Acerca de VPN de Always On

  • Artículo

Se aplica a Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10+

Always On VPN le permite hacer lo siguiente:

  • Crear escenarios avanzados mediante la integración de sistemas operativos Windows y soluciones de terceros. Para obtener una lista de las integraciones admitidas, consulte Integraciones admitidas.

  • Mantener la seguridad de red al restringir la conexión por tipos de tráfico, aplicaciones y métodos de autenticación. Para obtener una lista de características de seguridad de Always On VPN, consulte Características de seguridad.

  • Configurar el desencadenamiento automático para las conexiones autenticadas por usuario y dispositivo. Para obtener más información, consulte Características de conectividad.

  • Controlar la red mediante la creación de directivas de enrutamiento en un nivel granular; incluso hasta la aplicación individual. Para obtener más información, consulte Características de redes.

  • Configurar las opciones de VPN con un perfil XML estándar (ProfileXML) definido por una plantilla de configuración estándar del sector. Puede implementar y administrar la configuración de VPN con Windows PowerShell, Microsoft Endpoint Configuration Manager, Intune, Diseñador de configuración de Windows o cualquier herramienta de administración de dispositivos móviles (MDM) de terceros.

Integraciones admitidas

Always On VPN admite dispositivos unidos a un dominio, no unidos a ningún dominio (grupo de trabajo) o unidos a un Microsoft Entra ID para permitir escenarios empresariales y BYOD. La VPN de Always On está disponible en todas las ediciones de Windows y las características de la plataforma están disponibles para terceros mediante compatibilidad con complementos VPN para UWP.

Always On VPN admite la integración con las siguientes plataformas:

  • Windows Information Protection (WIP). La aplicación de directivas de red puede determinar si el tráfico puede pasar por la VPN mediante la integración con WIP. Si el perfil de usuario está activo y se aplican directivas WIP, Always On VPN se desencadenará automáticamente para conectarse. Además, cuando se usa WIP, no es necesario especificar las reglas de AppTriggerList y TrafficFilterList independientemente en el perfil de VPN (a menos que se busque una configuración más avanzada) porque las directivas de WIP y las listas de aplicaciones surten efecto automáticamente.

  • Windows Hello para empresas. Always On VPN admite de forma nativa Windows Hello para empresas en modo de autenticación basada en certificados. La compatibilidad nativa con Windows Hello proporciona una experiencia de inicio de sesión único de conexión directa tanto para el inicio de sesión en la máquina como para la conexión a la red VPN. No se necesita autenticación secundaria (credenciales de usuario) para la conexión VPN.

  • Plataforma de acceso condicional de Microsoft Azure El cliente Always On VPN se puede integrar con la plataforma de acceso condicional de Azure para aplicar la autenticación multifactor (MFA), el cumplimiento de dispositivos o una combinación de los dos. Si es compatible con las directivas de acceso condicional, Microsoft Entra ID emite un certificado de autenticación de seguridad de IP (IPsec) de corta duración (de forma predeterminada, sesenta minutos). Después, el certificado IPSec se puede usar para autenticarse en la puerta de enlace de VPN. El cumplimiento de dispositivos usa las directivas de cumplimiento de Configuration Manager/Intune, que pueden incluir el estado de atestación de estado del dispositivo como parte de la comprobación de cumplimiento de la conexión. Para obtener más información, consulte VPN y acceso condicional

  • Plataforma de autenticación multifactor de Microsoft Entra. Cuando se combina con los servicios del Servicio de autenticación remota telefónica de usuario (RADIUS) y la extensión del Servidor de directivas de red (NPS) para la autenticación multifactor de Microsoft Entra, la autenticación VPN puede usar una MFA segura.

  • Complementos VPN de terceros Con la Plataforma universal de Windows (UWP), los proveedores de VPN de terceros pueden crear una sola aplicación para toda la gama de dispositivos Windows. La UWP proporciona una capa de API básica garantizada entre dispositivos, lo que elimina la complejidad de los problemas a menudo asociados a la escritura de controladores de nivel de kernel. Actualmente, existen complementos de VPN para UWP de Windows para Pulse Secure, F5 Access, Check Point Capsule VPN, FortiClient, SonicWall Mobile Connect y GlobalProtect.

Características de seguridad

La VPN de Always On proporciona conectividad a los recursos corporativos mediante directivas de túnel que requieren autenticación y cifrado hasta que llegan a la puerta de enlace de VPN. De manera predeterminada, las sesiones de túnel finalizan en la puerta de enlace de VPN, que también funciona como puerta de enlace IKEv2, lo que proporciona seguridad de un extremo a otro.

Para más información sobre las opciones de autenticación de VPN estándar, consulte Opciones de autenticación de VPN.

Always On VPN admite las siguientes características de seguridad:

  • Compatibilidad con el protocolo VPN IKEv2 estándar del sector. El cliente de Always On VPN es compatible con IKEv2, uno de los protocolos de tunelización estándar del sector más usados actualmente. Esta compatibilidad maximiza la interoperabilidad con puertas de enlace de VPN de terceros.

  • Interoperabilidad con puertas de enlace VPN IKEv2 de terceros. El cliente Always On VPN admite la interoperabilidad con puertas de enlace VPN IKEv2 de terceros. También se puede lograr la interoperabilidad con puertas de enlace de VPN de terceros mediante un complemento VPN para UWP combinado con un tipo de tunelización personalizado sin sacrificar las características y ventajas de la plataforma Always On VPN.

    Nota:

    Consulte con la puerta de enlace o el proveedor de dispositivos back-end de terceros en configuraciones y compatibilidad con Always On VPN y Device Tunnel mediante IKEv2.

  • Diríjase a SSTP de IKEv2. Puede configurar una reserva para aquellos clientes que están detrás de firewalls o servidores proxy mediante el tipo de túnel o protocolo automático dentro del perfil de VPN.

    Nota:

    El túnel de usuario es compatible con IKEv2 y SSTP, mientras que el túnel de dispositivo solo es compatible con IKEv2 y no admite reserva SSTP.

  • Compatibilidad con la autenticación de certificados de máquina. El tipo de protocolo IKEv2 disponible como parte de la plataforma VPN de Always On admite específicamente el uso de certificados de máquina o equipo para la autenticación de VPN.

    Nota:

    IKEv2 es el único protocolo admitido para Device Tunnel y no hay ninguna opción de soporte técnico para el retroceso de SSTP. Para obtener más información, consulte Configuración de un túnel de dispositivo de Always On VPN.

  • Filtros de tráfico y aplicación. Con las reglas de firewall de aplicaciones y tráfico, puede especificar políticas del lado del cliente que determinen qué tráfico y aplicaciones pueden conectarse a la interfaz VPN.

    Existen dos tipos de reglas de filtrado disponibles:

    • Reglas basadas en aplicaciones. Las reglas de firewall basadas en aplicaciones se fundamentan en una lista de aplicaciones especificadas para que solo se permita que el tráfico que se origine en estas aplicaciones pase por la interfaz VPN.

    • Reglas basadas en el tráfico. Las reglas de firewall basadas en tráfico se fundamentan en requisitos de red, como puertos, direcciones y protocolos. Use estas reglas solo para el tráfico que se corresponde con estas condiciones específicas para pasar por la interfaz VPN.

    Nota:

    Estas reglas solo afectan al tráfico saliente del dispositivo. Al usarse los filtros de tráfico, se bloquea el tráfico entrante de la red corporativa al cliente.

  • Acceso condicional de VPN. El acceso condicional y el cumplimiento de los dispositivos puede requerir que los dispositivos administrados tengan que cumplir ciertos estándares antes de poder conectarse a la VPN. El acceso condicional de la VPN permite restringir las conexiones VPN a los dispositivos cuyo certificado de autenticación de cliente incluya el OID de acceso condicional de Microsoft Entra de 1.3.6.1.4.1.311.87. Para obtener información sobre cómo restringir las conexiones VPN directamente en el servidor NPS, vea Configuración del acceso condicional de VPN en el servidor de directivas de red. Para obtener información sobre cómo restringir las conexiones VPN con el acceso condicional de Microsoft Entra, consulte Acceso condicional para la conectividad VPN con Microsoft Entra ID.

  • Limitar el acceso remoto a usuarios y dispositivos específicos. Puede configurar la VPN de Always On para admitir la autorización granular al usar RADIUS, que incluye el uso de grupos de seguridad para controlar el acceso VPN.

  • Defina los servidores de administración accesibles antes del inicio de sesión del usuario. Use la función Túnel de dispositivo (disponible en la versión 1709, solo para IKEv2) en el perfil de VPN combinado con filtros de tráfico para controlar qué sistemas de administración de la red corporativa son accesibles a través del túnel del dispositivo.

    Nota:

    Si activa los filtros de tráfico en el perfil de Device Tunnel, este deniega el tráfico entrante (desde la red corporativa al cliente).

  • VPN por aplicación VPN por aplicación es como tener un filtro de tráfico basado en aplicaciones, pero va un poco más allá para combinar desencadenadores de aplicación con un filtro de tráfico basado en aplicaciones para que la conectividad VPN esté restringida a una aplicación específica en lugar de a todas las aplicaciones del cliente VPN. La característica se inicia automáticamente al iniciarse la aplicación.

  • Algoritmos de criptografía IPsec personalizados. Always On VPN es compatible con el uso de algoritmos criptográficos personalizados basados en la curva RSA y elíptica para satisfacer las directivas de seguridad gubernamentales u organizativas estrictas.

  • Compatibilidad nativa con Protocolo de autenticación extensible (EAP). Always On es compatible de forma nativa con EAP, lo que permite el uso de diversos tipos de EAP de Microsoft y de terceros como parte del flujo de trabajo de autenticación. EAP proporciona autenticación segura que se basa en los siguientes tipos de autenticación:

    • Nombre de usuario y contraseña
    • Tarjeta inteligente (física y virtual)
    • Certificados de usuario
    • Windows Hello para empresas
    • Compatibilidad con MFA mediante la integración de EAP RADIUS

    El proveedor de la aplicación controla los métodos de autenticación de complementos VPN para UWP de terceros, aunque tienen una matriz de opciones disponibles, incluidos los tipos de credenciales personalizados y la compatibilidad con OTP.

  • Autenticación en dos fases de Windows Hello para empresas en equipos y dispositivos móviles. En Windows 10, Windows Hello para empresas reemplaza las contraseñas al proporcionar una autenticación segura en dos fases en equipos y dispositivos móviles. Para más información, vea Habilitación del acceso remoto con Windows Hello para empresas en Windows 10

  • Autenticación multifactor de Azure (MFA, Azure Multifactor Authentication). La autenticación multifactor de Microsoft Entra tiene versiones en la nube y locales que se pueden integrar en el método de autenticación VPN de Windows. Para consultar más información, vea Integración de la autenticación RADIUS en servidor de autenticación multifactor de Azure.

  • Atestación de la clave de Módulo de plataforma segura (TPM). Un certificado de usuario que tenga una clave atestada de TPM proporciona mayor seguridad gracias a las características que ofrece el TPM como la imposibilidad de exportación, la protección contra ataques de repetición (hammering) o el aislamiento de las claves.

Para obtener más información sobre la atestación de claves de TPM en Windows 10, consulte Atestación de claves de TPM.

Características de conectividad

Always On VPN admite las siguientes características de conectividad:

  • Desencadenamiento automático de la aplicación Puede configurar la VPN de Always On para admitir el desencadenamiento automático en función del inicio de la aplicación o las solicitudes de resolución de espacios de nombres. Para obtener más información sobre cómo configurar el desencadenamiento automático, consulte Opciones de perfil desencadenadas automáticamente por VPN.

  • Desencadenamiento automático basado en nombres Con Always On VPN, se pueden definir reglas para que las consultas de nombres de dominio específicas desencadenen la conexión VPN. Los dispositivos Windows son compatibles con desencadenadores basados en nombres para máquinas unidas a un dominio y nondomain (anteriormente solo se admitían máquinas unidas a nondomain).

  • Detección de redes de confianza En VPN Always On se incluye esta característica para garantizar que la conectividad VPN no se desencadena si un usuario está conectado a una red de confianza dentro del límite corporativo. Esta característica se puede combinar con cualquiera de los métodos de desencadenamiento mencionados antes para proporcionar una experiencia de usuario sin contratiempos de "solo conectarse en caso de necesidad".

