En el artículo de hoy vamos a ver cómo crear una VPN del tipo Site to Site con Azure. Este tipo de VPN es la usada cuando queremos conectar nuestra red local con una red virtual en Azure.

Existen otros tipos de VPN como:

  • Point to Site cuando queremos conectar un único equipo con una red virtual en Azure.
  • Red virtual a otra red virtual de Azure (VNet-to-VNet) cuando estas están por ejemplo en diferentes regiones y/o diferentes subscripciones de Azure.

En este artículo vamos a usar como dispositivo VPN un TP-Link ER604W, que el que tengo en casa y que aunque es muy sencillo se puede usar para conectar Azure y mi red local a través de VPN.

Una vez explicado esto, vamos a explicar los pasos para crear nuestra VPN Site to site (S2S).

  1. Dentro de https://portal.azure.com vamos a crear un grupo de recursos llamado RecetasDevopsVpn. Para ello vamos a resource groups y pulsamos en + Add

2. Ponemos el nombre del resource group y la localización donde se creará este (West Europe). Por ultimo pulsamos en Review + create

3. Por último pulsamos en Create

4. Bueno ya tenemos creado nuestro resource group, lo que vamos a hacer ahora es crear nuestra red virtual. Lo que hacemos dentro del resource group es pulsar en + Add

5. Buscamos Virtual Network

6. Pulsamos en Create

7. En la siguiente pantalla configuramos lo siguiente:

  • Name:  Nombre de la red virtual que vamos a crear.
  • Address space: Modificamos el valor por defecto de /24 por /23, y así creamos una red con un total de 512 direcciones.
  • Resource group: Grupo de recursos donde va a estar la red virtual.

8. Configuramos los siguientes valores también.

 

  • Location: Donde se va a crear nuestra red virtual.
  • Subnet: Nombre de la primera subred que vamos a crear dentro de nuestra red. Esta configuración es obligatoria.
  •  Address range: Decimos que vamos a asignar 256 direcciones a esta subred (/24), es nuestro caso llamada front.

Por ultimo pulsamos en Create.

9. Con esto ya tenemos creado nuestra red y subred. Ahora vamos a crear una subred especial llamada Gateway subnet necesaria para crear nuestra VPN.  Para ello una vez creada nuestra red vamos a esta y pulsamos en Subnets

10. Ahora pulsamos en + Gateway subnet

11. Configuramos lo siguiente:

-Address range: El espacio/rango de direcciones IP de la subred. En nuestro caso un total de 16 IPs. Crear esta subred tarde entre poco y nada

12. Ahora volvemos a nuestro resource group y pulsamos en +Add

13. En el buscador buscamos Virtual network gateway

14. Pulsamos en Create

15.Configuramos lo siguiente:

  • Name: Nombre del virtual network gateway a crear.
  • Region: En que localización va a estar ubicado el Virtual Network Gateway.
  • Gateway Type: Elegimos VPN. Si elegimos ExpressRoute vamos sobre una línea privada dedicada, no vamos por el internet de nostros los mortales vamos.
  • VPN type: Tipo de VPN a crear. En mi caso, como mi dispositivo VPN solo soporta Policy-Based pues no me queda más opción. Pero RECUERDA, sí tu dispositivo tiene Route-based elige siempre esta opción.
  • SKU: Vamos la tarifa de precios. En mi caso elijo la más barata.

16. Luego seleccionamos nuestra red virtual creada anteriormente.

17. Y ya para terminar de configurar tu Virtual Network Gateway, decimos el nombre de la ip pública y pulsamos en Review + Create.

18. Ahora pulsamos en Create. La creación del Virtual Network Gateway se demora bastante, échale alrededor de media hora. Tomate 2 cafes tranquilamente.

19. Una vez creada, entramos dentro de la Virtual network Gateway creada. Nos copiamos la IP pública que se ha generado.  Esto lo necesitamos para configurar después nuestro dispositivo VPN.

20. Luego pulsamos en Connections

21. Dentro de Connections, pulsamos en + Add

22. Configuramos el nombre de la conexión y el tipo de conexión, en nuestro caso Site to Site

23. Ahora tenemos que crear el Local Network gateway. Para eso pulsamos en Choose a local network gateway y luego en Create new.

