Hola a tod@s,
En este post vamos a ver cómo configurar una VPN site to site entre dos redes virtuales de Azure.
Las redes virtuales pueden estar en distintas regiones y provenir de distintas suscripciones. Al conectar redes virtuales provenientes de distintas suscripciones, no es necesario que las suscripciones estén asociadas con el mismo inquilino. Este tipo de configuración crea una conexión entre dos puertas de enlace de red virtual.
Configurar una conexión de red virtual a red virtual es una forma sencilla de conectar redes virtuales. Cuando conecta una red virtual a otra mediante el tipo de conexión entre redes virtuales (VNet2VNet) es parecida a la creación de una conexión IPsec de sitio a sitio en una ubicación local. Ambos tipos de conectividad usan una puerta de enlace de VPN para proporcionar un túnel seguro mediante IPsec/IKE y funcionan de la misma forma en lo relativo a la comunicación. Sin embargo, la manera en que se configura la puerta de enlace de red local es distinta.
Cuando se crea una conexión de red virtual a red virtual, el espacio de direcciones de la puerta de enlace de red local se crea y rellena automáticamente. Si actualiza el espacio de direcciones de una de las redes virtuales, la otra enruta automáticamente al espacio de direcciones actualizado. Por lo general, es más rápido y sencillo crear una conexión de red virtual a red virtual que una conexión de sitio a sitio. Sin embargo, la puerta de enlace de red local no está visible en esta configuración.
Fuente: Microsoft Learn vpns2svnettovnet
Esta será la topología utilizada en esta configuración:
- Antes de empezar, vamos a explicar la configuración que va a tener nuestra infraestructura.
- Para VNet1:
- Configuración de la red virtual.
- Name: vnet1
- Espacio de direcciones:10.1.0.0/16
- Suscripción: Seleccionamos nuestra suscripción
- Grupo de recursos: vpnvnet1-rg
- Ubicación: Oeste de Europa
- Subred
- Name: lan1vnet1
- Intervalo de direcciones:10.1.1.0/24
- Configuración de puerta de enlace de red virtual.
- Name: vnet1gw
- Grupo de recursos: Oeste de Europa
- Generación: Generación 2
- Tipo de puerta de enlace: VPN
- Tipo de VPN: Basada en rutas
- SKU: VpnGw2
- Generación: generación 2
- Red virtual: vnet1
- Intervalo de direcciones de subred de puerta de enlace:10.1.255.0/27
- Dirección IP pública: Crear nuevo
- Nombre de dirección IP pública: vnet1gwpip
- Habilitar el modo activo/activo: deshabilitado
- Configurar BGP: deshabilitado
- Conexiones.
- Tipo de conexión: Seleccionamos de red virtual a red virtual
- Establecer conectividad bidireccional: Seleccionar este valor
- Nombre de la primera conexión: vnet1-to-vnet2
- Nombre de la segunda conexión: vnet2-to-vnet1
- Región: Oeste de Europa
- Configuración:
- Primera puerta de enlace de red virtual: Seleccionamos vnet1gw
- Segunda puerta de enlace de red virtual: Seleccionamos vnet2gw
- Clave compartida (PSK): En este campo, escribimos una clave compartida para la conexión, dicha clave podemos generarla o crearla manualmente, en una conexión de sitio a sitio, la clave que usa es la misma del dispositivo local y de la conexión de puerta de enlace de red virtual, aquí el concepto es similar, salvo en que en lugar de conectarse a un dispositivo VPN, la conexión se establece con otra puerta de enlace de red virtual.
- Protocolo IKE: IKEv2
- Para VNet2:
- Configuración de la red virtual.
- Name: vnet2
- Espacio de direcciones:10.2.0.0/16
- Suscripción: Seleccionamos nuestra suscripción
- Grupo de recursos: vpnvnet2-rg
- Ubicación: Oeste de Europa
- Subred
- Name: lan1vnet2
- Intervalo de direcciones:10.2.1.0/24
- Configuración de puerta de enlace de red virtual.
