Cómo configurar una VPN de punto (cliente) a sitio en Azure mediante el portal clásico – Parte 1

Topología que vamos a usar en este tutorial, haz clic en la imagen para verla en tamaño completo:

Este tutorial consta de 3 partes, a continuación podrás ver los pasos generales que se realizan en cada parte:

Parte 1

Parte 2

Parte 3

Nota: Mi objetivo al crear este tutorial no es simplemente mostrarte los pasos para configurar un VPN de cliente a sitio con Azure sin que entiendas lo que estás haciendo, si es eso lo que buscas, puedes regresar a google y seguir buscando otros tutoriales.
Mi objetivo principal, es que entiendas de qué manera y porqué, vas creando cada elemento, al final entenderás cómo está conformado un VPN de Azure y podrás saber qué revisar cuando se presenten problemas.
Si buscas lo mismo, bienvenid@, vamos a comenzar!

 

Creación de una Vnet con conectividad P2S desde el portal clásico

Inicialmente vamos a crear los elementos necesarios del lados de Microsoft Azure y para comenzar.

Lo primero que vamos a hacer es crear una Vnet, una Vnet básicamente es una representación de tu propia red virtual en la nube sobre la cual estaremos creando nuestras máquinas virtuales e implementando nuestro Gateway de VPN.

Para comenzar, ve al portal clásico de Azure y una vez que te hayas autenticado, selecciona NETWORKS y luego haz clic en CREATE VIRTUAL NETWORK

Según el mapa de topología que vimos anteriormente, pon el nombre de la Vnet, este nombre puede ser cualquier cosa que tu quieras.

Como nombre, pondremos Vnet AZWU 172.31.0.0 Mask 21, si no entiendes porqué este nombre, déjame explicarte.

Es un esquema de nombres opcional que puedes usar para identificar fácilmente los elementos que tienes en tu suscripción en Azure, si bien  con pocos elementos no hay problema, en el futuro se hace complicado administrar nuestra infraestructura si ponemos los nombres según como nos sintamos ese día.

Vnet es para indicar dentro del mismo nombre que este elemento se trata de una Vnet.

La sigla AZUW es para indicar que esta Vnet pertenece a Azure y está en la zona geográfica West US.

172.31.0.0 Mask 21 es para especificar el rango de direcciones en formado CIRD que va a tener esta nueva Vnet, nada más ten en cuenta que ciertos caracteres no son permitidos, si los usas la Vnet no se creará, por ejemplo el slash (/) es uno de ellos, por eso pongo la palabra Mask en vez de usar el slash.

Cuando pongas el nombre y selecciones la ubicación en la que quieres crear tu Vnet, haz clic en el ícono de siguiente para avanzar al paso 2.

En el paso 2 asigna cuáles serán las direcciones de los DNSs que se asignarán a las máquinas que estén en ejecución en esta Vnet, en este caso, he seleccionado los DNS de google, esto lo puedes cambiar más adelante si lo deseas.

Adicionalmente marca la opción Configure a point-to-site VPN y observa que la gráfica inferior cambia para representar que tendrás clientes conectándose a esta Vnet por medio del Gateway.

En el paso 3, debemos especificar cuál será el rango de direcciones IP que le será asignado a los clientes que se conectan por medio de VPN de punto a sitio.

Aunque el máximo número de clientes que soporta cualquiera de los 3 tipos de gateway es de 128 usuarios simultáneos, usaremos un rango de direcciones mayor por simplicidad.

Si tomamos como referencia la topología, lo marcado en rojo es el rango que estamos definiendo en este paso:

En el paso final, especificaremos cuál es el rango de direcciones que estaremos utilizando en esta nueva Vnet.

Con el fin de evitar que nuestros rangos de direcciones IP de esta nueva red virtual, choquen o coincidan con los rangos que ya estemos utilizando en nuestra infraestructura local, es recomendable que seleccionemos rangos poco frecuentes, por ejemplo, es muy común encontrar en las redes los rangos 192.168.x.x, 172.16.x.x, por esta razón, estaré seleccionando las últimas direcciones del rango de direcciones RFC1918 172.16.0.0/20 cuyas direcciones van desde la 172.16.0.1 hasta la 172.31.255.254

Adicionalmente, es importante seleccionar un rango de direcciones IP que sea lo suficientemente grande como para poder crear nuevas subredes en el futuro en caso de que nuestra infraestructura en Azure crezca y adicionalmente, que sea lo suficientemente pequeño como para no agotar un rango de direcciones ip privadas muy grande que posiblemente llegásemos a necesitar en el futuro en nuestra infraestructura.

