Este artículo muestra cómo crear una VPN sitio a sitio entre un firewall USG y Microsoft Azure Virtual Gateway. El ejemplo instruye cómo configurar el túnel VPN entre cada sitio.
¡Nota! Este artículo solo funciona con una VPN de sitio único. Si necesita conectar múltiples sitios, por favor revise el siguiente artículo: Serie USG/Zywall - Cómo configurar VPN IPsec basada en ruta a Azure (BGP sobre IKEv2/IPSec)
Para Nebula: VPN IPSec sitio a sitio desde Nebula Security Gateway (NSG) a Azure
1) Configurar el túnel VPN IPSec en ZyWALL/USG
1.1 Iniciar el asistente y elegir Política VPN avanzada
En ZyWALL/USG, vaya a CONFIGURACIÓN > Configuración rápida > Asistente de configuración VPN, use el asistente de Configuración VPN para crear una regla VPN que pueda usarse con MS Azure. Haga clic en Siguiente.
Configuración rápida > Asistente de configuración VPN > Bienvenida
Elija Avanzado para crear una regla VPN con configuración personalizada de fase 1, fase 2 y método de autenticación. Haga clic en Siguiente.
Configuración rápida > Asistente de configuración VPN > Bienvenida > Tipo de asistente
1.2 Configurar los ajustes avanzados de VPN
1.2.1 Configurar nombre de regla y escenario
Escriba el Nombre de la regla que se usará para identificar esta conexión VPN (y la puerta de enlace VPN). Puede usar de 1 a 31 caracteres alfanuméricos. Este valor distingue mayúsculas de minúsculas. Seleccione que la regla sea Sitio a sitio. Haga clic en Siguiente.
Configuración rápida > Asistente de configuración VPN > Tipo de asistente > Configuración VPN (Escenario)
1.2.2 Configurar los ajustes de Fase 1
Luego, configure la IP de Puerta de enlace segura como la IP de la puerta de enlace par de MS Azure (en el ejemplo, 13.75.42.148); seleccione Mi dirección como la interfaz conectada a Internet.
Configure la Negociación, Encriptación, Autenticación, Grupo de claves y Tiempo de vida SA que MS Azure soporta. Asegúrese de desactivar Detección de par muerto (DPD) que no es compatible con la política basada en IKEv1 de MS Azure. Escriba una Clave precompartida segura.
Configuración rápida > Asistente de configuración VPN > Bienvenida > Tipo de asistente > Configuración VPN (Ajustes de fase 1)
1.2.3 Configurar los ajustes de Fase 2
Continúe a los ajustes de Fase 2 para seleccionar la Encapsulación, Encriptación, Autenticación y Tiempo de vida SA que MS Azure soporta.
Configure la Política local con el rango de direcciones IP de la red conectada al ZyWALL/USG y la Política remota con el rango de direcciones IP de la red conectada a MS Azure. Haga clic en Aceptar.
Configuración rápida > Asistente de configuración VPN > Bienvenida > Tipo de asistente > Configuración VPN (Ajustes de fase 2)

Nota: Para más información sobre los parámetros IPsec soportados en MS Azure, consulte la documentación de Microsoft Azure Acerca de dispositivos VPN para conexiones de puerta de enlace VPN sitio a sitio.
1.2.4 Revisar y guardar la configuración
Esta pantalla ofrece un resumen de solo lectura del túnel VPN. Haga clic en Guardar.
Configuración rápida > Asistente de configuración VPN > Bienvenida > Tipo de asistente > Configuración VPN (Resumen)
Ahora la regla está configurada en ZyWALL/USG. Los ajustes de la regla de Fase 1 aparecen en la pantalla VPN > IPSec VPN > Puerta de enlace VPN y los ajustes de la regla de Fase 2 aparecen en la pantalla VPN > IPSec VPN > Conexión VPN. Haga clic en Cerrar para salir del asistente.
Configuración rápida > Asistente de configuración VPN > Bienvenida > Tipo de asistente > Configuración VPN > Asistente completado
2) Configurar el túnel VPN IPSec en MS Azure
2.1 Iniciar sesión en el portal de administración de Azure
Inicie sesión en el Portal de administración de Windows Azure. En la esquina superior izquierda de la pantalla, haga clic en +Nuevo > Redes > Red virtual.
Portal de Azure > Nuevo > Redes > Red virtual
2.2 Seleccionar un modelo de implementación en configuración de red virtual
Cerca de la parte inferior del panel Red virtual, en la lista Seleccione un modelo de implementación, seleccione Administrador de recursos, y luego haga clic en Crear.
Nuevo > Redes > Red virtual > Seleccionar un modelo de implementación
2.3 Configurar los ajustes VPN en Azure
En la página de Crear red virtual, ingrese el NOMBRE para la red VPN. Por ejemplo, VPN_Vnet_to_USG. Añada su Espacio de direcciones, Nombre de subred y un único Rango de direcciones de subred.
Haga clic en Grupo de recursos y seleccione un grupo de recursos existente o cree uno nuevo escribiendo un nombre para su nuevo grupo de recursos. Por ejemplo, RG_USG.
UBICACIÓN está directamente relacionada con la ubicación física (región) donde residen las máquinas virtuales (VM). La región asociada con la red virtual no puede cambiarse después de creada.
