•  Inicio
  • Paso a Paso 365-ADFS-Azure Capitulo 2

Paso a Paso 365-ADFS-Azure Capitulo 2

 Abr, 04 - 2016   sin comentarios   AzureOffice 365

 

Hola a todos muchas gracias por leer este blog de nuevo, y seguirme en Twitter y facebook.

Siguiendo con la líneas planteadas en la anterior entrada hoy vamos a hablar como crear nuestra VPN Site-To-Site.

site2site

Lo primero que debemos tomar en cuenta, es que nuestro dispositivo esta en la matriz de compatibilidad.

 

Vendor Device family Minimum OS version Policy-based Route-based
Allied Telesis AR Series VPN Routers 2.9.2 Coming soon Not compatible
Barracuda Networks, Inc. Barracuda NextGen Firewall F-series Policy-based: 5.4.3, Route-based: 6.2.0 Configuration instructions Configuration instructions
Barracuda Networks, Inc. Barracuda NextGen Firewall X-series Barracuda Firewall 6.5 Barracuda Firewall Not compatible
Brocade Vyatta 5400 vRouter Virtual Router 6.6R3 GA Configuration instructions Not compatible
Check Point Security Gateway R75.40, R75.40VS Configuration instructions Configuration instructions
Cisco ASA 8.3 Cisco samples Not compatible
Cisco ASR IOS 15.1 (policy-based), IOS 15.2 (route-based) Cisco samples Cisco samples
Cisco ISR IOS 15.0 (policy-based), IOS 15.1 (route-based) Cisco samples Cisco samples
Citrix CloudBridge MPX appliance, or VPX virtual appliance N/A Integration instructions Not compatible
Dell SonicWALL TZ Series, NSA Series, SuperMassive Series, E-Class NSA Series SonicOS 5.8.x, SonicOS 5.9.x, SonicOS 6.x Instructions – SonicOS 6.2 Instructions – SonicOS 5.9 Instructions – SonicOS 6.2 Instructions – SonicOS 5.9
F5 BIG-IP series N/A Configuration instructions Not compatible
Fortinet FortiGate FortiOS 5.0.7 Configuration instructions Configuration instructions
Internet Initiative Japan (IIJ) SEIL Series SEIL/X 4.60, SEIL/B1 4.60, SEIL/x86 3.20 Configuration instructions Not compatible
Juniper SRX JunOS 10.2 (policy-based), JunOS 11.4 (route-based) Juniper samples Juniper samples
Juniper J-Series JunOS 10.4r9 (policy-based), JunOS 11.4 (route-based) Juniper samples Juniper samples
Juniper ISG ScreenOS 6.3 (policy-based and route-based) Juniper samples Juniper samples
Juniper SSG ScreenOS 6.2 (policy-based and route-based) Juniper samples Juniper samples
Microsoft Routing and Remote Access Service Windows Server 2012 Not compatible Microsoft samples
Openswan Openswan 2.6.32 (Coming soon) Not compatible
Palo Alto Networks All devices running PAN-OS 5.0 or greater PAN-OS 5x or greater Palo Alto Networks Not compatible
Watchguard All Fireware XTM v11.x Configuration instructions Not compatible

 

Para mayor información consulta la URL del Proveedor.

 

Ahora bien tener en cuenta que es muy importante el tipo de VPN que debemos desplegar ya que Azure nos permite las siguientes Opciones.

 

Policy-based Basic VPN Gateway Route-based Basic VPN Gateway Route-based Standard VPN Gateway Route-based High Performance VPN Gateway
Site-to-Site connectivity (S2S) Policy-based VPN configuration Route-based VPN configuration Route-based VPN configuration Route-based VPN configuration
Point-to-Site connectivity (P2S) Not supported Supported (Can coexist with S2S) Supported (Can coexist with S2S) Supported (Can coexist with S2S)
Authentication method Pre-shared key Pre-shared key for S2S connectivity, Certificates for P2S connectivity Pre-shared key for S2S connectivity, Certificates for P2S connectivity Pre-shared key for S2S connectivity, Certificates for P2S connectivity
Maximum number of S2S connections 1 10 10 30
Maximum number of P2S connections Not supported 128 128 128
Active routing support (BGP) Not supported Not supported Not supported Not supported

 

 

Bueno tomando encuentra que vuestro dispositivo esta en la lista de compatibilidad.

 

  1. Crear una red virtual y una subred de puerta de enlace

 

Nuestros ejemplos a continuación muestran una subred de la puerta de enlace / 28. Mientras que es posible crear una subred puerta de entrada tan pequeña como / 29, no se recomienda esto. Recomendamos la creación de una subred gateway / 27 o mayor (/ 26, / 25, etc.) con el fin de adaptarse a los requisitos de características adicionales. Si ya dispone de una red virtual con una subred gateway que es / 29 o mayor, puede saltar al Paso 3 – Añadir el portal de acceso a la red local.

