Configuración de una conexión VPN de punto a sitio mediante la autenticación de certificados de Azure: Azure Portal

Este artículo le ayudará con la conexión segura de clientes que ejecutan Windows, Linux o macOS a una red virtual de Azure. Las conexiones VPN de punto a sitio son útiles cuando desea conectarse a la red virtual desde una ubicación remota, como desde casa o desde una conferencia. También puede usar P2S en lugar de una VPN de sitio a sitio cuando son pocos los clientes que necesitan conectarse a una red virtual. Las conexiones de punto a sitio no requieren un dispositivo VPN ni una dirección IP de acceso público. P2S crea la conexión VPN sobre SSTP (Protocolo de túnel de sockets seguros) o IKEv2. Para más información sobre las conexiones VPN de punto a sitio, consulte Acerca de las conexiones VPN de punto a sitio.

Conexión de un equipo a una red virtual de Azure: diagrama de conexión de punto a sitio .

Para más información sobre las conexiones VPN de punto a sitio, consulte Acerca de las conexiones VPN de punto a sitio. Para crear esta configuración mediante Azure PowerShell, consulte Configuración de una conexión VPN de punto a sitio con Azure PowerShell.

Las conexiones con autenticación mediante certificado de Azure nativas de punto a sitio usan los siguientes elementos, que se configuran en este ejercicio:

  • Una puerta de enlace de VPN RouteBased.
  • La clave pública (archivo .cer) de un certificado raíz, que se carga en Azure. Una vez cargado el certificado, se considera un certificado de confianza y se usa para la autenticación.
  • Un certificado de cliente que se genera a partir del certificado raíz. El certificado de cliente se instalará en todos los equipos cliente que se conecten a la red virtual. Este certificado se usa para la autenticación de cliente.
  • Configuración de cliente de VPN. El cliente VPN se configura mediante los archivos de configuración de cliente de VPN. Estos archivos contienen la información necesaria para que el cliente se conecte a la red virtual. Los archivos configuran el cliente VPN existente que es nativo en el sistema operativo. Cada cliente que se conecta debe configurarse con los valores de los archivos de configuración.

Requisitos previos

Compruebe que tiene una suscripción a Azure. Si todavía no la tiene, puede activar sus ventajas como suscriptor de MSDN o registrarse para obtener una cuenta gratuita.

Valores del ejemplo

Puede usar los siguientes valores para crear un entorno de prueba o hacer referencia a ellos para comprender mejor los ejemplos de este artículo:

Red virtual

  • Nombre de la red virtual: VNet1
  • Espacio de direcciones: 10.1.0.0/16
    En este ejemplo, se utiliza solo un espacio de direcciones. Puede tener más de un espacio de direcciones para la red virtual.
  • Nombre de subred: FrontEnd
  • Intervalo de direcciones de subred: 10.1.0.0/24
  • Subscription (Suscripción): si tiene más de una suscripción, compruebe que usa la correcta.
  • Grupos de recursos: TestRG1
  • Ubicación: Este de EE. UU.

Puerta de enlace de red virtual

  • Nombre de la puerta de enlace de red virtual: VNet1GW
  • Tipo de puerta de enlace: VPN
  • Tipo de VPN: basada en rutas
  • SKU: VpnGw2
  • Generación: Generación 2
  • Intervalo de direcciones de subred de puerta de enlace: 10.1.255.0/27
  • Dirección IP pública: VNet1GWpip

Tipo de conexión y grupo de direcciones de cliente

  • Tipo de conexión: De punto a sitio
  • Grupo de direcciones de clientes: 172.16.201.0/24
    Los clientes de VPN que se conectan a la red virtual mediante esta conexión de punto a sitio reciben una dirección IP del grupo de clientes.

Creación de una red virtual

En esta sección, creará una red virtual.

Nota

Cuando use una red virtual como parte de una arquitectura entre entornos, asegúrese de coordinarse con el administrador de la red local para delimitar un intervalo de direcciones IP que pueda usar específicamente para esta red virtual. Si existe un intervalo de direcciones duplicado en ambos lados de la conexión VPN, el tráfico se enrutará de forma inesperada. Además, si quiere conectar esta red virtual a otra, el espacio de direcciones no puede superponerse con la otra red virtual. Planee la configuración de red en consecuencia.

