Descarga de perfiles de VPN globales y de centro de conectividad para clientes VPN de usuario
Azure Virtual WAN ofrece dos tipos de perfiles de conexión para clientes VPN de usuario: perfiles globales y perfiles de centro de conectividad. El tipo de perfil que elija dependerá de si desea que el cliente VPN se conecte a un perfil de nivel WAN con equilibrio de carga geográfico (perfil global) o desea restringir el cliente VPN para conectarse solo a un centro determinado (perfil de centro de conectividad). Este artículo le ayudará a generar archivos de configuración de cliente VPN para ambos tipos de perfiles.
Perfiles globales
El perfil global asociado a una configuración de VPN de usuario apunta a un Administrador de tráfico global (GTM). El Administrador de tráfico global incluye todos los centros de VPN de usuario activos que usan esa configuración de VPN de usuario. Sin embargo, puede optar por excluir centros de Traffic Manager global si es necesario. Un usuario conectado al perfil global se dirige al centro más cercano a la ubicación geográfica del usuario. Esto es especialmente útil si tiene usuarios que se desplazan entre varias ubicaciones con frecuencia.
Por ejemplo, una configuración de VPN de usuario está asociada a dos centros de conectividad diferentes para la misma red WAN virtual, una en Oeste de EE. UU. y otra en Sudeste Asiático. Si un usuario se conecta al perfil global asociado a la configuración de VPN de usuario, se conectará al centro de conectividad de Virtual WAN más cercano en función de su ubicación.
Importante
Si establece una configuración de VPN de punto a sitio que se use para un perfil global a fin de autenticar a los usuarios mediante el protocolo RADIUS, asegúrese de que "Use Remote/On-premises RADIUS server" se haya activado para todas las puertas de enlace de VPN de punto a sitio mediante esa configuración. Además, asegúrese de que el servidor RADIUS se haya configurado para aceptar solicitudes de autenticación de las direcciones IP de proxy de RADIUS de todas las puertas de enlace de VPN de punto a sitio mediante esta configuración de VPN.
Descarga de un perfil de VPN global
Para generar y descargar archivos de configuración de perfil de cliente VPN, siga estos pasos:
Vaya a Virtual WAN.
En el panel de la izquierda, seleccione Configuraciones de VPN de usuario.
En la página Configuraciones de VPN de usuario, verá todas las configuraciones de VPN de usuario que ha creado para la red WAN virtual. En la columna Hub, verá los centros de conectividad asociados a cada configuración de VPN de usuario. Haga clic en > para expandir y ver los nombres de centro de conectividad.
En el ejemplo siguiente, verá varias filas con centros de conectividad que usan la misma configuración de VPN de usuario. En un perfil global, cuando los centros usan la misma configuración de VPN de usuario, puede hacer clic en cualquier fila de centro de conectividad que tenga la configuración de VPN de usuario deseada. Los archivos de perfil que se generan a partir de esta página se ajustan a la configuración de VPN de usuario, no a un centro de conectividad determinado. Si desea limitar la conexión de los usuarios de VPN a un centro de conectividad (no quiere usar un perfil global), siga los pasos del perfil de centro de conectividad en su lugar.
En el ejemplo, hemos seleccionado la línea que indica Hub2, pero al seleccionar Hub3 o Hub1 se generarían los mismos archivos de configuración de perfil. Sin embargo, si seleccionamos la línea que indica Hub6, los archivos de configuración del perfil serían diferentes porque Hub6 usa una configuración de VPN de usuario diferente.
Haga clic en una línea que contenga la configuración de VPN de usuario que desea usar. Esta acción resaltará toda la línea. Haga clic en Download virtual WAN user VPN profile.
En la página Download virtual WAN user VPN, seleccione EAPTLS y Generate and download profile. Se genera un paquete de perfil (archivo zip) que contiene las opciones de configuración del cliente VPN y que se descarga en el equipo. El contenido del paquete dependerá de los centros de conectividad y las opciones de autenticación y tipo de túnel para la configuración seleccionada.
Inclusión o exclusión de un centro de un perfil global
De forma predeterminada, cada centro de conectividad que usan la misma configuración de VPN de usuario se incluirá en el perfil de VPN global que se genere y descargue. No obstante, puede excluir un centro de conectividad del perfil de VPN global. Si lo hace, el cliente VPN no tendrá la carga equilibrada para conectarse a la puerta de enlace de ese centro de conectividad.
Para comprobar si un centro de conectividad está incluido en el perfil de VPN global, vaya a la Virtual WAN.
En la página Información general, seleccione Centros de conectividad.
En la página Centros de conectividad, haga clic en el centro de conectividad.
En la página Virtual Hub, en el panel de la izquierda, seleccione User VPN (Point to site).
En la página VPN de usuario (de punto a sitio), consulte Estado de los datos adjuntos de la puerta de enlace para determinar si este centro de conectividad está incluido en el perfil de VPN global. Si el estado es asociado, el centro está incluido. Si el estado es desasociado, el centro no está incluido.
Para incluir o excluir (adjuntar o desasociar) el centro de conectividad del perfil de VPN global, seleccione Include/Exclude Gateway from Global Profile.
En la página Incluir o excluir, haga una de estas opciones.
Haga clic en Exclude si desea quitar la puerta de enlace de este centro de conectividad del perfil de VPN de usuario global para Virtual WAN. Los usuarios que usan el perfil de centro de conectividad podrán conectarse a la puerta de enlace de este centro de conectividad. Los usuarios que usan el perfil global no podrán conectarse a la puerta de enlace de este centro de conectividad.
Haga clic en Include si desea incluir la puerta de enlace de este centro en el perfil de VPN de usuario global para Virtual WAN. Los usuarios que usan este perfil global podrán conectarse a la puerta de enlace de este centro de conectividad.
Procedimientos recomendados de perfil global
Incorporación de varios certificados de validación de servidor
Esta sección aborda las conexiones con el tipo de túnel OpenVPN y el cliente VPN de Azure 2.1963.44.0 o una versión posterior.
Al configurar una puerta de enlace P2S de centro de conectividad, Azure asigna un certificado interno a la puerta de enlace. Esta información es diferente a la del certificado raíz que se especifica cuando desea usar la autenticación de certificados como método de autenticación. El certificado interno que se asigna al centro de conectividad se usa con todos los tipos de autenticación. Este valor se representa en los archivos de configuración de perfil que genere como servervalidation/cert/hash. El cliente VPN usa este valor como parte del proceso de conexión.
Si tiene varios centros de conectividad en regiones geográficas diferentes, cada centro puede usar un certificado de validación de servidor de nivel de Azure diferente. El perfil global contiene el valor hash del certificado de validación del servidor para todos los centros de conectividad. Esto significa que si el certificado de ese centro de conectividad no funciona correctamente por cualquier motivo, el cliente no posee el valor hash de certificado de validación de servidor necesario para los demás centros de conectividad.
Importante
La configuración del cliente VPN de Azure con el valor hash de certificado de todos los centros de conectividad solo es necesaria si los centros tienen diferentes emisores raíz del servidor.
Como procedimiento recomendado, actualice el archivo de configuración del perfil de cliente VPN para que incluya el valor hash del certificado de todos los centros d3e conectividad asociados al perfil global y, a continuación, configure el cliente VPN de Azure utilizando el archivo actualizado.
Genere y descargue los archivos de perfil global. Use un editor de texto para abrir el archivo azurevpnconfig.xml.
Dado el ejemplo xml siguiente, configure el cliente VPN de Azure mediante el archivo de configuración de perfil global que contiene el hash de certificado de validación del servidor para cada centro de conectividad.
</protocolconfig> <serverlist> <ServerEntry> <displayname i:nil="true" /> <fqdn>wan.kycyz81dpw483xnf3fg62v24f.vpn.azure.com</fqdn> </ServerEntry> </serverlist> <servervalidation> <cert> <hash>A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436</hash> <issuer i:nil="true" /> </cert> <cert> <hash>59470697201baejC4B2D7D66D40C6DD2FB19C5436</hash> <issuer i:nil="true" /> </cert> <cert> <hash>cab20a7f63f00f2bae76202gdfe36db3a03a9cb9</hash> <issuer i:nil="true" /> </cert>
Perfiles de centro de conectividad
Use este tipo de perfil cuando desee que los usuarios de VPN solo puedan conectarse a un centro determinado. Los archivos que genere y descargue en el nivel de centro de conectividad tienen una configuración diferente a los archivos que genere y descargue en el perfil global de nivel WAN.
Descarga de un perfil de VPN de centro de conectividad
Para generar y descargar archivos de configuración de perfil de cliente VPN, siga estos pasos:
Vaya al centro de conectividad virtual.
En el panel de la izquierda, seleccione VPN de usuario (de punto a sitio).
Seleccione Descargar el perfil de VPN de usuario de centro virtual.
En la página de descarga, seleccione EAPTLS y, a continuación, Generar y descargar perfil. Se genera un paquete de perfil (archivo zip) que contiene las opciones de configuración del cliente y que se descarga en el equipo. El contenido del paquete depende del centro de conectividad y del tipo de opciones de autenticación y túnel de la configuración.
Pasos siguientes
Para más información sobre VPN de usuario (de punto a sitio), consulte Creación de conexiones VPN de punto a sitio de usuario.