Creación de una conexión VPN de usuario P2S mediante Azure Virtual WAN: autenticación de Microsoft Entra
En este artículo se muestra cómo usar Virtual WAN para conectarse a los recursos de Azure. En este artículo, creará una conexión VPN de usuario de punto a sitio para Virtual WAN, que usa la autenticación de Microsoft Entra. La autenticación de Microsoft Entra solo está disponible para puertas de enlace que usan el protocolo OpenVPN.
Nota:
La autenticación de Microsoft Entra ID solo se admite para las conexiones de protocolo OpenVPN® y requiere el cliente VPN de Azure.
En este artículo aprenderá a:
- Creación de una instancia de Virtual WAN
- Crear una configuración de VPN de usuario
- Descargar un perfil de VPN de usuario de WAN virtual
- Crear un centro virtual
- Editar un centro para agregar una puerta de enlace P2S
- Conectar una red virtual a un centro virtual
- Descargar y aplicar la configuración de cliente VPN
- Visualizar la instancia de Virtual WAN
Antes de empezar
Antes de comenzar con la configuración, compruebe que se cumplen los criterios siguientes:
Tiene una red virtual a la que quiere conectarse. Compruebe que ninguna de las subredes de sus redes locales se superpone a las redes virtuales a las que quiere conectarse. Para crear una red virtual en Azure Portal consulte este Inicio rápido.
Su red virtual no tiene ninguna puerta de enlace de red virtual. Si la red virtual tiene alguna puerta de enlace (ya sea VPN o ExpressRoute), tiene que quitarla. Esta configuración requiere que las redes virtuales estén conectadas a la puerta de enlace del centro de conectividad de Virtual WAN.
Obtenga un intervalo de direcciones IP para la región del concentrador. El centro de conectividad es una red virtual que Virtual WAN crea y usa. El intervalo de direcciones que especifique para el centro de conectividad no se puede superponer a ninguna de las redes virtuales existentes a las que ya esté conectado. Tampoco puede superponerse con los intervalos de direcciones a los que se conecta en el entorno local. Si no está familiarizado con los intervalos de direcciones IP ubicados en la configuración de red local, consulte a alguien que pueda proporcionarle estos detalles.
Si no tiene una suscripción a Azure, cree una cuenta gratuita.
Creación de una instancia de Virtual WAN
Desde un explorador, navegue al Portal de Azure e inicie sesión con su cuenta de Azure.
En el portal, en la barraBuscar recursos, escriba Virtual WAN en el cuadro de búsqueda y seleccioneEntrar.
Seleccione Redes WAN virtuales de los resultados. En la página Redes WAN virtuales, seleccione Crear para abrir la página Crear una red WAN.
En la página Crear una red WAN, en la pestaña Aspectos básicos, rellene los campos. Modifique los valores de ejemplo que se aplicarán a su entorno.
- Suscripción: seleccione la suscripción que quiere usar.
- Grupo de recursos: créelo o utilice uno existente.
- Ubicación del grupo de recursos: elija una ubicación para los recursos de la lista desplegable. Una red WAN es un recurso global y no reside en una región determinada. No obstante, tiene que seleccionar una región con el fin de administrar y ubicar el recurso de WAN que cree.
- Nombre: escriba el nombre que quiera asignar a su la red WAN virtual.
- Tipo: Básico o Estándar. Seleccione Estándar. Si selecciona Básico, entienda que las redes WAN virtuales básicas solo pueden contener centros de conectividad básicos. Los centros de conectividad básicos solo se pueden usar para conexiones de sitio a sitio.
Una vez rellenos los campos, en la parte inferior de la página, seleccione Revisar y crear.
Una vez que se haya superado la validación, seleccione Crear para crear la WAN virtual.
Crear una configuración de VPN de usuario
Una configuración de VPN de usuario define los parámetros para conectarse a los clientes remotos. Es importante crear la configuración de VPN de usuario antes de definir el centro virtual con la configuración de P2S, ya que debe especificar la configuración de VPN de usuario que quiere usar.
Vaya a la página Virtual WAN ->Configuraciones de VPN de usuario y haga clic en +Crear una configuración de VPN de usuario.
Especifique los parámetros en la página Aspectos básicos.
- Nombre de la configuración: escriba el nombre que desea asignar a la configuración de VPN de usuario.
