Creación de una red virtual con una conexión VPN de sitio a sitio mediante PowerShellCreate a VNet with a Site-to-Site VPN connection using PowerShell

Este artículo muestra cómo usar PowerShell para crear una conexión de puerta de enlace VPN de sitio a sitio desde la red local a la red virtual.This article shows you how to use PowerShell to create a Site-to-Site VPN gateway connection from your on-premises network to the VNet. Los pasos descritos en este artículo se aplican al modelo de implementación de Resource Manager.The steps in this article apply to the Resource Manager deployment model. También se puede crear esta configuración con una herramienta o modelo de implementación distintos, mediante la selección de una opción diferente en la lista siguiente:You can also create this configuration using a different deployment tool or deployment model by selecting a different option from the following list:

Se utiliza una conexión de puerta de enlace VPN de sitio a sitio para conectar su red local a una red virtual de Azure a través de un túnel VPN de IPsec/IKE (IKEv1 o IKEv2).A Site-to-Site VPN gateway connection is used to connect your on-premises network to an Azure virtual network over an IPsec/IKE (IKEv1 or IKEv2) VPN tunnel. Este tipo de conexión requiere un dispositivo VPN local que tenga una dirección IP pública asignada.This type of connection requires a VPN device located on-premises that has an externally facing public IP address assigned to it. Para más información acerca de las puertas de enlace VPN, consulte Acerca de VPN Gateway.For more information about VPN gateways, see About VPN gateway.

Diagrama de la conexión entre locales de VPN Gateway de sitio a sitio

Antes de empezarBefore you begin

Nota

Este artículo se ha actualizado para usar el nuevo módulo Az de Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Aún puede usar el módulo de AzureRM que continuará recibiendo correcciones de errores hasta diciembre de 2020 como mínimo.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Para más información acerca del nuevo módulo Az y la compatibilidad con AzureRM, consulte Introducing the new Azure PowerShell Az module (Presentación del nuevo módulo Az de Azure PowerShell).To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Para obtener instrucciones sobre la instalación del módulo Az, consulte Instalación de Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

Antes de comenzar con la configuración, compruebe que se cumplen los criterios siguientes:Verify that you have met the following criteria before beginning your configuration:

  • Asegúrese de tener un dispositivo VPN compatible y alguien que pueda configurarlo.Make sure you have a compatible VPN device and someone who is able to configure it. Para más información acerca de los dispositivos VPN compatibles y su configuración, consulte Acerca de los dispositivos VPN.For more information about compatible VPN devices and device configuration, see About VPN Devices.
  • Compruebe que tiene una dirección IPv4 pública externa para el dispositivo VPN.Verify that you have an externally facing public IPv4 address for your VPN device.
  • Si no está familiarizado con los intervalos de direcciones IP ubicados en la red local, necesita trabajar con alguien que pueda proporcionarle estos detalles.If you are unfamiliar with the IP address ranges located in your on-premises network configuration, you need to coordinate with someone who can provide those details for you. Al crear esta configuración, debe especificar los prefijos del intervalo de direcciones IP al que Azure enrutará la ubicación local.When you create this configuration, you must specify the IP address range prefixes that Azure will route to your on-premises location. Ninguna de las subredes de la red local puede superponerse con las subredes de la red virtual a la que desea conectarse.None of the subnets of your on-premises network can over lap with the virtual network subnets that you want to connect to.

Uso de Azure Cloud ShellUse Azure Cloud Shell

En Azure se hospeda Azure Cloud Shell, un entorno de shell interactivo que puede utilizar mediante el explorador.Azure hosts Azure Cloud Shell, an interactive shell environment that you can use through your browser. Puede usar Bash o PowerShell con Cloud Shell para trabajar con los servicios de Azure.You can use either Bash or PowerShell with Cloud Shell to work with Azure services. Puede usar los comandos preinstalados de Cloud Shell para ejecutar el código de este artículo sin tener que instalar nada en su entorno local.You can use the Cloud Shell preinstalled commands to run the code in this article without having to install anything on your local environment.

Para iniciar Azure Cloud Shell:To start Azure Cloud Shell:

OpciónOption Ejemplo o vínculoExample/Link
Seleccione Probarlo en la esquina superior derecha de un bloque de código.Select Try It in the upper-right corner of a code block. Solo con seleccionar Probar no se copia automáticamente el código en Cloud Shell.Selecting Try It doesn't automatically copy the code to Cloud Shell. Ejemplo de Probarlo para Azure Cloud Shell
Vaya a https://shell.azure.com o seleccione el botón Iniciar Cloud Shell para abrir Cloud Shell en el explorador.Go to https://shell.azure.com, or select the Launch Cloud Shell button to open Cloud Shell in your browser. Iniciar Cloud Shell en una nueva ventanaLaunch Cloud Shell in a new window
Seleccione el botón Cloud Shell en la barra de menús de la esquina superior derecha de Azure Portal.Select the Cloud Shell button on the top-right menu bar in the Azure portal. Botón Cloud Shell en Azure Portal

Para ejecutar el código de este artículo en Azure Cloud Shell:To run the code in this article in Azure Cloud Shell:

  1. Inicie Cloud Shell.Start Cloud Shell.

  2. Seleccione el botón Copiar de un bloque de código para copiar el código.Select the Copy button on a code block to copy the code.

