Configure una conexión VPN de punto a sitio a una red virtual mediante la autenticación nativa de los certificados de Azure: Portal de AzureConfigure a Point-to-Site VPN connection to a VNet using native Azure certificate authentication: Azure portal

Este artículo le ayudará con la conexión segura de clientes que ejecuten Windows, Linux o Mac OS X a una red virtual de Azure.This article helps you securely connect individual clients running Windows, Linux, or Mac OS X to an Azure VNet. Las conexiones VPN de punto a sitio son útiles cuando desea conectarse a la red virtual desde una ubicación remota, como desde casa o desde una conferencia.Point-to-Site VPN connections are useful when you want to connect to your VNet from a remote location, such when you are telecommuting from home or a conference. También puede usar P2S en lugar de una VPN de sitio a sitio cuando son pocos los clientes que necesitan conectarse a una red virtual.You can also use P2S instead of a Site-to-Site VPN when you have only a few clients that need to connect to a VNet. Las conexiones de punto a sitio no requieren un dispositivo VPN ni una dirección IP de acceso público.Point-to-Site connections do not require a VPN device or a public-facing IP address. P2S crea la conexión VPN sobre SSTP (Protocolo de túnel de sockets seguros) o IKEv2.P2S creates the VPN connection over either SSTP (Secure Socket Tunneling Protocol), or IKEv2. Para más información sobre las conexiones VPN de punto a sitio, consulte Acerca de las conexiones VPN de punto a sitio.For more information about Point-to-Site VPN, see About Point-to-Site VPN.

Conexión de un equipo a una red virtual de Azure: diagrama de conexión de punto a sitio

ArquitecturaArchitecture

Las conexiones con autenticación mediante certificado de Azure nativas de punto a sitio usan los siguientes elementos, que se configuran en este ejercicio:Point-to-Site native Azure certificate authentication connections use the following items, which you configure in this exercise:

  • Una puerta de enlace de VPN RouteBased.A RouteBased VPN gateway.
  • La clave pública (archivo .cer) de un certificado raíz, que se carga en Azure.The public key (.cer file) for a root certificate, which is uploaded to Azure. Una vez cargado el certificado, se considera un certificado de confianza y se usa para la autenticación.Once the certificate is uploaded, it is considered a trusted certificate and is used for authentication.
  • Un certificado de cliente que se genera a partir del certificado raíz.A client certificate that is generated from the root certificate. El certificado de cliente se instalará en todos los equipos cliente que se conecten a la red virtual.The client certificate installed on each client computer that will connect to the VNet. Este certificado se usa para la autenticación de cliente.This certificate is used for client authentication.
  • Una configuración de cliente VPN.A VPN client configuration. Los archivos de configuración de cliente VPN contienen la información necesaria para que el cliente se conecte a la red virtual.The VPN client configuration files contain the necessary information for the client to connect to the VNet. Los archivos configuran el cliente VPN existente que es nativo en el sistema operativo.The files configure the existing VPN client that is native to the operating system. Cada cliente que se conecta debe configurarse con los valores de los archivos de configuración.Each client that connects must be configured using the settings in the configuration files.

Valores del ejemploExample values

Puede usar los siguientes valores para crear un entorno de prueba o hacer referencia a ellos para comprender mejor los ejemplos de este artículo:You can use the following values to create a test environment, or refer to these values to better understand the examples in this article:

  • Nombre de la red virtual: VNet1VNet Name: VNet1
  • Espacio de direcciones: 192.168.0.0/16Address space: 192.168.0.0/16
    En este ejemplo, se utiliza solo un espacio de direcciones.For this example, we use only one address space. Puede tener más de un espacio de direcciones para la red virtual.You can have more than one address space for your VNet.
  • Nombre de subred: FrontEndSubnet name: FrontEnd
  • Intervalo de direcciones de subred: 192.168.1.0/24Subnet address range: 192.168.1.0/24
  • Subscription (Suscripción): si tiene más de una suscripción, compruebe que usa la correcta.Subscription: If you have more than one subscription, verify that you are using the correct one.
  • Grupos de recursos: TestRGResource Group: TestRG
  • Ubicación: East USLocation: East US
  • GatewaySubnet: 192.168.200.0/24GatewaySubnet: 192.168.200.0/24
  • Nombre de la puerta de enlace de red virtual: VNet1GWVirtual network gateway name: VNet1GW
  • Tipo de puerta de enlace: VPNGateway type: VPN
  • Tipo de VPN: basada en rutasVPN type: Route-based
  • Nombre de dirección IP pública: VNet1GWpipPublic IP address name: VNet1GWpip
  • Tipo de conexión: De punto a sitioConnection type: Point-to-site
  • Grupo de direcciones de clientes: 172.16.201.0/24Client address pool: 172.16.201.0/24
    Los clientes de VPN que se conectan a la red virtual mediante esta conexión de punto a sitio reciben una dirección IP del grupo de clientes.VPN clients that connect to the VNet using this Point-to-Site connection receive an IP address from the client address pool.

1. Creación de una red virtual1. Create a virtual network

Antes de empezar, compruebe que tiene una suscripción a Azure.Before beginning, verify that you have an Azure subscription. Si todavía no la tiene, puede activar sus ventajas como suscriptor de MSDN o registrarse para obtener una cuenta gratuita.If you don't already have an Azure subscription, you can activate your MSDN subscriber benefits or sign up for a free account.

Para crear una red virtual con el modelo de implementación de Resource Manager mediante Azure Portal, siga los pasos que se indican a continuación.To create a VNet in the Resource Manager deployment model by using the Azure portal, follow the steps below. Las capturas de pantalla se proporcionan a modo de ejemplos.The screenshots are provided as examples. Asegúrese de reemplazar los valores por los suyos.Be sure to replace the values with your own. Para más información sobre redes virtuales, consulte Información general sobre redes virtuales.For more information about working with virtual networks, see the Virtual Network Overview.

Nota

Si desea que esta red virtual se conecte a una ubicación local (además de crear una configuración de P2S), debe coordinarse con el administrador de la red local para delimitar un intervalo de direcciones IP que pueda usar específicamente para esta red virtual.If you want this VNet to connect to an on-premises location (in addition to creating a P2S configuration), you need to coordinate with your on-premises network administrator to carve out an IP address range that you can use specifically for this virtual network. Si existe un intervalo de direcciones duplicado en ambos lados de la conexión VPN, el tráfico no se enrutará como cabría esperar.If a duplicate address range exists on both sides of the VPN connection, traffic does not route the way you may expect it to. Además, si desea conectar esta red virtual a otra red virtual, el espacio de direcciones no se puede superponer con otra red virtual.Additionally, if you want to connect this VNet to another VNet, the address space cannot overlap with other VNet. Por consiguiente, tenga cuidado al planear la configuración de red.Take care to plan your network configuration accordingly.

  1. Desde un explorador, vaya Azure Portal y, si fuera necesario, inicie sesión con su cuenta de Azure.From a browser, navigate to the Azure portal and, if necessary, sign in with your Azure account.

  2. Haga clic en + .Click +. En el campo Buscar en el Marketplace, escriba "Red virtual".In the Search the marketplace field, type "Virtual Network". En la lista de resultados, busque Virtual Network y haga clic para abrir la página Virtual Network.Locate Virtual Network from the returned list and click to open the Virtual Network page.

    Página de recursos Buscar red virtualLocate Virtual Network resource page

  3. En la parte inferior de la página Virtual Network, en la lista Seleccionar un modelo de implementación, seleccione Resource Manager y, finalmente, haga clic en Crear.Near the bottom of the Virtual Network page, from the Select a deployment model list, select Resource Manager, and then click Create.

    Selección de Resource ManagerSelect Resource Manager

  4. En la página Crear red virtual, configure los valores de la red virtual.On the Create virtual network page, configure the VNet settings. Al rellenar los campos, el signo de exclamación rojo se convierte en una marca de verificación verde cuando los caracteres escritos en el campo sean válidos.When you fill in the fields, the red exclamation mark becomes a green check mark when the characters entered in the field are valid. Es posible que algunos valores se rellenen automáticamente.There may be values that are auto-filled. En tal caso, reemplace esos valores por los que desee.If so, replace the values with your own. La página Crear red virtual es similar a la del ejemplo siguiente:The Create virtual network page looks similar to the following example:

    Validación de camposField validation

  5. Nombre: escriba el nombre de la red virtual.Name: Enter the name for your Virtual Network.

  6. Espacio de direcciones: escriba el espacio de direcciones.Address space: Enter the address space. Si tiene varios espacios de direcciones que agregar, agregue su primer espacio de direcciones.If you have multiple address spaces to add, add your first address space. Podrá agregar más espacios de direcciones posteriormente, tras crear la red virtual.You can add additional address spaces later, after creating the VNet.

  7. Suscripción: verifique que la suscripción que aparece en la lista es la correcta.Subscription: Verify that the Subscription listed is the correct one. Puede cambiar las suscripciones mediante la lista desplegable.You can change subscriptions by using the drop-down.

  8. Grupo de recursos: seleccione un grupo de recursos existente, o bien cree uno nuevo y escriba su nombre.Resource group: Select an existing resource group, or create a new one by typing a name for your new resource group. Si va a crear un nuevo grupo, dé un nombre al grupo de recursos según los valores de configuración planeados.If you are creating a new group, name the resource group according to your planned configuration values. Para obtener más información sobre los grupos de recursos, visite Información general del Administrador de recursos de Azure.For more information about resource groups, visit Azure Resource Manager Overview.

  9. Ubicación: seleccione la ubicación de la red virtual.Location: Select the location for your VNet. La ubicación determina dónde van a residir los recursos que se implementen en esta red virtual.The location determines where the resources that you deploy to this VNet will reside.

  10. Subred: agregue el nombre y el intervalo de direcciones de la subred.Subnet: Add the subnet name and subnet address range. Podrá agregar más subredes posteriormente, tras crear la red virtual.You can add additional subnets later, after creating the VNet.

  11. Seleccione Anclar al panel si desea encontrar la red virtual fácilmente en el panel y, luego, haga clic en Crear.Select Pin to dashboard if you want to be able to find your VNet easily on the dashboard, and then click Create.

    Anclar al panelPin to dashboard

  12. Después de hacer clic en Crear, verá un icono en el panel que reflejará el progreso de la red virtual.After clicking Create, you will see a tile on your dashboard that will reflect the progress of your VNet. El icono cambiará a medida que se vaya creando la red virtual.The tile changes as the VNet is being created.

    Creación de un icono de red virtualCreating virtual network tile

2. Creación de una puerta de enlace de red virtual2. Create a virtual network gateway

En este paso, se crea la puerta de enlace para la red virtual.In this step, you create the virtual network gateway for your VNet. La creación de una puerta de enlace suele tardar 45 minutos o más, según la SKU de la puerta de enlace seleccionada.Creating a gateway can often take 45 minutes or more, depending on the selected gateway SKU.

La puerta de enlace de red virtual usa una subred concreta llamada la subred de la puerta de enlace.The virtual network gateway uses specific subnet called the gateway subnet. Esta subred forma parte del intervalo de direcciones IP de red virtual que se especifican al configurar una red virtual.The gateway subnet is part of the virtual network IP address range that you specify when configuring your virtual network. Contiene las direcciones IP que usan los recursos y servicios de puerta de enlace de la red virtual.It contains the IP addresses that the virtual network gateway resources and services use.

Al crear la subred de puerta de enlace, especifique el número de direcciones IP que contiene la subred.When you create the gateway subnet, you specify the number of IP addresses that the subnet contains. El número de direcciones IP que se necesitan depende de la configuración de puerta de enlace de VPN que se desea crear.The number of IP addresses needed depends on the VPN gateway configuration that you want to create. Algunas configuraciones requieren más direcciones IP que otras.Some configurations require more IP addresses than others. Es aconsejable crear una subred de puerta de enlace que use /27 o /28.We recommend that you create a gateway subnet that uses a /27 or /28.

Si ve un error en el que se indica que el espacio de direcciones se solapa con una subred o que la subred no se encuentra dentro del espacio de direcciones de la red virtual, compruebe el intervalo de direcciones de la red virtual.If you see an error that specifies that the address space overlaps with a subnet, or that the subnet is not contained within the address space for your virtual network, check your VNet address range. Es posible que no tenga suficientes direcciones IP disponibles en el intervalo de direcciones que creó para la red virtual.You may not have enough IP addresses available in the address range you created for your virtual network. Por ejemplo, si la subred predeterminada engloba todo el intervalo de direcciones, no quedan direcciones IP para crear más subredes.For example, if your default subnet encompasses the entire address range, there are no IP addresses left to create additional subnets. Puede ajustar las subredes en el espacio de direcciones existente para liberar direcciones IP o especificar un intervalo de direcciones adicionales y crear en él la subred de la puerta de enlace.You can either adjust your subnets within the existing address space to free up IP addresses, or specify an additional address range and create the gateway subnet there.

  1. En el portal, a la izquierda, haga clic en + Crear un recurso y escriba "Virtual Network Gateway" en el cuadro de búsqueda.In the portal, on the left side, click + Create a resource and type 'Virtual Network Gateway' in search. Busque Puerta de enlace de red virtual en los resultados de la búsqueda y haga clic en la entrada.Locate Virtual network gateway in the search return and click the entry. En la página Puerta de enlace de red virtual, haga clic en Crear.On the Virtual network gateway page, click Create. Se abre la página Crear puerta de enlace de red virtual.This opens the Create virtual network gateway page.

    Campos de la página Crear puerta de enlace de red virtualCreate virtual network gateway page fields

    Campos de la página Crear puerta de enlace de red virtualCreate virtual network gateway page fields

  2. En la página Crear puerta de enlace de red virtual, rellene los valores de la puerta de enlace de red virtual.On the Create virtual network gateway page, fill in the values for your virtual network gateway.

    Detalles del proyectoProject details

    • Suscripción: seleccione la suscripción que desea usar en la lista desplegable.Subscription: Select the subscription you want to use from the dropdown.
    • Grupo de recursos: esta configuración se rellena automáticamente cuando selecciona la red virtual en esta página.Resource Group: This setting is autofilled when you select your virtual network on this page.

    Detalles de instanciaInstance details

    • Nombre: Asigne un nombre a la puerta de enlace.Name: Name your gateway. Asignar nombre a la puerta de enlace no es lo mismo que asignar nombre a una subred de puerta de enlace.Naming your gateway not the same as naming a gateway subnet. Este es el nombre del objeto de puerta de enlace que va a crear.It's the name of the gateway object you are creating.

    • Región: Seleccione la región en la que quiere crear este recurso.Region: Select the region in which you want to create this resource. La región de la puerta de enlace debe ser la misma que la red virtual.The region for the gateway must be the same as the virtual network.

    • Tipo de puerta de enlace: Seleccione VPN.Gateway type: Select VPN. Las puertas de enlace VPN usan el tipo de puerta de enlace de red virtual VPN.VPN gateways use the virtual network gateway type VPN.

    • Tipo de VPN: seleccione el tipo de VPN que se especifica para la configuración.VPN type: Select the VPN type that is specified for your configuration. La mayoría de las configuraciones requieren un tipo de VPN basada en enrutamiento.Most configurations require a Route-based VPN type.

    • SKU: seleccione la SKU de puerta de enlace en la lista desplegable.SKU: Select the gateway SKU from the dropdown. Las SKU que aparecen en la lista desplegable dependen del tipo de VPN que seleccione.The SKUs listed in the dropdown depend on the VPN type you select. Para más información acerca de las SKU de puerta de enlace, consulte SKU de puerta de enlace.For more information about gateway SKUs, see Gateway SKUs.

      Red virtual: Elija la red virtual a la que quiera agregar esta puerta de enlace.Virtual network: Choose the virtual network to which you want to add this gateway.

      Intervalo de direcciones de subred de puerta de enlace: Este campo solo aparece si la red virtual seleccionada no tiene una subred de puerta de enlace.Gateway subnet address range: This field only appears if the virtual network you selected does not have a gateway subnet. Rellene el intervalo si aún no tiene una subred de puerta de enlace.Fill in the range if you don't already have a gateway subnet. Si es posible, convierta el intervalo /27 o mayor (/26, /25, etc.).If possible, make the range /27 or larger (/26,/25 etc.)

