Configurar una VPN Point-To-Site en Azure

En anteriores artículos ya habíamos hablado de cómo configurar una red VPN Site-To-Site . En este artículo trataremos otra de las posibles configuraciones de redes privadas virtuales que es posible realizar en Microsoft Azure.

Una VPN Point-To-Site nos permite conectar nuestra máquina local de forma segura a una red virtual de Azure sin necesidad de disponer y configurar un dispositivo VPN o RRAS.  Este tipo de conexiones emplean un tunel hecho a traves del protocolo SSTP con autenticación basada en certificados entre la máquina cliente y la red virtual. Son una buena elección cuando :

  • Son pocas máquinas clientes las que necesitan conectarse a la red virtual de Azure, ya que este tipo de conectividades sólo permite que se conecten hasta 128.
  • No disponemos de un dispositivo VPN para configurar una conexión Site-To-Site, valga la redundancia.
  • Quieres conectarte de forma segura cuando estás offsite (por ejemplo cuando estás en una cafetería).

Como ejemplo, indicar que las  conexiones  de Azure App Service   a las redes virtuales son mediante Point-To-Site.

point2site

Entonces, ¿qué necesitamos para crear este tipo de redes?

  • Crear la red privada virtual y su correspondiente puerta de enlace (o gateway) de enrutamiento dinámico, ya que propicia conexiones más estables que los de tipo estático.
  • Crear los certificados que usaremos para identificar a clientes en la VPN Point-To-Site. Necesitaremos dos certificados, un certificado de raíz y un certificado cliente,  ambos autofirmados.
  • Configurar la máquina local para que se conecte a la VPN. Dicha computadora deberá tener instalado como sistema operativo Windows 7 , Windows Server 2008 R2 o versiones posteriores.

Paso 1.- Configurar la red privada virtual y su gateway.

Para crear la red virtual lo primero es ir a nuestro portal de Azure y en el menú ubicado en el lateral izquierdo de nuestra pantalla haremos click en la sección Networks.

image

Habiendo accedido a dicha sección, crearemos nuestra red virtual haciendo click en New –> Network Services –> Virtual Network –> Custom Create . Nos mostrará la primera página  asistente de instalación de creación de red virtual, donde podremos especificar el nombre y la localización en los campos Name y Location correspondiente. Luego, haremos click en la flecha ubicada en la parte inferior derecha  para avanzar al siguiente paso.

image

En la página DNS Servers and VPN Connectivity, elegiremos únicamente la opción Configure a poin-to-site VPN .

image

Avanzando a la siguiente página del asistente, especificaremos el rango de direcciones IP que los clientes VPN recibirán cuando se conecten. En nuestro caso elegiremos la configuración por defecto.

image

En la última fase del proceso, podremos comprobar que Azure nos ha creado una subred por defecto sobre la cual se conectarán los clientes VPN. No obstante, es posible configurarlo a nuestro gusto. Si queremos usar la red point-to-site  que hemos configuramos, necesitaremos agregar una subred para la puerta de enlace (la cual reserva unas 8 direcciones IP). Basta con hacer click  en Add gateway subnet . Añadido dicho espacio de direcciones,  finalizamos el proceso de creación.

image

Con la VPN ya creada , nos faltaría crear  la puerta de enlace. Basta con acceder a la red creada dentro de la sección Networks y nos iremos a la pestaña  Dashboard . En dicho menú, para crear la puerta de enlace bastará con pulsar el botón Create Gateway ubicado en la parte inferior de la pantalla.  Azure nos creará una puerta de enlace de enrutamiento dinámico. No os preocupéis si el proceso de creación tarda.

image

Paso 2.- Creación y agregación de los certificados autofirmados

Como ya hemos dicho, la necesidad  de crear certificados autofirmados se debe a que la conectividad point-to-site usa autenticación por certificados por encima del uso de contraseña de usuarios.  Aquel que no posea el certificado cliente instalado de forma correcta no podrá conectarse a nuestra red virtual, incluso si de alguna manera obtiene la dirección IP de la red.

Antes de nada, deberemos crear el certificado raíz para que lo podamos subir al portal de Azure. Nos valdremos de la herramienta makecert.exe (la cual deberemos tener en nuestro equipo local). Y despues ejecutaremos los siguientes comando desde CMD o Powershell  (la opción elegida en este ejemplo) con el nombre del certificado que nosotros queramos. En este caso utilizaremos “<Certificado_Root>” .

Posteriormente creamos el certificado raíz  (al que llamaremos <CertificadoCliente>) , para ello y sin movernos de la consola, escribiremos lo siguiente :

Ya creados , los exportaremos  para poder instalarlos en sus correspondientes sitios empleando la herramienta  certmgr.mscAllí los encontraremos dentro de la carpeta Personal donde procederemos a exportarlos, empezando  el certificado de raíz, haremos click derecho y seleccionaremos  la opción de exportar.

image

Indicar que en el certificado raíz no hay que exportar la clave privada y que deberemos guardarlo con extensión “.cer”.

image

image

Realizaremos el mismo proceso  con el certificado cliente, pero en este caso sí que deberemos exportar la clave privada y el formato deberá ser “.pfx”. Ya elegido el formato del certificado, deberemos indicarle una contraseña, que usaremos a la hora de instalarlo en el equipo cliente para poder conectarnos de forma segura en la VPN.

image

Una vez tengamos los certificados,  procederemos a su instalación. En el caso del certificado raíz, basta con ir a la sección Certificates dentro de nuestra red en el panel de Azure, donde podremos subirlo presionando en el enlace Upload a Root Certificate :

 

image

Cuando ya se haya subido, nos quedaría instalar el certificado cliente sobre la máquina que queremos que se conecte a la VPN. Si hacemos click sobre él dos veces, introducimos la contraseña que indicamos cuando lo exportamos,  ya lo tendremos instalado.

Paso 3.- Configuración de la máquina cliente

Creados e instalados los certificados, tan sólo nos quedaría configurar la máquina cliente que se conectará a la VPN Point-To-Site.  Desde nuestra pestaña Dashboard  de nuestro portal de red en Azure, observamos  que en lateral derecho en la sección Quick Glance   podremos descargar el paquete cliente VPN según el procesador de la máquina cliente :

image

Cuando hayamos terminado de descargarlo e instalarlo, si nos dirigimos a la sección de redes de la máquina local, tendremos la opción de conectarnos a la red que hemos creado.

image

Y eso es todo, no es un proceso difícil  pero sí algo largo.  Esperemos que os haya gustado. Ahora no tendréis excusa para crearos vuestra propia VPN en Azure.

¡Muchas gracias por leernos!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *