Configuración de una conexión de punto a sitio mediante la autenticación de certificado (clásica)

  • Artículo

En este artículo se muestra cómo crear una red virtual con una conexión de punto a sitio mediante el modelo de implementación clásica (heredada). Esta configuración utiliza certificados para autenticar al cliente que se conecta, ya sean autofirmados o emitidos por una entidad de certificación. Estas instrucciones son para el modelo de implementación clásica. Ya no puede crear una puerta de enlace mediante el modelo de implementación clásica. Consulte la versión de Resource Manager de este artículo en su lugar.

Importante

Ya no puede crear nuevas puertas de enlace de red virtual para redes virtuales del modelo de implementación clásica (administración de servicios). Las nuevas puertas de enlace de red virtual solo se pueden crear para redes virtuales de Resource Manager.

Use una puerta de enlace de VPN de punto a sitio (P2S) para crear una conexión segura a la red virtual desde un equipo cliente individual. Las conexiones VPN de punto a sitio son útiles cuando desea conectarse a la red virtual desde una ubicación remota. Cuando hay solo unos pocos clientes que necesitan conectarse a una red virtual, una VPN P2S es una solución útil en lugar de una VPN de sitio a sitio. Se establece una conexión VPN P2S al iniciar la conexión desde el equipo cliente.

Importante

El modelo de implementación clásica admite solo clientes de VPN de Windows y usa el Protocolo de túnel de sockets seguros (SSTP), un protocolo de VPN basado en SSL. Para admitir clientes de VPN que no sean de Windows, debe crear la red privada virtual con el modelo de implementación de Resource Manager. El modelo de implementación de Resource Manager admite IKEv2 VPN, además de SSTP. Para más información, consulte Acerca de las conexiones P25.

Diagrama que muestra la arquitectura de punto a sitio clásica.

Nota

Este artículo se ha escrito para el modelo de implementación clásica (heredada). Se recomienda usar el modelo de implementación de Azure más reciente en su lugar. El modelo de implementación de Resource Manager es el modelo más reciente y ofrece más opciones y compatibilidad de características que el modelo de implementación clásica. Para comprender la diferencia entre estos dos modelos de implementación, consulte Conozca los modelos de implementación y el estado de los recursos.

Si desea usar una versión diferente de este artículo, use la tabla de contenido en el panel izquierdo.

Configuración y requisitos

Requisitos

Las conexiones de autenticación de certificado de punto a sitio requieren los siguientes elementos. En este artículo se describen los pasos que le ayudarán a crearlos.

  • Una puerta de enlace VPN dinámica.
  • La clave pública (archivo .cer) de un certificado raíz, que se carga en Azure. Esta clave se considera un certificado de confianza y se usa para la autenticación.
  • Se genera un certificado de cliente a partir del certificado raíz y se instala en cada equipo cliente que se vaya a conectar. Este certificado se usa para la autenticación de cliente.
  • Se debe generar un paquete de configuración de cliente de VPN e instalarlo en todos los equipos cliente que se conectan. El paquete de configuración de cliente configura el cliente de VPN nativo que ya está en el sistema operativo con la información necesaria para conectarse a la red virtual.

Las conexiones de punto a sitio no requieren un dispositivo VPN ni una dirección IP de acceso público local. Se crea la conexión VPN sobre SSTP (Protocolo de túnel de sockets seguros). En el lado servidor, se admiten las versiones 1.0, 1.1 y 1.2 de SSTP. El cliente decide qué versión va a usar. Para Windows 8.1 y versiones posteriores, SSTP usa 1.2 de forma predeterminada.

Para más información, consulte Acerca de las conexiones de punto a sitio y las Preguntas más frecuentes.

Configuración de ejemplo

Use los siguientes valores para crear un entorno de prueba o hacer referencia a ellos para comprender mejor los ejemplos de este artículo:

  • Grupos de recursos: TestRG
  • Nombre de la red virtual: VNet1
  • Espacio de direcciones: 192.168.0.0/16
    En este ejemplo, se utiliza solo un espacio de direcciones. Puede tener más de un espacio de direcciones para la red virtual.
  • Nombre de subred: FrontEnd
  • Intervalo de direcciones de subred: 192.168.1.0/24
  • GatewaySubnet: 192.168.200.0/24
  • Región: (EE. UU.) Este de EE. UU.
  • Espacio de direcciones de cliente: 172.16.201.0/24
    Los clientes de VPN que se conectan a la red virtual mediante esta conexión de punto a sitio reciben una dirección IP del grupo especificado.
  • Tipo de conexión: seleccione Punto a sitio.

