Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Una conexión de puerta de enlace de VPN de punto a sitio (P2S) permite crear una conexión segura a la red virtual desde un equipo cliente individual. Se establece una conexión de punto a sitio al iniciarla desde el equipo cliente. Esta solución es útil para los teletrabajos que desean conectarse a Azure redes virtuales desde una ubicación remota, como desde casa o una conferencia. La VPN de P2S también es una solución útil para usar en lugar de VPN de sitio a sitio (S2S) cuando solo tiene algunos clientes que necesitan conectarse a una red virtual. Las configuraciones de punto a sitio requieren un tipo de VPN basado en rutas.
¿Qué protocolo usa P2S?
La conexión VPN de punto a sitio usa uno de los siguientes protocolos:
Protocolo OpenVPN®, un protocolo VPN basado en SSL/TLS. Una solución de VPN basada en TLS puede penetrar firewalls, puesto que la mayoría de ellos abre el puerto TCP 443 saliente, que usa TLS. OpenVPN se puede usar para conectarse desde dispositivos Android, iOS (versiones 11.0 y posteriores), Windows, Linux y Mac (versiones 10.13 y posteriores de macOS). Las versiones admitidas son TLS 1.2 y TLS 1.3 basadas en el protocolo de enlace TLS.
El protocolo de túnel de sockets seguro (SSTP), que es un protocolo VPN propio basado en TLS. Una solución de VPN basada en TLS puede penetrar firewalls, puesto que la mayoría de ellos abre el puerto TCP 443 saliente, que usa TLS. SSTP solo se admite en dispositivos Windows. Azure admite todas las versiones de Windows que tienen SSTP y admiten TLS 1.2 (Windows 8.1 y versiones posteriores).
La conexión VPN IKEv2, una solución de VPN con protocolo de seguridad de Internet basada en estándares. La conexión VPN IKEv2 puede utilizarse para la conexión desde dispositivos Mac (versión macOS 10.11 y posteriores).
¿Cómo se autentican los clientes VPN P2S?
Antes de que Azure acepte una conexión VPN P2S, el usuario debe autenticarse primero. Hay tres tipos de autenticación que puede seleccionar al configurar la puerta de enlace de P2S. Las opciones son:
Puede seleccionar varios tipos de autenticación para la configuración de puerta de enlace de P2S. Si selecciona varios tipos de autenticación, el cliente VPN que use debe ser compatible con al menos un tipo de autenticación y el tipo de túnel correspondiente. Por ejemplo, si selecciona "IKEv2 y OpenVPN" para los tipos de túnel, y "Microsoft Entra ID y Radius" o "Microsoft Entra ID y Azure Certificado" para el tipo de autenticación, Microsoft Entra ID solo usará el tipo de túnel OpenVPN, ya que IKEv2 no es compatible.
En la siguiente tabla se muestran los mecanismos de autenticación compatibles con los tipos de túnel seleccionados. Cada mecanismo requiere que el software cliente VPN correspondiente en el dispositivo de conexión se configure con la configuración adecuada disponible en los archivos de configuración del perfil de cliente VPN.
| Tipo de túnel | Mecanismo de autenticación |
|---|---|
| OpenVPN | Cualquier subconjunto de Microsoft Entra ID, autenticación RADIUS y certificado de Azure |
| SSTP | Certificado de autenticación de radius/Azure |
| IKEv2 | Certificado de autenticación de radius/Azure |
| IKEv2 y OpenVPN | Autenticación de Radius/Certificado de Azure/Microsoft Entra ID y Autenticación de Radius/Microsoft Entra ID y Certificado de Azure |
| IKEv2 y SSTP | Certificado de autenticación de radius/Azure |
Autenticación de certificado
Al configurar la puerta de enlace P2S para la autenticación de certificados, carga la clave pública del certificado raíz de confianza en la puerta de enlace de Azure. Puede, o bien, usar un certificado raíz generado mediante una solución empresarial, o bien, generar un certificado autofirmado.
Para autenticarse, cada cliente que se conecte debe tener un certificado de cliente instalado que se genere a partir del certificado raíz de confianza. Esto se suma al software cliente VPN. La validación del certificado de cliente se realiza mediante la puerta de enlace de VPN durante el establecimiento de la conexión VPN P2S.
Flujo de trabajo de autenticación de certificados
En un nivel alto, para configurar la autenticación de certificado es preciso seguir estos pasos:
- Habilite la autenticación de certificado en la puerta de enlace de P2S, junto con la configuración necesaria adicional (grupo de direcciones de cliente, etc.) y cargue la información de clave pública de ca raíz.
- Genere y descargue archivos de configuración de perfil de cliente VPN (paquete de configuración de perfil).
- Instale el certificado de cliente en cada equipo cliente que se conecte.
- Configure el cliente VPN en el equipo cliente mediante la configuración que se encuentra en el paquete de configuración del perfil de VPN.
- Conéctese.
autenticación de Microsoft Entra ID
Puede configurar la puerta de enlace P2S para permitir que los usuarios de VPN se autentiquen mediante credenciales de Microsoft Entra ID. Con la autenticación de Microsoft Entra ID, puede usar las características de acceso condicional y autenticación multifactor (MFA) de Microsoft Entra para VPN. La autenticación de Microsoft Entra ID está admitida solo para el protocolo OpenVPN. Para autenticarse y conectarse, los clientes deben usar el cliente VPN de Azure.
VPN Gateway ahora admite un nuevo identificador de aplicación registrado por Microsoft y los valores de audiencia correspondientes para las versiones más recientes del cliente VPN de Azure. Al configurar una puerta de enlace VPN P2S con los nuevos valores de audiencia, se omite el proceso de registro manual de la aplicación Cliente VPN de Azure que antes era necesario para el locatario de Microsoft Entra. El identificador de aplicación ya se ha creado y el inquilino puede usarlo automáticamente sin pasos de registro adicionales. Este proceso es más seguro que registrar manualmente el cliente VPN de Azure porque no es necesario autorizar la aplicación ni asignar permisos a través del rol Administrador de aplicaciones en la nube. Para comprender mejor la diferencia entre los tipos de objetos de aplicación, consulte Cómo y por qué se agregan aplicaciones a Microsoft Entra ID.
- Si la puerta de enlace de VPN de usuario P2S está configurada con los valores de audiencia de la aplicación cliente de VPN de Azure configurada manualmente, puede cambiar la configuración de puerta de enlace y cliente para aprovechar el nuevo identificador de aplicación registrado por Microsoft. Si desea que los clientes de Linux se conecten, debe actualizar la puerta de enlace P2S con el nuevo valor de Audiencia. El Azure cliente VPN para Linux no es compatible con los valores de audiencia anteriores.
- Si quiere crear o modificar un valor de Público personalizado, consulte Crear un id. de aplicación de público personalizado para VPN de P2S.
- Si quiere configurar o restringir el acceso a P2S basándose en usuarios y grupos, consulte Escenario: Configuración del acceso a VPN de P2S basado en usuarios y grupos.
Consideraciones
Una puerta de enlace de VPN de P2S solo puede admitir un valor de audiencia. No puede admitir varios valores de audiencia en simultáneo.
El cliente VPN de Azure para Linux no es retrocompatible con las puertas de enlace P2S configuradas para usar los valores de Audience más antiguos que se alinean con la aplicación registrada manualmente. Sin embargo, el cliente VPN de Azure para Linux admite valores de audiencia personalizada.
-
Aunque es posible que el cliente VPN de Azure para Linux funcione en otras distribuciones y versiones de Linux, el cliente VPN de Azure para Linux solo se admite en las versiones siguientes:
- Ubuntu 20.04
- Ubuntu 22.04
-
Aunque es posible que el cliente VPN de Azure para Windows funcione en otras versiones del sistema operativo, el cliente VPN de Azure para Windows solo se admite en las versiones siguientes:
- Versiones de Windows compatibles: Windows 10, Windows 11 en procesadores X64.
- El cliente VPN de Azure para Windows no se admite para los sistemas que se ejecutan en un procesador ARM.
Las versiones más recientes de los Clientes VPN de Azure para macOS y Windows son compatibles con versiones anteriores de los gateways P2S configurados para usar los valores de audiencia más antiguos que se alinean con la aplicación registrada manualmente. Estos clientes también admiten valores de audiencia personalizada.
Valores de audiencia del cliente VPN de Azure
En la tabla siguiente se muestran las versiones del cliente VPN de Azure compatibles con cada identificador de aplicación y los valores de audiencia disponibles correspondientes.
| Id. de aplicación | Valores de audiencia admitidos | Clientes compatibles |
|---|---|---|
| Microsoft-registrado | El valor de audiencia se aplica a: - Azure público - Azure Government - Azure Alemania - Microsoft Azure operado por 21Vianet |
-Linux - Windows - macOS |
| Registrado manualmente | - Azure Public: 41b23e61-6c1e-4545-b367-cd054e0ed4b4- Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426- Azure Alemania: 538ee9e6-310a-468d-afef-ea97365856a9- Microsoft Azure operado por 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa |
- Windows - macOS |
| Personalizado | <custom-app-id> |
-Linux - Windows - macOS |
flujo de trabajo de autenticación de Microsoft Entra ID
A nivel general, debe realizar los siguientes pasos para configurar la autenticación de Microsoft Entra ID.
