VPN Gateway com VNet Peering e Roteamento no Azure

Fala pessoal, tudo bem com vocês?

Hoje vou falar sobre como habilitar a comunicação entre um VPN Gateway e outra VNet conectada com emparelhamento, e explicar como funciona a conexão VPN dentro de um VNet Peering com algumas dicas em cenários com VPN Client.

CENÁRIO

Em nosso cenário temos o seguinte:

  1. Ambiente On-premise com VPN Client na rede 192.168.20.0/24;
  2. Dois grupos de recursos, um em cada região (Brasil e EUA)
  3. Virtual Network com a rede 10.0.0.0/16 localizado no Sul do Brasil;
  4. VPN Gateway com a subnet 10.0.1.0/24 que faz parte da mesma rede do Sul do Brasil;
  5. Subnet 10.0.0.0/24 para VM localizada na rede do Sul do Brasil
  6. Virtual Network com a rede 172.16.0.0/16 localizada no Leste dos EUA;
  7. Subnet 172.16.0.0/24 para a VM localizada na rede Leste dos EUA;
  8. Global Peering conectando as duas VNets (Brasil e EUA);
  9. Uma VM em cada subrede descrita acima, para testar a conexão
  10. 10.0.0.4 Endereço VM Windows na região Sul Brasil;
  11. 172.16.0.4 Endereço da VM Linux no Leste dos EUA.

No artigo de hoje não vamos abordar as pré-configurações feitas nesse cenário, se você quiser chegar a esse cenário basta conferir os artigos abaixo:

VPN Cliente-to-site no Azure (LINK)

Global VNet Peering no Azure (LINK)

ENTENDENDO O ROTEAMENTO

Antes mesmo de habilitarmos o gateway remoto em nosso peering, vale a pena entendermos como a comunicação ocorre. Com a VPN conectada, nosso ambiente on-premise já está comunicando com a rede Sul do Brasil, conforme visto abaixo:

Nossa interface de VPN (192.168.20.2) já está comunicando com o Servidor Windows (10.0.0.4) que está na Região Sul do Brasil. Porém não há nenhuma rota para a rede 172.16.0.0/16 conforme podemos ver na tabela de roteamento:

Isso porque não habilitamos o remote gateway em nosso Vnet Peering, porém o servidor Windows já comunica com as duas redes (VPN e EUA) conforme visto abaixo:

CONFIGURAÇÃO

Vamos habilitar a comunicação do VPN Gateway através do VNet Peering, para isso, basta acessar o Emparelhamento dentro da VNet que está sua VPN no Portal do Azure:

Podemos ver que a opção trânsito de gateway está desabilitada, para habilitar basta acessar o emparelhamento e clicar na opção “Definir configuração de trânsito de gateway”:

Agora vamos acessar nossa VNet no Leste dos EUA e habilitar a opção “Denifir configurações de Gateways Remotos

Pronto!!! Feito isso a comunicação entre a VPN e o Peering já estará habilitada e caso você tenha uma VPN Site-to-Site (S2S) o acesso já funcionará.
Agora se você tem vpn cliente-to-site, será necessário fazer um procedimento adicional

RESOLVENDO PROBLEMAS VPN CLIENT E VNET PEERING

Em alguns cenários quando você já possui um ambiente VPN Cliente e você faz o emparelhamento com outra rede, os clientes não atualizam automaticamente a tabela de roteamento e consequentemente a comunicação com a rede emparelhada não funciona.

A Microsoft recomenda que você faça novamente o download do cliente VPN e assim que você reinstalar já vai vir com a rota para a nova rede e assim a comunicação funcionará. Mas há outras maneiras de fazer isso e vou explicar abaixo:

1 – Adicionar a rota para a nova rede Manualmente:

Você pode adicionar manualmente a rota para a rede que está no emparelhamento, conforme mostrado abaixo:

No comando acima eu adicionei a rede 172.16.0.0/16 para sair pela interface da VPN cliente do Azure. O Contra essa opção é que toda vez que você desconectar da VPN terá que adicionar a rota novamente.

2 – Alterar o arquivo de configuração de roteamento do cliente VPN:

Outro jeito de adicionar a nova rota no vpn cliente é acessando o arquivo de configuração das rotas. O arquivo fica em:

%appdata%\Microsoft\Network\Connections\Cm

Lá haverá uma pasta correspondente ao seu VPN Client e dentro dela um arquivo chamado “routes”:

Bastas abrir o arquivo e adicionar a rota no formato “ADD 172.16.0.0 MASK 255.255.0.0 default METRIC default IF default”

Pronto, assim toda vez que você conectar na VPN Client a rota será aplicada.

3 – Download e reinstalação do VPN Cliente

Essa opção é a recomendável pela Microsoft e a mais simples também, basta fazer o download do novo cliente e efetuar a reinstalação

Mesmo a Microsoft recomendando a reinstalação do cliente, o intuito do artigo é ensinar o que roda por trás da estrutura do vpn cliente e como funciona seu roteamento. Com isso você pode criar estratégias e customizar essas soluções para serem aplicadas em massa, caso você possua diversos clientes para atualizar.

Nos vemos nos próximos posts
Até mais 😉