- Tipo de túnel: seleccione OpenVPN en el menú desplegable.
Haga clic en Microsoft Entra ID para abrir la página.
Cambie Microsoft Entra ID a Sí y proporcione los siguientes valores en función de los detalles del inquilino. Puede ver los valores necesarios en la página Microsoft Entra ID para aplicaciones empresariales del portal.
Método de autenticación: Seleccione Microsoft Entra ID.
Público: escriba el identificador de aplicación de la aplicación empresarial cliente VPN de Azure registrada en el inquilino de Microsoft Entra. Para obtener los valores, consulte: Valores de audiencia de cliente VPN de Azure
Emisor -
https://sts.windows.net/<your Directory ID>/
Inquilino de Microsoft Entra: TenantID para el inquilino de Microsoft Entra. Asegúrese de que no haya ningún
/
al final de la dirección URL de Microsoft Entra.- Escriba
https://login.microsoftonline.com/<your Directory Tenant ID>
para AD público de Azure. - Escriba
https://login.microsoftonline.us/<your Directory Tenant ID>
para AD de Azure Government. - Escriba
https://login-us.microsoftonline.de/<your Directory Tenant ID>
para AD de Azure Alemania. - Escriba
https://login.chinacloudapi.cn/<your Directory Tenant ID>
para AD de China 21Vianet.
- Escriba
Haga clic en Crear para crear la configuración de VPN de usuario. Seleccionará esta configuración más adelante en el ejercicio.
Creación de un centro vacío
En este ejercicio, se crea un centro virtual vacío en este paso y, en la sección siguiente, se agrega una puerta de enlace P2S a este centro. Aun así, puede combinar estos pasos y crear el centro con la configuración de la puerta de enlace P2S todo a la vez. El resultado es el mismo de cualquier manera. Después de configurar los valores, haga clic en Revisar y crear para validar y, a continuación, en Crear.
Vaya a la red WAN virtual que ha creado. En el panel izquierdo de la página de virtual WAN, en Conectividad, seleccione Centros de conectividad.
En la página Centros de conectividad, seleccione + Nuevo centro de conectividad para abrir la página Crear centro de conectividad virtual.
En la página Crear centro de conectividad virtual, en la pestaña Aspectos básicos rellene los siguientes campos:
- Región: seleccione la región en la que quiere implementar el centro de conectividad virtual.
- Nombre: nombre por el que desea que se conozca el centro de conectividad virtual.
- Espacio de direcciones privadas del centro de conectividad: intervalo de direcciones del centro de conectividad en la notación CIDR. El espacio de direcciones mínimo para crear un centro de conectividad es /24.
- Capacidad del centro virtual: seleccione de la lista desplegable. Para más información, consulte Configuración de un centro de conectividad virtual.
- Preferencia de enrutamiento del concentrador: Dejar por defecto. Consulte Preferencia de enrutamiento del centro de conectividad virtual para más información.
Incorporación de una puerta de enlace P2S a un centro
En esta sección se muestra cómo agregar una puerta de enlace a un centro virtual ya existente. El centro puede tardar hasta 30 minutos en terminar de actualizarse.
Vaya a la página Centros de conectividad de la red WAN virtual.
Haga clic en el nombre del centro que desea editar para abrir la página del centro.
Haga clic en Editar centro virtual en la parte superior de la página para abrir la página Editar centro de conectividad virtual.
En la página Editar centro de conectividad virtual, active las casillas Incluir puerta de enlace de VPN para los sitios VPN e Incluir puerta de enlace de punto a sitio para mostrar la configuración. Luego configure los valores.
- Unidades de escalado de puerta de enlace: seleccione las unidades de escalado de puerta de enlace. Las unidades de escalado representan la capacidad agregada de la puerta de enlace de VPN de usuario. Si selecciona 40 o más unidades de escalado de puerta de enlace, planee el grupo de direcciones de cliente en consecuencia. Para obtener información sobre cómo afecta este valor al grupo de direcciones de cliente, vea Acerca de los grupos de direcciones de cliente. Para obtener información sobre las unidades de escalado de puerta de enlace, vea Preguntas más frecuentes.
- Configuración de VPN de usuario: seleccione la configuración que ha creado antes.
