Configuración de una conexión de punto a sitio a una red virtual con autenticación RADIUS: PowerShellConfigure a Point-to-Site connection to a VNet using RADIUS authentication: PowerShell

Este artículo muestra cómo crear una red virtual con conexión de punto a sitio que usa la autenticación RADIUS.This article shows you how to create a VNet with a Point-to-Site connection that uses RADIUS authentication. Esta configuración solo está disponible para el modelo de implementación de Resource Manager.This configuration is only available for the Resource Manager deployment model.

Una puerta de enlace de VPN de punto a sitio (P2S) permite crear una conexión segura a la red virtual desde un equipo cliente individual.A Point-to-Site (P2S) VPN gateway lets you create a secure connection to your virtual network from an individual client computer. Las conexiones VPN de punto a sitio resultan útiles cuando quiere conectarse a la red virtual desde una ubicación remota; por ejemplo, cuando realiza teletrabajo desde casa o desde una conferencia.Point-to-Site VPN connections are useful when you want to connect to your VNet from a remote location, such as when you are telecommuting from home or a conference. Una VPN P2S también es una solución útil en lugar de una VPN de sitio a sitio cuando hay solo unos pocos clientes que necesitan conectarse a una red virtual.A P2S VPN is also a useful solution to use instead of a Site-to-Site VPN when you have only a few clients that need to connect to a VNet.

Una conexión VPN de punto a sitio se inicia desde dispositivos Windows y Mac.A P2S VPN connection is started from Windows and Mac devices. Al conectarse, los clientes pueden usar los siguientes métodos de autenticación:Connecting clients can use the following authentication methods:

  • Servidor RADIUSRADIUS server
  • Autenticación mediante certificados nativos de puerta de enlace de VPNVPN Gateway native certificate authentication

Este artículo le ayuda a establecer una configuración de punto a sitio con autenticación mediante el servidor RADIUS.This article helps you configure a P2S configuration with authentication using RADIUS server. Si desea una autenticación mediante certificados generados y una autenticación mediante certificados nativos de puerta de enlace de VPN en su lugar, consulte el artículo de configuración de una conexión de punto a sitio a una red virtual con autenticación mediante certificados nativos de puerta de enlace de VPN.If you want to authenticate using generated certificates and VPN gateway native certificate authentication instead, see Configure a Point-to-Site connection to a VNet using VPN gateway native certificate authentication.

Diagrama de conexión: RADIUS

Las conexiones de punto a sitio no requieren un dispositivo VPN ni una dirección IP de acceso público.Point-to-Site connections do not require a VPN device or a public-facing IP address. P2S crea la conexión VPN sobre SSTP (Protocolo de túnel de sockets seguros) o IKEv2.P2S creates the VPN connection over either SSTP (Secure Socket Tunneling Protocol), or IKEv2.

  • SSTP es un túnel VPN basado en SSL que solo se admite en plataformas de cliente Windows.SSTP is an SSL-based VPN tunnel that is supported only on Windows client platforms. Puede traspasar firewalls, por lo que resulta ideal para conectarse a Azure desde cualquier lugar.It can penetrate firewalls, which makes it an ideal option to connect to Azure from anywhere. En el lado servidor, se admiten las versiones 1.0, 1.1 y 1.2 de SSTP.On the server side, we support SSTP versions 1.0, 1.1, and 1.2. El cliente decide qué versión va a usar.The client decides which version to use. Para Windows 8.1 y versiones posteriores, SSTP usa 1.2 de forma predeterminada.For Windows 8.1 and above, SSTP uses 1.2 by default.

  • La conexión VPN IKEv2, una solución de VPN con protocolo de seguridad de Internet basada en estándares.IKEv2 VPN, a standards-based IPsec VPN solution. La conexión VPN IKEv2 puede utilizarse para la conexión desde dispositivos Mac (versión de OSX 10.11 y versiones posteriores).IKEv2 VPN can be used to connect from Mac devices (OSX versions 10.11 and above).

Las conexiones P2S requieren lo siguiente:P2S connections require the following:

  • Una puerta de enlace de VPN RouteBased.A RouteBased VPN gateway. 
  • Un servidor RADIUS para controlar la autenticación de los usuarios.A RADIUS server to handle user authentication. El servidor RADIUS puede implementarse de forma local o en la red virtual de Azure.The RADIUS server can be deployed on-premises, or in the Azure VNet.
  • Un paquete de configuración de cliente VPN para los dispositivos Windows que se conectarán a la red virtual.A VPN client configuration package for the Windows devices that will connect to the VNet. Un paquete de configuración de cliente VPN proporciona la configuración necesaria para que un cliente de VPN realice una conexión de punto a sitio.A VPN client configuration package provides the settings required for a VPN client to connect over P2S.

Nota

Este artículo se ha actualizado para usar el nuevo módulo Az de Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Aún puede usar el módulo de AzureRM que continuará recibiendo correcciones de errores hasta diciembre de 2020 como mínimo.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Para más información acerca del nuevo módulo Az y la compatibilidad con AzureRM, consulte Introducing the new Azure PowerShell Az module (Presentación del nuevo módulo Az de Azure PowerShell).To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Para obtener instrucciones sobre la instalación del módulo Az, consulte Instalación de Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

Acerca de la autenticación de dominio de Active Directory (AD) para VPN de punto a sitioAbout Active Directory (AD) Domain Authentication for P2S VPNs

La autenticación de dominio de AD permite a los usuarios iniciar sesión en Azure con sus credenciales de dominio de la organización.AD Domain authentication allows users to sign in to Azure using their organization domain credentials. Requiere un servidor RADIUS que se integre con el servidor de AD.It requires a RADIUS server that integrates with the AD server. Las organizaciones también pueden aprovechar las implementaciones existentes de RADIUS.Organizations can also leverage their existing RADIUS deployment.