  3. Pegue el código en la sesión de Cloud Shell; para ello, seleccione Ctrl+Shift+V en Windows y Linux, o bien seleccione Cmd+Shift+V en macOS.Paste the code into the Cloud Shell session by selecting Ctrl+Shift+V on Windows and Linux or by selecting Cmd+Shift+V on macOS.

  4. Seleccione Entrar para ejecutar el código.Select Enter to run the code.

Ejecutar PowerShell localmenteRunning PowerShell locally

Si elige instalar y usar PowerShell de forma local, instale la versión más reciente de los cmdlets de PowerShell de Azure Resource Manager.If you choose to install and use the PowerShell locally, install the latest version of the Azure Resource Manager PowerShell cmdlets. Los cmdlets de PowerShell se actualizan con frecuencia y, por lo general, deberá actualizar los cmdlets de PowerShell para obtener la funcionalidad más reciente de la característica.PowerShell cmdlets are updated frequently and you will typically need to update your PowerShell cmdlets to get the latest feature functionality. Si no actualiza los cmdlets de PowerShell, se pueden producir errores en los valores especificados.If you don't update your PowerShell cmdlets, the values specify may fail.

Para buscar la versión en uso, ejecute "Get-Module -ListAvailable Az".To find the version you are using, run 'Get-Module -ListAvailable Az'. Si necesita actualizarla, consulte Instalación del módulo de Azure PowerShell.If you need to upgrade, see Install the Azure PowerShell module. Para obtener más información, consulte Instalación y configuración de Azure PowerShell.For more information, see How to install and configure Azure PowerShell. Si PowerShell se ejecuta localmente, también debe ejecutar "Connect-AzAccount" para crear una conexión con Azure.If you are running PowerShell locally, you also need to run 'Connect-AzAccount' to create a connection with Azure.

Valores del ejemploExample values

Los ejemplos de este artículo utilizan los valores siguientes.The examples in this article use the following values. Puede usar estos valores para crear un entorno de prueba o hacer referencia a ellos para comprender mejor los ejemplos de este artículo.You can use these values to create a test environment, or refer to them to better understand the examples in this article.

#Example values

VnetName                = VNet1
ResourceGroup           = TestRG1
Location                = East US 
AddressSpace            = 10.1.0.0/16 
SubnetName              = Frontend 
Subnet                  = 10.1.0.0/24 
GatewaySubnet           = 10.1.255.0/27
LocalNetworkGatewayName = Site1
LNG Public IP           = <On-premises VPN device IP address> 
Local Address Prefixes  = 10.101.0.0/24, 10.101.1.0/24
Gateway Name            = VNet1GW
PublicIP                = VNet1GWPIP
Gateway IP Config       = gwipconfig1 
VPNType                 = RouteBased 
GatewayType             = Vpn 
ConnectionName          = VNet1toSite1

1. Creación de una red virtual y una puerta de enlace1. Create a virtual network and a gateway subnet

Si no tiene una red virtual, créela.If you don't already have a virtual network, create one. Al crear una red virtual, compruebe que los espacios de direcciones especificados no se superponen con los espacios de direcciones que existen en la red local.When creating a virtual network, make sure that the address spaces you specify don't overlap any of the address spaces that you have on your on-premises network.

Nota

Para que esta red virtual se conecte a una ubicación local, debe coordinarse con el administrador de la red local para delimitar un intervalo de direcciones IP que pueda usar específicamente para esta red virtual.In order for this VNet to connect to an on-premises location, you need to coordinate with your on-premises network administrator to carve out an IP address range that you can use specifically for this virtual network. Si existe un intervalo de direcciones duplicado en ambos lados de la conexión VPN, el tráfico no se enrutará como cabría esperar.If a duplicate address range exists on both sides of the VPN connection, traffic does not route the way you may expect it to. Además, si desea conectar esta red virtual a otra red virtual, el espacio de direcciones no se puede superponer con otra red virtual.Additionally, if you want to connect this VNet to another VNet, the address space cannot overlap with other VNet. Por consiguiente, tenga cuidado al planear la configuración de red.Take care to plan your network configuration accordingly.

Acerca de la subred de puerta de enlaceAbout the gateway subnet

La puerta de enlace de red virtual usa una subred concreta llamada la subred de la puerta de enlace.The virtual network gateway uses specific subnet called the gateway subnet. Esta subred forma parte del intervalo de direcciones IP de red virtual que se especifican al configurar una red virtual.The gateway subnet is part of the virtual network IP address range that you specify when configuring your virtual network. Contiene las direcciones IP que usan los recursos y servicios de puerta de enlace de la red virtual.It contains the IP addresses that the virtual network gateway resources and services use. La subred debe llamarse "GatewaySubnet" para que Azure implemente los recursos de la puerta de enlace.The subnet must be named 'GatewaySubnet' in order for Azure to deploy the gateway resources. No se puede especificar otra subred en la que implementar los recursos de la puerta de enlace.You can't specify a different subnet to deploy the gateway resources to. Si no dispone de una subred llamada "GatewaySubnet", al crear la puerta de enlace de VPN, se producirá un error.If you don't have a subnet named 'GatewaySubnet', when you create your VPN gateway, it will fail.

Al crear la subred de puerta de enlace, especifique el número de direcciones IP que contiene la subred.When you create the gateway subnet, you specify the number of IP addresses that the subnet contains. El número de direcciones IP que se necesitan depende de la configuración de puerta de enlace de VPN que se desea crear.The number of IP addresses needed depends on the VPN gateway configuration that you want to create. Algunas configuraciones requieren más direcciones IP que otras.Some configurations require more IP addresses than others. Es aconsejable crear una subred de puerta de enlace que use /27 o /28.We recommend that you create a gateway subnet that uses a /27 or /28.

Si ve un error en el que se indica que el espacio de direcciones se solapa con una subred o que la subred no se encuentra dentro del espacio de direcciones de la red virtual, compruebe el intervalo de direcciones de la red virtual.If you see an error that specifies that the address space overlaps with a subnet, or that the subnet is not contained within the address space for your virtual network, check your VNet address range. Es posible que no tenga suficientes direcciones IP disponibles en el intervalo de direcciones que creó para la red virtual.You may not have enough IP addresses available in the address range you created for your virtual network. Por ejemplo, si la subred predeterminada engloba todo el intervalo de direcciones, no quedan direcciones IP para crear más subredes.For example, if your default subnet encompasses the entire address range, there are no IP addresses left to create additional subnets. Puede ajustar las subredes en el espacio de direcciones existente para liberar direcciones IP o especificar un intervalo de direcciones adicionales y crear en él la subred de la puerta de enlace.You can either adjust your subnets within the existing address space to free up IP addresses, or specify an additional address range and create the gateway subnet there.

Importante

Cuando trabaje con subredes de la puerta de enlace, evite asociar un grupo de seguridad de red (NSG) a la subred de la puerta de enlace.When working with gateway subnets, avoid associating a network security group (NSG) to the gateway subnet. La asociación de un grupo de seguridad de red a esta subred puede causar que la puerta de enlace de la red virtual (VPN, puerta de enlace de Express Route) deje de funcionar como cabría esperar.Associating a network security group to this subnet may cause your Virtual Network gateway(VPN, Express Route gateway) to stop functioning as expected. Para más información acerca de los grupos de seguridad de red, consulte ¿Qué es un grupo de seguridad de red?For more information about network security groups, see What is a network security group?

Creación de una red virtual y una subred de puerta de enlaceCreate a virtual network and a gateway subnet

Este ejemplo crea una red virtual y una subred de la puerta de enlace.This example creates a virtual network and a gateway subnet. Si ya tiene una red virtual que necesite agregar a una subred de puerta de enlace, consulte Para agregar una subred de puerta de enlace a una red virtual que ya ha creado.If you already have a virtual network that you need to add a gateway subnet to, see To add a gateway subnet to a virtual network you have already created.

Cree un grupo de recursos:Create a resource group:

New-AzResourceGroup -Name TestRG1 -Location 'East US'

Cree la red virtual.Create your virtual network.

  1. Establezca las variables.Set the variables.

    $subnet1 = New-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.1.255.0/27
    $subnet2 = New-AzVirtualNetworkSubnetConfig -Name 'Frontend' -AddressPrefix 10.1.0.0/24
    
  2. Cree la red virtual.Create the VNet.

    New-AzVirtualNetwork -Name VNet1 -ResourceGroupName TestRG1 `
    -Location 'East US' -AddressPrefix 10.1.0.0/16 -Subnet $subnet1, $subnet2
    

Para agregar una subred de puerta de enlace a una red virtual que ya ha creadoTo add a gateway subnet to a virtual network you have already created

Use los pasos de esta sección si ya tiene una red virtual, aunque deberá agregar una subred de puerta de enlace.Use the steps in this section if you already have a virtual network, but need to add a gateway subnet.

  1. Establezca las variables.Set the variables.

    $vnet = Get-AzVirtualNetwork -ResourceGroupName TestRG1 -Name VNet1
    
  2. Cree la subred de la puerta de enlace.Create the gateway subnet.

    Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.1.255.0/27 -VirtualNetwork $vnet
    
  3. Establezca la configuración.Set the configuration.

    Set-AzVirtualNetwork -VirtualNetwork $vnet
    

2. Creación de la puerta de enlace de red local2. Create the local network gateway

La puerta de enlace de red local (LNG) suele hacer referencia a la ubicación local.The local network gateway (LNG) typically refers to your on-premises location. No es lo mismo que una puerta de enlace de red.It is not the same as a virtual network gateway. Asigne al sitio un nombre al que Azure pueda hacer referencia y, luego, especifique la dirección IP del dispositivo VPN local con la que creará una conexión.You give the site a name by which Azure can refer to it, then specify the IP address of the on-premises VPN device to which you will create a connection. Especifique también los prefijos de dirección IP que se enrutarán a través de la puerta de enlace VPN al dispositivo VPN.You also specify the IP address prefixes that will be routed through the VPN gateway to the VPN device. Los prefijos de dirección que especifique son los prefijos que se encuentran en la red local.The address prefixes you specify are the prefixes located on your on-premises network. Puede actualizar fácilmente estos prefijos si cambia su red local.If your on-premises network changes, you can easily update the prefixes.

Use los valores siguientes:Use the following values:

  • GatewayIPAddress es la dirección IP del dispositivo VPN local.The GatewayIPAddress is the IP address of your on-premises VPN device.
  • AddressPrefix es el espacio de direcciones local.The AddressPrefix is your on-premises address space.

Para agregar una puerta de enlace de red local con un único prefijo de dirección:To add a local network gateway with a single address prefix:

New-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1 `
-Location 'East US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.101.0.0/24'

Para agregar una puerta de enlace de red local con varios prefijos de dirección:To add a local network gateway with multiple address prefixes:

New-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1 `
-Location 'East US' -GatewayIpAddress '23.99.221.164' -AddressPrefix @('10.101.0.0/24','10.101.1.0/24')

Para modificar los prefijos de dirección IP de su puerta de enlace de red local:To modify IP address prefixes for your local network gateway:

A veces los prefijos de la puerta de enlace de red local cambian.Sometimes your local network gateway prefixes change. Los pasos necesarios para modificar los prefijos de las direcciones IP dependen de si creó una conexión de puerta de enlace de VPN.The steps you take to modify your IP address prefixes depend on whether you have created a VPN gateway connection. Consulte la sección Para modificar los prefijos de dirección IP de una puerta de enlace de red local de este artículo.See the Modify IP address prefixes for a local network gateway section of this article.

3. Solicite una dirección IP pública3. Request a Public IP address

Una puerta de enlace VPN debe tener una dirección IP pública.A VPN gateway must have a Public IP address. Primero se solicita el recurso de la dirección IP y, después, se hace referencia a él al crear la puerta de enlace de red virtual.You first request the IP address resource, and then refer to it when creating your virtual network gateway. La dirección IP se asigna dinámicamente al recurso cuando se crea la puerta de enlace VPN.The IP address is dynamically assigned to the resource when the VPN gateway is created.

Actualmente, VPN Gateway solo admite la asignación de direcciones IP públicas dinámicas.VPN Gateway currently only supports Dynamic Public IP address allocation. No se puede solicitar una asignación de direcciones IP públicas estáticas.You cannot request a Static Public IP address assignment. Sin embargo, esto no significa que la dirección IP vaya a cambiar una vez que se haya asignado a una puerta de enlace VPN.However, this does not mean that the IP address will change after it has been assigned to your VPN gateway. La única vez que la dirección IP pública cambia es cuando la puerta de enlace se elimina y se vuelve a crear.The only time the Public IP address changes is when the gateway is deleted and re-created. No cambia cuando se cambia el tamaño, se restablece o se realizan actualizaciones u otras operaciones de mantenimiento interno de una puerta de enlace VPN.It doesn't change across resizing, resetting, or other internal maintenance/upgrades of your VPN gateway.

Solicite una dirección IP pública que se asignará a la puerta de enlace VPN de la red virtual.Request a Public IP address that will be assigned to your virtual network VPN gateway.

$gwpip= New-AzPublicIpAddress -Name VNet1GWPIP -ResourceGroupName TestRG1 -Location 'East US' -AllocationMethod Dynamic

4. Creación de la configuración de direccionamiento IP de la puerta de enlace4. Create the gateway IP addressing configuration

La configuración de puerta de enlace define la subred ("GatewaySubnet") y la dirección IP pública que se van a usar.The gateway configuration defines the subnet (the 'GatewaySubnet') and the public IP address to use. Use el ejemplo siguiente para crear la configuración de la puerta de enlace:Use the following example to create your gateway configuration:

$vnet = Get-AzVirtualNetwork -Name VNet1 -ResourceGroupName TestRG1
$subnet = Get-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -VirtualNetwork $vnet
$gwipconfig = New-AzVirtualNetworkGatewayIpConfig -Name gwipconfig1 -SubnetId $subnet.Id -PublicIpAddressId $gwpip.Id

5. Creación de la puerta de enlace VPN5. Create the VPN gateway

Cree la puerta de enlace VPN de la red virtual.Create the virtual network VPN gateway.

Use los valores siguientes:Use the following values:

  • El valor -GatewayType para una configuración de sitio a sitio es Vpn.The -GatewayType for a Site-to-Site configuration is Vpn. El tipo de puerta de enlace siempre es específico de la configuración que se va a implementar.The gateway type is always specific to the configuration that you are implementing. Por ejemplo, otras configuraciones de puerta de enlace pueden requerir GatewayType ExpressRoute.For example, other gateway configurations may require -GatewayType ExpressRoute.
  • El valor de -VpnType puede ser RouteBased (la llamada puerta de enlace dinámica en algunos documentos) o PolicyBased (la llamada puerta de enlace estática en algunos documentos).The -VpnType can be RouteBased (referred to as a Dynamic Gateway in some documentation), or PolicyBased (referred to as a Static Gateway in some documentation). Para más información sobre los tipos de Puertas de enlace de VPN, consulte Información acerca de VPN Gateway.For more information about VPN gateway types, see About VPN Gateway.
  • Seleccione la SKU de la puerta de enlace que desea utilizar.Select the Gateway SKU that you want to use. Hay limitaciones de configuración para determinadas SKU.There are configuration limitations for certain SKUs. Consulte SKU de puertas de enlace para más información.For more information, see Gateway SKUs. Si se produce un error al crear la puerta de enlace VPN con respecto a - GatewaySku, compruebe que tiene instalada la versión más reciente de los cmdlets de PowerShell.If you get an error when creating the VPN gateway regarding the -GatewaySku, verify that you have installed the latest version of the PowerShell cmdlets.
New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location 'East US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased -GatewaySku VpnGw1

Después de ejecutar este comando, la configuración de la puerta de enlace puede tardar hasta 45 minutos en completarse.After running this command, it can take up to 45 minutes for the gateway configuration to complete.

6. Configurar el dispositivo VPN6. Configure your VPN device

Las conexiones de sitio a sitio a una red local requieren un dispositivo VPN.Site-to-Site connections to an on-premises network require a VPN device. En este paso, se configura el dispositivo VPN.In this step, you configure your VPN device. Para configurar el dispositivo VPN, necesita los elementos siguientes:When configuring your VPN device, you need the following items:

  • Una clave compartida.A shared key. Se trata de la misma clave compartida que se especifica al crear la conexión VPN de sitio a sitio.This is the same shared key that you specify when creating your Site-to-Site VPN connection. En estos ejemplos se utiliza una clave compartida básica.In our examples, we use a basic shared key. Se recomienda que genere y utilice una clave más compleja.We recommend that you generate a more complex key to use.

  • La dirección IP pública de la puerta de enlace de red virtual.The Public IP address of your virtual network gateway. Puede ver la dirección IP pública mediante Azure Portal, PowerShell o la CLI.You can view the public IP address by using the Azure portal, PowerShell, or CLI. Para buscar la dirección IP pública de la puerta de enlace de red virtual con PowerShell, utilice el siguiente ejemplo.To find the Public IP address of your virtual network gateway using PowerShell, use the following example. En este ejemplo, VNet1GWPIP es el nombre del recurso de dirección IP pública que creó en un paso anterior.In this example, VNet1GWPIP is the name of the public IP address resource that you created in an earlier step.

    Get-AzPublicIpAddress -Name VNet1GWPIP -ResourceGroupName TestRG1
    

Para descargar el script de configuración de dispositivos VPN:To download VPN device configuration scripts:

En función del dispositivo VPN que tenga, es posible que pueda descargar un script de configuración del mismo.Depending on the VPN device that you have, you may be able to download a VPN device configuration script. Para más información, consulte Descarga de scripts de configuración de dispositivos VPN para conexiones VPN S2S.For more information, see Download VPN device configuration scripts.

En los siguientes vínculos encontrará más información acerca de la configuración:See the following links for additional configuration information:

7. Creación de la conexión VPN7. Create the VPN connection

Ahora va a crear la conexión VPN de sitio a sitio entre la puerta de enlace de red virtual y el dispositivo VPN.Next, create the Site-to-Site VPN connection between your virtual network gateway and your VPN device. Asegúrese de reemplazar los valores por los suyos.Be sure to replace the values with your own. La clave compartida debe coincidir con el valor usado para la configuración del dispositivo VPN.The shared key must match the value you used for your VPN device configuration. Tenga en cuenta que el valor de '-ConnectionType' para la configuración sitio a sitio es IPsec.Notice that the '-ConnectionType' for Site-to-Site is IPsec.

