Paso a Paso 365-ADFS-Azure Capitulo 2

 

Hola a todos muchas gracias por leer este blog de nuevo, y seguirme en Twitter y facebook.

Siguiendo con la líneas planteadas en la anterior entrada hoy vamos a hablar como crear nuestra VPN Site-To-Site.

site2site

Lo primero que debemos tomar en cuenta, es que nuestro dispositivo esta en la matriz de compatibilidad.

 

VendorDevice familyMinimum OS versionPolicy-basedRoute-based
Allied TelesisAR Series VPN Routers2.9.2Coming soonNot compatible
Barracuda Networks, Inc.Barracuda NextGen Firewall F-seriesPolicy-based: 5.4.3, Route-based: 6.2.0Configuration instructionsConfiguration instructions
Barracuda Networks, Inc.Barracuda NextGen Firewall X-seriesBarracuda Firewall 6.5Barracuda FirewallNot compatible
BrocadeVyatta 5400 vRouterVirtual Router 6.6R3 GAConfiguration instructionsConfiguration instructions
CiscoASA8.3Cisco samplesNot compatible
CiscoASRIOS 15.1 (policy-based), IOS 15.2 (route-based)Cisco samplesCisco samples
CiscoISRIOS 15.0 (policy-based), IOS 15.1 (route-based)Cisco samplesCisco samples
CitrixCloudBridge MPX appliance, or VPX virtual applianceN/AIntegration instructionsNot compatible
Dell SonicWALLTZ Series, NSA Series, SuperMassive Series, E-Class NSA SeriesSonicOS 5.8.x, SonicOS 5.9.x, SonicOS 6.xInstructions – SonicOS 6.2 Instructions – SonicOS 5.9Instructions – SonicOS 6.2 Instructions – SonicOS 5.9
F5BIG-IP seriesN/AConfiguration instructionsNot compatible
FortinetFortiGateFortiOS 5.0.7Configuration instructionsConfiguration instructions
Internet Initiative Japan (IIJ)SEIL SeriesSEIL/X 4.60, SEIL/B1 4.60, SEIL/x86 3.20Configuration instructionsNot compatible
JuniperSRXJunOS 10.2 (policy-based), JunOS 11.4 (route-based)Juniper samplesJuniper samples
JuniperJ-SeriesJunOS 10.4r9 (policy-based), JunOS 11.4 (route-based)Juniper samplesJuniper samples
JuniperISGScreenOS 6.3 (policy-based and route-based)Juniper samplesJuniper samples
JuniperSSGScreenOS 6.2 (policy-based and route-based)Juniper samplesJuniper samples
MicrosoftRouting and Remote Access ServiceWindows Server 2012Not compatibleMicrosoft samples
OpenswanOpenswan2.6.32(Coming soon)Not compatible
Palo Alto NetworksAll devices running PAN-OS 5.0 or greaterPAN-OS 5x or greaterPalo Alto NetworksNot compatible
WatchguardAllFireware XTM v11.xConfiguration instructionsNot compatible

 

Para mayor información consulta la URL del Proveedor.

 

Ahora bien tener en cuenta que es muy importante el tipo de VPN que debemos desplegar ya que Azure nos permite las siguientes Opciones.

 

Policy-based Basic VPN GatewayRoute-based Basic VPN GatewayRoute-based Standard VPN GatewayRoute-based High Performance VPN Gateway
Site-to-Site connectivity (S2S)Policy-based VPN configurationRoute-based VPN configurationRoute-based VPN configurationRoute-based VPN configuration
Point-to-Site connectivity (P2S)Not supportedSupported (Can coexist with S2S)Supported (Can coexist with S2S)Supported (Can coexist with S2S)
Authentication methodPre-shared keyPre-shared key for S2S connectivity, Certificates for P2S connectivityPre-shared key for S2S connectivity, Certificates for P2S connectivityPre-shared key for S2S connectivity, Certificates for P2S connectivity
Maximum number of S2S connections1101030
Maximum number of P2S connectionsNot supported128128128
Active routing support (BGP)Not supportedNot supportedNot supportedNot supported

 

 

Bueno tomando encuentra que vuestro dispositivo esta en la lista de compatibilidad.

