VPN Gateway y ExpressRoute

Conectividad híbrida entre Azure y entornos on-premises o remotos. El AZ-104 evalúa cuándo usar VPN Gateway vs ExpressRoute, tipos de conexión VPN y configuración básica de cada uno.

Contenido

VPN Gateway — conceptos
Tipos de VPN y SKUs
Site-to-Site (S2S)
Point-to-Site (P2S)
VNet-to-VNet
ExpressRoute
VPN Gateway vs ExpressRoute

VPN Gateway — conceptos

Un VPN Gateway es un tipo de Virtual Network Gateway que envía tráfico cifrado entre una VNet de Azure y una ubicación on-premises (o entre VNets) a través de internet mediante IPsec/IKE.

Se despliega en la GatewaySubnet de la VNet. Solo puede haber un VPN Gateway por VNet. La creación tarda 25-45 minutos.

Componentes necesarios

•GatewaySubnet en la VNet (mínimo /27, mejor /26)
•Virtual Network Gateway (el recurso de gateway en Azure)
•Public IP address asignada al gateway
•Local Network Gateway (representa el lado on-premises)
•Connection (enlaza el VPN GW con el Local Network GW)

Local Network Gateway

•Recurso Azure que representa tu red on-premises
•Contiene: IP pública del dispositivo VPN on-premises
•Contiene: rangos de IPs de la red on-premises (CIDR)
•Si usas BGP: contiene el ASN y la IP del peer BGP
•Puede actualizarse si cambia la IP on-premises

Tipos de VPN

•Route-based (recomendado): rutas dinámicas IKEv2. Soporta S2S, P2S, VNet-to-VNet, coexistencia con ExpressRoute.
•Policy-based (legacy): rutas estáticas IKEv1. Solo soporta S2S. Una sola conexión. Para dispositivos VPN más antiguos.

SKUs de VPN Gateway

SKU	Throughput	Túneles S2S	Conexiones P2S	BGP	Notas
Basic	100 Mbps	10	128	—	Dev/test solo. No soporta zone-redundancy. No recomendado para prod.
VpnGw1	650 Mbps	30	250	✓	Producción pequeña/mediana. Soporta IKEv1/v2.
VpnGw2	1 Gbps	30	500	✓	Producción mediana.
VpnGw3	1.25 Gbps	30	1000	✓	Alta disponibilidad con muchas conexiones P2S.
VpnGw1AZ	650 Mbps	30	250	✓	Zone-redundant. SLA 99.99%. Recomendado para producción crítica.
VpnGw2AZ / GW3AZ	1-1.25 Gbps	30	500-1000	✓	Zone-redundant + alta capacidad.

Site-to-Site (S2S)

Características S2S

• Conecta toda la red on-premises con Azure mediante IPsec/IKE
• Requiere dispositivo VPN on-premises con IP pública estática
• Tráfico cifrado — viaja por internet público
• Ancho de banda: hasta 1.25 Gbps (limitado por el gateway)
• Latencia variable — depende de la conexión a internet
• Múltiples túneles S2S: hasta 30 por gateway (según SKU)
• Soporta Active-Active para alta disponibilidad

Alta disponibilidad en VPN Gateway

Active-Standby (default)

Azure mantiene dos instancias pero solo una activa. Failover en 10-15 seg (planned) o 60-90 seg (unplanned). Sin costo adicional.

Active-Active

Ambas instancias activas simultáneamente. Requiere dos IP públicas y BGP. Mayor throughput y failover más rápido. Requiere dos túneles en el dispositivo VPN.

Point-to-Site (P2S)

Point-to-Site permite a usuarios individuales (laptops, equipos remotos) conectarse a la VNet de Azure mediante VPN desde cualquier lugar.

OpenVPN (TCP 443)

Compatible con clientes de múltiples plataformas (Windows, macOS, Linux, Android, iOS). Usa puerto 443 — pasa por la mayoría de firewalls corporativos.

SSTP (TCP 443)

Secure Socket Tunneling Protocol. Solo Windows. Usa TLS sobre TCP 443. Nativo en Windows — no requiere cliente adicional.

IKEv2 (UDP 500/4500)

Estándar de IKE versión 2. Rápido reconexión (mobike). Soportado en macOS/iOS nativamente. Puede ser bloqueado por algunos firewalls (UDP).

Autenticación P2S

Certificados

Certificados raíz en Azure + certificados de cliente. El más común en el examen.

Azure AD / Entra ID

MFA incluido. Requiere OpenVPN. Útil para usuarios con cuentas Azure AD.

RADIUS

Integración con servidor RADIUS on-premises (Active Directory, NPS).

ExpressRoute

ExpressRoute proporciona conectividad privada dedicada entre Azure y tu red on-premises a través de un proveedor de conectividad (carrier). El tráfico NO pasa por internet — viaja por una conexión privada y confiable.

Características

• Velocidades desde 50 Mbps hasta 100 Gbps
• Latencia predecible y consistente (no variable como internet)
• Sin exposición a internet — ideal para datos sensibles
• SLA del 99.95% (con redundancia) o 99.9%
• Acceso a todos los servicios Azure (no solo VNets)
• ExpressRoute Global Reach: conectar redes on-premises entre sí via Azure

Modelos de peering

Azure Private Peering

Conecta tu red on-premises a VNets de Azure. Para IaaS y PaaS en VNets.

Microsoft Peering

Conecta a servicios Microsoft públicos (M365, Azure PaaS public endpoints) sin pasar por internet.

VPN Gateway vs ExpressRoute

Característica	VPN Gateway	ExpressRoute
Medio de transporte	Internet público (cifrado)	Conexión privada dedicada
Velocidad máx	1.25 Gbps (por gateway)	Hasta 100 Gbps
Latencia	Variable — depende de internet	Predecible y baja — SLA garantizado
Cifrado	IPsec/IKE — siempre cifrado	No cifrado por defecto (privado, no internet). MACsec disponible.
SLA	99.9% (Active-Standby) / 99.99% (Zone-redundant)	99.95% (dual-circuit) / 99.9% (single)
Costo	Menor — pago por gateway + egress	Mayor — circuito dedicado + proveedor
Tiempo de provisión	25-45 min	Semanas (requiere proveedor de conectividad)
Caso de uso	Conectividad básica, dev/test, backup de ER, home office	Migración masiva de datos, cargas críticas, cumplimiento regulatorio

Coexistencia VPN + ExpressRoute

Es posible tener ambos simultáneamente: ExpressRoute como canal principal y VPN como failover. Requiere un VPN Gateway de tipo Route-based y un ExpressRoute Gateway en la misma GatewaySubnet. En caso de fallo del circuito ER, el tráfico automáticamente failover a la VPN.

¿Entendiste este tema?

Pon a prueba lo que acabas de aprender

Una empresa necesita conectar su datacenter on-premises a Azure con 5 Gbps de ancho de banda garantizado, baja latencia predecible y sin que el tráfico pase por internet por requisitos de cumplimiento. ¿Qué solución es adecuada?