Configuración de clientes VPN de usuario de punto a sitio: autenticación de certificados (macOS y iOS)

  • Artículo

Este artículo le ayuda a conectarse a Azure Virtual WAN desde un sistema operativo macOS o iOS a través de VPN P2S de usuario para configuraciones que usan la autenticación de certificados. Para conectarse desde un sistema operativo iOS o macOS a través de un túnel OpenVPN, use un cliente OpenVPN. Para conectarse desde un sistema operativo macOS a través de un túnel IKEv2, use el cliente VPN instalado de forma nativa en su equipo Mac.

Antes de empezar

  • Asegúrese de que ha completado los pasos de configuración necesarios en tutorial: Creación de una conexión VPN de usuario P2S mediante Azure Virtual WAN.

  • Generar archivos de configuración de cliente VPN: Los archivos de configuración del cliente VPN que se generan son específicos del perfil de VPN de usuario Virtual WAN que descargue. Virtual WAN tiene dos tipos diferentes de perfiles de configuración: wan-level (global) y hub-level. Si se produce algún cambio en la configuración de VPN de punto a sitio después de generar los archivos o cambia a un tipo de perfil diferente, debe generar archivos de configuración de cliente VPN nuevos y aplicar la nueva configuración a todos los clientes VPN que quiera conectar. Véase Generación de los archivos de configuración de cliente VPN.

  • Obtener certificados: Las secciones siguientes requieren certificados. Asegúrese de que tiene el certificado de cliente y la información del certificado del servidor raíz. Para más información, consulte Generación y exportación de certificados.

IKEv2: cliente nativo: pasos de macOS

Después de generar y descargar el paquete de configuración del cliente VPN, descomprima para ver las carpetas. Al configurar clientes nativos de macOS, se usan los archivos de la carpeta Generic. La carpeta Generic aparece si se ha configurado la opción IKEv2 en la puerta de enlace. Puede encontrar toda la información que necesita para configurar el cliente VPN nativo en la carpeta Generic. Si no ve la carpeta Generic, asegúrese de que IKEv2 es uno de los tipos de túnel y, a continuación, descargue el paquete de configuración de nuevo.

La carpeta Generic contiene los archivos siguientes.

  • VpnSettings.xml, con configuración importante, como el tipo de túnel y la dirección del servidor.
  • VpnServerRoot.cer, que contiene el certificado raíz necesario para validar la puerta de enlace de VPN de Azure durante la configuración de la conexión de punto a sitio.

Siga los pasos siguientes para configurar el cliente de VPN nativo en equipos Mac para realizar una autenticación mediante certificado. Estos pasos deben completarse en todos los equipos Mac que quiera conectar a Azure.

Instalación de certificados

Certificado raíz

  1. Copie el archivo de certificado raíz VpnServerRoot.cer en su Mac. Haga doble clic en el certificado. En función de su sistema operativo, el certificado se instalará automáticamente o verá la página Agregar certificados.
  2. Si ve la página Agregar certificados, en Llaveros: haga clic en las flechas y seleccione login en la lista desplegable.
  3. Haga clic en Agregar para importar el archivo.

Certificado de cliente

Se necesita y se usa un certificado de cliente para la autenticación. Normalmente, puede hacer clic en el certificado de cliente que desea instalar. Para información acerca de cómo instalar un certificado de cliente, consulte Instalación de certificados de cliente.

Comprobación de la instalación del certificado

Compruebe que tanto el cliente como el certificado raíz están instalados.

  1. Abra Acceso a Llaveros.
  2. Vaya a la pestaña Certificados.
  3. Compruebe que tanto el cliente como el certificado raíz están instalados.

Configuración del perfil del cliente VPN

  1. Vaya a Preferencias del sistema -> Red. En la página Red, haga clic en '+' para crear un nuevo perfil de conexión de cliente VPN para una conexión de punto a sitio a la red virtual de Azure.

    Captura de pantalla que muestra la ventana Red para hacer clic en el signo +.

  2. En la página Seleccionar la interfaz, haga clic en las flechas situadas junto a Interfaz:. En la lista desplegable, haga clic en VPN.

    Captura de pantalla que muestra la ventana Red con la opción de seleccionar una interfaz y VPN seleccionada.

  3. Para Tipo de VPN, en el menú desplegable, haga clic en IKEv2. En Nombre de servicio, especifique un nombre descriptivo para el perfil y haga clic en Crear.

    Captura de pantalla que muestra la ventana Red con la opción para seleccionar una interfaz, seleccionar un tipo de VPN y escribir un nombre de servicio.

  4. Vaya al perfil de cliente VPN que descargó. En la carpeta Generic, abra el archivo VpnSettings.xml mediante un editor de texto. En el ejemplo, puede ver que este perfil de cliente VPN se conecta a un perfil de VPN de usuario de nivel WAN y que los VpnTypes son IKEv2 y OpenVPN. Aunque se enumeran dos tipos de VPN, este cliente VPN se conectará a través de IKEv2. Copie el valor de la etiqueta VpnServer.

    Captura de pantalla que muestra el archivo VpnSettings.xml abierto con la etiqueta VpnServer resaltada.

  5. Pegue el valor de la etiqueta VpnServer en los campos Dirección de servidor e Id. remoto del perfil. Deje el campo Id. local vacío. A continuación, haga clic en Configuración de autenticación...

    Captura de pantalla que muestra información del servidor pegada en los campos.

Configuración de los valores de autenticación

Big Sur y versiones posteriores

  1. En la página Configuración de autenticación, en el campo Configuración de autenticación, haga clic en las flechas para seleccionar Certificado.

    Captura de pantalla que muestra la configuración de autenticación con el certificado seleccionado.

  2. Haga clic en Seleccionar para abrir la página Choose An Identity (Elegir una identidad).

    Captura de pantalla del clic en Seleccionar.

  3. En la página Choose An Identity (Elegir una identidad) se muestra una lista de certificados para elegir. Si no está seguro de qué certificado usar, puede seleccionar Mostrar certificado para ver más información sobre cada certificado. Haga clic en el certificado adecuado y haga clic en Continuar.

    Captura de pantalla que muestra las propiedades del certificado.

  4. En la página Configuración de autenticación, compruebe que se muestra el certificado correcto y, a continuación, haga clic en Aceptar.

    Captura de pantalla que muestra el cuadro de diálogo Choose An Identity (Elegir una identidad), donde puede seleccionar el certificado adecuado.

Catalina

Si usa Catalina, siga estos pasos de configuración de autenticación:

  1. En Configuración de autenticación, seleccione Ninguna.

  2. Haga clic en Certificado, haga clic en Seleccionar y haga clic en el certificado de cliente correcto que instaló anteriormente. A continuación, haga clic en Aceptar.

Especificar certificado

  1. En el campo Id. local, especifique el nombre del certificado. En este ejemplo, es P2SChildCertMac.

    Captura de pantalla que muestra el valor de id. local.

  2. Haga clic en Aplicar para guardar los cambios.

Conectar

  1. Haga clic en Conectar para iniciar la conexión de punto a sitio a la red virtual de Azure. Puede que necesite introducir su contraseña del llavero para 'login'.

    Captura de pantalla que muestra el botón Conectar.

  2. Una vez establecida la conexión, el estado se muestra como Conectado y puede ver la dirección IP que se extrajo del grupo de direcciones del cliente VPN.

    Captura de pantalla que muestra Conectado.

Cliente OpenVPN: pasos de macOS

En el ejemplo siguiente se usa TunnelBlick.

Importante

Solo MacOS 10.13 y las versiones posteriores son compatibles con el protocolo OpenVPN.

Nota

La versión 2.6 del cliente OpenVPN aún no se admite.

  1. Descargue e instale un cliente OpenVPN, como TunnelBlick.

  2. Si aún no lo ha hecho, descargue el paquete de perfil de cliente VPN de Azure Portal.

  3. Descomprima el perfil. Abra el archivo de configuración vpnconfig.ovpn desde la carpeta OpenVPN en un editor de texto.

  4. Rellene la sección de certificado cliente de P2S con la clave pública del certificado cliente de P2S en Base64. En los certificados con formato PEM, puede abrir el archivo .cer y copiar la clave de base64 entre los encabezados de certificados.

  5. Rellene la sección de la clave privada con la clave privada del certificado cliente de P2S en Base64. Consulte Exportación de la clave privada en el sitio de OpenVPN para obtener información sobre cómo extraer una clave privada.

  6. No cambie los demás campos. Use los datos de la configuración de entrada del cliente para conectarse a la VPN.

  7. Haga doble clic en el archivo de perfil para crear el perfil en Tunnelblick.

  8. Inicie Tunnelblick desde la carpeta de aplicaciones.

  9. Haga clic en el icono de Tunneblick en la bandeja del sistema y seleccione Conectar.

Cliente OpenVPN: pasos de iOS

En el ejemplo siguiente se usa OpenVPN Connect desde App Store.

Importante

Solo iOS 11.0 y las versiones posteriores son compatibles con el protocolo OpenVPN.

Nota:

La versión 2.6 del cliente OpenVPN aún no se admite.

  1. Instale el cliente de OpenVPN (versión 2,4 o posterior) desde App Store. La versión 2.6 aún no se admite.

  2. Si aún no lo ha hecho, descargue el paquete de perfil de cliente VPN de Azure Portal.

  3. Descomprima el perfil. Abra el archivo de configuración vpnconfig.ovpn desde la carpeta OpenVPN en un editor de texto.

  4. Rellene la sección de certificado cliente de P2S con la clave pública del certificado cliente de P2S en Base64. En los certificados con formato PEM, puede abrir el archivo .cer y copiar la clave de base64 entre los encabezados de certificados.

  5. Rellene la sección de la clave privada con la clave privada del certificado cliente de P2S en Base64. Consulte Exportación de la clave privada en el sitio de OpenVPN para obtener información sobre cómo extraer una clave privada.

  6. No cambie los demás campos.

  7. Envíe por correo electrónico el archivo de perfil (.ovpn) a su cuenta de correo electrónico configurada en la aplicación de correo en su iPhone.

  8. Abra el correo electrónico en la aplicación de correo del iPhone y pulse en el archivo adjunto.

    La captura de pantalla muestra un mensaje listo para ser enviado.

  9. Pulse More (Más) si no ve la opción Copy to OpenVPN (Copiar a OpenVPN).

    Captura de pantalla que muestra que hay que tocar Más.

  10. Pulse Copy to OpenVPN (Copiar a OpenVPN).

    Captura de pantalla que muestra Copiar en OpenVPN.

  11. Pulse en ADD en la página Import Profile (Importar perfil).

    Captura de pantalla que muestra Importar perfil.

  12. Pulse en ADD en la página Imported Profile (Perfil importado).

    Captura de pantalla que muestra Perfil importado.

  13. Inicie la aplicación OpenVPN y deslice el conmutador de la página Profiles (Perfiles) a la derecha para conectar.

    Captura de pantalla que muestra Deslizar para conectar.

Pasos siguientes

Tutorial: Creación de una conexión VPN de usuario de punto a sitio mediante Azure Virtual WAN.