 

  1. Crear una red virtual y una subred de puerta de enlace

 

Nuestros ejemplos a continuación muestran una subred de la puerta de enlace / 28. Mientras que es posible crear una subred puerta de entrada tan pequeña como / 29, no se recomienda esto. Recomendamos la creación de una subred gateway / 27 o mayor (/ 26, / 25, etc.) con el fin de adaptarse a los requisitos de características adicionales. Si ya dispone de una red virtual con una subred gateway que es / 29 o mayor, puede saltar al Paso 3 – Añadir el portal de acceso a la red local.

Para crear una red virtual y una subred de puerta de enlace

 

Utilice el ejemplo siguiente para crear una red virtual y una subred de puerta de enlace. Sustituye los valores de su cuenta.

 

En primer lugar, crear un grupo de recursos:

 

New-AzureRmResourceGroup -Name testrg -Location 'North Europe'

 

A continuación, cree su red virtual. Compruebe que los espacios de direcciones que especifique no se superponen cualquiera de los espacios de direcciones que tiene en su red en las instalaciones.

El ejemplo siguiente crea una red virtual y testvnet llamado dos subredes, uno llamado GatewaySubnet y la otra llamada Subnet1. Es importante crear una subred denominado específicamente GatewaySubnet. Si lo que sea otra cosa, la configuración de su conexión fallará.

 

$subnet1 = New-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.0.0/28
$subnet2 = New-AzureRmVirtualNetworkSubnetConfig -Name 'Subnet1' -AddressPrefix '10.0.1.0/28'
New-AzureRmVirtualNetwork -Name testvnet -ResourceGroupName testrg -Location 'West US' -AddressPrefix 10.0.0.0/16 -Subnet $subnet1, $subnet2

Para agregar una subred puerta de entrada a una red virtual que ya ha creado

Este paso sólo es necesario si es necesario agregar una subred puerta de entrada a un VNet que ha creado anteriormente.

Puede crear su propia red de puerta de enlace mediante el ejemplo siguiente. Asegúrese de nombrar la puerta de entrada de subred ‘GatewaySubnet’. Si lo que sea otra cosa, vamos a crear una subred, pero Azure no tratarlo como una subred de puerta de enlace.

$vnet = Get-AzureRmVirtualNetwork -ResourceGroupName testrg -Name testvnet
Add-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/28 -VirtualNetwork $vnet

Ahora, establezca la configuración

SetAzureRmVirtualNetwork VirtualNetwork $vnet

  1. Añadir el portal de acceso de red local

En una red virtual, la puerta de enlace de red local típicamente se refiere a su ubicación en las instalaciones. Dará a conocer a ese sitio un nombre con el que Azure puede referirse a ella, y también especificar el prefijo de espacio de direcciones de la puerta de entrada a la red local.

Azure utilizará la dirección IP prefijo que especifique para identificar el tráfico que enviar a su ubicación en las instalaciones. Esto significa que usted tendrá que especificar cada prefijo de la dirección que desea estar asociado con el portal de acceso a la red local. Puede actualizar fácilmente estos prefijos si los cambios en la red de correo locales.

Al utilizar los ejemplos de PowerShell, tenga en cuenta lo siguiente:

El GatewayIPAddress es la dirección IP de su dispositivo en las instalaciones de VPN. El dispositivo VPN no puede estar situado detrás de un NAT.
El addressPrefix es su espacio de direcciones local.

Para añadir una puerta de entrada a la red local con un único prefijo de la dirección:

New-AzureRmLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg -Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Para añadir una puerta de entrada a la red local con múltiples prefijos de direcciones:

New-AzureRmLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg -Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix @('10.0.0.0/24','20.0.0.0/24')

Para modificar los prefijos de dirección IP de la puerta de enlace de red local

A veces sus prefijos de puerta de enlace de red local para cambiar. Los pasos a seguir para modificar sus prefijos de direcciones IP dependen de si está o no han creado una conexión de puerta de enlace VPN.

