Uma rede virtual privada (VPN) permite rotear o tráfego de rede em uma rede pública (normalmente a Internet) de maneira privada e segura. Na verdade, uma VPN usa uma conexão de túnel privado permitindo o fluxo de tráfego entre sua rede local e outra rede.
Passo a passo
Configurar Virtual Network Gateway no Azure
01 – Faça login no portal do Azure
02 – No portal do Azure pesquise por Virtual Network.
03 – Na tela Virtual networks clique em Create.
04 – Na tela Create virtual network selecione a assinatura, grupo de recursos, nome para vnet e região em seguida clique em Next: IP Addressess.
05 – Em IP Addresses para a opção IPv4 address space digite o endereço IP da rede “172.16.0.0/22”, em seguida clique em Add subnet, na tela Add subnet em Subnet name digite um nome, em Subnet address range adicione o endereço IP da subnet “172.16.0.0/24” em seguida clique em Save.
06 – Em seguida clique em Review + create.
07 – Em Review + create clique em create.
08 – Como podemos observar a virtual network foi criada.
09 – No portal pesquise por Virtual Network Gateway.
10 – Na tela virtual Network Gateway clique em Create.
11 – Na tela Create virtual network gateway selecione a assinatura, digite um nome para o recurso, selecione a região, para aopção Gateway type selecione VPN em VPN Type selecione Route-based, selecione o SKU de acordo com a sua necessida, em nosso ambiente vamos utilizar o VpnGW1, em Virtual Network selecione a vnet “vnet-vpn”, em Gateway subnet address range será criado um subnet que será utilizado pelo virtual network gateway, a sugestão do recurso é criar um subnet com o range /24, vamos alterar para um /27 que tem endereços ips suficiente para a subnet do virtual network gateway.
Em Public IP address deixe selecionado create new, em Public IP address name digite um nome para o recurso “PIP-GW-PRD”, para a opção Enable active-active mode clique em Disabled, em seguida clique em Review + create.
12 – Em Review + create clique em Create.
13 – Como podemos observar o recurso foi provisionado, clique em Go to resource.
14 – Na tela do Virtual network gateway “GW-PRD” copie o Public IP address, vamos precisar dessa informação para a configuração do lado da AWS.
Configurar VPN na AWS
16 – Faça login no AWS Management Console.
https://aws.amazon.com/pt/console/
17 – No Console da AWS pesquise por VPC.
18 – Em VPC dashaboard clique em Create VPC.
20 – Na tela create VPC selecione VPC only, em Name tag digite um nome para a vpc “VPC-Produção”, em IPv4 CIDR digite o endereço IP da rede “192.168.1.0/24”, em seguida clique em Create VPC.
21 – Como podemos observar a VPC foi criada, clique em Actions e selecione Edit VPC settings.
22 – Após selecionar a VPC em DNS settings selecione Enable DNS hostnames e clique em Save.
23 – Em Virtual private cloud clique em Subnets, em seguida clique em Create subnet.
24 – Na tela create subnet selecione a VPC “VPC-Produção”, em subnet name digite um nome para a subnet “subnet-produção” para a opção IPv4 CIDR block vamos adicionar o endereço 192.168.1.0/24, em seguida clique em Create subnet.
27 – Como a nossa VPC será publica precisamos criar um Internet gateway, em Virtual Private cloud clique em internet gateways em seguida clique em Create internet gateway.
28 – Digite um nome para o recurso e clique em create internet gateway.
29 – Após criar o internet gateway clique em Attach to VPC.
30 – Na tela Attach to VPC selecione a vpc “VPC-Produção” e clique em Attach internet gateway.
31 – Em virtual private cloud vamos renomear o route table defaut para RTB-Produção.
33 – Em Route table em Subnet associations podemos observar que a subnet “subnet-produçaõ” está associada.
34 – De volta a tela Route tables clique em Actions e selecione Edit routes.
35 – Na tela Edit routes clique em Add route adicione o endereço 0.0.0.0/0, em Target selecione Internet Gateway em seguite selecione o internet gateway “Produção-igw”, clique em Save changes.
36 – Como podemos observar a rota foi criada.
37 – Em Security selecione Security groups, selecione o security group default em seguida clique em Actions, selecione Edit inbound rules.
38 – Remova a regra default e clique Add rule, em Type selecione SSH em Source digite o endereço IP da virtual network do Azure “172.16.0.0/24” e clique em Save rules.
39 – Clique Add rule em Type selecione All ICMP – IPv4 em Source digite o IP endereço IP da virtual network do Azure “172.16.0.0/24” e clique em Save rules.
