Acerca de las conexiones VPN de punto a sitio

Una conexión de puerta de enlace de VPN de punto a sitio (P2S) permite crear una conexión segura a la red virtual desde un equipo cliente individual. Se establece una conexión de punto a sitio al iniciarla desde el equipo cliente. Esta solución resulta útil para los teletrabajadores que deseen conectarse a redes virtuales de Azure desde una ubicación remota, por ejemplo, desde casa o un congreso. La conexión VPN de punto a sitio también es una solución útil en comparación con la conexión VPN de sitio a sitio cuando solo necesitan conectarse a la red virtual algunos clientes. Este artículo se aplica al modelo de implementación de Resource Manager.

¿Qué protocolo utiliza P2S?

La conexión VPN de punto a sitio usa uno de los siguientes protocolos:

  • Protocolo OpenVPN®, un protocolo VPN basado en SSL/TLS. Una solución de VPN basada en TLS puede penetrar firewalls, puesto que la mayoría de ellos abre el puerto TCP 443 saliente, que usa TLS. OpenVPN puede utilizarse para la conexión desde dispositivos Android, iOS (versión 11.0 y posteriores), Windows, Linux y Mac (macOS 10.13 y versiones posteriores).

  • El protocolo de túnel de sockets seguro (SSTP), que es un protocolo VPN propio basado en TLS. Una solución de VPN basada en TLS puede penetrar firewalls, puesto que la mayoría de ellos abre el puerto TCP 443 saliente, que usa TLS. El protocolo SSTP solo se admite en dispositivos Windows. Azure es compatible con todas las versiones de Windows que tienen SSTP y admiten TLS 1.2 (Windows 8.1 y versiones posteriores).

  • La conexión VPN IKEv2, una solución de VPN con protocolo de seguridad de Internet basada en estándares. La conexión VPN IKEv2 puede utilizarse para la conexión desde dispositivos Mac (versión macOS 10.11 y posteriores).

Nota:

IKEv2 y OpenVPN para P2S solo están disponibles para el modelo de implementación de Resource Manager. No están disponibles para el modelo de implementación clásico.

¿Cómo se autentican los clientes VPN de punto a sitio?

Para que Azure acepte una conexión VPN de punto a sitio, el usuario primero debe autenticarse. Azure ofrece dos mecanismos para autenticar los usuarios que se conectan.

Autenticación con certificados nativos de Azure

Con la autenticación con certificados nativos de Azure, para autenticar el usuario que se conecta, se usa un certificado de cliente presente en el dispositivo. Los certificados de cliente se generan a partir de un certificado raíz de confianza y se instalan en cada equipo cliente. Puede, o bien, usar un certificado raíz generado mediante una solución empresarial, o bien, generar un certificado autofirmado.

La validación del certificado de cliente se realiza mediante la puerta de enlace de VPN durante el establecimiento de la conexión VPN P2S. El certificado raíz es necesario para la validación y se debe cargar en Azure.

Autenticación mediante Azure Active Directory de forma nativa

La autenticación mediante Azure AD permite a los usuarios conectarse a Azure con sus credenciales de Azure Active Directory. La autenticación de Azure AD nativa solo se admite para el protocolo OpenVPN y también requiere el uso del Cliente VPN de Azure. Los sistemas operativos cliente compatibles son Windows 10 o versiones posteriores y macOS.

Con la autenticación de Azure AD nativa, puede aprovechar el acceso condicional de Azure AD, así como las características de Multi-Factor Authentication (MFA) para VPN.

En un nivel alto, para configurar la autenticación de Azure AD es preciso seguir estos pasos:

  1. Configurar un inquilino de Azure AD

  2. Habilitar la autenticación de Azure AD en la puerta de enlace

  3. Descargue la versión más reciente de los archivos de instalación del cliente VPN de Azure mediante uno de los vínculos siguientes:

Autenticación mediante el servidor de dominio de Active Directory (AD)

La autenticación de dominio de AD permite a los usuarios conectarse a Azure con sus credenciales de dominio de la organización. Requiere un servidor RADIUS que se integre con el servidor de AD. Las organizaciones también pueden aprovechar las implementaciones existentes de RADIUS.

El servidor RADIUS puede implementarse de forma local o en la red virtual de Azure. Durante la autenticación, la puerta de enlace de VPN de Azure actúa como acceso directo y reenvía los mensajes de autenticación entre el servidor RADIUS y el dispositivo que se conecta. Por lo tanto, la disponibilidad de la puerta de enlace del servidor RADIUS es importante. Si el servidor RADIUS está presente de forma local, se necesita una conexión VPN S2S de Azure en el sitio local para la disponibilidad.

El servidor RADIUS también se integra con los servicios de certificados de AD. Esto le permite usar el servidor RADIUS y la implementación de certificados de empresa para la autenticación de certificados de P2S como alternativa a la autenticación de certificados de Azure. La ventaja es que no es necesario cargar certificados raíz y revocados en Azure.

Los servidores RADIUS también se integran con otros sistemas de identidad externos. Esto abre una gran cantidad de opciones de autenticación para VPN P2S, incluidas las opciones de multifactor.

Diagrama que muestra una VPN de punto a sitio con un sitio local.

¿Cuáles son los requisitos de configuración del cliente?

Nota:

Para los clientes de Windows, debe tener derechos de administrador en el dispositivo de cliente para poder iniciar la conexión VPN desde el dispositivo cliente en Azure.

Los usuarios utilizan los clientes VPN nativos en los dispositivos Windows y Mac para P2S. Azure proporciona un archivo zip de configuración de cliente VPN con la configuración que necesitan estos clientes nativos para conectarse a Azure.

  • Para los dispositivos Windows, la configuración de cliente VPN consta de un paquete de instalación que los usuarios instalan en sus dispositivos.
  • Para los dispositivos Mac, consta del archivo mobileconfig que los usuarios instalan en sus dispositivos.

El archivo zip también proporciona los valores de algunas de las opciones de configuración importantes del lado de Azure que puede usar para crear su propio perfil para estos dispositivos. Algunos de los valores incluyen la dirección de puerta de enlace de VPN, los tipos de túnel configurados, las rutas y el certificado raíz para la validación de la puerta de enlace.

Nota:

A partir del 1 de julio de 2018, se elimina la compatibilidad con TLS 1.0 y 1.1 de Azure VPN Gateway. VPN Gateway será solo compatible con TLS 1.2. Esto solo afecta a las conexiones de punto a sitio; las conexiones de sitio a sitio no se verán afectadas. Si usa TLS para las VPN de punto a sitio en clientes de Windows 10 o versiones posteriores, no necesita hacer nada. Si usa TLS para las conexiones de punto a sitio en clientes de Windows 7 y Windows 8, consulte Preguntas más frecuentes sobre VPN Gateway para ver instrucciones de actualización.

¿Qué SKU de puerta de enlace admite VPN de P2S?

VPN
Puerta de enlace
Generación
SKU Túneles de S2S/VNet
a VNet
P2S
P2S SSTP
P2S
P2S IKEv2/OpenVPN
Agregado
de rendimiento agregado
BGP Con redundancia de zona
Generación 1 Basic Máx. 10 Máx. 128 No compatible 100 Mbps No compatible No
Generación 1 VpnGw1 Máx. 30 Máx. 128 Máx. 250 650 Mbps Compatible No
Generación 1 VpnGw2 Máx. 30 Máx. 128 Máx. 500 1 Gbps Compatible No
Generación 1 VpnGw3 Máx. 30 Máx. 128 Máx. 1000 1,25 Gbps Compatible No
Generación 1 VpnGw1AZ Máx. 30 Máx. 128 Máx. 250 650 Mbps Compatible
Generación 1 VpnGw2AZ Máx. 30 Máx. 128 Máx. 500 1 Gbps Compatible
Generación 1 VpnGw3AZ Máx. 30 Máx. 128 Máx. 1000 1,25 Gbps Compatible
Generación 2 VpnGw2 Máx. 30 Máx. 128 Máx. 500 1,25 Gbps Compatible No
Generación 2 VpnGw3 Máx. 30 Máx. 128 Máx. 1000 2,5 Gbps Compatible No
Generación 2 VpnGw4 Máx. 100* Máx. 128 Máx. 5000 5 Gbps Compatible No
Generación 2 VpnGw5 Máx. 100* Máx. 128 Máx. 10000 10 Gbps Compatible No
Generación 2 VpnGw2AZ Máx. 30 Máx. 128 Máx. 500 1,25 Gbps Compatible
Generación 2 VpnGw3AZ Máx. 30 Máx. 128 Máx. 1000 2,5 Gbps Compatible
Generación 2 VpnGw4AZ Máx. 100* Máx. 128 Máx. 5000 5 Gbps Compatible
Generación 2 VpnGw5AZ Máx. 100* Máx. 128 Máx. 10000 10 Gbps Compatible

(*) Use Virtual WAN si necesita más de 100 túneles VPN de S2S.

  • Se permite el cambio de tamaño de las SKU de VpnGw en la misma generación, excepto el cambio de tamaño de la SKU básica. La SKU básica es una SKU heredada y tiene limitaciones de características. Para pasar de una SKU básica a otra SKU, debe eliminar la instancia de VPN Gateway de la SKU básica y crear una nueva puerta de enlace con la combinación de generación y tamaño de SKU deseada (consulte Trabajar con SKU heredadas).

  • Estos límites de conexión son independientes. Por ejemplo, en una SKU de VpnGw1 puede tener 128 conexiones SSTP, además de 250 conexiones IKEv2.

  • Puede encontrar más información sobre los precios en la página de precios.

  • La información del SLA (contrato de nivel de servicio) puede encontrarse en la página SLA.

  • Si tiene muchas conexiones P2S, puede afectar negativamente a las conexiones S2S. Las pruebas comparativas de rendimiento agregado se realizaron maximizando una combinación de conexiones S2S y P2S. Una sola conexión P2S o S2S puede tener un rendimiento muy inferior.

  • Tenga en cuenta que no se garantizan todas las pruebas comparativas debido a las condiciones del tráfico en Internet y los comportamientos de la aplicación.

Para ayudar a nuestros clientes a conocer el rendimiento relativo de las SKU mediante distintos algoritmos, usamos las herramientas iPerf y CTSTraffic, disponibles públicamente, para medir el rendimiento de las conexiones de sitio a sitio. En la tabla siguiente se enumeran los resultados de las pruebas de rendimiento de las SKU de VpnGw. Como puede ver, el mejor rendimiento se obtiene cuando usamos el algoritmo GCMAES256 para el cifrado y la integridad IPsec. Obtuvimos un rendimiento medio al usar AES256 para el cifrado IPsec y SHA256 para la integridad. Cuando usamos DES3 para el cifrado IPsec y SHA256 para la integridad, obtuvimos el rendimiento más bajo.

Un túnel VPN se conecta a una instancia de VPN Gateway. El rendimiento de cada instancia se menciona en la tabla de rendimiento anterior y está disponible de forma agregada en todos los túneles que se conectan a esa instancia.

En la tabla siguiente se muestra el ancho de banda observado y el rendimiento por túnel de los paquetes por segundo para las diferentes SKU de puerta de enlace. Todas las pruebas se han realizado entre puertas de enlace (puntos de conexión) dentro de Azure, en distintas regiones con 100 conexiones y con condiciones de carga estándar.