Antes de empezar, compruebe que tiene una suscripción a Azure. Si todavía no la tiene, puede activar sus ventajas como suscriptor de MSDN o registrarse para obtener una cuenta gratuita.

Creación de una red virtual

Si ya dispone de una red virtual, compruebe que la configuración sea compatible con el diseño de la puerta de enlace de VPN. Preste especial atención a las subredes que podrían superponerse con otras redes.

  1. Desde un explorador, vaya Azure Portal y, si fuera necesario, inicie sesión con su cuenta de Azure.
  2. Seleccione +Crear un recurso. En el campo Buscar en el Marketplace, escriba "Virtual Network". En la lista de resultados, busque Virtual Network y seleccione esa opción para abrir la página Virtual Network.
  3. En la página Virtual Network, debajo del botón Crear, verá "Deploy with Resource Manager (change to Classic)" [Implementar con Resource Manager (cambiar a la versión clásica)]. Resource Manager es el valor predeterminado para crear una red virtual. No obstante, no quiere crear una red virtual de Resource Manager. Seleccione (change to Classic) (cambiar a la versión clásica) para crear una red virtual clásica. A continuación, elija la pestaña Información general y seleccione Crear.
  4. En la página Create virtual network(classic) [Crear red virtual (clásica)], en la pestaña Aspectos básicos, configure las opciones de la red virtual con los valores de ejemplo.
  5. Seleccione Revisar y crear para validar la red virtual.
  6. Se ejecuta la validación. Una vez validada la red virtual, seleccione Crear.

La configuración de DNS no es un paso necesario de esta configuración, pero el servidor DNS es necesario si quiere resolver los nombres de las VM. La especificación de un valor no crea un servidor DNS nuevo. La dirección IP del servidor DNS que especifique debe ser un servidor DNS que pueda resolver los nombres de los recursos a los que se conecta.

Después de crear la red virtual, puede agregar la dirección IP de un servidor DNS para controlar la resolución de nombres. Abra la configuración de su red virtual, seleccione los servidores DNS y agregue la dirección IP del servidor DNS que quiere utilizar para la resolución de nombres.

  1. Busque la red virtual en el portal.
  2. En la página de la red virtual, en la sección Configuración, haga clic en Servidores DNS.
  3. Agregue un servidor DNS.
  4. Para guardar la configuración, haga clic en Guardar en la parte superior de la página.

Creación de una puerta de enlace de VPN

  1. Navegue hasta la red virtual que ha creado.

  2. En la página VNet, en Configuración, seleccione Puerta de enlace. En la página Puerta de enlace, puede ver la puerta de enlace de la red virtual. Esta red virtual todavía no tiene una puerta de enlace. Haga clic en la nota que indica Haga clic aquí para agregar una conexión y una puerta de enlace.

  3. En la página Configurar una conexión VPN y una puerta de enlace, seleccione la configuración siguiente:

    • Tipo de conexión: de punto a sitio
    • Espacio de direcciones de cliente: agregue el intervalo de direcciones IP del que los clientes de VPN reciben una dirección IP al conectarse. Use un intervalo de direcciones IP privadas que no se superponga a la ubicación local desde la que se va a conectar ni a la red virtual a la que va a conectarse.

  4. Deje la casilla No configurar una puerta de enlace en este momento sin seleccionar. Crearemos una puerta de enlace.

  5. En la parte inferior de la página, seleccione Siguiente: Puerta de enlace >.

  6. En la pestaña Puerta de enlace, seleccione los siguientes valores:

    • Size: El tamaño es la SKU de la puerta de enlace para la puerta de enlace de red virtual. En Azure Portal, la SKU predeterminada es Predeterminada. Para más información acerca de las SKU de puerta de enlace, vea Acerca de la configuración de VPN Gateway.
    • Tipo de enrutamiento: Debe seleccionar Dinámico para una configuración de punto a sitio. El enrutamiento estático no funcionará.
    • Subred de puerta de enlace: Este campo ya se ha autorrellenado. El nombre no se puede cambiar. Si intenta cambiar el nombre mediante PowerShell o cualquier otro medio, la puerta de enlace no funcionará correctamente.
    • Intervalo de direcciones (bloque CIDR): aunque es posible crear una subred de puerta de enlace tan pequeña como /29, se recomienda crear una subred mayor que incluya más direcciones seleccionando al menos /28 o /27. Esto permitirá suficientes direcciones para dar cabida a posibles configuraciones adicionales podría desear en el futuro. Cuando trabaje con subredes de la puerta de enlace, evite asociar un grupo de seguridad de red (NSG) a la subred de la puerta de enlace. La asociación de un grupo de seguridad de red a esta subred podría causar que la puerta de enlace de VPN no funcione según lo esperado.