- Name: vnet2gw
- Grupo de recursos: Oeste de Europa
- Generación: Generación 2
- Tipo de puerta de enlace: VPN
- Tipo de VPN: Basada en rutas
- SKU: VpnGw2
- Generación: generación 2
- Red virtual: vnet2
- Intervalo de direcciones de subred de puerta de enlace:10.2.255.0/27
- Dirección IP pública: Crear nuevo
- Nombre de dirección IP pública: vnet2gwpip
- Habilitar el modo activo/activo: deshabilitado
- Configurar BGP: deshabilitado
- Conexiones.
- Tipo de conexión: Seleccionamos de red virtual a red virtual
- Establecer conectividad bidireccional: Seleccionar este valor
- Nombre de la primera conexión: vnet1-to-vnet2
- Nombre de la segunda conexión: vnet2-to-vnet1
- Región: Oeste de Europa
- Configuración:
- Primera puerta de enlace de red virtual: Seleccionamos vnet1gw
- Segunda puerta de enlace de red virtual: Seleccionamos vnet2gw
- Clave compartida (PSK): En este campo, escribimos una clave compartida para la conexión, dicha clave podemos generarla o crearla manualmente, en una conexión de sitio a sitio, la clave que usa es la misma del dispositivo local y de la conexión de puerta de enlace de red virtual, aquí el concepto es similar, salvo en que en lugar de conectarse a un dispositivo VPN, la conexión se establece con otra puerta de enlace de red virtual.
- Protocolo IKE: IKEv2
- Empezaremos creando la red virtual vnet1, para ello, accedemos a Redes virtuales > Crear:
- Sobre Datos básicos, le indicamos, el grupo de recursos, el nombre y la región:
- Sobre Seguridad, no vamos a configurar nada, lo dejamos por defecto:
- Sobre Direcciones IP, configuramos el espacio de direcciones, y nos creamos las subredes para lan, dónde irán ubicadas las máquinas virtuales, y para la puerta de enlace de red virtual:
- Sobre Etiquetas, podemos añadir las que nos interesen:
- Sobre Revisar y crear, nos muestra un resumen de todo lo configurado, si todo está bien, damos a Crear:
- Vemos que comienza a crearse:
- Aquí vemos que ya se ha completado, accedemos al nuevo recurso de vnet creado:
- Para la red virtual vnet2, seguimos los mismos pasos, cambiando el espacio de direcciones y el rango de las subredes:
- Una vez creadas las redes virtuales, vamos a crear la puerta de enlace de red virtual para la vnet1, para ello, accedemos a Puerta de enlace de red virtual > Crear:
- Sobre Datos básicos, vamos a introducir los valores descritos anteriormente:
- Sobre Etiquetas, podemos añadir las que nos interesen:
- Sobre Revisar y crear, nos muestra un resumen de todo lo configurado y que la validación ha sido superada, si todo está bien, damos a Crear:
- Una puerta de enlace puede tardar hasta 45 minutos en crearse e implementarse completamente, aquí podemos ver que la implementación se ha completado correctamente:
- Si nos vamos a Puertas de enlace de red virtual, podemos ver que ya la tenemos creada:
- La puerta de enlace de red virtual para la vnet2, se crea exactamente igual que para la vnet1, dónde también, vamos a introducir los valores descritos anteriormente:
- Si nos vamos a Puertas de enlace de red virtual, podemos ver que ya la tenemos creada:
- Una vez que ya tenemos, las dos puertas de enlace de red virtual creadas y configuradas, vamos a crear y configurar las conexiones entre estas dos puertas de enlace de red virtual, para ello, accedemos a Conexiones > Crear:
- Sobre Datos básicos, vamos a introducir los valores descritos anteriormente:
- Sobre Opciones, configuramos los parámetros descritos anteriormente:
- Sobre Etiquetas, podemos añadir las que nos interesen:
- Sobre Revisar y crear, nos muestra un resumen de todo lo configurado y que la validación ha sido superada, si todo está bien, damos a Crear:
- Como podemos ver, las conexiones se han creado correctamente:
- Si accedemos a Conexiones, podemos ver, que ya las tenemos creadas y conectadas:
- Ahora, para verificar que la VPN Site to Site entre VNets funciona correctamente, tenemos estas dos máquinas, una llamada litio en vnet1 y otra llamada sodio en vnet2, como podemos ver, ya tenemos comunicación entre ellas, a través de la VPN que hemos creado:
- Ahora vemos, que ya se está generando tráfico entre las dos conexiones:
Saludos y espero que os sea de ayuda 😉