El servidor RADIUS puede ser local o encontrarse en la red virtual de Azure.The RADIUS server can reside on-premises, or in your Azure VNet. Durante la autenticación, la puerta de enlace de VPN actúa como acceso directo y reenvía los mensajes de autenticación entre el servidor RADIUS y el dispositivo que se conecta.During authentication, the VPN gateway acts as a pass-through and forwards authentication messages back and forth between the RADIUS server and the connecting device. Es importante que la puerta de enlace de VPN se pueda comunicar con el servidor RADIUS.It's important for the VPN gateway to be able to reach the RADIUS server. Si el servidor RADIUS es local, se necesita una conexión VPN de sitio a sitio de Azure al sitio local.If the RADIUS server is located on-premises, then a VPN Site-to-Site connection from Azure to the on-premises site is required.

Además de con Active Directory, los servidores RADIUS también se integran con otros sistemas de identidad externos.Apart from Active Directory, a RADIUS server can also integrate with other external identity systems. Esto abre una gran cantidad de opciones de autenticación para VPN de punto a sitio, incluidas las opciones multifactor.This opens up plenty of authentication options for Point-to-Site VPNs, including MFA options. Compruebe la documentación del proveedor del servidor RADIUS para obtener la lista de sistemas de identidad con los que se integra.Check your RADIUS server vendor documentation to get the list of identity systems it integrates with.

Diagrama de conexión: RADIUS

Importante

Para un servidor RADIUS local solo se puede usar una conexión VPN de sitio a sitio.Only a VPN Site-to-Site connection can be used for connecting to a RADIUS server on-premises. No se puede usar una conexión ExpressRoute.An ExpressRoute connection cannot be used.

Antes de comenzarBefore beginning

Compruebe que tiene una suscripción a Azure.Verify that you have an Azure subscription. Si todavía no la tiene, puede activar sus ventajas como suscriptor de MSDN o registrarse para obtener una cuenta gratuita.If you don't already have an Azure subscription, you can activate your MSDN subscriber benefits or sign up for a free account.

En este artículo se usan cmdlets de PowerShell.This article uses PowerShell cmdlets. Para ejecutar los cmdlets, puede usar Azure Cloud Shell, un entorno de shell interactivo hospedado en Azure y que se utiliza a través del explorador.To run the cmdlets, you can use Azure Cloud Shell, an interactive shell environment hosted in Azure and used through the browser. Azure Cloud Shell viene con los cmdlets de Azure PowerShell preinstalados.Azure Cloud Shell comes with the Azure PowerShell cmdlets pre-installed.

Para ejecutar cualquier código contenido en este artículo en Azure Cloud Shell, abra una sesión de Cloud Shell, utilice el botón Copiar en un bloque de código para copiar el código y péguelo en la sesión de Cloud Shell con Ctrl+Mayús+V en Windows y Linux, o Cmd+Mayús+V en macOS.To run any code contained in this article on Azure Cloud Shell, open a Cloud Shell session, use the Copy button on a code block to copy the code, and paste it into the Cloud Shell session with Ctrl+Shift+V on Windows and Linux, or Cmd+Shift+V on macOS. El texto pegado no se ejecuta automáticamente, así que presione ENTRAR para ejecutar el código.Pasted text is not automatically executed, so press Enter to run code.

Puede iniciar Azure Cloud Shell con:You can launch Azure Cloud Shell with:

Seleccione Probarlo en la esquina superior derecha de un bloque de código.Select Try It in the upper-right corner of a code block. Esto no copia automáticamente el texto en Cloud Shell.This doesn't automatically copy text to Cloud Shell. Ejemplo de Probarlo para Azure Cloud Shell
Abra shell.azure.com en el explorador.Open shell.azure.com in your browser. Botón Iniciar Cloud ShellLaunch Azure Cloud Shell button
Seleccione el botón Cloud Shell en el menú de la esquina superior derecha de Azure Portal.Select the Cloud Shell button on the menu in the upper-right corner of the Azure portal. Botón Cloud Shell en Azure Portal

Ejecución de PowerShell localmenteRunning PowerShell locally

También puede instalar y ejecutar los cmdlets de Azure PowerShell localmente en el equipo.You can also install and run the Azure PowerShell cmdlets locally on your computer. Los cmdlets de PowerShell se actualizan con frecuencia.PowerShell cmdlets are updated frequently. Si no está ejecutando la última versión, los valores especificados en las instrucciones pueden dar lugar a errores.If you are not running the latest version, the values specified in the instructions may fail. Para buscar las versiones de Azure PowerShell instaladas en el equipo, use el cmdlet Get-Module -ListAvailable Az.To find the versions of Azure PowerShell installed on your computer, use the Get-Module -ListAvailable Az cmdlet. Para instalar la actualización, consulte Instalación del módulo de Azure PowerShell.To install or update, see Install the Azure PowerShell module.

Valores del ejemploExample values

Puede usar los valores del ejemplo para crear un entorno de prueba o hacer referencia a ellos para comprender mejor los ejemplos de este artículo.You can use the example values to create a test environment, or refer to these values to better understand the examples in this article. Puede utilizar los pasos como un tutorial y utilizar los valores sin cambiarlos o modificarlos para reflejar su entorno.You can either use the steps as a walk-through and use the values without changing them, or change them to reflect your environment.

  • Nombre: VNet1Name: VNet1
  • Espacio de direcciones: 192.168.0.0/16 y 10.254.0.0/16Address space: 192.168.0.0/16 and 10.254.0.0/16
    En este ejemplo, se utiliza más de un espacio de direcciones para ilustrar que esta configuración funciona con varios.For this example, we use more than one address space to illustrate that this configuration works with multiple address spaces. Sin embargo, para esta configuración no se necesitan varios espacios de direcciones.However, multiple address spaces are not required for this configuration.
  • Nombre de subred: FrontEndSubnet name: FrontEnd
    • Intervalo de direcciones de subred: 192.168.1.0/24Subnet address range: 192.168.1.0/24
  • Nombre de subred: BackEndSubnet name: BackEnd
    • Intervalo de direcciones de subred: 10.254.1.0/24Subnet address range: 10.254.1.0/24
  • Nombre de subred: GatewaySubnetSubnet name: GatewaySubnet
    El nombre de subred GatewaySubnet es obligatorio para que VPN Gateway funcione.The Subnet name GatewaySubnet is mandatory for the VPN gateway to work.
    • Intervalo de direcciones de GatewaySubnet: 192.168.200.0/24GatewaySubnet address range: 192.168.200.0/24
  • Grupo de direcciones de clientes de VPN: 172.16.201.0/24VPN client address pool: 172.16.201.0/24
    Los clientes de VPN que se conectan a la red virtual mediante esta conexión de punto a sitio reciben una dirección IP del grupo de clientes de VPN.VPN clients that connect to the VNet using this Point-to-Site connection receive an IP address from the VPN client address pool.
  • Suscripción: si tiene más de una suscripción, compruebe que usa la correcta.Subscription: If you have more than one subscription, verify that you are using the correct one.
  • Grupo de recursos: TestRGResource Group: TestRG
  • Ubicación: Este de EE. UU.Location: East US
  • Servidor DNS: dirección IP del servidor DNS que desea usar para la resolución de nombres en la red virtual.DNS Server: IP address of the DNS server that you want to use for name resolution for your VNet. (opcional).(optional)
  • Nombre de GW: Vnet1GWGW Name: Vnet1GW
  • Nombre de dirección IP pública: VNet1GWPIPPublic IP name: VNet1GWPIP
  • VpnType: RouteBasedVpnType: RouteBased

Inicio de sesión y establecimiento de variablesSign in and set variables

Abra la consola de PowerShell con privilegios elevados.Open your PowerShell console with elevated privileges.

Si ejecuta Azure PowerShell localmente, conéctese a la cuenta de Azure.If you are running Azure PowerShell locally, connect to your Azure account. El cmdlet Connect-AzAccount le pide las credenciales.The Connect-AzAccount cmdlet prompts you for credentials. Después de la autenticación, descarga la configuración de la cuenta para que esté disponible en Azure PowerShell.After authenticating, it downloads your account settings so that they are available to Azure PowerShell. Si no ejecuta PowerShell localmente y, en su lugar, usa Azure Cloud Shell 'Try it' en el explorador web, omita este primer paso.If you are not running PowerShell locally and are instead using the Azure Cloud Shell 'Try it' in the browser, skip this first step. Se conectará a la cuenta de Azure automáticamente.You will connect to your Azure account automatically.

Connect-AzAccount

Si tiene más de una suscripción, obtenga una lista de las suscripciones de Azure.If you have more than one subscription, get a list of your Azure subscriptions.

Get-AzSubscription

Especifique la suscripción que desea usar.Specify the subscription that you want to use.

Select-AzSubscription -SubscriptionName "Name of subscription"

Declaración de variablesDeclare variables

Declare las variables que desea utilizar.Declare the variables that you want to use. Use el ejemplo siguiente y sustituya los valores por los suyos propios cuando sea necesario.Use the following sample, substituting the values for your own when necessary. Si cierra la sesión de PowerShell/Cloud Shell en cualquier momento durante el ejercicio, copie y pegue los valores de nuevo para volver a declarar las variables.If you close your PowerShell/Cloud Shell session at any point during the exercise, just copy and paste the values again to re-declare the variables.

$VNetName  = "VNet1"
$FESubName = "FrontEnd"
$BESubName = "Backend"
$GWSubName = "GatewaySubnet"
$VNetPrefix1 = "192.168.0.0/16"
$VNetPrefix2 = "10.254.0.0/16"
$FESubPrefix = "192.168.1.0/24"
$BESubPrefix = "10.254.1.0/24"
$GWSubPrefix = "192.168.200.0/26"
$VPNClientAddressPool = "172.16.201.0/24"
$RG = "TestRG"
$Location = "East US"
$GWName = "VNet1GW"
$GWIPName = "VNet1GWPIP"
$GWIPconfName = "gwipconf"

1. Creación del grupo de recursos, la red virtual y la dirección IP pública1. Create the resource group, VNet, and Public IP address

Los pasos siguientes sirven para crear un grupo de recursos y una red virtual en el grupo de recursos con tres subredes.The following steps create a resource group and a virtual network in the resource group with three subnets. Al reemplazar valores, es importante que siempre asigne el nombre "GatewaySubnet" a la subred de la puerta de enlace.When substituting values, it's important that you always name your gateway subnet specifically 'GatewaySubnet'. Si usa otro, se produce un error al crear la puerta de enlace.If you name it something else, your gateway creation fails;

  1. Cree un grupo de recursos.Create a resource group.

    New-AzResourceGroup -Name "TestRG" -Location "East US"
    
  2. Cree las configuraciones de subred para la red virtual con los nombres FrontEnd, BackEnd y GatewaySubnet.Create the subnet configurations for the virtual network, naming them FrontEnd, BackEnd, and GatewaySubnet. Estos prefijos deben formar parte del espacio de direcciones de la red virtual que declaró anteriormente.These prefixes must be part of the VNet address space that you declared.

    $fesub = New-AzVirtualNetworkSubnetConfig -Name "FrontEnd" -AddressPrefix "192.168.1.0/24"  
    $besub = New-AzVirtualNetworkSubnetConfig -Name "Backend" -AddressPrefix "10.254.1.0/24"  
    $gwsub = New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix "192.168.200.0/24"
    
  3. Creación de la red virtual.Create the virtual network.

    En este ejemplo, el parámetro del servidor -DnsServer es opcional.In this example, the -DnsServer server parameter is optional. La especificación de un valor no crea un servidor DNS nuevo.Specifying a value does not create a new DNS server. La dirección IP del servidor DNS que especifique debe ser un servidor DNS que pueda resolver los nombres de los recursos a los que se conecta desde la red virtual.The DNS server IP address that you specify should be a DNS server that can resolve the names for the resources you are connecting to from your VNet. En este ejemplo, se usa una dirección IP privada, pero es probable que no sea la dirección IP del servidor DNS.For this example, we used a private IP address, but it is likely that this is not the IP address of your DNS server. Asegúrese de utilizar sus propios valores.Be sure to use your own values. El valor especificado lo utilizan los recursos que se implementan en la red virtual, no la conexión de punto a sitio.The value you specify is used by the resources that you deploy to the VNet, not by the P2S connection.