  7. Seleccione Revisar y crear para validar la configuración.

  8. Una vez pasada la validación, seleccione Crear. Una puerta de enlace de VPN puede tardar hasta 45 minutos en completarse, según la SKU de puerta de enlace que seleccione.

Creación de certificados

Azure usa certificados para autenticar a los clientes VPN en VPN de punto a sitio. Cargue la información de clave pública del certificado raíz en Azure. La clave pública se considerará de confianza. Deben generarse certificados de cliente a partir del certificado raíz de confianza e instalarse en cada equipo cliente en el almacén de certificados Certificados-Usuario actual/Personal/Certificados. El certificado se utiliza para autenticar al cliente cuando se conecta a la red virtual.

Si usa certificados autofirmados, se deben crear con parámetros específicos. Puede crear un certificado autofirmado con las instrucciones para PowerShell y Windows 10 o posterior, o bien MakeCert. Es importante que siga los pasos descritos en estas instrucciones cuando use certificados raíz autofirmados y genere certificados de cliente a partir del certificado raíz autofirmado. En caso contrario, los certificados que cree no serán compatibles con las conexiones P2S y recibirá un error de conexión.

Obtención de la clave pública (.cer) para el certificado raíz

Obtenga el archivo .cer del certificado raíz. Puede usar un certificado raíz generado mediante una solución empresarial (opción recomendada) o generar un certificado autofirmado. Después de crear el certificado raíz, exporte los datos (no la clave privada) del certificado público como un archivo .cer con codificación Base64 X.509. Este archivo se carga más adelante en Azure.

  • Certificado de empresa: Si usa una solución empresarial, puede utilizar la cadena de certificados existente. Obtenga el archivo .cer para el certificado raíz que desee usar.

  • Certificado raíz autofirmado: Si no usa una solución de certificado de empresa, cree un certificado raíz autofirmado. En caso contrario, los certificados que cree no serán compatibles con las conexiones de P2S y los clientes reciben un error de conexión al intentar conectarse. Puede usar Azure PowerShell, MakeCert o bien OpenSSL. Los pasos descritos en los artículos siguientes describen cómo generar un certificado raíz autofirmado compatible:

Generación de un certificado de cliente

Cada equipo cliente que conecta a una red virtual con una conexión de punto a sitio debe tener instalado un certificado de cliente. Se genera desde el certificado raíz y se instala en cada equipo cliente. Si no instala ningún certificado de cliente válido, la autenticación no podrá realizarse cuando el cliente trate de conectarse a la red virtual.

Puede generar un certificado único para cada cliente o puede usar el mismo para varios clientes. La ventaja de generar certificados de cliente únicos es la capacidad de revocar un solo certificado. De lo contrario, si varios clientes usan el mismo certificado de cliente para autenticarse y este se revoca, deberá generar e instalar nuevos certificados para cada cliente que use dicho certificado.

Para generar certificados de cliente, use los métodos siguientes:

  • Certificado de empresa:

    • Si usa una solución de certificación de empresa, genere un certificado de cliente con el formato de valor de nombre común name@yourdomain.com. Use este formato en lugar de domain name\username.

    • Asegúrese de que el certificado de cliente se base en la plantilla de certificado de usuario que tenga Autenticación de cliente como primer elemento de la lista de usuarios. Para comprobar el certificado, haga doble clic en él y vea Uso mejorado de clave en la pestaña Detalles.

  • Certificado raíz autofirmado: siga los pasos de alguno de los siguientes artículos de certificados de P2S para que los certificados de cliente que cree sean compatibles con las conexiones de P2S.

    Si genera un certificado de cliente desde un certificado raíz autofirmado, este se instala automáticamente en el equipo que utilizó para generarlo. Si desea instalar un certificado de cliente en otro equipo cliente, expórtelo como un archivo .pfx junto con toda la cadena de certificados. De esta forma, creará un archivo .pfx que contiene la información del certificado raíz necesaria para que el cliente se autentique.

    Los pasos de estos artículos generan un certificado de cliente compatible que puede, posteriormente, exportar y distribuir.

    • Instrucciones para Windows 10 o posterior, y PowerShell: en estas instrucciones se necesitan Windows 10 o posterior, y PowerShell para generar certificados. Los certificados generados pueden instalarse en cualquier cliente P2S compatible.

    • Instrucciones para MakeCert: a fin de generar certificados, use MakeCert si no tiene acceso a un equipo con Windows 10 o posterior. Aunque MakeCert está en desuso, todavía puede usarlo para generar certificados. Puede instalar los certificados generados en cualquier cliente P2S compatible.

    • Instrucciones para Linux.

Carga del archivo .cer de certificado raíz

Una vez creada la puerta de enlace, cargue el archivo .cer (que contiene la información de clave pública) para un certificado raíz de confianza en el servidor de Azure. No cargue la clave privada para el certificado raíz. Una vez cargado el certificado, Azure lo usa para autenticar a los clientes que tienen instalado un certificado de cliente generado a partir del certificado raíz de confianza. Más adelante, puede cargar más archivos de certificado raíz de confianza, hasta un total de 20, si es necesario.

  1. Vaya a la red virtual que creó.
  2. En Configuración, seleccione Conexiones de punto a sitio.
  3. Seleccione Administrar certificado.
  4. Seleccione Cargar.
  5. En el panel Cargar un certificado, seleccione el icono de la carpeta y navegue hasta el certificado que quiere cargar.
  6. Seleccione Cargar.
  7. Una vez que el certificado se haya cargado correctamente, puede verlo en la página Administrar certificado. Es posible que tenga que seleccionar Actualizar para ver el certificado que acaba de cargar.

Configurar el cliente

Para conectarse a una red virtual mediante una VPN de punto a sitio, cada cliente debe instalar un paquete para configurar el cliente de VPN de Windows nativo. El paquete de configuración configura el cliente de VPN nativo de Windows con los parámetros necesarios para conectarse a la red virtual.

Puede utilizar el mismo paquete de configuración de cliente VPN en todos los equipos cliente, siempre que la versión coincida con la arquitectura del cliente. Para obtener la lista de sistemas operativos cliente compatibles, consulte el documento Acerca de las conexiones de punto a sitio y las Preguntas más frecuentes.

Generación e instalación de un paquete de configuración de cliente de VPN

  1. Vaya a la configuración Conexiones de punto a sitio de la red virtual.

  2. En la parte superior de la página, seleccione el paquete de descarga que se corresponde con el sistema operativo cliente en el que se va a instalar:

    • Para los clientes de 64 bits, seleccione Cliente de VPN (64 bits) .
    • Para los clientes de 32 bits, seleccione Cliente de VPN (32 bits) .

  3. Azure genera un paquete con la configuración específica que requiere el cliente. Cada vez que realice cambios en la red virtual o la puerta de enlace, deberá descargar un nuevo paquete de configuración de cliente e instalarlo en los equipos cliente.

  4. Una vez generado el paquete, seleccione Descargar.

  5. Instale el paquete de configuración del cliente en el equipo cliente. Al realizar la instalación, si ve una ventana emergente de SmartScreen que indica que Windows protegió su equipo, seleccione Más información y, después, seleccione Ejecutar de todas formas. También puede guardar el paquete para instalarlo en otros equipos cliente.

Instalación de un certificado de cliente

Para este ejercicio, al generar el certificado de cliente, se instaló automáticamente en el equipo. Para crear una conexión P2S desde un equipo cliente distinto del que usó para generar los certificados de cliente, debe instalar un certificado de cliente en ese equipo.

Al instalar un certificado de cliente, necesita la contraseña que se creó cuando se exportó el certificado de cliente. Normalmente, puede instalar el certificado con tan solo hacer doble clic en él. Para más información, consulte Instalación de un certificado de cliente exportado.

Conexión a la red virtual

Nota:

Debe tener derechos de administrador en el equipo cliente desde el que se va a conectar.

  1. En el equipo cliente, vaya a la configuración de VPN.
  2. Seleccione la VPN que ha creado. Si usó la configuración de ejemplo, la conexión estará etiquetada como Grupo TestRG VNet1.
  3. Seleccione Conectar.
  4. En el cuadro de Windows Azure Virtual Network, seleccione Conectar. Si aparece un mensaje emergente sobre el certificado, seleccione Continuar para usar privilegios elevados y para aceptar los cambios en la configuración.
  5. Si la conexión se realiza correctamente, verá una notificación Conectado.

Si tiene problemas para conectarse, compruebe los siguientes elementos:

  • Si ha exportado un certificado de cliente con el Asistente para exportar certificados, asegúrese de haberlo exportado como un archivo .pfx y de haber seleccionado Incluir todos los certificados en la ruta de certificación (si es posible). Si lo exporta con este valor, también se exporta la información del certificado raíz. Una vez instalado el certificado en el equipo cliente, también se instala el certificado raíz del archivo .pfx. Para verificar que el certificado raíz está instalado, abra Administrar certificados de usuario y seleccione Entidades de certificación raíz de confianza \Certificados. Verifique que el certificado raíz está presente, ya que es necesario para que la autenticación funcione.

  • Si usó un certificado emitido por una solución de CA empresarial y no puede autenticarse, verifique el orden de autenticación en el certificado de cliente. Compruebe el orden de la lista de autenticación; para ello, haga doble clic en el certificado de cliente, seleccione la pestaña Detalles y, después, seleccione Uso mejorado de clave. Asegúrese de que Autenticación de cliente sea el primer elemento de la lista. Si no es así, emita un certificado de cliente basado en la plantilla Usuario que tenga Autenticación de cliente como primer elemento de la lista.

  • Para información adicional de solución de problemas de P2S, consulte Solución de problemas de conexiones P2S.

Comprobación de la conexión VPN

  1. Verifique que la conexión VPN está activa. Abra un símbolo del sistema con privilegios elevados en el equipo cliente y ejecute ipconfig/all.

  2. Vea los resultados. Observe que la dirección IP recibida es una de las direcciones en el intervalo de direcciones de conectividad de punto a sitio que especificó cuando creó la red virtual. Los resultados deben ser parecidos a los del ejemplo siguiente:

     PPP adapter VNet1:
     Connection-specific DNS Suffix .:
     Description.....................: VNet1
     Physical Address................:
     DHCP Enabled....................: No
     Autoconfiguration Enabled.......: Yes
     IPv4 Address....................: 172.16.201.11 (Preferred)
     Subnet Mask.....................: 255.255.255.255
     Default Gateway.................:
     NetBIOS over Tcpip..............: Enabled

Para conectarse a una máquina virtual

Cree una Conexión a Escritorio remoto para conectarse a una máquina virtual implementada en la red virtual. La mejor manera de verificar que puede conectarse a la máquina virtual es hacerlo mediante su dirección IP privada, en lugar del nombre de equipo. Con este método prueba si puede conectarse, no si la resolución de nombres está configurada correctamente.

  1. Busque la dirección IP privada de la máquina virtual. Para buscar la dirección IP privada de una máquina virtual, consulte sus propiedades en Azure Portal o use PowerShell.
  2. Compruebe que está conectado a la red virtual mediante la conexión VPN de punto a sitio.
  3. Para abrir la Conexión a Escritorio remoto, escriba RDP o Conexión a Escritorio remoto en el cuadro de búsqueda de la barra de tareas y, después, seleccione Conexión a Escritorio remoto. También puede abrir esta opción con el comando mstsc de PowerShell.
  4. En Conexión a Escritorio remoto, escriba la dirección IP privada de la máquina virtual. Si es necesario, seleccione Mostrar opciones para ajustar más parámetros adicionales y, después, conéctese.

Solución de problemas de una conexión de RDP a una máquina virtual

Si tiene problemas para conectarse a una máquina virtual a través de su conexión VPN, puede comprobar varios factores.