  1. Establezca las variables.Set the variables.

    $gateway1 = Get-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1
    $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1
    
  2. Cree la conexión.Create the connection.

    New-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1 `
    -Location 'East US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
    -ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
    

Pasado un momento, se establecerá la conexión.After a short while, the connection will be established.

8. Comprobación de la conexión VPN8. Verify the VPN connection

Hay varias maneras diferentes de comprobar la conexión VPN.There are a few different ways to verify your VPN connection.

Puede comprobar que la conexión se realizó correctamente mediante el uso del cmdlet "Get-AzVirtualNetworkGatewayConnection", con o sin "-Debug".You can verify that your connection succeeded by using the 'Get-AzVirtualNetworkGatewayConnection' cmdlet, with or without '-Debug'.

  1. Puede usar el siguiente ejemplo de cmdlet, configurando los valores para que coincidan con los tuyos.Use the following cmdlet example, configuring the values to match your own. Cuando se le pida, seleccione "A" para ejecutar "todo".If prompted, select 'A' in order to run 'All'. En el ejemplo, " -Name" hace referencia al nombre de la conexión que desea probar.In the example, '-Name' refers to the name of the connection that you want to test.

    Get-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1
    
  2. Cuando el cmdlet haya finalizado, consulte los valores.After the cmdlet has finished, view the values. En el ejemplo siguiente, el estado de conexión aparece como "Conectado" y pueden verse los bytes de entrada y salida.In the example below, the connection status shows as 'Connected' and you can see ingress and egress bytes.

    "connectionStatus": "Connected",
    "ingressBytesTransferred": 33509044,
    "egressBytesTransferred": 4142431
    

Conexión a una máquina virtualTo connect to a virtual machine

Puede conectarse a una máquina virtual que se ha implementado en la red virtual mediante la creación de una conexión a Escritorio remoto a la máquina virtual.You can connect to a VM that is deployed to your VNet by creating a Remote Desktop Connection to your VM. La mejor manera de comprobar inicialmente que puede conectarse a la máquina virtual es hacerlo mediante su dirección IP privada, en lugar del nombre de equipo.The best way to initially verify that you can connect to your VM is to connect by using its private IP address, rather than computer name. Con este método prueba si puede conectarse, no si la resolución de nombres está configurada correctamente.That way, you are testing to see if you can connect, not whether name resolution is configured properly.

  1. Busque la dirección IP privada.Locate the private IP address. Hay varias formas de encontrar la dirección IP privada de una máquina virtual.You can find the private IP address of a VM in multiple ways. A continuación, se muestran los pasos tanto para Azure Portal como para PowerShell.Below, we show the steps for the Azure portal and for PowerShell.

    • Azure Portal: busque la máquina virtual en Azure Portal.Azure portal - Locate your virtual machine in the Azure portal. Vea las propiedades de la máquina virtual.View the properties for the VM. Se enumera la dirección IP privada.The private IP address is listed.

    • PowerShell: utilice el ejemplo para ver una lista de las máquinas virtuales y las direcciones IP privadas de los grupos de recursos.PowerShell - Use the example to view a list of VMs and private IP addresses from your resource groups. No es preciso modificar el ejemplo para usarlo.You don't need to modify this example before using it.

      $VMs = Get-AzVM
      $Nics = Get-AzNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
      $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
      $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
      $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
      Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. Compruebe que está conectado a una red virtual mediante la conexión VPN.Verify that you are connected to your VNet using the VPN connection.

  3. Abra Conexión a Escritorio remoto, para lo que debe escribir "RDP" o "Conexión a Escritorio remoto" en el cuadro de búsqueda de la barra de tareas y, después, seleccione Conexión a Escritorio remoto.Open Remote Desktop Connection by typing "RDP" or "Remote Desktop Connection" in the search box on the taskbar, then select Remote Desktop Connection. Conexión a Escritorio remoto también se puede abrir con el comando "mstsc" de PowerShell.You can also open Remote Desktop Connection using the 'mstsc' command in PowerShell.

  4. En Conexión a Escritorio remoto, escriba la dirección IP privada de la máquina virtual.In Remote Desktop Connection, enter the private IP address of the VM. Puede hacer clic en "Mostrar opciones" para ajustar más parámetros adicionales y, después, conéctese.You can click "Show Options" to adjust additional settings, then connect.

