Azure Virtual Networks – Point-to­-Site

Implicaciones.

  • Clientes individuales se conectan a Azure VNet desde un cliente VPN
  • Utiliza SSTP (Secure Socket Tunnel Protocol)
  • Utiliza certificado de autenticación entre cliente y VNet
  • Configurada individualmente; se instala el cliente VPN en la computadora cliente
  • Límite de 128 clientes por VNet
  • Requiere enrutamiento dinámico
  • Bandwith del Gateway es de 80Mbps

Secuencia:

  • Crear una VNet punto a sitio desde el portal de administración
  • Crear el network Gateway desde el portal o desde powershell
  • Crear el Self-signed root certificate
  • Crear el Self-signer client certificate desde el root certificate
  • Exportar el certificado cliente desde el Certificate Store
  • Subir el certificado de autenticación a Azure
  • Instalar el certificado cliente en la máquina cliente para autenticar en Vnet
  • Instalar el paquete VPN- se descarga del portal
  • Establecer la VPN y verificar conectividad

En el portal de administración de Windows Azure, haga clic en Redes y luego haga clic en Crear una red virtual. Proporcione un nombre descriptivo para la red virtual, 

2. Seleccionar la configuración Point-To-Site

 

Al dar click en point-to-site VPN, nos aparece el siguiente diagrama,

 

Este diagrama que se genera, quiere decir que vamos a crear un túnel mediante el cual tenemos un cierto número de clientes que se conectarán a la VPN. Cuando tenemos una VPN, podemos tener múltiples conexiones tanto Point-to-Site como Site-To-Site.

De hecho, si damos click en Site-To-Site VPN, crearemos una Local Network, es decir, nuestra red local on-premise, va a ser capaz de conectarse a dicha VPN en Azure.

Por el momento nos enfocaremos en Point-to-Site, por lo que sólo seleccionaremos Point-to-Site VPN. CLick en siguiente.

Esta nueva pantalla (figura a continuación), nos provee información del rango de direcciones de IP´s de la VPN que va a ser utilizada por los clientes. Esto es, cada vez que algún cliente intente conectarse a la VPN, es necesario proveerle de una dirección IP, dicha dirección IP va a ser separada de la IP Local o de la IP del cliente. Por lo que debes asegurarte de que esta dirección IP no se cruce con el rango de direcciones IP´s del cliente/local.

**Recordemos que el rango límite por Vnet es de 128 clientes.

Dejaremos la configuración de 29/6

 

Hasta este punto, esta configuración es para la conexión Point-to-Site, el rango de direcciones no tiene nada que ver con el espacio de direcciones de la VPN aún.

A continuación vamos a establecer el rango de direcciones de la VPN. En el siguiente paso vamos a modificar la Starting IP a 10.1.0.0:

A continuación, modificamos el CIDR(Addresss Count) a 16:

 

A continuación, en la subnet, dejaremos los valores por default, como sigue:

 

Una vez que tenemos dicha configuración de rango de direcciones IP´s, debemos asegurarnos que no se cruce con el rango de direcciones que tenemos en la red local o en el cliente.

A continuación, vamos a agregar una Gateway subnet. Actualmente tenemos la Subnet, llamada Subnet-1, la cual tiene el rango de 10.1.0.0 a 10.1.31.255.

Damos click en crear Gateway subnet, esto es crear otra subnet para tomar un rango de direcciones IP, dedicadas a la comunicación del Gateway al lado del cliente. No es necesario agregar valores específicos.

Todo esta configuración está dentro del mismo rango de espacio de direcciones, pero distinto del subnet que tenemos, ya que el Gateway debe asegurarse que no exista conflicto de las direcciones.

A continuación damos click en OK, esto comenzará el proceso del provisionamiento de la VPN. No llevará más de 3 minutos en estar lista.

 

Ahora vamos a crear una Máquina Virtual (VM), para probar la VPN.

A continuación, creamos una VM de la galería: New > Compute – Virtual Machine- From the Gallery:

 

 

 

 

 

Seleccionamos alguna VM, en este caso Windows Server 2012 R2 Datacenter:

 

Damos click en siguiente.

En la configuración de la VM, damos el nombre (MSDN-VPN-server), tier standard, size (A3), usuario y password

Click en siguiente.

En la siguiente configuración dejaremos todo por default, excepto por la región, asignaremos la VPN que acabamos de crear:

Damos click en siguiente.

Dejamos la configuración en default y damos click en OK.

A continuación comenzará el provisionamiento de la VM.

 

Ahora vamos a crear el Gateway de la VPN.

En el portal de azure, vamos a la sección de networks y seleccionamos la VPN que acabamos de crear:

 

 

 

En el dashboard podemos ver que aún no hay conectividad del cliente hacia la VPN:

Vamos a dar click en crear Gateway:

 

A continuación el portal nos mostrará la pregunta de confirmación para crear el Gateway:

 

 

Damos click en Yes.

 

La creación de este Gateway puede llegar a tardar 60 minutos en provisionarse. Una vez creado el Gateway podremos ver una IP Pública la cual utilizarán los clientes para conectarse.

