Administración de acceso seguro a recursos en redes virtuales de radio para clientes de VPN de usuarioManage secure access to resources in spoke VNets for User VPN clients

En este artículo se le muestra cómo usar las reglas y los filtros de Azure Firewall y Virtual WAN para administrar el acceso seguro para las conexiones de los recursos en Azure a través de conexiones VPN abiertas o IKEv2 de punto a sitio.This article shows you how to use Virtual WAN and Azure Firewall rules and filters to manage secure access for connections to your resources in Azure over point-to site IKEv2 or Open VPN connections. Esta configuración es útil si tiene usuarios remotos a los que desea restringir el acceso a los recursos de Azure, o bien para proteger sus recursos en Azure.This configuration is helpful if you have remote users for whom you want to restrict access to Azure resources, or to secure your resources in Azure.

Los pasos descritos en este artículo le ayudarán a crear la arquitectura en el siguiente diagrama para permitir que los clientes de VPN de usuario tengan acceso a un recurso específico (VM1) en una red virtual de radio conectada al centro virtual, pero no a otros recursos (VM2).The steps in this article help you create the architecture in the following diagram to allow User VPN clients to access a specific resource (VM1) in a spoke VNet connected to the virtual hub, but not other resources (VM2). Use este ejemplo de arquitectura como directriz básica.Use this architecture example as a basic guideline.

Diagrama: centro virtual protegido

Requisitos previosPrerequisites

  • Tiene una suscripción de Azure.You have an Azure subscription. Si no tiene una suscripción a Azure, cree una cuenta gratuita.If you don't have an Azure subscription, create a free account.

  • Tiene una red virtual a la que quiere conectarse.You have a virtual network that you want to connect to. Compruebe que ninguna de las subredes de sus redes locales se superpone a las redes virtuales a las que quiere conectarse.Verify that none of the subnets of your on-premises networks overlap with the virtual networks that you want to connect to. Para crear una red virtual en Azure Portal, consulte el artículo Inicio rápido.To create a virtual network in the Azure portal, see the Quickstart article.

  • Su red virtual no debe tener ninguna puerta de enlace de red virtual.Your virtual network must not have any existing virtual network gateways. Si la red virtual ya tiene puertas de enlace (VPN o ExpressRoute), debe quitarlas todas antes de continuar.If your virtual network already has gateways (VPN or ExpressRoute), you must remove all of the gateways before proceeding. Esta configuración requiere que las redes virtuales se conecten solo a la puerta de enlace del centro de Virtual WAN.This configuration requires that virtual networks connect to the Virtual WAN hub gateway only.

  • Un centro de conectividad virtual es una red virtual que Virtual WAN crea y usa.A virtual hub is a virtual network that is created and used by Virtual WAN. Es el núcleo de la red Virtual WAN en una región.It's the core of your Virtual WAN network in a region. Obtenga un intervalo de direcciones IP para la región del centro virtual.Obtain an IP address range for your virtual hub region. El intervalo de direcciones que especifique para el centro no se puede superponer con ninguna de las redes virtuales existentes a las que se conecta.The address range that you specify for the hub can't overlap with any of the existing virtual networks that you connect to. Tampoco se puede superponer con los intervalos de direcciones locales a las que se conecta.It also can't overlap with the on-premises address ranges that you connect to. Si no está familiarizado con los intervalos de direcciones IP ubicados en la configuración de la red local, póngase de acuerdo con alguien que pueda proporcionarle estos detalles.If you are unfamiliar with the IP address ranges located in your on-premises network configuration, coordinate with someone who can provide those details for you.

  • Tiene los valores disponibles para la configuración de autenticación que desea usar.You have the values available for the authentication configuration that you want to use. Por ejemplo, un servidor RADIUS, la autenticación con Azure Active Directory o la generación y exportación de certificados.For example, a RADIUS server, Azure Active Directory authentication, or Generate and export certificates.

Crear una instancia de Virtual WANCreate a virtual WAN

Desde un explorador, navegue al Portal de Azure e inicie sesión con su cuenta de Azure.From a browser, navigate to the Azure portal and sign in with your Azure account.

  1. En el portal, seleccione + Crear un recurso.In the portal, select + Create a resource. Escriba Virtual WAN en el cuadro de búsqueda y seleccione ENTRAR.Type Virtual WAN into the search box and select Enter.

  2. Seleccione Virtual WAN en los resultados.Select Virtual WAN from the results. En la página Virtual WAN, seleccione Crear para abrir la página Crear una red WAN.On the Virtual WAN page, select Create to open the Create WAN page.

  3. Dentro de la página Crear una red WAN, en la pestaña Aspectos básicos, rellene los campos siguientes:On the Create WAN page, on the Basics tab, fill in the following fields:

    Captura de pantalla que muestra el panel Crear una red WAN con la pestaña Aspectos básicos seleccionada.

    • Suscripción: seleccione la suscripción que quiere usar.Subscription - Select the subscription that you want to use.
    • Grupo de recursos: cree uno nuevo o utilice uno ya existente.Resource group - Create new or use existing.
    • Ubicación del grupo de recursos: elija una ubicación para los recursos en la lista desplegable.Resource group location - Choose a resource location from the dropdown. Una red WAN es un recurso global y no reside en una región determinada.A WAN is a global resource and does not live in a particular region. No obstante, tiene que seleccionar una región con el fin de administrar y ubicar el recurso de WAN que cree.However, you must select a region in order to manage and locate the WAN resource that you create.
    • Nombre: escriba el nombre que desea dar a la WAN.Name - Type the Name that you want to call your WAN.
    • Tipo: Básico o Estándar.Type - Basic or Standard. Seleccione Estándar.Select Standard. Si selecciona VWAN Básico, tenga en cuenta que las instancias de VWAN Básico solo pueden contener concentradores Básicos, lo que limita el tipo de conexión a sitio a sitio.If you select Basic VWAN, understand that Basic VWANs can only contain Basic hubs, which limits your connection type to site-to-site.
  4. Cuando termine de rellenar los campos, haga clic en Revisión y creación.After you finish filling out the fields, select Review +Create.

  5. Una vez que se haya superado la validación, seleccione Crear para crear la WAN virtual.Once validation passes, select Create to create the virtual WAN.

Definición de parámetros de configuración de P2SDefine P2S configuration parameters

La configuración de punto a sitio (P2S) define los parámetros para conectar clientes remotos.The point-to-site (P2S) configuration defines the parameters for connecting remote clients. En esta sección se le ayuda a definir los parámetros de configuración de P2S y, a continuación, crear la configuración que se usará para el perfil de cliente de VPN.This section helps you define P2S configuration parameters, and then create the configuration that will be used for the VPN client profile. Las instrucciones que siga dependerán del método de autenticación que desee usar.The instructions you follow depend on the authentication method you want to use.

Métodos de autenticaciónAuthentication methods

Al seleccionar el método de autenticación, tiene tres opciones.When selecting the authentication method, you have three choices. Cada método tiene requisitos específicos.Each method has specific requirements. Seleccione uno de los métodos siguientes y, a continuación, complete los pasos.Select one of the following methods, and then complete the steps.

  • Autenticación con Azure Active Directory: Obtenga lo siguiente:Azure Active Directory authentication: Obtain the following:

    • El id. de la aplicación de la aplicación empresarial de VPN de Azure registrada en el inquilino de Azure AD.The Application ID of the Azure VPN Enterprise Application registered in your Azure AD tenant.
    • El emisor.The Issuer. Ejemplo: https://sts.windows.net/your-Directory-ID.Example: https://sts.windows.net/your-Directory-ID.
    • El inquilino de Azure AD.The Azure AD tenant. Ejemplo: https://login.microsoftonline.com/your-Directory-ID.Example: https://login.microsoftonline.com/your-Directory-ID.
  • Autenticación basada en Radius: obtenga la dirección IP Radius, el secreto del servidor Radius y la información sobre el certificado.Radius-based authentication: Obtain the Radius server IP, Radius server secret, and certificate information.

  • Certificados de Azure: para esta configuración, se requieren certificados.Azure certificates: For this configuration, certificates are required. Debe generar u obtener certificados.You need to either generate or obtain certificates. Se requiere un certificado de cliente para cada cliente.A client certificate is required for each client. Además, es necesario cargar la información sobre el certificado raíz (clave pública).Additionally, the root certificate information (public key) needs to be uploaded. Para obtener más información sobre los certificados necesarios, consulte Generación y exportación de certificados.For more information about the required certificates, see Generate and export certificates.

  1. Vaya a Todos los recursos.Navigate to All resources.

  2. Seleccione la red WAN virtual que ha creado.Select the virtual WAN that you created.

  3. Seleccione +Crear una configuración de VPN de usuario en la parte superior de la página para abrir la página Crear nueva configuración de VPN de usuario.Select +Create user VPN config at the top of the page to open the Create new user VPN configuration page.

    Configuraciones de VPN de usuario

  4. En la página Crear nueva configuración de VPN de usuario, rellene los campos siguientes:On the Create new user VPN configuration page, fill in the following fields:

    • Nombre de la configuración: nombre que desea usar para hacer referencia a su configuración.Configuration name - This is the name by which you want to refer to your configuration.
    • Tipo de túnel: el protocolo que se usará para el túnel.Tunnel type - The protocol to use for the tunnel.
    • Nombre del certificado raíz: nombre descriptivo para el certificado.Root Certificate Name - A descriptive name for the certificate.
    • Datos de certificado público: datos del certificado X.509 codificado en Base 64.Public Certificate Data - Base-64 encoded X.509 certificate data.
  5. Seleccione Crear para crear la configuración.Select Create to create the configuration.

Creación del centro y la puerta de enlaceCreate the hub and gateway

En esta sección, creará el centro virtual con una puerta de enlace de punto a sitio.In this section, you create the virtual hub with a point-to-site gateway. Para la configuración, puede usar los siguientes valores de ejemplo:When configuring, you can use the following example values:

  • Espacio de direcciones IP privadas del centro: 10.0.0.0/24Hub private IP address space: 10.0.0.0/24
  • Grupo de direcciones de clientes: 10.5.0.0/16Client address pool: 10.5.0.0/16
  • Servidores DNS personalizados: puede enumerar hasta cinco servidores DNSCustom DNS Servers: You can list up to 5 DNS Servers
  1. En la red WAN virtual, seleccione Centros de conectividad y seleccione +Nuevo centro de conectividad.Under your virtual WAN, select Hubs and select +New Hub.

    Nuevo centro de conectividad

  2. En la página Crear centro de conectividad virtual, complete los siguientes campos.On the create virtual hub page, fill in the following fields.

    • Región: seleccione la región en la que quiere implementar el centro de conectividad virtual.Region - Select the region that you want to deploy the virtual hub in.
    • Nombre: escriba el nombre que quiere asignar al centro de conectividad virtual.Name - Enter the name that you want to call your virtual hub.
    • Espacio de direcciones privadas del centro de conectividad: intervalo de direcciones del centro de conectividad en la notación CIDR.Hub private address space - The hub's address range in CIDR notation.

    Crear centro de conectividad virtual

  3. En la pestaña "De punto a sitio", rellene los siguientes campos:On the Point-to-site tab, complete the following fields:

    • Unidades de escalado de puerta de enlace: que representa la capacidad agregada de la puerta de enlace de VPN del usuario.Gateway scale units - which represents the aggregate capacity of the User VPN gateway.
    • Configuración de punto a sitio: la que creó en el paso anterior.Point to site configuration - which you created in the previous step.
    • Grupo de direcciones de clientes: para los usuarios remotos.Client Address Pool - for the remote users.
    • Dirección IP de servidor DNS personalizado.Custom DNS Server IP.

    centro de conectividad con configuración de punto a sitio

  4. Seleccione Revisar + crear.Select Review + create.

  5. En la página Validación superada, seleccione Crear.On the validation passed page, select Create.

Generación de los archivos de configuración de cliente VPNGenerate VPN client configuration files

En esta sección, generará y descargará los archivos del perfil de configuración.In this section, you generate and download the configuration profile files. Estos archivos se usan para configurar el cliente VPN nativo en el equipo cliente.These files are used to configure the native VPN client on the client computer. Para obtener información sobre el contenido de los archivos del perfil de cliente, consulte Configuración de punto a sitio: certificados.For information about the contents of the client profile files, see Point-to-site configuration - certificates.

  1. En la página de su red WAN virtual, seleccione Configuraciones de VPN de usuario.On the page for your virtual WAN, select User VPN configurations.

  2. En la página Configuraciones de VPN de usuario, seleccione una configuración y, luego, elija Descargar perfil de VPN de usuario de WAN virtual.On the User VPN configurations page, select a configuration, then select Download virtual WAN user VPN profile. Al descargar la configuración del nivel de WAN, se obtiene un perfil de VPN de usuario basado en Traffic Manager.When you download the WAN-level configuration, you get a built-in Traffic Manager-based User VPN profile. Para más información sobre los perfiles globales o sobre cualquier perfil basado en un centro de conectividad, consulte Perfiles de centro de conectividad.For more information about Global profiles or a hub-based profile, see Hub profiles. Los escenarios de conmutación por error se simplifican con los perfiles globales.Failover scenarios are simplified with global profile.

    Si, por alguna razón, alguno de los centros de conectividad no está disponible, la administración de tráfico integrada que proporciona el servicio garantiza la conectividad (a través de otro centro) a los recursos de Azure para los usuarios de punto a sitio.If for some reason a hub is unavailable, the built-in traffic management provided by the service ensures connectivity (via a different hub) to Azure resources for point-to-site users. Siempre puede descargar una configuración de VPN específica del centro de conectividad. Para ello, vaya al centro de conectividad.You can always download a hub-specific VPN configuration by navigating to the hub. En VPN de usuario (punto a sitio) , descargue el perfil de VPN de usuario del centro de conectividad virtual.Under User VPN (point to site), download the virtual hub User VPN profile.

  3. En la página Descargar perfil de VPN de usuario de WAN virtual, seleccione el tipo de autenticación y, luego, elija Generar y descargar perfil.On the Download virtual WAN user VPN profile page, select the Authentication type, then select Generate and download profile. Se generará el paquete de perfil y se descargará un archivo ZIP que contiene los valores de configuración.The profile package will generate and a zip file containing the configuration settings will download.

Configuración de clientes VPNConfigure VPN clients

Use el perfil descargado para configurar los clientes de acceso remoto.Use the downloaded profile to configure the remote access clients. El procedimiento de cada sistema operativo es diferente, siga las instrucciones apropiadas para su sistema.The procedure for each operating system is different, follow the instructions that apply to your system.

