Archivo de la etiqueta: p2s

Construyendo una VPN Point-to-Site con autenticación RADIUS y AD en Microsoft Azure

Ya hemos comentado en otras ocasiones en este blog cómo establecemos una VPN Point to Site en Microsoft Azure. Aunque es una forma rápida y versátil de dar a equipos cliente acceso a nuestra red virtual de Azure, lo cierto es que nos enfrentamos a algunas limitaciones que en función del proyecto en que nos encontremos pueden ser todo un stopper para nosotros o nuestro cliente. Concretamente son las siguientes:

  • Sólo admiten 128 clientes como máximo. Como sabéis, las conexiones de App Service cuentan como un cliente.
  • El cliente sólo funciona en Windows 7 o superior (32 y 64 bits). Nos olvidamos de otras plataformas.
  • La autenticación se realiza mediante certificados, no hay nombres de usuario y contraseñas.
  • La comunicación normalmente es en un sentido, del cliente a la infraestructura de Azure y no viceversa.

Si estos puntos no nos suponen un gran problema, el P2S que Azure nos ofrece como servicio es una excelente forma de conectarnos a nuestra red virtual. Pero si resulta que lo es… ¿qué podemos hacer?

Alternativa 1: Máquina Virtual con Windows Server 2012 R2 y RRAS

Es lo primero que se nos viene a la cabeza. Pero no me cansaré de repetir que el rol de RRAS de Windows Server 2012 R2 (y versiones anteriores) no está soportado en Azure. Aunque al instalarlo nos de la sensación de que todo está OK, Azure eventualmente reinicia los adataptadores de red sintéticos asociados a dicha máquina, algo que hace que no sobreviva la configuración que hemos hecho del rol.

Los suficientemente valientes pueden probar a crear un script de autoconfiguración del rol que se ejecute cada vez que se encieda la máquina, pero os encontraréis con que el soporte de PowerShell de este rol es realmente pobre (está pensado para DirectAccess más que para VPN) y no os quedará más remedio que recurrir al viejo amigo netsh. Que la fuerza os acompañe.

Aunque consiguiéramos autoconfigurar la máquina en cada inicio esto es algo que considero bien lejos de ser estable y confiable, por lo que debíamos ir a otra alternativa.

La solución: gateway GNU/Linux con SoftEther VPN

Parece que GNU/Linux no se ve afectado por los cambios de adaptador de red de Azure, algo que nos arroja algo de luz al problema. Acto seguido necesitamos decidir con qué software implementar la solución. Decidí que SoftEther VPN era la mejor. Gracias a esto vamos a superar todas las limitaciones que hemos comentado antes.

¿Qué es SoftEther VPN?

SoftEther VPN es un potente software VPN de código abierto desarrollado por la Universidad de Tsukuba (Japón) que se posiciona como una alternativa poderosa a los sistemas de túneling existentes, ya sean los basados en RRAS de Microsoft o bien el extendido OpenVPN. ¿Qué lo hace tan genial?

  • Multi-protocolo. SoftEther VPN soporta L2TP/IPsec, SSTP, OpenVPN y SSL VPN (a través de un cliente propio).
  • Multi-plataforma, ya que corre bajo Windows, OSX, Linux, FreeBSD y Solaris.
  • Multi-arquitectura, soportando x86, x64, ARM, MIPS, SH-4, PowerPC y SPARC.
  • Multi-authentication backend: soportando usuarios y contraseñas locales, certificados X.509, Active Directory (sólo Windows) y RADIUS.

Como podéis ver se trata de un completísimo sistema de VPN que soporta prácticamente todo lo que podamos imaginar.

Autenticando con Active Directory

Os habrá llamado la atención que SoftEther VPN soporta Active Directory como backend de autenticación, pero lamentablemente sólo en el caso de que estemos ejecutando el servidor bajo Windows. Esto en Azure nos devolvería a la casilla de salida, así que tenemos que asumir que estamos en Linux. Sin embargo, en la lista también estaba RADIUS. ¿Tiene Microsoft algún servidor RADIUS que nos haga de pasarela a la autenticación de ADDS? ¡Sí! ¡El Network Policy Server! NPS para los amigos.

