Conceptos de VPN de usuario (de punto a sitio)

En el siguiente artículo se describen los conceptos y las opciones configurables por el cliente asociadas a las configuraciones y puertas de enlace de punto a sitio (P2S) de VPN de usuario de Virtual WAN. Este artículo se divide en varias secciones, incluidas las que tratan sobre los conceptos de configuración del servidor VPN de punto a sitio y sobre los conceptos de puerta de enlace de VPN de punto a sitio.

Conceptos de configuración del servidor VPN

Las configuraciones del servidor VPN definen los parámetros de autenticación, cifrado y grupo de usuarios usados para autenticar a los usuarios, asignar direcciones IP y cifrar el tráfico. Las puertas de enlace P2S están asociadas a configuraciones de servidor VPN de punto a sitio.

Conceptos comunes

Concepto Descripción Notas
Tipo de túnel Protocolos usados entre la puerta de enlace de VPN de punto a sitio y la conexión de usuarios. Parámetros disponibles: IKEv2, OpenVPN o ambos. En el caso de las configuraciones del servidor IKEv2, solo está disponible la autenticación basada en certificados y RADIUS. En el caso de las configuraciones del servidor OpenVPN, están disponibles la autenticación RADIUS, basada en certificados y basada en Azure Active Directory. Además, para OpenVPN solo se admiten varios métodos de autenticación en la misma configuración del servidor (por ejemplo, certificado y RADIUS en la misma configuración). IKEv2 también tiene un límite de nivel de protocolo de 255 rutas, mientras que OpenVPN tiene un límite de 1000 rutas.
Parámetros IPsec personalizados Parámetros de cifrado que usa la puerta de enlace de VPN de punto a sitio para puertas de enlace que usan IKEv2. Para conocer los parámetros disponibles, vea Parámetros de IPsec personalizados para VPN de punto a sitio. Este parámetro no se aplica a las puertas de enlace que usan la autenticación OpenVPN.

Conceptos sobre la autenticación de certificados de Azure

Los conceptos siguientes están relacionados con las configuraciones de servidor que usan la autenticación basada en certificados.

Concepto Descripción Notas
Nombre del certificado raíz Nombre que usa Azure para identificar los certificados raíz del cliente. Se puede configurar para que sea cualquier nombre. Es posible que tenga varios certificados raíz.
Datos de certificado público Certificados raíz desde los que se emiten los certificados de cliente. Escriba la cadena correspondiente a los datos públicos del certificado raíz. Para conocer un ejemplo de cómo obtener datos públicos de certificados raíz, vea el paso 8 en el siguiente documento sobre la generación de certificados.
Certificado revocado Nombre que usa Azure para identificar los certificados que se van a revocar. Se puede configurar para que sea cualquier nombre.
Huella digital de certificado revocada Huella digital de los certificados de usuario final que no deben poder conectarse a la puerta de enlace. La entrada de este parámetro es una o varias huellas digitales de certificado. Cada certificado de usuario debe revocarse individualmente. La revocación de un certificado intermedio o un certificado raíz no revocará automáticamente todos los certificados secundarios.

Conceptos de la autenticación RADIUS

Si una puerta de enlace de VPN de punto a sitio está configurada para usar la autenticación basada en RADIUS, la puerta de enlace de VPN de punto a sitio actúa como proxy de servidor de directivas de red (NPS) para reenviar solicitudes de autenticación a los servidores RADIUS del cliente. Las puertas de enlace pueden usar uno o dos servidores RADIUS para procesar solicitudes de autenticación. Las solicitudes de autenticación tienen la carga equilibrada automáticamente en los servidores RADIUS si se proporcionan varias.

Concepto Descripción Notas
Secreto del servidor principal Secreto de servidor configurado en el servidor RADIUS principal del cliente que el protocolo RADIUS usa para el cifrado. Cualquier cadena de secreto compartida.
Dirección IP del servidor principal Dirección IP privada del servidor RADIUS Esta IP debe ser una dirección IP privada accesible mediante el centro virtual. Asegúrese de que la conexión que hospeda el servidor RADIUS se propaga a defaultRouteTable del centro con la puerta de enlace.
Secreto de servidor secundario Secreto de servidor configurado en el segundo servidor RADIUS que el protocolo RADIUS usa para el cifrado. Cualquier cadena de secreto compartida que se proporciona.
Dirección IP del servidor secundario Dirección IP privada del servidor RADIUS Esta IP debe ser una dirección IP privada accesible mediante el centro virtual. Asegúrese de que la conexión que hospeda el servidor RADIUS se propaga a defaultRouteTable del centro con la puerta de enlace.
Certificados raíz del servidor RADIUS Datos públicos del certificado raíz del servidor RADIUS. Este campo es opcional. Escriba las cadenas correspondientes a los datos públicos del certificado raíz RADIUS. Puede escribir varios certificados raíz. Todos los certificados de cliente presentados para la autenticación deben emitirse a partir de los certificados raíz especificados. Para conocer un ejemplo de cómo obtener datos públicos de certificados, vea el paso 8 en el siguiente documento sobre la generación de certificados.
Certificados de cliente revocados Huellas digitales de certificados de cliente RADIUS revocados. Los clientes que presentan certificados revocados no podrán conectarse. Este campo es opcional. Cada certificado de usuario debe revocarse individualmente. La revocación de un certificado intermedio o un certificado raíz no revocará automáticamente todos los certificados secundarios.

Conceptos sobre la autenticación de Azure Active Directory

Los conceptos siguientes están relacionados con las configuraciones de servidor que usan la autenticación basada en Azure Active Directory. La autenticación basada en Azure Active Directory solo está disponible si el tipo de túnel es OpenVPN.

Concepto Descripción Parámetros disponibles
Público Id. de aplicación de la aplicación empresarial de VPN de Azure registrada en el inquilino de Azure AD. Para obtener más información sobre cómo registrar la aplicación de VPN de Azure en el inquilino y buscar el id. de aplicación, vea Configuración de un inquilino para conexiones de protocolo OpenVPN de VPN de usuario P2S.
Emisor Dirección URL completa correspondiente al servicio de token de seguridad (STS) asociado a Active Directory. Cadena con el siguiente formato: https://sts.windows.net/<your Directory ID>/
Inquilino de Azure Active Directory Dirección URL completa correspondiente al inquilino de Active Directory que se usa para la autenticación en la puerta de enlace. Varía en función de la nube en la que se implementa el inquilino de Active Directory. Vea más abajo para obtener detalles por nube.

Identificador de inquilino de Azure AD

En la tabla siguiente se describe el formato de la dirección URL de Azure Active Directory en función de la nube en la que se implementa Azure Active Directory.

Nube Formato de parámetros
Nube pública de Azure https://login.microsoftonline.com/{AzureAD TenantID}
Azure Government Cloud (Nube de Azure Government) https://login.microsoftonline.us/{AzureAD TenantID}
Nube de China 21Vianet https://login.chinacloudapi.cn/{AzureAD TenantID}

Conceptos del grupo de usuarios (multigrupo)

Los conceptos siguientes relacionados con los grupos de usuarios (multigrupo) en Virtual WAN. Los grupos de usuarios permiten asignar diferentes direcciones IP para conectar a los usuarios en función de sus credenciales, lo que le permite configurar listas de control de acceso (ACL) y reglas de firewall a fin de proteger las cargas de trabajo. Para obtener más información y ejemplos, vea Conceptos de multigrupo.

La configuración del servidor contiene las definiciones de grupos y, después, los grupos se usan en puertas de enlace para asignar grupos de configuración del servidor a direcciones IP.

