Configuración de grupos de usuarios y grupos de direcciones IP para VPN de usuario P2S

Las VPN P2S de usuario pueden brindar la posibilidad de asignar a los usuarios direcciones IP de grupos de direcciones específicos en función de sus credenciales de identidad o autenticación mediante la creación de grupos de usuarios. Este artículo le ayuda a configurar grupos de usuarios y miembros de grupo y a clasificar los grupos. Para más información sobre cómo trabajar con grupos de usuarios, consulte Acerca de los grupos de usuarios.

Requisitos previos

Antes de empezar, asegúrese de que ha configurado una red WAN virtual que usa uno o varios métodos de autenticación. Para conocer los pasos, consulte Tutorial: Creación de una conexión VPN P2S de usuario de Virtual WAN.

Flujo de trabajo

En este artículo se usa el siguiente flujo de trabajo para ayudarle a configurar grupos de usuarios y grupos de direcciones IP para la conexión VPN P2S.

1. Consideración de los requisitos de configuración

2. Elección de un mecanismo de autenticación

3. Creación de un grupo de usuarios

4. Configuración de la puerta de enlace

Paso 1: Consideración de los requisitos de configuración

En esta sección se enumeran los requisitos de configuración y las limitaciones de los grupos de usuarios y los grupos de direcciones IP.

• Grupos máximos: Una única puerta de enlace de VPN P2S puede hacer referencia a hasta 90 grupos.

• Miembros máximos: El número total de miembros de directiva o grupo en todos los grupos asignados a una puerta de enlace es 390.

• Varias asignaciones: Si se asigna un grupo a varias configuraciones de conexión en la misma puerta de enlace, y sus miembros se cuentan varias veces. Ejemplo: Un grupo de directivas con 10 miembros asignados a tres configuraciones de conexión VPN cuenta como tres grupos con 30 miembros, no un grupo con 10 miembros.

• Usuarios simultáneos: El número total de usuarios simultáneos viene determinado por la unidad de escalado de la puerta de enlace y el número de direcciones IP asignadas a cada grupo de usuarios. Éste no está determinado por el número de miembros de directiva o grupo asociados a la puerta de enlace.

• Una vez creado un grupo como parte de una configuración de servidor VPN, no se puede modificar el nombre ni la configuración predeterminada de un grupo.

• Los nombres de grupo deben ser distintos.

• Los grupos que tienen menor prioridad numérica se procesan antes que los grupos con mayor prioridad numérica. Si un usuario que se conecta es miembro de varios grupos, la puerta de enlace lo considera miembro del grupo con prioridad numérica más baja al asignar direcciones IP.

• Los grupos que usan las instancias de VPN Gateway de punto a sitio existentes no se pueden eliminar.

• Puede reordenar las prioridades de los grupos haciendo clic en los botones de flecha arriba y abajo correspondientes a ese grupo.

• Los grupos de direcciones no se pueden superponer con los grupos de direcciones que se usan en otras configuraciones de conexión (de las mismas puertas de enlace o diferentes) en la misma Virtual WAN.

• Los grupos de direcciones tampoco se pueden superponer con espacios de direcciones de red virtual, espacios de direcciones de centro de conectividad virtual o direcciones locales.

• Los grupos de direcciones no pueden ser menores de /24. Por ejemplo, no se puede asignar un intervalo de /25 o /26.

Paso 2: Elección del mecanismo de autenticación

En las secciones siguientes se enumeran los mecanismos de autenticación disponibles que se pueden usar al crear grupos de usuarios.

Grupos de Microsoft Entra

Para crear y administrar grupos de Active Directory, consulte Administración de grupos y pertenencia a grupos de Microsoft Entra.

• El identificador de objeto de grupo de Microsoft Entra (y no el nombre del grupo) debe especificarse como parte de la configuración de VPN de usuario de punto a sitio de Virtual WAN.
• Los usuarios de Microsoft Entra se pueden asignar a varios grupos de Active Directory, pero Virtual WAN considera que los usuarios forman parte del grupo de usuarios o directivas de Virtual WAN que tiene la prioridad numérica más baja.

RADIUS: Atributos específicos del proveedor de NPS

Para información sobre la configuración de atributos específicos del proveedor del servidor de directivas de red (NPS), consulte RADIUS: configuración de NPS para atributos específicos del proveedor NPS.

Certificados

Para generar certificados autofirmados, consulte Generación y exportación de certificados para conexiones VPN P2S de usuario: PowerShell. Para generar un certificado con un nombre común específico, cambie el parámetro Subject al valor adecuado (por ejemplo, xx@domain.com) al ejecutar el comando de PowerShell New-SelfSignedCertificate. Por ejemplo, puede generar certificados con el siguiente Asunto:

Campo de certificado digital	Valor	descripción
Asunto	CN= cert@marketing.contoso.com	certificado digital para el departamento de marketing
Asunto	CN= cert@sale.contoso.com	certificado digital para departamento de ventas
Asunto	CN= cert@engineering.contoso.com	certificado digital para el departamento de ingeniería
Asunto	CN= cert@finance.contoso.com	certificado digital para el departamento de finanzas

Nota:

La característica de grupo de direcciones múltiples con autenticación de certificado digital se aplica a un grupo de usuarios específico en función del campo Asunto. Los criterios de selección no funcionan con certificados de nombre alternativo del firmante (SAN).

Paso 3: Creación de un grupo de usuarios

Use los siguientes pasos para crear un grupo de usuarios.

1. En Azure Portal, vaya a la página Virtual WAN -> Configuraciones de VPN de usuario.

2. En la página Configuraciones de VPN de usuario, seleccione la configuración de VPN de usuario que quiere editar y, luego, seleccione Editar configuración.

3. En la página Editar la configuración de VPN de usuario, abra la pestaña Grupos de usuarios.

   

4. Seleccione Sí para habilitar grupos de usuarios. Cuando esta configuración del servidor se asigna a una puerta de enlace de VPN P2S, a los usuarios que forman parte de los mismos grupos de usuarios se les asignan direcciones IP de los mismos grupos de direcciones. A los usuarios que forman parte de diferentes grupos se les asignan direcciones IP de diferentes grupos. Al usar esta característica, debe seleccionar el grupo Predeterminado para uno de los grupos que cree.

5. Para empezar a crear un nuevo grupo de usuarios, rellene el parámetro name con el nombre del primer grupo.

6. Junto a Nombre del grupo, seleccione Configurar grupo para abrir la página Configurar las opciones del grupo.

   

7. En la página Configurar las opciones del grupo, rellene los valores de cada miembro que quiera incluir en este grupo. Un grupo puede contener varios miembros del grupo.

   • Cree un nuevo miembro rellenando el campo Nombre.

   • Seleccione el valor de Tipo de configuración de autenticación en la lista desplegable. La lista desplegable se rellena automáticamente en función de los métodos de autenticación seleccionados para la configuración de VPN de usuario.

   • Escriba el valor. Para ver los valores válidos, consulte Acerca de los grupos de usuarios.

   

8. Cuando haya terminado de crear la configuración del grupo, seleccione Agregar y Aceptar.

9. Cree más grupos.

10. Seleccione al menos un grupo como predeterminado. Los usuarios que no forman parte de ningún grupo especificado en una puerta de enlace se asignarán al grupo predeterminado de la puerta de enlace. Tenga en cuenta también que no puede modificar el estado "predeterminado" de un grupo una vez creado el grupo.

    

11. Seleccione las flechas para ajustar el orden de prioridad del grupo.

    

12. Seleccione Revisar y crear para crearlo y configurarlo. Después de crear la configuración de VPN de usuario, configure las opciones de configuración del servidor de puerta de enlace para usar la característica de grupos de usuarios.

Paso 4: Configuración de la puerta de enlace

1. En el portal, vaya al centro de conectividad virtual y seleccione VPN de usuario (punto a sitio).

2. En la página de punto a sitio, seleccione el vínculo Unidades de escalado de puerta de enlace para abrir Editar la instancia de VPN Gateway de usuario. Ajuste el valor de Unidades de escalado de puerta de enlace de la lista desplegable para determinar el rendimiento de la puerta de enlace.

3. En Configuración del servidor de punto a sitio, seleccione la configuración de VPN de usuario que configuró para grupos de usuarios. Si aún no ha configurado estas opciones, consulte Creación de un grupo de usuarios.

4. Cree una nueva configuración de punto a sitio escribiendo un nuevo nombre de configuración.

5. Seleccione uno o varios grupos para asociar a esta configuración. A todos los usuarios que forman parte de grupos asociados a esta configuración se les asignarán direcciones IP de los mismos grupos de direcciones IP.

   En todas las configuraciones de esta puerta de enlace, debe tener seleccionado exactamente un grupo de usuarios predeterminado.

   

6. En Grupos de direcciones, seleccione Configurar para abrir la página Especificar grupos de direcciones. En esta página, asocie nuevos grupos de direcciones a esta configuración. A los usuarios que son miembros de grupos asociados a esta configuración se les asignarán direcciones IP de los grupos especificados. En función del número de Unidades de escalado de puerta de enlace asociadas a la puerta de enlace, es posible que tenga que especificar más de un grupo de direcciones. Los grupos de direcciones no pueden ser menores de /24. Por ejemplo, no puede asignar un intervalo de /25 o /26 si desea tener un intervalo de grupos de direcciones más pequeño para los grupos de usuarios. El prefijo mínimo es /24. Seleccione Agregar y Aceptar para guardar los grupos de direcciones.

   

7. Necesita una configuración para cada conjunto de grupos a los que se deben asignar direcciones IP de distintos grupos de direcciones. Repita los pasos para crear más configuraciones. Consulte Paso 1 para conocer los requisitos y limitaciones relacionados con los grupos de direcciones y los grupos.

8. Después de crear las configuraciones que necesita, seleccione Editar y, luego, en Confirmar para guardar la configuración.

   

Solución de problemas

1. ¿Ha verificado que los paquetes tengan los atributos correspondientes?: Wireshark u otra captura de paquetes se pueden ejecutar en modo NPS y los paquetes se pueden descifrar mediante una clave compartida. Puede validar que los paquetes se envían desde el servidor RADIUS hasta la puerta de enlace de VPN de punto a sitio con la cuenta VSA de RADIUS correcta configurada.
2. ¿Se les está asignando una IP errónea a los usuarios?: Configure y compruebe el registro de eventos NPS para la autenticación tanto si los usuarios coinciden con las directivas como si no.
3. ¿Tiene problemas con los grupos de direcciones? Cada grupo de direcciones se especifica en la puerta de enlace. Los grupos de direcciones se dividen en dos grupos y se asignan a cada instancia activa-activa de un par de puerta de enlace de VPN de punto a sitio. Estas direcciones divididas deben aparecer en la tabla de rutas efectiva. Por ejemplo, si especifica 10.0.0.0/24, debería ver dos rutas /25 en la tabla de rutas efectiva. Si no es así, intente cambiar los grupos de direcciones definidos en la puerta de enlace.
4. ¿El cliente P2S no puede recibir rutas? Asegúrese de que todas las configuraciones de conexión VPN de punto a sitio están asociadas a defaultRouteTable y se propagan al mismo conjunto de tablas de rutas. Este escenario debe configurarse automáticamente si usa el portal, pero si usa REST, PowerShell o la CLI, asegúrese de que todas las propagaciones y asociaciones se establezcan correctamente.
5. ¿No se puede habilitar el grupo múltiple mediante el cliente VPN de Azure? Si usa el cliente VPN de Azure, asegúrese de que el cliente VPN de Azure instalado en los dispositivos de usuario es la versión más reciente. Debe volver a descargar el cliente para habilitar esta característica.
6. ¿Todos los usuarios que se asignan al grupo Predeterminado? Si va a usar la autenticación de Microsoft Entra, asegúrese de que la dirección URL del inquilino insertada en la configuración del servidor (https://login.microsoftonline.com/<tenant ID>) no termine en \. Si la dirección URL insertada finaliza con \, la puerta de enlace no será capaz de procesar correctamente los grupos de usuarios de Microsoft Entra y todos los usuarios se asignarán al grupo predeterminado. Para corregirlo, modifique la configuración del servidor a fin de quitar el final \ y modificar los grupos de direcciones que están configurados en la puerta de enlace para aplicar los cambios a la misma. Este es un problema conocido.
7. ¿Intenta invitar a usuarios externos a usar la característica de varios grupos? Si va a usar la autenticación de Microsoft Entra y tiene previsto invitar a usuarios externos (usuarios que no forman parte del dominio de Microsoft Entra configurado en VPN Gateway) a conectarse a la instancia de VPN Gateway de punto a sitio de Virtual WAN, asegúrese de que el tipo de usuario del usuario externo sea "Miembro" y no "Invitado". Asegúrese también de que el "Nombre" de los usuarios esté establecido en la dirección de correo electrónico de dichos usuarios. Si el tipo de usuario y el nombre del usuario que se conecta no se establecen correctamente como se ha descrito anteriormente, o bien no puede establecer un miembro externo como "Miembro" de su dominio de Microsoft Entra, ese usuario se asigna al grupo predeterminado y se le asigna una dirección IP del grupo de direcciones IP predeterminado.

Pasos siguientes

• Para más información sobre los grupos de usuarios, consulte Acerca de los grupos de usuarios y los grupos de direcciones IP para VPN de usuario P2S.