Para crear una red virtual y una subred de puerta de enlace

 

Utilice el ejemplo siguiente para crear una red virtual y una subred de puerta de enlace. Sustituye los valores de su cuenta.

 

En primer lugar, crear un grupo de recursos:

 

 

A continuación, cree su red virtual. Compruebe que los espacios de direcciones que especifique no se superponen cualquiera de los espacios de direcciones que tiene en su red en las instalaciones.

El ejemplo siguiente crea una red virtual y testvnet llamado dos subredes, uno llamado GatewaySubnet y la otra llamada Subnet1. Es importante crear una subred denominado específicamente GatewaySubnet. Si lo que sea otra cosa, la configuración de su conexión fallará.

 

Para agregar una subred puerta de entrada a una red virtual que ya ha creado

Este paso sólo es necesario si es necesario agregar una subred puerta de entrada a un VNet que ha creado anteriormente.

Puede crear su propia red de puerta de enlace mediante el ejemplo siguiente. Asegúrese de nombrar la puerta de entrada de subred ‘GatewaySubnet’. Si lo que sea otra cosa, vamos a crear una subred, pero Azure no tratarlo como una subred de puerta de enlace.

Ahora, establezca la configuración

SetAzureRmVirtualNetwork VirtualNetwork $vnet

  1. Añadir el portal de acceso de red local

En una red virtual, la puerta de enlace de red local típicamente se refiere a su ubicación en las instalaciones. Dará a conocer a ese sitio un nombre con el que Azure puede referirse a ella, y también especificar el prefijo de espacio de direcciones de la puerta de entrada a la red local.

Azure utilizará la dirección IP prefijo que especifique para identificar el tráfico que enviar a su ubicación en las instalaciones. Esto significa que usted tendrá que especificar cada prefijo de la dirección que desea estar asociado con el portal de acceso a la red local. Puede actualizar fácilmente estos prefijos si los cambios en la red de correo locales.

Al utilizar los ejemplos de PowerShell, tenga en cuenta lo siguiente:

El GatewayIPAddress es la dirección IP de su dispositivo en las instalaciones de VPN. El dispositivo VPN no puede estar situado detrás de un NAT.
El addressPrefix es su espacio de direcciones local.

Para añadir una puerta de entrada a la red local con un único prefijo de la dirección:

Para añadir una puerta de entrada a la red local con múltiples prefijos de direcciones:

Para modificar los prefijos de dirección IP de la puerta de enlace de red local

A veces sus prefijos de puerta de enlace de red local para cambiar. Los pasos a seguir para modificar sus prefijos de direcciones IP dependen de si está o no han creado una conexión de puerta de enlace VPN.

Solicitar una dirección IP pública para el gateway VPN

A continuación, se le solicita una dirección IP pública que se asignará a su puerta de enlace VPN VNet Azure. Esta no es la misma dirección IP que se asigna al dispositivo VPN; Más bien es asignado a la misma puerta de enlace VPN Azure. No se puede especificar la dirección IP que desea utilizar; se asigna dinámicamente a la puerta de enlace. Vamos a usar esta dirección IP al configurar el dispositivo en las instalaciones VPN para conectarse a la puerta de entrada.

Utilizar el ejemplo de PowerShell a continuación. El método de asignación para esta dirección debe ser dinámico.

Nota:

La puerta de enlace VPN Azure para el modelo de implementación Administrador de recursos actualmente sólo es compatible con direcciones IP públicas mediante el método de asignación dinámica. Sin embargo, esto no significa que la dirección IP cambiará. La única vez que cambia la dirección IP del gateway VPN Azure es cuando se elimina la entrada y volver a crear. La dirección de la pasarela IP pública no va a cambiar a través de cambio de tamaño, reposición, mantenimiento u otras interna / mejoras de la puerta de enlace VPN Azure.

 

  1. Crear la puerta de entrada de configuración de direccionamiento IP

La configuración de la pasarela define la subred y la dirección IP pública de su uso. Utilice el ejemplo siguiente para crear la configuración de puerta de enlace.

 

  1. Crear la puerta de enlace de red virtual

En este paso, creará la pasarela de red virtual. Tenga en cuenta que la creación de una pasarela que puede tardar mucho tiempo en completarse. A menudo, 20 minutos o más.

Utilice los siguientes valores:

El -GatewayType para una configuración de sitio a sitio VPN es. El tipo de puerta de enlace es siempre específica a la configuración que se está implementando. Por ejemplo, otras configuraciones de puerta de enlace pueden requerir -GatewayType ExpressRoute.

