azure virtual networks point-to-site · cloud business engineers © 2015 – wikiazure. en el...

Cloud Business Engineers

© 2015 – Wikiazure.

Azure Virtual Networks – Point-to-Site

VERSION: 1.0

ACTUALIZADO: DICIEMBRE 2015

AUTHOR: DAVID RENDÓN

Implicaciones.

Clientes individuales se conectan a Azure VNet desde un cliente VPN

Utiliza SSTP (Secure Socket Tunnel Protocol)

Utiliza certificado de autenticación entre cliente y VNet

Configurada individualmente; se instala el cliente VPN en la computadora cliente

Límite de 128 clientes por VNet

Requiere enrutamiento dinámico

Bandwith del Gateway es de 80Mbps

Secuencia:

Crear una VNet punto a sitio desde el portal de administración

Crear el network Gateway desde el portal o desde powershell

Crear el Self-signed root certificate

Crear el Self-signer client certificate desde el root certificate

Exportar el certificado cliente desde el Certificate Store

Subir el certificado de autenticación a Azure

Instalar el certificado cliente en la máquina cliente para autenticar en Vnet

Instalar el paquete VPN- se descarga del portal

Establecer la VPN y verificar conectividad



En el portal de administración de Windows Azure, haga clic en Redes y luego haga clic en Crear una

red virtual. Proporcione un nombre descriptivo para la red virtual,

2. Seleccionar la configuración Point-To-Site



Al dar click en point-to-site VPN, nos aparece el siguiente diagrama,

Este diagrama que se genera, quiere decir que vamos a crear un túnel mediante el cual tenemos un

cierto número de clientes que se conectarán a la VPN. Cuando tenemos una VPN, podemos tener

múltiples conexiones tanto Point-to-Site como Site-To-Site.

De hecho, si damos click en Site-To-Site VPN, crearemos una Local Network, es decir, nuestra red

local on-premise, va a ser capaz de conectarse a dicha VPN en Azure.

Por el momento nos enfocaremos en Point-to-Site, por lo que sólo seleccionaremos Point-to-Site

VPN. CLick en siguiente.

Esta nueva pantalla (figura a continuación), nos provee información del rango de direcciones de IP´s

de la VPN que va a ser utilizada por los clientes. Esto es, cada vez que algún cliente intente

conectarse a la VPN, es necesario proveerle de una dirección IP, dicha dirección IP va a ser separada

de la IP Local o de la IP del cliente. Por lo que debes asegurarte de que esta dirección IP no se cruce

con el rango de direcciones IP´s del cliente/local.

**Recordemos que el rango límite por Vnet es de 128 clientes.

Dejaremos la configuración de 29/6



Hasta este punto, esta configuración es para la conexión Point-to-Site, el rango de direcciones no

tiene nada que ver con el espacio de direcciones de la VPN aún.

A continuación vamos a establecer el rango de direcciones de la VPN. En el siguiente paso vamos a

modificar la Starting IP a 10.1.0.0:



A continuación, modificamos el CIDR(Addresss Count) a 16:

A continuación, en la subnet, dejaremos los valores por default, como sigue:



Una vez que tenemos dicha configuración de rango de direcciones IP´s, debemos asegurarnos que

no se cruce con el rango de direcciones que tenemos en la red local o en el cliente.

A continuación, vamos a agregar una Gateway subnet. Actualmente tenemos la Subnet, llamada

Subnet-1, la cual tiene el rango de 10.1.0.0 a 10.1.31.255.

Damos click en crear Gateway subnet, esto es crear otra subnet para tomar un rango de direcciones

IP, dedicadas a la comunicación del Gateway al lado del cliente. No es necesario agregar valores

específicos.



Todo esta configuración está dentro del mismo rango de espacio de direcciones, pero distinto del

subnet que tenemos, ya que el Gateway debe asegurarse que no exista conflicto de las direcciones.

A continuación damos click en OK, esto comenzará el proceso del provisionamiento de la VPN. No

llevará más de 3 minutos en estar lista.



Ahora vamos a crear una Máquina Virtual (VM), para probar la VPN.

A continuación, creamos una VM de la galería: New > Compute – Virtual Machine- From the Gallery:



Seleccionamos alguna VM, en este caso Windows Server 2012 R2 Datacenter:

Damos click en siguiente.

En la configuración de la VM, damos el nombre (MSDN-VPN-server), tier standard, size (A3), usuario

y password



Click en siguiente.

En la siguiente configuración dejaremos todo por default, excepto por la región, asignaremos la VPN

que acabamos de crear:

Damos click en siguiente.



Dejamos la configuración en default y damos click en OK.

A continuación comenzará el provisionamiento de la VM.

Ahora vamos a crear el Gateway de la VPN.

En el portal de azure, vamos a la sección de networks y seleccionamos la VPN que acabamos de

crear:



En el dashboard podemos ver que aún no hay conectividad del cliente hacia la VPN:

Vamos a dar click en crear Gateway:



A continuación el portal nos mostrará la pregunta de confirmación para crear el Gateway:

Damos click en Yes.

La creación de este Gateway puede llegar a tardar 60 minutos en provisionarse. Una vez creado el

Gateway podremos ver una IP Pública la cual utilizarán los clientes para conectarse.