    New-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG" -Location "East US" -AddressPrefix "192.168.0.0/16","10.254.0.0/16" -Subnet $fesub, $besub, $gwsub -DnsServer 10.2.1.3
    
  4. Una puerta de enlace VPN debe tener una dirección IP pública.A VPN gateway must have a Public IP address. Primero se solicita el recurso de la dirección IP y, después, se hace referencia a él al crear la puerta de enlace de red virtual.You first request the IP address resource, and then refer to it when creating your virtual network gateway. La dirección IP se asigna dinámicamente al recurso cuando se crea la puerta de enlace VPN.The IP address is dynamically assigned to the resource when the VPN gateway is created. Actualmente, VPN Gateway solo admite la asignación de direcciones IP públicas dinámicas.VPN Gateway currently only supports Dynamic Public IP address allocation. No se puede solicitar una asignación de direcciones IP públicas estáticas.You cannot request a Static Public IP address assignment. Sin embargo, esto no significa que la dirección IP cambia después de que se ha asignado a una puerta de enlace VPN.However, this does not mean that the IP address changes after it has been assigned to your VPN gateway. La única vez que la dirección IP pública cambia es cuando la puerta de enlace se elimina y se vuelve a crear.The only time the Public IP address changes is when the gateway is deleted and re-created. No cambia cuando se cambia el tamaño, se restablece o se realizan actualizaciones u otras operaciones de mantenimiento interno de una puerta de enlace VPN.It doesn't change across resizing, resetting, or other internal maintenance/upgrades of your VPN gateway.

    Especifique las variables para solicitar una dirección IP pública asignada de forma dinámica.Specify the variables to request a dynamically assigned Public IP address.

    $vnet = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG"  
    $subnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet 
    $pip = New-AzPublicIpAddress -Name "VNet1GWPIP" -ResourceGroupName "TestRG" -Location "East US" -AllocationMethod Dynamic 
    $ipconf = New-AzVirtualNetworkGatewayIpConfig -Name "gwipconf" -Subnet $subnet -PublicIpAddress $pip
    

2. Configuración del servidor RADIUS2. Set up your RADIUS server

Antes de crear y configurar la puerta de enlace de red virtual, el servidor RADIUS debe configurarse correctamente para la autenticación.Before creating and configuring the virtual network gateway, your RADIUS server should be configured correctly for authentication.

  1. Si no tiene un servidor RADIUS implementado, implemente uno.If you don’t have a RADIUS server deployed, deploy one. Para los pasos de implementación, consulte la guía de instalación que proporciona el proveedor de RADIUS.For deployment steps, refer to the setup guide provided by your RADIUS vendor.  
  2. Configure la puerta de enlace de VPN como cliente RADIUS en RADIUS.Configure the VPN gateway as a RADIUS client on the RADIUS. Al agregar a este cliente RADIUS, especifique la red virtual GatewaySubnet que ha creado.When adding this RADIUS client, specify the virtual network GatewaySubnet that you created. 
  3. Una vez configurado el servidor RADIUS, obtenga su dirección IP y el secreto compartido que deben usar los clientes RADIUS para comunicarse con él.Once the RADIUS server is set up, get the RADIUS server's IP address and the shared secret that RADIUS clients should use to talk to the RADIUS server. Si el servidor RADIUS está en la red virtual de Azure, use la dirección IP de entidad de certificación de la máquina virtual del servidor RADIUS.If the RADIUS server is in the Azure VNet, use the CA IP of the RADIUS server VM.

El artículo Servidor de directivas de redes (NPS) proporciona instrucciones acerca de cómo configurar un servidor Windows RADIUS (NPS) para la autenticación de dominio de AD.The Network Policy Server (NPS) article provides guidance about configuring a Windows RADIUS server (NPS) for AD domain authentication.

3. Creación de la puerta de enlace de VPN3. Create the VPN gateway

Configure y cree la puerta de enlace de VPN para la red virtual.Configure and create the VPN gateway for your VNet.

  • -GatewayType debe ser "Vpn" y -VpnType, "RouteBased".The -GatewayType must be 'Vpn' and the -VpnType must be 'RouteBased'.
  • Una puerta de enlace de VPN puede tardar hasta 45 minutos en completarse, según la  SKU de puerta de enlace  que seleccione.A VPN gateway can take up to 45 minutes to complete, depending on the gateway SKU you select.
New-AzVirtualNetworkGateway -Name $GWName -ResourceGroupName $RG `
-Location $Location -IpConfigurations $ipconf -GatewayType Vpn `
-VpnType RouteBased -EnableBgp $false -GatewaySku VpnGw1

4. Incorporación del servidor RADIUS y el grupo de direcciones de cliente4. Add the RADIUS server and client address pool

  • El valor de -RadiusServer se puede especificar por nombre o por dirección IP.The -RadiusServer can be specified by name or by IP address. Si se especifica el nombre y el servidor es local, quizá la puerta de enlace de VPN no pueda resolver el nombre.If you specify the name and the server resides on-premises, then the VPN gateway may not be able to resolve the name. Si es el caso, lo mejor es especificar la dirección IP del servidor.If that’s the case, then it's better to specify the IP address of the server. 
  • El valor de -RadiusSecret debe coincidir con la configuración del servidor RADIUS.The -RadiusSecret should match what is configured on your RADIUS server.
  • -VpnClientAddressPool es el intervalo del que reciben una dirección IP los clientes al conectarse a la VPN.The -VpnClientAddressPool is the range from which the connecting VPN clients receive an IP address. Use un intervalo de direcciones IP privadas que no se superponga a la ubicación local desde la que se va a conectar ni a la red virtual a la que desea conectarse. Use a private IP address range that does not overlap with the on-premises location that you will connect from, or with the VNet that you want to connect to. Asegúrese de que tiene configurado un grupo de direcciones lo suficientemente grande.Ensure that you have a large enough address pool configured.  
  1. Cree una cadena segura para el secreto de RADIUS.Create a secure string for the RADIUS secret.

