equivalente a configurar o BGP em um gateway de VPN do Azure.
Seu endereço de mesmo nível BGP local não deve ser o mesmo que o endereço IP da sua VPN para o dispositivo ou o espaço de endereço de rede virtual do site VPN. Utilize um endereço IP diferente no dispositivo VPN do IP do elemento de rede BGP. Pode ser um endereço atribuído à interface de loopback no dispositivo. No entanto, não pode ser uma APIPA (169.254.x.x) endereço. Especifique esse endereço no site VPN correspondente que representa o local. Para obter os pré-requisitos do BGP, consulte Sobre o BGP com o Gateway de VPN do Azure.
Selecione Next: Review + create > para verificar os valores de configuração e criar o site VPN e, em seguida , Criar o site.
Em seguida, conecte o site ao hub usando estas etapas básicas como diretriz. Pode levar até 30 minutos para atualizar o gateway.
3. Atualize a configuração de conexão VPN para usar a Rota Expressa
Depois de criar o site VPN e conectar-se ao hub, use as seguintes etapas para configurar a conexão para usar o emparelhamento privado da Rota Expressa:
Vá para o hub virtual. Você pode fazer isso indo para a WAN Virtual e selecionando o hub para abrir a página do hub, ou você pode ir para o hub virtual conectado a partir do site VPN.
Em Conectividade, selecione VPN (Site a Site).
Selecione as reticências (...) ou clique com o botão direito do mouse no site da VPN na Rota Expressa e selecione Editar conexão VPN com este hub.
Na página Noções básicas, deixe os padrões.
Na página Conexão de link 1 , defina as seguintes configurações:
- Para Usar Endereço IP Privado do Azure, selecione Sim. A configuração configura o gateway VPN do hub para usar endereços IP privados dentro do intervalo de endereços do hub no gateway para essa conexão, em vez dos endereços IP públicos. Isso garante que o tráfego da rede local percorra os caminhos de emparelhamento privado da Rota Expressa, em vez de usar a Internet pública para essa conexão VPN.
Clique em Criar para atualizar as configurações. Depois que as configurações forem criadas, o gateway VPN do hub usará os endereços IP privados no gateway VPN para estabelecer as conexões IPsec/IKE com o dispositivo VPN local pela Rota Expressa.
4. Obtenha os endereços IP privados para o gateway VPN do hub
Baixe a configuração do dispositivo VPN para obter os endereços IP privados do gateway VPN do hub. Você precisa desses endereços para configurar o dispositivo VPN local.
Na página do seu hub, selecione VPN (Site a Site) em Conectividade.
Na parte superior da página Visão geral , selecione Baixar configuração de VPN.
O Azure cria uma conta de armazenamento no grupo de recursos "microsoft-network-[location]", onde location é o local da WAN. Depois de aplicar a configuração aos seus dispositivos VPN, você pode excluir essa conta de armazenamento.
Depois que o arquivo for criado, selecione o link para baixá-lo.
Aplique a configuração ao dispositivo VPN.
Arquivo de configuração do dispositivo VPN
O arquivo de configuração do dispositivo contém as configurações a serem usadas quando você estiver configurando seu dispositivo VPN local. Quando vir este ficheiro, repare nas informações seguintes:
vpnSiteConfiguration: Esta seção indica os detalhes do dispositivo configurados como um site que está se conectando à WAN virtual. Inclui o nome e o endereço IP público do dispositivo da filial.
vpnSiteConnections: Esta seção fornece informações sobre as seguintes configurações:
- Espaço de endereçamento da rede virtual do hub virtual.
Exemplo:"AddressSpace":"10.51.230.0/24"
- Espaço de endereçamento das redes virtuais conectadas ao hub.
Exemplo:"ConnectedSubnets":["10.51.231.0/24"]
- Endereços IP do gateway VPN do hub virtual. Como cada conexão do gateway VPN é composta por dois túneis na configuração ativo-ativo, você verá ambos os endereços IP listados neste arquivo. Neste exemplo, você vê
Instance0
eInstance1
para cada site, e eles são endereços IP privados em vez de endereços IP públicos.
