Creación de una conexión VPN de usuario P2S mediante Azure Virtual WAN: autenticación de Azure AD

En este artículo se muestra cómo usar Virtual WAN para conectarse a los recursos de Azure. En este artículo, creará una conexión VPN de usuario de punto a sitio para Virtual WAN, que usa la autenticación de Azure Active Directory (Azure AD). La autenticación de Azure AD solo está disponible para puertas de enlace que usan el protocolo OpenVPN.

Nota

La autenticación de Azure AD solo es compatible con las conexiones del protocolo OpenVPN® y requiere el cliente VPN de Azure.

En este artículo aprenderá a:

• Creación de una instancia de Virtual WAN
• Crear una configuración de VPN de usuario
• Descargar un perfil de VPN de usuario de WAN virtual
• Crear un centro virtual
• Editar un centro para agregar una puerta de enlace P2S
• Conectar una red virtual a un centro virtual
• Descargar y aplicar la configuración de cliente VPN
• Visualizar la instancia de Virtual WAN

Antes de empezar

Antes de comenzar con la configuración, compruebe que se cumplen los criterios siguientes:

• Tiene una red virtual a la que quiere conectarse. Compruebe que ninguna de las subredes de sus redes locales se superpone a las redes virtuales a las que quiere conectarse. Para crear una red virtual en Azure Portal consulte este Inicio rápido.

• Su red virtual no tiene ninguna puerta de enlace de red virtual. Si la red virtual tiene alguna puerta de enlace (ya sea VPN o ExpressRoute), tiene que quitarla. Esta configuración requiere que las redes virtuales estén conectadas a la puerta de enlace del centro de conectividad de Virtual WAN.

• Obtenga un intervalo de direcciones IP para la región del concentrador. El centro de conectividad es una red virtual que Virtual WAN crea y usa. El intervalo de direcciones que especifique para el centro de conectividad no se puede superponer a ninguna de las redes virtuales existentes a las que ya esté conectado. Tampoco puede superponerse con los intervalos de direcciones a los que se conecta en el entorno local. Si no está familiarizado con los intervalos de direcciones IP ubicados en la configuración de red local, consulte a alguien que pueda proporcionarle estos detalles.

• Si no tiene una suscripción a Azure, cree una cuenta gratuita.

Creación de una instancia de Virtual WAN

Desde un explorador, navegue al Portal de Azure e inicie sesión con su cuenta de Azure.

1. En el portal, en la barraBuscar recursos, escriba Virtual WAN en el cuadro de búsqueda y seleccioneEntrar.

2. Seleccione Redes WAN virtuales de los resultados. En la página Redes WAN virtuales, seleccione Crear para abrir la página Crear una red WAN.

3. En la página Crear una red WAN, en la pestaña Aspectos básicos, rellene los campos. Modifique los valores de ejemplo que se aplicarán a su entorno.

   

   • Suscripción: seleccione la suscripción que quiere usar.
   • Grupo de recursos: créelo o utilice uno existente.
   • Ubicación del grupo de recursos: elija una ubicación para los recursos de la lista desplegable. Una red WAN es un recurso global y no reside en una región determinada. No obstante, tiene que seleccionar una región con el fin de administrar y ubicar el recurso de WAN que cree.
   • Nombre: escriba el nombre que quiera asignar a su la red WAN virtual.
   • Tipo: Básico o Estándar. Seleccione Estándar. Si selecciona Básico, entienda que las redes WAN virtuales básicas solo pueden contener centros de conectividad básicos. Los centros de conectividad básicos solo se pueden usar para conexiones de sitio a sitio.

4. Una vez rellenos los campos, en la parte inferior de la página, seleccione Revisar y crear.

5. Una vez que se haya superado la validación, seleccione Crear para crear la WAN virtual.

Crear una configuración de VPN de usuario

Una configuración de VPN de usuario define los parámetros para conectarse a los clientes remotos. Es importante crear la configuración de VPN de usuario antes de definir el centro virtual con la configuración de P2S, ya que debe especificar la configuración de VPN de usuario que quiere usar.