Concepto Descripción Notas
Grupo de usuarios o grupo de directivas Un grupo de usuarios o un grupo de directivas es una representación lógica de un grupo de usuarios a los que se deben asignar direcciones IP del mismo grupo de direcciones. Para obtener más información, vea acerca de los grupos de usuarios.
Grupo predeterminado Cuando los usuarios intentan conectarse a una puerta de enlace mediante la característica de grupo de usuarios, los usuarios que no coinciden con ningún grupo asignado a la puerta de enlace se consideran automáticamente parte del grupo predeterminado y se les asigna una dirección IP asociada a ese grupo. Cada grupo de una configuración de servidor se puede especificar como un grupo predeterminado o un grupo no predeterminado y esta configuración no se puede cambiar una vez creado el grupo. Se puede asignar exactamente un grupo predeterminado a cada puerta de enlace de VPN de punto a sitio, incluso si la configuración del servidor asignado tiene varios grupos predeterminados.
Prioridad de grupo Cuando se asignan varios grupos a una puerta de enlace, un usuario que se conecta puede presentar credenciales que coincidan con varios grupos. Virtual WAN procesa los grupos asignados a una puerta de enlace en orden creciente de prioridad. Las prioridades son enteros positivos y los grupos con prioridades numéricas más bajas se procesan en primer lugar. Cada grupo debe tener una prioridad distinta.
Configuración y miembros del grupo Los grupos de usuarios constan de miembros. Los miembros no se corresponden con usuarios individuales, sino que definen los criterios o las condiciones de coincidencia usados para determinar de qué grupo forma parte un usuario que se conecta. Cuando se asigna un grupo a una puerta de enlace, un usuario que se conecta cuyas credenciales coinciden con los criterios especificados para uno de los miembros del grupo se considera que forma parte de ese grupo y se le puede asignar una dirección IP adecuada. Para obtener una lista completa de los criterios disponibles, vea configuración de grupo disponible.

Conceptos de configuración de la puerta de enlace

En las secciones siguientes se describen los conceptos asociados a la puerta de enlace de VPN de punto a sitio. Cada puerta de enlace está asociada a una configuración de servidor VPN y tiene muchas otras opciones configurables.

Conceptos generales de la puerta de enlace

Concepto Descripción Notas
Unidad de escalado de puerta de enlace Una unidad de escalado de puerta de enlace define cuánto rendimiento agregado y usuarios simultáneos puede admitir una puerta de enlace de VPN de punto a sitio. Las unidades de escalado de puerta de enlace pueden oscilar entre 1 y 200, lo que admite entre 500 y 100 000 usuarios por puerta de enlace.
Configuración del servidor de P2S Define los parámetros de autenticación que usa la puerta de enlace de VPN de punto a sitio para autenticar a los usuarios entrantes. Cualquier configuración del servidor P2S asociada a la puerta de enlace de Virtual WAN. La configuración del servidor debe crearse correctamente para que una puerta de enlace haga referencia a ella.
Preferencia de enrutamiento Le permiten elegir cómo se enruta el tráfico entre Azure e Internet. Puede optar por enrutar el tráfico mediante la red de Microsoft o una red de ISP (red pública). Para obtener más información sobre esta configuración, vea ¿Qué es la preferencia de enrutamiento? Esta configuración no se puede modificar después de la creación de la puerta de enlace.
Servidores DNS personalizados Las direcciones IP de los servidores DNS a los que se conectan los usuarios deben reenviar las solicitudes DNS. Cualquier dirección IP enrutable.
Propagar la ruta predeterminada Si el centro de Virtual WAN está configurado con una ruta predeterminada 0.0.0.0/0 (ruta estática en la tabla de rutas predeterminada o 0.0.0.0/0 anunciada desde el entorno local), esta configuración controla si la ruta 0.0.0.0/0 se anuncia para conectar a los usuarios. Este campo se puede establecer en true o false.

Conceptos específicos de RADIUS

Concepto Descripción Notas
Uso de la configuración de un servidor RADIUS remoto o local Controla si Virtual WAN puede reenviar paquetes de autenticación RADIUS a servidores RADIUS hospedados en el entorno local o en una instancia de Virtual Network conectada a otro centro virtual. Esta configuración tiene dos valores, true o false. Cuando Virtual WAN está configurado para usar la autenticación basada en RADIUS, la puerta de enlace P2S de Virtual WAN actúa como proxy RADIUS que envía solicitudes de autenticación a los servidores RADIUS. Esta configuración (si es true) permite a la puerta de enlace de Virtual WAN comunicarse con los servidores RADIUS implementados en el entorno local o en una instancia de Virtual Network conectada a un centro diferente. Si es false, Virtual WAN solo podrá autenticarse con servidores RADIUS hospedados en instancias de Virtual Network conectadas al centro con la puerta de enlace.
IP del proxy RADIUS Los paquetes de autenticación RADIUS que envía la puerta de enlace de VPN de punto a sitio al servidor RADIUS tienen IP de origen que especifica el campo IP del proxy RADIUS. Estas IP deben aparecer en la lista de permitidas como clientes RADIUS en el servidor RADIUS. Este parámetro no se puede configurar directamente. Si "Usar servidor RADIUS remoto o local" está establecido en true, las IP del proxy RADIUS se configuran automáticamente como direcciones IP de los grupos de direcciones de cliente especificados en la puerta de enlace. Si este valor es false, las IP son direcciones IP desde dentro del espacio de direcciones del centro. Las IP del proxy RADIUS se pueden encontrar en Azure Portal en la página de la puerta de enlace de VPN de punto a sitio.

Conceptos de configuración de la conexión

Puede haber una o varias configuraciones de conexión en una puerta de enlace de VPN de punto a sitio. Cada configuración de conexión tiene una configuración de enrutamiento (vea debajo para obtener advertencias) y representa un grupo o segmento de usuarios a los que se les asignan direcciones IP de los mismos grupos de direcciones.

Concepto Descripción Notas
Nombre de la configuración Nombre de una configuración de VPN de punto a sitio Se puede proporcionar cualquier nombre. Puede tener más de una configuración de conexión en una puerta de enlace si usa la característica de grupos de usuarios o multigrupo. Si no usa esta característica, solo puede haber una configuración por puerta de enlace.
Grupos de usuarios Grupos de usuarios que corresponden a una configuración Cualquier grupo de usuarios al que se hace referencia en la configuración del servidor VPN. Este parámetro es opcional. Para obtener más información, vea acerca de los grupos de usuarios.
Address Pools Los grupos de direcciones son direcciones IP privadas que se asignan a los usuarios que se conectan. Los grupos de direcciones se pueden especificar como cualquier bloque CIDR que no se superponga con ningún espacio de direcciones del centro virtual, direcciones IP usadas en instancias de Virtual Network conectadas a Virtual WAN o direcciones anunciadas desde el entorno local. En función de la unidad de escalado especificada en la puerta de enlace, es posible que necesite más de un bloque CIDR. Para obtener más información, vea acerca de los grupos de direcciones.
Configuración de enrutamiento Cada conexión al centro virtual tiene una configuración de enrutamiento, que define a qué tabla de rutas está asociada la conexión y a qué tablas de rutas se propaga la tabla de rutas. Todas las conexiones de rama al mismo centro (ExpressRoute, VPN, NVA) deben asociarse a defaultRouteTable y propagarse al mismo conjunto de tablas de rutas. Tener diferentes propagaciones para las conexiones de ramas puede dar lugar a comportamientos de enrutamiento inesperados, ya que Virtual WAN elegirá la configuración de enrutamiento de una rama y la aplicará a todas las ramas y, por tanto, a las rutas aprendidas del entorno local.

Pasos siguientes

Agregue vínculos aquí a un par de artículos para realizar los pasos siguientes.