 

**Además de eso, nos mostrará un mensaje de advertencia el cual menciona que el root certificate no ha sido subido.

 

Siguiente paso, vamos a crear el certificado, para eso contamos con la herramienta makecert.exe.

 

Abrimos la consola de comandos, y verificamos que tengamos la herramienta con el comando: dir/s makecert.exe

 

Si no cuentas con la herramienta, puedes descargarla desde acáhttp://wp.me/a6pNav-hr

La segunda opción es descargar la herramienta Windows SDK for Win 7 acá: http://www.microsoft.com/en-us/download/details.aspx?id=8279

 

**Recomendado pornerlo en C:temp

Deseleccionar todo y dejar únicamente “Tools”:

**Configurar Makecert

    1. Ejecutar mmc.exe
    2. File>add/Remoe snap in

3. Agregamos los certificados

4. Seleccionar My User Account > Finish

Seleccionar OK.

A continuación podremos ver los listados de los certificados con los que contamos:

 

 

 

A continuación ejecutaremos el comando:

makecert.exe -r -sky exchange -n "CN=AzureVPNRootCert" -pe -a sha1 -len 2048 -ss My "AzureVPNRootCert.cer"

Veremos el mensaje de “succeed

Si vamos a C:temp, veremos el certificado creado:

Ahora vamos a crear el certificado self-signed del root certificate que acabamos de crear:

Necesitamos realizar esta tarea para cada uno de los clientes que se conectarán a la VPN

Ejecutamos en la consola, el siguiente comando:

makecert.exe -n "CN=AzureVPNClientCert" -pe -sky exchange -m 96 -ss My -in "AzureVPNRootCert" -is my -a sha1

 

Veremos que se han creado ambos certificados de manera satisfactoria:

 

Ahora vamos a exportar el certificado del Certificate Store:

Del certificado cliente creado, lo seleccionamos, damos click derecho > all tasks > export

 

Damos click en Next > Seleccionamos Yes, export private key> Next

 

En el siguiente paso dejamos la configuración por default.

Click en next.

 

En el siguiente paso vamos a establecer un password:

 

Click next.

Vamos a almacenar el certificado en C:temp, lo nombramos clientcert

 

Posteriormente veremos los detalles y una notificación de que todo ha ido satisfactoriamente:

 

Ahora vamos a subir el certificado root Azure:

 

Vamos al portal de azure > networks > seleccionamos nuestra VPN > certificates

 

Seleccionamos Update a root certificate, vamos a buscar nuestro certificado creado (ubicado en C:temp):

 

Damos click en OK.

Podremos ver ahora los detalles del certificado:

Ahora vamos a instalar el certificado cliente en la máquina cliente para autenticarnos a la VNet:

Vamos a la ubicación donde exportamos nuestros certificados (C:temp) y seleccionamos el certificado cliente, doble click, seleccionamos current user:

 

Damos click en next:

Luego nos pedirá el password que anteriormente establecimos:

Damos click en next:

 

Dejamos el default, next:

 

Damos click en finishNos mostrará un warning, damos click en Yes.

 

 

Penúltimo paso, vamos a instalar el paquete cliente de la VPN:

Vamos al portal de azure > network > Seleccionamos nuestra VPN> Dashboard:

 

Dependiendo de nuestro equipo cliente, vamos a descargar el paquete de 64-bit o 32-bit, en este caso descargaremos el de 64-bit

Este paquete contiene la configuración para poder conectar el cliente a la VPN, guardaremos el archivo .exe de la descarga en el escritorio

Una vez desargado, vamos al escritorio, damos click derecho en el archivo > propiedades > seleccionamos unblock:

Damos click en apply, OK.

 Despuesclick derecho en el archivo, ejecutar como administrador, nos mostrará la siguiente advertencia:

 

Con esto habremos creado exitosamente la conexión a la VPN, ahora nos aparecerá en nuestra lista de redes disponibles:

 

Si vamos a la siguiente ubicación, notaremos que existe una carpeta y un archivo

 

C:UsersDaveAppDataRoamingMicrosoftNetworkConnectionsCm

 

Si deseas instalar por segunda vez el paquete de la conexión de la VPN, debes asegurarte de borrar dichos archivos. De lo contrario no podrás conectarte a la VPN

Este proceso también generará un nuevo adaptador de red el cual podrás visualizar en el apartado de networking de tu equipo cliente.

 

Último paso, vamos a verificar la conexión a la VPN:

 

Vamos a las conexiones disponibles, seleccionamos nuestra network y abrirá el settings de Windows 10y aparecerá nuestra VPN, damos click en conectar:

Nos mostrará el siguiente mensaje:

Click en connect y continuar:

Para verificar que tenemos conectividad, vamos a la consola y ejecutamos el comando ipconfig:

 

Podremos ver que ya estamos conectados, vamos a verificar el túnel. Vamos a conectarnos a la VM que creamos (Windows server 2012), desactivamos el firewall y ejecutamos el ipconfig:

Ahora vamos a realizar un ping desde nuestro equipo cliente a 10.1.0.4

 

Podremos visualizar que está funcionando correctamente nuestra VPN.