Luego, haga clic en el botón Crear. Después de hacer clic en Crear, verá un mosaico en su panel que reflejará el progreso de su VNet. El mosaico cambiará mientras se crea la VNet.
Nuevo > Redes > Red virtual > Crear red virtual
2.4 Configurar la subred de red virtual en Azure
En el portal, navegue a la red virtual que acaba de crear. En el panel de su red virtual, haga clic en el ícono Configuración en la parte superior para expandir el panel de configuración a Subredes > Agregar > Agregar subred. Nombre su subred GatewaySubnet. No debe nombrarla de otra forma, o la puerta de enlace no funcionará. Añada el Rango de direcciones IP para su puerta de enlace. Haga clic en Aceptar en la parte inferior del panel para crear la subred.
VPN_Vnet_to_USG > Configuración > Subred > Agregar subred
2.5 Configurar la puerta de enlace de red virtual en Azure
En el portal, vaya a Nuevo, luego Redes. Seleccione Puerta de enlace de red virtual en la lista. En el campo Nombre del panel Crear puerta de enlace de red virtual, nombre su puerta de enlace. Luego, elija la Red virtual a la que desea desplegar esta puerta de enlace.
Haga clic en la flecha (>) para abrir el panel Elegir dirección IP pública. Luego haga clic en Crear nuevo para abrir el panel Crear dirección IP pública. Ingrese un Nombre para su dirección IP pública. Tenga en cuenta que no se solicita una dirección IP, la dirección será asignada dinámicamente. Más bien, este es el nombre del objeto de dirección IP al que se asignará la dirección. Haga clic en Aceptar para guardar sus cambios.
Para Tipo de puerta de enlace, seleccione VPN. Para Tipo de VPN, seleccione Basada en políticas. Para Grupo de recursos, el grupo de recursos se determina por la red virtual que seleccione. Para Ubicación, asegúrese de que muestre la ubicación donde existen tanto su grupo de recursos como la red virtual.
Nuevo > Redes > Crear puerta de enlace de red virtual > Elegir dirección IP pública > Crear dirección IP pública
2.6 Configurar puerta de enlace de red local en Azure
En el portal de Azure, navegue a Nuevo > Redes > Puerta de enlace de red local. La puerta de enlace de red local se refiere a la IP pública de ZyWALL/USG y a los ajustes de subred local.
En el panel Crear puerta de enlace de red local, especifique un nombre para su objeto de puerta de enlace ZyWALL/USG.
Especifique la dirección IP pública de su ZyWALL/USG. No puede estar detrás de NAT y debe ser accesible desde Azure. El espacio de direcciones se refiere a los rangos de direcciones en su red local ZyWALL/USG. Para Grupo de recursos, seleccione el grupo de recursos que creó antes. Para Ubicación, si está creando una nueva puerta de enlace de red local, puede usar la misma ubicación que la puerta de enlace de red virtual. Pero no es obligatorio. La puerta de enlace de red local puede estar en una ubicación diferente.
Haga clic en Crear para crear la puerta de enlace de red local.
Nuevo > Redes > Puerta de enlace de red local
2.7 Agregar conexión
Ubique su puerta de enlace de red virtual (VPN_Connection_to_USG en este ejemplo) y haga clic en Configuración > Conexión > Agregar conexión, Nombre su conexión. Para Tipo de conexión, seleccione Sitio a sitio (IPSec). Para Puerta de enlace de red virtual, el valor es fijo porque se conecta desde esta puerta de enlace (VPN_GW_to_USG en este ejemplo).
Para Puerta de enlace de red local, seleccione la puerta de enlace de red local que desea usar (VPN_Connection_to_USG en este ejemplo).
Para Clave compartida (PSK), el valor aquí debe coincidir con el que está usando en su dispositivo ZyWALL/USG. Para Grupo de recursos, seleccione el grupo de recursos que creó antes. Haga clic en Aceptar para crear su conexión.
VPN_Connection_to_USG > Configuración > Conexiones > Agregar conexión
2.8 Verificar los ajustes de conexión
Cuando la conexión esté completa, aparecerá en el panel Conexiones de su puerta de enlace.
VPN_Connection_to_USG > Configuración > Conexiones
3) Probar la conectividad del túnel VPN IPSec
Vaya a ZyWALL/USG CONFIGURACIÓN > VPN > IPSec VPN > Conexión VPN, haga clic en Conectar en la barra superior. El icono de Estado se ilumina cuando la interfaz está conectada.
CONFIGURACIÓN > VPN > IPSec VPN > Conexión VPN
Vaya a ZyWALL/USG MONITOREO > Monitor VPN > IPSec y verifique el Tiempo activo del túnel y el tráfico Entrante (Bytes)/Saliente (Bytes).
MONITOREO > Monitor VPN > IPSec
Vaya a Azure_Vnet_USG > Configuración para verificar los datos del túnel ENTRADA y SALIDA.
VPN > Configuración VPN > Túneles VPN activos actualmente
Para probar si un túnel está funcionando, haga ping desde una computadora en un sitio a una computadora en el otro. Asegúrese de que ambas computadoras tengan acceso a Internet.
PC detrás de ZyWALL/USG > Windows 7 > cmd > ping 10.1.0.33
PC detrás de MS Azure > Windows 7 > cmd > ping 192.77.1.33


Comentarios
0 comentariosInicie sesión para dejar un comentario.