Paso a Paso: Creación de VPN S2S (Modelo Clásico)

  • Article

Hola:

En muchas de nuestras implementaciones necesitamos un ambiente hibrido donde nuestros equipos en sitio puedan ampliarse hacia la nube de Azure, para lo cual, necesitamos una conexión Sitio a Sitio de VPN con Azure. Esta publicación dentro de la sección de HOW TO’s de este BLOG nos dará los pasos necesarios para lograr hacer esa conexión de nuestro ambiente hibrido.

Este procedimiento consta de los siguientes pasos: Crear la red virtual o VNet en Azure, agregar una subred de Gateway, un Gateway, un sitio local y por último la conexión.

 

Antes de empezar:

Necesitamos verificar que tenemos cubiertos los prerrequisitos:

Un dispositivo VPN compatible y alguien que lo pueda configurar. Vea los Dispositivos VPN. Si usted no puede configurar su dispositivo VPN o desconoce las direcciones IP de su centro de datos, coordínese con alguien que le ayude en esa tarea.

Una dirección IP Publica para su dispositivo VPN. Esta dirección no puede estar detrás del NAT.

Una suscripción Azure. Si usted no tiene una suscripción, puede activar sus Beneficios de uso interno (IUR) u obtener una suscripción gratuita.

 

Ambiente de Laboratorio de este ejemplo:

Tenemos 2 servidores que usaremos:

Un controlador de dominio con función de DNS. (GE3-HOL-0001-DC1)

Un servidor de Gateway con Windows Server 2012 R2. (GE3-HOL-001-GTWY)

 

1.- Crear una Red Virtual

En esta sección vamos a configurar el lado de Azure de la conexión VPN Site to Site.

1.1.- Documentamos la dirección IP del Gateway en sitio.

1. Nos conectamos a nuestro servidor de Gateway con usuario administrador.

2. Abrimos “Network and Sharing Center” de nuestra charola de tareas, y damos clic en “Change adapter settings”

S2S 01 - Adapter settings

3.  Clic derecho en la tarjeta de red con acceso a internet, y damos “Status”

S2S 02 - Status

4. Dar clic en “Details” y apuntar la dirección IPv4 (Esta IP será diferente en cada ambiente)

S2S 03 - IP Server

 

1.2.- Crear una Red Virtual en el Portal de Azure

NOTA: Cuando creamos una red virtual en el nuevo portal de Azure, podemos seleccionar ambiente clásico o ambiente de Administrador de Recursos (ARM). En este ejercicio, usamos el modo clásico. Esto nos da un proceso más sencillo.

1. Abrimos en Internet Explorer y nos firmamos al portal con nuestras credenciales. La URL del portal es: https://portal.azure.com

2. Dar click en “New” -> “Networking” -> “Virtual Network”

S2S 04 - NewNw

3. Seleccione “Classic” en “Deployment Model” y haga clic en “Create”

S2S 05 - Classic

4. De nombre a su red, en este ejercicio es: “Tenant1-VNET”

5. Durante el proceso de creación dela VNet, seleccione crear un nuevo Resource Group y dele un nombre, en este ejercicio es: “Tenant1-RG”

6. Seleccione su zona geográfica, (en este ejercicio East US) de clic en “Create”

S2S 06 - Create

7. El portal lo regresara al panel donde puede monitorear la creación de la red

S2S 07 - Nw in process

8. Espere a que la VNET termine de crearse.

9. Una vez que se termina de crear la red, usted vera el mosaico actualizado en el Panel, y la notificación que la red ha sido creada.

 

1.3.- Configurar el espacio de direcciones y Subnets

Cada red (VNET) tiene al menos un espacio de direcciones. Estas direcciones son para los recursos dentro de la red como MVs. La configuración por omisión usa el rango 10.0.0.0/16. Cada espacio de direcciones debe tener al menos una sub red para aislamiento y enrutamientos. Si planea usar una VPN Site-to-site o Point-to-site, necesitará configurar un Gateway y colocarlo en una subred.

 

1. Después de provisionar su red, usted vera un panel de resumen con la información básica.

S2S 08 - resumen

2. Desde el panel de “Settings” a la derecha, haga clic en “Properties”. Vea que puede cambiar el Grupo de Recursos y Suscripción, pero no puede cambiar la ubicación. Para cambiarla, necesita borrar la VNET y volver a crearla en la región correcta.

 

3. En el panel de “Settings” haga clic en “Address Space”. Note que tiene un espacio de direcciones hasta para 65,536 direcciones.

S2S 09 - Direcciones

4. En el panel de “Settings” haga clic en “Subnets”. Vea que tiene una subnet con 251 direcciones disponibles. Usted puede crear nuevas subnets para aislar el tráfico.

S2S 10 - Subnets

5. Haga clic en “Add +” para crear una nueva subnet para el Gateway de VPN S2S.

6. El nombre en este ejercicio es GWSubnet, deje el rango de omisión.

S2S 11 - GWsubnet

7. De clic en “OK” para crear la nueva subnet. Puede verificar el avance en el área de notificación del panel. Una vez creada, vera que tiene 2 subnets.

S2S 12 - 2subnets

8. En el panel de “Settings”, haga clic en “DNS Servers”. Vea que aún no tiene ningún DNS propio configurado. Esto significa que cualquier maquina provisionada en esta red usara la infraestructura de DNS de Azure. Ya que esta red se usará para correr maquinas que se comunicaran con sus instalaciones “En Sitio” (OnPremise) (Diseño hibrido), apuntaremos al Controlador de dominio “en sitio” para el DNS. Esto estará disponible una vez que el VPN site-to-site este corriendo, pero lo podemos configurar de una vez.

9. Teclee la dirección de su servidor DNS en sitio, en este ejercicio es: 192.168.1.1 y haga clic en “Save”.

S2S 13 - save

 

1.4.- Configurar el Gateway y el VPN Site to Site (Del lado de Azure).

Para poder soportar un escenario de nube hibrida, necesitará tener algún tipo de conexión VPN (Punto a sitio, sitio a sitio o Express Route) Configurado en Azure.

 

1. Si no está firmado en el portal (https://portal.azure.com), Fírmese a su suscripción.

2. Ya sea desde el grupo de recursos Tenant1-RG o desde el panel de todos los recursos, abra la pantalla de settings de Tenant1-VNET.

3. De clic en el recuadro gris en el panel de topología para empezar a crear la VPN.

S2S 14 - Gris

4. Asegúrese de que el tipo de conexión es “Site-to-Site”

S2S 15 - S2S

5. Haga clic en la flecha del recuadro de “Local site”. Local site se refiere a la dirección y extremo VPN en el lado de su Centro de Datos “On Premise”. Usted necesita la dirección IP de su Gateway (la que apuntamos en pasos previos).

S2S 16 - LocalSite

6. Póngale el nombre VNET-gateway y capture la dirección IP del VPN en sitio que apunto previamente. NO use la dirección de la imagen o este ejercicio, utilice la IP publica de su dispositivo. Para el espacio de direcciones en sitio, utilice 192.168.1.1/24. Esto mandara todo el tráfico de paquetes destinados a las direcciones 192.168.1.1 – 192.168.1.254 (O las direcciones que correspondan a su instalación) hacia la VPN, que es su instalación en sitio.

S2S 17 - IP Destino Site

7. Haga clic en “OK” para cerrar la ventana.

8. Asegúrese de que “Provision the Gateway Now” este seleccionado.

9. Haga clic en “OK” para provisionar el Gateway.

Este proceso toma aproximadamente 30 minutos.

 

 

2.- Conectar las redes de Azure y En Sitio

En esta sección vamos a configurar el lado del centro de datos de la conexión VPN Site to Site.

 

1.1.- Documentamos la dirección IP del Gateway en sitio.

1. Nos conectamos a nuestro servidor de Gateway con usuario administrador.

2. Abrimos en Internet Explorer y nos firmamos al portal con nuestras credenciales. La URL del portal es: https://portal.azure.com. Y abrimos las propiedades de la red virtual “Tenant-VNET”

S2S 18 - Tenant-VNET

 

3. Observe que el Gateway y la dirección IP publica ya fueron provisionadas. (Su dirección IP será diferente)

S2S 19 - Gw IP

 

4. Haga clic en el icono de Conexión Site to Site (en gris indicando que no está conectado)

S2S 20 - S2S conection

 

5. Avance hacia la derecha hasta que vea “VPN Connections". Haga clic en “Download VPN device script”.

S2S 21 - Download

 

6. Seleccione RRAS para Windows Server 2012 R2 y haga clic en “Download”. https://azure.microsoft.com/en-us/documentation/articles/vpn-gateway-about-vpn-devices/

S2S 22 - RRAS

 

Esta descarga contiene código de PowerShell para instalar y configurar RRAS en Windows Server 2012 R2. Para más información para configurar otros dispositivos VPN, ir al enlace:

https://azure.microsoft.com/en-us/documentation/articles/vpn-gateway-about-vpn-devices/

 

7. Haga clic en “Save as” y salve el archivo (VPNdeviceScript.cfg) en su escritorio.

8. Renombre el archivo a VPNDeviceScript.PS1

9. Haga clic derecho en el script y seleccione “Run with PowerShell”.

S2S 23 - Run PS

 

10. Teclee “Y” para correr el script. Tomará aproximadamente 5 minutos para configurar RRAS. Va a obtener algunas advertencias, pero el script termina y se cierra la pantalla de PowerShell.

11. Una vez que termine el script, abra “Server Manager”

12. A la izquierda de la ventana, haga clic en Remote Access.

S2S 24 - RemoteAccess

 

13. Haga botón derecho en GATEWAY y seleccione “Remote Access Management”.

14. En el lado izquierdo, bajo “Configuration”, haga clic en VPN.

15. Haga clic en “Open RRAS Management Console”.

S2S 25 - Configure VPN

 

16. Observe el contenedor de interfaces y verá la interface a la dirección IP de su Gateway de Azure con status de conectado

S2S 26 - connected

 

17. Regrese al portal de Azure y verá la pantalla de “Azure Settings” para la red “Tenant-VNET” con el status de conectado para el Site to Site.

S2S 27 - Azure Connected

 

18. Usted puede hacer clic en la conexión para ver las estadísticas de tráfico.

 

 

Felicidades! Hemos completado la configuración de su enlace Sitio a Sitio habilitando el ambiente hibrido para nuestro centro de datos.

Ahora ya puede crear máquinas virtuales en su red de Azure y podrán comunicarse con sus servidores en sitio.

 

Saludos.

Mariano Carro

Latampts - Email PNG Soporte para Partners