Compartir a través de

Crear Azure Virtual Networks – Point-to­-Site (es-ES)

  • Artículo

Azure Virtual Networks – Point-to­-Site

Implicaciones.

  • Clientes individuales se conectan a Azure VNet desde un cliente VPN
  • Utiliza SSTP (Secure Socket Tunnel Protocol)
  • Utiliza certificado de autenticación entre cliente y VNet
  • Configurada individualmente; se instala el cliente VPN en la computadora cliente
  • Límite de 128 clientes por VNet
  • Requiere enrutamiento dinámico
  • Bandwith del Gateway es de 80Mbps

Secuencia:

  • Crear una VNet punto a sitio desde el portal de administración
  • Crear el network Gateway desde el portal o desde powershell
  • Crear el Self-signed root certificate
  • Crear el Self-signer client certificate desde el root certificate
  • Exportar el certificado cliente desde el Certificate Store
  • Subir el certificado de autenticación a Azure
  • Instalar el certificado cliente en la máquina cliente para autenticar en Vnet
  • Instalar el paquete VPN- se descarga del portal
  • Establecer la VPN y verificar conectividad

En el portal de administración de Windows Azure, haga clic en Redes y luego haga clic en Crear una red virtual. Proporcione un nombre descriptivo para la red virtual, http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image1.png

2. Seleccionar la configuración Point-To-Site

 http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image2.png

Al dar click en point-to-site VPN, nos aparece el siguiente diagrama,

 

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image3.png

Este diagrama que se genera, quiere decir que vamos a crear un túnel mediante el cual tenemos un cierto número de clientes que se conectarán a la VPN. Cuando tenemos una VPN, podemos tener múltiples conexiones tanto Point-to-Site como Site-To-Site.

De hecho, si damos click en Site-To-Site VPN, crearemos una Local Network, es decir, nuestra red local on-premise, va a ser capaz de conectarse a dicha VPN en Azure.

Por el momento nos enfocaremos en Point-to-Site, por lo que sólo seleccionaremos Point-to-Site VPN. CLick en siguiente.

Esta nueva pantalla (figura a continuación), nos provee información del rango de direcciones de IP´s de la VPN que va a ser utilizada por los clientes. Esto es, cada vez que algún cliente intente conectarse a la VPN, es necesario proveerle de una dirección IP, dicha dirección IP va a ser separada de la IP Local o de la IP del cliente. Por lo que debes asegurarte de que esta dirección IP no se cruce con el rango de direcciones IP´s del cliente/local.

**Recordemos que el rango límite por Vnet es de 128 clientes.

Dejaremos la configuración de 29/6

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image4.png

 

Hasta este punto, esta configuración es para la conexión Point-to-Site, el rango de direcciones no tiene nada que ver con el espacio de direcciones de la VPN aún.

A continuación vamos a establecer el rango de direcciones de la VPN. En el siguiente paso vamos a modificar la Starting IP a 10.1.0.0:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image5.png

A continuación, modificamos el CIDR(Addresss Count) a 16:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image6.png

 

A continuación, en la subnet, dejaremos los valores por default, como sigue:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image7.png

 

Una vez que tenemos dicha configuración de rango de direcciones IP´s, debemos asegurarnos que no se cruce con el rango de direcciones que tenemos en la red local o en el cliente.

A continuación, vamos a agregar una Gateway subnet. Actualmente tenemos la Subnet, llamada Subnet-1, la cual tiene el rango de 10.1.0.0 a 10.1.31.255.

Damos click en crear Gateway subnet, esto es crear otra subnet para tomar un rango de direcciones IP, dedicadas a la comunicación del Gateway al lado del cliente. No es necesario agregar valores específicos.

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image8.png

Todo esta configuración está dentro del mismo rango de espacio de direcciones, pero distinto del subnet que tenemos, ya que el Gateway debe asegurarse que no exista conflicto de las direcciones.

A continuación damos click en OK, esto comenzará el proceso del provisionamiento de la VPN. No llevará más de 3 minutos en estar lista.

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image9.png

 

Ahora vamos a crear una Máquina Virtual (VM), para probar la VPN.

A continuación, creamos una VM de la galería: New > Compute – Virtual Machine- From the Gallery:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image10.png

 

 

 

 

 

Seleccionamos alguna VM, en este caso Windows Server 2012 R2 Datacenter:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image11.png

 

Damos click en siguiente.

En la configuración de la VM, damos el nombre (MSDN-VPN-server), tier standard, size (A3), usuario y password

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image12.png

Click en siguiente.

En la siguiente configuración dejaremos todo por default, excepto por la región, asignaremos la VPN que acabamos de crear:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image13.png

Damos click en siguiente.

Dejamos la configuración en default y damos click en OK.

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image14.png

A continuación comenzará el provisionamiento de la VM.

 

Ahora vamos a crear el Gateway de la VPN.

En el portal de azure, vamos a la sección de networks y seleccionamos la VPN que acabamos de crear:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image15.png

 

 

 

En el dashboard podemos ver que aún no hay conectividad del cliente hacia la VPN:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image16.png

Vamos a dar click en crear Gateway:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image17.png

 

A continuación el portal nos mostrará la pregunta de confirmación para crear el Gateway:

 

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image18.png

 

Damos click en Yes.

 

La creación de este Gateway puede llegar a tardar 60 minutos en provisionarse. Una vez creado el Gateway podremos ver una IP Pública la cual utilizarán los clientes para conectarse.