Microsoft WindowsMicrosoft Windows

OpenVPNOpenVPN
  1. Descargue e instale el cliente OpenVPN desde el sitio web oficial.Download and install the OpenVPN client from the official website.
  2. Descargue el perfil de VPN para la puerta de enlace.Download the VPN profile for the gateway. Esto puede hacerse desde la pestaña de configuraciones de VPN de usuario de Azure Portal o mediante New-AzureRmVpnClientConfiguration en PowerShell.This can be done from the User VPN configurations tab in Azure portal, or New-AzureRmVpnClientConfiguration in PowerShell.
  3. Descomprima el perfil.Unzip the profile. Abra el archivo de configuración vpnconfig.ovpn desde la carpeta OpenVPN en el Bloc de notas.Open the vpnconfig.ovpn configuration file from the OpenVPN folder in notepad.
  4. Rellene la sección de certificado cliente de P2S con la clave pública del certificado cliente de P2S en Base64.Fill in the P2S client certificate section with the P2S client certificate public key in base64. En los certificados con formato PEM, puede abrir el archivo .cer y copiar la clave de base64 entre los encabezados de certificados.In a PEM formatted certificate, you can open the .cer file and copy over the base64 key between the certificate headers. Para conocer los pasos, consulte cómo exportar un certificado para obtener la clave pública codificada.For steps, see How to export a certificate to get the encoded public key.
  5. Rellene la sección de la clave privada con la clave privada del certificado cliente de P2S en Base64.Fill in the private key section with the P2S client certificate private key in base64. Para conocer los pasos, consulte cómo extraer la clave privada.For steps, see How to extract private key..
  6. No cambie los demás campos.Do not change any other fields. Use los datos de la configuración de entrada del cliente para conectarse a la VPN.Use the filled in configuration in client input to connect to the VPN.
  7. Copie el archivo vpnconfig.ovpn en la carpeta C:\Program Files\OpenVPN\config.Copy the vpnconfig.ovpn file to C:\Program Files\OpenVPN\config folder.
  8. Haga clic con el botón derecho en el icono OpenVPN en la bandeja del sistema y, después, seleccione Conectar.Right-click the OpenVPN icon in the system tray and select connect.
IKEv2IKEv2
  1. Seleccione los archivos de configuración de cliente VPN que correspondan a la arquitectura del equipo Windows.Select the VPN client configuration files that correspond to the architecture of the Windows computer. Si la arquitectura de procesador es de 64 bits, elija el paquete del instalador "VpnClientSetupAmd64".For a 64-bit processor architecture, choose the 'VpnClientSetupAmd64' installer package. En caso de que sea de 32 bits, elija el paquete del instalador "VpnClientSetupX86".For a 32-bit processor architecture, choose the 'VpnClientSetupX86' installer package.
  2. Haga doble clic en el paquete para instalarlo.Double-click the package to install it. Si ve una ventana emergente de SmartScreen, seleccione Más información y, después, Ejecutar de todas formas.If you see a SmartScreen popup, select More info, then Run anyway.
  3. En el equipo cliente, vaya a Configuración de red y haga clic en VPN.On the client computer, navigate to Network Settings and select VPN. La conexión VPN muestra el nombre de la red virtual a la que se conecta.The VPN connection shows the name of the virtual network that it connects to.
  4. Antes de intentar conectarse, compruebe que ha instalado un certificado de cliente en el equipo cliente.Before you attempt to connect, verify that you have installed a client certificate on the client computer. Es necesario un certificado de cliente para la autenticación al usar el tipo de autenticación de certificados nativo de Azure.A client certificate is required for authentication when using the native Azure certificate authentication type. Para más información acerca de cómo generar certificados, consulte Generación de certificados.For more information about generating certificates, see Generate Certificates. Para obtener información acerca de cómo instalar un certificado de cliente, consulte Instalación de certificados de cliente.For information about how to install a client certificate, see Install a client certificate.

Conexión de la red virtual de radioConnect the spoke VNet

En esta sección, conectará la red virtual de radio al centro de Virtual WAN.In this section, you attach the spoke virtual network to the virtual WAN hub.

En este paso, creará la conexión entre una red virtual y el centro de conectividad.In this step, you create the connection between your hub and a VNet. Repita estos pasos para cada red virtual que desee conectar.Repeat these steps for each VNet that you want to connect.

  1. En la página de la red WAN virtual, seleccione Conexiones de red virtual.On the page for your virtual WAN, select Virtual network connections.

  2. En la página de conexión de red virtual, seleccione +Agregar conexión.On the virtual network connection page, select +Add connection.

  3. En la página Agregar conexión, rellene los campos siguientes:On the Add connection page, fill in the following fields:

    • Nombre de la conexión: asigne un nombre a la conexión.Connection name - Name your connection.
    • Centros: seleccione el concentrador que desea asociar a esta conexión.Hubs - Select the hub you want to associate with this connection.
    • Suscripción: compruebe la suscripción.Subscription - Verify the subscription.
    • Red virtual: seleccione la red virtual que quiere conectar con este concentrador.Virtual network - Select the virtual network you want to connect to this hub. La red virtual no puede tener una puerta de enlace de red virtual ya existente.The virtual network cannot have an already existing virtual network gateway.
  4. Seleccione Aceptar para crear la conexión.Select OK to create the connection.