1. Vaya a la página Virtual WAN ->Configuraciones de VPN de usuario y haga clic en +Crear una configuración de VPN de usuario.

   

2. Especifique los parámetros en la página Aspectos básicos.

   

   • Nombre de la configuración: escriba el nombre que desea asignar a la configuración de VPN de usuario.
   • Tipo de túnel: seleccione OpenVPN en el menú desplegable.

3. Haga clic en Azure Active Directory para abrir la página.

   

   Cambie Azure Active Directory a Sí y proporcione los siguientes valores en función de los detalles del inquilino. Puede ver los valores necesarios en la página Azure Active Directory para aplicaciones empresariales del portal.

   • Método de autenticación: seleccione Azure Active Directory.

   • Público: escriba el identificador de aplicación de la aplicación de Azure VPN Enterprise registrada en el inquilino de Azure AD.

   • Emisor - https://sts.windows.net/<your Directory ID>/

   • Inquilino de AAD: valor de TenantID del inquilino de Azure AD

     • Escriba https://login.microsoftonline.com/{AzureAD TenantID}/ para AD público de Azure.
     • Escriba https://login.microsoftonline.us/{AzureAD TenantID/ para AD de Azure Government.
     • Escriba https://login-us.microsoftonline.de/{AzureAD TenantID/ para AD de Azure Alemania.
     • Escriba https://login.chinacloudapi.cn/{AzureAD TenantID/ para AD de China 21Vianet.

4. Haga clic en Crear para crear la configuración de VPN de usuario. Seleccionará esta configuración más adelante en el ejercicio.

Creación de un centro vacío

En este ejercicio se crea un centro virtual vacío. En la sección siguiente se agrega una puerta de enlace a un centro ya existente. Aunque también es posible combinar estos pasos y crear el centro con la configuración de la puerta de enlace P2S todo a la vez. Después de configurar los valores, haga clic en Revisar y crear para validar y, a continuación, en Crear.

1. Vaya a la red WAN virtual que ha creado. En el panel izquierdo de la página de virtual WAN, en Conectividad, seleccione Centros de conectividad.

2. En la página Centros de conectividad, seleccione + Nuevo centro de conectividad para abrir la página Crear centro de conectividad virtual.

   

3. En la página Crear centro de conectividad virtual, en la pestaña Aspectos básicos rellene los siguientes campos:

   • Región: seleccione la región en la que quiere implementar el centro de conectividad virtual.
   • Nombre: nombre por el que desea que se conozca el centro de conectividad virtual.
   • Espacio de direcciones privadas del centro de conectividad: intervalo de direcciones del centro de conectividad en la notación CIDR. El espacio de direcciones mínimo para crear un centro de conectividad es /24.
   • Capacidad del centro virtual: seleccione de la lista desplegable. Para más información, consulte Configuración de un centro de conectividad virtual.
   • Preferencia de enrutamiento del centro: este campo solo está disponible como parte de la versión preliminar de las preferencias de enrutamiento del centro de conectividad virtual y solo se puede ver en el portal de versión preliminar. Consulte Preferencia de enrutamiento del centro de conectividad virtual para más información.

Incorporación de una puerta de enlace P2S a un centro

En esta sección se muestra cómo agregar una puerta de enlace a un centro virtual ya existente. El centro puede tardar hasta 30 minutos en terminar de actualizarse.

1. Vaya a la página Centros de conectividad de la red WAN virtual.

2. Seleccione el centro al que quiere asociar la configuración del servidor VPN y haga clic en los puntos suspensivos ( ... ) para mostrar el menú. Luego haga clic en Editar centro de conectividad virtual.

   

3. En la página Editar centro de conectividad virtual, active las casillas Incluir puerta de enlace de VPN para los sitios VPN e Incluir puerta de enlace de punto a sitio para mostrar la configuración. Luego configure los valores.

   

   • Unidades de escalado de puerta de enlace: seleccione las unidades de escalado de puerta de enlace. Las unidades de escalado representan la capacidad agregada de la puerta de enlace de VPN de usuario. Si selecciona 40 o más unidades de escalado de puerta de enlace, planee el grupo de direcciones de cliente en consecuencia. Para obtener información sobre cómo afecta este valor al grupo de direcciones de cliente, vea Acerca de los grupos de direcciones de cliente. Para obtener información sobre las unidades de escalado de puerta de enlace, vea Preguntas más frecuentes.
   • Configuración de VPN de usuario: seleccione la configuración que ha creado antes.
   • Grupo de direcciones de cliente: especifique el grupo de direcciones de cliente desde el que se van a asignar direcciones IP a los clientes VPN. Este valor corresponde a las unidades de escalado de puerta de enlace que ha establecido.

4. Haga clic en Confirmar. La actualización del centro puede tardar hasta 30 minutos.

Conexión de una red virtual a un centro de conectividad

En esta sección, creará una conexión entre el centro virtual y la red virtual.

1. Vaya a la instancia de Virtual WAN.

2. En el panel izquierdo, en Conectividad, seleccione Conexiones de red virtual.

3. En la página Conexiones de red virtual, haga clic en + Agregar conexión.

   

4. En la página Agregar conexión, configure la configuración necesaria. Para obtener más información acerca de la configuración de enrutamiento, consulte Acerca del enrutamiento.

   

   • Nombre de la conexión: asigne un nombre a la conexión.
   • Centros de conectividad: seleccione el centro de conectividad que desea asociar a esta conexión.
   • Suscripción: compruebe la suscripción.
   • Grupo de recursos: grupo de recursos que contiene la red virtual.
   • Red virtual: seleccione la red virtual que quiere conectar con este centro de conectividad. La red virtual que seleccione no puede tener una puerta de enlace de red virtual ya existente.
   • Propagate to none (Propagar a ninguno): se establece en No de manera predeterminada. Si cambia el conmutador a Sí, las opciones de configuración para la opción Propagate to Route Tables (Propagar a tablas de enrutamiento) y Propagate to labels (Propagar a etiquetas) no estarán disponibles para la configuración.
   • Associate Route Table (Asociar tabla de rutas): puede seleccionar la tabla de rutas que quiere asociar.
   • Rutas estáticas: puede usar esta opción para especificar el próximo salto.

5. Una vez haya configurado los valores deseados, seleccione Crear para crear la conexión.

Descarga de un perfil de VPN de usuario

Todas las opciones de configuración necesarias para los clientes VPN se incluyen en un archivo ZIP de configuración del cliente VPN. Los valores del archivo ZIP ayudan a configurar los clientes VPN. Los archivos de configuración del cliente VPN que genera son específicos de la configuración de VPN de usuario de la puerta de enlace. En esta sección se generan y se descargan los archivos que se usan para configurar los clientes VPN.

1. Para generar un paquete de configuración de cliente VPN del perfil global de nivel WAN, vaya a Virtual WAN.

2. En el panel de la izquierda, seleccione Configuraciones de VPN de usuario.

3. Seleccione la configuración para la que quiere descargar el perfil.

4. Seleccione Descargar perfil de VPN de usuario de WAN virtual.

5. En la página de descarga, seleccione EAPTLS y, a continuación, Generar y descargar perfil. Se genera un paquete de perfil (archivo zip) que contiene las opciones de configuración del cliente y que se descarga en el equipo. El contenido del paquete depende de las opciones de autenticación y túnel de la configuración.

Configuración de clientes VPN de usuario

Cada equipo que se conecta debe tener un cliente instalado. Puede configurar cada cliente mediante los archivos de perfil de cliente de usuario de VPN descargados en los pasos anteriores. Use el artículo correspondiente al sistema operativo al que quiera conectarse.

