TAGS
Un proyecto reciente nos ha poner a prueba algunos de los nuevos. Un paso importante es conseguir la configuración del entorno de Windows Azure conectado a nuestra red en las instalaciones. Para ello, creamos un sitio a otro túnel VPN entre una red virtual Azure y su entorno corporativo existente en las instalaciones. Por lo general, esto se hace utilizando un hardware VPN (tales como Cisco, Fortinet, Juniper o), pero también se puede hacer uso de Windows Server. Microsoft tiene un tutorial decente, pero le falta algo de información acerca de la configuración del extremo remoto.
En primer lugar, vamos a obtener una red virtual creada en Azure.
1. Entrar al.
2. En la columna de la izquierda, seleccione Redes y, a continuación, haga clic en Crear en la barra inferior.
3. Con ello se abre un asistente para la creación de una red virtual. Dar a la red un nombre y seleccionar un grupo de afinidad existente si usted tiene uno, o crear una nueva. Redes virtuales deben pertenecer a un grupo de afinidad y sólo puede ser utilizado con VM en el mismo grupo de afinidad. Haga clic en Siguiente
4. La siguiente pantalla le pedirá que defina el espacio de direcciones y subredes lógicas. Puede usar super-red para definir un espacio de direcciones grande (por ejemplo. 10.1.0.0/16) y luego crear subredes lógicas a los servidores de grupos (por ejemplo. 10.1.1.0/24) para los propósitos específicos del servidor. Definir el espacio de direcciones y al menos 1 subred. Haga clic en Siguiente.
5. En los servidores DNS y la pantalla de la red local, tendrá que configurar un servidor DNS para esta red virtual. Para el DNS, este será el servidor DNS de la máquina virtual en este uso de la red virtual. Los parámetros de red local requieren tanto una subred y puerta de enlace de una red local. La red de puerta de enlace debe ser una subred lógica del espacio de direcciones que definió anteriormente (es decir. 10.1.0.0/24) y sólo se utiliza para ejecutar los servicios de puerta de enlace necesarias. La red local debe ser redes configuradas en su entorno en las instalaciones. Seleccione Crear nueva red local y haga clic en siguiente.
6. En la página Crear nueva red local de pantalla que tendrá que asignar un nombre a la red local, definir el punto final de VPN en su entorno en las instalaciones y una o más subredes en el espacio de direcciones (por ejemplo. 10.4.0.0/16) correspondiente a las redes locales configurados en su entorno en las instalaciones. Haga clic en la marca de verificación para crear la red virtual.
Ahora que una red virtual ha sido creado, es necesario crear una puerta de enlace VPN para la red.
1. Desde el portal de Azure, seleccione Redes y haga clic en el nombre de la red virtual que acaba de crear.
2. Debería ver un indicador de que una puerta de enlace aún no ha sido creado. Haga clic en el icono de la puerta de enlace de crear en el banner de abajo. Haga clic en la marca de verificación Sí que aparece en la barra inferior para iniciar el trabajo de puerta de enlace Crear.
3. Se puede tomar hasta 15 minutos para que la puerta de enlace que se creará. Debería aparecer un mensaje de que la creación Gateway ha comenzado.
4. Una vez completado, una dirección de puerta de enlace IP se mostrará junto con las métricas de datos entrantes y salientes. Usted necesitará la información de clave pre-compartida para configurar el túnel en su final. Haga clic en el botón Clave Ver en la barra inferior.
Por último, tendrá que configurar el sitio a otro túnel VPN en el dispositivo de hardware VPN en el equipo de las instalaciones. El siguiente es un ejemplo de la información necesaria:
Fase 1 (IKE) IP / interlocutor remoto Punto de llegada: Virtual Network dirección de puerta de enlace (que es la dirección de puerta de enlace IP en la lista para la red virtual en el portal de Azure) Método de autenticación: Pre-Shared Key Pre-Shared Key: valor <de Vista Teclee portal de Azure> Fase 1 Propuesta: El cifrado AES-128 (o AES-128-CBC), la autenticación SHA1 Fase 1 Keylife: 28800s Fase 1 DH Grupo: 2
Fase 2 (IPsec) ** Red Local: subred corporativa local (esto es la Red Local configuró cuando la creación de la red virtual Azure) de red remoto: Red virtual Azure (este es el espacio de direcciones configuró cuando la creación de la red virtual Azure ) Fase 2 Propuesta: El cifrado AES-128 (o AES-128-CBC), la autenticación SHA1 (o SHA1-HMAC-96) Fase 2 Keylife: 3600 102400000 y KBytes Fase 2 DH Group (PFS): Desactivado
** Nota: Normalmente, se utilizan las subredes definidas en la Fase 2. Sin embargo, he encontrado en la práctica que la puerta de entrada Azure utiliza 0.0.0.0/0 para la Fase 2:
05/01/2013 11:33:21 Ike 1: OW-Azure: 13537: 6.612.914: pares: Tipo = 7/7, locales = 0: 0.0.0.0-255.255.255.255: 0, distancia = 0: 0.0.0.0 -255.255.255.255: 0 05/01/2013 11:33:21 Ike 1: OW-Azure: 13537: 6.612.914: mina: tipo = 7/7, locales = 0: 10.4.0.0-10.4.255.255: 0, a distancia = 0: 10.1.0.0-10.1.255.255: 0 05/01/2013 11:33:21 Ike 1: OW-Azure: 13537: 6612914: no phase2 coincidente que se encuentre 01/05/2013 11:33:21 Ike 1: OW-Azure: 13537 :: 6612914: no se pudo obtener respuesta propuesta 05/01/2013 11:33:21 Ike 1: OW-Azure: 13537: no se pudo crear niño SA 05/01/2013 11:33:21 Ike 1 OW-Azure: 13537: envío de respuesta de error
Si las subredes no coinciden en ambos extremos, el túnel no establecerá, por lo que querrá utilizar 0.0.0.0/0 para su Fase 2 subredes en la configuración VPN.
Puede descargar una secuencia de comandos de configuración de ejemplo para Cisco ASA, ASR, e ISR o Juniper SRX, J, sistemas ISG o SSG desde el portal Azure haciendo clic en el enlace de descarga en la barra inferior (al lado del botón Clave Ver). Tendrá que modificar el guión con las redes adecuadas y clave. Dicho esto, las secuencias de comandos asumen algunas cosas acerca de su configuración, de modo que lo mejor es configurar el final del túnel VPN de forma manual. Por ejemplo, la secuencia de comandos puede intentar puede tratar de ajustar el tamaño máximo de segmento 1350 en la interfaz externa del dispositivo de VPN, que podría afectar a sus otros túneles configurados. También es importante tener en cuenta que las reglas de NAT firewall y suelen ser necesarios en la mayoría de los dispositivos de hardware VPN.
Para probar la conectividad, sólo tiene que iniciar el tráfico de uno y otro lado del túnel (es decir. 10.1.1.10 de ping desde 10.4.1.10). Es útil que los mensajes de rastreo de depuración activadas en su dispositivo de hardware VPN en caso de problemas. tunelización feliz!
.
