Criar uma conexão VPN site a site - Azure PowerShell
Este artigo mostra como usar o PowerShell para criar uma conexão de gateway VPN site a site de sua rede local para uma rede virtual (VNet).
Uma conexão de gateway VPN site a site é usada para conectar sua rede local a uma rede virtual do Azure por meio de um túnel VPN IPsec/IKE (IKEv1 ou IKEv2). Este tipo de ligação requer um dispositivo VPN localizado no local que tenha um endereço IP público com acesso exterior atribuído ao mesmo. As etapas neste artigo criam uma conexão entre o gateway VPN e o dispositivo VPN local usando uma chave compartilhada. Para obter mais informações sobre o gateways de VPN, veja About VPN gateway (Acerca do gateway de VPN).
Antes de começar
Verifique se seu ambiente atende aos seguintes critérios antes de iniciar a configuração:
Verifique se você tem um gateway VPN baseado em rota funcionando. Para criar um gateway VPN, consulte Criar um gateway VPN.
Se você não estiver familiarizado com os intervalos de endereços IP localizados em sua configuração de rede local, precisará coordenar com alguém que possa fornecer esses detalhes para você. Ao criar essa configuração, você deve especificar os prefixos de intervalo de endereços IP que o Azure roteia para seu local local. Nenhuma das sub-redes da sua rede local pode sobrepor-se às sub-redes de rede virtual às quais pretende ligar.
Dispositivos VPN:
- Certifique-se de que tem um dispositivo VPN compatível e alguém que o possa configurar. Para obter mais informações sobre dispositivos VPN compatíveis e configuração de dispositivos, consulte Sobre dispositivos VPN.
- Determine se o seu dispositivo VPN suporta gateways de modo ativo-ativo. Este artigo cria um gateway VPN de modo ativo-ativo, que é recomendado para conectividade altamente disponível. O modo ativo-ativo especifica que ambas as instâncias de VM do gateway estão ativas. Esse modo requer dois endereços IP públicos, um para cada instância de VM de gateway. Você configura seu dispositivo VPN para se conectar ao endereço IP de cada instância de VM de gateway.
Se o seu dispositivo VPN não suportar este modo, não o ative para o seu gateway. Para obter mais informações, consulte Projetar conectividade altamente disponível para conexões entre locais e VNet-to-VNet e Sobre gateways VPN de modo ativo-ativo.
Azure PowerShell
Este artigo usa cmdlets do PowerShell. Para executar os cmdlets, você pode usar o Azure Cloud Shell. O Cloud Shell é um shell interativo gratuito que você pode usar para executar as etapas neste artigo. Tem as ferramentas comuns do Azure pré-instaladas e configuradas para utilização com a sua conta.
Para abrir o Cloud Shell, basta selecionar Abrir Cloudshell no canto superior direito de um bloco de código. Você também pode abrir o Cloud Shell em uma guia separada do https://shell.azure.com/powershellnavegador acessando . Selecione Copiar para copiar os blocos de código, cole-os no Cloud Shell e selecione a tecla Enter para executá-los.
Você também pode instalar e executar os cmdlets do Azure PowerShell localmente em seu computador. Os cmdlets do PowerShell são atualizados com frequência. Se você não tiver instalado a versão mais recente, os valores especificados nas instruções podem falhar. Para localizar as versões do Azure PowerShell instaladas no seu computador, use o Get-Module -ListAvailable Az cmdlet. Para instalar ou atualizar, consulte Instalar o módulo do Azure PowerShell.
Criar um gateway de rede local
O gateway de rede local (GNL) normalmente refere-se ao seu local local. Não é o mesmo que um gateway de rede virtual. Você dá ao site um nome pelo qual o Azure pode se referir a ele e, em seguida, especifica o endereço IP do dispositivo VPN local ao qual você criará uma conexão. Você também especifica os prefixos de endereço IP que são roteados através do gateway VPN para o dispositivo VPN. Os prefixos do endereço que especificar são os que estão localizados na sua rede no local. Se a rede no local se alterar, pode atualizar facilmente os prefixos.