Exemplo:"Instance0":"10.51.230.4" "Instance1":"10.51.230.5"
- Detalhes de configuração para a conexão do gateway VPN, como BGP e chave pré-compartilhada. A chave pré-partilhada é gerada automaticamente para si. Você sempre pode editar a conexão na página Visão geral para obter uma chave pré-compartilhada personalizada.
- Espaço de endereçamento da rede virtual do hub virtual.
Exemplo de ficheiro de configuração de dispositivo
[{
"configurationVersion":{
"LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
"Version":"5b096293-edc3-42f1-8f73-68c14a7c4db3"
},
"vpnSiteConfiguration":{
"Name":"VPN-over-ER-site",
"IPAddress":"172.24.127.211",
"LinkName":"VPN-over-ER"
},
"vpnSiteConnections":[{
"hubConfiguration":{
"AddressSpace":"10.51.230.0/24",
"Region":"West US 2",
"ConnectedSubnets":["10.51.231.0/24"]
},
"gatewayConfiguration":{
"IpAddresses":{
"Instance0":"10.51.230.4",
"Instance1":"10.51.230.5"
}
},
"connectionConfiguration":{
"IsBgpEnabled":false,
"PSK":"abc123",
"IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
}
}]
},
{
"configurationVersion":{
"LastUpdatedTime":"2019-10-11T05:57:35.1803187Z",
"Version":"fbdb34ea-45f8-425b-9bc2-4751c2c4fee0"
},
"vpnSiteConfiguration":{
"Name":"VPN-over-INet-site",
"IPAddress":"198.51.100.122",
"LinkName":"VPN-over-INet"
},
"vpnSiteConnections":[{
"hubConfiguration":{
"AddressSpace":"10.51.230.0/24",
"Region":"West US 2",
"ConnectedSubnets":["10.51.231.0/24"]
},
"gatewayConfiguration":{
"IpAddresses":{
"Instance0":"203.0.113.186",
"Instance1":"203.0.113.195"
}
},
"connectionConfiguration":{
"IsBgpEnabled":false,
"PSK":"abc123",
"IPsecParameters":{"SADataSizeInKilobytes":102400000,"SALifeTimeInSeconds":3600}
}
}]
}]
Configurar o dispositivo VPN
Se precisar de instruções para configurar o dispositivo, pode utilizar as instruções na página VPN device configuration scripts (Scripts de configuração de dispositivos VPN), tendo em conta os seguintes avisos:
- As instruções na página do dispositivo VPN não foram escritas para uma WAN virtual. Mas você pode usar os valores de WAN virtual do arquivo de configuração para configurar manualmente seu dispositivo VPN.
- Os scripts de configuração de dispositivo para download que são para o gateway VPN não funcionam para a WAN virtual, porque a configuração é diferente.
- Uma nova WAN virtual pode suportar IKEv1 e IKEv2.
- Uma WAN virtual pode usar apenas dispositivos VPN baseados em rota e instruções de dispositivo.
5. Veja a sua WAN virtual
- Vá para a WAN virtual.
- Na página Visão geral, cada ponto no mapa representa um hub.
- Na seção Hubs e conexões, você pode exibir o status da conexão de hub, site, região e VPN. Você também pode visualizar bytes de entrada e saída.
6. Monitorar uma conexão
Crie uma conexão para monitorar a comunicação entre uma máquina virtual (VM) do Azure e um site remoto. Para obter informações sobre como configurar um monitor de ligação, veja Monitorizar a comunicação de rede. O campo de origem é o IP da VM no Azure e o IP de destino é o IP do site.
7. Limpar os recursos
Quando você não precisar mais desses recursos, poderá usar Remove-AzResourceGroup para remover o grupo de recursos e todos os recursos que ele contém. Execute o seguinte comando do PowerShell e substitua myResourceGroup
pelo nome do seu grupo de recursos:
Remove-AzResourceGroup -Name myResourceGroup -Force
Próximos passos
Este artigo ajuda você a criar uma conexão VPN através do emparelhamento privado da Rota Expressa usando a WAN Virtual. Para saber mais sobre a WAN Virtual e recursos relacionados, consulte a Visão geral da WAN Virtual.