- Si usa el registro manual de aplicaciones, siga los pasos necesarios en el tenant de Microsoft Entra.
- Habilite la autenticación de Microsoft Entra ID en la puerta de enlace P2S, junto con las configuraciones adicionales necesarias, como el pool de direcciones de cliente, etc.
- Genere y descargue archivos de configuración de perfil de cliente VPN (paquete de configuración de perfil).
- Descargue, instale y configure el Azure cliente VPN en el equipo cliente.
- Conéctese.
RADIUS: autenticación de servidor de dominio de Active Directory (AD)
La autenticación de dominio de AD permite a los usuarios conectarse a Azure mediante sus credenciales de dominio de organización. Requiere un servidor RADIUS que se integre con el servidor de AD. Las organizaciones también pueden usar su implementación RADIUS existente.
El servidor RADIUS podría implementarse localmente o en la red virtual de Azure. Durante la autenticación, el Azure VPN Gateway actúa como un paso a través y reenvía los mensajes de autenticación entre el servidor RADIUS y el dispositivo de conexión. Por lo tanto, la disponibilidad de la puerta de enlace del servidor RADIUS es importante. Si el servidor RADIUS está presente en el entorno local, se requiere una conexión VPN S2S de Azure al sitio local para la accesibilidad.
El servidor RADIUS también se integra con los servicios de certificados de AD. Esto le permite usar el servidor RADIUS y la implementación de certificados de empresa para la autenticación de certificados P2S como alternativa a la autenticación de certificados Azure. La ventaja es que no es necesario cargar certificados raíz ni certificados revocados en Azure.
Los servidores RADIUS también se integran con otros sistemas de identidad externos. Esto abre una gran cantidad de opciones de autenticación para VPN P2S, incluidas las opciones de multifactor.
Diagrama que muestra una VPN de punto a sitio con un sitio local.
Para conocer los pasos de configuración de la puerta de enlace de P2S, consulte Configuración de P2S - RADIUS.
¿Cuáles son los requisitos de configuración del cliente?
Los requisitos de configuración del cliente varían en función del cliente VPN que use, el tipo de autenticación y el protocolo. En la tabla siguiente se muestran los clientes disponibles y los artículos correspondientes para cada configuración.
| Método de autenticación | Tipo de túnel | Sistema operativo del cliente | Cliente de VPN |
|---|---|---|---|
| Certificado | |||
| IKEv2, SSTP | Windows | Cliente VPN nativo | |
| IKEv2 | macOS | Cliente VPN nativo | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows |
Cliente VPN de Azure Versión 2.x del cliente de OpenVPN Versión 3.x del cliente de OpenVPN |
|
| OpenVPN | macOS | Cliente OpenVPN | |
| OpenVPN | iOS | Cliente OpenVPN | |
| OpenVPN | Linux |
Cliente VPN de Azure Cliente OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Cliente VPN de Azure | |
| OpenVPN | macOS | Azure VPN Client | |
| OpenVPN | Linux | Cliente VPN de Azure |
¿Qué versiones del cliente VPN de Azure están disponibles?
Para obtener información sobre las versiones disponibles Azure cliente VPN, las fechas de lanzamiento y las novedades de cada versión, consulte Azure versiones de cliente VPN.
¿Cuáles son las SKU de puerta de enlace que admiten VPN P2S?
En la tabla siguiente se muestran las SKU de puerta de enlace por túnel, conexión y rendimiento. Para obtener más información, consulte Acerca de las SKU de puerta de enlace.
