Acerca de las conexiones VPN de punto a sitioAbout Point-to-Site VPN

  • Tiempo de lectura: 24 minutos

Una conexión de puerta de enlace de VPN de punto a sitio (P2S) permite crear una conexión segura a la red virtual desde un equipo cliente individual.A Point-to-Site (P2S) VPN gateway connection lets you create a secure connection to your virtual network from an individual client computer. Se establece una conexión de punto a sitio al iniciarla desde el equipo cliente.A P2S connection is established by starting it from the client computer. Esta solución resulta útil para los teletrabajadores que deseen conectarse a redes virtuales de Azure desde una ubicación remota, por ejemplo, desde casa o un congreso.This solution is useful for telecommuters who want to connect to Azure VNets from a remote location, such as from home or a conference. La conexión VPN de punto a sitio también es una solución útil en comparación con la conexión VPN de sitio a sitio cuando solo necesitan conectarse a la red virtual algunos clientes.P2S VPN is also a useful solution to use instead of S2S VPN when you have only a few clients that need to connect to a VNet. Este artículo se aplica al modelo de implementación de Resource Manager.This article applies to the Resource Manager deployment model.

¿Qué protocolo utiliza P2S?What protocol does P2S use?

La conexión VPN de punto a sitio usa uno de los siguientes protocolos:Point-to-site VPN can use one of the following protocols:

  • Protocolo OpenVPN®, un protocolo VPN basado en SSL/TLS.OpenVPN® Protocol, an SSL/TLS based VPN protocol. Una solución de VPN basada en TLS puede penetrar firewalls, puesto que la mayoría de ellos abre el puerto TCP 443 saliente, que usa TLS.A TLS VPN solution can penetrate firewalls, since most firewalls open TCP port 443 outbound, which TLS uses. OpenVPN puede utilizarse para la conexión desde dispositivos Android, iOS (11.0 y versiones posteriores), Windows, Linux y Mac (OSX 10.13 y versiones posteriores).OpenVPN can be used to connect from Android, iOS (versions 11.0 and above), Windows, Linux and Mac devices (OSX versions 10.13 and above).

  • El protocolo de túnel de sockets seguro (SSTP), que es un protocolo VPN propio basado en TLS.Secure Socket Tunneling Protocol (SSTP), a proprietary TLS-based VPN protocol. Una solución de VPN basada en TLS puede penetrar firewalls, puesto que la mayoría de ellos abre el puerto TCP 443 saliente, que usa TLS.A TLS VPN solution can penetrate firewalls, since most firewalls open TCP port 443 outbound, which TLS uses. El protocolo SSTP solo se admite en dispositivos Windows.SSTP is only supported on Windows devices. Azure es compatible con todas las versiones de Windows que tienen SSTP (Windows 7 y versiones posteriores).Azure supports all versions of Windows that have SSTP (Windows 7 and later).

  • La conexión VPN IKEv2, una solución de VPN con protocolo de seguridad de Internet basada en estándares.IKEv2 VPN, a standards-based IPsec VPN solution. La conexión VPN IKEv2 puede utilizarse para la conexión desde dispositivos Mac (versión de OSX 10.11 y versiones posteriores).IKEv2 VPN can be used to connect from Mac devices (OSX versions 10.11 and above).

Nota

IKEv2 y OpenVPN para P2S están disponibles para el modelo de implementación de Resource Manager.IKEv2 and OpenVPN for P2S are available for the Resource Manager deployment model only. No están disponibles para el modelo de implementación clásico.They are not available for the classic deployment model.

¿Cómo se autentican los clientes VPN de punto a sitio?How are P2S VPN clients authenticated?

Para que Azure acepte una conexión VPN de punto a sitio, el usuario primero debe autenticarse.Before Azure accepts a P2S VPN connection, the user has to be authenticated first. Azure ofrece dos mecanismos para autenticar los usuarios que se conectan.There are two mechanisms that Azure offers to authenticate a connecting user.

Autenticación con certificados nativos de AzureAuthenticate using native Azure certificate authentication

Con la autenticación con certificados nativos de Azure, para autenticar el usuario que se conecta, se usa un certificado de cliente presente en el dispositivo.When using the native Azure certificate authentication, a client certificate that is present on the device is used to authenticate the connecting user. Los certificados de cliente se generan a partir de un certificado raíz de confianza y se instalan en cada equipo cliente.Client certificates are generated from a trusted root certificate and then installed on each client computer. Puede, o bien, usar un certificado raíz generado mediante una solución empresarial, o bien, generar un certificado autofirmado.You can use a root certificate that was generated using an Enterprise solution, or you can generate a self-signed certificate.

La validación del certificado de cliente se realiza mediante la puerta de enlace de VPN durante el establecimiento de la conexión VPN P2S.The validation of the client certificate is performed by the VPN gateway and happens during establishment of the P2S VPN connection. El certificado raíz es necesario para la validación y se debe cargar en Azure.The root certificate is required for the validation and must be uploaded to Azure.

Autenticación mediante Azure Active Directory de forma nativaAuthenticate using native Azure Active Directory authentication

La autenticación mediante Azure AD permite a los usuarios conectarse a Azure con sus credenciales de Azure Active Directory.Azure AD authentication allows users to connect to Azure using their Azure Active Directory credentials. La autenticación de Azure AD nativa solo se admite para el protocolo OpenVPN y Windows 10, y requiere el uso del Cliente VPN de Azure.Native Azure AD authentication is only supported for OpenVPN protocol and Windows 10 and requires the use of the Azure VPN Client.

Con la autenticación de Azure AD nativa, puede aprovechar el acceso condicional de Azure AD, así como las características de Multi-Factor Authentication (MFA) para VPN.With native Azure AD authentication, you can leverage Azure AD's conditional access as well as Multi-Factor Authentication (MFA) features for VPN.

En un nivel alto, para configurar la autenticación de Azure AD es preciso seguir estos pasos:At a high level, you need to perform the following steps to configure Azure AD authentication:

  1. Configurar un inquilino de Azure ADConfigure an Azure AD tenant

  2. Habilitar la autenticación de Azure AD en la puerta de enlaceEnable Azure AD authentication on the gateway

  3. Descargar y configurar el Cliente VPN de AzureDownload and configure Azure VPN Client

Autenticación mediante el servidor de dominio de Active Directory (AD)Authenticate using Active Directory (AD) Domain Server

La autenticación de dominio de AD permite a los usuarios conectarse a Azure con sus credenciales de dominio de la organización.AD Domain authentication allows users to connect to Azure using their organization domain credentials. Requiere un servidor RADIUS que se integre con el servidor de AD.It requires a RADIUS server that integrates with the AD server. Las organizaciones también pueden aprovechar las implementaciones existentes de RADIUS.Organizations can also leverage their existing RADIUS deployment.