    $Secure_Secret=Read-Host -AsSecureString -Prompt "RadiusSecret"
    
  2. Deberá escribir el secreto de RADIUS.You are prompted to enter the RADIUS secret. Los caracteres que especifique no se mostrarán, sino que se reemplazarán por el carácter "*".The characters that you enter will not be displayed and instead will be replaced by the "*" character.

    RadiusSecret:***
    
  3. Agregue el grupo de direcciones de cliente VPN y la información del servidor RADIUS.Add the VPN client address pool and the RADIUS server information.

    Para configuraciones SSTP:For SSTP configurations:

    $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
    Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
    -VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "SSTP" `
    -RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret
    

    Para configuraciones IKEv2:For IKEv2 configurations:

    $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
    Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
    -VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "IKEv2" `
    -RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret
    

    Para SSTP + IKEv2For SSTP + IKEv2

    $Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $RG -Name $GWName
    Set-AzVirtualNetworkGateway -VirtualNetworkGateway $Gateway `
    -VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol @( "SSTP", "IkeV2" ) `
    -RadiusServerAddress "10.51.0.15" -RadiusServerSecret $Secure_Secret
    

5. Descarga del paquete de configuración de cliente VPN y configuración del cliente VPN5. Download the VPN client configuration package and set up the VPN client

La configuración del cliente VPN permite que los dispositivos se conecten a una red virtual mediante una conexión de punto a sitio.The VPN client configuration lets devices connect to a VNet over a P2S connection. Para generar un paquete de configuración de cliente VPN y configurar el cliente de VPN, consulte Create a VPN Client Configuration for RADIUS authentication (Creación de la configuración de cliente de VPN para la autenticación RADIUS). To generate a VPN client configuration package and set up the VPN client, see Create a VPN Client Configuration for RADIUS authentication.

6. Conexión a Azure6. Connect to Azure

Para conectarse desde un cliente VPN en WindowsTo connect from a Windows VPN client

  1. Para conectarse a su red virtual, en el equipo cliente, vaya a las conexiones VPN y ubique la que creó.To connect to your VNet, on the client computer, navigate to VPN connections and locate the VPN connection that you created. Tiene el mismo nombre que su red virtual.It is named the same name as your virtual network. Escriba sus credenciales de dominio y haga clic en "Conectar".Enter your domain credentials and click 'Connect'. Aparece un mensaje emergente que solicita derechos elevados.A pop-up message requesting elevated rights appears. Haga clic en Aceptar y escriba las credenciales.Accept it and enter the credentials.

    El cliente VPN se conecta a Azure

  2. Se ha establecido la conexión.Your connection is established.

    Conexión establecida

Conexión desde un cliente VPN en MacConnect from a Mac VPN client

En el cuadro de diálogo Red, localice el perfil de cliente que desea utilizar y, después, haga clic en Conectar.From the Network dialog box, locate the client profile that you want to use, then click Connect.

Conexión de Mac

Para comprobar la conexiónTo verify your connection

  1. Para comprobar que la conexión VPN está activa, abra un símbolo del sistema con privilegios elevados y ejecute ipconfig/all.To verify that your VPN connection is active, open an elevated command prompt, and run ipconfig/all.

  2. Vea los resultados.View the results. Observe que la dirección IP que recibió es una de las direcciones dentro del grupo de direcciones de cliente de VPN punto a sitio que especificó en la configuración.Notice that the IP address you received is one of the addresses within the Point-to-Site VPN Client Address Pool that you specified in your configuration. Los resultados son similares a los del ejemplo siguiente:The results are similar to this example:

    PPP adapter VNet1:
       Connection-specific DNS Suffix .:
       Description.....................: VNet1
       Physical Address................:
       DHCP Enabled....................: No
       Autoconfiguration Enabled.......: Yes
       IPv4 Address....................: 172.16.201.3(Preferred)
       Subnet Mask.....................: 255.255.255.255
       Default Gateway.................:
       NetBIOS over Tcpip..............: Enabled
    

Para solucionar problemas de conexión de P2S, vea Solución de problemas: conexión de punto a sitio de Azure.To troubleshoot a P2S connection, see Troubleshooting Azure point-to-site connections.

Conexión a una máquina virtualTo connect to a virtual machine

Puede conectarse a una máquina virtual que se ha implementado en la red virtual mediante la creación de una conexión a Escritorio remoto a la máquina virtual.You can connect to a VM that is deployed to your VNet by creating a Remote Desktop Connection to your VM. La mejor manera de comprobar inicialmente que puede conectarse a la máquina virtual es hacerlo mediante su dirección IP privada, en lugar del nombre de equipo.The best way to initially verify that you can connect to your VM is to connect by using its private IP address, rather than computer name. Con este método prueba si puede conectarse, no si la resolución de nombres está configurada correctamente.That way, you are testing to see if you can connect, not whether name resolution is configured properly.

  1. Busque la dirección IP privada.Locate the private IP address. Para buscar la dirección IP privada de una máquina virtual, examine sus propiedades en Azure Portal o use PowerShell.You can find the private IP address of a VM by either looking at the properties for the VM in the Azure portal, or by using PowerShell.

    • Azure Portal: busque la máquina virtual en Azure Portal.Azure portal - Locate your virtual machine in the Azure portal. Vea las propiedades de la máquina virtual.View the properties for the VM. Se enumera la dirección IP privada.The private IP address is listed.

    • PowerShell: utilice el ejemplo para ver una lista de las máquinas virtuales y las direcciones IP privadas de los grupos de recursos.PowerShell - Use the example to view a list of VMs and private IP addresses from your resource groups. No es preciso modificar el ejemplo para usarlo.You don't need to modify this example before using it.

      $VMs = Get-AzVM
      $Nics = Get-AzNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
      $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
      $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
      $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
      Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. Compruebe que está conectado a su red virtual mediante la conexión VPN de punto a sitio.Verify that you are connected to your VNet using the Point-to-Site VPN connection.

  3. Abra Conexión a Escritorio remoto, para lo que debe escribir "RDP" o "Conexión a Escritorio remoto" en el cuadro de búsqueda de la barra de tareas y, después, seleccione Conexión a Escritorio remoto.Open Remote Desktop Connection by typing "RDP" or "Remote Desktop Connection" in the search box on the taskbar, then select Remote Desktop Connection. Conexión a Escritorio remoto también se puede abrir con el comando "mstsc" de PowerShell.You can also open Remote Desktop Connection using the 'mstsc' command in PowerShell.

  4. En Conexión a Escritorio remoto, escriba la dirección IP privada de la máquina virtual.In Remote Desktop Connection, enter the private IP address of the VM. Puede hacer clic en "Mostrar opciones" para ajustar más parámetros adicionales y, después, conéctese.You can click "Show Options" to adjust additional settings, then connect.

Solución de problemas de una conexión de RDP a una máquina virtualTo troubleshoot an RDP connection to a VM

Si tiene problemas para conectarse a una máquina virtual a través de su conexión VPN, compruebe los siguientes factores:If you are having trouble connecting to a virtual machine over your VPN connection, check the following:

  • Compruebe que la conexión VPN se ha establecido correctamente.Verify that your VPN connection is successful.
  • Compruebe que se conecta a la dirección IP privada de la máquina virtual.Verify that you are connecting to the private IP address for the VM.
  • Use "ipconfig" para comprobar la dirección IPv4 asignada al adaptador de Ethernet en el equipo desde el que está intentando conectarse.Use 'ipconfig' to check the IPv4 address assigned to the Ethernet adapter on the computer from which you are connecting. Si la dirección IP está dentro del intervalo de direcciones de la red virtual a la que se va a conectar o dentro del intervalo de direcciones de su VPNClientAddressPool, esto se conoce como un espacio de direcciones superpuesto.If the IP address is within the address range of the VNet that you are connecting to, or within the address range of your VPNClientAddressPool, this is referred to as an overlapping address space. Cuando el espacio de direcciones se superpone de esta manera, el tráfico de red no llega a Azure, sino que se mantiene en la red local.When your address space overlaps in this way, the network traffic doesn't reach Azure, it stays on the local network.
  • Si puede conectarse a la máquina virtual mediante la dirección IP privada, pero no el nombre del equipo, compruebe que ha configurado el DNS correctamente.If you can connect to the VM using the private IP address, but not the computer name, verify that you have configured DNS properly. Para más información acerca de cómo funciona la resolución de nombres para las máquinas virtuales, consulte Resolución de nombres para las máquinas virtuales e instancias de rol.For more information about how name resolution works for VMs, see Name Resolution for VMs.
  • Compruebe que el paquete de configuración de cliente de VPN se generó después de que se especificaran las direcciones IP del servidor DNS para la red virtual.Verify that the VPN client configuration package was generated after the DNS server IP addresses were specified for the VNet. Si actualizó las direcciones IP de servidor DNS, genere un nuevo paquete de configuración de cliente de VPN e instálelo.If you updated the DNS server IP addresses, generate and install a new VPN client configuration package.
  • Para más información acerca de las conexiones RDP, consulte Solución de problemas de conexiones del Escritorio remoto a una máquina virtual de Azure.For more information about RDP connections, see Troubleshoot Remote Desktop connections to a VM.

P+FFAQ

Estas preguntas más frecuentes se aplican a la conexión de punto a sitio con autenticación RADIUSThis FAQ applies to P2S using RADIUS authentication

¿Cuántos puntos de conexión de cliente VPN puedo tener en mi configuración punto a sitio?How many VPN client endpoints can I have in my Point-to-Site configuration?

Depende de la SKU de puerta de enlace.It depends on the gateway SKU. Para más información sobre el número de conexiones admitidas, consulte SKU de puerta de enlace.For more information on the number of connections supported, see Gateway SKUs.

¿Qué sistemas operativos de cliente puedo usar para las conexiones de punto a sitio?What client operating systems can I use with Point-to-Site?

Se admiten los siguientes sistemas operativos de cliente:The following client operating systems are supported:

  • Windows 7 (32 bits y 64 bits)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (solo 64 bits)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32 bits y 64 bits)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (solo 64 bits)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (solo 64 bits)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (solo 64 bits)Windows Server 2016 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X versión 10.11 o versiones posterioresMac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Nota

A partir del 1 de julio de 2018, se elimina la compatibilidad con TLS 1.0 y 1.1 de Azure VPN Gateway.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. VPN Gateway será solo compatible con TLS 1.2.VPN Gateway will support only TLS 1.2. Para mantener la compatibilidad, consulte las actualizaciones para habilitar la compatibilidad con TLS 1.2.To maintain support, see the updates to enable support for TLS1.2.

