Cómo configurar una VPN de punto (cliente) a sitio en Azure mediante el portal clásico – Parte 3
Este tutorial consta de 3 partes, a continuación podrás ver los pasos generales que se realizan en cada parte:
- Crear una nueva Vnet con conectiviad P2S desde el portal clásico
- Crear un nuevo Gateway desde el portal clásico
- Crear un certificado raíz auto-firmado utilizando XCA
- Crear un certificado de cliente derivado del certificado raíz
- Exportar certificados para el gateway de Azure y para usuario
Parte 3
- Subir el certificado raíz para que el Gateway de Azure pueda autenticar a los clientes
- Instalar certificado raíz y el certificado del cliente en la máquina que va a conectarse a Azure
- Descargar e instalar el cliente de VPN
- Establecer túnel y verificar conectiv
En esta parte veremos cómo instalar los certificados que generamos en la parte 2.
Subir el certificado raíz para que el Gateway de Azure pueda autenticar a los clientes
En este momento, el gateway que creamos en la parte 1, tiene una advertencia que indica que no se ha subido el certificado raíz al gateway.
Para subir el certificado que generamos en la parte 2, haz clic en el tab de CERTIFICATES en las propiedades de la Vnet y luego selecciona UPLOAD A ROOT CERTIFICATE.
Selecciona el certificado raíz y haz clic en el ícono de complete para subir el certificado.
En la barra inferior, podrás verificar que se ha subido exitosamente el certificado al gateway.
Adicionalmente verás el certificado en la lista de certificados y la alerta del certificado desaparecerá indicando que hay cero clientes conectados.
Instalar certificado raíz y el certificado del cliente en la máquina que va a conectarse a Azure
Ya tenemos todo listo del lado de Azure, ahora vamos a configurar el cliente.
Primero debemos instalar el certificado raíz y el certificado de usuario en la máquina del usuario en los almacenes de certificados correctos.
En la siguiente imagen se puede ver claramente que el certificado raíz se debe instalar en el gateway de Azure, adicionalmente se debe almacenar en la máquina del usuario en el almacén de certificados de la máquina (Computer Certificate Store)
El certificado de usuario, se debe almacenar en el almacén de certificados del usuario (User Certificate Store)
Desde la máquina del usuario, para gestionar las bases de datos de certificados de la máquina, vamos a utilizar dos consolas de administración, Certlm.msc y Certmgr.msc.
Para lanzar Certlm.msc, haz clic derecho en el botón de inicio y selecciona ejecutar.
Ejecuta Certlm.msc para abrir el almacén de certificados de la máquina y selecciona Trusted Root Certification Authorities > Certificates.
En esta ubicación vamos a importar el certificado raíz, haz clic derecho sobre Certificates luego selecciona All Tasks y haz clic en Import….
Haz clic en Next en la primera pantalla del asistente de importar certificados.
Busca el certificado raíz TutorMas_CA_Root_Certificate.cer y haz clic en Next.
Verifica que el certificado se instale en Trusted Root Certification Authorities.
Haz clic en Next y luego en Finish y verifica que el certificado se haya importado correctamente.
Hasta el momento, ya tenemos instalado correctamente el certificado raíz tanto en Azure como en la máquina del usuario.
Vamos ahora a importar el certificado de usuario en el almacén de certificados del usuario (User Certificate Store).
Desde la máquina del usuario, para gestionar las bases de datos de certificados del usuario, haz clic derecho en el botón de inicio y selecciona ejecutar.
Ejecuta Certmgr.msc para abrir el almacén de certificados de la máquina y selecciona Personal > Certificates.
En esta ubicación vamos a importar el certificado del usuario, haz clic derecho sobre Certificates luego selecciona All Tasks y haz clic en Import….
Haz clic en Next en la primera pantalla del asistente de importar certificados.
Indica la clave que le asignaste al archivo en el paso 2, y selecciona únicamente Include all extended properties.
Verifica que el certificado se haya importado correctamente:
Verás que de manera automática se importó también el certificado raíz, como ya lo tenemos importado en el almacén de certificados de la máquina local, lo puedes borrar y dejar solamente el certificado del usuario.
Descargar e instalar el cliente de VPN
En este momento, ya podemos descargar e instalar el cliente de VPN en la máquina del usuario.
En las propiedades de la Vnet, podrás ver los links de descarga del paquete para 32 y para 64 bits, descarga el que corresponda a tu sistema operativo.
Debido a que el paquete de instalación no está firmado digitalmente por Microsoft, es posible que veas la siguiente advertencia, puedes darle clic en Run anyway.
Verás que el paquete te pregunta si deseas instalar el cliente para la Vnet que creamos en el paso 1.
Al finalizar la instalación, podrás ver la nueva VPN creada al hacer clic en el ícono de conexiones inalámbricas de Windows.
Establecer túnel y verificar conectividad
Al hacerle clic al la nueva conexión de VPN, se abrirá la ventana de Network & Internet y podrás conectarte al gateway haciendo clic en Connect.
Acepta la advertencia de CMROUTE.DLL.
Si todo está bien, podrás ver que ya estás conectado al VPN
Si ejecutas un IPConfig podrás ver que el cliente ha recibido una dirección IP del rango que establecimos en la parte 1 de este tutorial.
Adicionalmente en el portal, podrás ver que aparece un cliente conectado por VPN.
Para terminar, he levantado una nueva máquina virtual en la nueva Vnet en Azure para verificar que puedo conectarme por medio de RDP utilizando la direccion IP privada.
Estando conectado al túnel de VPN, ejecutamos mstsc y ponemos la dirección IP privada de la máquina virtual.
Al hacer clic en Connect de debe aparecer una ventana que te pide el usuario y la contraseña para conectarse.
Al hacer clic en OK podrás ver la advertencia de que el certificado de la máquina virtual no se puede verificar, puedes activar la opción Don´t ask me again for connections to this computer para que el certificado se instale localmente y no te salga nuevamente esta advertencia.
Luego de unos instantes tendrás el escritorio cargado.
Uffff, terminamos.
Espero que te haya gustado el tutorial, te invito a publicar en los comentarios cuáles fueron tus experiencias.
Excelente Victor, ,muy completo y útil.
Muchas gracias!
Hola Victor, gracias por todo,
Realice todo el procedimiento y me conecto a la VPN sin problema pero al momento en que quiero conectarme por escritorio remoto, me abre la ventana de login pongo las credenciales correctas y me indica que mis credenciales son incorrectas, realizando lo mismo con la IP Publica si me conecto, desde el equipo que quiero conectarme le doy ping a la IP interna y la alcanzo, me podrías ayudar.
Gracas