  • Túnel de dispositivo Always On VPN le ofrece la posibilidad de crear un perfil de VPN dedicado para el dispositivo o la máquina. A diferencia del túnel de usuario, que solo se conecta después de que un usuario inicie sesión en el dispositivo o la máquina, el túnel de dispositivo permite que la VPN establezca conectividad antes de que el usuario inicie sesión. Tanto el túnel de dispositivo como el túnel de usuario funcionan de forma independiente con sus perfiles de VPN, se pueden conectar al mismo tiempo y pueden usar diferentes métodos de autenticación y otras opciones de configuración de VPN según corresponda. Para obtener información sobre cómo configurar un túnel de dispositivo, por ejemplo, información sobre el uso de la administración para registrar dinámicamente direcciones IP de cliente en DNS, consulte Configuración de un túnel de dispositivo de Always On VPN.

    Nota:

    Device Tunnel solo se puede configurar en dispositivos unidos a un dominio que ejecuten Windows 10 Enterprise o Education, versión 1709 o posterior. No hay compatibilidad con el control de terceros del túnel del dispositivo.

  • Asistente para conectividad Always On VPN está totalmente integrada con el Asistente para conectividad de red nativo y proporciona el estado de conectividad desde la interfaz Ver todas las redes. Con la llegada de Windows 10 Creators Update (versión 1703), el estado de la conexión VPN y el control de la conexión VPN para el túnel de usuario están disponibles a través del control flotante de red (para el cliente VPN integrado de Windows).

Características de red

Always On VPN admite las siguientes características de red:

  • Compatibilidad con pila doble con IPv4 e IPv6 Always On VPN es compatible de forma nativa con IPv4 e IPv6 en un enfoque de doble pila. Un protocolo no depende de forma específica del otro, lo que permite una compatibilidad máxima de aplicaciones IPv4/IPv6 combinada con compatibilidad con futuras necesidades de red IPv6.

  • Directivas de enrutamiento específicas de la aplicación Además de definir directivas de enrutamiento de conexiones VPN globales para separar el tráfico de Internet y la intranet, es posible agregar directivas de enrutamiento para controlar el uso de configuraciones de túnel dividido o túnel forzado por aplicación. De este modo se ofrece un control más pormenorizado sobre qué aplicaciones pueden interactuar con qué recursos a través del túnel VPN.

  • Rutas de exclusión Always On VPN es compatible con la capacidad de especificar rutas de exclusión que controlan específicamente el comportamiento de enrutamiento para definir qué tráfico debe atravesar la VPN solo y no pasar por la interfaz de red física.

    Nota:

    Las rutas de exclusión funcionan para el tráfico dentro de la misma subred que el cliente, por ejemplo, LinkLocal. Las rutas de exclusión solo funcionan en una configuración de túnel dividido.

  • Compatibilidad con varios dominios y bosques. La plataforma VPN de Always On no depende de los bosques de Active Directory Domain Services (AD DS) ni de la topología de dominio (ni de los niveles funcionales o de esquema asociados), ya que no requiere que el cliente VPN esté unido a un dominio para funcionar. La directiva de grupo no es una dependencia para definir la configuración del perfil de VPN porque no se usa durante la configuración del cliente. Cuando se requiera la integración de autorización de Active Directory, puede lograrlo a través de RADIUS como parte del proceso de autenticación y autorización de EAP.

  • Resolución de nombres de recursos corporativos mediante un nombre corto, un nombre de dominio completo (FQDN) y un sufijo DNS. Always On VPN puede definir de forma nativa uno o varios sufijos DNS como parte del proceso de asignación de direcciones IP y conexión VPN, incluida la resolución de nombres de recursos corporativos para nombres cortos, FQDN o espacios de nombres DNS completos. La VPN de Always On también admite el uso de tablas de directivas de resolución de nombres para proporcionar granularidad de resolución específica del espacio de nombres.

    Nota:

    Evite el uso de sufijos globales, ya que interfieren con la resolución shortname al usar tablas de directivas de resolución de nombres.

Características de alta disponibilidad

A continuación se muestran más opciones para una alta disponibilidad.

Resistencia del servidor y equilibrio de carga. En entornos que en los que se necesita alta disponibilidad o que admiten un gran número de solicitudes, puede aumentar el rendimiento y la resistencia del acceso remoto si configura el equilibrio de carga entre Servidor de directivas de redes (NPS) y habilita la agrupación en clústeres de servidores de acceso remoto.

Resistencia de sitios geográficos. Para una geolocalización basada en IP, puede usar Global Traffic Manager con DNS en Windows Server. Para obtener un equilibrio de carga geográfico más sólido, puede usar soluciones de equilibrio de carga de servidores globales, como Microsoft Azure Traffic Manager.

Pasos siguientes