VPN Gateway com VNet Peering e Roteamento no Azure
Fala pessoal, tudo bem com vocês?
Hoje vou falar sobre como habilitar a comunicação entre um VPN Gateway e outra VNet conectada com emparelhamento, e explicar como funciona a conexão VPN dentro de um VNet Peering com algumas dicas em cenários com VPN Client.
CENÁRIO
Em nosso cenário temos o seguinte:
- Ambiente On-premise com VPN Client na rede 192.168.20.0/24;
- Dois grupos de recursos, um em cada região (Brasil e EUA)
- Virtual Network com a rede 10.0.0.0/16 localizado no Sul do Brasil;
- VPN Gateway com a subnet 10.0.1.0/24 que faz parte da mesma rede do Sul do Brasil;
- Subnet 10.0.0.0/24 para VM localizada na rede do Sul do Brasil
- Virtual Network com a rede 172.16.0.0/16 localizada no Leste dos EUA;
- Subnet 172.16.0.0/24 para a VM localizada na rede Leste dos EUA;
- Global Peering conectando as duas VNets (Brasil e EUA);
- Uma VM em cada subrede descrita acima, para testar a conexão
- 10.0.0.4 Endereço VM Windows na região Sul Brasil;
- 172.16.0.4 Endereço da VM Linux no Leste dos EUA.
No artigo de hoje não vamos abordar as pré-configurações feitas nesse cenário, se você quiser chegar a esse cenário basta conferir os artigos abaixo:
VPN Cliente-to-site no Azure (LINK)
Global VNet Peering no Azure (LINK)
ENTENDENDO O ROTEAMENTO
Antes mesmo de habilitarmos o gateway remoto em nosso peering, vale a pena entendermos como a comunicação ocorre. Com a VPN conectada, nosso ambiente on-premise já está comunicando com a rede Sul do Brasil, conforme visto abaixo:
Nossa interface de VPN (192.168.20.2) já está comunicando com o Servidor Windows (10.0.0.4) que está na Região Sul do Brasil. Porém não há nenhuma rota para a rede 172.16.0.0/16 conforme podemos ver na tabela de roteamento:
Isso porque não habilitamos o remote gateway em nosso Vnet Peering, porém o servidor Windows já comunica com as duas redes (VPN e EUA) conforme visto abaixo:
CONFIGURAÇÃO
Vamos habilitar a comunicação do VPN Gateway através do VNet Peering, para isso, basta acessar o Emparelhamento dentro da VNet que está sua VPN no Portal do Azure:
Podemos ver que a opção trânsito de gateway está desabilitada, para habilitar basta acessar o emparelhamento e clicar na opção “Definir configuração de trânsito de gateway”:
Agora vamos acessar nossa VNet no Leste dos EUA e habilitar a opção “Denifir configurações de Gateways Remotos”
Pronto!!! Feito isso a comunicação entre a VPN e o Peering já estará habilitada e caso você tenha uma VPN Site-to-Site (S2S) o acesso já funcionará.
Agora se você tem vpn cliente-to-site, será necessário fazer um procedimento adicional
RESOLVENDO PROBLEMAS VPN CLIENT E VNET PEERING
Em alguns cenários quando você já possui um ambiente VPN Cliente e você faz o emparelhamento com outra rede, os clientes não atualizam automaticamente a tabela de roteamento e consequentemente a comunicação com a rede emparelhada não funciona.
A Microsoft recomenda que você faça novamente o download do cliente VPN e assim que você reinstalar já vai vir com a rota para a nova rede e assim a comunicação funcionará. Mas há outras maneiras de fazer isso e vou explicar abaixo:
1 – Adicionar a rota para a nova rede Manualmente:
Você pode adicionar manualmente a rota para a rede que está no emparelhamento, conforme mostrado abaixo:
No comando acima eu adicionei a rede 172.16.0.0/16 para sair pela interface da VPN cliente do Azure. O Contra essa opção é que toda vez que você desconectar da VPN terá que adicionar a rota novamente.
2 – Alterar o arquivo de configuração de roteamento do cliente VPN:
Outro jeito de adicionar a nova rota no vpn cliente é acessando o arquivo de configuração das rotas. O arquivo fica em:
%appdata%\Microsoft\Network\Connections\Cm
Lá haverá uma pasta correspondente ao seu VPN Client e dentro dela um arquivo chamado “routes”:
Bastas abrir o arquivo e adicionar a rota no formato “ADD 172.16.0.0 MASK 255.255.0.0 default METRIC default IF default”
Pronto, assim toda vez que você conectar na VPN Client a rota será aplicada.
3 – Download e reinstalação do VPN Cliente
Essa opção é a recomendável pela Microsoft e a mais simples também, basta fazer o download do novo cliente e efetuar a reinstalação
Mesmo a Microsoft recomendando a reinstalação do cliente, o intuito do artigo é ensinar o que roda por trás da estrutura do vpn cliente e como funciona seu roteamento. Com isso você pode criar estratégias e customizar essas soluções para serem aplicadas em massa, caso você possua diversos clientes para atualizar.
Nos vemos nos próximos posts
Até mais 😉