  1. Inicie sesión en Azure Portal.

  2. En Buscar recursos, servicios y documentos (G +/) , escriba red virtual.

    La captura de pantalla muestra la barra de búsqueda de Azure Portal.

  3. Seleccione Red virtual en los resultados de Marketplace.

    La captura de pantalla muestra los resultados de la barra de búsqueda de Azure Portal y la selección de Red virtual en Marketplace.

  4. En la página Red virtual, seleccione Crear.

    La captura de pantalla muestra la página Red virtual y la selección del botón Crear.

  5. Una vez que haya seleccionado Crear, se abrirá la página Crear red virtual.

  6. En la pestaña Aspectos básicos, configure las opciones de configuración de la red virtual Detalles del proyecto y Detalles de la instancia.

    La captura de pantalla que muestra la pestaña Datos básicos.

    Tras rellenar los campos, verá una marca de verificación verde cuando se validen los caracteres que escribe en el campo. Algunos valores se rellenan automáticamente, que puede sustituir por sus propios valores:

    • Suscripción: compruebe que la suscripción que aparece en la lista es la correcta. Puede cambiar las suscripciones mediante la lista desplegable.
    • Grupo de recursos: seleccione uno existente o haga clic en Crear para crear un grupo de recursos nuevo. Para más información sobre los grupos de recursos, consulte Información general de Azure Resource Manager.
    • Name: escriba el nombre de la red virtual.
    • Región: seleccione la ubicación de la red virtual. La ubicación determina dónde van a residir los recursos que se implementen en esta red virtual.
  7. Configure los valores en la pestaña Direcciones IP. Los valores que se muestran en los ejemplos siguientes son para fines de demostración. Ajuste estos valores según las opciones de configuración que necesite.

    La captura de pantalla muestra la pestaña Direcciones IP.

    • Espacio de direcciones IPv4: de manera predeterminada, se crea automáticamente un espacio de direcciones. Puede hacer clic en el espacio de direcciones para modificarlo a fin de que refleje sus valores. También puede agregar espacios de direcciones adicionales.
    • Subred: si usa el espacio de direcciones predeterminado, se crea automáticamente una subred predeterminada. Si cambia el espacio de direcciones, debe agregar una subred. Seleccione + Agregar una subred para abrir la ventana Agregar subred. Configure las siguientes opciones y, a continuación, seleccione Agregar para agregar los valores:
      • Nombre de subred: en este ejemplo, asignamos a la subred el nombre "FrontEnd".
      • Rango de direcciones de subred: intervalo de direcciones para esta subred.
  8. En la pestaña Seguridad, en este momento, deje los valores predeterminados:

    • Protección contra DDoS: deshabilitada
    • Firewall: Disabled
  9. Seleccione Revisar y crear para validar la configuración de la red virtual.

  10. Una vez validada la configuración, seleccione Crear.

Creación de la puerta de enlace de VPN

En este paso, se crea la puerta de enlace para la red virtual. La creación de una puerta de enlace suele tardar 45 minutos o más, según la SKU de la puerta de enlace seleccionada.

Nota

La SKU de puerta de enlace de nivel Básico no admite la autenticación de IKEv2 o RADIUS. Si planea que clientes Mac se conecten a la red virtual, no use la SKU de nivel Básico.

La puerta de enlace de red virtual usa una subred concreta llamada la subred de la puerta de enlace. Esta subred forma parte del intervalo de direcciones IP de red virtual que se especifican al configurar una red virtual. Contiene las direcciones IP que usan los recursos y servicios de puerta de enlace de la red virtual.

Al crear la subred de puerta de enlace, especifique el número de direcciones IP que contiene la subred. El número de direcciones IP que se necesitan depende de la configuración de puerta de enlace de VPN que se desea crear. Algunas configuraciones requieren más direcciones IP que otras. Es aconsejable crear una subred de puerta de enlace que use /27 o /28.