- Asignación de grupos de usuarios a grupos de direcciones: para obtener información sobre esta configuración, consulte Configuración de grupos de usuarios y grupos de direcciones IP para VPN de usuario P2S (versión preliminar).
Después de configurar los valores, haga clic en Confirmar para actualizar el centro. La actualización de un centro puede tardar hasta 30 minutos.
Conexión de una red virtual a un centro de conectividad
En esta sección, creará una conexión entre el centro virtual y la red virtual.
En Azure Portal, vaya a Virtual WAN y, en el panel izquierdo, seleccione Conexiones de red virtual.
En la página Conexiones de red virtual, seleccione + Agregar conexión.
En la página Agregar una conexión, configure la conexión. Para más información acerca de la configuración de enrutamiento, consulte Acerca del enrutamiento.
- Nombre de la conexión: asigne un nombre a la conexión.
- Centros de conectividad: seleccione el centro de conectividad que desea asociar a esta conexión.
- Suscripción: compruebe la suscripción.
- Grupo de recursos: seleccione el grupo de recursos que contiene la red virtual a la que desea conectarse.
- Red virtual: seleccione la red virtual que quiere conectar con este centro de conectividad. La red virtual que seleccione no puede tener una puerta de enlace de red virtual ya existente.
- Propagate to none (Propagar a ninguno): se establece en No de manera predeterminada. Si cambia el conmutador a Sí, las opciones de configuración para la opción Propagate to Route Tables (Propagar a tablas de enrutamiento) y Propagate to labels (Propagar a etiquetas) no estarán disponibles para la configuración.
- Associate Route Table: en el menú desplegable, puede seleccionar la tabla de rutas que quiere asociar.
- Propagate to labels: las etiquetas son un grupo lógico de tablas de rutas. En este parámetro, seleccione una opción en la lista desplegable.
- Rutas estáticas: configure rutas estáticas si es necesario. Configure las rutas estáticas de las aplicaciones virtuales de red (si procede). Virtual WAN admite una única dirección IP de próximo salto para la ruta estática en una conexión de red virtual. Por ejemplo, si tiene una aplicación virtual independiente para flujos de tráfico de entrada y salida, sería mejor tener las aplicaciones virtuales en redes virtuales independientes y conectar las redes virtuales al centro virtual.
- Omitir IP del próximo salto para cargas de trabajo dentro de esta red virtual: esta opción permite implementar aplicaciones virtuales de red (NVA) y otras cargas de trabajo en la misma red virtual sin forzar todo el tráfico a través de la NVA. Esta opción solo se puede establecer al configurar una nueva conexión. Si desea usar esta configuración con una conexión que ya ha creado, elimine la conexión y agregue otra nueva.
- Propagación de la ruta estática: esta configuración se está implementando actualmente. Esta configuración le permite propagar rutas estáticas definidas en la sección Rutas estáticas para las tablas de rutas especificadas en Propagar a tablas de enrutamiento. Además, las rutas se propagarán a las tablas de rutas que tienen etiquetas especificadas como Propagar a etiquetas. Estas rutas se pueden propagar entre centros, excepto la ruta predeterminada 0/0. Esta característica está en proceso de implementación. Si necesita tener habilitada esta característica, abra un caso de soporte técnico
Una vez que haya configurado los valores deseados, haga clic en Create para crear la conexión.
Descarga de un perfil de VPN de usuario
Todas las opciones de configuración necesarias para los clientes VPN se incluyen en un archivo ZIP de configuración del cliente VPN. Los valores del archivo ZIP ayudan a configurar los clientes VPN. Los archivos de configuración del cliente VPN que genera son específicos de la configuración de VPN de usuario de la puerta de enlace. Puede descargar perfiles globales (de nivel WAN) o un perfil para un centro específico. Para obtener información e instrucciones adicionales, consulte Descarga de perfiles globales y de centros de conectividad. Los pasos siguientes le indicarán cómo descargar un perfil de nivel WAN global.
Para generar un paquete de configuración de cliente VPN de perfil global de nivel WAN, vaya a Virtual WAN (no al centro virtual).
En el panel de la izquierda, seleccione Configuraciones de VPN de usuario.
Seleccione la configuración para la que quiere descargar el perfil. Si tiene varios centros asignados al mismo perfil, expanda el perfil para mostrar los centros y, a continuación, seleccione uno de los centros que usa el perfil.
