Azure Site to Site VPN: Como configurar VPN Site to Site com o RRAS

Uma VPN permite a comunicação entre dois pontos através de conexões seguras utilizando uma rede pública, como por exemplo a internet.

A VPN Site-to-Site basicamente estende a rede local da empresa entre os dois pontos. Esta modalidade de VPN é comumente utilizada para interligar a matriz com as filiais ou uma infraestrutura on-premises com a infraestrutura de nuvem.

Neste artigo, vou demonstrar o passo-a-passo para a configuração de uma VPN Site-to-Site entre Azure e uma infraestrutura on-premises, utilizando uma função que é nativa do Windows Server, o RRAS.

Cenário


Instalação do RRAS

Vamos a instalação do RRAS.

Abra o Server Manager, Selecione a opção Management -> Add Roles and Features

Em Add Roles and Features

  • Clique em próximo
  • Tipo de instalação: Escolha a opção Role-based
  • Server Roles: Marque a opção Remote Access
  • Remote Access: Clique em avançar
    • Role Services:
      • Selecione Direct Access and VPN (RAS) e Routing
    • Web Server Role (IIS)


Configuração VPN no Azure

Após instalar o RRAS no ambiente on-premises, vamos configurar a VPN no portal do Azure.

Criar uma rede Virtual

Para que a comunicação seja realizada, uma rede virtual deve ser atribuída a sua infraestrutura de nuvem.

  • No Portal Azure clique em Criar um Recurso e localize a opção Rede Virtual.
  • Na aba Rede Virtual defina as configurações da sua rede conforme a sua necessidade.
    • Nome – Dê um nome para a sua rede virtual
    • Espaço de endereço – Defina o range de endereço IP que você necessita. É possível adicionar novos ranges de endereço posteriormente.
    • Grupo de recursos – Selecione um grupo de recursos existente ou crie um no grupo novo.
    • Sub-Rede – Adicione um nome para a sua primeira sub-rede e um range de IP para esta sub-rede.

Criar a Sub-rede de Gateway

Para que o Azure possa realizar a configuração de VPN corretamente uma Sub-rede de Gateway é necessária, caso uma sub-rede chamada “GatewaySubnet” não seja localizada a configuração da VPN irá falhar.

  • Navegue até a Rede virtual que acabamos de criar
  • Na seção Configuração clique em Sub-redes
  • Na aba Sub-rede localize a opção +Sub-rede Gateway
  • Ajuste as configurações de intervalo de endereço e crie esta nova sub-rede

Note que não é possível alterar o nome desta sub-rede.

Cria o Gateway de VPN

  • No Portal do Azure clique em Criar um recurso e pesquise por Gateway de rede virtual
  • Preencha os dados conforme as suas necessidades

    • Nome – Defina um nome para o objeto de Gateway
    • Tipo de Gateway – Selecione VPN
    • Tipo de VPN – A maioria das configurações exigem o tipo de VPN baseado em rota
    • SKU – Cada SKU atende a uma deteminadade necessidade de workload. Para saber mais sobre o SKU, clique aqui!
    • Rede Virtual – escolha a rede que você deseja adicionar o gateway. No nosso caso usaremos a rede virtual que criamos nos passos anteriores.
    • Endereço IP Público – Se você não tiver nenhum IP Público disponível, escolha a opção Criar novo, defina um nome para este objeto.

Obs: O processo de atribuição de IP Público pode demorar até 45 minutos para ser concluído.

Criar o Gateway de rede local

O Gateway de rede local se refere ao seu ambiente on-premises. Ele faz referencia ao IP do dispositivo local de VPN, ou seja o IP Público do RRAS.

  • No Portal do Azure clique em Criar um recurso e pesquise Gateway de rede local
  • Na aba Criar um gateway de rede local especifique os valores conforme o seu ambiente exige.
    • Nome – Defina um nome para Gateway local
    • Endereço IP – esté o IP Público do seu dispositivo VPN on-premises. Neste caso o servidor RRAS.
    • Espaço de endereço – Nesta opção adicione o range de IP da sua rede on-premises.
  • Após preencher todos os dados clique em Criar

Criar a conexão VPN

Agora vamos criar a conexão entre o Gateway de rede virtual e o nosso ambiente on-premises.

  • No Portal do Azure clique em Criar um recurso e pesquise Conexão
  • Na aba Criar Conexão preencha as seguintes informações
    • Nome – Defina um nome para a conexão
    • Tipo de conexão – Selecione Site a site (IPSec)
    • Gateway de rede virtual – escolha o gateway de rede virtual que criamos anteriormente
    • Gateway de rede local – escolha o gateway de rede referente a sua infraestrutura local
    • Chave compartilhada – Crie uma chave para realizar a autenticação entre as pontas da sua VPN

  • Depois de concluída criação da Conexão no portal do Azure, vamos para a configura local no RRAS

Obs: Lembre-se de gerar uma chave compartilhada de alta complexidade para garantir a segurança da sua conexão.

 


Configuração no RRAS

Após a instalação da Role do RRAS ser concluída com sucesso.

  • Abra o console de gerenciamento do RRAS (Routing and Remote Access)
  • Clique com o botão direito do mouse sobre o nome do servidor e escolha a opção Configure and Enable Routing and Remote Access
  • O assistente de configuração irá abrir na tela de boas-vindas, clique em avançar
  • Na seleção de configuração escolha a opção Secure connection between two private networks
  • Em Demand-Dial mantenha a opção YES selecionada
  • Mantenha a opção de atribuição de IP como Automática
  • Conclua o assistente

Um novo assistente irá iniciar automaticamente

  • Defina um nome para a nova interface. Ex. Azure S2S
  • No tipo de conexão escolha a opção VPN
  • Em tipo de VPN escolha IKEv2
  • Quando for solicitado endereço de destino, insira o endereço IP Público atribuido ao Gateway de rede virtual no portal do Azure.

  • Adicione a rota estática inserindo o range de IP da Rede virtual do Azure.

Estamos chegando ao final das configurações da nossa VPN Site-to-Site.

Agora vamos adicionar a chave de autenticação na nova interface criada e verificar se a conexão já pode ser realizada.

  • No console do RRAS, vá até o opção Network interface e localize a interface que acabamos de criar no passo anterior. Vá até a propriedades da interface
  • Na aba Segurança, abaixo de Autenticação selecione a opção Use preshare key… e adicione a chave compartilhada que foi configurada na conexão de VPN do Azure.
  • Clique com o botão direito do mouse sobre a interface, e selecione a opção de conectar.

Aguarde alguns instantes e verifique o status da conexão.

Se tudo ocorreu bem, agora você já pode acessar os recursos que estão no seu ambiente cloud através da VPN Site-to-Site.

Neste artigo eu demonstrei como utilizar um recurso nativo do Windows Server para realizar essa conexão Site-to-Site com o Azure, porém vale ressaltar que esta não é a única forma de realizar esta conexão. Normalmente os fabricantes do dispositivos disponibilizam manuais, com as configurações recomendadas para garantir a segurança da comunicação entre o Azure com os seus dispositivos.

Se você gostou do artigo, tem alguma dúvida ou sugestão. Deixe o seu comentário

Que a força esteja com vocês!!!