¿Debo usar PolicyBased o RouteBased cuando implemento Azure VPN Gateway?

He decidido crear esta pequeña entrada porque es una pregunta muy recurrente que me suelen hacer y quizás sea bueno hacer una pequeña aclaración aunque para los que llevamos tiempo usando este servicio de Azure la respuesta sea obvia.

Actualmente, cuando vamos a desplegar un recurso Azure VPN Gateway tenemos varias opciones y nos surge la duda de si debemos elegir el tipo PolicyBased (anteriormente conocido como estático) o el tipo RouteBased (anteriormente conocido como dinámico).

La respuesta en nuestro caso dependerá de varios factores, si bien el más importante será si necesitamos tener un rendimiento normal y SLA para garantizar el servicio, puesto que el modo PolicyBased sólo permite el SKU básico. Este modo básico está recomendado únicamente para pruebas y desarrollos donde no sea importante ni el rendimiento ni la calidad del servicio. En pocas palabras, tendremos un rendimiento bajo y podremos sufrir cortes o fallos en la comunicación puesto que el nivel básico no está garantizado.

Además, desde el punto de vista de la seguridad, debemos tener en cuenta que el modo PolicyBased se apoya únicamente en criptografía IKEv1, mientras que el modo RouteBased se apoya en IKEv2 por defecto y además mantiene compatibilidad con IKEv1 para aquellos dispositivos que lo precisen.  

Otro punto interesante es que PolicyBased solo permite configurar conexiones de Punto-a-Sitio (P2S) con el protocolo de túnel de sockets seguro (SSTP), que es un protocolo VPN propio de Microsoft basado en SSL. y solo se admite en dispositivos Windows (Windows 7 o posterior). Sin embargo, con RouteBased podremos usar tambien protocolo OpenVPN®, un protocolo VPN basado en SSL/TLS que puede utilizarse para la conexión desde dispositivos Android, iOS (11.0 y versiones posteriores), Windows, Linux y Mac (OSX 10.13 y versiones posteriores).

Por ultimo, tambien puede ser determinante es que PolicyBased solo nos permite conectar a una única red mientras que con RouteBased se pueden configurar redes complejas multisitio o emparejadas como se explica en las FAQs:

¿Puedo usar un tipo de VPN PolicyBased para las conexiones entre dos redes virtuales o multisitio?

No. Las conexiones entre dos redes virtuales y multisitio requieren puertas de enlace de VPN de Azure con tipos de VPN RouteBased (antes denominado enrutamiento dinámico).

¿Puedo conectar una red virtual con un tipo de VPN RouteBased a otra red virtual con un tipo de VPN PolicyBased?

No, ambas redes virtuales tienen que usar VPN basadas en enrutamiento (antes denominado enrutamiento dinámico).

Con esto creo que tenemos un poco más claro qué decisión debemos tomar a la hora de levantar nuestro túnel VPN en Azure.

Yo en mi caso, lo tengo bastante claro 😉

Referencia: