Requisitos previos
Previamente deberemos tener creada en nuestra suscripción de Azure una VPN conectada a la VNET que contiene los recursos que queramos acceder.
En el siguiente enlace os explica cómo realizarlo https://docs.microsoft.com/es-es/azure/vpn-gateway/create-routebased-vpn-gateway-portal es importante NO crearla en el SKU Básico, ya que no permite la conexiones Point-to-Site que vamos a configurar.
También necesitamos tener instalado el módulo de Powershell de Azure para poder conectarnos a través de Powershell a nuestra suscripción.
Aquí os explica como instalar el módulo: https://docs.microsoft.com/es-es/powershell/azure/install-az-ps?view=azps-3.6.1
Configuración del Azure AD
Vamos a registrar en nuestro Azure AD una aplicación empresarial de Microsoft llamada “Azure VPN”, con la cual podremos gestionar que usuarios pueden acceder a través de nuestra VPN.
1. Necesitaremos un usuario Administrador Global de nuestro directorio para poder realizar las tareas de configuración.
2. Accederemos al siguiente enlace https://aad.portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Properties con nuestro usuario administrador y nos abrirá el apartado de “Propiedades” de nuestro directorio.
3. Copiamos el Id. de directorio que usaremos en las tareas posteriores.
4. El siguiente paso es acceder al siguiente enlace: https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent
5. Iniciaremos sesión con nuestra cuenta de administrador y posteriormente no pedirá permiso para registrar la aplicación “Azure VPN” en nuestro Azure AD.
Con estos pasos ya habremos registrado dentro nuestro AD la aplicación de “Azure VPN”, a continuación, explicaremos como dar permiso a nuestros usuarios para que pueda utilizar la VPN.
Gestión de usuarios
Ahora podemos asignar usuarios a nuestra aplicación de “Azure VPN” para que puedan conectarse a través de nuestra VPN.
Accedemos al siguiente enlace: https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
1. Nos abrirá el listado de aplicaciones empresariales de nuestro Azure AD en este portal buscaremos “Azure VPN”.
2. Clicamos en la aplicación y configuramos el apartado de “¿Asignación de usuarios?” a Sí para que podamos controlar nosotros que usuarios pueden acceder a la VPN.
3. A continuación, vamos a acceder a “Usuarios y grupos” y en “Agregar usuario” podemos asignar tanto usuarios como grupos.
Con estos pasos ya hemos configurado nuestro Azure AD para poder configurar el acceso Point-to-Site de nuestra VPN en Azure.
Configuración de la VPN en Azure
Para este paso vamos a tener que conectarnos a nuestra suscripción de Azure a través de Powershell.
1. Necesitaremos los siguientes datos:
1. Usuario con permisos en la suscripción.
2. ID de la suscripción. - $SubcriptionID
3. Nombre de la VPN. - $VPNName
4. Nombre del grupo de recursos donde está la VPN. - $RgName
5. ID del Azure AD que copiamos en el punto 3 de la parte de “Configuración del Azure AD” - $AzureADID
6. Rango IPs que vamos a asignar a los usuarios que se conecten a nuestra VPN. - $IPRange
2. Con esos datos rellenaremos las variables del siguiente script.
$SubcriptionID = ""
$VPNName = ""
$RgName = ""
$AzureADID = ""
$IPRange = ""
Connect-AzAccount -SubscriptionId $SubcriptionID
$gw = Get-AzVirtualNetworkGateway -Name $VPNName -ResourceGroupName $RgName
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -VpnClientRootCertificates @()
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -AadTenantUri "https://login.microsoftonline.com/$AzureADID" -AadAudienceId "41b23e61-6c1e-4545-b367-cd054e0ed4b4" -AadIssuerUri "https://sts.windows.net/$AzureADID/" -VpnClientAddressPool $IPRange -VpnClientProtocol OpenVPN
$profile = New-AzVpnClientConfiguration -Name $VPNName -ResourceGroupName $RgName -AuthenticationMethod "EapTls"
$PROFILE.VpnProfileSASUrl
3. En la siguiente imagen podemos ver un ejemplo de las variables:
4. Tras ejecutar el script nos devolverá una url que tendremos que copiar para descargarnos la configuración del Point-to-Site que tendremos que importar en la aplicación que vamos a instalar en los ordenadores de nuestros usuarios para que se puedan conectarse a la VPN.
5. Con esta url vamos a nuestro navegador Web, lo pegamos en la barra de navegación y descargamos el archivo “vpnclientconfiguration.zip”.
6. Descomprimimos el archivo y guardamos el archivo “azurevpnconfig.xml” que está dentro de la carpeta “AzureVPN”.
Finalmente, vamos a instalar la aplicación cliente donde importaremos el archivo “azurevpnconfig.xml”.
Instalación y configuración del “Cliente VPN de Azure”
Para conectarse, tiene que descargar el cliente VPN de Azure y configurar un perfil de cliente VPN en todos los equipos que quieran conectarse a la red virtual. Puede crear un perfil de cliente en un equipo, exportarlo y, después, importarlo en otros equipos.
El usuario necesita descargar el cliente de VPN de Azure e importar el perfil xml que hemos descargado previamente (“azurevpnconfig.xml”) para poder conectarse directamente a nuestra VPN.
1. Descargamos el Cliente VPN de Azure desde el siguiente enlace: https://go.microsoft.com/fwlink/?linkid=2117554
2. A continuación, vamos a importar nuestro perfil.