Tutorial: Creación de una conexión VPN de usuario mediante Azure Virtual WAN

  • Artículo
  • 14 minutos para leer

Este tutorial muestra cómo usar Virtual WAN para conectarse a los recursos de Azure mediante una conexión de OpenVPN o de IPsec/IKE (IKEv2) con una configuración VPN de usuario (P2S). Este tipo de conexión requiere que se configure el cliente VPN nativo en cada equipo cliente que se conecte.

En este tutorial, aprenderá a:

  • Creación de una instancia de Virtual WAN
  • Creación de la configuración de VPN de usuario
  • Creación del centro virtual y la puerta de enlace
  • Generación de archivos de configuración del cliente
  • Configuración de clientes VPN
  • Conexión a una red virtual
  • Visualizar la instancia de Virtual WAN
  • Modificar la configuración

Diagrama de Virtual WAN.

Requisitos previos

  • Tiene una suscripción de Azure. Si no tiene una suscripción a Azure, cree una cuenta gratuita.

  • Tiene una red virtual a la que quiere conectarse.

    • Compruebe que ninguna de las subredes de sus redes locales se superpone a las redes virtuales a las que quiere conectarse.
    • Para crear una red virtual en Azure Portal, consulte el artículo Inicio rápido.

  • Su red virtual no debe tener ninguna puerta de enlace de red virtual.

    • Si la red virtual ya tiene puertas de enlace (VPN o ExpressRoute), debe quitarlas todas antes de continuar.
    • Esta configuración requiere que las redes virtuales se conecten solo a la puerta de enlace del centro de Virtual WAN.

  • Decida el intervalo de direcciones IP que desea usar para el espacio de direcciones privadas del centro virtual. Esta información se usa al configurar el centro virtual. Un centro de conectividad virtual es una red virtual que Virtual WAN crea y usa. Es el núcleo de la red Virtual WAN en una región. El intervalo del espacio de direcciones debe cumplir las reglas siguientes:

    • El intervalo de direcciones que especifique para el centro no se puede superponer con ninguna de las redes virtuales existentes a las que se conecta.
    • El intervalo de direcciones no se puede superponer con los intervalos de direcciones locales a las que se conecta.
    • Si no está familiarizado con los intervalos de direcciones IP ubicados en la configuración de la red local, póngase de acuerdo con alguien que pueda proporcionarle estos detalles.

Creación de una instancia de Virtual WAN

  1. En el portal, en la barra Buscar recursos, escriba Virtual WAN en el cuadro de búsqueda y seleccione Entrar.

  2. Seleccione Redes WAN virtuales de los resultados. En la página Redes WAN virtuales, seleccione Crear para abrir la página Crear una red WAN.

  3. En la página Crear una red WAN, en la pestaña Aspectos básicos, rellene los campos. Modifique los valores de ejemplo que se aplicarán a su entorno.

    Captura de pantalla que muestra el panel Crear una red WAN con la pestaña Aspectos básicos seleccionada.

    • Suscripción: seleccione la suscripción que quiere usar.
    • Grupo de recursos: créelo o utilice uno existente.
    • Ubicación del grupo de recursos: elija una ubicación para los recursos de la lista desplegable. Una red WAN es un recurso global y no reside en una región determinada. No obstante, tiene que seleccionar una región con el fin de administrar y ubicar el recurso de WAN que cree.
    • Nombre: escriba el nombre que quiera asignar a su la red WAN virtual.
    • Tipo: Básico o Estándar. Seleccione Estándar. Si selecciona Básico, entienda que las redes WAN virtuales básicas solo pueden contener centros de conectividad básicos. Los centros de conectividad básicos solo se pueden usar para conexiones de sitio a sitio.

  4. Una vez rellenos los campos, en la parte inferior de la página, seleccione Revisar y crear.

  5. Una vez que se haya superado la validación, seleccione Crear para crear la WAN virtual.

Crear una configuración de VPN de usuario

La configuración de VPN de usuario (P2S) define los parámetros para que los clientes remotos se puedan conectar. Las instrucciones que siga dependerán del método de autenticación que desee usar.

En los pasos siguientes, al seleccionar el método de autenticación, tiene tres opciones. Cada método tiene requisitos específicos. Seleccione uno de los métodos siguientes y, a continuación, complete los pasos.

  • Certificados de Azure: para esta configuración, se requieren certificados. Debe generar u obtener certificados. Se requiere un certificado de cliente para cada cliente. Además, es necesario cargar la información sobre el certificado raíz (clave pública). Para obtener más información sobre los certificados necesarios, consulte Generación y exportación de certificados.

  • Autenticación de Azure Active Directory: utilice el artículo Configuración de la autenticación de Azure Active Directory para una VPN de usuario que contiene los pasos específicos necesarios para esta configuración.

  • Autenticación basada en Radius: obtenga la dirección IP Radius, el secreto del servidor Radius y la información sobre el certificado.

Pasos de configuración

  1. Vaya a Todos los recursos y seleccione la WAN virtual que ha creado y, luego, en el menú de la izquierda, elija Configuraciones de VPN de usuario.

  2. En la página Configuraciones de VPN de usuario, seleccione +Crear una configuración de VPN de usuario en la parte superior de la página para abrir la página Crear nueva configuración de VPN de usuario.

    Captura de pantalla de la página Configuraciones de VPN de usuario.

  3. En la pestaña Aspectos básicos, en Detalles de instancia, rellene el campo Nombre con el nombre que quiere asignar a la configuración de VPN.

  4. En Tipo de túnel, en la lista desplegable, seleccione el tipo de túnel que prefiera. Las opciones de tipo de túnel son: VPN IKEV2, OpenVPN y OpenVpn e Ikev2.

  5. Siga los pasos correspondientes al tipo de túnel que ha seleccionado. Una vez especificados todos los valores, haga clic en Revisar y crear y, luego, en Crear para crear la configuración.

    VPN IKEv2

    • Requisitos: al seleccionar el tipo de túnel IKEv2, verá un mensaje que le invita a seleccionar un método de autenticación. En el caso de IKEv2, solo puede especificar un método de autenticación. Puede elegir la autenticación basada en Azure Active Directory, RADIUS o certificados de Azure.

    • Parámetros personalizados de IPSec: para personalizar los parámetros de IKE fase 1 e IKE fase 2, cambie el conmutador IPsec a Personalizado y seleccione los valores de los parámetros. Para más información sobre los parámetros personalizables, consulte el artículo IPSec personalizado.

      Captura de pantalla del modificador de IPsec para personalizar.

    • Autenticación: : vaya al mecanismo de autenticación que quiere usar; para ello, haga clic en Siguiente en la parte inferior de la página para avanzar hasta el método de autenticación, o bien haga clic en la pestaña correspondiente en la parte superior de la página. Para seleccionar el método, cambie el conmutador a .

      En este ejemplo, se selecciona la autenticación RADIUS. En el caso de la autenticación basada en RADIUS, puede proporcionar una dirección IP y un secreto de servidor RADIUS secundarios.

      Captura de pantalla de IKE.

    OpenVPN

    • Requisitos: al seleccionar el tipo de túnel OpenVPN, verá un mensaje que le invita a seleccionar un mecanismo de autenticación. Si se selecciona OpenVPN como tipo de túnel, se pueden especificar varios métodos de autenticación. Puede elegir cualquier subconjunto de autenticación basada en Azure Active Directory, RADIUS o certificados de Azure. En el caso de la autenticación basada en RADIUS, puede proporcionar una dirección IP y un secreto de servidor RADIUS secundarios.

    • Autenticación: : vaya a los métodos de autenticación que quiere usar; para ello, haga clic en Siguiente en la parte inferior de la página para avanzar hasta el método de autenticación, o bien haga clic en la pestaña correspondiente en la parte superior de la página. En cada método que quiera seleccionar, cambie el conmutador a y escriba los valores adecuados.

      En este ejemplo, se selecciona Azure Active Directory.

      Captura de pantalla de la página OpenVPN.

Creación de un centro de conectividad virtual y una puerta de enlace

  1. En la página de Virtual WAN, en el panel de la izquierda, seleccione Centros de conectividad. En la página Centros, seleccione +Nuevo centro de conectividad.

    Captura de pantalla del nuevo centro de conectividad.

  2. En la página Crear centro de conectividad virtual, vea la pestaña Información básica.

    Captura de pantalla de la creación de un centro de conectividad.

  3. En la pestaña Información básica, configure los siguientes valores:

    • Región: seleccione la región en la que quiere implementar el centro de conectividad virtual.
    • Nombre: nombre por el que desea que se conozca el centro de conectividad virtual.
    • Espacio de direcciones privadas del centro de conectividad: intervalo de direcciones del centro de conectividad en la notación CIDR.

  4. Haga clic en la pestaña Punto a sitio para abrir la página de configuración correspondiente. Para ver la configuración de punto a sitio, haga clic en .

    Captura de pantalla de la configuración del centro de conectividad virtual con la opción de punto a sitio seleccionada.

  5. Configure las siguientes opciones:

    • Unidades de escalado de puerta de enlace: estas representan la capacidad agregada de la puerta de enlace de VPN del usuario. Si selecciona 40 o más unidades de escalado de puerta de enlace, planee el grupo de direcciones de cliente en consecuencia. Para obtener información sobre cómo afecta este valor al grupo de direcciones de cliente, vea Acerca de los grupos de direcciones de cliente. Para obtener información sobre las unidades de escalado de puerta de enlace, vea Preguntas más frecuentes.
    • Configuración de punto a sitio: seleccione la configuración de VPN de usuario que creó en un paso anterior.
    • Preferencia de enrutamiento: las preferencias de enrutamiento de Azure le permiten elegir cómo se enruta el tráfico entre Azure e Internet. Puede optar por enrutar el tráfico a través de la red de Microsoft o a través de una red de ISP (Internet público). Estas opciones también se conocen como enrutamiento de tipo "cold-potato" y enrutamiento de tipo "hot-potato" respectivamente. El servicio asigna la IP pública de Virtual WAN en función de la opción de enrutamiento seleccionada. Para obtener más información sobre las preferencias de enrutamiento mediante la red de Microsoft o el ISP, vea el artículo Preferencias de enrutamiento.
    • Grupo de direcciones de cliente: el grupo de direcciones desde el que las direcciones IP se asignarán automáticamente a los clientes VPN. Para más información, consulte Acerca de los grupos de direcciones de cliente.
    • Servidores DNS personalizados: la dirección IP de los servidores DNS que usarán los clientes. Puede especificar hasta 5.

  6. Seleccione Revisar y crear para validar la configuración.

  7. Cuando se supera la validación, seleccione Crear. La creación de un centro puede tardar 30 minutos o más en completarse.

Generación de archivos de configuración del cliente

Cuando se conecta a una red virtual mediante VPN de usuario (P2S), se utiliza el cliente VPN instalado de forma nativa en el sistema operativo desde el que se conecta. Todas las opciones de configuración necesarias para los clientes VPN se incluyen en un archivo ZIP de configuración del cliente VPN. Los valores del archivo ZIP ayudan a configurar con facilidad los clientes VPN. Los archivos de configuración del cliente VPN que genera son específicos de la configuración de VPN de usuario de la puerta de enlace. En esta sección, generará y descargará los archivos que se utilizan para configurar los clientes VPN.

  1. En la página de su red WAN virtual, seleccione Configuraciones de VPN de usuario.

  2. En la página Configuraciones de VPN de usuario, seleccione una configuración y, luego, elija Descargar perfil de VPN de usuario de WAN virtual.

    Captura de pantalla de descarga de perfil de VPN de usuario de WAN virtual.

    • Al descargar la configuración del nivel de WAN, se obtiene un perfil de VPN de usuario basado en Traffic Manager.

    • Para más información sobre los perfiles globales o sobre perfiles basados en centros de conectividad, consulte el artículo sobre perfiles de centros de conectividad. Los escenarios de conmutación por error se simplifican con los perfiles globales.

    • Si, por alguna razón, alguno de los centros de conectividad no está disponible, la administración de tráfico integrada que proporciona el servicio garantiza la conectividad (a través de otro centro) a los recursos de Azure para los usuarios de punto a sitio. Siempre puede descargar una configuración de VPN específica del centro de conectividad. Para ello, vaya al centro de conectividad. En VPN de usuario (punto a sitio) , descargue el perfil de VPN de usuario del centro de conectividad virtual.

  3. En la página Descargar perfil de VPN de usuario de WAN virtual, seleccione la opción que quiera en Tipo de autenticación y, luego, haga clic en Generar y descargar perfil.

    Se genera un paquete de perfil (archivo zip) que contiene las opciones de configuración del cliente y que se descarga en el equipo.

    Captura de pantalla de generación y descarga de perfil.

Configuración de clientes VPN

Use el paquete de perfiles descargado para configurar los clientes VPN de acceso remoto. El procedimiento para cada sistema operativo es diferente. Siga las instrucciones que se aplican al sistema. Una vez que haya terminado de configurar el cliente, puede conectarse.

OpenVPN

IKEv2

  1. Seleccione los archivos de configuración de cliente VPN que correspondan a la arquitectura del equipo Windows. Si la arquitectura de procesador es de 64 bits, elija el paquete del instalador "VpnClientSetupAmd64". En caso de que sea de 32 bits, elija el paquete del instalador "VpnClientSetupX86".

  2. Haga doble clic en el paquete para instalarlo. Si ve una ventana emergente de SmartScreen, seleccione Más información y, después, Ejecutar de todas formas.

  3. En el equipo cliente, vaya a Configuración de red y haga clic en VPN. La conexión VPN muestra el nombre de la red virtual a la que se conecta.

  4. Antes de intentar conectarse, compruebe que ha instalado un certificado de cliente en el equipo cliente. Es necesario un certificado de cliente para la autenticación al usar el tipo de autenticación de certificados nativo de Azure. Para más información acerca de cómo generar certificados, consulte Generación de certificados. Para obtener información acerca de cómo instalar un certificado de cliente, consulte Instalación de certificados de cliente.