    Dirección IP pública: esta configuración especifica el objeto de dirección IP pública que se asocia a la puerta de enlace de VPN.Public IP address: This setting specifies the public IP address object that gets associated to the VPN gateway. La dirección IP pública se asigna dinámicamente a este objeto cuando se crea la puerta de enlace de VPN.The public IP address is dynamically assigned to this object when the VPN gateway is created. La única vez que la dirección IP pública cambia es cuando la puerta de enlace se elimina y se vuelve a crear.The only time the Public IP address changes is when the gateway is deleted and re-created. No cambia cuando se cambia el tamaño, se restablece o se realizan actualizaciones u otras operaciones de mantenimiento interno de una puerta de enlace VPN.It doesn't change across resizing, resetting, or other internal maintenance/upgrades of your VPN gateway.

    • Dirección IP pública: Mantenga la opción Crear nueva seleccionada.Public IP address: Leave Create new selected.
    • Nombre de dirección IP pública: En el cuadro de texto, escriba un nombre para la dirección IP pública.Public IP address name: In the text box, type a name for your public IP address instance.
    • Asignación: VPN Gateway solo admite Dinámica.Assignment: VPN gateway supports only Dynamic.

    Modo activo/activo: Seleccione Habilitar el modo activo/activo solo si va a crear una configuración de puerta de enlace activa/activa.Active-Active mode: Only select Enable active-active mode if you are creating an active-active gateway configuration. En caso contrario, deje este valor sin seleccionar.Otherwise, leave this setting unselected.

    Deje la opción Configurar ASN BGP sin seleccionar, a menos que su configuración requiera específicamente este valor.Leave Configure BGP ASN deselected, unless your configuration specifically requires this setting. Si necesita esta configuración, el valor predeterminado del ASN es 65515, aunque esto se puede cambiar.If you do require this setting, the default ASN is 65515, although this can be changed.

  3. Haga clic en Revisar y crear para ejecutar la validación.Click Review + Create to run validation. Una vez superada la validación, haga clic en Crear para implementar VPN Gateway.Once validation passes, click Create to deploy the VPN gateway. Una puerta de enlace puede tardar hasta 45 minutos en crearse e implementarse completamente.A gateway can take up to 45 minutes to fully create and deploy. Puede ver el estado de implementación en la página Información general de la puerta de enlace.You can see the deployment status on the Overview page for your gateway.

Una vez creada la puerta de enlace, puede ver la dirección IP que se le ha asignado consultando la red virtual en el portal.After the gateway is created, you can view the IP address that has been assigned to it by looking at the virtual network in the portal. La puerta de enlace aparece como un dispositivo conectado.The gateway appears as a connected device.

Nota

La SKU de puerta de enlace de nivel Básico no admite la autenticación de IKEv2 o RADIUS.The Basic gateway SKU does not support IKEv2 or RADIUS authentication. Si planea que clientes Mac se conecten a la red virtual, no use la SKU de nivel Básico.If you plan on having Mac clients connect to your virtual network, do not use the Basic SKU.

3. Generación de certificados3. Generate certificates

Azure usa certificados para autenticar a los clientes para conectarse a una red virtual a través de una conexión VPN de punto a sitio.Certificates are used by Azure to authenticate clients connecting to a VNet over a Point-to-Site VPN connection. Una vez que obtenga el certificado raíz, cargue la información de clave pública en Azure.Once you obtain a root certificate, you upload the public key information to Azure. En ese momento, Azure considera que el certificado raíz es "de confianza" para conectarse de P2S a la red virtual.The root certificate is then considered 'trusted' by Azure for connection over P2S to the virtual network. También genere certificados de cliente desde el certificado raíz de confianza y, a continuación, vuelva a instalarlos en cada equipo cliente.You also generate client certificates from the trusted root certificate, and then install them on each client computer. El certificado de cliente se utiliza para autenticar al cliente cuando se inicia una conexión con la red virtual.The client certificate is used to authenticate the client when it initiates a connection to the VNet.

1. Obtención del archivo .cer del certificado raíz1. Obtain the .cer file for the root certificate

Use un certificado raíz generado mediante una solución empresarial (opción recomendada) o genere un certificado autofirmado.Use either a root certificate that was generated with an enterprise solution (recommended), or generate a self-signed certificate. Después de crear el certificado raíz, exporte los datos (no la clave privada) del certificado público como un archivo .cer con codificación Base64 X.509.After you create the root certificate, export the public certificate data (not the private key) as a Base64 encoded X.509 .cer file. A continuación, cargue los datos del certificado público en el servidor de Azure.Then, upload the public certificate data to the Azure server.

  • Certificado de empresa: Si usa una solución empresarial, puede utilizar la cadena de certificados existente.Enterprise certificate: If you're using an enterprise solution, you can use your existing certificate chain. Obtenga el archivo .cer para el certificado raíz que desee usar.Acquire the .cer file for the root certificate that you want to use.

  • Certificado raíz autofirmado: Si no usa una solución de certificado de empresa, cree un certificado raíz autofirmado.Self-signed root certificate: If you aren't using an enterprise certificate solution, create a self-signed root certificate. En caso contrario, los certificados que cree no serán compatibles con las conexiones de P2S y los clientes recibirán un error de conexión al intentar conectarse.Otherwise, the certificates you create won't be compatible with your P2S connections and clients will receive a connection error when they try to connect. Puede usar Azure PowerShell, MakeCert o bien OpenSSL.You can use Azure PowerShell, MakeCert, or OpenSSL. Los pasos descritos en los artículos siguientes describen cómo generar un certificado raíz autofirmado compatible:The steps in the following articles describe how to generate a compatible self-signed root certificate:

    • Instrucciones para PowerShell en Windows 10: estas instrucciones requieren Windows 10 y PowerShell para generar certificados.Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. Los certificados de cliente que se generan desde el certificado raíz pueden instalarse en cualquier cliente P2S compatible.Client certificates that are generated from the root certificate can be installed on any supported P2S client.
    • Instrucciones para MakeCert: use MakeCert para generar certificados si no tiene acceso a un equipo con Windows 10.MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer to use to generate certificates. Aunque MakeCert está en desuso, todavía puede usarlo para generar certificados.Although MakeCert is deprecated, you can still use it to generate certificates. Los certificados de cliente que se generan desde el certificado raíz pueden instalarse en cualquier cliente P2S compatible.Client certificates that you generate from the root certificate can be installed on any supported P2S client.
    • Instrucciones para LinuxLinux instructions

2. Generación de un certificado de cliente2. Generate a client certificate

Cada equipo cliente que se conecta a una red virtual con una conexión de punto a sitio debe tener instalado un certificado de cliente.Each client computer that you connect to a VNet with a Point-to-Site connection must have a client certificate installed. Se genera desde el certificado raíz y se instala en cada equipo cliente.You generate it from the root certificate and install it on each client computer. Si no instala ningún certificado de cliente válido, la autenticación no podrá realizarse cuando el cliente trate de conectarse a la red virtual.If you don't install a valid client certificate, authentication will fail when the client tries to connect to the VNet.

Puede generar un certificado único para cada cliente o puede usar el mismo para varios clientes.You can either generate a unique certificate for each client, or you can use the same certificate for multiple clients. La ventaja de generar certificados de cliente únicos es la capacidad de revocar un solo certificado.The advantage to generating unique client certificates is the ability to revoke a single certificate. De lo contrario, si varios clientes usan el mismo certificado de cliente para autenticarse y este se revoca, deberá generar e instalar nuevos certificados para cada cliente que use dicho certificado.Otherwise, if multiple clients use the same client certificate to authenticate and you revoke it, you'll need to generate and install new certificates for every client that uses that certificate.