Solución de problemas de una conexión de RDP a una máquina virtualTo troubleshoot an RDP connection to a VM

Si tiene problemas para conectarse a una máquina virtual a través de su conexión VPN, compruebe los siguientes factores:If you are having trouble connecting to a virtual machine over your VPN connection, check the following:

Para modificar los prefijos de dirección IP de una puerta de enlace de red localTo modify IP address prefixes for a local network gateway

Si cambian los prefijos de las direcciones IP que desea enrutar a una ubicación local, puede modificar la puerta de enlace de red local.If the IP address prefixes that you want routed to your on-premises location change, you can modify the local network gateway. Se proporcionan dos conjuntos de instrucciones:Two sets of instructions are provided. Las instrucciones que elija dependen de si ya se ha creado la conexión de la puerta de enlace.The instructions you choose depend on whether you have already created your gateway connection. Al usar estos ejemplos, modifique los valores para que coincidan con su entorno.When using these examples, modify the values to match your environment.

Para modificar los prefijos de dirección IP de la puerta de enlace de red local (sin conexión de puerta de enlace)To modify local network gateway IP address prefixes - no gateway connection

Para agregar prefijos de dirección adicionales:To add additional address prefixes:

  1. Establezca la variable para LocalNetworkGateway.Set the variable for the LocalNetworkGateway.

    $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1
    
  2. Modifique los prefijos.Modify the prefixes.

    Set-AzLocalNetworkGateway -LocalNetworkGateway $local `
    -AddressPrefix @('10.101.0.0/24','10.101.1.0/24','10.101.2.0/24')
    

Para quitar prefijos de dirección:To remove address prefixes:

Omita los prefijos que ya no necesite.Leave out the prefixes that you no longer need. En este ejemplo, ya no necesitamos el prefijo 10.101.2.0/24 (del ejemplo anterior), por lo que se actualiza la puerta de enlace de la red local, sin incluir ese prefijo.In this example, we no longer need prefix 10.101.2.0/24 (from the previous example), so we update the local network gateway, excluding that prefix.

  1. Establezca la variable para LocalNetworkGateway.Set the variable for the LocalNetworkGateway.

    $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1
    
  2. Establezca la puerta de enlace con los prefijos actualizados.Set the gateway with the updated prefixes.

    Set-AzLocalNetworkGateway -LocalNetworkGateway $local `
    -AddressPrefix @('10.101.0.0/24','10.101.1.0/24')
    

Para modificar los prefijos de dirección IP de la puerta de enlace de red local (conexión de puerta de enlace existente)To modify local network gateway IP address prefixes - existing gateway connection

Si tiene una conexión de puerta de enlace y desea agregar o quitar los prefijos de dirección IP contenidos en la puerta de enlace de red local, tendrá que realizar los pasos siguientes en orden.If you have a gateway connection and want to add or remove the IP address prefixes contained in your local network gateway, you need to do the following steps, in order. Esto tendrá como resultado un tiempo de inactividad para la conexión VPN.This results in some downtime for your VPN connection. Al modificar los prefijos de dirección IP, no es necesario eliminar la puerta de enlace VPN.When modifying IP address prefixes, you don't need to delete the VPN gateway. Basta con quitar la conexión.You only need to remove the connection.

  1. Cierre la conexión.Remove the connection.

    Remove-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1
    
  2. Establezca la puerta de enlace de red local con los prefijos de dirección modificados.Set the local network gateway with the modified address prefixes.

    Establezca la variable para LocalNetworkGateway.Set the variable for the LocalNetworkGateway.

    $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1
    

    Modifique los prefijos.Modify the prefixes.

    Set-AzLocalNetworkGateway -LocalNetworkGateway $local `
    -AddressPrefix @('10.101.0.0/24','10.101.1.0/24')
    
  3. Cree la conexión.Create the connection. En este ejemplo, vamos a configurar un tipo de conexión de IPsec.In this example, we configure an IPsec connection type. Cuando se vuelva a crear la conexión, use el tipo de conexión que se especifica para la configuración.When you recreate your connection, use the connection type that is specified for your configuration. Para otros tipos de conexión, consulte la página de cmdlets de PowerShell .For additional connection types, see the PowerShell cmdlet page.

    Establezca la variable para VirtualNetworkGateway.Set the variable for the VirtualNetworkGateway.

    $gateway1 = Get-AzVirtualNetworkGateway -Name VNet1GW  -ResourceGroupName TestRG1
    

    Cree la conexión.Create the connection. Este ejemplo utiliza la variable $local que se estableció en el paso 2.This example uses the variable $local that you set in step 2.