| VPN Puerta de enlace Generación |
SKU | Túneles de S2S/VNet a VNet |
P2S P2S SSTP |
P2S P2S IKEv2/OpenVPN |
Puntos de referencia de rendimiento agregado |
BGP | Con redundancia de zona | Número admitido de máquinas virtuales en el Virtual Network |
|---|---|---|---|---|---|---|---|---|
| Generación 1 | Básico | Máx. 10 | Máx. 128 | No compatible | 100 Mbps | No compatible | No | 200 |
| Generación 1 | VpnGw1 | Máx. 30 | Máx. 128 | Máx. 250 | 650 MBps | Compatible | No | 450 |
| Generación 1 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Compatible | No | 1300 |
| Generación 1 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1 000 | 1,25 Gbps | Compatible | No | 4000 |
| Generación 1 | VpnGw1AZ | Máx. 30 | Máx. 128 | Máx. 250 | 650 MBps | Compatible | Sí | 1 000 |
| Generación 1 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Compatible | Sí | 2000 |
| Generación 1 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1 000 | 1,25 Gbps | Compatible | Sí | cinco mil |
| Generación 2 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Compatible | No | 685 |
| Generación 2 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1 000 | 2,5 Gbps | Compatible | No | 2240 |
| Generación 2 | VpnGw4 | Máx. 100* | Máx. 128 | Máx. cinco mil | 5 Gbps | Compatible | No | 5300 |
| Generación 2 | VpnGw5 | Máx. 100* | Máx. 128 | Máx. 10 000 | 10 Gbps | Compatible | No | 6700 |
| Generación 2 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Compatible | Sí | 2000 |
| Generación 2 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1 000 | 2,5 Gbps | Compatible | Sí | 3300 |
| Generación 2 | VpnGw4AZ | Máx. 100* | Máx. 128 | Máx. cinco mil | 5 Gbps | Compatible | Sí | 4400 |
| Generación 2 | VpnGw5AZ | Máx. 100* | Máx. 128 | Máx. 10 000 | 10 Gbps | Compatible | Sí | 9.000 |
Nota:
"Número admitido de máquinas virtuales en el Virtual Network" hace referencia al recuento de recursos que se comunican a través de la puerta de enlace. Esto incluye:
- Máquinas Virtuales en las redes virtuales en estrella hub y spoke asociados
- Puntos de conexión privados
- Aplicaciones virtuales de red (como Application Gateway, Azure Firewall)
- Instancias de back-end de servicios PaaS implementados en redes virtuales (como SQL Managed Instance, App Service Environment)
Nota:
La SKU básica tiene limitaciones y no admite la autenticación de IKEv2, IPv6 o RADIUS. Para obtener más información, vea VPN Gateway settings.
¿Qué directivas IPsec/IKE se configuran en las puertas de enlace de VPN de P2S?
Las tablas de esta sección muestran los valores de las directivas predeterminadas. Sin embargo, no reflejan los valores admitidos disponibles para las directivas personalizadas. Para obtener directivas personalizadas, consulte los Valores aceptados enumerados en el cmdlet de PowerShell new-AzVpnClientIpsecParameter.
IKEv2
| Cifrado | Integridad | PRF | Grupo DH |
|---|---|---|---|
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA384 | GROUP_ECP256 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA384 | SHA384 | GROUP_24 |
| AES256 | SHA384 | SHA384 | GROUP_14 |
| AES256 | SHA384 | SHA384 | GROUP_ECP384 |
| AES256 | SHA384 | SHA384 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA256 | SHA256 | GRUPO_2 |
IPsec
| Cifrado | Integridad | Grupo PFS |
|---|---|---|
| GCM_AES256 | GCM_AES256 | GRUPO_NINGUNO |
| GCM_AES256 | GCM_AES256 | GROUP_24 |
| GCM_AES256 | GCM_AES256 | GROUP_14 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP384 |
| GCM_AES256 | GCM_AES256 | GROUP_ECP256 |
| AES256 | SHA256 | GRUPO_NINGUNO |
| AES256 | SHA256 | GROUP_24 |
| AES256 | SHA256 | GROUP_14 |
| AES256 | SHA256 | GROUP_ECP384 |
| AES256 | SHA256 | GROUP_ECP256 |
| AES256 | SHA1 | GRUPO_NINGUNO |
¿Qué directivas TLS se configuran en las puertas de enlace de VPN para conexión de P2S?
TLS
| Directivas |
|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| **TLS_AES_256_GCM_SHA384 |
| **TLS_AES_128_GCM_SHA256 |
**Solo se admite en TLS1.3 con OpenVPN
¿Cómo se puede configurar una conexión P2S?
En una configuración de P2S es necesario realizar unos pocos pasos específicos. En los siguientes artículos encontrará los pasos necesarios para realizar la configuración de P2S.
- Autenticación de certificado
- autenticación Microsoft Entra ID
- Autenticación RADIUS
Procedimiento para quitar la configuración de una conexión P2S
Puede quitar la configuración de una conexión con PowerShell o la CLI. Para ver ejemplos, consulte las preguntas más frecuentes.
¿Cómo funciona el enrutamiento de conexiones de punto a sitio?
Vea los artículos siguientes:
- Información sobre el enrutamiento de VPN de punto a sitio
- Cómo anunciar rutas personalizadas
Preguntas más frecuentes
Hay varias entradas de preguntas más frecuentes para el punto a sitio. Consulte las VPN Gateway faq, prestando especial atención a las secciones Certificate authentication y RADIUS según corresponda.
Pasos siguientes
- Configurar una conexión P2S: autenticación de certificados Azure
- Configurar una conexión P2S: autenticación Microsoft Entra ID
"OpenVPN" es una marca comercial de OpenVPN Inc.