El servidor RADIUS puede implementarse de forma local o en la red virtual de Azure.The RADIUS server could be deployed on-premises or in your Azure VNet. Durante la autenticación, la puerta de enlace de VPN de Azure actúa como acceso directo y reenvía los mensajes de autenticación entre el servidor RADIUS y el dispositivo que se conecta.During authentication, the Azure VPN Gateway acts as a pass through and forwards authentication messages back and forth between the RADIUS server and the connecting device. Por lo tanto, la disponibilidad de la puerta de enlace del servidor RADIUS es importante.So Gateway reachability to the RADIUS server is important. Si el servidor RADIUS está presente de forma local, se necesita una conexión VPN S2S de Azure en el sitio local para la disponibilidad.If the RADIUS server is present on-premises, then a VPN S2S connection from Azure to the on-premises site is required for reachability.

El servidor RADIUS también se integra con los servicios de certificados de AD.The RADIUS server can also integrate with AD certificate services. Esto le permite usar el servidor RADIUS y la implementación de certificados de empresa para la autenticación de certificados de P2S como alternativa a la autenticación de certificados de Azure.This lets you use the RADIUS server and your enterprise certificate deployment for P2S certificate authentication as an alternative to the Azure certificate authentication. La ventaja es que no es necesario cargar certificados raíz y revocados en Azure.The advantage is that you don’t need to upload root certificates and revoked certificates to Azure.

Los servidores RADIUS también se integran con otros sistemas de identidad externos.A RADIUS server can also integrate with other external identity systems. Esto abre una gran cantidad de opciones de autenticación para VPN P2S, incluidas las opciones de multifactor.This opens up plenty of authentication options for P2S VPN, including multi-factor options.

Diagrama que muestra una VPN de punto a sitio con un sitio local.

¿Cuáles son los requisitos de configuración del cliente?What are the client configuration requirements?

Nota

Para los clientes de Windows, debe tener derechos de administrador en el dispositivo de cliente para poder iniciar la conexión VPN desde el dispositivo cliente en Azure.For Windows clients, you must have administrator rights on the client device in order to initiate the VPN connection from the client device to Azure.

Los usuarios utilizan los clientes VPN nativos en los dispositivos Windows y Mac para P2S.Users use the native VPN clients on Windows and Mac devices for P2S. Azure proporciona un archivo zip de configuración de cliente VPN con la configuración que necesitan estos clientes nativos para conectarse a Azure.Azure provides a VPN client configuration zip file that contains settings required by these native clients to connect to Azure.

  • Para los dispositivos Windows, la configuración de cliente VPN consta de un paquete de instalación que los usuarios instalan en sus dispositivos.For Windows devices, the VPN client configuration consists of an installer package that users install on their devices.
  • Para los dispositivos Mac, consta del archivo mobileconfig que los usuarios instalan en sus dispositivos.For Mac devices, it consists of the mobileconfig file that users install on their devices.

El archivo zip también proporciona los valores de algunas de las opciones de configuración importantes del lado de Azure que puede usar para crear su propio perfil para estos dispositivos.The zip file also provides the values of some of the important settings on the Azure side that you can use to create your own profile for these devices. Algunos de los valores incluyen la dirección de puerta de enlace de VPN, los tipos de túnel configurados, las rutas y el certificado raíz para la validación de la puerta de enlace.Some of the values include the VPN gateway address, configured tunnel types, routes, and the root certificate for gateway validation.

Nota

A partir del 1 de julio de 2018, se elimina la compatibilidad con TLS 1.0 y 1.1 de Azure VPN Gateway.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. VPN Gateway será solo compatible con TLS 1.2.VPN Gateway will support only TLS 1.2. Esto solo afecta a las conexiones de punto a a sitio, las conexiones de sitio a sitio no se verán afectadas.Only point-to-site connections are impacted; site-to-site connections will not be affected. Si usa TLS para VPN de punto a sitio en clientes de Windows 10, no necesita hacer nada.If you’re using TLS for point-to-site VPNs on Windows 10 clients, you don’t need to take any action. Si usa TLS para conexiones de punto a sitio en clientes de Windows 7 y Windows 8, consulte las preguntas más frecuentes sobre VPN Gateway para obtener instrucciones de actualización.If you are using TLS for point-to-site connections on Windows 7 and Windows 8 clients, see the VPN Gateway FAQ for update instructions.

¿Qué SKU de puerta de enlace admite VPN de P2S?Which gateway SKUs support P2S VPN?

Generación
de
VPN GatewayVPN
Gateway
Generation		 SKUSKU Túneles
S2S/entre redes virtualesS2S/VNet-to-VNet
Tunnels		 Conexiones P2S
SSTPP2S
SSTP Connections		 Conexiones P2S
IKEv2/OpenVPNP2S
IKEv2/OpenVPN Connections		 Pruebas comparativas de rendimiento
agregadoAggregate
Throughput Benchmark		 BGPBGP Con redundancia de zonaZone-redundant
Generación 1Generation1 BasicBasic Máx.Max. 1010 Máx.Max. 128128 No compatibleNot Supported 100 Mbps100 Mbps No compatibleNot Supported NoNo
Generación 1Generation1 VpnGw1VpnGw1 Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 250250 650 Mbps650 Mbps CompatibleSupported NoNo
Generación 1Generation1 VpnGw2VpnGw2 Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 500500 1 Gbps1 Gbps CompatibleSupported NoNo
Generación 1Generation1 VpnGw3VpnGw3 Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 10001000 1,25 Gbps1.25 Gbps CompatibleSupported NoNo
Generación 1Generation1 VpnGw1AZVpnGw1AZ Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 250250 650 Mbps650 Mbps CompatibleSupported Yes
Generación 1Generation1 VpnGw2AZVpnGw2AZ Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 500500 1 Gbps1 Gbps CompatibleSupported Yes
Generación 1Generation1 VpnGw3AZVpnGw3AZ Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 10001000 1,25 Gbps1.25 Gbps CompatibleSupported Yes
Generación 2Generation2 VpnGw2VpnGw2 Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 500500 1,25 Gbps1.25 Gbps CompatibleSupported NoNo
Generación 2Generation2 VpnGw3VpnGw3 Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 10001000 2,5 Gbps2.5 Gbps CompatibleSupported NoNo
Generación 2Generation2 VpnGw4VpnGw4 Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 50005000 5 Gbps5 Gbps CompatibleSupported NoNo
Generación 2Generation2 VpnGw5VpnGw5 Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 1000010000 10 Gbps10 Gbps CompatibleSupported NoNo
Generación 2Generation2 VpnGw2AZVpnGw2AZ Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 500500 1,25 Gbps1.25 Gbps CompatibleSupported Yes
Generación 2Generation2 VpnGw3AZVpnGw3AZ Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 10001000 2,5 Gbps2.5 Gbps CompatibleSupported Yes
Generación 2Generation2 VpnGw4AZVpnGw4AZ Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 50005000 5 Gbps5 Gbps CompatibleSupported Yes
Generación 2Generation2 VpnGw5AZVpnGw5AZ Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 1000010000 10 Gbps10 Gbps CompatibleSupported Yes

(*) Use una red WAN virtual si necesita más de 30 túneles VPN S2S.(*) Use Virtual WAN if you need more than 30 S2S VPN tunnels.