Solicitar una dirección IP pública para el gateway VPN

A continuación, se le solicita una dirección IP pública que se asignará a su puerta de enlace VPN VNet Azure. Esta no es la misma dirección IP que se asigna al dispositivo VPN; Más bien es asignado a la misma puerta de enlace VPN Azure. No se puede especificar la dirección IP que desea utilizar; se asigna dinámicamente a la puerta de enlace. Vamos a usar esta dirección IP al configurar el dispositivo en las instalaciones VPN para conectarse a la puerta de entrada.

Utilizar el ejemplo de PowerShell a continuación. El método de asignación para esta dirección debe ser dinámico.

$gwpip= New-AzureRmPublicIpAddress -Name gwpip -ResourceGroupName testrg -Location 'West US' -AllocationMethod Dynamic

Nota:

La puerta de enlace VPN Azure para el modelo de implementación Administrador de recursos actualmente sólo es compatible con direcciones IP públicas mediante el método de asignación dinámica. Sin embargo, esto no significa que la dirección IP cambiará. La única vez que cambia la dirección IP del gateway VPN Azure es cuando se elimina la entrada y volver a crear. La dirección de la pasarela IP pública no va a cambiar a través de cambio de tamaño, reposición, mantenimiento u otras interna / mejoras de la puerta de enlace VPN Azure.

 

  1. Crear la puerta de entrada de configuración de direccionamiento IP

La configuración de la pasarela define la subred y la dirección IP pública de su uso. Utilice el ejemplo siguiente para crear la configuración de puerta de enlace.

$vnet = Get-AzureRmVirtualNetwork -Name testvnet -ResourceGroupName testrg
$subnet = Get-AzureRmVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzureRmVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId $subnet.Id -PublicIpAddressId $gwpip.Id

 

  1. Crear la puerta de enlace de red virtual

En este paso, creará la pasarela de red virtual. Tenga en cuenta que la creación de una pasarela que puede tardar mucho tiempo en completarse. A menudo, 20 minutos o más.

Utilice los siguientes valores:

El -GatewayType para una configuración de sitio a sitio VPN es. El tipo de puerta de enlace es siempre específica a la configuración que se está implementando. Por ejemplo, otras configuraciones de puerta de enlace pueden requerir -GatewayType ExpressRoute.

El -VpnType pueden RouteBased (referido como una puerta de enlace dinámico en alguna documentación), o PolicyBased (referido como una puerta de enlace estático en la parte de la documentación). Para obtener más información sobre los tipos de puerta de enlace VPN, consulte Acerca de VPN Gateways.

El -GatewaySku puede ser básico, estándar o de alto rendimiento.

New-AzureRmVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg -Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn -VpnType RouteBased -GatewaySku Standard
  1. Configurar el dispositivo VPNEn este punto, usted necesita la dirección IP pública de la puerta de enlace de red virtual para configurar el dispositivo en las instalaciones de VPN. Trabajar con el fabricante del dispositivo para obtener información de configuración específica. Adicionalmente, se refieren a los dispositivos VPN para obtener más información.

    Para encontrar la dirección IP pública de su puerta de enlace de red virtual, utilice el siguiente ejemplo:

    GetAzureRmPublicIpAddress Name gwpip ResourceGroupName testrg

 

Barracuda

Configurar IPsec de sitio a sitio VPN en la serie X Firewall

 