24. Ahora configuramos lo siguiente:

  • Name:  Nombre de local network gateway que vamos a crear.
  • IpAddress: IP del dispositivo VPN . En mi caso esta IP es la de Telefónica . Esta ip de Telefónica la obtengo usando la página https://whatismyipaddress.com/es/mi-ip
  • Address space: Este es el espacio de direcciones de mi red en local.

25. Pulsar en OK

26. Ahora configuramos la Shared key y el IKE Protocol. En mi caso selecciono IKEv1 porque es la versión que soporta únicamente mi dispositivo VPN. Respecto al Shared Key podéis poner cualquier valor (pero por favor poner un valor que no sea 123456), pero eso sí, acordaros de apuntar el valor ya que lo necesitaremos configurar en el dispositivo VPN más adelante. Por último pulsar en OK.

27. Este proceso no tarda mucho, más o menos 1 minuto. Una vez creado vemos que el estado es Unkown. Esto es normal porque no hemos configurado nuestro dispositivo VPN aún.

28. Como he comentado al principio del artículo, mi dispositivo es un TPLink ER-604W, bastante sencillo y barato pero cumple su función vamos. Esta parte es sin duda la que más “guerra” da, ya que como es obvio cada fabricante tiene su propia forma de configurar la VPN. En la siguiente página podéis encontrar información sobre las configuraciones que debéis hacer en vuestros dispositvos, sea cuál sea vuestro fabricante.

https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-vpn-devices

29. Voy a explicaros los pasos para configurarlo en mi dispositivo. Lo primero es acceder al dispositivo a través de http://192.168.0.1 con user y password.

30. Pulsamos sobre VPN. Luego sobre IKE e IKE Proposal .

31. Ahora configuramos lo siguiente:

32. Pulsamos en Add

33. Ahora pulsamos en IKE Proposal y configuramos lo siguiente. Luego pulsamos en Add.

34. Ahora pulsamos en IKE Policy y configuramos los siguientes valores:

  • Pre-shared Key: Aquí ponemos la clave que hemos configurado en Azure.

35. Pulsamos en Add

36. Pulsamos en IPSec

37. Configuramos los siguientes valores:

A destacar los siguientes valores:

  • Mode: Tipo de conexión VPN. Elegimos LAN-to-LAN, que es lo mismo que decir Site to Site (S2S)
  • Local subnet: El espacio de direcciones de mi red local que va a ser conecta con mi red virtual de Azure.
  • Remote Subnet: El espacio de direcciones de mi red virtual de Azure.
  • Remote Gateway: La ip pública de Virtual Network Gateway.

38. Pulsar en Save.

39. Si todo va bien al entrar de nuevo a Virtual Network Gateway e ir a Connections, deberíamos ver el estado de la conexión creada en Connected

Últimas consideraciones:

  1. Si tu dispositivo VPN acepta el modo route-based, al crear Virtual Network Gateway crea este como Route-based sin lugar dudas. Crearlo en modo Policy-based tiene una serie de desventajas, siendo una de las más importantes el solo poder tener en nuestro Virtual Network Gateway una única conexión.

Además para escenarios de alta disponibilidad necesitas tener Route-based

2. Si te da mucha guerra el que tu conexión VPN se conecte, revisa bien las configuraciones en el dispositivo VPN ya que la mayoría de las veces los fallos vienen por una mala configuración en el dispositivo por la clave compartida, el orden de los algoritmos, el Diffie-Helman etc ..

3. Si en algún momento hay perdida de conectividad de tu VPN, tienes la opción de resetear la conexión dentro del mismo Virtual Network Gateway , pulsando en reset.

4. Si realizas una conexión VPN desde casa, acuérdate que a no ser que tengas contratado una IP estática, cada cierto tiempo tu ISP (Telefónica, Vodafone etc..) cambia tu IP pública. Es por ello que deberás cambiar la IP tanto en Azure como en tu dispositivo VPN.

4. Puedes crear conexiones Site to Site (S2S) a dispositivos en modo Policy-based, teniendo creado tu Virtual Network Gateway en modo Route-based. Pero eso sí, necesitaras que tus dispositivos VPN soporten el protocolo IKe version 2 (Ikev2).

Espero os haya gustado el artículo¡¡¡

Leave a Reply

Your email address will not be published. Required fields are marked *