40 – De volta a tela Security Groups vamos renomerar o security groups defaut para “Security Group Produção”
Criar o Customer Gateways
41 – Na tela VPC dashboard em Virtual private network (VPN) selecione Customer gateways.
42 – Na tela Customer gateways clique em Create customer gateway.
43 – Na tela Create customer gateway em Name tag digite um nome para o recurso, para a opção BGP ASN vamos deixar o valor padrão, em IP address digite o IP Publico do Virtual network gateway do Azure “20.168.227.13”, em seguida clique em Create customer gateway.
44 – Como podemos observar o customer gateway foi criado.
Criar o Virtual Private Gateways
45 – Na tela VPC dashboard clique em Virtual private gateways.
46 – Na tela Virtual private gateways clique em Create virtual private gateway.
47 – Na tela Create virtual private gateway em Name tag digite um nome para o recurso, para a opção Autonomous System Number (ASN) selecione Amazon default ASG, em seguida clique em Create virtual private gateway.
48 – Como podemos observar o Virtual private gateway foi criado.
49 – Selecione o virtual private gateway “jadsonalves-VPN-VPG” em Actions clique em Attach to VPC.
50 – Na tela Attach to VPC selecione a VPC “VPC-Produção” em seguida clique em Attach to VPC.
51 – Aguarde alguns minutos para que o Virtual private gateway seja atachado a VPC.
52 – Após atualizar a tela do Virtual private gateways o status agora é Attached.
Criar Site-to-Site VPN Connections
53 – Na tela VPC dashboard em Virtual private network (VPN) selecione Site-to-Site VPN connections.
54 – Na tela VPN connections clique em Create VPN connection.
55 – Na tela VPN connection digite um nome para o recurso, para a opção Target gateway type Info selecione o Virtual private gateway, em Virtual private gateway selecione “jadsonalves-VPN-VPG”, em Customer gateway selecione Existing para a opção Customer gateway ID selecione “jadsonalves-VPN”, para a opção Routing options selecione Static em Static IP prefixes digite o endereço da subnet do Microsoft Azure que deseja estabelecer a conexão “172.16.0.0/24”, deixe as demais configurações como padrão e clique em Create VPN connection.
56 – Como podemos observar o VPN connection ainda está sendo criado, está com o State Pending vamos aguardar a finalização da criação do recurso.
57 – Como podemos observar o VPN conenction está com o State Available.
58 – Após selecionar o VPC connection “jadsonalves-VPN-Connection” clique em Tunnel details e observe que temos dois IPs publicos que vamos utilizar na VPN.
59 – Para configurarmos a VPN na outra ponta, ou seja no Microsoft Azure vamos precisar baixar o arquivo de configuração, nesse arquivo temos as informações necessários para configurar a VPN.
60 – Na tela Download configuration em Vendor selecione Generic, para a opção IKE Version selecione Ikev2, deixe as demais configurações como padrão e clique em Download.
61 – No arquivo de configuração que baixamos temos as informações necessários para fecharmos o tunel de VPN.
Tunnel #1
Tunnel #2
Configurar o Local network gateway
Será necessário criar dois local network gateway, um para cada tunel do VPN connections da AWS.
Criar Local network gateway 01
62 – No Microsoft Azure pesquise por Local network gateways.
63 – Na tela Local network gateways clique em + Create.
64 – Na tela Create local network gateway selecione a assinatura e grupo de recursos, em Region selecione East US, em seguida digite um nome para o recurso “LGW-AWS-01”, em IP address digite o endereço IP publico do Tunnel 1 do Virtual Private Gateway da AWS “3.71.210.237”, para a opção Address Space digite o endereço IP da subnet da AWS “192.168.1.0/24”, em seguida clique em Review + create.
65 – Na tela Review + create verfique se todas as informações estão corretas e clique em Create.
66 – Como podemos observar o recurso foi provisionado.
Criar Local network gateway 02
67 – No Microsoft Azure pesquise por Local network gateways.
68 – Na tela local network gateways clique em Create.
69 – Na tela Create local network gateway selecione a assinatura e grupo de recursos, em Region selecione East US, em seguida digite um nome para o recurso “LGW-AWS-02”, em IP address digite o endereço IP publico do Tunnel 2 do Virtual Private Gateway da AWS “18.194.30.95”, para a opção Address Space digite o endereço IP da subnet da AWS “192.168.1.0/24”, em seguida clique em Review + create.
70 – Na tela Review + create verfique se todas as informações estão corretas e clique em Create.