  • Se permite el cambio de tamaño de las SKU de VpnGw en la misma generación, excepto el cambio de tamaño de la SKU básica.The resizing of VpnGw SKUs is allowed within the same generation, except resizing of the Basic SKU. La SKU básica es una SKU heredada y tiene limitaciones de características.The Basic SKU is a legacy SKU and has feature limitations. Para pasar de una SKU básica a otra SKU de VpnGw, debe eliminar la instancia de VPN Gateway de la SKU básica y crear una nueva puerta de enlace con la combinación de generación y tamaño de SKU deseada.In order to move from Basic to another VpnGw SKU, you must delete the Basic SKU VPN gateway and create a new gateway with the desired Generation and SKU size combination.

  • Estos límites de conexión son independientes.These connection limits are separate. Por ejemplo, en una SKU de VpnGw1 puede tener 128 conexiones SSTP, además de 250 conexiones IKEv2.For example, you can have 128 SSTP connections and also 250 IKEv2 connections on a VpnGw1 SKU.

  • Puede encontrar más información sobre los precios en la página de precios.Pricing information can be found on the Pricing page.

  • La información del SLA (contrato de nivel de servicio) puede encontrarse en la página SLA.SLA (Service Level Agreement) information can be found on the SLA page.

  • En un único túnel, se puede lograr un rendimiento máximo de 1 Gbps.On a single tunnel a maximum of 1 Gbps throughput can be achieved. Las pruebas comparativas de rendimiento agregado de la tabla anterior se basan en las mediciones de varios túneles agregados a través de una sola puerta de enlace.Aggregate Throughput Benchmark in the above table is based on measurements of multiple tunnels aggregated through a single gateway. El banco de pruebas de rendimiento agregado para una puerta de enlace de VPN es la combinación de S2S + P2S.The Aggregate Throughput Benchmark for a VPN Gateway is S2S + P2S combined. Si tiene una gran cantidad de conexiones P2S, puede afectar negativamente a una conexión S2S debido a las limitaciones del rendimiento.If you have a lot of P2S connections, it can negatively impact a S2S connection due to throughput limitations. Las pruebas comparativas de rendimiento agregado no es un rendimiento garantizado debido a las condiciones del tráfico de Internet y a los comportamientos de las aplicaciones.The Aggregate Throughput Benchmark is not a guaranteed throughput due to Internet traffic conditions and your application behaviors.

Para ayudar a nuestros clientes a comprender el rendimiento relativo de las SKU mediante distintos algoritmos, usamos las herramientas iPerf y CTSTraffic disponibles públicamente para medir los rendimientos.To help our customers understand the relative performance of SKUs using different algorithms, we used publicly available iPerf and CTSTraffic tools to measure performances. En la tabla siguiente se enumeran los resultados de las pruebas de rendimiento de las SKU de VpnGw de la generación 1.The table below lists the results of performance tests for Generation 1, VpnGw SKUs. Como puede ver, el mejor rendimiento se obtiene cuando usamos el algoritmo GCMAES256 para el cifrado y la integridad IPsec.As you can see, the best performance is obtained when we used GCMAES256 algorithm for both IPsec Encryption and Integrity. Obtuvimos un rendimiento medio al usar AES256 para el cifrado IPsec y SHA256 para la integridad.We got average performance when using AES256 for IPsec Encryption and SHA256 for Integrity. Cuando usamos DES3 para el cifrado IPsec y SHA256 para la integridad, obtuvimos el rendimiento más bajo.When we used DES3 for IPsec Encryption and SHA256 for Integrity we got lowest performance.

GeneraciónGeneration SKUSKU Algoritmos
usadosAlgorithms
used		 Rendimiento
observadoThroughput
observed		 Paquetes por segundo
observadosPackets per second
observed
Generación 1Generation1 VpnGw1VpnGw1 GCMAES256GCMAES256
AES256 y SHA256AES256 & SHA256
DES3 y SHA256DES3 & SHA256		 650 Mbps650 Mbps
500 Mbps500 Mbps
120 Mbps120 Mbps		 58 00058,000
50.00050,000
50.00050,000
Generación 1Generation1 VpnGw2VpnGw2 GCMAES256GCMAES256
AES256 y SHA256AES256 & SHA256
DES3 y SHA256DES3 & SHA256		 1 Gbps1 Gbps
500 Mbps500 Mbps
120 Mbps120 Mbps		 90 00090,000
80 00080,000
55 00055,000
Generación 1Generation1 VpnGw3VpnGw3 GCMAES256GCMAES256
AES256 y SHA256AES256 & SHA256
DES3 y SHA256DES3 & SHA256		 1,25 Gbps1.25 Gbps
550 Mbps550 Mbps
120 Mbps120 Mbps		 105 000105,000
90 00090,000
60 00060,000
Generación 1Generation1 VpnGw1AZVpnGw1AZ GCMAES256GCMAES256
AES256 y SHA256AES256 & SHA256
DES3 y SHA256DES3 & SHA256		 650 Mbps650 Mbps
500 Mbps500 Mbps
120 Mbps120 Mbps		 58 00058,000
50.00050,000
50.00050,000
Generación 1Generation1 VpnGw2AZVpnGw2AZ GCMAES256GCMAES256
AES256 y SHA256AES256 & SHA256
DES3 y SHA256DES3 & SHA256		 1 Gbps1 Gbps
500 Mbps500 Mbps
120 Mbps120 Mbps		 90 00090,000
80 00080,000
55 00055,000
Generación 1Generation1 VpnGw3AZVpnGw3AZ GCMAES256GCMAES256
AES256 y SHA256AES256 & SHA256
DES3 y SHA256DES3 & SHA256		 1,25 Gbps1.25 Gbps
550 Mbps550 Mbps
120 Mbps120 Mbps		 105 000105,000
90 00090,000
60 00060,000

Nota

La SKU básica no admite la autenticación de IKEv2 o RADIUS.The Basic SKU does not support IKEv2 or RADIUS authentication.