En nuestro laboratorio vamos a utilizar el siguiente rango para la nueva Virtual Network:

  • Rango de direcciones: 172.31.0.0/21
  • IP inicial: 172.31.0.1
  • IP final: 172.31.1.254

Para las subredes vamos a utilizar los siguientes rangos:

  • 172.31.0.0/24 – GatewaySubnet (más adelante veremos cuál es el rol de esta subred)
  • 172.31.1.0/24 – Subred para servidores, podemos crear hasta 250 servidores en esta subred.
  • 172.31.2.0/24, 172.31.3.0/24, 172.31.4.0/24, 172.31.5.0/24, 172.31.6.0/24, 172.31.7.0/24 – Rangos reservados para posibles nuevas subredes que necesitemos en el futuro.

Una vez tengas agregados correctamente los rangos de direcciones de la Vnet y de la subnet, haz clic en add gateway subnet para crear la subnet sobre la cual estará conectado el gateway que crearemos más adelante.

Verifica que el rango de la subnet para el gateway, sea 172.31.0.0 y que las direcciones posibles vayan desde la 172.31.0.0 hasta la 172.31.0.255

Nota: Si no te aparece la opción de máscara /24 (256), debes escribir o borrar algo en el campo anterior y presionar TAB para que se refresque el campo siguiente y puedas seleccionar la opción /24(256)

Haz clic en completar y espera a que se haya creado la nueva Vnet.

Los elementos marcados en rojo son los que acabamos de crear:

Creación del gateway desde el portal clásico

Cuando comencé a estudiar este tema, no entendía cuál era el sentido de crear una subnet adicional para el gateway la cual usaría rangos de direcciones IP privados, luego de investigar, pude darme cuenta que el gateway es básicamente una máquina virtual administrada por Microsoft Azure la cual cuenta con 2 adaptadores de red de los cuales uno de ellos está conectado a la subred GatewaySubnet y el otro está conectado a la subred donde tenemos nuestros servidores virtuales, en este caso Subnet-1.

Nos podemos conectar a este gateway gracias a una dirección IP pública que se crea y se asocia de manera automática a la IP privada del adaptador del gateway que se encuentra en la subred GatewaySubnet.

Todo el tráfico entrante a esta dirección IP pública es enviado a la IP privada mediante un NAT pero es algo que no se explica muy bien en sus tutoriales, pero espero que con estas gráficas te quede claro qué es lo que sucede tras bambalinas.

Sigamos trabajando…

Si vas al dashboard de la nueva Vnet que acabamos de crear, podrás ver una advertencia indicando que el gateway aún no ha sido creado, quiere decir que tenemos la Vnet, pero falta crear la máquina que servirá como gateway.

Para crear el gateway, ve a la parte inferior de tu navegador y selecciona la opción CREATE GATEWAY

Recibirás una notificación que te pregunta si estás seguro de crear el gateway para esta Vnet, haz clic en YES

Comenzará el proceso de creación del nuevo gateway para la Vnet

Este es un buen momento para tomarnos un café, llamar a un amigo que no llamamos hace tiempo (lo digo en serio), revisar nuestra cuenta de facebook, mientras se crea el gateway. Este proceso puede tomar de 15 a 45 minutos dependiendo de la alineación de los planetas.

Después de unos desesperantes minutos (te dije que llamaras a tu amigo), podrás ver que ya está creado el gateway y recibirás una nueva advertencia indicando que no se ha subido el certificado raíz.

En este momento podemos proceder al intimidante tema de los certificados, eso lo veremos en la parte 2 – Cómo configurar una VPN de punto (cliente) a sitio en Azure mediante el portal clásico

Responses

Tu dirección de correo electrónico no será publicada.

  1. Víctor cuando estará este curso pero con el el nuevo portal de Azure? Ya que es muy diferente a lo que sale en este curso.

    Gracias espero tus comentarios.