Configurar una VPN Point-To-Site en Azure
En anteriores artículos ya habíamos hablado de cómo configurar una red VPN Site-To-Site . En este artículo trataremos otra de las posibles configuraciones de redes privadas virtuales que es posible realizar en Microsoft Azure.
Una VPN Point-To-Site nos permite conectar nuestra máquina local de forma segura a una red virtual de Azure sin necesidad de disponer y configurar un dispositivo VPN o RRAS. Este tipo de conexiones emplean un tunel hecho a traves del protocolo SSTP con autenticación basada en certificados entre la máquina cliente y la red virtual. Son una buena elección cuando :
- Son pocas máquinas clientes las que necesitan conectarse a la red virtual de Azure, ya que este tipo de conectividades sólo permite que se conecten hasta 128.
- No disponemos de un dispositivo VPN para configurar una conexión Site-To-Site, valga la redundancia.
- Quieres conectarte de forma segura cuando estás offsite (por ejemplo cuando estás en una cafetería).
Como ejemplo, indicar que las conexiones de Azure App Service a las redes virtuales son mediante Point-To-Site.
Entonces, ¿qué necesitamos para crear este tipo de redes?
- Crear la red privada virtual y su correspondiente puerta de enlace (o gateway) de enrutamiento dinámico, ya que propicia conexiones más estables que los de tipo estático.
- Crear los certificados que usaremos para identificar a clientes en la VPN Point-To-Site. Necesitaremos dos certificados, un certificado de raíz y un certificado cliente, ambos autofirmados.
- Configurar la máquina local para que se conecte a la VPN. Dicha computadora deberá tener instalado como sistema operativo Windows 7 , Windows Server 2008 R2 o versiones posteriores.
Paso 1.- Configurar la red privada virtual y su gateway.
Para crear la red virtual lo primero es ir a nuestro portal de Azure y en el menú ubicado en el lateral izquierdo de nuestra pantalla haremos click en la sección Networks.
Habiendo accedido a dicha sección, crearemos nuestra red virtual haciendo click en New –> Network Services –> Virtual Network –> Custom Create . Nos mostrará la primera página asistente de instalación de creación de red virtual, donde podremos especificar el nombre y la localización en los campos Name y Location correspondiente. Luego, haremos click en la flecha ubicada en la parte inferior derecha para avanzar al siguiente paso.
En la página DNS Servers and VPN Connectivity, elegiremos únicamente la opción Configure a poin-to-site VPN .
Avanzando a la siguiente página del asistente, especificaremos el rango de direcciones IP que los clientes VPN recibirán cuando se conecten. En nuestro caso elegiremos la configuración por defecto.
En la última fase del proceso, podremos comprobar que Azure nos ha creado una subred por defecto sobre la cual se conectarán los clientes VPN. No obstante, es posible configurarlo a nuestro gusto. Si queremos usar la red point-to-site que hemos configuramos, necesitaremos agregar una subred para la puerta de enlace (la cual reserva unas 8 direcciones IP). Basta con hacer click en Add gateway subnet . Añadido dicho espacio de direcciones, finalizamos el proceso de creación.
Con la VPN ya creada , nos faltaría crear la puerta de enlace. Basta con acceder a la red creada dentro de la sección Networks y nos iremos a la pestaña Dashboard . En dicho menú, para crear la puerta de enlace bastará con pulsar el botón Create Gateway ubicado en la parte inferior de la pantalla. Azure nos creará una puerta de enlace de enrutamiento dinámico. No os preocupéis si el proceso de creación tarda.
Paso 2.- Creación y agregación de los certificados autofirmados
Como ya hemos dicho, la necesidad de crear certificados autofirmados se debe a que la conectividad point-to-site usa autenticación por certificados por encima del uso de contraseña de usuarios. Aquel que no posea el certificado cliente instalado de forma correcta no podrá conectarse a nuestra red virtual, incluso si de alguna manera obtiene la dirección IP de la red.
Antes de nada, deberemos crear el certificado raíz para que lo podamos subir al portal de Azure. Nos valdremos de la herramienta makecert.exe (la cual deberemos tener en nuestro equipo local). Y despues ejecutaremos los siguientes comando desde CMD o Powershell (la opción elegida en este ejemplo) con el nombre del certificado que nosotros queramos. En este caso utilizaremos “<Certificado_Root>» .
1 |
makecert -sky exchange -r -n "CN=<Certifiado_Root>" -pe -a sha1 -len 2048 -ss My .CertificadoRoot.cer |
Posteriormente creamos el certificado raíz (al que llamaremos <CertificadoCliente>) , para ello y sin movernos de la consola, escribiremos lo siguiente :
1 |
makecert -n "CN=<CertificadoCliente>" -pe -sky exchange -m 96 -ss My -in "<Certificado_Root>" -is my -a sha1 |
Ya creados , los exportaremos para poder instalarlos en sus correspondientes sitios empleando la herramienta certmgr.msc . Allí los encontraremos dentro de la carpeta Personal donde procederemos a exportarlos, empezando el certificado de raíz, haremos click derecho y seleccionaremos la opción de exportar.
Indicar que en el certificado raíz no hay que exportar la clave privada y que deberemos guardarlo con extensión “.cer”.
Realizaremos el mismo proceso con el certificado cliente, pero en este caso sí que deberemos exportar la clave privada y el formato deberá ser “.pfx”. Ya elegido el formato del certificado, deberemos indicarle una contraseña, que usaremos a la hora de instalarlo en el equipo cliente para poder conectarnos de forma segura en la VPN.
Una vez tengamos los certificados, procederemos a su instalación. En el caso del certificado raíz, basta con ir a la sección Certificates dentro de nuestra red en el panel de Azure, donde podremos subirlo presionando en el enlace Upload a Root Certificate :
Cuando ya se haya subido, nos quedaría instalar el certificado cliente sobre la máquina que queremos que se conecte a la VPN. Si hacemos click sobre él dos veces, introducimos la contraseña que indicamos cuando lo exportamos, ya lo tendremos instalado.
Paso 3.- Configuración de la máquina cliente
Creados e instalados los certificados, tan sólo nos quedaría configurar la máquina cliente que se conectará a la VPN Point-To-Site. Desde nuestra pestaña Dashboard de nuestro portal de red en Azure, observamos que en lateral derecho en la sección Quick Glance podremos descargar el paquete cliente VPN según el procesador de la máquina cliente :
Cuando hayamos terminado de descargarlo e instalarlo, si nos dirigimos a la sección de redes de la máquina local, tendremos la opción de conectarnos a la red que hemos creado.
Y eso es todo, no es un proceso difícil pero sí algo largo. Esperemos que os haya gustado. Ahora no tendréis excusa para crearos vuestra propia VPN en Azure.
¡Muchas gracias por leernos!
Hola buenas, estoy teniendo un error 800 que dice «The remote connection was not made because the attempted VPN tunnels failed…» cuando intento conectar un server 2008 r2 con la VPN point to site… he creado los certificados root y cliente, en Azure tengo cargados dos root, uno que subi para clientes w10 y el de server 2008, con las conexiones desde w10 no tengo problemas pero con este si… alguna idea de por que podria ser? gracias. Esta muy buena su información.