¿Qué directivas IPsec/IKE se configuran en las puertas de enlace de VPN de P2S?What IKE/IPsec policies are configured on VPN gateways for P2S?

IKEv2IKEv2

CifradoCipher IntegridadIntegrity PRFPRF Grupo DHDH Group
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA384SHA384 GROUP_24GROUP_24
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA384SHA384 GROUP_14GROUP_14
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA384SHA384 GROUP_ECP384GROUP_ECP384
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA384SHA384 GROUP_ECP256GROUP_ECP256
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA256SHA256 GROUP_24GROUP_24
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA256SHA256 GROUP_14GROUP_14
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA256SHA256 GROUP_ECP384GROUP_ECP384
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 SHA256SHA256 GROUP_ECP256GROUP_ECP256
AES256AES256 SHA384SHA384 SHA384SHA384 GROUP_24GROUP_24
AES256AES256 SHA384SHA384 SHA384SHA384 GROUP_14GROUP_14
AES256AES256 SHA384SHA384 SHA384SHA384 GROUP_ECP384GROUP_ECP384
AES256AES256 SHA384SHA384 SHA384SHA384 GROUP_ECP256GROUP_ECP256
AES256AES256 SHA256SHA256 SHA256SHA256 GROUP_24GROUP_24
AES256AES256 SHA256SHA256 SHA256SHA256 GROUP_14GROUP_14
AES256AES256 SHA256SHA256 SHA256SHA256 GROUP_ECP384GROUP_ECP384
AES256AES256 SHA256SHA256 SHA256SHA256 GROUP_ECP256GROUP_ECP256
AES256AES256 SHA256SHA256 SHA256SHA256 GROUP_2GROUP_2

IPsecIPsec

CifradoCipher IntegridadIntegrity Grupo PFSPFS Group
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 GROUP_NONEGROUP_NONE
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 GROUP_24GROUP_24
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 GROUP_14GROUP_14
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 GROUP_ECP384GROUP_ECP384
GCM_AES256GCM_AES256 GCM_AES256GCM_AES256 GROUP_ECP256GROUP_ECP256
AES256AES256 SHA256SHA256 GROUP_NONEGROUP_NONE
AES256AES256 SHA256SHA256 GROUP_24GROUP_24
AES256AES256 SHA256SHA256 GROUP_14GROUP_14
AES256AES256 SHA256SHA256 GROUP_ECP384GROUP_ECP384
AES256AES256 SHA256SHA256 GROUP_ECP256GROUP_ECP256
AES256AES256 SHA1SHA1 GROUP_NONEGROUP_NONE

¿Qué directivas TLS se configuran en las puertas de enlace de VPN para P2S?What TLS policies are configured on VPN gateways for P2S?

TLSTLS

DirectivasPolicies
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256TLS_RSA_WITH_AES_256_CBC_SHA256

¿Cómo se puede configurar una conexión de P2S?How do I configure a P2S connection?

En una configuración de P2S es necesario realizar unos pocos pasos específicos.A P2S configuration requires quite a few specific steps. En los siguientes artículos encontrará los pasos necesarios para realizar una configuración de P2S, así como vínculos para configurar los dispositivos de cliente VPN:The following articles contain the steps to walk you through P2S configuration, and links to configure the VPN client devices:

Procedimiento para quitar la configuración de una conexión P2STo remove the configuration of a P2S connection

Para conocer los pasos, consulte las preguntas más frecuentes a continuación.For steps, see the FAQ, below.

Preguntas más frecuentes acerca de la autenticación de certificado nativa de AzureFAQ for native Azure certificate authentication

¿Cuántos puntos de conexión de cliente VPN puedo tener en mi configuración punto a sitio?How many VPN client endpoints can I have in my Point-to-Site configuration?

Depende de la SKU de puerta de enlace.It depends on the gateway SKU. Para más información sobre el número de conexiones admitidas, consulte SKU de puerta de enlace.For more information on the number of connections supported, see Gateway SKUs.

¿Qué sistemas operativos de cliente puedo usar para las conexiones de punto a sitio?What client operating systems can I use with Point-to-Site?

Se admiten los siguientes sistemas operativos de cliente:The following client operating systems are supported:

  • Windows 7 (32 bits y 64 bits)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (solo 64 bits)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32 bits y 64 bits)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (solo 64 bits)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (solo 64 bits)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (solo 64 bits)Windows Server 2016 (64-bit only)
  • Windows Server 2019 (solo 64 bits)Windows Server 2019 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X versión 10.11 o versiones posterioresMac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Nota

A partir del 1 de julio de 2018, se elimina la compatibilidad con TLS 1.0 y 1.1 de Azure VPN Gateway.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. VPN Gateway será solo compatible con TLS 1.2.VPN Gateway will support only TLS 1.2. Para mantener la compatibilidad, consulte las actualizaciones para habilitar la compatibilidad con TLS 1.2.To maintain support, see the updates to enable support for TLS1.2.

Además, los siguientes algoritmos heredados también pasarán a estar en desuso para TLS a partir del 1 de julio de 2018:Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (Algoritmo de cifrado de datos)DES (Data Encryption Algorithm)
  • 3DES (Triple algoritmo de cifrado de datos)3DES (Triple Data Encryption Algorithm)
  • MD5 (Código hash 5)MD5 (Message Digest 5)

¿Cómo se habilita la compatibilidad con TLS 1.2 en Windows 7 y Windows 8.1?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Abra un símbolo del sistema con privilegios elevados. Para ello, haga clic con el botón derecho en Símbolo del sistema y seleccione Ejecutar como administrador.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. En el símbolo del sistema, ejecute los siguientes comandos:Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0

  3. Instale realizaron las siguientes actualizaciones:Install the following updates:

  4. Reinicie el equipo.Reboot the computer.

  5. Conéctese a la VPN.Connect to the VPN.

Nota

Tendrá que establecer la clave del registro anterior si está ejecutando una versión anterior de Windows 10 (10240).You will have to set the above registry key if you are running an older version of Windows 10 (10240).

¿Puedo atravesar servidores proxy y firewalls con la funcionalidad de punto a sitio?Can I traverse proxies and firewalls using Point-to-Site capability?

Azure admite tres tipos de opciones de VPN de punto a sitio:Azure supports three types of Point-to-site VPN options:

  • Protocolo de túnel de sockets seguros (SSTP).Secure Socket Tunneling Protocol (SSTP). SSTP es una solución basada en SSL propietaria de Microsoft que puede atravesar firewalls, puesto que la mayoría de los firewalls abren el puerto TCP 443 que utiliza SSL.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • OpenVPN.OpenVPN. OpenVPN es una solución basada en SSL que puede atravesar firewalls, puesto que la mayoría de los firewalls abren el puerto TCP 443 de salida que utiliza SSL.OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • VPN IKEv2.IKEv2 VPN. VPN IKEv2 es una solución de VPN con IPsec basada en estándares que utiliza los puertos UDP 500 y 4500 de salida y el protocolo IP no.IKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. 50.50. Los firewalls no siempre abren estos puertos, por lo que hay una posibilidad de que la VPN IKEv2 no pueda atravesar servidores proxy y firewalls.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

¿Si reinicio un equipo cliente con configuración de punto a sitio, se volverá a conectar la VPN de forma automática?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

De forma predeterminada, el equipo cliente no volverá a establecer la conexión VPN automáticamente.By default, the client computer will not reestablish the VPN connection automatically.

¿Admite la configuración de punto a sitio la reconexión automática y el DDNS en los clientes VPN?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

Las VPN de punto a sitio no admiten la reconexión automática y el DDNS.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

¿Puedo tener configuraciones de sitio a sitio y de punto a sitio coexistiendo en la misma red virtual?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Sí.Yes. Para el modelo de implementación de Resource Manager, debe tener un tipo de VPN basada en ruta para la puerta de enlace.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. Para el modelo de implementación clásica, necesita una puerta de enlace dinámica.For the classic deployment model, you need a dynamic gateway. No se admite la configuración de punto a sitio para puertas de enlace de VPN de enrutamiento estático o puertas de enlace de VPN basadas en directivas.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

¿Se puedo configurar un cliente de punto a sitio para conectarse a varias puertas de enlace de red virtual al mismo tiempo?Can I configure a Point-to-Site client to connect to multiple virtual network gateways at the same time?

En función del software cliente de VPN que se use, es posible conectarse a varias puertas de enlace de red virtual, siempre que las redes virtuales con las que se va a establecer la conexión no tengan espacios en conflicto entre ellas ni con la red desde la que se conecta el cliente.Depending on the VPN Client software used, you may be able to connect to multiple Virtual Network Gateways provided the virtual networks being connected to do not have conflicting address spaces between them or the network from with the client is connecting from. Aunque el cliente VPN de Azure admite muchas conexiones VPN, no es posible establecer varias simultáneamente.While the Azure VPN Client supports many VPN connections, only one connection can be Connected at any given time.

¿Puedo configurar un cliente de punto a sitio para conectarse a varias redes virtuales al mismo tiempo?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Sí, las conexiones de punto a sitio con una puerta de enlace de red virtual implementada en una red virtual emparejada con otras redes virtuales pueden tener acceso a otras redes virtuales emparejadas.Yes, Point-to-Site connections to a Virtual Network Gateway deployed in a VNet that is peered with other VNets may have access to other peered VNets. Siempre que las redes virtuales emparejadas usen las características UseRemoteGateway/AllowGatewayTransit, el cliente de punto a sitio podrá conectarse con ellas.Provided the peered VNets are using the UseRemoteGateway / AllowGatewayTransit features, the Point-to-Site client will be able to connect to those peered VNets. Para más información, consulte este artículo.For more information please reference this article.

¿Qué rendimiento puedo esperar en las conexiones de sitio a sitio o de punto a sitio?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

Es difícil de mantener el rendimiento exacto de los túneles VPN.It's difficult to maintain the exact throughput of the VPN tunnels. IPsec y SSTP son protocolos VPN con mucho cifrado.IPsec and SSTP are crypto-heavy VPN protocols. El rendimiento también está limitado por la latencia y el ancho de banda entre sus instalaciones locales e Internet.Throughput is also limited by the latency and bandwidth between your premises and the Internet. Para una puerta de enlace de VPN únicamente con conexiones VPN de punto a sitio IKEv2, el rendimiento total que puede esperar depende de la SKU de puerta de enlace.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Consulte SKU de puerta de enlace para más información sobre el rendimiento.For more information on throughput, see Gateway SKUs.

¿Puedo usar cualquier software de cliente VPN para punto a sitio que admita SSTP o IKEv2?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

No.No. Solo puede usar el cliente VPN nativo en Windows para SSTP y el cliente VPN nativo en Mac para IKEv2.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. Sin embargo, puede utilizar el cliente OpenVPN en todas las plataformas para conectarse a través del protocolo OpenVPN.However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. Consulte la lista de sistemas operativos cliente compatibles.Refer to the list of supported client operating systems.

¿Azure admite VPN IKEv2 con Windows?Does Azure support IKEv2 VPN with Windows?

IKEv2 se admite en Windows 10 y Server 2016.IKEv2 is supported on Windows 10 and Server 2016. Sin embargo, para poder usar IKEv2, debe instalar las actualizaciones y establecer un valor de clave del Registro localmente.However, in order to use IKEv2, you must install updates and set a registry key value locally. No se admiten las versiones de sistemas operativos anteriores a Windows 10 y solo se puede usar el protocolo OpenVPN® o SSTP.OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Para preparar Windows 10 o Server 2016 para IKEv2:To prepare Windows 10 or Server 2016 for IKEv2:

  1. Instale la actualización.Install the update.

    Versión del SOOS version DateDate Número/vínculoNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 Versión 1607Windows 10 Version 1607    		 17 de enero de 2018January 17, 2018 KB4057142KB4057142
    Windows 10 Versión 1703Windows 10 Version 1703 17 de enero de 2018January 17, 2018 KB4057144KB4057144
    Windows 10 Versión 1709Windows 10 Version 1709 22 de marzo de 2018March 22, 2018 KB4089848KB4089848

  2. Establezca el valor de clave del Registro.Set the registry key value. Cree o establezca la clave REG_DWORD “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” del Registro en 1.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

¿Qué ocurre cuando se configuran SSTP e IKEv2 para conexiones VPN de P2S?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Cuando configure tanto SSTP como IKEv2 en un entorno mixto (que consiste en dispositivos Windows y Mac), el cliente VPN de Windows siempre probará primero el túnel de IKEv2, pero volverá a SSTP si la conexión con IKEv2 no se realiza correctamente.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX solo se conectará a través de IKEv2.MacOSX will only connect via IKEv2.

Además de Windows y Mac, ¿qué otras plataformas Azure admite para VPN de P2S?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Azure es compatible con Windows, Mac y Linux para VPN de P2S.Azure supports Windows, Mac and Linux for P2S VPN.

Ya tengo implementada una instancia de Azure VPN Gateway.I already have an Azure VPN Gateway deployed. ¿Puedo habilitar VPN de IKEv2 o RADIUS en ella?Can I enable RADIUS and/or IKEv2 VPN on it?

Sí, puede habilitar estas características nuevas en puertas de enlace ya implementadas mediante Powershell o Azure Portal, siempre que la SKU de la puerta de enlace que use admita RADIUS o IKEv2.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. Por ejemplo, la SKU de nivel Básico de VPN Gateway no admite RADIUS ni IKEv2.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

¿Cómo se puede quitar la configuración de una conexión P2S?How do I remove the configuration of a P2S connection?

Se puede quitar la configuración P2S mediante la CLI de Azure y PowerShell mediante los comandos siguientes:A P2S configuration can be removed using Azure CLI and PowerShell using the following commands:

Azure PowerShellAzure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLIAzure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

¿Qué debo hacer si obtengo un error de coincidencia de certificado al realizar la conexión mediante la autenticación de certificado?What should I do if I'm getting a certificate mismatch when connecting using certificate authentication?

Desactive "Verificar la identidad del servidor validando el certificado" o agregue el FQDN del servidor junto con el certificado al crear un perfil de forma manual.Uncheck "Verify the server's identity by validating the certificate" or add the server FQDN along with the certificate when creating a profile manually. Para ello, ejecute rasphone desde un símbolo del sistema y elija el perfil en la lista desplegable.You can do this by running rasphone from a command prompt and picking the profile from the drop-down list.

En general, no se recomienda omitir la validación de la identidad del servidor, pero con la autenticación de certificado de Azure, se usa el mismo certificado para la validación del servidor en el protocolo de túnel VPN (IKEv2/SSTP) y el protocolo EAP.Bypassing server identity validation is not recommended in general, but with Azure certificate authentication, the same certificate is being used for server validation in the VPN tunneling protocol (IKEv2/SSTP) and the EAP protocol. Dado que el certificado de servidor y el FQDN ya están validados por el protocolo de túnel de VPN, se produce una redundancia si se vuelven a validar en EAP.Since the server certificate and FQDN is already validated by the VPN tunneling protocol, it is redundant to validate the same again in EAP.

Autenticación de punto a sitiopoint-to-site auth

¿Puedo usar mi propio CA raíz de PKI interna para generar certificados de conectividad de punto a sitio?Can I use my own internal PKI root CA to generate certificates for Point-to-Site connectivity?

Sí.Yes. Anteriormente, solo podían usarse certificados raíz autofirmados.Previously, only self-signed root certificates could be used. Todavía puede cargar 20 certificados raíz.You can still upload 20 root certificates.

¿Puedo usar certificados de Azure Key Vault?Can I use certificates from Azure Key Vault?

No.No.

¿Qué herramientas puedo usar para crear certificados?What tools can I use to create certificates?

Puede usar la solución Enterprise PKI (la PKI interna), Azure PowerShell, MakeCert y OpenSSL.You can use your Enterprise PKI solution (your internal PKI), Azure PowerShell, MakeCert, and OpenSSL.

¿Hay instrucciones para los parámetros y la configuración de certificados?Are there instructions for certificate settings and parameters?

  • Solución PKI interna/Enterprise PKI: consulte los pasos de Generación de certificados.Internal PKI/Enterprise PKI solution: See the steps to Generate certificates.

  • Azure PowerShell: consulte el artículo Azure PowerShell para conocer los pasos.Azure PowerShell: See the Azure PowerShell article for steps.

  • MakeCert: consulte el artículo MakeCert para conocer los pasos.MakeCert: See the MakeCert article for steps.

  • OpenSSL:OpenSSL:

    • Al exportar certificados, asegúrese de convertir el certificado raíz en Base64.When exporting certificates, be sure to convert the root certificate to Base64.

    • Para el certificado de cliente:For the client certificate:

      • Al crear la clave privada, especifique la longitud como 4096.When creating the private key, specify the length as 4096.
      • Al crear el certificado para el parámetro -extensions, especifique usr_cert.When creating the certificate, for the -extensions parameter, specify usr_cert.

Preguntas más frecuentes acerca de la autenticación RADIUSFAQ for RADIUS authentication

¿Cuántos puntos de conexión de cliente VPN puedo tener en mi configuración punto a sitio?How many VPN client endpoints can I have in my Point-to-Site configuration?

Depende de la SKU de puerta de enlace.It depends on the gateway SKU. Para más información sobre el número de conexiones admitidas, consulte SKU de puerta de enlace.For more information on the number of connections supported, see Gateway SKUs.

¿Qué sistemas operativos de cliente puedo usar para las conexiones de punto a sitio?What client operating systems can I use with Point-to-Site?

Se admiten los siguientes sistemas operativos de cliente:The following client operating systems are supported:

  • Windows 7 (32 bits y 64 bits)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (solo 64 bits)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32 bits y 64 bits)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (solo 64 bits)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (solo 64 bits)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (solo 64 bits)Windows Server 2016 (64-bit only)
  • Windows Server 2019 (solo 64 bits)Windows Server 2019 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X versión 10.11 o versiones posterioresMac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Nota

A partir del 1 de julio de 2018, se elimina la compatibilidad con TLS 1.0 y 1.1 de Azure VPN Gateway.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. VPN Gateway será solo compatible con TLS 1.2.VPN Gateway will support only TLS 1.2. Para mantener la compatibilidad, consulte las actualizaciones para habilitar la compatibilidad con TLS 1.2.To maintain support, see the updates to enable support for TLS1.2.

Además, los siguientes algoritmos heredados también pasarán a estar en desuso para TLS a partir del 1 de julio de 2018:Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (Algoritmo de cifrado de datos)DES (Data Encryption Algorithm)
  • 3DES (Triple algoritmo de cifrado de datos)3DES (Triple Data Encryption Algorithm)
  • MD5 (Código hash 5)MD5 (Message Digest 5)

¿Cómo se habilita la compatibilidad con TLS 1.2 en Windows 7 y Windows 8.1?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Abra un símbolo del sistema con privilegios elevados. Para ello, haga clic con el botón derecho en Símbolo del sistema y seleccione Ejecutar como administrador.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. En el símbolo del sistema, ejecute los siguientes comandos:Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0

  3. Instale realizaron las siguientes actualizaciones:Install the following updates:

  4. Reinicie el equipo.Reboot the computer.

  5. Conéctese a la VPN.Connect to the VPN.

Nota

Tendrá que establecer la clave del registro anterior si está ejecutando una versión anterior de Windows 10 (10240).You will have to set the above registry key if you are running an older version of Windows 10 (10240).

¿Puedo atravesar servidores proxy y firewalls con la funcionalidad de punto a sitio?Can I traverse proxies and firewalls using Point-to-Site capability?

Azure admite tres tipos de opciones de VPN de punto a sitio:Azure supports three types of Point-to-site VPN options:

  • Protocolo de túnel de sockets seguros (SSTP).Secure Socket Tunneling Protocol (SSTP). SSTP es una solución basada en SSL propietaria de Microsoft que puede atravesar firewalls, puesto que la mayoría de los firewalls abren el puerto TCP 443 que utiliza SSL.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • OpenVPN.OpenVPN. OpenVPN es una solución basada en SSL que puede atravesar firewalls, puesto que la mayoría de los firewalls abren el puerto TCP 443 de salida que utiliza SSL.OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • VPN IKEv2.IKEv2 VPN. VPN IKEv2 es una solución de VPN con IPsec basada en estándares que utiliza los puertos UDP 500 y 4500 de salida y el protocolo IP no.IKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. 50.50. Los firewalls no siempre abren estos puertos, por lo que hay una posibilidad de que la VPN IKEv2 no pueda atravesar servidores proxy y firewalls.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

¿Si reinicio un equipo cliente con configuración de punto a sitio, se volverá a conectar la VPN de forma automática?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

De forma predeterminada, el equipo cliente no volverá a establecer la conexión VPN automáticamente.By default, the client computer will not reestablish the VPN connection automatically.

¿Admite la configuración de punto a sitio la reconexión automática y el DDNS en los clientes VPN?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

Las VPN de punto a sitio no admiten la reconexión automática y el DDNS.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

¿Puedo tener configuraciones de sitio a sitio y de punto a sitio coexistiendo en la misma red virtual?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Sí.Yes. Para el modelo de implementación de Resource Manager, debe tener un tipo de VPN basada en ruta para la puerta de enlace.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. Para el modelo de implementación clásica, necesita una puerta de enlace dinámica.For the classic deployment model, you need a dynamic gateway. No se admite la configuración de punto a sitio para puertas de enlace de VPN de enrutamiento estático o puertas de enlace de VPN basadas en directivas.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

¿Se puedo configurar un cliente de punto a sitio para conectarse a varias puertas de enlace de red virtual al mismo tiempo?Can I configure a Point-to-Site client to connect to multiple virtual network gateways at the same time?

En función del software cliente de VPN que se use, es posible conectarse a varias puertas de enlace de red virtual, siempre que las redes virtuales con las que se va a establecer la conexión no tengan espacios en conflicto entre ellas ni con la red desde la que se conecta el cliente.Depending on the VPN Client software used, you may be able to connect to multiple Virtual Network Gateways provided the virtual networks being connected to do not have conflicting address spaces between them or the network from with the client is connecting from. Aunque el cliente VPN de Azure admite muchas conexiones VPN, no es posible establecer varias simultáneamente.While the Azure VPN Client supports many VPN connections, only one connection can be Connected at any given time.

¿Puedo configurar un cliente de punto a sitio para conectarse a varias redes virtuales al mismo tiempo?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

Sí, las conexiones de punto a sitio con una puerta de enlace de red virtual implementada en una red virtual emparejada con otras redes virtuales pueden tener acceso a otras redes virtuales emparejadas.Yes, Point-to-Site connections to a Virtual Network Gateway deployed in a VNet that is peered with other VNets may have access to other peered VNets. Siempre que las redes virtuales emparejadas usen las características UseRemoteGateway/AllowGatewayTransit, el cliente de punto a sitio podrá conectarse con ellas.Provided the peered VNets are using the UseRemoteGateway / AllowGatewayTransit features, the Point-to-Site client will be able to connect to those peered VNets. Para más información, consulte este artículo.For more information please reference this article.

¿Qué rendimiento puedo esperar en las conexiones de sitio a sitio o de punto a sitio?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

Es difícil de mantener el rendimiento exacto de los túneles VPN.It's difficult to maintain the exact throughput of the VPN tunnels. IPsec y SSTP son protocolos VPN con mucho cifrado.IPsec and SSTP are crypto-heavy VPN protocols. El rendimiento también está limitado por la latencia y el ancho de banda entre sus instalaciones locales e Internet.Throughput is also limited by the latency and bandwidth between your premises and the Internet. Para una puerta de enlace de VPN únicamente con conexiones VPN de punto a sitio IKEv2, el rendimiento total que puede esperar depende de la SKU de puerta de enlace.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Consulte SKU de puerta de enlace para más información sobre el rendimiento.For more information on throughput, see Gateway SKUs.

¿Puedo usar cualquier software de cliente VPN para punto a sitio que admita SSTP o IKEv2?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

No.No. Solo puede usar el cliente VPN nativo en Windows para SSTP y el cliente VPN nativo en Mac para IKEv2.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. Sin embargo, puede utilizar el cliente OpenVPN en todas las plataformas para conectarse a través del protocolo OpenVPN.However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. Consulte la lista de sistemas operativos cliente compatibles.Refer to the list of supported client operating systems.

¿Azure admite VPN IKEv2 con Windows?Does Azure support IKEv2 VPN with Windows?

IKEv2 se admite en Windows 10 y Server 2016.IKEv2 is supported on Windows 10 and Server 2016. Sin embargo, para poder usar IKEv2, debe instalar las actualizaciones y establecer un valor de clave del Registro localmente.However, in order to use IKEv2, you must install updates and set a registry key value locally. No se admiten las versiones de sistemas operativos anteriores a Windows 10 y solo se puede usar el protocolo OpenVPN® o SSTP.OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Para preparar Windows 10 o Server 2016 para IKEv2:To prepare Windows 10 or Server 2016 for IKEv2:

  1. Instale la actualización.Install the update.

    Versión del SOOS version DateDate Número/vínculoNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 Versión 1607Windows 10 Version 1607    		 17 de enero de 2018January 17, 2018 KB4057142KB4057142
    Windows 10 Versión 1703Windows 10 Version 1703 17 de enero de 2018January 17, 2018 KB4057144KB4057144
    Windows 10 Versión 1709Windows 10 Version 1709 22 de marzo de 2018March 22, 2018 KB4089848KB4089848

  2. Establezca el valor de clave del Registro.Set the registry key value. Cree o establezca la clave REG_DWORD “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” del Registro en 1.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

¿Qué ocurre cuando se configuran SSTP e IKEv2 para conexiones VPN de P2S?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Cuando configure tanto SSTP como IKEv2 en un entorno mixto (que consiste en dispositivos Windows y Mac), el cliente VPN de Windows siempre probará primero el túnel de IKEv2, pero volverá a SSTP si la conexión con IKEv2 no se realiza correctamente.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX solo se conectará a través de IKEv2.MacOSX will only connect via IKEv2.

Además de Windows y Mac, ¿qué otras plataformas Azure admite para VPN de P2S?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Azure es compatible con Windows, Mac y Linux para VPN de P2S.Azure supports Windows, Mac and Linux for P2S VPN.

Ya tengo implementada una instancia de Azure VPN Gateway.I already have an Azure VPN Gateway deployed. ¿Puedo habilitar VPN de IKEv2 o RADIUS en ella?Can I enable RADIUS and/or IKEv2 VPN on it?

Sí, puede habilitar estas características nuevas en puertas de enlace ya implementadas mediante Powershell o Azure Portal, siempre que la SKU de la puerta de enlace que use admita RADIUS o IKEv2.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. Por ejemplo, la SKU de nivel Básico de VPN Gateway no admite RADIUS ni IKEv2.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

¿Cómo se puede quitar la configuración de una conexión P2S?How do I remove the configuration of a P2S connection?

Se puede quitar la configuración P2S mediante la CLI de Azure y PowerShell mediante los comandos siguientes:A P2S configuration can be removed using Azure CLI and PowerShell using the following commands:

Azure PowerShellAzure PowerShell

$gw=Get-AzVirtualNetworkGateway -name <gateway-name>`  
$gw.VPNClientConfiguration = $null`  
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw`

Azure CLIAzure CLI

az network vnet-gateway update --name <gateway-name> --resource-group <resource-group name> --remove "vpnClientConfiguration"

¿Se admite la autenticación RADIUS en todas las SKU de Azure VPN Gateway?Is RADIUS authentication supported on all Azure VPN Gateway SKUs?

La autenticación RADIUS es compatible con las SKU VpnGw1, VpnGw2 y VpnGw3.RADIUS authentication is supported for VpnGw1, VpnGw2, and VpnGw3 SKUs. Si usa SKU heredadas, la autenticación RADIUS se admite en SKU estándar y de alto rendimiento.If you are using legacy SKUs, RADIUS authentication is supported on Standard and High Performance SKUs. Esta autenticación no es compatible con la SKU de nivel Básico.It is not supported on the Basic Gateway SKU. 

¿Es compatible la autenticación RADIUS con el modelo de implementación clásica?Is RADIUS authentication supported for the classic deployment model?

No.No. La autenticación RADIUS no es compatible con el modelo de implementación clásica.RADIUS authentication is not supported for the classic deployment model.

¿Se admiten servidores RADIUS de terceros?Are 3rd-party RADIUS servers supported?

Sí, se admiten.Yes, 3rd-party RADIUS servers are supported.

¿Cuáles son los requisitos de conectividad para garantizar que la puerta de enlace de Azure pueda comunicarse con un servidor RADIUS local?What are the connectivity requirements to ensure that the Azure gateway is able to reach an on-premises RADIUS server?

Se necesita una conexión VPN de sitio a sitio en el sitio local, con las rutas apropiadas configuradas.A VPN Site-to-Site connection to the on-premises site, with the proper routes configured, is required.  

¿Puede enrutarse el tráfico a un servidor RADIUS local (desde la instancia de Azure VPN Gateway) a través de una conexión ExpressRoute?Can traffic to an on-premises RADIUS server (from the Azure VPN gateway) be routed over an ExpressRoute connection?

No.No. Solo puede enrutarse a través de una conexión de sitio a sitio.It can only be routed over a Site-to-Site connection.

¿Ha cambiado el número de conexiones SSTP admitidas con autenticación RADIUS?Is there a change in the number of SSTP connections supported with RADIUS authentication? ¿Cuál es el número máximo de conexiones SSTP e IKEv2 admitidas?What is the maximum number of SSTP and IKEv2 connections supported?

El número máximo de conexiones SSTP admitidas en una puerta de enlace con autenticación RADIUS no ha cambiado.There is no change in the maximum number of SSTP connections supported on a gateway with RADIUS authentication. Sigue siendo 128 para SSTP, pero depende de la SKU de puerta de enlace para IKEv2.It remains 128 for SSTP, but depends on the gateway SKU for IKEv2. Para más información sobre el número de conexiones admitidas, consulte SKU de puerta de enlace. For more information on the number of connections supported, see Gateway SKUs.

¿En qué se diferencia la autenticación de certificados con un servidor RADIUS de la realizada con la autenticación mediante certificados nativos de Azure (al cargar un certificado de confianza en Azure)?What is the difference between doing certificate authentication using a RADIUS server vs. using Azure native certificate authentication (by uploading a trusted certificate to Azure).

En la autenticación de certificados RADIUS, la solicitud de autenticación se reenvía a un servidor RADIUS que realiza la validación del certificado real.In RADIUS certificate authentication, the authentication request is forwarded to a RADIUS server that handles the actual certificate validation. Esta opción es útil si desea integrarla con una infraestructura de autenticación de certificados a través de RADIUS de la que ya disponga.This option is useful if you want to integrate with a certificate authentication infrastructure that you already have through RADIUS.

Cuando se utiliza Azure para la autenticación de certificados, la instancia de Azure VPN Gateway realiza la validación del certificado.When using Azure for certificate authentication, the Azure VPN gateway performs the validation of the certificate. Debe cargar la clave pública del certificado en la puerta de enlace.You need to upload your certificate public key to the gateway. También puede especificar una lista de certificados revocados que no podrán conectarse.You can also specify list of revoked certificates that shouldn’t be allowed to connect.

¿La autenticación RADIUS funciona con IKEv2 y SSTP VPN?Does RADIUS authentication work with both IKEv2, and SSTP VPN?

Sí, la autenticación RADIUS es compatible con IKEv2 y SSTP VPN.Yes, RADIUS authentication is supported for both IKEv2, and SSTP VPN. 

¿La autenticación RADIUS funciona con el cliente de OpenVPN?Does RADIUS authentication work with the OpenVPN client?

La autenticación RADIUS solo es compatible con el protocolo OpenVPN a través de PowerShell.RADIUS authentication is supported for the OpenVPN protocol only through PowerShell.

Pasos siguientesNext Steps

"OpenVPN" es una marca comercial de OpenVPN Inc."OpenVPN" is a trademark of OpenVPN Inc.