Configurar uma conexão VPN Site a Site através do emparelhamento privado da Rota Expressa
Pode configurar uma VPN Site a Site ligada a um gateway de rede virtual através de um peering privado do ExpressRoute com um endereço IP RFC 1918. Esta configuração fornece os benefícios seguintes:
O tráfego através do peering privado é encriptado.
Os utilizadores ponto a site que se liguem a um gateway de rede virtual podem utilizar o ExpressRoute (através do túnel Site a Site) para aceder a recursos no local.
É possível implantar conexões VPN Site a Site através do emparelhamento privado da Rota Expressa ao mesmo tempo que conexões VPN Site a Site através da Internet no mesmo gateway VPN.
Este recurso está disponível para todos os SKUs VPN, exceto para o Basic SKU.
Pré-requisitos
Para concluir essa configuração, verifique se você atende aos seguintes pré-requisitos:
Você tem um circuito de Rota Expressa em funcionamento que está vinculado à rede virtual onde o gateway VPN é (ou será) criado.
Pode aceder a recursos através de RFC1918 IP (privado) na rede virtual através do circuito ExpressRoute.
Encaminhamento
A Figura 1 mostra um exemplo de conectividade VPN através do emparelhamento privado da Rota Expressa. Neste exemplo, você vê uma rede dentro da rede local que está conectada ao gateway de VPN do hub do Azure por meio do emparelhamento privado da Rota Expressa. Um aspeto importante dessa configuração é o roteamento entre as redes locais e o Azure pelos caminhos ExpressRoute e VPN.
Figura 1
Estabelecer conectividade é simples:
Estabeleça conectividade de Rota Expressa com um circuito de Rota Expressa e emparelhamento privado.
Estabeleça a conectividade VPN usando as etapas neste artigo.
Tráfego de redes locais para o Azure
Para o tráfego de redes locais para o Azure, os prefixos do Azure são anunciados por meio do BGP de emparelhamento privado da Rota Expressa e do BGP VPN se o BGP estiver configurado no seu Gateway de VPN. O resultado são duas rotas de rede (caminhos) para o Azure a partir das redes locais:
• Uma rota de rede pelo caminho protegido por IPsec.
• Uma rota de rede diretamente pela Rota Expressa sem proteção IPsec.
Para aplicar criptografia à comunicação, você deve certificar-se de que, para a rede conectada a VPN na Figura 1, as rotas do Azure por meio do gateway de VPN local são preferidas em relação ao caminho direto da Rota Expressa.
Tráfego do Azure para redes locais
O mesmo requisito se aplica ao tráfego do Azure para redes locais. Para garantir que o caminho IPsec seja preferido sobre o caminho direto da Rota Expressa (sem IPsec), você tem duas opções:
• Anuncie prefixos mais específicos na sessão VPN BGP para a rede conectada VPN. Você pode anunciar um intervalo maior que engloba a rede conectada por VPN através do emparelhamento privado da Rota Expressa e, em seguida, intervalos mais específicos na sessão BGP VPN. Por exemplo, anuncie 10.0.0.0/16 sobre a Rota Expressa e 10.0.1.0/24 sobre VPN.
• Anuncie prefixos separados para VPN e ExpressRoute. Se os intervalos de rede conectados à VPN estiverem separados de outras redes conectadas à Rota Expressa, você poderá anunciar os prefixos nas sessões VPN e BGP da Rota Expressa, respectivamente. Por exemplo, anuncie 10.0.0.0/24 sobre ExpressRoute e 10.0.1.0/24 sobre VPN.
Em ambos os exemplos, o Azure enviará tráfego para 10.0.1.0/24 através da ligação VPN em vez de diretamente através da Rota Expressa sem proteção VPN.
Aviso
Se você anunciar os mesmos prefixos nas conexões ExpressRoute e VPN, >o Azure usará o caminho ExpressRoute diretamente sem proteção VPN.
Etapas do portal
Configure uma conexão Site a Site. Para conhecer as etapas, consulte o artigo Configuração site a site . Certifique-se de escolher um gateway com um IP público padrão.
Habilite IPs privados no gateway. Selecione Configuração e, em seguida, defina IPs privados de gateway como Habilitado. Selecione Guardar para guardar as alterações.
Na página Visão geral, selecione Ver mais para exibir o endereço IP privado. Anote essas informações para usar posteriormente nas etapas de configuração.
Para habilitar Usar Endereço IP Privado do Azure na conexão, selecione Configuração. Defina Usar Endereço IP Privado do Azure como Habilitado e selecione Salvar.
Use o IP privado que você anotou na etapa 3 como o IP remoto em seu firewall local para estabelecer o túnel Site-to-Site sobre o emparelhamento privado da Rota Expressa.
Nota
O Configurig BGP no seu Gateway VPN não é necessário para obter uma conexão VPN através do emparelhamento privado da Rota Expressa.
Etapas do PowerShell
Configure uma conexão Site a Site. Para conhecer as etapas, consulte o artigo Configurar uma VPN Site a Site. Certifique-se de escolher um gateway com um IP público padrão.
Defina o sinalizador para usar o IP privado no gateway usando os seguintes comandos do PowerShell:
$Gateway = Get-AzVirtualNetworkGateway -Name <name of gateway> -ResourceGroup <name of resource group> Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway -EnablePrivateIpAddress $trueVocê deve ver um endereço IP público e um endereço IP privado. Anote o endereço IP na seção "TunnelIpAddresses" da saída. Você usará essas informações em uma etapa posterior.
Defina a conexão para usar o endereço IP privado usando o seguinte comando do PowerShell:
$Connection = get-AzVirtualNetworkGatewayConnection -Name <name of the connection> -ResourceGroupName <name of resource group> Set-AzVirtualNetworkGatewayConnection --VirtualNetworkGatewayConnection $Connection -UseLocalAzureIpAddress $trueA partir do firewall, execute ping no IP privado que você anotou na etapa 2. Ele deve ser acessível através do emparelhamento privado da Rota Expressa.
Use esse IP privado como o IP remoto em seu firewall local para estabelecer o túnel Site a Site sobre o emparelhamento privado da Rota Expressa.
Próximos passos
Para obter mais informações sobre o Gateway VPN, consulte O que é o Gateway VPN?