Además, los siguientes algoritmos heredados también pasarán a estar en desuso para TLS a partir del 1 de julio de 2018:Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (Algoritmo de cifrado de datos)DES (Data Encryption Algorithm)
  • 3DES (Triple algoritmo de cifrado de datos)3DES (Triple Data Encryption Algorithm)
  • MD5 (Código hash 5)MD5 (Message Digest 5)

¿Cómo se habilita la compatibilidad con TLS 1.2 en Windows 7 y Windows 8.1?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Abra un símbolo del sistema con privilegios elevados. Para ello, haga clic con el botón derecho en Símbolo del sistema y seleccione Ejecutar como administrador.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. En el símbolo del sistema, ejecute los siguientes comandos:Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Instale realizaron las siguientes actualizaciones:Install the following updates:

  4. Reinicie el equipo.Reboot the computer.

  5. Conéctese a la VPN.Connect to the VPN.

Nota

Tendrá que establecer la clave del registro anterior si está ejecutando una versión anterior de Windows 10 (10240).You will have to set the above registry key if you are running an older version of Windows 10 (10240).

¿Puedo atravesar servidores proxy y firewalls con la funcionalidad de punto a sitio?Can I traverse proxies and firewalls using Point-to-Site capability?

Azure admite tres tipos de opciones de VPN de punto a sitio:Azure supports three types of Point-to-site VPN options:

  • Protocolo de túnel de sockets seguros (SSTP).Secure Socket Tunneling Protocol (SSTP). SSTP es una solución basada en SSL propietaria de Microsoft que puede atravesar firewalls, puesto que la mayoría de los firewalls abren el puerto TCP 443 que utiliza SSL.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • OpenVPN.OpenVPN. OpenVPN es una solución basada en SSL que puede atravesar firewalls, puesto que la mayoría de los firewalls abren el puerto TCP 443 de salida que utiliza SSL.OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • VPN IKEv2.IKEv2 VPN. VPN IKEv2 es una solución de VPN con IPsec basada en estándares que utiliza los puertos UDP 500 y 4500 de salida y el protocolo IP no.IKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. 50.50. Los firewalls no siempre abren estos puertos, por lo que hay una posibilidad de que la VPN IKEv2 no pueda atravesar servidores proxy y firewalls.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

¿Si reinicio un equipo cliente con configuración de punto a sitio, se volverá a conectar la VPN de forma automática?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

De forma predeterminada, el equipo cliente no volverá a establecer la conexión VPN automáticamente.By default, the client computer will not reestablish the VPN connection automatically.

¿Admite la configuración de punto a sitio la reconexión automática y el DDNS en los clientes VPN?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

Las VPN de punto a sitio no admiten la reconexión automática y el DDNS.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

¿Puedo tener configuraciones de sitio a sitio y de punto a sitio coexistiendo en la misma red virtual?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Sí.Yes. Para el modelo de implementación de Resource Manager, debe tener un tipo de VPN basada en ruta para la puerta de enlace.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. Para el modelo de implementación clásica, necesita una puerta de enlace dinámica.For the classic deployment model, you need a dynamic gateway. No se admite la configuración de punto a sitio para puertas de enlace de VPN de enrutamiento estático o puertas de enlace de VPN basadas en directivas.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

¿Puedo configurar un cliente de punto a sitio para conectarse a varias redes virtuales al mismo tiempo?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

No.No. Un cliente de punto a sitio solo puede conectarse a los recursos de la red virtual en la que reside la puerta de enlace de red virtual.A Point-to-Site client can only connect to resources in the VNet in which the virtual network gateway resides.

¿Qué rendimiento puedo esperar en las conexiones de sitio a sitio o de punto a sitio?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

Es difícil de mantener el rendimiento exacto de los túneles VPN.It's difficult to maintain the exact throughput of the VPN tunnels. IPsec y SSTP son protocolos VPN con mucho cifrado.IPsec and SSTP are crypto-heavy VPN protocols. El rendimiento también está limitado por la latencia y el ancho de banda entre sus instalaciones locales e Internet.Throughput is also limited by the latency and bandwidth between your premises and the Internet. Para una puerta de enlace de VPN únicamente con conexiones VPN de punto a sitio IKEv2, el rendimiento total que puede esperar depende de la SKU de puerta de enlace.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Consulte SKU de puerta de enlace para más información sobre el rendimiento.For more information on throughput, see Gateway SKUs.

¿Puedo usar cualquier software de cliente VPN para punto a sitio que admita SSTP o IKEv2?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

No.No. Solo puede usar el cliente VPN nativo en Windows para SSTP y el cliente VPN nativo en Mac para IKEv2.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. Sin embargo, puede utilizar el cliente OpenVPN en todas las plataformas para conectarse a través del protocolo OpenVPN.However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. Consulte la lista de sistemas operativos cliente compatibles.Refer to the list of supported client operating systems.

¿Azure admite VPN IKEv2 con Windows?Does Azure support IKEv2 VPN with Windows?

IKEv2 se admite en Windows 10 y Server 2016.IKEv2 is supported on Windows 10 and Server 2016. Sin embargo, para poder usar IKEv2, debe instalar las actualizaciones y establecer un valor de clave del Registro localmente.However, in order to use IKEv2, you must install updates and set a registry key value locally. No se admiten las versiones de sistemas operativos anteriores a Windows 10 y solo se puede usar el protocolo OpenVPN® o SSTP.OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Para preparar Windows 10 o Server 2016 para IKEv2:To prepare Windows 10 or Server 2016 for IKEv2:

  1. Instale la actualización.Install the update.

    Versión del SOOS version DateDate Número/vínculoNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 Versión 1607Windows 10 Version 1607
    17 de enero de 2018January 17, 2018 KB4057142KB4057142
    Windows 10 Versión 1703Windows 10 Version 1703 17 de enero de 2018January 17, 2018 KB4057144KB4057144
    Windows 10 Versión 1709Windows 10 Version 1709 22 de marzo de 2018March 22, 2018 KB4089848KB4089848
  2. Establezca el valor de clave del Registro.Set the registry key value. Cree o establezca la clave REG_DWORD “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” del Registro en 1.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

¿Qué ocurre cuando se configuran SSTP e IKEv2 para conexiones VPN de P2S?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Cuando configure tanto SSTP como IKEv2 en un entorno mixto (que consiste en dispositivos Windows y Mac), el cliente VPN de Windows siempre probará primero el túnel de IKEv2, pero volverá a SSTP si la conexión con IKEv2 no se realiza correctamente.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX solo se conectará a través de IKEv2.MacOSX will only connect via IKEv2.