71 – Como podemos observar o recurso foi provisionado.
Criar Connections
Connection Tunnel 1
72 – No portal do Azure pesquise por Connections.
73 – Na tela Connections clique em + Create.
74 – Na tela Create connection selecione a assinatura e grupo de recursos, para a opção Connection type selecione Site-to-Site (IPsec) em seguida digite um nome para o recurso “VPN-AWS-01”, selecione a região que deseja criar o recurso e clique em Next : Settings.
75 – Em Settings selecione o Virtual network gateway “GW-PRD-02”, em seguida selecione o Local network gateway “LGW-AWS-01”, para a opção Shared key (PSK) vamos adicionar a informação do arquivo de configuração da AWS, em IKE Protocol selecione IKEv2, em seguida clique em Review + create.
76 – Na tela Review + create clique em Create.
77 – Como podemos observar o recurso foi criado, clique em Go to resource.
78 – Como podemos observar o Status da conexão está como Unkwon, vamos aguardar alguns minutos até conectar.
Connection Tunnel 1
79 – No portal do Azure pesquise por Connections.
80 – Na tela Connections clique em + create.
81 – Na tela Create connection selecione a assinatura e grupo de recursos, para a opção Connection type selecione Site-to-Site (IPsec), em seguida digite um nome para o recurso “VPN-AWS-02”, selecione a região que deseja criar o recurso e clique em Next : Settings.
82 – Em Settings selecione o Virtual network gateway “GW-PRD” em seguida selecione o Local network gateway “LGW-AWS-02” para a opção Shared key (PSK) vamos adicionar a informação do arquivo de configuração da AWS, em IKE Protocol selecione IKEv2 em seguida clique em Review + create.
83 – Na tela Review + create clique em Create.
84 – Como podemos observar o recurso foi criado, clique em Go to resource.
85 – Como podemos observar o Status da conexão está como Unkwon, vamos aguardar alguns minutos até conectar
86 – Após aguardar alguns minutos em connection podemos observar que o connection VPN-AWS-01 e VPN-AWS-02 estão conectados.
87 – No Azure criamos uma máquina virtual Ubuntu para testamos a comunição entre a máquina do Azure e instância da AWS.
88 – No NSG liberamos o ICMP e SSH da subnet da AWS 192.168.1.0/24 para a subnet do Azure 172.16.0.0/24.
Source – 192.168.1.0/24
Destination – 172.16.0.0/24
Adicionar Rota AWS
Vamos encaminhar todo o trafego da subnet da AWS “172.16.0.0/24” para o Virtual Private Gateway.
89 – Em VPC dashboard selecione route tables, após selecionar o route table “RTB-Produção”, clique em Actions e selecione Edit route propagation.
90 – Em Edit route propagation em Propagation clique em Enable, em seguida clique em Save.
Validando a conexão da VPN na AWS
91 – Na tela VPC dashboard em Virtual private network (VPN) clique em Site-to-Site VPN connections, como podemos observar o status do tunnel 1 e tunnel 2 esta Up.
Instância EC2
92 – Na AWS temos uma intancia Linux criada para testamos a comunição entre o Azure e AWS.
Testando a comunicação dos ambiente
93 – Para validarmos a comunição dos ambiente Azure e AWS vamos executar um ping entre as máquinas virtuais VM-VPN-Azure e VM-VPN-AWS.
Máquina virtual “VM-VPN-Azure” – 172.16.0.4
Máquina virtual “VM-VPN-AWS” – 192.168.1.40
94 – Como podemos observar as máquinas conseguem se comunicar por ICMP, ou seja uma máquina consegue pingar a outra.
Ping máquina virtual VM-VPN-AWS “192.168.1.40” para a máquina virtual VM-VPN-Azure “172.16.0.4”.
Ping máquina virtual VM-VPN-Azure “172.16.0.4” para a máquina virtual VM-VPN-AWS “192.168.1.40” .
95 – Acessando remotamente a máquina VM-VPN-Azure “172.16.0.4” por SSH através da máquina VM-VPN-AWS “192.168.1.40”.
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post.
Me siga nas redes sociais:
https://lnkd.in/enx4eSV
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud
Computing e Cloud Security.
Forte atuação em projetos de Cloud Security no Microsoft Azure e com tecnologias de
segurança do Microsoft 365.
Tenho Experiência em Microsoft Azure, Microsoft 365, AWS e Windows Server.
Sou Microsoft MVP na categoria Microsoft Azure, AWS Communit Builder Security & Identity e
MCT.