Selecione um dos exemplos a seguir. Os valores utilizados nos exemplos são:
- O GatewayIPAddress é o endereço IP do seu dispositivo VPN local, não o gateway de VPN do Azure.
- O AddressPrefix é o seu espaço de endereços no local.
Exemplo de prefixo de endereço único
New-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1 `
-Location 'East US' -GatewayIpAddress '[IP address of your on-premises VPN device]' -AddressPrefix '10.0.0.0/24'
Exemplo de prefixo de endereço múltiplo
New-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1 `
-Location 'East US' -GatewayIpAddress '[IP address of your on-premises VPN device]' -AddressPrefix @('10.3.0.0/16','10.0.0.0/24')
Configurar o dispositivo VPN
As conexões site a site com uma rede local exigem um dispositivo VPN. Neste passo, configure o seu dispositivo VPN. Ao configurar seu dispositivo VPN, você precisa dos seguintes itens:
Chave compartilhada: essa chave compartilhada é a mesma que você especifica ao criar sua conexão VPN site a site. Em nossos exemplos, usamos uma chave compartilhada simples. Deve gerar uma chave mais complexa para utilizar.
Endereços IP públicos de suas instâncias de gateway de rede virtual: obtenha o endereço IP para cada instância de VM. Se o gateway estiver no modo ativo-ativo, você terá um endereço IP para cada instância de VM de gateway. Certifique-se de configurar seu dispositivo com ambos os endereços IP, um para cada VM de gateway ativa. Os gateways de modo de espera ativa têm apenas um endereço IP. No exemplo, VNet1GWpip1 é o nome do recurso de endereço IP público.
Get-AzPublicIpAddress -Name VNet1GWpip1 -ResourceGroupName TestRG1
Dependendo do dispositivo VPN que você tem, você pode ser capaz de baixar um script de configuração de dispositivo VPN. Para mais informações, consulte Transferir os scripts de configuração do dispositivo VPN.
Os links a seguir fornecem mais informações de configuração:
Para obter informações sobre dispositivos VPN compatíveis, consulte Sobre dispositivos VPN.
Antes de configurar seu dispositivo VPN, verifique se há problemas conhecidos de compatibilidade do dispositivo.
Para obter links para definições de configuração do dispositivo, consulte Dispositivos VPN validados. Fornecemos os links de configuração do dispositivo com base no melhor esforço, mas é sempre melhor verificar com o fabricante do dispositivo as informações de configuração mais recentes.
A lista mostra as versões que testamos. Se a versão do SO do seu dispositivo VPN não estiver na lista, poderá ainda ser compatível. Consulte o fabricante do dispositivo.
Para obter informações básicas sobre a configuração do dispositivo VPN, consulte Visão geral das configurações do dispositivo VPN do parceiro.
Para obter informações sobre a edição de amostras de configuração do dispositivo, consulte Editing samples (Editar amostras).
Para requisitos criptográficos, consulte Sobre os requisitos criptográficos e gateways de VPN do Azure.
Para obter informações sobre os parâmetros necessários para concluir a configuração, consulte Parâmetros IPsec/IKE padrão. As informações incluem versão IKE, grupo Diffie-Hellman (DH), método de autenticação, algoritmos de criptografia e hash, tempo de vida da associação de segurança (SA), sigilo de encaminhamento perfeito (PFS) e Dead Peer Detection (DPD).
Para obter as etapas de configuração da política IPsec/IKE, consulte Configurar políticas de conexão IPsec/IKE personalizadas para VPN S2S e VNet-to-VNet.
Para conectar vários dispositivos VPN baseados em políticas, consulte Conectar um gateway VPN a vários dispositivos VPN locais baseados em políticas.
Criar a ligação VPN
Crie uma conexão VPN site a site entre seu gateway de rede virtual e seu dispositivo VPN local. Se você estiver usando um gateway de modo ativo-ativo (recomendado), cada instância de VM de gateway terá um endereço IP separado. Para configurar corretamente a conectividade altamente disponível, você deve estabelecer um túnel entre cada instância de VM e seu dispositivo VPN. Ambos os túneis fazem parte da mesma ligação.