Además de Windows y Mac, ¿qué otras plataformas Azure admite para VPN de P2S?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Azure es compatible con Windows, Mac y Linux para VPN de P2S.Azure supports Windows, Mac and Linux for P2S VPN.

Ya tengo implementada una instancia de Azure VPN Gateway.I already have an Azure VPN Gateway deployed. ¿Puedo habilitar VPN de IKEv2 o RADIUS en ella?Can I enable RADIUS and/or IKEv2 VPN on it?

Sí, puede habilitar estas características nuevas en puertas de enlace ya implementadas mediante Powershell o Azure Portal, siempre que la SKU de la puerta de enlace que use admita RADIUS o IKEv2.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. Por ejemplo, la SKU de nivel Básico de VPN Gateway no admite RADIUS ni IKEv2.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

¿Se admite la autenticación RADIUS en todas las SKU de Azure VPN Gateway?Is RADIUS authentication supported on all Azure VPN Gateway SKUs?

La autenticación RADIUS es compatible con las SKU VpnGw1, VpnGw2 y VpnGw3.RADIUS authentication is supported for VpnGw1, VpnGw2, and VpnGw3 SKUs. Si usa SKU heredadas, la autenticación RADIUS se admite en SKU estándar y de alto rendimiento.If you are using legacy SKUs, RADIUS authentication is supported on Standard and High Performance SKUs. Esta autenticación no es compatible con la SKU de nivel Básico.It is not supported on the Basic Gateway SKU. 

¿Es compatible la autenticación RADIUS con el modelo de implementación clásica?Is RADIUS authentication supported for the classic deployment model?

No.No. La autenticación RADIUS no es compatible con el modelo de implementación clásica.RADIUS authentication is not supported for the classic deployment model.

¿Se admiten servidores RADIUS de terceros?Are 3rd-party RADIUS servers supported?

Sí, se admiten.Yes, 3rd-party RADIUS servers are supported.

¿Cuáles son los requisitos de conectividad para garantizar que la puerta de enlace de Azure pueda comunicarse con un servidor RADIUS local?What are the connectivity requirements to ensure that the Azure gateway is able to reach an on-premises RADIUS server?

Se necesita una conexión VPN de sitio a sitio en el sitio local, con las rutas apropiadas configuradas.A VPN Site-to-Site connection to the on-premises site, with the proper routes configured, is required.  

¿Puede enrutarse el tráfico a un servidor RADIUS local (desde la instancia de Azure VPN Gateway) a través de una conexión ExpressRoute?Can traffic to an on-premises RADIUS server (from the Azure VPN gateway) be routed over an ExpressRoute connection?

No.No. Solo puede enrutarse a través de una conexión de sitio a sitio.It can only be routed over a Site-to-Site connection.

¿Ha cambiado el número de conexiones SSTP admitidas con autenticación RADIUS?Is there a change in the number of SSTP connections supported with RADIUS authentication? ¿Cuál es el número máximo de conexiones SSTP e IKEv2 admitidas?What is the maximum number of SSTP and IKEv2 connections supported?

El número máximo de conexiones SSTP admitidas en una puerta de enlace con autenticación RADIUS no ha cambiado.There is no change in the maximum number of SSTP connections supported on a gateway with RADIUS authentication. Sigue siendo 128 para SSTP, pero depende de la SKU de puerta de enlace para IKEv2.It remains 128 for SSTP, but depends on the gateway SKU for IKEv2. Para más información sobre el número de conexiones admitidas, consulte SKU de puerta de enlace. For more information on the number of connections supported, see Gateway SKUs.

¿En qué se diferencia la autenticación de certificados con un servidor RADIUS de la realizada con la autenticación mediante certificados nativos de Azure (al cargar un certificado de confianza en Azure)?What is the difference between doing certificate authentication using a RADIUS server vs. using Azure native certificate authentication (by uploading a trusted certificate to Azure).

En la autenticación de certificados RADIUS, la solicitud de autenticación se reenvía a un servidor RADIUS que realiza la validación del certificado real.In RADIUS certificate authentication, the authentication request is forwarded to a RADIUS server that handles the actual certificate validation. Esta opción es útil si desea integrarla con una infraestructura de autenticación de certificados a través de RADIUS de la que ya disponga.This option is useful if you want to integrate with a certificate authentication infrastructure that you already have through RADIUS.

Cuando se utiliza Azure para la autenticación de certificados, la instancia de Azure VPN Gateway realiza la validación del certificado.When using Azure for certificate authentication, the Azure VPN gateway performs the validation of the certificate. Debe cargar la clave pública del certificado en la puerta de enlace.You need to upload your certificate public key to the gateway. También puede especificar una lista de certificados revocados que no podrán conectarse.You can also specify list of revoked certificates that shouldn’t be allowed to connect.

¿La autenticación RADIUS funciona con IKEv2 y SSTP VPN?Does RADIUS authentication work with both IKEv2, and SSTP VPN?

Sí, la autenticación RADIUS es compatible con IKEv2 y SSTP VPN.Yes, RADIUS authentication is supported for both IKEv2, and SSTP VPN. 

¿La autenticación RADIUS funciona con el cliente de OpenVPN?Does RADIUS authentication work with the OpenVPN client?

La autenticación RADIUS no es compatible con el cliente de OpenVPN.RADIUS authentication is not supported for the OpenVPN client.

Pasos siguientesNext steps

Una vez completada la conexión, puede agregar máquinas virtuales a las redes virtuales.Once your connection is complete, you can add virtual machines to your virtual networks. Consulte Virtual Machines para más información.For more information, see Virtual Machines. Para más información acerca de las redes y las máquinas virtuales, consulte Información general sobre las redes de máquina virtual con Linux y Azure.To understand more about networking and virtual machines, see Azure and Linux VM network overview.