Requisitos previos
Previamente deberemos tener creada en nuestra suscripción de Azure una VPN conectada a la VNET que contiene los recursos que queramos acceder.
En el siguiente enlace os explica cómo realizarlo https://docs.microsoft.com/es-es/azure/vpn-gateway/create-routebased-vpn-gateway-portal es importante NO crearla en el SKU Básico, ya que no permite la conexiones Point-to-Site que vamos a configurar.
También necesitamos tener instalado el módulo de Powershell de Azure para poder conectarnos a través de Powershell a nuestra suscripción.
Aquí os explica como instalar el módulo: https://docs.microsoft.com/es-es/powershell/azure/install-az-ps?view=azps-3.6.1
Configuración del Azure AD
Vamos a registrar en nuestro Azure AD una aplicación empresarial de Microsoft llamada “Azure VPN”, con la cual podremos gestionar que usuarios pueden acceder a través de nuestra VPN.
1. Necesitaremos un usuario Administrador Global de nuestro directorio para poder realizar las tareas de configuración.
2. Accederemos al siguiente enlace https://aad.portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Properties con nuestro usuario administrador y nos abrirá el apartado de “Propiedades” de nuestro directorio.
3. Copiamos el Id. de directorio que usaremos en las tareas posteriores.
4. El siguiente paso es acceder al siguiente enlace: https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent
5. Iniciaremos sesión con nuestra cuenta de administrador y posteriormente no pedirá permiso para registrar la aplicación “Azure VPN” en nuestro Azure AD.
Con estos pasos ya habremos registrado dentro nuestro AD la aplicación de “Azure VPN”, a continuación, explicaremos como dar permiso a nuestros usuarios para que pueda utilizar la VPN.
Gestión de usuarios
Ahora podemos asignar usuarios a nuestra aplicación de “Azure VPN” para que puedan conectarse a través de nuestra VPN.
Accedemos al siguiente enlace: https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
1. Nos abrirá el listado de aplicaciones empresariales de nuestro Azure AD en este portal buscaremos “Azure VPN”.
2. Clicamos en la aplicación y configuramos el apartado de “¿Asignación de usuarios?” a Sí para que podamos controlar nosotros que usuarios pueden acceder a la VPN.
3. A continuación, vamos a acceder a “Usuarios y grupos” y en “Agregar usuario” podemos asignar tanto usuarios como grupos.
Con estos pasos ya hemos configurado nuestro Azure AD para poder configurar el acceso Point-to-Site de nuestra VPN en Azure.
Configuración de la VPN en Azure
Para este paso vamos a tener que conectarnos a nuestra suscripción de Azure a través de Powershell.
1. Necesitaremos los siguientes datos:
1. Usuario con permisos en la suscripción.
2. ID de la suscripción. - $SubcriptionID
3. Nombre de la VPN. - $VPNName
4. Nombre del grupo de recursos donde está la VPN. - $RgName
5. ID del Azure AD que copiamos en el punto 3 de la parte de “Configuración del Azure AD” - $AzureADID
6. Rango IPs que vamos a asignar a los usuarios que se conecten a nuestra VPN. - $IPRange
2. Con esos datos rellenaremos las variables del siguiente script.
$SubcriptionID = ""
$VPNName = ""
$RgName = ""
$AzureADID = ""
$IPRange = ""
Connect-AzAccount -SubscriptionId $SubcriptionID
$gw = Get-AzVirtualNetworkGateway -Name $VPNName -ResourceGroupName $RgName
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -VpnClientRootCertificates @()
Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -AadTenantUri "https://login.microsoftonline.com/$AzureADID" -AadAudienceId "41b23e61-6c1e-4545-b367-cd054e0ed4b4" -AadIssuerUri "https://sts.windows.net/$AzureADID/" -VpnClientAddressPool $IPRange -VpnClientProtocol OpenVPN
$profile = New-AzVpnClientConfiguration -Name $VPNName -ResourceGroupName $RgName -AuthenticationMethod "EapTls"
$PROFILE.VpnProfileSASUrl
3. En la siguiente imagen podemos ver un ejemplo de las variables:
4. Tras ejecutar el script nos devolverá una url que tendremos que copiar para descargarnos la configuración del Point-to-Site que tendremos que importar en la aplicación que vamos a instalar en los ordenadores de nuestros usuarios para que se puedan conectarse a la VPN.
5. Con esta url vamos a nuestro navegador Web, lo pegamos en la barra de navegación y descargamos el archivo “vpnclientconfiguration.zip”.
6. Descomprimimos el archivo y guardamos el archivo “azurevpnconfig.xml” que está dentro de la carpeta “AzureVPN”.
Finalmente, vamos a instalar la aplicación cliente donde importaremos el archivo “azurevpnconfig.xml”.
Instalación y configuración del “Cliente VPN de Azure”
Para conectarse, tiene que descargar el cliente VPN de Azure y configurar un perfil de cliente VPN en todos los equipos que quieran conectarse a la red virtual. Puede crear un perfil de cliente en un equipo, exportarlo y, después, importarlo en otros equipos.
El usuario necesita descargar el cliente de VPN de Azure e importar el perfil xml que hemos descargado previamente (“azurevpnconfig.xml”) para poder conectarse directamente a nuestra VPN.
1. Descargamos el Cliente VPN de Azure desde el siguiente enlace: https://go.microsoft.com/fwlink/?linkid=2117554
2. A continuación, vamos a importar nuestro perfil.
3. Nos mostrará lo datos de la conexión simplemente tenemos que “Guardar” la configuración.
4. Nos saldrá la conexión y al conectarnos nos pedirá iniciar sesión con nuestro usuario del Azure AD.
5. Nos enseñará los datos de la conexión con Azure con el rango de IPs que redirige a la VPN de Azure.
Así tendremos configurado nuestro cliente VPN para acceder a la red interna de la empresa en Azure.
Conclusiones
Realizando estas acciones podemos controlar los accesos Point-to-Site a nuestra red de Azure de forma más eficaz, y con un control de usuarios que nos permite gestionar de forma más cómoda quien puede acceder a nuestra VNET privada en Azure.
Si realizamos cambios a nuestra VNET estos cambios se actualizarán en los clientes de cada usuario sin necesidad de volver a instalar.
También se puede añadir una capa extra de seguridad habilitando el acceso utilizando una autenticación multifactor (MFA).
Si accedemos al recurso de la VPN desplegada en Azure en el apartado “Conexión de punto a sitio” podemos la configuración que hemos desplegado y que IPs se han asignado.