Interfaz BOVPN Virtual para el Dynamic Routing a Microsoft Azure

Puede configurar una conexión VPN entre su Firebox y Microsoft Azure. Por ejemplo, podría configurar una VPN para que los hosts de su red local se conecten de manera segura a los recursos de la red virtual de Azure. Para las conexiones de VPN a Azure, se recomienda configurar una interfaz virtual BOVPN en el Firebox, en lugar de una BOVPN.

Puede configurar un enrutamiento estático o dinámico. Este apartado aborda el enrutamiento dinámico. Para obtener información acerca del enrutamiento estático, consulte Interfaz BOVPN Virtual para el Enrutamiento Estático a Microsoft Azure.

En este ejemplo, indicamos una configuración de VPN con:

  • Enrutamiento dinámico (Dynamic routing) BGP. Azure admite el Protocolo BGP de enrutamiento dinámico. OSPF no está admitido.
  • Una interfaz física externa de Firebox
  • Una interfaz virtual Firebox BOVPN con un endpoint de puerta de enlace. No se admite una interfaz virtual de BOVPN configurada con múltiples endpoints de puerta de enlace para las conexiones a Azure.
  • Una puerta de enlace de Azure

Para configurar el enrutamiento dinámico con BGP entre Firebox y Microsoft Azure, debe comprender Microsoft PowerShell, una herramienta de línea de comandos y entorno de scripting.

Configurar Azure

Para configurar su red virtual de Azure:

  1. Conéctese al Portal de Administración de Azure en https://portal.azure.com.
  2. Revise la documentación de Microsoft: Get started with Azure y Azure VPN Gateway Documentation.

En este ejemplo, usamos los siguientes ajustes de la red virtual de Microsoft Azure:

  • Puerta de Enlace Remota — 203.0.113.2 (la dirección IP de la interfaz externa del Firebox). Azure no admite las conexiones VPN a Fireboxes anteriores a los dispositivos NAT. El Firebox debe incluir una dirección IP externa pública.
  • Puerta de Enlace Local198.51.100.2 (la dirección IP de interfaz externa de la puerta de enlace Azure)
  • BGP ASN10001 (el BGP ASN del Firebox)
    Debe usar Microsoft PowerShell para configurar los ajustes de BGP en su red virtual Microsoft Azure. Para obtener más información sobre PowerShell, consulte la documentación proporcionada por Microsoft.
  • Dirección IP Virtual100.100.100.1 (la dirección IP virtual del Firebox)
  • Tipo de VPN — Basada en políticas
  • Clave compartida — Es la clave que Azure genera automáticamente. Azure solamente admite el método de autenticación de clave precompartida para las VPN de sitio a sitio.

Para conocer la lista más actual de los protocolos y algoritmos admitidos por Microsoft para las VPN, consulte Acerca de los dispositivos de VPN y los parámetros IPSec/IKE para las conexiones de Puerta de Enlace de VPN de Sitio a Sitio en el sitio web de Microsoft.

Configuración de MTU

Para las conexiones VPN de Azure, Microsoft requiere un TCP MSS máximo de 1350 o una MTU de 1400. La puerta de enlace de VPN de Azure descarta los paquetes cuyo tamaño total supera los 1400.

Si la puerta de enlace de VPN de Azure descarta paquetes de su Firebox, se recomiendan estos ajustes de Firebox:

  • Fireware v12.5 o superior — En la configuración de la interfaz virtual BOVPN, especifique una MTU de 1400. Para obtener más información sobre la configuración de MTU, consulte Configurar un Valor de la Unidad de Transmisión Máxima (MTU).
  • Fireware v12.4.1 o inferior — En la configuración de la interfaz física, especifique una MTU de 1400.

Como alternativa, puede establecer el valor global de TCP MSS en 1350. Sin embargo, no se recomienda esta opción porque este ajuste afecta a otras interfaces de Firebox y solamente aplica al tráfico TCP. Por ejemplo, en la mayoría de los casos, esta configuración no se aplica al tráfico RDP porque generalmente este protocolo utiliza UDP. Si utiliza RDP para acceder a los servidores alojados en Azure, Azure descartará los paquetes que superen los 1400 bytes, aunque usted especifique el valor de TCP MSS recomendado. Para obtener más información sobre los ajustes de TCP MSS, consulte Definir los Ajustes Globales de Firebox.

Configurar el Firebox

Para este ejemplo, el Firebox tiene una interfaz externa y una red de confianza.

Azure no admite las conexiones VPN a Fireboxes anteriores a los dispositivos NAT. El Firebox debe incluir una dirección IP externa pública.

