Acerca de las conexiones VPN de punto a sitio
Una conexión de puerta de enlace de VPN de punto a sitio (P2S) permite crear una conexión segura a la red virtual desde un equipo cliente individual. Se establece una conexión de punto a sitio al iniciarla desde el equipo cliente. Esta solución resulta útil para los teletrabajadores que deseen conectarse a redes virtuales de Azure desde una ubicación remota, por ejemplo, desde casa o un congreso. La conexión VPN de punto a sitio también es una solución útil en comparación con la conexión VPN de sitio a sitio cuando solo necesitan conectarse a la red virtual algunos clientes. Este artículo se aplica al modelo de implementación de Resource Manager.
¿Qué protocolo utiliza P2S?
La conexión VPN de punto a sitio usa uno de los siguientes protocolos:
Protocolo OpenVPN®, un protocolo VPN basado en SSL/TLS. Una solución de VPN basada en TLS puede penetrar firewalls, puesto que la mayoría de ellos abre el puerto TCP 443 saliente, que usa TLS. OpenVPN puede utilizarse para la conexión desde dispositivos Android, iOS (versión 11.0 y posteriores), Windows, Linux y Mac (macOS 10.13 y versiones posteriores).
El protocolo de túnel de sockets seguro (SSTP), que es un protocolo VPN propio basado en TLS. Una solución de VPN basada en TLS puede penetrar firewalls, puesto que la mayoría de ellos abre el puerto TCP 443 saliente, que usa TLS. El protocolo SSTP solo se admite en dispositivos Windows. Azure es compatible con todas las versiones de Windows que tienen SSTP y admiten TLS 1.2 (Windows 8.1 y versiones posteriores).
La conexión VPN IKEv2, una solución de VPN con protocolo de seguridad de Internet basada en estándares. La conexión VPN IKEv2 puede utilizarse para la conexión desde dispositivos Mac (versión macOS 10.11 y posteriores).
Nota:
IKEv2 y OpenVPN para P2S solo están disponibles para el modelo de implementación de Resource Manager. No están disponibles para el modelo de implementación clásico.
¿Cómo se autentican los clientes VPN de punto a sitio?
Para que Azure acepte una conexión VPN de punto a sitio, el usuario primero debe autenticarse. Azure ofrece dos mecanismos para autenticar los usuarios que se conectan.
Autenticación de certificado
Con la autenticación con certificados nativos de Azure, para autenticar el usuario que se conecta, se usa un certificado de cliente presente en el dispositivo. Los certificados de cliente se generan a partir de un certificado raíz de confianza y se instalan en cada equipo cliente. Puede, o bien, usar un certificado raíz generado mediante una solución empresarial, o bien, generar un certificado autofirmado.
La validación del certificado de cliente se realiza mediante la puerta de enlace de VPN durante el establecimiento de la conexión VPN P2S. El certificado raíz es necesario para la validación y se debe cargar en Azure.
Autenticación de Microsoft Entra
La autenticación mediante Microsoft Entra permite a los usuarios conectarse a Azure con sus credenciales de Microsoft Entra. La autenticación nativa de Microsoft Entra solo se admite para el protocolo OpenVPN y también requiere el uso del Cliente VPN de Azure. Los sistemas operativos cliente compatibles son Windows 10 o versiones posteriores y macOS.
Con la autenticación nativa de Microsoft Entra, puede usar las características de acceso condicional y autenticación multifactor (MFA) de Microsoft Entra para VPN.
En un nivel alto, para configurar la autenticación de Microsoft Entra es preciso seguir estos pasos:
Habilitar la autenticación de Microsoft Entra en la puerta de enlace
Descargue la versión más reciente de los archivos de instalación del cliente VPN de Azure mediante uno de los vínculos siguientes:
- Instale con los archivos de instalación de cliente: https://aka.ms/azvpnclientdownload.
- Instale directamente, cuando haya iniciado sesión en un equipo cliente: Microsoft Store.
Servidor de dominio de Active Directory (AD)
La autenticación de dominio de AD permite a los usuarios conectarse a Azure con sus credenciales de dominio de la organización. Requiere un servidor RADIUS que se integre con el servidor de AD. Las organizaciones también pueden usar su implementación RADIUS existente.
El servidor RADIUS puede implementarse de forma local o en la red virtual de Azure. Durante la autenticación, la puerta de enlace de VPN de Azure actúa como acceso directo y reenvía los mensajes de autenticación entre el servidor RADIUS y el dispositivo que se conecta. Por lo tanto, la disponibilidad de la puerta de enlace del servidor RADIUS es importante. Si el servidor RADIUS está presente de forma local, se necesita una conexión VPN S2S de Azure en el sitio local para la disponibilidad.
El servidor RADIUS también se integra con los servicios de certificados de AD. Esto le permite usar el servidor RADIUS y la implementación de certificados de empresa para la autenticación de certificados de P2S como alternativa a la autenticación de certificados de Azure. La ventaja es que no es necesario cargar certificados raíz y revocados en Azure.
Los servidores RADIUS también se integran con otros sistemas de identidad externos. Esto abre una gran cantidad de opciones de autenticación para VPN P2S, incluidas las opciones de multifactor.
¿Cuáles son los requisitos de configuración del cliente?
Los requisitos de configuración del cliente varían en función del cliente VPN que use, el tipo de autenticación y el protocolo. En la tabla siguiente se muestran los clientes disponibles y los artículos correspondientes para cada configuración.
| Authentication | Tipo de túnel | Generación de archivos de configuración | Configuración de cliente VPN |
|---|---|---|---|
| Certificado de Azure | IKEv2, SSTP | Windows | Cliente VPN nativo |
| Certificado de Azure | OpenVPN | Windows | - Cliente OpenVPN - Cliente VPN de Azure |
| Certificado de Azure | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
| Certificado de Azure | IKEv2, OpenVPN | Linux | Linux |
| Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
| Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
| RADIUS: certificado | - | Artículo | Artículo |
| RADIUS: contraseña | - | Artículo | Artículo |
| RADIUS: otros métodos | - | Artículo | Artículo |
Importante
A partir del 1 de julio de 2018, se elimina la compatibilidad con TLS 1.0 y 1.1 de Azure VPN Gateway. VPN Gateway será solo compatible con TLS 1.2. Esto solo afecta a las conexiones de punto a sitio; las conexiones de sitio a sitio no se verán afectadas. Si usa TLS para las VPN de punto a sitio en clientes de Windows 10 o versiones posteriores, no necesita hacer nada. Si usa TLS para las conexiones de punto a sitio en clientes de Windows 7 y Windows 8, consulte Preguntas más frecuentes sobre VPN Gateway para ver instrucciones de actualización.
¿Qué SKU de puerta de enlace admite VPN de P2S?
En la tabla siguiente se muestran las SKU de puerta de enlace por túnel, conexión y rendimiento. Para obtener más tablas y más información sobre esta tabla, consulte la sección SKU de puerta de enlace del artículo Configuración de VPN Gateway.
| VPN Puerta de enlace Generación |
SKU | Túneles de S2S/VNet a VNet |
P2S P2S SSTP |
P2S P2S IKEv2/OpenVPN |
Agregado de rendimiento agregado |
BGP | Con redundancia de zona | Número de máquinas virtuales admitidas en la red virtual |
|---|---|---|---|---|---|---|---|---|
| Generación 1 | Basic | Máx. 10 | Máx. 128 | No compatible | 100 Mbps | No compatible | No | 200 |
| Generación 1 | VpnGw1 | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Compatible | No | 450 |
| Generación 1 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Compatible | No | 1300 |
| Generación 1 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Compatible | No | 4000 |
| Generación 1 | VpnGw1AZ | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Compatible | Sí | 1 000 |
| Generación 1 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Compatible | Sí | 2000 |
| Generación 1 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Compatible | Sí | 5000 |
| Generación 2 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Compatible | No | 685 |
| Generación 2 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Compatible | No | 2240 |
| Generación 2 | VpnGw4 | Máx. 100* | Máx. 128 | Máx. 5000 | 5 Gbps | Compatible | No | 5300 |
| Generación 2 | VpnGw5 | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Compatible | No | 6700 |
| Generación 2 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Compatible | Sí | 2000 |
| Generación 2 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Compatible | Sí | 3300 |
| Generación 2 | VpnGw4AZ | Máx. 100* | Máx. 128 | Máx. 5000 | 5 Gbps | Compatible | Sí | 4400 |
| Generación 2 | VpnGw5AZ | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Compatible | Sí | 9000 |
Nota:
La SKU básica tiene limitaciones y no admite la autenticación de IKEv2, IPv6 o RADIUS. Consulte el artículo Configuración de VPN Gateway para más información.
¿Qué directivas IPsec/IKE se configuran en las puertas de enlace de VPN de P2S?
Las tablas de esta sección muestran los valores de las directivas predeterminadas. Sin embargo, no reflejan los valores admitidos disponibles para las directivas personalizadas. Para obtener directivas personalizadas, consulte los Valores aceptados enumerados en el cmdlet de PowerShell new-AzVpnClientIpsecParameter.
IKEv2
| Cifrado | Integridad | PRF | Grupo DH |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| Cifrado | Integridad | Grupo PFS |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
¿Qué directivas TLS se configuran en las puertas de enlace de VPN para P2S?
TLS
| Directivas |
|---|
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 |
¿Cómo se puede configurar una conexión de P2S?
En una configuración de P2S es necesario realizar unos pocos pasos específicos. En los siguientes artículos encontrará los pasos necesarios para realizar la configuración de P2S.
Procedimiento para quitar la configuración de una conexión P2S
Puede quitar la configuración de una conexión con PowerShell o la CLI. Para ver ejemplos, consulte las preguntas más frecuentes.
¿Cómo funciona el enrutamiento de conexiones de punto a sitio?
Vea los artículos siguientes:
Preguntas más frecuentes
Hay varias secciones de preguntas más frecuentes para conexiones de punto a sitio basadas en la autenticación.
Pasos siguientes
- Configuración de una conexión P2S: autenticación con certificado de Azure
- Configure a P2S connection - RADIUS authentication (Configurar una conexión P2S: autenticación RADIUS)
"OpenVPN" es una marca comercial de OpenVPN Inc.