Crear una conexión VPN IPsec activa en el servidor de seguridad X-Series.
Ir a la página de sitio a sitio (VPN> Site-to-Site).
Si su están utilizando una dirección dinámica (DHCP, xDSL, 3G) para conectarse a Internet, o si está detrás de un NAT permita un uso dinámico de direcciones IP en la sección Servidor de configuración global y haga clic en Guardar. Se reinicia el servicio de VPN.
En la sección de túneles IPSec de sitio a sitio, haga clic en Agregar.
Introduzca el nombre de la VPN IPsec. Por ejemplo, AzureVPNGateway
Configurar los ajustes de la Fase 1 y la Fase 2 encyption:
Fase 1:
Cifrado – AES
Método Hash SHA –
Grupo de DH – Grupo 2
Curso de la vida – 28800
Fase 2:
Cifrado – AES
Método Hash – SHA256
Curso de la vida – 3600
Perfect Forward Secrecy – n
Local End – Activo
Dirección Local – dinámico o estático si está utilizando una conexión WAN estática.
Redes Locales – Introduzca su subred (s) en las instalaciones. Por ejemplo.,
Puerta de enlace remota – Ingrese la IP para el gateway IPADDRESS que aparece en el apartado de su red Azure. Por ejemplo, 137.117203.108
Redes remota – Ingrese la subred remota VPC. Por ejemplo, 10.10.201.0/24
Autenticación – Seleccione Compartida frase de contraseña.
Frase de contraseña – Introduzca la clave compartida generada por el Azure VPN Gateway. Para ver la marcha de clave compartida en el salpicadero de su red Azure y haga clic en el icono de llave en Administrar en el panel inferior.

Picture1Habilitar Agresivo – No.

Picture2

Por ultimo Salvamos

SonicWall

Accede a la IU de administración de SonicWALL.
Vaya a la página> Configuración de VPN.
Cree la siguiente política de VPN:
El IPsec Primaria Nombre o dirección de puerta de enlace debe ser la dirección de la pasarela IP que se muestra en la página de red virtual del portal de administración de Azure.

Picture3

Hemos seleccionado el modo de IKEv2 bajo Exchange porque para el sitio dinámico para localizar VPN, Windows Azure admite sólo IKEv2. Para obtener más información acerca de las propuestas compatibles con Windows Azure.

Picture4

Picture5

Crearemos el Objeto de red.

Picture6

Navegue a la red> Dirección Objetos página
Crea el siguiente objeto de dirección para la red remota Azure.

Picture8

Crearemos las rutas estaticas.

Asegúrese de que la casilla de verificación Auto-añadir reglas de acceso está habilitado para las reglas de acceso de auto-crear a partir de LAN (u otras zonas) para VPN y VPN a partir de LAN (u otras zonas).

  1. Crear la conexión VPN

A continuación, vamos a crear la conexión VPN de sitio a sitio entre el portal de acceso a la red virtual y el dispositivo de VPN. Asegúrese de sustituir los valores con su propio. La clave compartida debe coincidir con el valor que utilizó para su configuración de dispositivos VPN. Tenga en cuenta que la -ConnectionType de Site-to-Site es IPsec.

 

$gateway1 = Get-AzureRmVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
$local = Get-AzureRmLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg

New-AzureRmVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg -Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local -ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
  1. Verificar una conexión VPN

Hay algunas maneras diferentes para verificar su conexión VPN. A continuación, vamos a hablar acerca de cómo hacer la verificación básica utilizando el portal de Azure y mediante el uso de PowerShell.

Para comprobar la conexión a través del portal Azure

Puede verificar una conexión VPN en el portal de Azure navegando a pasarelas de red virtuales> haga clic en el nombre de la pasarela>> Conexiones Ajustes. Al seleccionar el nombre de la conexión, se puede ver más información sobre la conexión. En el siguiente ejemplo, la conexión no está conectado y no hay datos que fluyen a través.

 

connectionverify450.png

 

 

Para comprobar la conexión utilizando PowerShell
También es posible comprobar que la conexión es correcta mediante el uso de Get-AzureRmVirtualNetworkGatewayConnection –Debug . Puede usar el cmdlet siguiente ejemplo, la configuración de los valores para que coincida con el suyo propio. Cuando se le solicite, seleccione A fin de ejecutar todo.

Get-AzureRmVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg -Debug

Después de que el cmdlet ha terminado, desplazarse a través para ver los valores. En el siguiente ejemplo, el estado de la conexión se muestra como conectado y se puede ver de entrada y salida bytes.

Body:
{
  "name": "localtovon",
  "id":
"/subscriptions/086cfaa0-0d1d-4b1c-9455-f8e3da2a0c7789/resourceGroups/testrg/providers/Microsoft.Network/connections/loca
ltovon",
  "properties": {
    "provisioningState": "Succeeded",
    "resourceGuid": "1c484f82-23ec-47e2-8cd8-231107450446b",
    "virtualNetworkGateway1": {
      "id":
"/subscriptions/086cfaa0-0d1d-4b1c-9455-f8e3da2a0c7789/resourceGroups/testrg/providers/Microsoft.Network/virtualNetworkGa
teways/vnetgw1"
    },
    "localNetworkGateway2": {
      "id":
"/subscriptions/086cfaa0-0d1d-4b1c-9455-f8e3da2a0c7789/resourceGroups/testrg/providers/Microsoft.Network/localNetworkGate
ways/LocalSite"
    },
    "connectionType": "IPsec",
    "routingWeight": 10,
    "sharedKey": "abc123",
    "connectionStatus": "Connected",
    "ingressBytesTransferred": 33509044,
    "egressBytesTransferred": 4142431
  }
  1. Administracion de las redes ya creadas.

 

Para modificar los prefijos de direcciones IP de una puerta de enlace de red local

Si necesita cambiar los prefijos para el portal de acceso a la red local, utilice las siguientes instrucciones. Se proporcionan dos conjuntos de instrucciones. Las instrucciones que se elija dependerá de si ya ha creado su conexión de puerta de enlace VPN.
Añadir o eliminar los prefijos si aún no se ha creado una conexión VPN gateway

Para agregar prefijos de direcciones adicionales a una pasarela de red local que ha creado, pero que aún no cuenta con una conexión de puerta de enlace VPN, utilice el siguiente ejemplo.

$local = Get-AzureRmLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg  Set-AzureRmLocalNetworkGateway -LocalNetworkGateway $local -AddressPrefix @(‘10.0.0.0/24′,’20.0.0.0/24′,’30.0.0.0/24’)

Para eliminar un prefijo de dirección de una pasarela de red local que no tiene una conexión VPN, utilice el siguiente ejemplo. Dejar de lado los prefijos que ya no necesita. En este ejemplo, ya no es necesario prefijar 20.0.0.0/24 (en el ejemplo anterior), por lo que vamos a actualizar la puerta de entrada a la red local y excluir a ese prefijo.

$local = Get-AzureRmLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg Set-AzureRmLocalNetworkGateway -LocalNetworkGateway $local -AddressPrefix @(‘10.0.0.0/24′,’30.0.0.0/24’)

Añadir o eliminar los prefijos si ya ha creado una conexión de puerta de enlace VPN
Si ha creado la conexión VPN y desea añadir o eliminar los prefijos de direcciones IP contenidas en el portal de acceso a la red local, se tendrá que hacer los siguientes pasos en orden. Esto dará como resultado un tiempo de inactividad para su conexión VPN, ya que se necesita para eliminar y reconstruir la puerta de entrada. Sin embargo, debido a que ha solicitado una dirección IP para la conexión, no será necesario volver a configurar el enrutador en las instalaciones de VPN a menos que decida cambiar los valores que se utilizó anteriormente.

Retire la conexión de puerta de enlace.
Modificar los prefijos para el portal de acceso a la red local.
Crear una nueva conexión de puerta de enlace.

Puede utilizar el siguiente ejemplo como guía.

$gateway1 = Get-AzureRmVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
$local = Get-AzureRmLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg

Remove-AzureRmVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg

$local = Get-AzureRmLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg
Set-AzureRmLocalNetworkGateway -LocalNetworkGateway $local -AddressPrefix @('10.0.0.0/24','20.0.0.0/24','30.0.0.0/24')

New-AzureRmVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg -Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local -ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'

 

Es una traduccion a mi manera del articulo maravilloso de el Technet, y Azure.

 

Espero vuestras opiniones.

También te podría gustar...