Configuración de una conexión VPN de punto a sitio a una red virtual mediante varios tipos de autenticación: Azure Portal

  • Artículo

Este artículo le ayudará con la conexión segura de clientes que ejecutan Windows, Linux o macOS a una red virtual de Azure. Las conexiones VPN de punto a sitio son útiles cuando desea conectarse a la red virtual desde una ubicación remota, como desde casa o desde una conferencia. También puede usar P2S en lugar de una VPN de sitio a sitio cuando son pocos los clientes que necesitan conectarse a una red virtual. Las conexiones de punto a sitio no requieren un dispositivo VPN ni una dirección IP de acceso público. P2S crea la conexión VPN sobre SSTP (Protocolo de túnel de sockets seguros) o IKEv2. Para más información sobre las conexiones VPN de punto a sitio, consulte Acerca de las conexiones VPN de punto a sitio.

Conexión de un equipo a una red virtual de Azure: diagrama de conexión de punto a sitio

Para más información sobre las conexiones VPN de punto a sitio, consulte Acerca de las conexiones VPN de punto a sitio. Para crear esta configuración mediante Azure PowerShell, consulte Configuración de una conexión VPN de punto a sitio con Azure PowerShell.

Requisitos previos

Compruebe que tiene una suscripción a Azure. Si todavía no la tiene, puede activar sus ventajas como suscriptor de MSDN o registrarse para obtener una cuenta gratuita.

Solo se admiten varios tipos de autenticación en la misma puerta de enlace de VPN con el tipo de túnel OpenVPN.

Valores de ejemplo

Puede usar los siguientes valores para crear un entorno de prueba o hacer referencia a ellos para comprender mejor los ejemplos de este artículo:

  • Nombre de la red virtual: VNet1
  • Espacio de direcciones: 10.1.0.0/16
    En este ejemplo, se utiliza solo un espacio de direcciones. Puede tener más de un espacio de direcciones para la red virtual.
  • Nombre de subred: FrontEnd
  • Intervalo de direcciones de subred: 10.1.0.0/24
  • Subscription (Suscripción): si tiene más de una suscripción, compruebe que usa la correcta.
  • Grupos de recursos: TestRG1
  • Ubicación: Este de EE. UU.
  • GatewaySubnet: 10.1.255.0/27
  • SKU: VpnGw2
  • Generación: Generación 2
  • Tipo de puerta de enlace: VPN
  • Tipo de VPN: basada en rutas
  • Nombre de dirección IP pública: VNet1GWpip
  • Tipo de conexión: De punto a sitio
  • Grupo de direcciones de clientes: 172.16.201.0/24
    Los clientes de VPN que se conectan a la red virtual mediante esta conexión de punto a sitio reciben una dirección IP del grupo de clientes.

Creación de una red virtual

Antes de empezar, compruebe que tiene una suscripción a Azure. Si todavía no la tiene, puede activar sus ventajas como suscriptor de MSDN o registrarse para obtener una cuenta gratuita.

Nota:

Cuando use una red virtual como parte de una arquitectura entre entornos, asegúrese de coordinarse con el administrador de la red local para delimitar un intervalo de direcciones IP que pueda usar específicamente para esta red virtual. Si existe un intervalo de direcciones duplicado en ambos lados de la conexión VPN, el tráfico se enrutará de forma inesperada. Además, si quiere conectar esta red virtual a otra, el espacio de direcciones no puede superponerse con la otra red virtual. Planee la configuración de red en consecuencia.

  1. Inicie sesión en Azure Portal.

  2. En Buscar recursos, servicios y documentos (G+/) en la parte superior de la página del portal, escriba red virtual. Seleccione Red virtual en los resultados de búsqueda de Marketplace para abrir la página Red virtual.

  3. En la página Red virtual, seleccione Crear para abrir la página Crear red virtual.

  4. En la pestaña Aspectos básicos, configure las opciones de la red virtual en Detalles del proyecto y Detalles de la instancia. Verá una marca de verificación verde cuando se validen los valores que escriba. Puede ajustar los valores que se muestran en el ejemplo según la configuración que necesite.

    Captura de pantalla que muestra la ficha Datos básicos.

    • Suscripción: compruebe que la suscripción que aparece en la lista es la correcta. Puede cambiar las suscripciones mediante el cuadro desplegable.
    • Grupo de recursos: Seleccione uno existente o seleccione Crear nuevo para crear uno. Para más información sobre los grupos de recursos, consulte Información general de Azure Resource Manager.
    • Name: escriba el nombre de la red virtual.
    • Región: Seleccione la ubicación de la red virtual. La ubicación determina dónde van a residir los recursos que implemente en esta red virtual.

