Acerca de las conexiones VPN de punto a sitio
Una conexión de puerta de enlace de VPN de punto a sitio (P2S) permite crear una conexión segura a la red virtual desde un equipo cliente individual. Se establece una conexión de punto a sitio al iniciarla desde el equipo cliente. Esta solución resulta útil para los teletrabajadores que deseen conectarse a redes virtuales de Azure desde una ubicación remota, por ejemplo, desde casa o un congreso. La conexión VPN de punto a sitio también es una solución útil en comparación con la conexión VPN de sitio a sitio cuando solo necesitan conectarse a la red virtual algunos clientes. Este artículo se aplica al modelo de implementación de Resource Manager.
¿Qué protocolo utiliza P2S?
La conexión VPN de punto a sitio usa uno de los siguientes protocolos:
Protocolo OpenVPN®, un protocolo VPN basado en SSL/TLS. Una solución de VPN basada en TLS puede penetrar firewalls, puesto que la mayoría de ellos abre el puerto TCP 443 saliente, que usa TLS. OpenVPN puede utilizarse para la conexión desde dispositivos Android, iOS (versión 11.0 y posteriores), Windows, Linux y Mac (macOS 10.13 y versiones posteriores).
El protocolo de túnel de sockets seguro (SSTP), que es un protocolo VPN propio basado en TLS. Una solución de VPN basada en TLS puede penetrar firewalls, puesto que la mayoría de ellos abre el puerto TCP 443 saliente, que usa TLS. El protocolo SSTP solo se admite en dispositivos Windows. Azure es compatible con todas las versiones de Windows que tienen SSTP y admiten TLS 1.2 (Windows 8.1 y versiones posteriores).
La conexión VPN IKEv2, una solución de VPN con protocolo de seguridad de Internet basada en estándares. La conexión VPN IKEv2 puede utilizarse para la conexión desde dispositivos Mac (versión macOS 10.11 y posteriores).
Nota:
IKEv2 y OpenVPN para P2S solo están disponibles para el modelo de implementación de Resource Manager. No están disponibles para el modelo de implementación clásico.
¿Cómo se autentican los clientes VPN de punto a sitio?
Para que Azure acepte una conexión VPN de punto a sitio, el usuario primero debe autenticarse. Azure ofrece dos mecanismos para autenticar los usuarios que se conectan.
Autenticación con certificados nativos de Azure
Con la autenticación con certificados nativos de Azure, para autenticar el usuario que se conecta, se usa un certificado de cliente presente en el dispositivo. Los certificados de cliente se generan a partir de un certificado raíz de confianza y se instalan en cada equipo cliente. Puede, o bien, usar un certificado raíz generado mediante una solución empresarial, o bien, generar un certificado autofirmado.
La validación del certificado de cliente se realiza mediante la puerta de enlace de VPN durante el establecimiento de la conexión VPN P2S. El certificado raíz es necesario para la validación y se debe cargar en Azure.
Autenticación mediante Azure Active Directory de forma nativa
La autenticación mediante Azure AD permite a los usuarios conectarse a Azure con sus credenciales de Azure Active Directory. La autenticación de Azure AD nativa solo se admite para el protocolo OpenVPN y Windows 10 y 11, y requiere el uso del Cliente VPN de Azure.
Con la autenticación de Azure AD nativa, puede aprovechar el acceso condicional de Azure AD, así como las características de Multi-Factor Authentication (MFA) para VPN.
En un nivel alto, para configurar la autenticación de Azure AD es preciso seguir estos pasos:
Autenticación mediante el servidor de dominio de Active Directory (AD)
La autenticación de dominio de AD permite a los usuarios conectarse a Azure con sus credenciales de dominio de la organización. Requiere un servidor RADIUS que se integre con el servidor de AD. Las organizaciones también pueden aprovechar las implementaciones existentes de RADIUS.
El servidor RADIUS puede implementarse de forma local o en la red virtual de Azure. Durante la autenticación, la puerta de enlace de VPN de Azure actúa como acceso directo y reenvía los mensajes de autenticación entre el servidor RADIUS y el dispositivo que se conecta. Por lo tanto, la disponibilidad de la puerta de enlace del servidor RADIUS es importante. Si el servidor RADIUS está presente de forma local, se necesita una conexión VPN S2S de Azure en el sitio local para la disponibilidad.
El servidor RADIUS también se integra con los servicios de certificados de AD. Esto le permite usar el servidor RADIUS y la implementación de certificados de empresa para la autenticación de certificados de P2S como alternativa a la autenticación de certificados de Azure. La ventaja es que no es necesario cargar certificados raíz y revocados en Azure.
Los servidores RADIUS también se integran con otros sistemas de identidad externos. Esto abre una gran cantidad de opciones de autenticación para VPN P2S, incluidas las opciones de multifactor.
¿Cuáles son los requisitos de configuración del cliente?
Nota:
Para los clientes de Windows, debe tener derechos de administrador en el dispositivo de cliente para poder iniciar la conexión VPN desde el dispositivo cliente en Azure.
Los usuarios utilizan los clientes VPN nativos en los dispositivos Windows y Mac para P2S. Azure proporciona un archivo zip de configuración de cliente VPN con la configuración que necesitan estos clientes nativos para conectarse a Azure.
- Para los dispositivos Windows, la configuración de cliente VPN consta de un paquete de instalación que los usuarios instalan en sus dispositivos.
- Para los dispositivos Mac, consta del archivo mobileconfig que los usuarios instalan en sus dispositivos.
El archivo zip también proporciona los valores de algunas de las opciones de configuración importantes del lado de Azure que puede usar para crear su propio perfil para estos dispositivos. Algunos de los valores incluyen la dirección de puerta de enlace de VPN, los tipos de túnel configurados, las rutas y el certificado raíz para la validación de la puerta de enlace.
Nota:
A partir del 1 de julio de 2018, se elimina la compatibilidad con TLS 1.0 y 1.1 de Azure VPN Gateway. VPN Gateway será solo compatible con TLS 1.2. Esto solo afecta a las conexiones de punto a a sitio, las conexiones de sitio a sitio no se verán afectadas. Si usa TLS para VPN de punto a sitio en clientes de Windows 10, no necesita hacer nada. Si usa TLS para conexiones de punto a sitio en clientes de Windows 7 y Windows 8, consulte las preguntas más frecuentes sobre VPN Gateway para obtener instrucciones de actualización.
¿Qué SKU de puerta de enlace admite VPN de P2S?
| VPN Puerta de enlace Generación |
SKU | Túneles de S2S/VNet a VNet |
P2S P2S SSTP |
P2S P2S IKEv2/OpenVPN |
Agregado de rendimiento agregado |
BGP | Con redundancia de zona |
|---|---|---|---|---|---|---|---|
| Generación 1 | Basic | Máx. 10 | Máx. 128 | No compatible | 100 Mbps | No compatible | No |
| Generación 1 | VpnGw1 | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Compatible | No |
| Generación 1 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Compatible | No |
| Generación 1 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Compatible | No |
| Generación 1 | VpnGw1AZ | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Compatible | Sí |
| Generación 1 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Compatible | Sí |
| Generación 1 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Compatible | Sí |
| Generación 2 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Compatible | No |
| Generación 2 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Compatible | No |
| Generación 2 | VpnGw4 | Máx. 100* | Máx. 128 | Máx. 5000 | 5 Gbps | Compatible | No |
| Generación 2 | VpnGw5 | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Compatible | No |
| Generación 2 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Compatible | Sí |
| Generación 2 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Compatible | Sí |
| Generación 2 | VpnGw4AZ | Máx. 100* | Máx. 128 | Máx. 5000 | 5 Gbps | Compatible | Sí |
| Generación 2 | VpnGw5AZ | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Compatible | Sí |
(*) Use Virtual WAN si necesita más de 100 túneles VPN de S2S.
Se permite el cambio de tamaño de las SKU de VpnGw en la misma generación, excepto el cambio de tamaño de la SKU básica. La SKU básica es una SKU heredada y tiene limitaciones de características. Para pasar de una SKU básica a otra SKU, debe eliminar la instancia de VPN Gateway de la SKU básica y crear una nueva puerta de enlace con la combinación de generación y tamaño de SKU deseada (consulte Trabajar con SKU heredadas).
Estos límites de conexión son independientes. Por ejemplo, en una SKU de VpnGw1 puede tener 128 conexiones SSTP, además de 250 conexiones IKEv2.
Puede encontrar más información sobre los precios en la página de precios.
La información del SLA (contrato de nivel de servicio) puede encontrarse en la página SLA.
IPsec limita el rendimiento de una única puerta de enlace de VPN (conexiones S2S y P2S) a 1,25 Gbps. Si tiene muchas conexiones P2S, puede afectar negativamente a las conexiones S2S. Las pruebas comparativas de rendimiento agregado se realizaron maximizando una combinación de conexiones S2S y P2S. Una sola conexión P2S tiene un rendimiento muy inferior al límite de 1,25 Gbps.
Tenga en cuenta que no se garantizan todas las pruebas comparativas debido a las condiciones del tráfico en Internet y los comportamientos de la aplicación.
Para ayudar a nuestros clientes a conocer el rendimiento relativo de las SKU mediante distintos algoritmos, usamos las herramientas iPerf y CTSTraffic, disponibles públicamente, para medir el rendimiento de las conexiones de sitio a sitio. En la tabla siguiente se enumeran los resultados de las pruebas de rendimiento de las SKU de VpnGw de la generación 1. Como puede ver, el mejor rendimiento se obtiene cuando usamos el algoritmo GCMAES256 para el cifrado y la integridad IPsec. Obtuvimos un rendimiento medio al usar AES256 para el cifrado IPsec y SHA256 para la integridad. Cuando usamos DES3 para el cifrado IPsec y SHA256 para la integridad, obtuvimos el rendimiento más bajo.
Un túnel VPN se conecta a una instancia de VPN Gateway. El rendimiento de cada instancia se menciona en la tabla de rendimiento anterior y está disponible de forma agregada en todos los túneles que se conectan a esa instancia.
| Generación | SKU | Algoritmos usados |
Capacidad de proceso observado por túnel |
Paquetes por segundo por túnel observado |
|---|---|---|---|---|
| Generación 1 | VpnGw1 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbps 500 Mbps 120 Mbps |
58 000 50.000 50.000 |
| Generación 1 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1 Gbps 500 Mbps 120 Mbps |
90 000 80 000 55 000 |
| Generación 1 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbps 550 Mbps 120 Mbps |
105 000 90 000 60 000 |
| Generación 1 | VpnGw1AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbps 500 Mbps 120 Mbps |
58 000 50.000 50.000 |
| Generación 1 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1 Gbps 500 Mbps 120 Mbps |
90 000 80 000 55 000 |
| Generación 1 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbps 550 Mbps 120 Mbps |
105 000 90 000 60 000 |
- Para obtener recomendaciones de la SKU de puerta de enlace, consulte Acerca de la configuración de VPN Gateway.
Nota:
La SKU básica no admite la autenticación de IKEv2 o RADIUS.
¿Qué directivas IPsec/IKE se configuran en las puertas de enlace de VPN de P2S?
IKEv2
| Cifrado | Integridad | PRF | Grupo DH |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_2 |
IPsec
| Cifrado | Integridad | Grupo PFS |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GROUP_NONE |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GROUP_NONE |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GROUP_NONE |
¿Qué directivas TLS se configuran en las puertas de enlace de VPN para P2S?
TLS
| Directivas |
|---|
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 |
¿Cómo se puede configurar una conexión de P2S?
En una configuración de P2S es necesario realizar unos pocos pasos específicos. En los siguientes artículos encontrará los pasos necesarios para realizar una configuración de P2S, así como vínculos para configurar los dispositivos de cliente VPN:
Configure a P2S connection - RADIUS authentication (Configurar una conexión P2S: autenticación RADIUS)
Configure a P2S connection - Azure native certificate authentication (Configurar una conexión P2S: autenticación de certificados nativos de Azure)
Procedimiento para quitar la configuración de una conexión P2S
Puede quitar la configuración de una conexión con PowerShell o la CLI. Para ver ejemplos, consulte las preguntas más frecuentes.
¿Cómo funciona el enrutamiento de conexiones de punto a sitio?
Vea los artículos siguientes:
Preguntas más frecuentes
Hay varias secciones de preguntas más frecuentes para conexiones de punto a sitio basadas en la autenticación.
Pasos siguientes
Configure a P2S connection - RADIUS authentication (Configurar una conexión P2S: autenticación RADIUS)
Configuración de una conexión P2S: autenticación con certificado de Azure
"OpenVPN" es una marca comercial de OpenVPN Inc.