    New-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 `
    -ResourceGroupName TestRG1 -Location 'East US' `
    -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
    -ConnectionType IPsec `
    -RoutingWeight 10 -SharedKey 'abc123'
    

Para modificar la dirección IP de una puerta de enlace de red localTo modify the gateway IP address for a local network gateway

Para modificar la puerta de enlace de red local "GatewayIpAddress": no hay ninguna conexión de puerta de enlaceTo modify the local network gateway 'GatewayIpAddress' - no gateway connection

Si el dispositivo VPN al que desea conectarse ha cambiado su dirección IP pública, debe modificar la puerta de enlace de red local para reflejar ese cambio.If the VPN device that you want to connect to has changed its public IP address, you need to modify the local network gateway to reflect that change. Use el ejemplo para modificar una puerta de enlace de red local que no tenga una conexión de puerta de enlace.Use the example to modify a local network gateway that does not have a gateway connection.

Al modificar este valor, también puede modificar al mismo tiempo los prefijos de dirección.When modifying this value, you can also modify the address prefixes at the same time. Asegúrese de usar el nombre existente de la puerta de enlace de la red local para sobrescribir la configuración actual.Be sure to use the existing name of your local network gateway in order to overwrite the current settings. Si usa otro nombre, creará una nueva puerta de enlace de red local, en lugar de sobrescribir la existente.If you use a different name, you create a new local network gateway, instead of overwriting the existing one.

New-AzLocalNetworkGateway -Name Site1 `
-Location "East US" -AddressPrefix @('10.101.0.0/24','10.101.1.0/24') `
-GatewayIpAddress "5.4.3.2" -ResourceGroupName TestRG1

Para modificar la puerta de enlace de red local "GatewayIpAddress": conexión de puerta de enlace existenteTo modify the local network gateway 'GatewayIpAddress' - existing gateway connection

Si el dispositivo VPN al que desea conectarse ha cambiado su dirección IP pública, debe modificar la puerta de enlace de red local para reflejar ese cambio.If the VPN device that you want to connect to has changed its public IP address, you need to modify the local network gateway to reflect that change. Si ya existe una conexión de puerta de enlace, primero deberá quitar esa conexión.If a gateway connection already exists, you first need to remove the connection. Después de quitar la conexión, puede modificar la dirección IP de la puerta de enlace y volver a crear una nueva conexión.After the connection is removed, you can modify the gateway IP address and recreate a new connection. También puede modificar los prefijos de dirección al mismo tiempo.You can also modify the address prefixes at the same time. Esto tendrá como resultado un tiempo de inactividad para la conexión VPN.This results in some downtime for your VPN connection. Al modificar la dirección IP de puerta de enlace, no es necesario eliminar la puerta de enlace VPN.When modifying the gateway IP address, you don't need to delete the VPN gateway. Basta con quitar la conexión.You only need to remove the connection.

  1. Cierre la conexión.Remove the connection. Puede encontrar el nombre de la conexión mediante el cmdlet "Get-AzVirtualNetworkGatewayConnection".You can find the name of your connection by using the 'Get-AzVirtualNetworkGatewayConnection' cmdlet.

    Remove-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 `
    -ResourceGroupName TestRG1
    
  2. Modifique el valor de 'GatewayIpAddress'.Modify the 'GatewayIpAddress' value. También puede modificar los prefijos de dirección al mismo tiempo.You can also modify the address prefixes at the same time. Asegúrese de utilizar el nombre de la puerta de enlace de la red local existente para sobrescribir la configuración actual.Be sure to use the existing name of your local network gateway to overwrite the current settings. Si no lo hace, creará una nueva puerta de enlace de la red local, en lugar de sobrescribir la existente.If you don't, you create a new local network gateway, instead of overwriting the existing one.

    New-AzLocalNetworkGateway -Name Site1 `
    -Location "East US" -AddressPrefix @('10.101.0.0/24','10.101.1.0/24') `
    -GatewayIpAddress "104.40.81.124" -ResourceGroupName TestRG1
    
  3. Cree la conexión.Create the connection. En este ejemplo, vamos a configurar un tipo de conexión de IPsec.In this example, we configure an IPsec connection type. Cuando se vuelva a crear la conexión, use el tipo de conexión que se especifica para la configuración.When you recreate your connection, use the connection type that is specified for your configuration. Para otros tipos de conexión, consulte la página de cmdlets de PowerShell .For additional connection types, see the PowerShell cmdlet page. Para obtener el nombre de VirtualNetworkGateway, puede ejecutar el cmdlet "Get-AzVirtualNetworkGateway".To obtain the VirtualNetworkGateway name, you can run the 'Get-AzVirtualNetworkGateway' cmdlet.

    Establezca las variables.Set the variables.

    $local = Get-AzLocalNetworkGateway -Name Site1 -ResourceGroupName TestRG1
    
    $vnetgw = Get-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1
    

    Cree la conexión.Create the connection.

    New-AzVirtualNetworkGatewayConnection -Name VNet1Site1 -ResourceGroupName TestRG1 `
    -Location "East US" `
    -VirtualNetworkGateway1 $vnetgw `
    -LocalNetworkGateway2 $local `
    -ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'
    

Pasos siguientesNext steps