Configuración del cliente VPN de Azure para conexiones de autenticación de certificados de VPN de punto a sitio: Windows
Si su puerta de enlace VPN de punto a sitio (P2S) está configurada para usar OpenVPN y autenticación de certificado, puede conectarse a su red virtual usando el cliente VPN de Azure. Este artículo lo guía por los pasos necesarios para configurar el Cliente VPN de Azure y conectarse a la red virtual.
Antes de empezar
Antes de comenzar los pasos de configuración del cliente, compruebe que se encuentre en el artículo de configuración del cliente VPN correcto. En la tabla siguiente se muestran los artículos de configuración disponibles para los clientes VPN de punto a sitio de VPN Gateway. Los pasos difieren en función del tipo de autenticación, el tipo de túnel y el sistema operativo del cliente.
Authentication | Tipo de túnel | Sistema operativo del cliente | Cliente de VPN |
---|---|---|---|
Certificate | |||
IKEv2, SSTP | Windows | Cliente VPN nativo | |
IKEv2 | macOS | Cliente VPN nativo | |
IKEv2 | Linux | strongSwan | |
OpenVPN | Windows | Cliente VPN de Azure Versión 2.x del cliente de OpenVPN Versión 3.x del cliente de OpenVPN |
|
OpenVPN | macOS | Cliente OpenVPN | |
OpenVPN | iOS | Cliente OpenVPN | |
OpenVPN | Linux | Cliente VPN de Azure Cliente OpenVPN |
|
Microsoft Entra ID | |||
OpenVPN | Windows | Cliente VPN de Azure | |
OpenVPN | macOS | Cliente VPN de Azure | |
OpenVPN | Linux | Cliente VPN de Azure |
Requisitos previos
En este artículo se supone que ya has realizado los siguientes requisitos previos:
- Ha creado y configurado la puerta de enlace de VPN para la autenticación de certificados de punto a sitio y el tipo de túnel OpenVPN. Consulta Configuración de la configuración del servidor para conexiones de VPN Gateway P2S: autenticación de certificados para conocer los pasos.
- Ha generado y ha descargado los archivos de configuración del cliente VPN. Consulte Generación de los archivos de configuración del perfil del cliente VPN para conocer los pasos.
- Puede generar certificados de cliente o adquirir los certificados de cliente adecuados necesarios para la autenticación.
Requisitos de la conexión
Para conectarse a Azure, cada equipo cliente que se conecta requiere los siguientes elementos:
- El software cliente VPN de Azure debe estar instalado en cada equipo cliente.
- El perfil de cliente VPN de Azure se configura mediante las opciones contenidas en el archivo de configuración azurevpnconfig.xml o azurevpnconfig_cert.xml descargado.
- El equipo cliente debe tener un certificado de cliente instalado localmente.
Generación e instalación de certificados de cliente
Para la autenticación de certificados, se debe instalar un certificado de cliente en cada equipo cliente. El certificado de cliente que quiere usar debe exportarse con la clave privada y contener todos los certificados de la ruta de acceso de certificación. Además, para algunas configuraciones, también tendrá que instalar la información del certificado raíz.
- Para obtener información sobre el uso de certificados, vea Conexión de punto a sitio: generación de certificados.
- Para ver un certificado de cliente instalado, abra Administrar certificados de usuario. El certificado de cliente está instalado en Usuario actual\Personal\Certificates\ .
Instalación del certificado de cliente
Cada equipo necesita un certificado de cliente para autenticarse. Si el certificado de cliente aún no está instalado en el equipo local, puede instalarlo mediante los pasos siguientes:
- Busque el certificado de cliente. Para obtener más información sobre los certificados de cliente, consulte Instalar certificados de cliente.
- Instale el certificado de cliente. Para ello, por lo general puedes hacer doble clic en el archivo de certificado y proporcionar una contraseña (si es necesario).
Visualización de los archivos de configuración
El paquete de configuración del perfil de cliente VPN contiene carpetas específicas. Los archivos de las carpetas contienen la configuración necesaria para configurar el perfil de cliente VPN en el equipo cliente. Los archivos y la configuración que contienen son específicos de la puerta de enlace de VPN y el tipo de autenticación y túnel que la puerta de enlace de VPN está configurada para su uso.
Busca y descomprime el paquete de configuración del perfil de cliente VPN que generaste. Para la autenticación de certificados y OpenVPN, verá la carpeta AzureVPN. En esta carpeta, verá el archivo azurevpnconfig_cert.xml o el archivo azurevpnconfig.xml, en función de si la configuración de P2S incluye varios tipos de autenticación. El archivo .xml contiene la configuración que usa para configurar el perfil de cliente VPN.
Si no ve ningún archivo o no tiene una carpeta AzureVPN, compruebe que la puerta de enlace de VPN está configurada para usar el tipo de túnel OpenVPN y que se selecciona la autenticación de certificado.
Descarga del cliente VPN de Azure
Descargue la versión más reciente de los archivos de instalación del cliente VPN de Azure mediante uno de los vínculos siguientes:
- Instale con los archivos de instalación de cliente: https://aka.ms/azvpnclientdownload.
- Instale directamente, cuando haya iniciado sesión en un equipo cliente: Microsoft Store.
Instale el cliente VPN de Azure en cada equipo.
Compruebe que el cliente VPN de Azure tenga permiso para ejecutarse en segundo plano. Para los pasos, consulte Aplicaciones en segundo plano en Windows.
Para comprobar la versión de cliente instalada, abra el cliente VPN de Azure. Vaya al final del cliente y haga clic en ... -> ? Ayuda. En el panel derecho, puede ver el número de versión del cliente.
Configuración del perfil de cliente VPN de Azure
Abra el cliente de VPN de Azure.
Haga clic en + en la parte inferior izquierda de la página y seleccione Importar.
En la ventana, vaya al archivo azurevpnconfig.xml o azurevpnconfig_cert.xml. Seleccione el archivo y, a continuación, seleccione Abrir.
En la página del perfil de cliente, observe que ya se han especificado muchas de las opciones de configuración. La configuración preconfigurada se incluye en el paquete de perfil de cliente VPN que importó. Aunque la mayoría de las opciones ya están especificadas, debe configurar opciones específicas del equipo cliente.
En la lista desplegable Información de certificado, seleccione el nombre del certificado secundario (el certificado de cliente). Por ejemplo, P2SChildCert. También puede seleccionar (opcionalmente) un perfil secundario. Para este ejercicio, seleccione Ninguno.
Si no ve ningún certificado de cliente en la lista desplegable Información de certificado, deberá cancelar y corregir el problema antes de continuar. Es posible que uno de los siguientes elementos esté causando el problema:
- El certificado de cliente no se ha instalado localmente en el equipo cliente.
- Hay varios certificados con exactamente el mismo nombre instalado en el equipo local (común en entornos de prueba).
- El certificado secundario está dañado.
Una vez validada la importación (importaciones sin errores), haga clic en Guardar.
En el panel izquierdo, busque la Conexión VPN y haga clic en Conectar.
Configuración opcional para el cliente VPN de Azure
En las secciones siguientes se describen parámetros adicionales de configuración opcionales disponibles para el cliente VPN de Azure.
Perfil secundario
El cliente VPN de Azure proporciona alta disponibilidad para los perfiles de cliente. Agregar un perfil secundario de cliente le proporciona una manera más resistente de acceder a la VPN. Si se produce una interrupción en la región o un error al conectarse al perfil principal de cliente VPN, Cliente VPN de Azure proporciona la capacidad de conectarse automáticamente al perfil secundario de cliente sin provocar interrupciones.
Esta característica requiere la versión del cliente VPN de Azure 2.2124.51.0 o posterior. En este ejemplo, agregaremos un perfil secundario a un perfil ya existente.
Con la configuración de este ejemplo, si el cliente no puede conectarse a VNet1, se conectará automáticamente a Contoso sin causar interrupciones.
Agregue otro perfil de cliente VPN al cliente VPN de Azure. En este ejemplo, se importó un archivo de perfil de cliente VPN y se agregó una conexión a Contoso.
A continuación, vaya al perfil de VNet1 y haga clic en "..." y, después, en Configurar.
En la lista desplegable Perfil secundario, seleccione el perfil de Contoso. A continuación, guarde la configuración.
Configuración personalizada: DNS y enrutamiento
Puede configurar el Cliente VPN de Azure con valores opcionales, como servidores DNS adicionales, DNS personalizado, tunelización forzada, rutas personalizadas y otras opciones adicionales. Para obtener una descripción de los pasos de configuración y los valores disponibles, vea Valores opcionales para el Cliente VPN de Azure.
Pasos siguientes
Realice un seguimiento de cualquier configuración de conexión o servidor adicional. Consulte Pasos de configuración de punto a sitio.