El -VpnType pueden RouteBased (referido como una puerta de enlace dinámico en alguna documentación), o PolicyBased (referido como una puerta de enlace estático en la parte de la documentación). Para obtener más información sobre los tipos de puerta de enlace VPN, consulte Acerca de VPN Gateways.

El -GatewaySku puede ser básico, estándar o de alto rendimiento.

  1. Configurar el dispositivo VPNEn este punto, usted necesita la dirección IP pública de la puerta de enlace de red virtual para configurar el dispositivo en las instalaciones de VPN. Trabajar con el fabricante del dispositivo para obtener información de configuración específica. Adicionalmente, se refieren a los dispositivos VPN para obtener más información.Para encontrar la dirección IP pública de su puerta de enlace de red virtual, utilice el siguiente ejemplo:

    GetAzureRmPublicIpAddress Name gwpip ResourceGroupName testrg

 

Barracuda

Configurar IPsec de sitio a sitio VPN en la serie X Firewall

 

Crear una conexión VPN IPsec activa en el servidor de seguridad X-Series.
Ir a la página de sitio a sitio (VPN> Site-to-Site).
Si su están utilizando una dirección dinámica (DHCP, xDSL, 3G) para conectarse a Internet, o si está detrás de un NAT permita un uso dinámico de direcciones IP en la sección Servidor de configuración global y haga clic en Guardar. Se reinicia el servicio de VPN.
En la sección de túneles IPSec de sitio a sitio, haga clic en Agregar.
Introduzca el nombre de la VPN IPsec. Por ejemplo, AzureVPNGateway
Configurar los ajustes de la Fase 1 y la Fase 2 encyption:
Fase 1:
Cifrado – AES
Método Hash SHA –
Grupo de DH – Grupo 2
Curso de la vida – 28800
Fase 2:
Cifrado – AES
Método Hash – SHA256
Curso de la vida – 3600
Perfect Forward Secrecy – n
Local End – Activo
Dirección Local – dinámico o estático si está utilizando una conexión WAN estática.
Redes Locales – Introduzca su subred (s) en las instalaciones. Por ejemplo.,
Puerta de enlace remota – Ingrese la IP para el gateway IPADDRESS que aparece en el apartado de su red Azure. Por ejemplo, 137.117203.108
Redes remota – Ingrese la subred remota VPC. Por ejemplo, 10.10.201.0/24
Autenticación – Seleccione Compartida frase de contraseña.
Frase de contraseña – Introduzca la clave compartida generada por el Azure VPN Gateway. Para ver la marcha de clave compartida en el salpicadero de su red Azure y haga clic en el icono de llave en Administrar en el panel inferior.

Picture1Habilitar Agresivo – No.

Picture2

Por ultimo Salvamos

SonicWall

Accede a la IU de administración de SonicWALL.
Vaya a la página> Configuración de VPN.
Cree la siguiente política de VPN:
El IPsec Primaria Nombre o dirección de puerta de enlace debe ser la dirección de la pasarela IP que se muestra en la página de red virtual del portal de administración de Azure.

Picture3

Hemos seleccionado el modo de IKEv2 bajo Exchange porque para el sitio dinámico para localizar VPN, Windows Azure admite sólo IKEv2. Para obtener más información acerca de las propuestas compatibles con Windows Azure.

Picture4

Picture5

Crearemos el Objeto de red.

Picture6

Navegue a la red> Dirección Objetos página
Crea el siguiente objeto de dirección para la red remota Azure.

Picture8

Crearemos las rutas estaticas.

Asegúrese de que la casilla de verificación Auto-añadir reglas de acceso está habilitado para las reglas de acceso de auto-crear a partir de LAN (u otras zonas) para VPN y VPN a partir de LAN (u otras zonas).

  1. Crear la conexión VPN

A continuación, vamos a crear la conexión VPN de sitio a sitio entre el portal de acceso a la red virtual y el dispositivo de VPN. Asegúrese de sustituir los valores con su propio. La clave compartida debe coincidir con el valor que utilizó para su configuración de dispositivos VPN. Tenga en cuenta que la -ConnectionType de Site-to-Site es IPsec.

 

  1. Verificar una conexión VPN

Hay algunas maneras diferentes para verificar su conexión VPN. A continuación, vamos a hablar acerca de cómo hacer la verificación básica utilizando el portal de Azure y mediante el uso de PowerShell.

Para comprobar la conexión a través del portal Azure

Puede verificar una conexión VPN en el portal de Azure navegando a pasarelas de red virtuales> haga clic en el nombre de la pasarela>> Conexiones Ajustes. Al seleccionar el nombre de la conexión, se puede ver más información sobre la conexión. En el siguiente ejemplo, la conexión no está conectado y no hay datos que fluyen a través.