Conexión de una red virtual a un centro de conectividad

En esta sección, creará una conexión entre el centro virtual y la red virtual. Para este tutorial, no es necesario configurar los valores de enrutamiento.

  1. Vaya a Red WAN virtual.

  2. Seleccione Conexiones de la red virtual.

  3. En la página de conexión de red virtual, seleccione +Agregar conexión.

    Captura de pantalla que muestra la adición.

  4. En la página Agregar conexión, configure la configuración necesaria. Para obtener más información acerca de la configuración de enrutamiento, consulte Acerca del enrutamiento.

    Captura de pantalla que muestra la página de conexión de la red virtual.

    • Nombre de la conexión: asigne un nombre a la conexión.
    • Centros de conectividad: seleccione el centro de conectividad que desea asociar a esta conexión.
    • Suscripción: compruebe la suscripción.
    • Grupo de recursos: grupo de recursos que contiene la red virtual.
    • Red virtual: seleccione la red virtual que quiere conectar con este centro de conectividad. La red virtual que seleccione no puede tener una puerta de enlace de red virtual ya existente.
    • Propagate to none (Propagar a ninguno): se establece en No de manera predeterminada. Si cambia el conmutador a , las opciones de configuración para la opción Propagate to Route Tables (Propagar a tablas de enrutamiento) y Propagate to labels (Propagar a etiquetas) no estarán disponibles para la configuración.
    • Associate Route Table (Asociar tabla de rutas): puede seleccionar la tabla de rutas que quiere asociar.
    • Rutas estáticas: puede usar esta opción para especificar el próximo salto.

  5. Una vez establezca la configuración que quiera, seleccione Crear para crear la conexión.

Vista de una red WAN virtual

  1. Vaya a la red WAN virtual.

  2. En la página Información general, cada punto del mapa representa un centro de conectividad.

  3. En la sección de centros de conectividad y conexiones, puede ver estado del centro de conectividad, sitio, región, estado de la conexión VPN y bytes de entrada y salida.

Modificar la configuración

Modificación del grupo de direcciones de clientes

  1. Vaya a Centro virtual -> VPN de usuario (punto a sitio) .

  2. Haga clic en el valor situado junto a Unidades de escalado de puerta de enlace para que se abra la página Editar la instancia de VPN Gateway de usuario.

  3. En la página Editar la instancia de VPN Gateway de usuario, edite la configuración.

  4. En la parte inferior de la página, haga clic en Editar para validar la configuración.

  5. Haga clic en Confirmar para guardar la configuración. Los cambios en esta página pueden tardar hasta 30 minutos en completarse.

Modificación de los servidores DNS

  1. Vaya a Centro virtual -> VPN de usuario (punto a sitio) .

  2. Haga clic en el valor situado junto a Servidores DNS personalizados para que se abra la página Editar la instancia de VPN Gateway de usuario.

  3. En la página Editar la instancia de VPN Gateway de usuario, edite el campo Servidores DNS personalizados. Escriba las direcciones IP del servidor DNS en los cuadros de texto Servidores DNS personalizados. Puede especificar hasta cinco servidores DNS.

  4. En la parte inferior de la página, haga clic en Editar para validar la configuración.

  5. Haga clic en Confirmar para guardar la configuración. Los cambios en esta página pueden tardar hasta 30 minutos en completarse.

Limpieza de recursos

Cuando ya no necesite los recursos que ha creado, elimínelos. Algunos recursos de Virtual WAN deben eliminarse en un orden determinado debido a las dependencias. La eliminación puede tardar unos 30 minutos.

  1. Abra la red WAN virtual que ha creado.

  2. Seleccione un centro de conectividad virtual asociado a la WAN virtual para abrir su página.

  3. Elimine todas las entidades de puerta de enlace siguiendo el orden que se indica a continuación para el tipo de puerta de enlace. Esta operación puede tardar hasta 30 minutos.

    VPN:

    1. Desconecte los sitios de VPN
    2. Elimine las conexiones de VPN
    3. Elimine las puertas de enlace de VPN

    ExpressRoute:

    1. Elimine las conexiones de ExpressRoute
    2. Elimine las puertas de enlace de ExpressRoute

  4. Puede eliminar el centro de conectividad en este momento o más adelante, cuando elimine el grupo de recursos.

  5. Repita el procedimiento para todos los centros de conectividad asociados a la WAN virtual.

  6. En Azure Portal, vaya al grupo de recursos.

  7. Seleccione Eliminar grupo de recursos. Así se elimina todo lo que haya en el grupo de recursos, incluidos los centros de conectividad y la WAN virtual.

Pasos siguientes