  5. Seleccione Siguiente o Seguridad para ir a la pestaña Seguridad. Para este ejercicio, mantenga los valores predeterminados para todos los servicios de esta página.

  6. Seleccione Direcciones IP para ir a la pestaña Direcciones IP. Configure los valores en la pestaña Direcciones IP.

    • Espacio de direcciones IPv4: de manera predeterminada, se crea automáticamente un espacio de direcciones. Puede seleccionar el espacio de direcciones y modificarlo para que refleje sus valores. También puede agregar un espacio de direcciones diferente y quitar el valor predeterminado que se creó automáticamente. Por ejemplo, puede especificar la dirección inicial como 10.1.0.0 y especificar el tamaño del espacio de direcciones como /16. A continuación, seleccione Agregar para agregar ese espacio de direcciones.

    • + Agregar subred: Si usa el espacio de direcciones predeterminado, se crea automáticamente una subred predeterminada. Si cambia el espacio de direcciones, agregue una nueva subred dentro de ese espacio de direcciones. Seleccione + Agregar una subred para abrir la ventana Agregar subred. Configure las siguientes opciones y, a continuación, seleccione Agregar al final de la página para agregar los valores.

      • Nombre de subred: Un ejemplo es FrontEnd.
      • Rango de direcciones de subred: intervalo de direcciones para esta subred. Algunos ejemplos de ello son 10.1.0.0 y /24.

  7. Revise la página Direcciones IP y quite los espacios de direcciones o subredes que no necesite.

  8. Seleccione Revisar y crear para validar la configuración de la red virtual.

  9. Después de validar la configuración, seleccione Crear para crear la red virtual.

Puerta de enlace de red virtual

En este paso, se crea la puerta de enlace para la red virtual. La creación de una puerta de enlace suele tardar 45 minutos o más, según la SKU de la puerta de enlace seleccionada.

Nota:

La SKU de puerta de enlace básica no admite el tipo de túnel OpenVPN.

La puerta de enlace de red virtual requiere una subred específica denominada GatewaySubnet. La subred de puerta de enlace forma parte del intervalo de direcciones IP de la red virtual y contiene las direcciones IP que usan los servicios y los recursos de la puerta de enlace de red virtual.

Al crear la subred de puerta de enlace, especifique el número de direcciones IP que contiene la subred. El número de direcciones IP que se necesitan depende de la configuración de puerta de enlace de VPN que se desea crear. Algunas configuraciones requieren más direcciones IP que otras. Es mejor especificar /27 o superior (/26, /25, etc.) para la subred de puerta de enlace.

Si ve un error en el que se indica que el espacio de direcciones se superpone con una subred o que la subred no se encuentra dentro del espacio de direcciones de la red virtual, compruebe el intervalo de direcciones de la red virtual. Es posible que no tenga suficientes direcciones IP disponibles en el intervalo de direcciones que creó para la red virtual. Por ejemplo, si la subred predeterminada engloba todo el intervalo de direcciones, no quedan direcciones IP para crear más subredes. Puede ajustar las subredes en el espacio de direcciones existente para liberar direcciones IP o especificar un intervalo de direcciones adicionales y crear en él la subred de la puerta de enlace.

  1. En Buscar recursos, servicios y documentos (G+/), escriba puerta de enlace de red virtual. Busque Puerta de enlace de red virtual en los resultados de búsqueda de Marketplace y selecciónelo para abrir la página Crear puerta de enlace de red virtual.

  2. En la pestaña Aspectos básicos, rellene los valores de Detalles del proyecto y Detalles de la instancia.

    Captura de pantalla que muestra los campos Instancia.

    • Subscripción: Seleccione la suscripción que quiere usar en la lista desplegable.

    • Grupo de recursos: Este valor se rellena automáticamente cuando se selecciona la red virtual en esta página.

    • Name: Asigne un nombre a la puerta de enlace. Asignar un nombre a la puerta de enlace no es el mismo que asignar un nombre a una subred de puerta de enlace. Este es el nombre del objeto de puerta de enlace que va a crear.

    • Región: Seleccione la región en la que quiere crear este recurso. La región de la puerta de enlace debe ser la misma que la red virtual.

    • Tipo de puerta de enlace: Seleccione VPN. Las puertas de enlace VPN usan el tipo de puerta de enlace de red virtual VPN.

    • SKU: En la lista desplegable, seleccione el SKU de puerta de enlace que admita las características que desea usar. Consulte SKU de puerta de enlace. En el portal, los SKU disponibles de la lista desplegable dependen de la opción de la opción de VPN type que seleccione. El SKU Básico solo se puede configurar mediante PowerShell o la CLI de Azure. No se puede configurar el SKU Básico en Azure Portal.

    • Generación: seleccione la generación que desea usar. Se recomienda usar una SKU de segunda generación. Consulte SKU de puertas de enlace para más información.

    • Red virtual: En la lista desplegable, seleccione la red virtual a la que quiere agregar esta puerta de enlace. Si no puede ver la red virtual para la que desea crear una puerta de enlace, asegúrese de haber seleccionado la suscripción y la región correctas en la configuración anterior.

    • Intervalo de direcciones de subred de puerta de enlace o subred: La subred de puerta de enlace es necesaria para crear una puerta de enlace de VPN.

      En este momento, este campo puede mostrar varias opciones de configuración diferentes, según el espacio de direcciones de la red virtual y de si ya ha creado una subred denominada GatewaySubnet para la red virtual.

      Si no tiene una subred de puerta de enlace y no ve la opción de crear una en esta página, vuelva a la red virtual y cree la subred de puerta de enlace. A continuación, vuelva a esta página y configure la puerta de enlace de VPN.

  1. Especifique los valores de Dirección IP pública. estas opciones de configuración especifican el objeto de dirección IP pública que se asocia a la puerta de enlace de VPN. La dirección IP pública se asigna a este objeto cuando se crea la puerta de enlace de VPN. La única vez que la dirección IP pública principal cambia es cuando la puerta de enlace se elimina y se vuelve a crear. No cambia cuando se cambia el tamaño, se restablece o se realizan actualizaciones u otras operaciones de mantenimiento interno de una puerta de enlace VPN.

    Captura de pantalla que muestra el campo Dirección IP pública.

    • Tipo de dirección IP pública: si se le presenta esta opción, seleccione Estándar. La SKU de dirección IP pública básica solo se admite para las puertas de enlace de VPN de SKU básica.
    • Dirección IP pública: Mantenga la opción Crear nueva seleccionada.
    • Nombre de la dirección IP pública: En el cuadro de texto, escriba un nombre para la dirección IP pública.
    • SKU de dirección IP pública: la configuración se selecciona automáticamente.
    • Asignación: la asignación suele seleccionarse automáticamente. Para la SKU estándar, la asignación siempre es estática.
    • Habilitar el modo activo/activo: seleccione Deshabilitado. Habilite esta configuración solo si va a crear una configuración de puerta de enlace activa-activa.
    • Configurar BGP: Seleccione Deshabilitado, a menos que su configuración requiera específicamente este valor. Si necesita este valor de configuración, el valor predeterminado del ASN es 65515, aunque esto se puede cambiar.

  2. Seleccione Revisar y crear para ejecutar la validación.

  3. Una vez superada la validación, seleccione Crear para implementar VPN Gateway.

Puede ver el estado de implementación en la página Información general de la puerta de enlace. En general, una puerta de enlace puede tardar 45 minutos o más en crearse e implementarse completamente. Una vez creada la puerta de enlace, puede ver la dirección IP que se le ha asignado consultando la red virtual en el portal. La puerta de enlace aparece como un dispositivo conectado.

Importante

No se admiten grupos de seguridad de red (NSG) en la subred de puerta de enlace. La asociación de grupos de seguridad de red a esta subred podría causar que la puerta de enlace de la red virtual (puertas de enlace de ExpressRoute y VPN) dejase de funcionar como cabría esperar. Para más información acerca de los grupos de seguridad de red, consulte ¿Qué es un grupo de seguridad de red?

Grupo de direcciones de clientes

El grupo de direcciones de cliente es un intervalo de direcciones IP privadas que usted especifica. Los clientes que se conectan de forma dinámica a través de una VPN de punto a sitio reciben una dirección IP de este intervalo. Use un intervalo de direcciones IP privadas que no se superponga a la ubicación local desde la que se va a conectar ni a la red virtual a la que desea conectarse. Si configura varios protocolos y SSTP es uno de ellos, el grupo de direcciones configurado se divide equitativamente entre los protocolos configurados.

  1. Una vez creada la puerta de enlace de red virtual, navegue hasta la sección Valores de la página de la puerta de enlace de red virtual. En Configuración, seleccione Configuración de punto a sitio. Seleccione Configure now (Configurar ahora) para abrir la página de configuración.

    Captura de pantalla de la página de configuración de punto a sitio.

  2. En la página Configuración de punto a sitio, puede configurar diversas opciones. En el cuadro Grupo de direcciones, agregue el intervalo de direcciones IP privadas que quiere usar. Los clientes VPN reciben de forma dinámica una dirección IP del intervalo que especifique. La máscara de subred mínima es de 29 bits para la configuración activa/pasiva, y de 28 bits para la configuración activa/activa.

    Captura de pantalla del grupo de direcciones de cliente.

  3. Continúe con la sección siguiente para configurar los tipos de autenticación y de túnel.

Tipos de autenticación y de túnel

En esta sección, configurará el tipo de autenticación y el tipo de túnel. En la página Configuración de punto a sitio, si no ve Tipo de túnel o Tipo de autenticación, significa que la puerta de enlace usa la SKU básica. La SKU básica no admite la autenticación de IKEv2 o RADIUS. Si quiere usar esta configuración, debe eliminar y volver a crear la puerta de enlace con una SKU de puerta de enlace diferente.

Importante

Azure Portal está en proceso de actualizar los campos de Azure Active Directory a Entra. Si ve que se hace referencia a Microsoft Entra ID y aún no ve esos valores en el portal, puede seleccionar los valores de Azure Active Directory.

Captura de pantalla de los tipos de autenticación y tipo de túnel.

Tipo de túnel

En la página Configuración de punto a sitio, seleccione los tipos deseados. Las opciones son:

  • OpenVPN (SSL)
  • SSTP (SSL)
  • IKEv2
  • IKEv2 y OpenVPN (SSL)
  • IKEv2 y SSTP (SSL)

Tipo de autenticación

En Tipo de autenticación, seleccione los tipos que quiera. Las opciones son:

  • Certificado de Azure
  • RADIUS
  • Microsoft Entra ID

Vea la tabla siguiente para comprobar qué mecanismos de autenticación son compatibles con los tipos de túnel seleccionados.

Tipo de túnel Mecanismo de autenticación
OpenVPN Cualquier subconjunto de Microsoft Entra ID, la autenticación Radius y el certificado de Azure
SSTP Autenticación Radius/Certificado de Azure
IKEv2 Autenticación Radius/Certificado de Azure
IKEv2 y OpenVPN Autenticación de Radius/ certificado de Azure/ Microsoft Entra ID y autenticación de Radius/ Microsoft Entra ID y certificado de Azure
IKEv2 y SSTP Autenticación Radius/Certificado de Azure

Nota:

En el caso del tipo de túnel "IKEv2 y OpenVPN" y los mecanismos de autenticación seleccionados "Microsoft Entra ID y Radius" o "Microsoft Entra ID y certificado de Azure", Microsoft Entra ID solo funcionará para OpenVPN, ya que no es compatible con IKEv2

En función de los tipos de autenticación seleccionados, verá distintos campos de configuración que tendrán que rellenarse. Rellene la información necesaria y seleccione Guardar en la parte superior de la página para guardar todas las opciones de configuración.

Para obtener más información sobre el tipo de autenticación, consulte:

Paquete de configuración de cliente VPN

Los clientes VPN deben configurarse con las opciones de configuración de cliente. El paquete de configuración de cliente VPN contiene archivos con los valores para configurar clientes VPN con el fin de conectarse a una red virtual a través de una conexión P2S.

Para obtener instrucciones sobre cómo generar e instalar archivos de configuración de un cliente VPN, use el artículo relativo a su configuración:

Authentication Tipo de túnel Generación de archivos de configuración Configuración de cliente VPN
Certificado de Azure IKEv2, SSTP Windows Cliente VPN nativo
Certificado de Azure OpenVPN Windows - Cliente OpenVPN
- Cliente VPN de Azure
Certificado de Azure IKEv2, OpenVPN macOS-iOS macOS-iOS
Certificado de Azure IKEv2, OpenVPN Linux Linux
Microsoft Entra ID OpenVPN (SSL) Windows Windows
Microsoft Entra ID OpenVPN (SSL) macOS macOS
RADIUS: certificado - Artículo Artículo
RADIUS: contraseña - Artículo Artículo
RADIUS: otros métodos - Artículo Artículo

Preguntas frecuentes sobre la conexión de punto a sitio

Para obtener información sobre las preguntas más frecuentes sobre la conexión de punto a sitio, consulte las secciones correspondientes de las preguntas más frecuentes de VPN Gateway.

Pasos siguientes

Una vez completada la conexión, puede agregar máquinas virtuales a las redes virtuales. Consulte Virtual Machines para más información. Para más información acerca de las redes y las máquinas virtuales, consulte Información general sobre las redes de máquina virtual con Linux y Azure.

Para obtener información sobre solución de problemas de P2S, vea Solución de problemas: conexión de punto a sitio de Azure.