 

connectionverify450.png

 

 

Para comprobar la conexión utilizando PowerShell
También es posible comprobar que la conexión es correcta mediante el uso de Get-AzureRmVirtualNetworkGatewayConnection –Debug . Puede usar el cmdlet siguiente ejemplo, la configuración de los valores para que coincida con el suyo propio. Cuando se le solicite, seleccione A fin de ejecutar todo.

Get-AzureRmVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg -Debug

Después de que el cmdlet ha terminado, desplazarse a través para ver los valores. En el siguiente ejemplo, el estado de la conexión se muestra como conectado y se puede ver de entrada y salida bytes.

  1. Administracion de las redes ya creadas.

 

Para modificar los prefijos de direcciones IP de una puerta de enlace de red local

Si necesita cambiar los prefijos para el portal de acceso a la red local, utilice las siguientes instrucciones. Se proporcionan dos conjuntos de instrucciones. Las instrucciones que se elija dependerá de si ya ha creado su conexión de puerta de enlace VPN.
Añadir o eliminar los prefijos si aún no se ha creado una conexión VPN gateway

Para agregar prefijos de direcciones adicionales a una pasarela de red local que ha creado, pero que aún no cuenta con una conexión de puerta de enlace VPN, utilice el siguiente ejemplo.

$local = Get-AzureRmLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg  Set-AzureRmLocalNetworkGateway -LocalNetworkGateway $local -AddressPrefix @(‘10.0.0.0/24′,’20.0.0.0/24′,’30.0.0.0/24’)

Para eliminar un prefijo de dirección de una pasarela de red local que no tiene una conexión VPN, utilice el siguiente ejemplo. Dejar de lado los prefijos que ya no necesita. En este ejemplo, ya no es necesario prefijar 20.0.0.0/24 (en el ejemplo anterior), por lo que vamos a actualizar la puerta de entrada a la red local y excluir a ese prefijo.

$local = Get-AzureRmLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg Set-AzureRmLocalNetworkGateway -LocalNetworkGateway $local -AddressPrefix @(‘10.0.0.0/24′,’30.0.0.0/24’)

Añadir o eliminar los prefijos si ya ha creado una conexión de puerta de enlace VPN
Si ha creado la conexión VPN y desea añadir o eliminar los prefijos de direcciones IP contenidas en el portal de acceso a la red local, se tendrá que hacer los siguientes pasos en orden. Esto dará como resultado un tiempo de inactividad para su conexión VPN, ya que se necesita para eliminar y reconstruir la puerta de entrada. Sin embargo, debido a que ha solicitado una dirección IP para la conexión, no será necesario volver a configurar el enrutador en las instalaciones de VPN a menos que decida cambiar los valores que se utilizó anteriormente.

Retire la conexión de puerta de enlace.
Modificar los prefijos para el portal de acceso a la red local.
Crear una nueva conexión de puerta de enlace.

Puede utilizar el siguiente ejemplo como guía.

 

Es una traduccion a mi manera del articulo maravilloso de el Technet, y Azure.

 

Espero vuestras opiniones.


maitchovcow

A lo Largo de estos Últimos Años he labrado una carrera enfocada a sistemas, basándome en la consultoría y Arquitectura de plataformas Windows, Novell. He realizado multitud de proyectos partiendo de infraestructura nula, a una avanzada infraestructura basada en mejores prácticas, mayor eficiencia Administrativa, y reduccion de costes; para una gran variedad de clientes, desde la administración publica, hasta empresas multinacionales, y multidisciplinarias. Entre las metas propuestas siempre está la excelencia, el continuo aprendizaje, y la utilización de todas las tecnologías punta del sector, especializándome en almacenamiento, Microsoft, y Tecnologías de Vitalización. En mi futuro no inmediato pero si progresivo me he propuesto enfocar más mi aprendizaje a la gestión mas eficiente de proyectos y enfocarme mucho mas al diseño de arquitecturas. Especialidades: Almacenamiento, FC, MS Exchange, MS Lync, MS SQL, MS SCOM, MS SMS, MS SC, MS SCCM , MS VMM, Hardware Servidores HP-IBM, Blade HP-IBM, FC Switching, FC Routing, VMware ESX 3.X-4.x-5.x, Xen Server, XenApp, Citrix Access Gateway, Citrix Provicioning, Citrix NetScaler, MS Hyper-V, Linux Varios Sabores, Directorio Activo, Open LDAP, Unificación he integración de Systemas, PowerShell, ETC...

Artículos relacionados

Deja un comentario

A %d blogueros les gusta esto: