Conexión de una red local a Azure con Virtual Network Gateway

En la siguiente entrada, te vamos a explicar el paso a paso de cómo conectar tu red local o tu red virtual a Azure, a través de una puerta de enlace de VPN Gateway (Virtual Private Network Gateway).

Paso a paso de cómo conectar tu red local a Azure con Virtual Network Gateway

El primer paso que ejecutar es crear un túnel IPSec desde unas oficinas “on-premises” hasta la red en Azure. Partimos de la base de que tenemos una máquina en Azure con dirección IP pública 51.144.A.A y queremos montar un túnel IPSec contra ICM (on-premises). Planteamos también que tendrá una dirección IP privada 10.16.26.11.

Es muy importante el concepto de infraestructura que utiliza Azure. Si no se entiende bien, será imposible saber lo que estamos haciendo.

¿Qué es la Virtual Network Gateway de Azure?

Conceptualmente, si tenemos una máquina en Azure con un direccionamiento público para el servicio contratado, por esa interface con IP pública no se va a acceder vía IPSec. Para ello, Azure dispone de un elemento que denomina “Virtual Network Gateway”. Este mecanismo es un terminador de túneles IPSec, y su dirección IP pública será el peer remoto IPSec desde ICM. En este ejemplo en concreto, será una 52.178.B.B.

Esta IP pública se genera automáticamente cuando se da de alta el objeto en Azure “Virtual Network Gateway”.

Lo primero que se debe hacer es crear un objeto que se denomina “Virtual Network” (red virtual). Cuando se genera esta “Virtual Network”, en realidad Azure nos guía a crear dos Subredes. Se pueden cambiar los valores de las máscaras de red, pero nuestra recomendación es dejarlo en manos de Azure.

Aplicado a este ejemplo, cuando creamos el objeto “Virtual Network” al introducir la red 10.16.26.0, nos genera dos subredes virtuales. La 10.16.26.0/25 y la 10.16.26.128/28. Estas dos subredes configuran el router virtual que conecta al “virtual Network Gateway” con la máquina con dirección IP 10.16.26.11, que es la máquina que da el servicio en Azure. La pantalla que debería salir de este proceso sería algo así:

Creación del Virtual Network Gateway de Azure

A continuación, se crea el “Virtual Network Gateway”, que es el Gateway IPSec terminador de túneles. Cuando se ejecutar el “Virtual Network Gateway”, se debe asignar la “Virtual Network” que se ha definido antes con el “Gateway Subnet”.

En el esquema se puede apreciar la infraestructura que queda después de configurar estos elementos:

Local Network Gateway

Y ahora vamos a ejecutar los túneles IPSec. En Azure se designan como los “Local Network Gateway”. En otras palabras, son las IPs de los peer remotos (on-premises):

Y ahora se crean las conexiones para levantar los túneles:

Y, por último, editando estos túneles, podemos afinar los parámetros como la preshared Key:

Además, en esta ventana podremos ver si el túnel está levantado y si se está cifrando tráfico a través del túnel.

%