Para configurar clientes VPN de macOS (versión preliminar)

Para obtener instrucciones de cliente de macOS, vea Configuración de un cliente VPN: macOS (versión preliminar).

Para configurar clientes VPN de Windows

1. Descargue la versión más reciente de los archivos de instalación del cliente VPN de Azure mediante uno de los vínculos siguientes:

   • Instale con los archivos de instalación de cliente: https://aka.ms/azvpnclientdownload.
   • Instale directamente, cuando haya iniciado sesión en un equipo cliente: Microsoft Store.

2. Instale el cliente VPN de Azure en cada equipo.

3. Compruebe que el cliente VPN de Azure tenga permiso para ejecutarse en segundo plano. Para los pasos, consulte Aplicaciones en segundo plano en Windows.

4. Para comprobar la versión de cliente instalada, abra el cliente VPN de Azure. Vaya al final del cliente y haga clic en ... -> ? Ayuda. En el panel derecho, puede ver el número de versión del cliente.

Para importar un perfil de cliente VPN (Windows)

1. En la página, seleccione Importar.

   

2. Busque el archivo xml de perfil y selecciónelo. Con el archivo seleccionado, seleccione Abrir.

   

3. Especifique el nombre del perfil y seleccione Guardar.

   

4. Seleccione Conectar para conectarse a la VPN.

   

5. Una vez conectado, el icono se volverá verde y diráConectado.

   

Para eliminar un perfil de cliente: Windows

1. Seleccione los puntos suspensivos junto al perfil de cliente que quiera eliminar. Después, seleccione Quitar.

   

2. Seleccione Quitar para eliminar.

   

Diagnóstico de problemas de conexión: Windows

1. Para diagnosticar problemas de conexión, puede usar la herramienta Diagnosticar. Seleccione los puntos suspensivos (...) junto a la conexión de VPN que desea diagnosticar para que se muestre el menú. Después, seleccione Diagnosticar.

   

2. En la página Propiedades de conexión, seleccione Ejecutar diagnóstico.

   

3. Inicie sesión con sus credenciales.

   

4. Ver los resultados del diagnóstico.

   

Visualizar la instancia de Virtual WAN

1. Vaya a la instancia de Virtual WAN.
2. En la página Información general, cada punto del mapa representa un concentrador.
3. En la sección de concentradores y conexiones, puede ver estado del concentrador, sitio, región, estado de la conexión VPN y bytes de entrada y salida.

Limpieza de recursos

Cuando ya no necesite los recursos que ha creado, elimínelos. Algunos recursos de Virtual WAN deben eliminarse en un orden determinado debido a las dependencias. La eliminación puede tardar unos 30 minutos.

1. Abra la red WAN virtual que ha creado.

2. Seleccione un centro de conectividad virtual asociado a la WAN virtual para abrir su página.

3. Elimine todas las entidades de puerta de enlace siguiendo el orden que se indica a continuación para cada tipo de puerta de enlace. Esta operación puede tardar hasta 30 minutos.

   VPN:

   • Desconecte los sitios de VPN
   • Elimine las conexiones de VPN
   • Elimine las puertas de enlace de VPN

   ExpressRoute:

   • Elimine las conexiones de ExpressRoute
   • Elimine las puertas de enlace de ExpressRoute

4. Repita el procedimiento para todos los centros de conectividad asociados a la WAN virtual.

5. Puede eliminar los centros en este momento o más adelante, cuando elimine el grupo de recursos.

6. En Azure Portal, vaya al grupo de recursos.

7. Seleccione Eliminar grupo de recursos. Así se eliminan los demás recursos del grupo de recursos, incluidos los centros de conectividad y la WAN virtual.

Pasos siguientes

Para más información sobre Virtual WAN, consulte la página Introducción a Virtual WAN.