Seleccione Descargar perfil de VPN de usuario de WAN virtual.
En la página de descarga, seleccione EAPTLS y, a continuación, Generar y descargar perfil. Se genera un paquete de perfil (archivo zip) que contiene las opciones de configuración del cliente y que se descarga en el equipo. El contenido del paquete depende de las opciones de autenticación y túnel de la configuración.
Configuración de clientes VPN de usuario
Cada equipo que se conecta debe tener un cliente instalado. Puede configurar cada cliente mediante los archivos de perfil de cliente de usuario de VPN descargados en los pasos anteriores. Use el artículo correspondiente al sistema operativo al que quiera conectarse.
Para configurar clientes VPN de macOS (versión preliminar)
Para obtener instrucciones de cliente de macOS, vea Configuración de un cliente VPN: macOS (versión preliminar).
Para configurar clientes VPN de Windows
Descargue la versión más reciente de los archivos de instalación del cliente VPN de Azure mediante uno de los vínculos siguientes:
- Instale con los archivos de instalación de cliente: https://aka.ms/azvpnclientdownload.
- Instale directamente, cuando haya iniciado sesión en un equipo cliente: Microsoft Store.
Instale el cliente VPN de Azure en cada equipo.
Compruebe que el cliente VPN de Azure tenga permiso para ejecutarse en segundo plano. Para los pasos, consulte Aplicaciones en segundo plano en Windows.
Para comprobar la versión de cliente instalada, abra el cliente VPN de Azure. Vaya al final del cliente y haga clic en ... -> ? Ayuda. En el panel derecho, puede ver el número de versión del cliente.
Para importar un perfil de cliente VPN (Windows)
En la página, seleccione Importar.
Busque el archivo xml de perfil y selecciónelo. Con el archivo seleccionado, seleccione Abrir.
Especifique el nombre del perfil y seleccione Guardar.
Seleccione Conectar para conectarse a la VPN.
Una vez conectado, el icono se volverá verde y diráConectado.
Para eliminar un perfil de cliente: Windows
Seleccione los puntos suspensivos junto al perfil de cliente que quiera eliminar. Después, seleccione Quitar.
Seleccione Quitar para eliminar.
Diagnóstico de problemas de conexión: Windows
Para diagnosticar problemas de conexión, puede usar la herramienta Diagnosticar. Seleccione los puntos suspensivos (...) junto a la conexión de VPN que desea diagnosticar para que se muestre el menú. Después, seleccione Diagnosticar.
En la página Propiedades de conexión, seleccione Ejecutar diagnóstico.
Inicie sesión con sus credenciales.
Ver los resultados del diagnóstico.
Visualizar la instancia de Virtual WAN
- Vaya a la instancia de Virtual WAN.
- En la página Información general, cada punto del mapa representa un concentrador.
- En la sección de concentradores y conexiones, puede ver estado del concentrador, sitio, región, estado de la conexión VPN y bytes de entrada y salida.
Limpieza de recursos
Cuando ya no necesite los recursos que ha creado, elimínelos. Algunos recursos de Virtual WAN deben eliminarse en un orden determinado debido a las dependencias. La eliminación puede tardar unos 30 minutos.
Abra la red WAN virtual que ha creado.
Seleccione un centro de conectividad virtual asociado a la WAN virtual para abrir su página.
Elimine todas las entidades de puerta de enlace siguiendo el orden que se indica a continuación para cada tipo de puerta de enlace. Esta operación puede tardar hasta 30 minutos.
VPN:
- Desconecte los sitios de VPN
- Elimine las conexiones de VPN
- Elimine las puertas de enlace de VPN
ExpressRoute:
- Elimine las conexiones de ExpressRoute
- Elimine las puertas de enlace de ExpressRoute
Repita el procedimiento para todos los centros de conectividad asociados a la WAN virtual.
Puede eliminar los centros en este momento o más adelante, cuando elimine el grupo de recursos.
En Azure Portal, vaya al grupo de recursos.
Seleccione Eliminar grupo de recursos. Así se eliminan los demás recursos del grupo de recursos, incluidos los centros de conectividad y la WAN virtual.
Pasos siguientes
Para ver las preguntas más frecuentes sobre Virtual WAN, consulte las preguntas más frecuentes de Virtual WAN.