Generación SKU Algoritmos
usados
Capacidad de proceso
observado por túnel
Paquetes por segundo por túnel
observado
Generación 1 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
130 Mbps
62 000
47 000
12,000
Generación 1 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gbps
650 Mbps
140 Mbps
100 000
61,000
13 000
Generación 1 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
700 Mbps
140 Mbps
120 000
66 000
13 000
Generación 1 VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
130 Mbps
62 000
47 000
12,000
Generación 1 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gbps
650 Mbps
140 Mbps
110 000
61,000
13 000
Generación 1 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
700 Mbps
140 Mbps
120 000
66 000
13 000
Generación 2 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
550 Mbps
130 Mbps
120 000
52 000
12,000
Generación 2 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gbps
700 Mbps
140 Mbps
140 000
66 000
13 000
Generación 2 VpnGw4 GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 Gbps
700 Mbps
140 Mbps
220 000
66 000
13 000
Generación 2 VpnGw5 GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 Gbps
700 Mbps
140 Mbps
220 000
66 000
13 000
Generación 2 VpnGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
550 Mbps
130 Mbps
120 000
52 000
12,000
Generación 2 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gbps
700 Mbps
140 Mbps
140 000
66 000
13 000
Generación 2 VpnGw4AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 Gbps
700 Mbps
140 Mbps
220 000
66 000
13 000
Generación 2 VpnGw5AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 Gbps
700 Mbps
140 Mbps
220 000
66 000
13 000

Nota:

La SKU básica no admite la autenticación de IKEv2 o RADIUS.

¿Qué directivas IPsec/IKE se configuran en las puertas de enlace de VPN de P2S?

IKEv2

Cifrado Integridad PRF Grupo DH
GCM_AES256 GCM_AES256 SHA384 GROUP_24
GCM_AES256 GCM_AES256 SHA384 GROUP_14
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA384 GROUP_ECP256
GCM_AES256 GCM_AES256 SHA256 GROUP_24
GCM_AES256 GCM_AES256 SHA256 GROUP_14
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP384
GCM_AES256 GCM_AES256 SHA256 GROUP_ECP256
AES256 SHA384 SHA384 GROUP_24
AES256 SHA384 SHA384 GROUP_14
AES256 SHA384 SHA384 GROUP_ECP384
AES256 SHA384 SHA384 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_24
AES256 SHA256 SHA256 GROUP_14
AES256 SHA256 SHA256 GROUP_ECP384
AES256 SHA256 SHA256 GROUP_ECP256
AES256 SHA256 SHA256 GROUP_2

IPsec

Cifrado Integridad Grupo PFS
GCM_AES256 GCM_AES256 GROUP_NONE
GCM_AES256 GCM_AES256 GROUP_24
GCM_AES256 GCM_AES256 GROUP_14
GCM_AES256 GCM_AES256 GROUP_ECP384
GCM_AES256 GCM_AES256 GROUP_ECP256
AES256 SHA256 GROUP_NONE
AES256 SHA256 GROUP_24
AES256 SHA256 GROUP_14
AES256 SHA256 GROUP_ECP384
AES256 SHA256 GROUP_ECP256
AES256 SHA1 GROUP_NONE

¿Qué directivas TLS se configuran en las puertas de enlace de VPN para P2S?

TLS

Directivas
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256

¿Cómo se puede configurar una conexión de P2S?

En una configuración de P2S es necesario realizar unos pocos pasos específicos. En los siguientes artículos encontrará los pasos necesarios para realizar una configuración de P2S, así como vínculos para configurar los dispositivos de cliente VPN:

Procedimiento para quitar la configuración de una conexión P2S

Puede quitar la configuración de una conexión con PowerShell o la CLI. Para ver ejemplos, consulte las preguntas más frecuentes.

¿Cómo funciona el enrutamiento de conexiones de punto a sitio?

Vea los artículos siguientes:

Preguntas más frecuentes

Hay varias secciones de preguntas más frecuentes para conexiones de punto a sitio basadas en la autenticación.

Pasos siguientes

"OpenVPN" es una marca comercial de OpenVPN Inc.