Para generar certificados de cliente, use los métodos siguientes:You can generate client certificates by using the following methods:

  • Certificado de empresa:Enterprise certificate:

    • Si usa una solución de certificación de empresa, genere un certificado de cliente con el formato de valor de nombre común nombre@dominio.com.If you're using an enterprise certificate solution, generate a client certificate with the common name value format name@yourdomain.com. Use este formato en lugar de domain name\username.Use this format instead of the domain name\username format.
    • Asegúrese de que el certificado de cliente se base en la plantilla de certificado de usuario que tenga Autenticación de cliente como primer elemento de la lista de usuarios.Make sure the client certificate is based on a user certificate template that has Client Authentication listed as the first item in the user list. Para comprobar el certificado, haga doble clic en él y vea Uso mejorado de clave en la pestaña Detalles.Check the certificate by double-clicking it and viewing Enhanced Key Usage in the Details tab.
  • Certificado raíz autofirmado: siga los pasos de alguno de los siguientes artículos de certificados de P2S para que los certificados de cliente que cree sean compatibles con las conexiones de P2S.Self-signed root certificate: Follow the steps in one of the following P2S certificate articles so that the client certificates you create will be compatible with your P2S connections. Los pasos de estos artículos generan un certificado de cliente compatible:The steps in these articles generate a compatible client certificate:

    • Instrucciones para PowerShell en Windows 10: estas instrucciones requieren Windows 10 y PowerShell para generar certificados.Windows 10 PowerShell instructions: These instructions require Windows 10 and PowerShell to generate certificates. Los certificados generados pueden instalarse en cualquier cliente P2S compatible.The generated certificates can be installed on any supported P2S client.
    • Instrucciones para MakeCert: use MakeCert si no tiene acceso a un equipo Windows 10 para generar certificados.MakeCert instructions: Use MakeCert if you don't have access to a Windows 10 computer for generating certificates. Aunque MakeCert está en desuso, todavía puede usarlo para generar certificados.Although MakeCert is deprecated, you can still use it to generate certificates. Puede instalar los certificados generados en cualquier cliente P2S compatible.You can install the generated certificates on any supported P2S client.
    • Instrucciones para LinuxLinux instructions

    Si genera un certificado de cliente desde un certificado raíz autofirmado, este se instala automáticamente en el equipo que utilizó para generarlo.When you generate a client certificate from a self-signed root certificate, it's automatically installed on the computer that you used to generate it. Si desea instalar un certificado de cliente en otro equipo cliente, expórtelo como un archivo .pfx junto con toda la cadena de certificados.If you want to install a client certificate on another client computer, export it as a .pfx file, along with the entire certificate chain. De esta forma, creará un archivo .pfx que contiene la información del certificado raíz necesaria para que el cliente se autentique.Doing so will create a .pfx file that contains the root certificate information required for the client to authenticate.

Para exportar el certificadoTo export the certificate

Para consultar los pasos de exportación de un certificado, vea Generación y exportación de certificados para conexiones de punto a sitio con PowerShell.For steps to export a certificate, see Generate and export certificates for Point-to-Site using PowerShell.

4. Incorporación del grupo de direcciones del cliente4. Add the client address pool

El grupo de direcciones de cliente es un intervalo de direcciones IP privadas que usted especifica.The client address pool is a range of private IP addresses that you specify. Los clientes que se conectan de forma dinámica a través de una VPN de punto a sitio reciben una dirección IP de este intervalo.The clients that connect over a Point-to-Site VPN dynamically receive an IP address from this range. Use un intervalo de direcciones IP privadas que no se superponga a la ubicación local desde la que se va a conectar ni a la red virtual a la que desea conectarse.Use a private IP address range that does not overlap with the on-premises location that you connect from, or the VNet that you want to connect to. Si configura varios protocolos y SSTP es uno de ellos, el grupo de direcciones configurado se divide equitativamente entre los protocolos configurados.If you configure multiple protocols and SSTP is one of the protocols, then the configured address pool is split between the configured protocols equally.

  1. Una vez creada la puerta de enlace de red virtual, navegue hasta la sección Valores de la página de la puerta de enlace de red virtual.Once the virtual network gateway has been created, navigate to the Settings section of the virtual network gateway page. En la sección Configuración, haga clic en Configuración de punto a sitio.In the Settings section, click Point-to-site configuration.

    Página de punto a sitio

  2. Haga clic en Configurar ahora para abrir la página de configuración.Click Configure now to open the configuration page.

    Configurar ahora

  3. En la página Configuración de punto a sitio, en el cuadro Grupo de direcciones, agregue el intervalo de direcciones IP privadas que desea utilizar.On the Point-to-site configuration page, in the Address pool box, add the private IP address range that you want to use. Los clientes VPN reciben de forma dinámica una dirección IP del intervalo que especifique.VPN clients dynamically receive an IP address from the range that you specify. La máscara de subred mínima es de 29 bits para la configuración activa/pasiva, y de 28 bits para la configuración activa/activa.The minimum subnet mask is 29 bit for active/passive and 28 bit for active/active configuration. Haga clic en Guardar para validar y guardar la configuración.Click Save to validate and save the setting.

    Grupo de direcciones de clientes

    Nota

    Si no ve el tipo de túnel o el tipo de autenticación del portal en esta página, la puerta de enlace está usando la SKU básica.If you don't see Tunnel type or Authentication type in the portal on this page, your gateway is using the Basic SKU. La SKU básica no admite la autenticación de IKEv2 o RADIUS.The Basic SKU does not support IKEv2 or RADIUS authentication.

5. Configuración del tipo de túnel5. Configure tunnel type

Puede seleccionar el tipo de túnel.You can select the tunnel type. Las opciones de túnel son OpenVPN, SSTP y IKEv2.The tunnel options are OpenVPN, SSTP and IKEv2. El cliente Strongswan de Linux y Android, y el cliente VPN IKEv2 nativo de iOS y OSX solo utilizarán el túnel IKEv2 para conectarse.The strongSwan client on Android and Linux and the native IKEv2 VPN client on iOS and OSX will use only IKEv2 tunnel to connect. Los clientes Windows prueban primero el túnel IKEv2 y, si no se conecta, recurren a SSTP.Windows clients try IKEv2 first and if that doesn’t connect, they fall back to SSTP. Puede usar el cliente OpenVPN para conectarse con el tipo de túnel OpenVPN.You can use the OpenVPN client to connect to the OpenVPN tunnel type.

Tipo de túnel

6. Configuración del tipo de autenticación6. Configure authentication type

Seleccione Certificado de Azure.Select Azure certificate.

Tipo de túnel

7. Cargue la información del certificado de datos público del certificado raíz7. Upload the root certificate public certificate data

Puede cargar más certificados raíz de confianza, hasta un total de 20.You can upload additional trusted root certificates up to a total of 20. Una vez que se han cargado los datos de certificado público, Azure puede usarlos para autenticar a los clientes que tienen instalado un certificado de cliente generado a partir del certificado raíz de confianza.Once the public certificate data is uploaded, Azure can use it to authenticate clients that have installed a client certificate generated from the trusted root certificate. Cargue la información de clave pública del certificado raíz en Azure.Upload the public key information for the root certificate to Azure.

  1. Los certificados se agregan en la página Configuración de punto a sitio de la sección Certificado raíz.Certificates are added on the Point-to-site configuration page in the Root certificate section.

  2. Asegúrese de exportar el certificado raíz como archivo X.509 codificado base 64 (.cer).Make sure that you exported the root certificate as a Base-64 encoded X.509 (.cer) file. Debe exportar el certificado en este formato para poder abrirlo con un editor de texto.You need to export the certificate in this format so you can open the certificate with text editor.

  3. Abra el certificado con un editor de texto como Bloc de notas.Open the certificate with a text editor, such as Notepad. Al copiar los datos del certificado, asegúrese de copiar el texto como una línea continua sin retornos de carro ni avances de línea.When copying the certificate data, make sure that you copy the text as one continuous line without carriage returns or line feeds. Es posible que para ver los retornos de carro y los avances de línea deba cambiar la vista del editor de texto de forma que se muestren los símbolos y todos los caracteres.You may need to modify your view in the text editor to 'Show Symbol/Show all characters' to see the carriage returns and line feeds. Copie solo la siguiente sección como una línea continua:Copy only the following section as one continuous line:

    Datos del certificado

  4. Pegue los datos del certificado en la sección Public Certificate Data (Datos de certificado público).Paste the certificate data into the Public Certificate Data field. Asigne un nombre al certificado y luego haga clic en Guardar.Name the certificate, and then click Save. Puede agregar hasta 20 certificados raíz de confianza.You can add up to 20 trusted root certificates.

    Carga del certificado

  5. Haga clic en Guardar en la parte superior de la página para guardar toda la configuración.Click Save at the top of the page to save all of the configuration settings.

    Save

8. Instalación de un certificado de cliente exportado8. Install an exported client certificate

Si desea crear una conexión P2S desde un equipo cliente distinto del que usó para generar los certificados de cliente, debe instalar un certificado de cliente.If you want to create a P2S connection from a client computer other than the one you used to generate the client certificates, you need to install a client certificate. Al instalar un certificado de cliente, necesita la contraseña que se creó cuando se exportó el certificado de cliente.When installing a client certificate, you need the password that was created when the client certificate was exported.

Asegúrese de que se exportó el certificado de cliente como un .pfx junto con la cadena de certificados completa (que es el valor predeterminado).Make sure the client certificate was exported as a .pfx along with the entire certificate chain (which is the default). En caso contrario, la información del certificado raíz no está presente en el equipo cliente y el cliente no podrá realizar la autenticación correctamente.Otherwise, the root certificate information isn't present on the client computer and the client won't be able to authenticate properly.

Para obtener los pasos de instalación, consulte Instalación de un certificado de cliente.For install steps, see Install a client certificate.

9. Generación e instalación del paquete de configuración de cliente de VPN9. Generate and install the VPN client configuration package

Los archivos de configuración del cliente VPN contienen opciones para configurar los dispositivos para conectarse a una red virtual a través de una conexión de punto a sitio.The VPN client configuration files contain settings to configure devices to connect to a VNet over a P2S connection. Para obtener instrucciones para generar e instalar archivos de configuración de cliente VPN, consulte Creación e instalación de archivos de configuración de cliente VPN para configuraciones de punto a sitio con autenticación con certificados nativos de Azure.For instructions to generate and install VPN client configuration files, see Create and install VPN client configuration files for native Azure certificate authentication P2S configurations.

10. Conexión a Azure10. Connect to Azure

Para conectarse desde un cliente VPN en WindowsTo connect from a Windows VPN client

Nota

Debe tener derechos de administrador en el equipo cliente de Windows desde el que se va a conectar.You must have Administrator rights on the Windows client computer from which you are connecting.

  1. Para conectarse a su red virtual, en el equipo cliente, vaya a las conexiones VPN y ubique la que creó.To connect to your VNet, on the client computer, navigate to VPN connections and locate the VPN connection that you created. Tiene el mismo nombre que su red virtual.It is named the same name as your virtual network. Haga clic en Conectar.Click Connect. Es posible que aparezca un mensaje emergente que haga referencia al uso del certificado.A pop-up message may appear that refers to using the certificate. Haga clic en Continuar para usar privilegios elevados.Click Continue to use elevated privileges.

  2. En la página de estado Conexión, haga clic en Conectar para iniciar la conexión.On the Connection status page, click Connect to start the connection. Si ve una pantalla para Seleccionar certificado , compruebe que el certificado de cliente que se muestra es el que desea utilizar para conectarse.If you see a Select Certificate screen, verify that the client certificate showing is the one that you want to use to connect. Si no es así, use la flecha de la lista desplegable para seleccionar el certificado correcto y, a continuación, haga clic en Aceptar.If it is not, use the drop-down arrow to select the correct certificate, and then click OK.

    El cliente VPN se conecta a Azure

  3. Se ha establecido la conexión.Your connection is established.

    Conexión establecida

Solución de problemas de conexiones de punto a sitio en WindowsTroubleshoot Windows P2S connections

Si tiene problemas para conectarse, compruebe los siguientes elementos:If you have trouble connecting, check the following items:

  • Si ha exportado un certificado de cliente con el Asistente para exportar certificados, asegúrese de haberlo exportado como un archivo .pfx y de haber seleccionado Incluir todos los certificados en la ruta de certificación (si es posible) .If you exported a client certificate with Certificate Export Wizard, make sure that you exported it as a .pfx file and selected Include all certificates in the certification path if possible. Si lo exporta con este valor, también se exporta la información del certificado raíz.When you export it with this value, the root certificate information is also exported. Una vez instalado el certificado en el equipo cliente, también se instala el certificado raíz del archivo .pfx.After you install the certificate on the client computer, the root certificate in the .pfx file is also installed. Para verificar que el certificado raíz está instalado, abra Administrar certificados de usuario y seleccione Entidades de certificación raíz de confianza \Certificados.To verify that the root certificate is installed, open Manage user certificates and select Trusted Root Certification Authorities\Certificates. Verifique que el certificado raíz está presente, ya que es necesario para que la autenticación funcione.Verify that the root certificate is listed, which must be present for authentication to work.

  • Si usó un certificado emitido por una solución de CA empresarial y no puede autenticarse, verifique el orden de autenticación en el certificado de cliente.If you used a certificate that was issued by an Enterprise CA solution and you can't authenticate, verify the authentication order on the client certificate. Compruebe el orden de la lista de autenticación; para ello, haga doble clic en el certificado de cliente, seleccione la pestaña Detalles y, después, seleccione Uso mejorado de clave.Check the authentication list order by double-clicking the client certificate, selecting the Details tab, and then selecting Enhanced Key Usage. Asegúrese de que Autenticación de cliente sea el primer elemento de la lista.Make sure Client Authentication is the first item in the list. Si no es así, emita un certificado de cliente basado en la plantilla Usuario que tenga Autenticación de cliente como primer elemento de la lista.If it isn't, issue a client certificate based on the user template that has Client Authentication as the first item in the list.

  • Para información adicional de solución de problemas de P2S, consulte Solución de problemas de conexiones P2S.For additional P2S troubleshooting information, see Troubleshoot P2S connections.

Para conectarse desde un cliente VPN en MacTo connect from a Mac VPN client

En el cuadro de diálogo Red, localice el perfil de cliente que desea utilizar, especifique la configuración de VpnSettings.xml y, después, haga clic en Conectar.From the Network dialog box, locate the client profile that you want to use, specify the settings from the VpnSettings.xml, and then click Connect.

Para obtener instrucciones detalladas al respecto, consulte Instalación: Mac (OS X).Check Install - Mac (OS X) for detailed instructions. Si tiene problemas para conectarse, compruebe que la puerta de enlace de red virtual no está usando una SKU de nivel Básico.If you are having trouble connecting, verify that the virtual network gateway is not using a Basic SKU. La SKU de nivel Básico no es compatible con los clientes Mac.Basic SKU is not supported for Mac clients.

Conexión de Mac

Para comprobar la conexiónTo verify your connection

Estas instrucciones se aplican a los clientes Windows.These instructions apply to Windows clients.

  1. Para comprobar que la conexión VPN está activa, abra un símbolo del sistema con privilegios elevados y ejecute ipconfig/all.To verify that your VPN connection is active, open an elevated command prompt, and run ipconfig/all.

  2. Vea los resultados.View the results. Observe que la dirección IP que recibió es una de las direcciones dentro del grupo de direcciones de cliente de VPN punto a sitio que especificó en la configuración.Notice that the IP address you received is one of the addresses within the Point-to-Site VPN Client Address Pool that you specified in your configuration. Los resultados son similares a los del ejemplo siguiente:The results are similar to this example:

    PPP adapter VNet1:
       Connection-specific DNS Suffix .:
       Description.....................: VNet1
       Physical Address................:
       DHCP Enabled....................: No
       Autoconfiguration Enabled.......: Yes
       IPv4 Address....................: 172.16.201.3(Preferred)
       Subnet Mask.....................: 255.255.255.255
       Default Gateway.................:
       NetBIOS over Tcpip..............: Enabled
    

Conexión a una máquina virtualTo connect to a virtual machine

Estas instrucciones se aplican a los clientes Windows.These instructions apply to Windows clients.

Puede conectarse a una máquina virtual que se ha implementado en la red virtual mediante la creación de una conexión a Escritorio remoto a la máquina virtual.You can connect to a VM that is deployed to your VNet by creating a Remote Desktop Connection to your VM. La mejor manera de comprobar inicialmente que puede conectarse a la máquina virtual es hacerlo mediante su dirección IP privada, en lugar del nombre de equipo.The best way to initially verify that you can connect to your VM is to connect by using its private IP address, rather than computer name. Con este método prueba si puede conectarse, no si la resolución de nombres está configurada correctamente.That way, you are testing to see if you can connect, not whether name resolution is configured properly.

  1. Busque la dirección IP privada.Locate the private IP address. Para buscar la dirección IP privada de una máquina virtual, examine sus propiedades en Azure Portal o use PowerShell.You can find the private IP address of a VM by either looking at the properties for the VM in the Azure portal, or by using PowerShell.

    • Azure Portal: busque la máquina virtual en Azure Portal.Azure portal - Locate your virtual machine in the Azure portal. Vea las propiedades de la máquina virtual.View the properties for the VM. Se enumera la dirección IP privada.The private IP address is listed.

    • PowerShell: utilice el ejemplo para ver una lista de las máquinas virtuales y las direcciones IP privadas de los grupos de recursos.PowerShell - Use the example to view a list of VMs and private IP addresses from your resource groups. No es preciso modificar el ejemplo para usarlo.You don't need to modify this example before using it.

      $VMs = Get-AzVM
      $Nics = Get-AzNetworkInterface | Where VirtualMachine -ne $null
      
      foreach($Nic in $Nics)
      {
      $VM = $VMs | Where-Object -Property Id -eq $Nic.VirtualMachine.Id
      $Prv = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAddress
      $Alloc = $Nic.IpConfigurations | Select-Object -ExpandProperty PrivateIpAllocationMethod
      Write-Output "$($VM.Name): $Prv,$Alloc"
      }
      
  2. Compruebe que está conectado a su red virtual mediante la conexión VPN de punto a sitio.Verify that you are connected to your VNet using the Point-to-Site VPN connection.

  3. Abra Conexión a Escritorio remoto, para lo que debe escribir "RDP" o "Conexión a Escritorio remoto" en el cuadro de búsqueda de la barra de tareas y, después, seleccione Conexión a Escritorio remoto.Open Remote Desktop Connection by typing "RDP" or "Remote Desktop Connection" in the search box on the taskbar, then select Remote Desktop Connection. Conexión a Escritorio remoto también se puede abrir con el comando "mstsc" de PowerShell.You can also open Remote Desktop Connection using the 'mstsc' command in PowerShell.

  4. En Conexión a Escritorio remoto, escriba la dirección IP privada de la máquina virtual.In Remote Desktop Connection, enter the private IP address of the VM. Puede hacer clic en "Mostrar opciones" para ajustar más parámetros adicionales y, después, conéctese.You can click "Show Options" to adjust additional settings, then connect.

Solución de problemas de una conexión de RDP a una máquina virtualTo troubleshoot an RDP connection to a VM

Si tiene problemas para conectarse a una máquina virtual a través de su conexión VPN, compruebe los siguientes factores:If you are having trouble connecting to a virtual machine over your VPN connection, check the following:

  • Compruebe que la conexión VPN se ha establecido correctamente.Verify that your VPN connection is successful.
  • Compruebe que se conecta a la dirección IP privada de la máquina virtual.Verify that you are connecting to the private IP address for the VM.
  • Use "ipconfig" para comprobar la dirección IPv4 asignada al adaptador de Ethernet en el equipo desde el que está intentando conectarse.Use 'ipconfig' to check the IPv4 address assigned to the Ethernet adapter on the computer from which you are connecting. Si la dirección IP está dentro del intervalo de direcciones de la red virtual a la que se va a conectar o dentro del intervalo de direcciones de su VPNClientAddressPool, esto se conoce como un espacio de direcciones superpuesto.If the IP address is within the address range of the VNet that you are connecting to, or within the address range of your VPNClientAddressPool, this is referred to as an overlapping address space. Cuando el espacio de direcciones se superpone de esta manera, el tráfico de red no llega a Azure, sino que se mantiene en la red local.When your address space overlaps in this way, the network traffic doesn't reach Azure, it stays on the local network.
  • Si puede conectarse a la máquina virtual mediante la dirección IP privada, pero no el nombre del equipo, compruebe que ha configurado el DNS correctamente.If you can connect to the VM using the private IP address, but not the computer name, verify that you have configured DNS properly. Para más información acerca de cómo funciona la resolución de nombres para las máquinas virtuales, consulte Resolución de nombres para las máquinas virtuales e instancias de rol.For more information about how name resolution works for VMs, see Name Resolution for VMs.
  • Compruebe que el paquete de configuración de cliente de VPN se generó después de que se especificaran las direcciones IP del servidor DNS para la red virtual.Verify that the VPN client configuration package was generated after the DNS server IP addresses were specified for the VNet. Si actualizó las direcciones IP de servidor DNS, genere un nuevo paquete de configuración de cliente de VPN e instálelo.If you updated the DNS server IP addresses, generate and install a new VPN client configuration package.
  • Para más información acerca de las conexiones RDP, consulte Solución de problemas de conexiones del Escritorio remoto a una máquina virtual de Azure.For more information about RDP connections, see Troubleshoot Remote Desktop connections to a VM.

Para agregar o quitar certificados raíz de confianzaTo add or remove trusted root certificates

Puede agregar y quitar certificados raíz de confianza de Azure.You can add and remove trusted root certificates from Azure. Al quitar un certificado raíz, los clientes que tienen un certificado generado a partir de dicha raíz no podrán autenticarse y, por tanto, no podrán conectarse.When you remove a root certificate, clients that have a certificate generated from that root won't be able to authenticate, and thus will not be able to connect. Si desea que un cliente se autentique y se conecte, es preciso que instale un nuevo certificado de cliente generado a partir de un certificado raíz que sea de confianza (se cargue) en Azure.If you want a client to authenticate and connect, you need to install a new client certificate generated from a root certificate that is trusted (uploaded) to Azure.

Para agregar un certificado raíz de confianzaTo add a trusted root certificate

Puede agregar hasta 20 archivos .cer de certificado raíz de confianza a Azure.You can add up to 20 trusted root certificate .cer files to Azure. Para ver instrucciones, consulte la sección Carga del archivo .cer del certificado raíz de este artículo.For instructions, see the section Upload a trusted root certificate in this article.

Eliminación de un certificado raíz de confianzaTo remove a trusted root certificate

  1. Para quitar un certificado raíz de confianza, vaya a la página Configuración de punto a sitio para la puerta de enlace de red virtual.To remove a trusted root certificate, navigate to the Point-to-site configuration page for your virtual network gateway.
  2. En la sección Certificado raíz de la página, busque el certificado que desea quitar.In the Root certificate section of the page, locate the certificate that you want to remove.
  3. Haga clic en los puntos suspensivos junto al certificado y en "Quitar".Click the ellipsis next to the certificate, and then click 'Remove'.

Revocación de un certificado de clienteTo revoke a client certificate

Puede revocar certificados de cliente.You can revoke client certificates. La lista de revocación de certificados permite denegar de forma selectiva la conectividad de punto a sitio basada en certificados de cliente individuales.The certificate revocation list allows you to selectively deny Point-to-Site connectivity based on individual client certificates. Esto difiere de la forma en que se quita un certificado raíz de confianza.This is different than removing a trusted root certificate. Si quita de Azure un archivo .cer de certificado raíz de confianza, se revoca el acceso para todos los certificados de cliente generados y firmados con el certificado raíz revocado.If you remove a trusted root certificate .cer from Azure, it revokes the access for all client certificates generated/signed by the revoked root certificate. Al revocarse un certificado de cliente, en lugar del certificado raíz, se permite que el resto de los certificados que se generaron a partir del certificado raíz sigan usándose para la autenticación.Revoking a client certificate, rather than the root certificate, allows the other certificates that were generated from the root certificate to continue to be used for authentication.

Lo más habitual es usar el certificado raíz para administrar el acceso a nivel de equipo u organización, mientras que los certificados de cliente revocados se usan para un control de acceso específico para usuarios individuales.The common practice is to use the root certificate to manage access at team or organization levels, while using revoked client certificates for fine-grained access control on individual users.