Nuestra arquitectura a alto nivel sería la siguiente:

gaw1

Así que dicho y hecho, nuestro escenario de demo se va a componer de tres máquinas en Azure:

  • SoftEther VPN (Linux)
  • NPS + ADDS (Windows)
  • App Server (no es indiferente el sistema operativo).

La última máquina de la lista es solo para comprobar conectividades y representa nuestra infraestructura en Azure.

Inyectando a nuestros clientes VPN P2S en la red de Azure: el adaptador de red TAP de Linux

Uno de los grandes problemas que nos podemos encontrar a la hora de conectar clientes a nuestra red virtual de Azure es que esta no es precisamente muy amiga de eso. Una red virtual de Azure se encuentra gobernada por el DHCP que Microsoft instaura en ella y por tanto si intentamos conectarlos a través de la máquina virtual que hemos desplegado, no obtendremos ningún resultado satisfactorio.

Aquí entra en juego otra de esas capacidades de Linux que hace que nos maravillemos con él cada vez que hacemos temas de networking: el adaptador de red virtual TAP. Este adaptador de red es una interfaz virtual que se encuentra integrada en el kernel de Linux y que puede ser desplegada por las aplicaciones que lo requieran. Tiene infinidad de usos en software de tunneling y virtualización.

Cuando desplegamos el adaptador, obtenemos algo similar a esto:

gaw3

Como se puede ver en la imagen, la máquina virtual de SoftEther se encuentra dentro de la red virtual de Azure, y así lo refleja el adaptador eth0. Pero… ¿y si creamos un nuevo adaptador TAP? Llamémosle tap_vpn0. Este adaptador virtual no se encuentra realmente dentro de Azure: no ve la red virtual, el DHCP de Azure no tiene efecto sobre él y es agnóstico a nuestro entorno. ¡Es el candidato perfecto para unir nuestros clientes P2S!

Sin embargo, una vez unidos los clientes a este adaptador, debemos establecer comunicación con la red virtual de Azure. Esto lo podemos conseguir fácilmente convirtiendo nuestra máquina Linux en un router a su vez (ya sabéis, activar IP forwarding como hemos comentado otras veces). De esta manera el dibujo se convierte en el siguiente:

gaw2

User Defined Routes e IP forwarding a nivel de Azure

Hecho esto, necesitamos que Azure sepa a qué gateway enviar el tráfico dirigido a los clientes VPN y permitir que esa máquina acepte tráfico que no es necesariamente para ella. A día de hoy, esto es perfectamente posible:

  • User Defined Routes (UDR). No es ni más ni menos que una definición de tablas de rutas en una red virtual de Azure. Nos permite dirigir el tráfico a donde nos interese. Este tema merecerá un artículo del blog en exclusiva.
  • IP ForwardingFundamental si usamos tablas de rutas y enviamos el tráfico a una máquina virtual, ya que por defecto está no aceptará ningún packete de red en el que ella no sea la destinataria.
El resultado

Tras todo el proceso deberíamos tener operativo todo un hub de conexiones VPN que además nos permite superar las limitaciones que comentábamos al inicio del artículo.

gaw4

El resumen y To-Do list

Como el artículo ha constituido una explicación de alto nivel de cómo conseguir en Azure una VPN P2S autenticada mediante ADDS, os dejo con una serie de pasos de alto nivel para hacer la solución más fácil de seguir:

  1. Crear una nueva red virtual de Azure y asignarle un direccionamiento. En nuestro ejemplo 172.16.0.0/24.
  2. Crear máquinas para hospedar los siguientes servicios: SoftEther VPN (Linux), NPS (Windows), ADDS (Windows). Configurar todas las IPs privadas como estáticas.
  3. Configurar SoftEther VPN de la siguiente manera:
    1. Local Bridge hacia un adaptador TAP.
    2. Autenticación basada en RADIUS contra el servidor NPS.
    3. Activar protocolos L2TP/IPsec y SSTP. Opcionalmente podemos activar OpenVPN.
    4. Generar los certificados necesarios para SSTP y distribuirlos en los clientes que vayan a acceder. Recuerda que deben coincidir con el nombre del dominio al que conectas.
  4. Elegir un direccionamiento para nuestro adaptador TAP y asignarle una IP dentro de ese direccionamiento. En nuestro ejemplo 172.17.0.0/24 y el adaptador 172.17.0.1.
  5. Instalar y configurar un servidor DHCP (a mi me encanta dnsmasqque debe ejecutarse tras arrancar SoftEther VPN para que exista la interfaz TAP. Esto es importante porque sólo debe estar enlazado (binding) a la interfaz TAP y NUNCA a eth0, donde entraría en conflicto con el de Azure. Debe servir IPs en el rango del adaptador TAP.
  6. Activar IP forwarding en la máquina Linux en /etc/sysctl.conf.
  7. Activar IP forwarding a nivel de Azure en la máquina virtual Linux.
  8. Crear una UDR que haga que el tráfico para 172.17.0.0/24 se dirija a la IP privada de la máquina virtual con SoftEther.
  9. ¡Listos para funcionar!
Explicándolo en directo

Alberto Marcos y servidor explicamos y demostramos todo esto en directo en la Global Azure Bootcamp 2016. Si te la perdiste tienes la oportunidad de ver en HD la grabación de la sesión justo aquí: https://channel9.msdn.com/Events/Microsoft-Spain-Events/Global-Azure-BootCamp-2016/Construyendo-una-VPN-Point-to-Site-con-autenticacin-RADIUS-y-AD-en-Microsoft-Azure

Happy networking!

Configurar una VPN Point-To-Site en Azure

En anteriores artículos ya habíamos hablado de cómo configurar una red VPN Site-To-Site . En este artículo trataremos otra de las posibles configuraciones de redes privadas virtuales que es posible realizar en Microsoft Azure.

Una VPN Point-To-Site nos permite conectar nuestra máquina local de forma segura a una red virtual de Azure sin necesidad de disponer y configurar un dispositivo VPN o RRAS.  Este tipo de conexiones emplean un tunel hecho a traves del protocolo SSTP con autenticación basada en certificados entre la máquina cliente y la red virtual. Son una buena elección cuando :

  • Son pocas máquinas clientes las que necesitan conectarse a la red virtual de Azure, ya que este tipo de conectividades sólo permite que se conecten hasta 128.
  • No disponemos de un dispositivo VPN para configurar una conexión Site-To-Site, valga la redundancia.
  • Quieres conectarte de forma segura cuando estás offsite (por ejemplo cuando estás en una cafetería).

Como ejemplo, indicar que las  conexiones  de Azure App Service   a las redes virtuales son mediante Point-To-Site.

point2site

Entonces, ¿qué necesitamos para crear este tipo de redes?

  • Crear la red privada virtual y su correspondiente puerta de enlace (o gateway) de enrutamiento dinámico, ya que propicia conexiones más estables que los de tipo estático.
  • Crear los certificados que usaremos para identificar a clientes en la VPN Point-To-Site. Necesitaremos dos certificados, un certificado de raíz y un certificado cliente,  ambos autofirmados.
  • Configurar la máquina local para que se conecte a la VPN. Dicha computadora deberá tener instalado como sistema operativo Windows 7 , Windows Server 2008 R2 o versiones posteriores.

Paso 1.- Configurar la red privada virtual y su gateway.

Para crear la red virtual lo primero es ir a nuestro portal de Azure y en el menú ubicado en el lateral izquierdo de nuestra pantalla haremos click en la sección Networks.

image

Habiendo accedido a dicha sección, crearemos nuestra red virtual haciendo click en New –> Network Services –> Virtual Network –> Custom Create . Nos mostrará la primera página  asistente de instalación de creación de red virtual, donde podremos especificar el nombre y la localización en los campos Name y Location correspondiente. Luego, haremos click en la flecha ubicada en la parte inferior derecha  para avanzar al siguiente paso.

image

En la página DNS Servers and VPN Connectivity, elegiremos únicamente la opción Configure a poin-to-site VPN .

image

Avanzando a la siguiente página del asistente, especificaremos el rango de direcciones IP que los clientes VPN recibirán cuando se conecten. En nuestro caso elegiremos la configuración por defecto.

image

En la última fase del proceso, podremos comprobar que Azure nos ha creado una subred por defecto sobre la cual se conectarán los clientes VPN. No obstante, es posible configurarlo a nuestro gusto. Si queremos usar la red point-to-site  que hemos configuramos, necesitaremos agregar una subred para la puerta de enlace (la cual reserva unas 8 direcciones IP). Basta con hacer click  en Add gateway subnet . Añadido dicho espacio de direcciones,  finalizamos el proceso de creación.

image

Con la VPN ya creada , nos faltaría crear  la puerta de enlace. Basta con acceder a la red creada dentro de la sección Networks y nos iremos a la pestaña  Dashboard . En dicho menú, para crear la puerta de enlace bastará con pulsar el botón Create Gateway ubicado en la parte inferior de la pantalla.  Azure nos creará una puerta de enlace de enrutamiento dinámico. No os preocupéis si el proceso de creación tarda.

image

Paso 2.- Creación y agregación de los certificados autofirmados

Como ya hemos dicho, la necesidad  de crear certificados autofirmados se debe a que la conectividad point-to-site usa autenticación por certificados por encima del uso de contraseña de usuarios.  Aquel que no posea el certificado cliente instalado de forma correcta no podrá conectarse a nuestra red virtual, incluso si de alguna manera obtiene la dirección IP de la red.

Antes de nada, deberemos crear el certificado raíz para que lo podamos subir al portal de Azure. Nos valdremos de la herramienta makecert.exe (la cual deberemos tener en nuestro equipo local). Y despues ejecutaremos los siguientes comando desde CMD o Powershell  (la opción elegida en este ejemplo) con el nombre del certificado que nosotros queramos. En este caso utilizaremos “<Certificado_Root>” .

Posteriormente creamos el certificado raíz  (al que llamaremos <CertificadoCliente>) , para ello y sin movernos de la consola, escribiremos lo siguiente :

Ya creados , los exportaremos  para poder instalarlos en sus correspondientes sitios empleando la herramienta  certmgr.mscAllí los encontraremos dentro de la carpeta Personal donde procederemos a exportarlos, empezando  el certificado de raíz, haremos click derecho y seleccionaremos  la opción de exportar.

image

Indicar que en el certificado raíz no hay que exportar la clave privada y que deberemos guardarlo con extensión “.cer”.

image

image

Realizaremos el mismo proceso  con el certificado cliente, pero en este caso sí que deberemos exportar la clave privada y el formato deberá ser “.pfx”. Ya elegido el formato del certificado, deberemos indicarle una contraseña, que usaremos a la hora de instalarlo en el equipo cliente para poder conectarnos de forma segura en la VPN.

image

Una vez tengamos los certificados,  procederemos a su instalación. En el caso del certificado raíz, basta con ir a la sección Certificates dentro de nuestra red en el panel de Azure, donde podremos subirlo presionando en el enlace Upload a Root Certificate :

 

image

Cuando ya se haya subido, nos quedaría instalar el certificado cliente sobre la máquina que queremos que se conecte a la VPN. Si hacemos click sobre él dos veces, introducimos la contraseña que indicamos cuando lo exportamos,  ya lo tendremos instalado.

Paso 3.- Configuración de la máquina cliente

Creados e instalados los certificados, tan sólo nos quedaría configurar la máquina cliente que se conectará a la VPN Point-To-Site.  Desde nuestra pestaña Dashboard  de nuestro portal de red en Azure, observamos  que en lateral derecho en la sección Quick Glance   podremos descargar el paquete cliente VPN según el procesador de la máquina cliente :

image

Cuando hayamos terminado de descargarlo e instalarlo, si nos dirigimos a la sección de redes de la máquina local, tendremos la opción de conectarnos a la red que hemos creado.

image

Y eso es todo, no es un proceso difícil  pero sí algo largo.  Esperemos que os haya gustado. Ahora no tendréis excusa para crearos vuestra propia VPN en Azure.

¡Muchas gracias por leernos!