Si ve un error en el que se indica que el espacio de direcciones se solapa con una subred o que la subred no se encuentra dentro del espacio de direcciones de la red virtual, compruebe el intervalo de direcciones de la red virtual. Es posible que no tenga suficientes direcciones IP disponibles en el intervalo de direcciones que creó para la red virtual. Por ejemplo, si la subred predeterminada engloba todo el intervalo de direcciones, no quedan direcciones IP para crear más subredes. Puede ajustar las subredes en el espacio de direcciones existente para liberar direcciones IP o especificar un intervalo de direcciones adicionales y crear en él la subred de la puerta de enlace.

  1. En Buscar recursos, servicios y documentos (G+/) , escriba puerta de enlace de red virtual. Busque la puerta de enlace de red virtual en los resultados de la búsqueda y selecciónela.

    Captura de pantalla del campo Búsqueda.

  2. En la página Puertas de enlace de red virtual, seleccione + Crear. Se abre la página Crear puerta de enlace de red virtual.

    Captura de pantalla de la página de puertas de enlace de red virtual con la opción Crear resaltada.

  3. En la pestaña Aspectos básicos, rellene los valores de Detalles del proyecto y Detalles de la instancia.

    Captura de pantalla de los campos de Instancia.

    • Suscripción: seleccione la suscripción que desea usar en la lista desplegable.
    • Grupo de recursos: esta configuración se rellena automáticamente cuando selecciona la red virtual en esta página.
    • Name: Asigne un nombre a la puerta de enlace. Asignar nombre a la puerta de enlace no es lo mismo que asignar nombre a una subred de puerta de enlace. Este es el nombre del objeto de puerta de enlace que va a crear.
    • Región: Seleccione la región en la que quiere crear este recurso. La región de la puerta de enlace debe ser la misma que la red virtual.
    • Tipo de puerta de enlace: Seleccione VPN. Las puertas de enlace VPN usan el tipo de puerta de enlace de red virtual VPN.
    • Tipo de VPN: seleccione el tipo de VPN que se especifica para la configuración. La mayoría de las configuraciones requieren un tipo de VPN basada en enrutamiento.
    • SKU: seleccione la SKU de puerta de enlace que desea usar en la lista desplegable. Las SKU que aparecen en la lista desplegable dependen del tipo de VPN que seleccione. Asegúrese de seleccionar una SKU que admita las características que desea usar. Para más información acerca de las SKU de puerta de enlace, consulte SKU de puerta de enlace.
    • Generación: seleccione la generación que desea usar. Consulte SKU de puertas de enlace para más información.
    • Red virtual: En el menú desplegable, seleccione la red virtual a la que quiera agregar esta puerta de enlace.
    • Intervalo de direcciones de subred de puerta de enlace: Este campo solo aparece si la red virtual no tiene una subred de puerta de enlace. Es mejor especificar /27 u otro superior (/26, /25, etc.). Esto permite suficientes direcciones IP para futuros cambios, como agregar una puerta de enlace de ExpressRoute. No se recomienda crear un intervalo inferior a /28. Si ya tiene una subred de puerta de enlace y desea ver los detalles de GatewaySubnet, vaya a la red virtual. Haga clic en Subnets (Subredes) para ver el intervalo. Si desea cambiar el intervalo, puede eliminar y volver a crear GatewaySubnet.
  1. Especifique en los valores de Dirección IP pública. estas opciones de configuración especifican el objeto de dirección IP pública que se asocia a la puerta de enlace de VPN. La dirección IP pública se asigna dinámicamente a este objeto cuando se crea la puerta de enlace de VPN. La única vez que la dirección IP pública cambia es cuando la puerta de enlace se elimina y se vuelve a crear. No cambia cuando se cambia el tamaño, se restablece o se realizan actualizaciones u otras operaciones de mantenimiento interno de una puerta de enlace VPN.

    Captura de pantalla del campo Dirección IP pública.

    • Dirección IP pública: Mantenga la opción Crear nueva seleccionada.
    • Nombre de dirección IP pública: En el cuadro de texto, escriba un nombre para la dirección IP pública.
    • Asignación: VPN Gateway solo admite Dinámica.
    • Habilitar el modo activo/activo: Seleccione Habilitar el modo activo/activo solo si va a crear una configuración de puerta de enlace activa/activa. En caso contrario, deje este valor Deshabilitado.
    • Mantenga Configurar BGP en Deshabilitado, a menos que su configuración requiera específicamente este valor. Si necesita esta configuración, el valor predeterminado del ASN es 65515, aunque esto se puede cambiar.
  2. Seleccione Revisar y crear para ejecutar la validación.

  3. Una vez superada la validación, seleccione Crear para implementar VPN Gateway.

Puede ver el estado de implementación en la página Información general de la puerta de enlace. Una vez creada la puerta de enlace, puede ver la dirección IP que se le ha asignado consultando la red virtual en el portal. La puerta de enlace aparece como un dispositivo conectado.

Importante

Cuando trabaje con subredes de la puerta de enlace, evite asociar un grupo de seguridad de red (NSG) a la subred de la puerta de enlace. La asociación de un grupo de seguridad de red a esta subred puede causar que la puerta de enlace de la red virtual (VPN, puerta de enlace de Express Route) deje de funcionar como cabría esperar. Para más información acerca de los grupos de seguridad de red, consulte ¿Qué es un grupo de seguridad de red?

Generación de certificados

Azure usa certificados para autenticar a los clientes para conectarse a una red virtual a través de una conexión VPN de punto a sitio. Una vez que obtenga el certificado raíz, cargue la información de clave pública en Azure. En ese momento, Azure considera que el certificado raíz es "de confianza" para conectarse de P2S a la red virtual. También genere certificados de cliente desde el certificado raíz de confianza y, a continuación, vuelva a instalarlos en cada equipo cliente. El certificado de cliente se utiliza para autenticar al cliente cuando se inicia una conexión con la red virtual.

Generación de un certificado raíz

Obtenga el archivo .cer del certificado raíz. Puede usar un certificado raíz generado mediante una solución empresarial (opción recomendada) o generar un certificado autofirmado. Después de crear el certificado raíz, exporte los datos (no la clave privada) del certificado público como un archivo .cer con codificación Base64 X.509. Este archivo se carga más adelante en Azure.

  • Certificado de empresa: Si usa una solución empresarial, puede utilizar la cadena de certificados existente. Obtenga el archivo .cer para el certificado raíz que desee usar.

  • Certificado raíz autofirmado: Si no usa una solución de certificado de empresa, cree un certificado raíz autofirmado. En caso contrario, los certificados que cree no serán compatibles con las conexiones de P2S y los clientes recibirán un error de conexión al intentar conectarse. Puede usar Azure PowerShell, MakeCert o bien OpenSSL. Los pasos descritos en los artículos siguientes describen cómo generar un certificado raíz autofirmado compatible:

    • Instrucciones para Windows 10 y PowerShell: estas instrucciones requieren Windows 10 y PowerShell para generar certificados. Los certificados de cliente que se generan desde el certificado raíz pueden instalarse en cualquier cliente P2S compatible.
    • Instrucciones para MakeCert: use MakeCert para generar certificados si no tiene acceso a un equipo con Windows 10. Aunque MakeCert está en desuso, todavía puede usarlo para generar certificados. Los certificados de cliente que se generan desde el certificado raíz pueden instalarse en cualquier cliente P2S compatible.
    • Instrucciones para Linux.

Generación de certificados de cliente

Cada equipo cliente que se conecta a una red virtual con una conexión de punto a sitio debe tener instalado un certificado de cliente. Se genera desde el certificado raíz y se instala en cada equipo cliente. Si no instala ningún certificado de cliente válido, la autenticación no podrá realizarse cuando el cliente trate de conectarse a la red virtual.

Puede generar un certificado único para cada cliente o puede usar el mismo para varios clientes. La ventaja de generar certificados de cliente únicos es la capacidad de revocar un solo certificado. De lo contrario, si varios clientes usan el mismo certificado de cliente para autenticarse y este se revoca, deberá generar e instalar nuevos certificados para cada cliente que use dicho certificado.

Para generar certificados de cliente, use los métodos siguientes:

  • Certificado de empresa:

    • Si usa una solución de certificación de empresa, genere un certificado de cliente con el formato de valor de nombre común nombre@dominio.com. Use este formato en lugar de domain name\username.

    • Asegúrese de que el certificado de cliente se base en la plantilla de certificado de usuario que tenga Autenticación de cliente como primer elemento de la lista de usuarios. Para comprobar el certificado, haga doble clic en él y vea Uso mejorado de clave en la pestaña Detalles.

  • Certificado raíz autofirmado: siga los pasos de alguno de los siguientes artículos de certificados de P2S para que los certificados de cliente que cree sean compatibles con las conexiones de P2S.

    Si genera un certificado de cliente desde un certificado raíz autofirmado, este se instala automáticamente en el equipo que utilizó para generarlo. Si desea instalar un certificado de cliente en otro equipo cliente, expórtelo como un archivo .pfx junto con toda la cadena de certificados. De esta forma, creará un archivo .pfx que contiene la información del certificado raíz necesaria para que el cliente se autentique.

    Los pasos de estos artículos generan un certificado de cliente compatible que puede, posteriormente, exportar y distribuir.

    • Instrucciones para Windows 10 y PowerShell: estas instrucciones requieren Windows 10 y PowerShell para generar certificados. Los certificados generados pueden instalarse en cualquier cliente P2S compatible.

    • Instrucciones para MakeCert: use MakeCert si no tiene acceso a un equipo Windows 10 para generar certificados. Aunque MakeCert está en desuso, todavía puede usarlo para generar certificados. Puede instalar los certificados generados en cualquier cliente P2S compatible.

    • Instrucciones para Linux.

Adición del grupo de direcciones de clientes VPN

El grupo de direcciones de cliente es un intervalo de direcciones IP privadas que usted especifica. Los clientes que se conectan de forma dinámica a través de una VPN de punto a sitio reciben una dirección IP de este intervalo. Use un intervalo de direcciones IP privadas que no se superponga a la ubicación local desde la que se va a conectar ni a la red virtual a la que desea conectarse. Si configura varios protocolos y SSTP es uno de ellos, el grupo de direcciones configurado se divide equitativamente entre los protocolos configurados.

  1. Una vez creada la puerta de enlace de red virtual, navegue hasta la sección Valores de la página de la puerta de enlace de red virtual. En Configuración, seleccione Configuración de punto a sitio. Seleccione Configure now (Configurar ahora) para abrir la página de configuración.

    Página de configuración de punto a sitio.

  2. En la página Configuración de punto a sitio, en el cuadro Grupo de direcciones, agregue el intervalo de direcciones IP privadas que quiere usar. Los clientes VPN reciben de forma dinámica una dirección IP del intervalo que especifique. La máscara de subred mínima es de 29 bits para la configuración activa/pasiva, y de 28 bits para la configuración activa/activa.

  3. Continúe con la sección siguiente para configurar los tipos de autenticación y de túnel.

Especificación del tipo de túnel y el tipo de autenticación

En esta sección, especificará el tipo de túnel y el tipo de autenticación. En la página Configuración de punto a sitio, si no ve Tipo de túnel o Tipo de autenticación, significa que la puerta de enlace usa la SKU básica. La SKU básica no admite la autenticación de IKEv2 o RADIUS. Si quiere usar esta configuración, debe eliminar y volver a crear la puerta de enlace con una SKU de puerta de enlace diferente.

Tipo de túnel

En la página Configuración de punto a sitio, seleccione el tipo de túnel. Al seleccionar el tipo de túnel, tenga en cuenta lo siguiente:

  • El cliente strongSwan de Linux y Android, y el cliente VPN IKEv2 nativo de iOS y macOS solo usarán el tipo de túnel IKEv2 para conectarse.
  • Los clientes Windows probarán primero el túnel IKEv2 y, si no se conecta, recurrirán a SSTP.
  • Puede usar el cliente OpenVPN para conectarse con el tipo de túnel OpenVPN.

Tipo de autenticación

En Tipo de autenticación, seleccione Certificado de Azure.

Captura de pantalla del tipo de autenticación con el certificado de Azure seleccionado.

Carga de la información de clave pública del certificado raíz

En esta sección, cargará los datos del certificado raíz público en Azure. Una vez que se han cargado los datos de certificado público, Azure puede usarlos para autenticar a los clientes que tienen instalado un certificado de cliente generado a partir del certificado raíz de confianza.

  1. Vaya a la página Puerta de enlace de red virtual -> Configuración de punto a sitio en la sección Certificado raíz. Esta sección solo es visible si ha seleccionado el Certificado de Azure como tipo de autenticación.

  2. Asegúrese de exportar el certificado raíz como archivo X.509 codificado en Base 64 (.cer) en los pasos anteriores. Debe exportar el certificado en este formato para poder abrirlo con un editor de texto. No es necesario exportar la clave privada.

    Captura de pantalla que muestra la exportación como archivo X.509 codificado en Base 64.

  3. Abra el certificado con un editor de texto como Bloc de notas. Al copiar los datos del certificado, asegúrese de copiar el texto como una línea continua sin retornos de carro ni avances de línea. Es posible que para ver los retornos de carro y los avances de línea deba cambiar la vista del editor de texto de forma que se muestren los símbolos y todos los caracteres. Copie solo la siguiente sección como una línea continua:

    Captura de pantalla que muestra la información del certificado raíz en el Bloc de notas.

  4. En la sección Certificado raíz, puede agregar hasta 20 certificados raíz de confianza.

    • Pegue los datos del certificado en el campo Datos de certificado público.
    • Asigne un nombre al certificado.

    Captura de pantalla del campo de datos del certificado.

  5. Seleccione Guardar en la parte superior de la página para guardar todos los valores de configuración.

    Captura de pantalla de la configuración de P2S con la opción Guardar seleccionada.

Instalación de un certificado de cliente exportado

Si desea crear una conexión P2S desde un equipo cliente distinto del que usó para generar los certificados de cliente, debe instalar un certificado de cliente. Al instalar un certificado de cliente, necesita la contraseña que se creó cuando se exportó el certificado de cliente.

Asegúrese de que se exportó el certificado de cliente como un .pfx junto con la cadena de certificados completa (que es el valor predeterminado). En caso contrario, la información del certificado raíz no está presente en el equipo cliente y el cliente no podrá realizar la autenticación correctamente.

Para obtener los pasos de instalación, consulte Instalación de un certificado de cliente.

Configuración de los valores de los clientes VPN

Para conectarse a la puerta de enlace de red virtual con P2S, los equipos usan el cliente VPN, que se instala de forma nativa como parte del sistema operativo. Por ejemplo, al ir a la configuración de VPN en el equipo Windows, puede agregar conexiones VPN sin necesidad de instalar un cliente VPN independiente. Cada cliente VPN se configura mediante un paquete de configuración de cliente. El paquete de configuración de cliente contiene la configuración específica de la puerta de enlace de VPN que ha creado.

Para conocer los pasos para generar e instalar archivos de configuración de cliente VPN, consulte Creación e instalación de archivos de configuración de cliente VPN para configuraciones P2S de autenticación con certificados de Azure.

Conexión con Azure

Para conectarse desde un cliente VPN en Windows

Nota

Debe tener derechos de administrador en el equipo cliente de Windows desde el que se va a conectar.

  1. Para conectarse a su red virtual, en el equipo cliente, vaya a la configuración de VPN y localice la conexión VPN que creó. Tiene el mismo nombre que su red virtual. Seleccione Conectar. Es posible que aparezca un mensaje emergente que haga referencia al uso del certificado. Seleccione Continuar para usar privilegios elevados.

  2. En la página de estado Conexión, seleccione Conectar para iniciar la conexión. Si ve una pantalla para Seleccionar certificado , compruebe que el certificado de cliente que se muestra es el que desea utilizar para conectarse. Si no es así, use la flecha de lista desplegable para seleccionar el certificado correcto y, luego, seleccione Aceptar.

    Conectarse desde un equipo Windows

  3. Se ha establecido la conexión.

    Conexión de un equipo a una red virtual de Azure: diagrama de conexión de punto a sitio

Si tiene problemas para conectarse, compruebe los siguientes elementos:

  • Si ha exportado un certificado de cliente con el Asistente para exportar certificados, asegúrese de haberlo exportado como un archivo .pfx y de haber seleccionado Incluir todos los certificados en la ruta de certificación (si es posible). Si lo exporta con este valor, también se exporta la información del certificado raíz. Una vez instalado el certificado en el equipo cliente, también se instala el certificado raíz del archivo .pfx. Para verificar que el certificado raíz está instalado, abra Administrar certificados de usuario y seleccione Entidades de certificación raíz de confianza \Certificados. Verifique que el certificado raíz está presente, ya que es necesario para que la autenticación funcione.

  • Si usó un certificado emitido por una solución de CA empresarial y no puede autenticarse, verifique el orden de autenticación en el certificado de cliente. Compruebe el orden de la lista de autenticación; para ello, haga doble clic en el certificado de cliente, seleccione la pestaña Detalles y, después, seleccione Uso mejorado de clave. Asegúrese de que Autenticación de cliente sea el primer elemento de la lista. Si no es así, emita un certificado de cliente basado en la plantilla Usuario que tenga Autenticación de cliente como primer elemento de la lista.

  • Para información adicional de solución de problemas de P2S, consulte Solución de problemas de conexiones P2S.

Para conectarse desde un cliente VPN en Mac

En el cuadro de diálogo Red, localice el perfil de cliente que quiere usar, especifique la configuración de VpnSettings.xml y, después, haga clic en Conectar. Para obtener instrucciones detalladas, consulte Generación e instalación de archivos de configuración de cliente VPN: macOS.

Si tiene problemas para conectarse, compruebe que la puerta de enlace de red virtual no está usando una SKU de nivel Básico. La SKU de nivel Básico no es compatible con los clientes Mac.

Captura de pantalla que muestra el botón Conectar.

Para comprobar la conexión

Estas instrucciones se aplican a los clientes Windows.

  1. Para comprobar que la conexión VPN está activa, abra un símbolo del sistema con privilegios elevados y ejecute ipconfig/all.

  2. Vea los resultados. Observe que la dirección IP que recibió es una de las direcciones dentro del grupo de direcciones de cliente de VPN punto a sitio que especificó en la configuración. Los resultados son similares a los del ejemplo siguiente:

    PPP adapter VNet1:
       Connection-specific DNS Suffix .:
       Description.....................: VNet1
       Physical Address................:
       DHCP Enabled....................: No
       Autoconfiguration Enabled.......: Yes
       IPv4 Address....................: 172.16.201.3(Preferred)
       Subnet Mask.....................: 255.255.255.255
       Default Gateway.................:
       NetBIOS over Tcpip..............: Enabled
    

Conexión a una máquina virtual

Estas instrucciones se aplican a los clientes Windows.

Puede conectarse a una máquina virtual que se ha implementado en la red virtual mediante la creación de una conexión a Escritorio remoto a la máquina virtual. La mejor manera de comprobar inicialmente que puede conectarse a la máquina virtual es hacerlo mediante su dirección IP privada, en lugar del nombre de equipo. Con este método prueba si puede conectarse, no si la resolución de nombres está configurada correctamente.

  1. Busque la dirección IP privada. Para buscar la dirección IP privada de una máquina virtual, examine sus propiedades en Azure Portal o use PowerShell.

    • Azure Portal: busque la máquina virtual en Azure Portal. Vea las propiedades de la máquina virtual. Se enumera la dirección IP privada.

    • PowerShell: utilice el ejemplo para ver una lista de las máquinas virtuales y las direcciones IP privadas de los grupos de recursos. No es preciso modificar el ejemplo para usarlo.

      $VMs = Get-AzVM
      $Nics = Get-AzNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
      $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
      $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
      $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
      Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. Compruebe que está conectado a su red virtual mediante la conexión VPN de punto a sitio.

  3. Abra Conexión a Escritorio remoto, para lo que debe escribir "RDP" o "Conexión a Escritorio remoto" en el cuadro de búsqueda de la barra de tareas y, después, seleccione Conexión a Escritorio remoto. Conexión a Escritorio remoto también se puede abrir con el comando "mstsc" de PowerShell.

  4. En Conexión a Escritorio remoto, escriba la dirección IP privada de la máquina virtual. Puede hacer clic en "Mostrar opciones" para ajustar más parámetros adicionales y, después, conéctese.

Solución de problemas de una conexión

Si tiene problemas para conectarse a una máquina virtual a través de su conexión VPN, compruebe los siguientes factores:

  • Compruebe que el paquete de configuración de cliente de VPN se generó después de que se especificaran las direcciones IP del servidor DNS para la red virtual. Si actualizó las direcciones IP de servidor DNS, genere un nuevo paquete de configuración de cliente de VPN e instálelo.

  • Use "ipconfig" para comprobar la dirección IPv4 asignada al adaptador de Ethernet en el equipo desde el que está intentando conectarse. Si la dirección IP está dentro del intervalo de direcciones de la red virtual a la que se va a conectar o dentro del intervalo de direcciones de su VPNClientAddressPool, esto se conoce como un espacio de direcciones superpuesto. Cuando el espacio de direcciones se superpone de esta manera, el tráfico de red no llega a Azure, sino que se mantiene en la red local.

Para agregar o quitar certificados raíz de confianza

Puede agregar y quitar certificados raíz de confianza de Azure. Al quitar un certificado raíz, los clientes que tienen un certificado generado a partir de dicha raíz no podrán autenticarse y, por tanto, no podrán conectarse. Si desea que un cliente se autentique y se conecte, es preciso que instale un nuevo certificado de cliente generado a partir de un certificado raíz que sea de confianza (se cargue) en Azure.

Puede agregar hasta 20 archivos .cer de certificado raíz de confianza a Azure. Para ver instrucciones, consulte la sección Carga del archivo .cer del certificado raíz.

Para eliminar un certificado raíz de confianza:

  1. Vaya a la página Configuración de punto a sitio de la puerta de enlace de red virtual.
  2. En la sección Certificado raíz de la página, busque el certificado que desea quitar.
  3. Seleccione los puntos suspensivos junto al certificado y, luego, Quitar.

Para revocar un certificado de cliente

Puede revocar certificados de cliente. La lista de revocación de certificados permite denegar de forma selectiva la conectividad de punto a sitio basada en certificados de cliente individuales. Esto difiere de la forma en que se quita un certificado raíz de confianza. Si quita de Azure un archivo .cer de certificado raíz de confianza, se revoca el acceso para todos los certificados de cliente generados y firmados con el certificado raíz revocado. Al revocarse un certificado de cliente, en lugar del certificado raíz, se permite que el resto de los certificados que se generaron a partir del certificado raíz sigan usándose para la autenticación.

Lo más habitual es usar el certificado raíz para administrar el acceso a nivel de equipo u organización, mientras que los certificados de cliente revocados se usan para un control de acceso específico para usuarios individuales.

Puede revocar un certificado de cliente si agrega la huella digital a la lista de revocación.

  1. Recupere la huella digital del certificado de cliente. Para más información, consulte Cómo recuperar la huella digital de un certificado.
  2. Copie la información en un editor de texto y quite todos los espacios de forma que sea una sola cadena continua.
  3. Vaya a la página Configuración de punto a sitio de la puerta de enlace de red virtual. Se trata de la misma hoja que utilizó para cargar un certificado raíz de confianza.
  4. En la sección Certificados revocados, especifique un nombre descriptivo para el certificado (no es necesario que sea el CN del certificado).
  5. Copie y pegue la cadena de huella digital en el campo Huella digital.
  6. Se valida la huella digital y se agrega automáticamente a la lista de revocación. Aparece un mensaje en la pantalla que indica que se está actualizando la lista.
  7. Una vez finalizada la actualización, el certificado no se puede usar para conectarse. Los clientes que intenten conectarse con este certificado reciben un mensaje que indica que el certificado ya no es válido.

Preguntas más frecuentes sobre la conexión de punto a sitio

Para ver las preguntas más frecuentes, consulte las preguntas más frecuentes.

Pasos siguientes

Una vez completada la conexión, puede agregar máquinas virtuales a las redes virtuales. Consulte Virtual Machines para más información. Para más información acerca de las redes y las máquinas virtuales, consulte Información general sobre las redes de máquina virtual con Linux y Azure.

Para obtener información sobre solución de problemas de P2S, vea Solución de problemas: conexión de punto a sitio de Azure.