  • Compruebe que la conexión VPN se ha establecido correctamente.
  • Compruebe que se conecta a la dirección IP privada de la máquina virtual.
  • Escriba ipconfig para comprobar la dirección IPv4 asignada al adaptador de Ethernet en el equipo desde el que intenta conectarse. Se crea un espacio de direcciones superpuesto si la dirección IP está dentro del intervalo de direcciones de la red virtual a la que se va a conectar o dentro del intervalo de direcciones de su VPNClientAddressPool. Cuando el espacio de direcciones se superpone de esta manera, el tráfico de red no llega a Azure, sino que se mantiene en la red local.
  • Si puede conectarse a la máquina virtual mediante la dirección IP privada, pero no el nombre del equipo, compruebe que ha configurado el DNS correctamente. Para más información acerca de cómo funciona la resolución de nombres para las máquinas virtuales, consulte Resolución de nombres para las máquinas virtuales e instancias de rol.
  • Compruebe que el paquete de configuración de cliente de VPN se generó después de que se especificaran las direcciones IP del servidor DNS para la red virtual. Si actualizó las direcciones IP de servidor DNS, genere un nuevo paquete de configuración de cliente de VPN e instálelo.

Para más información acerca de la solución de problemas, consulte Solución de problemas de conexiones del Escritorio remoto a una máquina virtual de Azure.

Para agregar o quitar certificados raíz de confianza

Puede agregar y quitar certificados raíz de confianza de Azure. Al quitar un certificado raíz, los clientes que tienen un certificado generado a partir de dicha raíz ya no podrán autenticarse ni tampoco conectarse. Para que esos clientes puedan volver a autenticarse y conectarse, debe instalar un nuevo certificado de cliente generado a partir de un certificado raíz que sea de confianza en Azure.

Adición de un certificado raíz de confianza

Puede agregar hasta 20 archivos .cer de certificado raíz de confianza en Azure mediante el mismo proceso que usó para agregar el primer certificado raíz de confianza.

Eliminación de un certificado raíz de confianza

  1. En la sección Conexiones de punto a sitio de la página de la red virtual, seleccione Administrar certificado.
  2. Seleccione los puntos suspensivos junto al certificado que quiere quitar y, después, seleccione Eliminar.

Para revocar un certificado de cliente

Si es necesario, puede revocar un certificado de cliente. La lista de revocación de certificados permite denegar de forma selectiva la conectividad de punto a sitio basada en certificados de cliente individuales. Este método difiere de la forma en que se quita un certificado raíz de confianza. Si quita de Azure un archivo .cer de certificado raíz de confianza, se revoca el acceso para todos los certificados de cliente generados y firmados con el certificado raíz revocado. Al revocarse un certificado de cliente, en lugar del certificado raíz, se permite que el resto de los certificados que se generaron con el certificado raíz sigan usándose para la autenticación de la conexión de punto a sitio.

Lo más habitual es usar el certificado raíz para administrar el acceso a nivel de equipo u organización, mientras que los certificados de cliente revocados se usan para un control de acceso específico para usuarios individuales.

Puede revocar un certificado de cliente si agrega la huella digital a la lista de revocación.

  1. Recupere la huella digital del certificado de cliente. Para más información, consulte Cómo recuperar la huella digital de un certificado.
  2. Copie la información en un editor de texto y quite sus espacios de forma que sea una sola cadena continua.
  3. Vaya a Conexión VPN de punto a sitio y seleccione Administrar certificado.
  4. Seleccione Lista de revocación para abrir la página Lista de revocación.
  5. En Huella digital, pegue la huella digital del certificado como una línea continua de texto, sin espacios.
  6. Seleccione + Agregar a la lista para agregar la huella digital a la lista de revocación de certificados (CRL).

Una vez finalizada la actualización, el certificado no se puede usar para conectarse. Los clientes que intenten conectarse con este certificado recibirán un mensaje que indica que el certificado ya no es válido.

Preguntas más frecuentes

Estas preguntas más frecuentes corresponden a las conexiones P2S que usan el modelo de implementación clásica.

¿Qué sistemas operativos de cliente puedo usar para las conexiones de punto a sitio?

Se admiten los siguientes sistemas operativos de cliente:

  • Windows 7 (32 bits y 64 bits)
  • Windows Server 2008 R2 (solo 64 bits)
  • Windows 8 (32 bits y 64 bits)
  • Windows 8.1 (32 bits y 64 bits)
  • Windows Server 2012 (solo 64 bits)
  • Windows Server 2012 R2 (solo 64 bits)
  • Windows 10
  • Windows 11

¿Puedo usar cualquier cliente de software VPN de punto a sitio que admita SSTP?

No. La compatibilidad se limita solo a las versiones de sistema operativo de Windows enumeradas.