A chave partilhada tem de corresponder ao valor utilizado na configuração do dispositivo VPN. Observe que o '-ConnectionType' para site a site é IPsec.
Defina as variáveis.
$gateway1 = Get-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1Crie a ligação.
New-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1 ` -Location 'East US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local ` -ConnectionType IPsec -SharedKey 'abc123'
Verificar a ligação VPN
A verificação da ligação VPN pode ser feita de várias formas.
Você pode verificar se sua conexão foi bem-sucedida usando o cmdlet 'Get-AzVirtualNetworkGatewayConnection', com ou sem '-Debug'.
Utilize o seguinte exemplo de cmdlet, configurando os valores para corresponder aos seus. Se lhe for pedido, selecione "A" para executar "Todos". No exemplo, '--name' refere-se ao nome da ligação que pretende testar.
Get-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1Quando o cmdlet terminar, veja os valores. No exemplo abaixo, o estado da ligação é apresentado como "Ligado" e pode ver bytes de entrada e de saída.
"connectionStatus": "Connected", "ingressBytesTransferred": 33509044, "egressBytesTransferred": 4142431
Para modificar os prefixos de endereços IP de um gateway de rede local
Se os prefixos de endereço IP que pretende encaminhar para a sua localização no local forem alterados, pode modificar o gateway de rede local. Ao usar esses exemplos, modifique os valores para corresponder ao seu ambiente.
Para adicionar mais prefixos de endereço:
Defina a variável para o LocalNetworkGateway.
$local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1Modifique os prefixos. Os valores especificados substituem os valores anteriores.
Set-AzLocalNetworkGateway -LocalNetworkGateway $local ` -AddressPrefix @('10.101.0.0/24','10.101.1.0/24','10.101.2.0/24')
Para remover um prefixos de endereço:
Não inclua os prefixos que já não são necessários. Neste exemplo, não precisamos mais do prefixo 10.101.2.0/24 (do exemplo anterior), portanto, atualizamos o gateway de rede local e excluímos esse prefixo.
Defina a variável para o LocalNetworkGateway.
$local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1Defina o gateway com os prefixos atualizados.
Set-AzLocalNetworkGateway -LocalNetworkGateway $local ` -AddressPrefix @('10.101.0.0/24','10.101.1.0/24')
Para modificar o endereço IP do gateway de um gateway de rede local
Se você alterar o endereço IP público do seu dispositivo VPN, precisará modificar o gateway de rede local com o endereço IP atualizado. Ao modificar este valor, também pode modificar os prefixos de endereços em simultâneo. Ao modificar, certifique-se de usar o nome existente do gateway de rede local. Se você usar um nome diferente, criará um novo gateway de rede local, em vez de substituir as informações do gateway existente.
New-AzLocalNetworkGateway -Name Site1 `
-Location "East US" -AddressPrefix @('10.101.0.0/24','10.101.1.0/24') `
-GatewayIpAddress "5.4.3.2" -ResourceGroupName TestRG1
Para excluir uma conexão de gateway
Se você não souber o nome da sua conexão, poderá encontrá-la usando o cmdlet 'Get-AzVirtualNetworkGatewayConnection'.
Remove-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 `
-ResourceGroupName TestRG1
Próximos passos
- Assim que a ligação estiver concluída, pode adicionar máquinas virtuais às redes virtuais. Para obter mais informações, veja Máquinas Virtuais.
- Para obter informações sobre o BGP, veja a Descrição Geral do BGP e Como configurar o BGP.
- Para obter informações sobre como criar uma conexão VPN site a site usando o modelo do Azure Resource Manager, consulte Criar uma conexão VPN site a site.
- Para obter informações sobre como criar uma ligação de VPN de vnet a vnet com o modelo do Azure Resource Manager, veja Deploy HBase geo replication (Implementar georreplicação do HBase).