Creación de máquinas virtualesCreate virtual machines

En esta sección, creará dos máquinas virtuales en la red virtual, VM1 y VM2.In this section, you create two VMs in your VNet, VM1 and VM2. En el diagrama de red, usamos 10.18.0.4 y 10.18.0.5.In the network diagram, we use 10.18.0.4 and 10.18.0.5. Al configurar las máquinas virtuales, asegúrese de seleccionar la red virtual que ha creado (se encuentra en la pestaña Redes).When configuring your VMs, make sure to select the virtual network that you created (found on the Networking tab). Para conocer los pasos para crear una máquina virtual, consulte Inicio rápido: creación de una máquina virtual.For steps to create a VM, see Quickstart: Create a VM.

Protección del centro virtualSecure the virtual hub

Un centro virtual estándar no tiene ninguna directiva de seguridad integrada para proteger los recursos en redes virtuales de radio.A standard virtual hub has no built-in security policies to protect the resources in spoke virtual networks. Un centro virtual protegido usa Azure Firewall o un proveedor externo para administrar el tráfico entrante y saliente con el fin de proteger los recursos en Azure.A secured virtual hub uses Azure Firewall or a third-party provider to manage incoming and outgoing traffic to protect your resources in Azure.

Convierta el centro en un centro protegido con el siguiente artículo: Configuración de Azure Firewall en un centro de Virtual WAN.Convert the hub to a secured hub using the following article: Configure Azure Firewall in a Virtual WAN hub.

Creación de reglas para administrar y filtrar el tráficoCreate rules to manage and filter traffic

Cree reglas que determinen el comportamiento de Azure Firewall.Create rules that dictate the behavior of Azure Firewall. Al proteger el centro, garantizamos que todos los paquetes que entran en el centro virtual estén sujetos al procesamiento de firewall antes de obtener acceso a los recursos de Azure.By securing the hub, we ensure that all packets that enter the virtual hub are subject to firewall processing before accessing your Azure resources.

Una vez que complete estos pasos, habrá creado una arquitectura que permite a los usuarios de VPN tener acceso a la máquina virtual con la dirección IP privada 10.18.0.4, pero NO tener acceso a la máquina virtual con la dirección IP privada 10.18.0.5Once you complete these steps, you will have created an architecture that allows VPN users to access the VM with private IP address 10.18.0.4, but NOT access the VM with private IP address 10.18.0.5

  1. En Azure Portal, vaya a Firewall Manager.In the Azure portal, navigate to Firewall Manager.

  2. En Seguridad, seleccione Directivas de Azure Firewall.Under Security, select Azure Firewall policies.

  3. Seleccione Crear una directiva de Azure Firewall.Select Create Azure Firewall Policy.

  4. En Detalles de la directiva, escriba un nombre y seleccione la región en la que se implementa su el centro virtual.Under Policy details, type in a name and select the region your virtual hub is deployed in.

  5. Seleccione Siguiente: Configuración DNS (versión preliminar) .Select Next: DNS Settings (preview).

  6. Seleccione Siguiente: Las reglas.Select Next: Rules.

  7. En la pestaña Reglas, seleccione Agregar una colección de reglas.On the Rules tab, select Add a rule collection.

  8. Proporcione un nombre para la colección.Provide a name for the collection. Establezca el tipo como Red.Set the type as Network. Agregue un valor de prioridad 100.Add a priority value 100.