¿Cuántos puntos de conexión de cliente VPN pueden existir en la configuración de punto a sitio?

El número de puntos de conexión de cliente VPN depende de la SKU y el protocolo de la puerta de enlace.

VPN
Puerta de enlace
Generación		 SKU Túneles de S2S/VNet
a VNet		 P2S
P2S SSTP		 P2S
P2S IKEv2/OpenVPN		 Agregado
de rendimiento agregado		 BGP Con redundancia de zona Número de máquinas virtuales admitidas en la red virtual
Generación 1 Basic Máx. 10 Máx. 128 No compatible 100 Mbps No compatible No 200
Generación 1 VpnGw1 Máx. 30 Máx. 128 Máx. 250 650 Mbps Compatible No 450
Generación 1 VpnGw2 Máx. 30 Máx. 128 Máx. 500 1 Gbps Compatible No 1300
Generación 1 VpnGw3 Máx. 30 Máx. 128 Máx. 1000 1,25 Gbps Compatible No 4000
Generación 1 VpnGw1AZ Máx. 30 Máx. 128 Máx. 250 650 Mbps Compatible 1 000
Generación 1 VpnGw2AZ Máx. 30 Máx. 128 Máx. 500 1 Gbps Compatible 2000
Generación 1 VpnGw3AZ Máx. 30 Máx. 128 Máx. 1000 1,25 Gbps Compatible 5000
Generación 2 VpnGw2 Máx. 30 Máx. 128 Máx. 500 1,25 Gbps Compatible No 685
Generación 2 VpnGw3 Máx. 30 Máx. 128 Máx. 1000 2,5 Gbps Compatible No 2240
Generación 2 VpnGw4 Máx. 100* Máx. 128 Máx. 5000 5 Gbps Compatible No 5300
Generación 2 VpnGw5 Máx. 100* Máx. 128 Máx. 10000 10 Gbps Compatible No 6700
Generación 2 VpnGw2AZ Máx. 30 Máx. 128 Máx. 500 1,25 Gbps Compatible 2000
Generación 2 VpnGw3AZ Máx. 30 Máx. 128 Máx. 1000 2,5 Gbps Compatible 3300
Generación 2 VpnGw4AZ Máx. 100* Máx. 128 Máx. 5000 5 Gbps Compatible 4400
Generación 2 VpnGw5AZ Máx. 100* Máx. 128 Máx. 10000 10 Gbps Compatible 9000

¿Puedo usar mi propia CA raíz de PKI interna para la conectividad de punto a sitio?

Sí. Anteriormente, solo podían usarse certificados raíz autofirmados. Todavía puede cargar hasta 20 certificados raíz.

¿Se pueden atravesar servidores proxy y firewalls con la funcionalidad de punto a sitio?

Sí. Usamos el Protocolo de túnel de sockets de seguros (SSTP) para la tunelización a través de firewalls. Este túnel aparece como una conexión HTTPS.

Si reinicio un equipo cliente configurado para punto a sitio, ¿se volverá a conectar automáticamente la VPN?

De forma predeterminada, el equipo cliente no volverá a establecer la conexión VPN automáticamente.

¿La configuración de punto a sitio admite la reconexión automática y el DDNS en los clientes VPN?

No. Las VPN de punto a sitio no admiten la reconexión automática y el DDNS.

¿Se pueden tener configuraciones de sitio a sitio y de punto a sitio en la misma red virtual?

Sí. Ambas soluciones funcionarán si tiene un tipo de VPN basada en enrutamiento para la puerta de enlace. Para el modelo de implementación clásica, necesita una puerta de enlace dinámica. No se admite la configuración de punto a sitio para puertas de enlace de VPN de enrutamiento estáticas o puertas de enlace que usan el cmdlet -VpnType PolicyBased.

¿Puedo configurar un cliente de punto a sitio para conectarse a varias redes virtuales simultáneamente?

Sí. Pero las redes virtuales no pueden tener prefijos IP superpuestos y los espacios de dirección de punto a sitio no se pueden superponer entre las redes virtuales.

¿Qué rendimiento se puede esperar en las conexiones de sitio a sitio o de punto a sitio?

Es difícil de mantener el rendimiento exacto de los túneles VPN. IPsec y SSTP son protocolos VPN con mucho cifrado. El rendimiento también está limitado por la latencia y el ancho de banda entre sus instalaciones locales e Internet.

Pasos siguientes