Interfaz Tipo Nombre Dirección IP
0 Externas Externas 203.0.113.2/24
1 De Confianza De Confianza 10.0.1.1/24

Para configurar el Firebox, realice los siguientes ajustes:

  1. Seleccione VPN > Interfaces BOVPN Virtuales.
    Aparece la página de Interfaces Virtuales BOVPN.
  2. Haga clic en Agregar.
  3. En el cuadro de texto Nombre de la Interfaz, ingrese un nombre para identificar esta puerta de enlace.
  4. En la lista desplegable Tipo de Endpoint Remoto, seleccione Cloud VPN o Puerta de Enlace de Tercero.
  5. En el cuadro de texto Usar Clave Precompartida, pegue la clave precompartida generada automáticamente que copió desde el Portal de Administración de Azure.
    Para las VPN de sitio a sitio, Azure solamente admite el método de autenticación de clave precompartida.
  6. En la sección Endpoints de Puerta de Enlace, haga clic en Agregar.
    Aparece el cuadro de diálogo Configuraciones de Endpoints de la Puerta de Enlace.
  7. Seleccione la pestaña Puerta de Enlace Local.
  8. En la lista desplegable Físico, seleccione una interfaz externa.
  9. En la lista desplegable Dirección IP de Interfaz, seleccione Dirección Principal de la Interfaz de IPv4.
  10. En el cuadro de texto Por Dirección IP, ingrese la dirección IP externa de su Firebox. En este ejemplo, usamos 203.0.113.2.
  11. Seleccione la pestaña Puerta de Enlace Remota.
  12. En el cuadro de texto de Dirección IP Estática, ingrese la dirección IP de la puerta de enlace de Azure. En este ejemplo, usamos 198.51.100.2.
  13. En el cuadro de texto Por Dirección IP, ingrese el ID de la puerta de enlace de Azure. En este ejemplo, usamos 198.51.100.2.

Screen shot of new BOVPN virtual interface to Azure

  1. Haga clic en Aceptar.
  1. Seleccione la pestaña Rutas VPN.
  2. En el cuadro de texto Dirección IP Local, ingrese la dirección IP local del recurso de Azure al que se conectará. En este ejemplo, usamos 100.100.100.1.
  3. En el cuadro de texto de Dirección IP o Máscara de Red entre Pares, ingrese la dirección IP de la interfaz virtual de Azure, no la máscara de red. Azure define la dirección IP de la interfaz virtual de Azure. En este ejemplo, usamos 172.20.2.254.

Screen shot of virtual IP address configuration

  1. Seleccione la pestaña Configuración de Fase 1.
  2. En la lista desplegable Versión, seleccione IKEv2. Las rutas VPN estáticas entre su Firebox y Azure requieren IKEv2.
  3. En la sección Configuración de Transformación, haga clic en la transformación predeterminada.
  4. Haga clic en Editar.
  5. En la lista desplegable de Autenticación, mantenga el valor predeterminado de SHA2-256.
  6. En la lista desplegable de Cifrado, mantenga el valor predeterminado de AES(256 bits).
  7. En el cuadro de texto Duración de SA, escriba 8.
  8. De la lista desplegable Grupo de Claves, seleccione Grupo Diffie-Hellman 2. Este grupo es el único que Azure admite para la Fase 1.

En Fireware v12.0 y superior, la configuración predeterminada del Grupo de Clave es el Grupo Diffie-Hellman 14. Debe cambiar este ajuste para el Grupo Diffie-Hellman 2.

Screen shot of Phase 1 settings

  1. Seleccione la pestaña Configuraciones de Fase 2.
  2. Seleccione Habilitar Perfect Forward Secrecy.
  3. En la lista desplegable Diffie-Hellman, seleccione el grupo 1, 2, 5, 14, 15, 19 o 20. La configuración predeterminada de Firebox es el grupo 14.
  4. En la sección Configuraciones de Transformación, asegúrese de que se indiquen las transformaciones ESP-AES256-SHA256 o ESP-AES256-GCM. Azure no admite AES128-GCM ni AES192-GCM. Haga clic en Agregar para agregar una transformación.

Screen shot of Phase 1 settings

  1. Haga clic en Aceptar.
  2. Haga clic en Guardar.

El Firebox agrega automáticamente las políticas BOVPN-Allow.out y BOVPN-Allow.in a su configuración.

El Azure BGP ASN y la dirección IP virtual (conocida como bgpPeeringAddress en Azure) son definidas por Azure y no pueden modificarse. Puede usar Microsoft PowerShell para ver el Azure BGP ASN y la bgpPeeringAddress. La configuración de enrutamiento dinámico BGP del Firebox tiene estos comandos:

!
! The local BGP ASN is 10001
!
router bgp 10001
!
! to Azure VPC
!
!
! The Azure (remote) BGP ASN is 65515 and its VIF IP (bgpPeeringAddress) is 172.20.2.254.
! These are the two parameters you must get from the Azure side.
!
neighbor 172.20.2.254 remote-as 65515
neighbor 172.20.2.254 activate
neighbor 172.20.2.254 ebgp-multihop
!
! To advertise the local networks
!
red: 10.0.1.0/24

Screen shot of BGP settings

Los ajustes configurados de BGP en Policy Manager

Si configura más de una red de confianza en su Firebox y desea que Azure aprenda la ruta a una red de confianza adicional, ejecute un comando de red adicional. Por ejemplo:

red: 10.0.1.0/24

network 10.0.2.0/24

Comprobar la Conexión VPN

Para comprobar la configuración, envíe un recurso local de Azure desde la red local anterior a su Firebox. Asegúrese de que las configuraciones de su Firebox y de la red virtual de Azure permitan el tráfico ICMP.

Para obtener más información sobre los ajustes de configuración de Azure, consulte la documentación proporcionada por Microsoft.

Ver También

Interfaz BOVPN Virtual para el Enrutamiento Estático a Microsoft Azure

Direcciones IP de Interfaz Virtual para una VPN a un Endpoint de Terceros