  9. Rellene el nombre de la regla, el tipo de origen, el origen, el protocolo, los puertos de destino y el tipo de destino, como se muestra en el ejemplo siguiente.Fill in the name of the rule, source type, source, protocol, destination ports, and destination type, as shown in the example below. A continuación, seleccione Agregar.Then, select add. Esta regla permite que cualquier dirección IP del grupo de clientes de VPN tenga acceso a la máquina virtual con la dirección IP privada 10.18.04, pero no a ningún otro recurso conectado al centro virtual.This rule allows any IP address from the VPN client pool to access the VM with private IP address 10.18.04, but not any other resource connected to the virtual hub. Cree las reglas que quiera que se ajusten a la arquitectura y las reglas de permisos deseadas.Create any rules you want that fit your desired architecture and permissions rules.

    Reglas de firewall

  10. Seleccione Siguiente: Inteligencia sobre amenazas.Select Next: Threat intelligence.

  11. Seleccione Siguiente: Centros de conectividad.Select Next: Hubs.

  12. En la pestaña Centros de conectividad, seleccione Asociar centros virtuales.On the Hubs tab, select Associate virtual hubs.

  13. Seleccione el centro virtual que creó anteriormente y, a continuación, seleccione Agregar.Select the virtual hub you created earlier, and then select Add.

  14. Seleccione Revisar + crear.Select Review + create.

  15. Seleccione Crear.Select Create.

Este proceso puede tardar 5 minutos o más en completarse.It can take 5 minutes or more for this process to complete.

Enrutamiento del tráfico a través de Azure FirewallRoute traffic through Azure Firewall

En esta sección, debe asegurarse de que el tráfico se enruta a través de Azure Firewall.In this section, you need to ensure that the traffic is routed through Azure Firewall.

  1. En el portal, en Firewall Manager, seleccione Centros virtuales protegidos.In the portal, from Firewall Manager, select Secured virtual hubs.
  2. Seleccione el centro virtual que creó.Select the virtual hub you created.
  3. En Ajustes, seleccione Configuración de seguridad.Under Settings, select Security configuration.
  4. En Private traffic (Tráfico privado), seleccione Send via Azure Firewall (Enviar a través de Azure Firewall).Under Private traffic, select Send via Azure Firewall.
  5. Compruebe que la conexión de red virtual y el tráfico privado de conexión de rama están protegidos por Azure Firewall.Verify that the VNet connection and the Branch connection private traffic is secured by Azure Firewall.
  6. Seleccione Guardar.Select Save.

ValidaciónValidate

Compruebe la configuración del centro protegido.Verify the setup of your secured hub.

  1. Conéctese al centro virtual protegido a través de VPN desde el dispositivo de cliente.Connect to the Secured Virtual Hub via VPN from your client device.
  2. Haga ping en la dirección IP 10.18.0.4 desde el cliente.Ping the IP address 10.18.0.4 from your client. Debería obtener una respuesta.You should see a response.
  3. Haga ping en la dirección IP 10.18.0.5 desde el cliente.Ping the IP address 10.18.0.5 from your client. No tendría que ver ninguna respuesta.You should not be able to see a response.

ConsideracionesConsiderations

  • Asegúrese de que la tabla de rutas eficaces del centro virtual protegido tiene el próximo salto para el tráfico privado por parte del firewall.Make sure that the Effective Routes Table on the secured virtual hub has the next hop for private traffic by the firewall. Para tener acceso a la tabla de rutas efectivas, vaya al recurso Centro virtual.To access the Effective Routes Table, navigate to your Virtual Hub resource. En Conectividad, seleccione Enrutamiento y, a continuación, Rutas eficaces.Under Connectivity, select Routing, and then select Effective Routes. Allí, seleccione la tabla de rutas predeterminada.From there, select the Default Route table.
  • Compruebe que ha creado reglas en la sección Creación de reglas.Verify that you created rules in the Create Rules section. Si se omiten estos pasos, las reglas que ha creado no se asociarán realmente al centro y a la tabla de rutas, y el flujo de paquetes no usará Azure Firewall.If these steps are missed, the rules you created will not actually be associated to the hub and the route table and packet flow will not use Azure Firewall.

Pasos siguientesNext steps