Revocar un certificado de clienteRevoke a client certificate

Puede revocar un certificado de cliente si agrega la huella digital a la lista de revocación.You can revoke a client certificate by adding the thumbprint to the revocation list.

  1. Recupere la huella digital del certificado de cliente.Retrieve the client certificate thumbprint. Para más información, consulte Cómo recuperar la huella digital de un certificado.For more information, see How to retrieve the Thumbprint of a Certificate.
  2. Copie la información en un editor de texto y quite todos los espacios de forma que sea una sola cadena continua.Copy the information to a text editor and remove all spaces so that it is a continuous string.
  3. Vaya a la página Configuración de punto a sitio de la puerta de enlace de red virtual.Navigate to the virtual network gateway Point-to-site-configuration page. Se trata de la misma hoja que utilizó para cargar un certificado raíz de confianza.This is the same page that you used to upload a trusted root certificate.
  4. En la sección Certificados revocados, especifique un nombre descriptivo para el certificado (no es necesario que sea el CN del certificado).In the Revoked certificates section, input a friendly name for the certificate (it doesn't have to be the certificate CN).
  5. Copie y pegue la cadena de huella digital en el campo Huella digital.Copy and paste the thumbprint string to the Thumbprint field.
  6. Se valida la huella digital y se agrega automáticamente a la lista de revocación.The thumbprint validates and is automatically added to the revocation list. Aparece un mensaje en la pantalla que indica que se está actualizando la lista.A message appears on the screen that the list is updating.
  7. Una vez finalizada la actualización, el certificado no se puede usar para conectarse.After updating has completed, the certificate can no longer be used to connect. Los clientes que intenten conectarse con este certificado reciben un mensaje que indica que el certificado ya no es válido.Clients that try to connect using this certificate receive a message saying that the certificate is no longer valid.

Preguntas más frecuentes sobre la conexión de punto a sitioPoint-to-Site FAQ

¿Cuántos puntos de conexión de cliente VPN puedo tener en mi configuración punto a sitio?How many VPN client endpoints can I have in my Point-to-Site configuration?

Depende de la SKU de puerta de enlace.It depends on the gateway SKU. Para más información sobre el número de conexiones admitidas, consulte SKU de puerta de enlace.For more information on the number of connections supported, see Gateway SKUs.

¿Qué sistemas operativos de cliente puedo usar para las conexiones de punto a sitio?What client operating systems can I use with Point-to-Site?

Se admiten los siguientes sistemas operativos de cliente:The following client operating systems are supported:

  • Windows 7 (32 bits y 64 bits)Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (solo 64 bits)Windows Server 2008 R2 (64-bit only)
  • Windows 8.1 (32 bits y 64 bits)Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (solo 64 bits)Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (solo 64 bits)Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (solo 64 bits)Windows Server 2016 (64-bit only)
  • Windows 10Windows 10
  • Mac OS X versión 10.11 o versiones posterioresMac OS X version 10.11 or above
  • Linux (StrongSwan)Linux (StrongSwan)
  • iOSiOS

Nota

A partir del 1 de julio de 2018, se elimina la compatibilidad con TLS 1.0 y 1.1 de Azure VPN Gateway.Starting July 1, 2018, support is being removed for TLS 1.0 and 1.1 from Azure VPN Gateway. VPN Gateway será solo compatible con TLS 1.2.VPN Gateway will support only TLS 1.2. Para mantener la compatibilidad, consulte las actualizaciones para habilitar la compatibilidad con TLS 1.2.To maintain support, see the updates to enable support for TLS1.2.

Además, los siguientes algoritmos heredados también pasarán a estar en desuso para TLS a partir del 1 de julio de 2018:Additionally, the following legacy algorithms will also be deprecated for TLS on July 1, 2018:

  • RC4 (Rivest Cipher 4)RC4 (Rivest Cipher 4)
  • DES (Algoritmo de cifrado de datos)DES (Data Encryption Algorithm)
  • 3DES (Triple algoritmo de cifrado de datos)3DES (Triple Data Encryption Algorithm)
  • MD5 (Código hash 5)MD5 (Message Digest 5)

¿Cómo se habilita la compatibilidad con TLS 1.2 en Windows 7 y Windows 8.1?How do I enable support for TLS 1.2 in Windows 7 and Windows 8.1?

  1. Abra un símbolo del sistema con privilegios elevados. Para ello, haga clic con el botón derecho en Símbolo del sistema y seleccione Ejecutar como administrador.Open a command prompt with elevated privileges by right-clicking on Command Prompt and selecting Run as administrator.

  2. En el símbolo del sistema, ejecute los siguientes comandos:Run the following commands in the command prompt:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 /v TlsVersion /t REG_DWORD /d 0xfc0
    reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    if %PROCESSOR_ARCHITECTURE% EQU AMD64 reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" /v DefaultSecureProtocols /t REG_DWORD /d 0xaa0
    
  3. Instale realizaron las siguientes actualizaciones:Install the following updates:

  4. Reinicie el equipo.Reboot the computer.

  5. Conéctese a la VPN.Connect to the VPN.

Nota

Tendrá que establecer la clave del registro anterior si está ejecutando una versión anterior de Windows 10 (10240).You will have to set the above registry key if you are running an older version of Windows 10 (10240).

¿Puedo atravesar servidores proxy y firewalls con la funcionalidad de punto a sitio?Can I traverse proxies and firewalls using Point-to-Site capability?

Azure admite tres tipos de opciones de VPN de punto a sitio:Azure supports three types of Point-to-site VPN options:

  • Protocolo de túnel de sockets seguros (SSTP).Secure Socket Tunneling Protocol (SSTP). SSTP es una solución basada en SSL propietaria de Microsoft que puede atravesar firewalls, puesto que la mayoría de los firewalls abren el puerto TCP 443 que utiliza SSL.SSTP is a Microsoft proprietary SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • OpenVPN.OpenVPN. OpenVPN es una solución basada en SSL que puede atravesar firewalls, puesto que la mayoría de los firewalls abren el puerto TCP 443 de salida que utiliza SSL.OpenVPN is a SSL-based solution that can penetrate firewalls since most firewalls open the outbound TCP port that 443 SSL uses.

  • VPN IKEv2.IKEv2 VPN. VPN IKEv2 es una solución de VPN con IPsec basada en estándares que utiliza los puertos UDP 500 y 4500 de salida y el protocolo IP no.IKEv2 VPN is a standards-based IPsec VPN solution that uses outbound UDP ports 500 and 4500 and IP protocol no. 50.50. Los firewalls no siempre abren estos puertos, por lo que hay una posibilidad de que la VPN IKEv2 no pueda atravesar servidores proxy y firewalls.Firewalls do not always open these ports, so there is a possibility of IKEv2 VPN not being able to traverse proxies and firewalls.

¿Si reinicio un equipo cliente con configuración de punto a sitio, se volverá a conectar la VPN de forma automática?If I restart a client computer configured for Point-to-Site, will the VPN automatically reconnect?

De forma predeterminada, el equipo cliente no volverá a establecer la conexión VPN automáticamente.By default, the client computer will not reestablish the VPN connection automatically.

¿Admite la configuración de punto a sitio la reconexión automática y el DDNS en los clientes VPN?Does Point-to-Site support auto-reconnect and DDNS on the VPN clients?

Las VPN de punto a sitio no admiten la reconexión automática y el DDNS.Auto-reconnect and DDNS are currently not supported in Point-to-Site VPNs.

¿Puedo tener configuraciones de sitio a sitio y de punto a sitio coexistiendo en la misma red virtual?Can I have Site-to-Site and Point-to-Site configurations coexist for the same virtual network?

Sí.Yes. Para el modelo de implementación de Resource Manager, debe tener un tipo de VPN basada en ruta para la puerta de enlace.For the Resource Manager deployment model, you must have a RouteBased VPN type for your gateway. Para el modelo de implementación clásica, necesita una puerta de enlace dinámica.For the classic deployment model, you need a dynamic gateway. No se admite la configuración de punto a sitio para puertas de enlace de VPN de enrutamiento estático o puertas de enlace de VPN basadas en directivas.We do not support Point-to-Site for static routing VPN gateways or PolicyBased VPN gateways.