 

**Además de eso, nos mostrará un mensaje de advertencia el cual menciona que el root certificate no ha sido subido.

 

Siguiente paso, vamos a crear el certificado, para eso contamos con la herramienta makecert.exe.

 

Abrimos la consola de comandos, y verificamos que tengamos la herramienta con el comando: dir/s makecert.exe

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image19.png

 

Si no cuentas con la herramienta, puedes descargarla desde acá: http://wp.me/a6pNav-hr

La segunda opción es descargar la herramienta Windows SDK for Win 7 acá: http://www.microsoft.com/en-us/download/details.aspx?id=8279

 

**Recomendado pornerlo en C:temp

Deseleccionar todo y dejar únicamente “Tools”:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image20.png

**Configurar Makecert

    1. Ejecutar mmc.exe
    2. File>add/Remoe snap in

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image21.png

3. Agregamos los certificados

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image22.png

4. Seleccionar My User Account > Finish

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image23.png

Seleccionar OK.

A continuación podremos ver los listados de los certificados con los que contamos:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image24.png

 

 

 

A continuación ejecutaremos el comando:

makecert.exe -r -sky exchange -n "CN=AzureVPNRootCert" -pe -a sha1 -len 2048 -ss My "AzureVPNRootCert.cer"

Veremos el mensaje de “succeed”

Si vamos a C:temp, veremos el certificado creado:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image25.png

Ahora vamos a crear el certificado self-signed del root certificate que acabamos de crear:

Necesitamos realizar esta tarea para cada uno de los clientes que se conectarán a la VPN

Ejecutamos en la consola, el siguiente comando:

makecert.exe -n "CN=AzureVPNClientCert" -pe -sky exchange -m 96 -ss My -in "AzureVPNRootCert" -is my -a sha1

 

Veremos que se han creado ambos certificados de manera satisfactoria:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image26.png

 

Ahora vamos a exportar el certificado del Certificate Store:

Del certificado cliente creado, lo seleccionamos, damos click derecho > all tasks > export

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image27.png

 

Damos click en Next > Seleccionamos Yes, export private key> Next

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image28.png

 

En el siguiente paso dejamos la configuración por default.

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image29.png

Click en next.

 

En el siguiente paso vamos a establecer un password:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image30.png

 

Click next.

Vamos a almacenar el certificado en C:temp, lo nombramos clientcert

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image31.png

 

Posteriormente veremos los detalles y una notificación de que todo ha ido satisfactoriamente:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image32.png

 

Ahora vamos a subir el certificado root a Azure:

 

Vamos al portal de azure > networks > seleccionamos nuestra VPN > certificates

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image33.png

 

Seleccionamos Update a root certificate, vamos a buscar nuestro certificado creado (ubicado en C:temp):

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image34.png

 

Damos click en OK.

Podremos ver ahora los detalles del certificado:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image35.png

Ahora vamos a instalar el certificado cliente en la máquina cliente para autenticarnos a la VNet:

Vamos a la ubicación donde exportamos nuestros certificados (C:temp) y seleccionamos el certificado cliente, doble click, seleccionamos current user:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image36.png

 

Damos click en next:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image37.png

Luego nos pedirá el password que anteriormente establecimos:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image38.png

Damos click en next:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image39.png

 

Dejamos el default, next:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image40.png

 

Damos click en finish. Nos mostrará un warning, damos click en Yes.

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image41.png

 

 

Penúltimo paso, vamos a instalar el paquete cliente de la VPN:

Vamos al portal de azure > network > Seleccionamos nuestra VPN> Dashboard:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image42.png

 

Dependiendo de nuestro equipo cliente, vamos a descargar el paquete de 64-bit o 32-bit, en este caso descargaremos el de 64-bit

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image43.png

Este paquete contiene la configuración para poder conectar el cliente a la VPN, guardaremos el archivo .exe de la descarga en el escritorio

Una vez desargado, vamos al escritorio, damos click derecho en el archivo > propiedades > seleccionamos unblock:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image44.png

Damos click en apply, OK.

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image45.pngDespues, click derecho en el archivo, ejecutar como administrador, nos mostrará la siguiente advertencia:

 

Con esto habremos creado exitosamente la conexión a la VPN, ahora nos aparecerá en nuestra lista de redes disponibles:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image46.png

 

Si vamos a la siguiente ubicación, notaremos que existe una carpeta y un archivo

 

C:UsersDaveAppDataRoamingMicrosoftNetworkConnectionsCm

 

Si deseas instalar por segunda vez el paquete de la conexión de la VPN, debes asegurarte de borrar dichos archivos. De lo contrario no podrás conectarte a la VPN

Este proceso también generará un nuevo adaptador de red el cual podrás visualizar en el apartado de networking de tu equipo cliente.

 

Último paso, vamos a verificar la conexión a la VPN:

 

Vamos a las conexiones disponibles, seleccionamos nuestra network y abrirá el settings de Windows 10y aparecerá nuestra VPN, damos click en conectar:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image47.png

Nos mostrará el siguiente mensaje:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image48.png

Click en connect y continuar:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image49.png

Para verificar que tenemos conectividad, vamos a la consola y ejecutamos el comando ipconfig:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image50.png

 

Podremos ver que ya estamos conectados, vamos a verificar el túnel. Vamos a conectarnos a la VM que creamos (Windows server 2012), desactivamos el firewall y ejecutamos el ipconfig:

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image51.png

Ahora vamos a realizar un ping desde nuestro equipo cliente a 10.1.0.4

http://wikiazure.com/wp-content/uploads/2016/02/1454622916_image52.png

 

Podremos visualizar que está funcionando correctamente nuestra VPN.