**Además de eso, nos mostrará un mensaje de advertencia el cual menciona que el root certificate

no ha sido subido.

Siguiente paso, vamos a crear el certificado, para eso contamos con la herramienta makecert.exe.

Abrimos la consola de comandos, y verificamos que tengamos la herramienta con el comando: dir/s

makecert.exe

Si no cuentas con la herramienta, puedes descargarla desde acá: http://wp.me/a6pNav-hr

La segunda opción es descargar la herramienta Windows SDK for Win 7 acá:

http://www.microsoft.com/en-us/download/details.aspx?id=8279

**Recomendado pornerlo en C:\temp

Deseleccionar todo y dejar únicamente “Tools”:

http://wp.me/a6pNav-hr

http://www.microsoft.com/en-us/download/details.aspx?id=8279



**Configurar Makecert

1. Ejecutar mmc.exe

2. File>add/Remoe snap in



3. Agregar certificados:

4. Seleccionar My user account > finish

Seleccionar OK.



A continuación podremos ver los listados de los certificados con los que contamos:

A continuación ejecutaremos el comando:

makecert.exe -r -sky exchange -n "CN=AzureVPNRootCert" -pe -a sha1 -len 2048 -ss My

"AzureVPNRootCert.cer"

Veremos el mensaje de “succeed”

Si vamos a C:\temp, veremos el certificado creado:

Ahora vamos a crear el certificado self-signed del root certificate que acabamos de crear:

Necesitamos realizar esta tarea para cada uno de los clientes que se conectarán a la VPN

Ejecutamos en la consola, el siguiente comando:

makecert.exe -n "CN=AzureVPNClientCert" -pe -sky exchange -m 96 -ss My -in "AzureVPNRootCert"

-is my -a sha1



Veremos que se han creado ambos certificados de manera satisfactoria:

Ahora vamos a exportar el certificado del Certificate Store:

Del certificado cliente creado, lo seleccionamos, damos click derecho > all tasks > export

Damos click en Next > Seleccionamos Yes, export private key> Next



En el siguiente paso dejamos la configuración por default.



Click en next.

En el siguiente paso vamos a establecer un password:



Click next.

Vamos a almacenar el certificado en C:\temp, lo nombramos clientcert



Posteriormente veremos los detalles y una notificación de que todo ha ido satisfactoriamente:



Ahora vamos a subir el certificado root a Azure:

Vamos al portal de azure > networks > seleccionamos nuestra VPN > certificates



Seleccionamos Update a root certificate, vamos a buscar nuestro certificado creado (ubicado en

C:\temp):

Damos click en OK.

Podremos ver ahora los detalles del certificado:



Ahora vamos a instalar el certificado cliente en la máquina cliente para autenticarnos a la VNet:

Vamos a la ubicación donde exportamos nuestros certificados (C:\temp) y seleccionamos el

certificado cliente, doble click, seleccionamos current user:



Damos click en next:

Luego nos pedirá el password que anteriormente establecimos:



Damos click en next:



Dejamos el default, next:



Damos click en finish. Nos mostrará un warning, damos click en Yes.



Penúltimo paso, vamos a instalar el paquete cliente de la VPN:

Vamos al portal de azure > network > Seleccionamos nuestra VPN> Dashboard:

Dependiendo de nuestro equipo cliente, vamos a descargar el paquete de 64-bit o 32-bit, en este

caso descargaremos el de 64-bit

Este paquete contiene la configuración para poder conectar el cliente a la VPN, guardaremos el

archivo .exe de la descarga en el escritorio

Una vez desargado, vamos al escritorio, damos click derecho en el archivo > propiedades >

seleccionamos unblock:



Damos click en apply, OK.

Despues, click derecho en el archivo, ejecutar como administrador, nos mostrará la siguiente

advertencia:



Con esto habremos creado exitosamente la conexión a la VPN, ahora nos aparecerá en nuestra lista

de redes disponibles:

Si vamos a la siguiente ubicación, notaremos que existe una carpeta y un archivo

C:\Users\Dave\AppData\Roaming\Microsoft\Network\Connections\Cm

Si deseas instalar por segunda vez el paquete de la conexión de la VPN, debes asegurarte de borrar

dichos archivos. De lo contrario no podrás conectarte a la VPN

Este proceso también generará un nuevo adaptador de red el cual podrás visualizar en el apartado

de networking de tu equipo cliente.



Último paso, vamos a verificar la conexión a la VPN:

Vamos a las conexiones disponibles, seleccionamos nuestra network y abrirá el settings de Windows

10y aparecerá nuestra VPN, damos click en conectar:

Nos mostrará el siguiente mensaje:



Click en connect y continuar:

Para verificar que tenemos conectividad, vamos a la consola y ejecutamos el comando ipconfig:

Podremos ver que ya estamos conectados, vamos a verificar el túnel. Vamos a conectarnos a la VM

que creamos (Windows server 2012), desactivamos el firewall y ejecutamos el ipconfig:

Ahora vamos a realizar un ping desde nuestro equipo cliente a 10.1.0.4



Podremos visualizar que está funcionando correctamente nuestra VPN.

azure virtual networks point-to-site · cloud business engineers © 2015 – wikiazure. en el...

Documents