¿Puedo configurar un cliente de punto a sitio para conectarse a varias redes virtuales al mismo tiempo?Can I configure a Point-to-Site client to connect to multiple virtual networks at the same time?

No.No. Un cliente de punto a sitio solo puede conectarse a los recursos de la red virtual en la que reside la puerta de enlace de red virtual.A Point-to-Site client can only connect to resources in the VNet in which the virtual network gateway resides.

¿Qué rendimiento puedo esperar en las conexiones de sitio a sitio o de punto a sitio?How much throughput can I expect through Site-to-Site or Point-to-Site connections?

Es difícil de mantener el rendimiento exacto de los túneles VPN.It's difficult to maintain the exact throughput of the VPN tunnels. IPsec y SSTP son protocolos VPN con mucho cifrado.IPsec and SSTP are crypto-heavy VPN protocols. El rendimiento también está limitado por la latencia y el ancho de banda entre sus instalaciones locales e Internet.Throughput is also limited by the latency and bandwidth between your premises and the Internet. Para una puerta de enlace de VPN únicamente con conexiones VPN de punto a sitio IKEv2, el rendimiento total que puede esperar depende de la SKU de puerta de enlace.For a VPN Gateway with only IKEv2 Point-to-Site VPN connections, the total throughput that you can expect depends on the Gateway SKU. Consulte SKU de puerta de enlace para más información sobre el rendimiento.For more information on throughput, see Gateway SKUs.

¿Puedo usar cualquier software de cliente VPN para punto a sitio que admita SSTP o IKEv2?Can I use any software VPN client for Point-to-Site that supports SSTP and/or IKEv2?

No.No. Solo puede usar el cliente VPN nativo en Windows para SSTP y el cliente VPN nativo en Mac para IKEv2.You can only use the native VPN client on Windows for SSTP, and the native VPN client on Mac for IKEv2. Sin embargo, puede utilizar el cliente OpenVPN en todas las plataformas para conectarse a través del protocolo OpenVPN.However, you can use the OpenVPN client on all platforms to connect over OpenVPN protocol. Consulte la lista de sistemas operativos cliente compatibles.Refer to the list of supported client operating systems.

¿Azure admite VPN IKEv2 con Windows?Does Azure support IKEv2 VPN with Windows?

IKEv2 se admite en Windows 10 y Server 2016.IKEv2 is supported on Windows 10 and Server 2016. Sin embargo, para poder usar IKEv2, debe instalar las actualizaciones y establecer un valor de clave del Registro localmente.However, in order to use IKEv2, you must install updates and set a registry key value locally. No se admiten las versiones de sistemas operativos anteriores a Windows 10 y solo se puede usar el protocolo OpenVPN® o SSTP.OS versions prior to Windows 10 are not supported and can only use SSTP or OpenVPN® Protocol.

Para preparar Windows 10 o Server 2016 para IKEv2:To prepare Windows 10 or Server 2016 for IKEv2:

  1. Instale la actualización.Install the update.

    Versión del SOOS version DateDate Número/vínculoNumber/Link
    Windows Server 2016Windows Server 2016
    Windows 10 Versión 1607Windows 10 Version 1607
    17 de enero de 2018January 17, 2018 KB4057142KB4057142
    Windows 10 Versión 1703Windows 10 Version 1703 17 de enero de 2018January 17, 2018 KB4057144KB4057144
    Windows 10 Versión 1709Windows 10 Version 1709 22 de marzo de 2018March 22, 2018 KB4089848KB4089848
  2. Establezca el valor de clave del Registro.Set the registry key value. Cree o establezca la clave REG_DWORD “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” del Registro en 1.Create or set “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ IKEv2\DisableCertReqPayload” REG_DWORD key in the registry to 1.

¿Qué ocurre cuando se configuran SSTP e IKEv2 para conexiones VPN de P2S?What happens when I configure both SSTP and IKEv2 for P2S VPN connections?

Cuando configure tanto SSTP como IKEv2 en un entorno mixto (que consiste en dispositivos Windows y Mac), el cliente VPN de Windows siempre probará primero el túnel de IKEv2, pero volverá a SSTP si la conexión con IKEv2 no se realiza correctamente.When you configure both SSTP and IKEv2 in a mixed environment (consisting of Windows and Mac devices), the Windows VPN client will always try IKEv2 tunnel first, but will fall back to SSTP if the IKEv2 connection is not successful. MacOSX solo se conectará a través de IKEv2.MacOSX will only connect via IKEv2.

Además de Windows y Mac, ¿qué otras plataformas Azure admite para VPN de P2S?Other than Windows and Mac, which other platforms does Azure support for P2S VPN?

Azure es compatible con Windows, Mac y Linux para VPN de P2S.Azure supports Windows, Mac and Linux for P2S VPN.

Ya tengo implementada una instancia de Azure VPN Gateway.I already have an Azure VPN Gateway deployed. ¿Puedo habilitar VPN de IKEv2 o RADIUS en ella?Can I enable RADIUS and/or IKEv2 VPN on it?

Sí, puede habilitar estas características nuevas en puertas de enlace ya implementadas mediante Powershell o Azure Portal, siempre que la SKU de la puerta de enlace que use admita RADIUS o IKEv2.Yes, you can enable these new features on already deployed gateways using Powershell or the Azure portal, provided that the gateway SKU that you are using supports RADIUS and/or IKEv2. Por ejemplo, la SKU de nivel Básico de VPN Gateway no admite RADIUS ni IKEv2.For example, the VPN gateway Basic SKU does not support RADIUS or IKEv2.

¿Puedo usar mi propio CA raíz de PKI interna para generar certificados de conectividad de punto a sitio?Can I use my own internal PKI root CA to generate certificates for Point-to-Site connectivity?

Sí.Yes. Anteriormente, solo podían usarse certificados raíz autofirmados.Previously, only self-signed root certificates could be used. Todavía puede cargar 20 certificados raíz.You can still upload 20 root certificates.

¿Puedo usar certificados de Azure Key Vault?Can I use certificates from Azure Key Vault?

No.No.

¿Qué herramientas puedo usar para crear certificados?What tools can I use to create certificates?

Puede usar la solución Enterprise PKI (la PKI interna), Azure PowerShell, MakeCert y OpenSSL.You can use your Enterprise PKI solution (your internal PKI), Azure PowerShell, MakeCert, and OpenSSL.

¿Hay instrucciones para los parámetros y la configuración de certificados?Are there instructions for certificate settings and parameters?

  • Solución PKI interna/PKI de empresa: Vea los pasos para Generar certificados.Internal PKI/Enterprise PKI solution: See the steps to Generate certificates.

  • Azure PowerShell: Vea el artículo Azure PowerShell para conocer los pasos.Azure PowerShell: See the Azure PowerShell article for steps.

  • MakeCert: Vea el artículo MakeCert para conocer los pasos.MakeCert: See the MakeCert article for steps.

  • OpenSSL:OpenSSL:

    • Al exportar certificados, asegúrese de convertir el certificado raíz en Base64.When exporting certificates, be sure to convert the root certificate to Base64.

    • Para el certificado de cliente:For the client certificate:

      • Al crear la clave privada, especifique la longitud como 4096.When creating the private key, specify the length as 4096.
      • Al crear el certificado para el parámetro -extensions, especifique usr_cert.When creating the certificate, for the -extensions parameter, specify usr_cert.

Pasos siguientesNext steps

Una vez completada la conexión, puede agregar máquinas virtuales a las redes virtuales.Once your connection is complete, you can add virtual machines to your virtual networks. Consulte Virtual Machines para más información.For more information, see Virtual Machines. Para más información acerca de las redes y las máquinas virtuales, consulte Información general sobre las redes de máquina virtual con Linux y Azure.To understand more about networking and virtual machines, see Azure and Linux VM network overview.

Para obtener información sobre solución de problemas de P2S, vea Solución de problemas: conexión de punto a sitio de Azure.For P2S troubleshooting information, Troubleshooting Azure point-to-site connections.