Crear una conexión VPN Point-to-Site en Windows Azure

Actualización 26/03/2017: Esta información ha sido actualizada al nuevo portal de Azure con ARM. Artículo actualizado aquí

En esta ocasión veremos cómo crear una conexión VPN Poin-to-Site entre Windows Azure y cualquier equipo local, existe otro tipo de conexión en Azure llamado VPN Site-toSite que permite conectar la red de Windows Azure con una red local, la diferencia es clara la opción que trataremos me permite conectar un único equipo a la red de Azure, mientras que la segunda opción permite conectar toda una red local a la red de Windows Azure.

Vamos a empezar creando la conexión VPN, para ello debemos hacer uso de una red virtual en Windows Azure, si aún no tienes una red virtual o no sabes a que me refiero, te recomiendo primero leer el siguiente artículo: Creación de una red virtual en Windows Azure

Nota: La configuración de las VPN se puede realizar durante la creación de la red virtual, pero en este caso dividí la tarea en dos partes.

Ingresamos al sitio de administración de Azure: http://manage.windowsazure.com/ 

Primero debemos editar la configuración de nuestra red virtual, para mi caso editaré la red virtual llamada network2

Ahora seleccionamos la opción Configurar del menú superior

Más abajo, encontramos la opción conectividad de punto a sitio (opción disponible por ahora en vista previa), marcamos la casilla de verificación Configurar la conectividad de punto a sitio inmediatamente se desplegará la opción para elegir el espacio de direcciones a utilizar para los equipos que se conecten a la VPN.

En este caso elegí el espacio 10.0.0.0 para asignar a los clientes que se conecten, si bien la conexión se hace por equipo, está permitido conectar hasta un máximo de 250 equipos individuales a través de la conexión Point-to-Site.

Una vez habilitada la conectividad de punto a sitio debemos agregar una subred de puerta de enlace, necesaria para establecer conectividad entre la red local y Windows Azure, simplemente debemos presionar el botón agregar subred de puerta de enlace.

Como se puede apreciar automáticamente se agregó la subred de puerta de enlace, hacemos clic en el botón Guardar de la parte inferior y esperamos a que la configuración finalice.

Una vez terminada la tarea nos pasamos a la opción Certificados del menú superior y veremos el siguiente mensaje.

Bueno, el mensaje es muy claro, debemos cargar un certificado, pero de dónde lo sacamos?, bien pues por ahora Windows Azure solo trabaja con certificados autofirmados, así que debemos recurrir a una utilidad llamada Makecert para generar el certificado, esta utilidad la podemos obtener de dos formas, una de ellas es si tenemos Visual Studio instalado, pues este la incorpora, o bien podemos instalar el SDK de Windows 8 el cual también la incluye.

Está bien, si no tienes Visual Studio instalado y tampoco tienes tiempo para descargar e instalar el SDK de Windows 8 puedes descargar la utilidad directamente a través del siguiente enlace:http://www.inventec.ch/chdh/notes/makecert_5_131_3790_0.zip

Ya con la herramienta descargada ejecutamos la siguiente instrucción para generar el certificado para el servidor:

makecert -sky exchange -r -n "CN=Azure-Root-Cert" -pe -a sha1 -len 2048 -ss My

Listo, ahora que hemos creado el certificado para el servidor, debemos crear uno para los equipos cliente que se van a conectar a través de la VPN a la red de Windows Azure.

makecert.exe -n "CN=Client-VPN-Cert" -pe -sky exchange -m 96 -ss My -in "Azure-Root-Cert" -is my -a sha1

Ahora que ya tenemos ambos certificados, tanto el del servidor como el del cliente, debemos exportarlos, veamos como.

Iniciamos la utilidad certmgr desde la misma línea de comandos.

Expandimos Personal - Certificados y veremos los dos certificados que creamos con la utilidad Makecert

Ahora debemos exportar cada uno de ellos, empecemos con el certificado root

Hacemos clic sobre el certificado en Todas las tareas seleccionamos Exportar

En el asistente seleccionamos No exportar la clave privada

Dejamos la opción por defecto para el formato del certificado

Por último elegimos la ruta donde vamos a guardar el certificado y el nombre que le daremos.

Bien, ahora vamos a exportar el certificado del cliente de la misma forma que hicimos con el de root, pero ahora sí vamos a exportar la clave privada como se muestra a continuación.

Mantenemos las opciones de formato por defecto

Establecemos una contraseña para proteger la clave privada

Por último elegimos el nombre y la ubicación para el certificado de cliente.

El certificado de cliente debe ser instalado en cada uno de los equipos que se utilizarán para conectarse a la VPN

Una vez terminada la instalación del certificado volvemos al sitio de administración de Windows Azure para crear la conexión de punto a sitio, volvemos a la opción de certificados de la red virtual y elegimos la opción Cargar un certificado raíz

Y hacemos clic para buscar el certificado raíz que creamos previamente, lo cargamos y esperamos hasta que aparezca con estado creado.

Ahora seleccionamos la opción Panel de la parte superior, podemos observar que en la gráfica de la red virtual aparece un mensaje indicando que no se creó la puerta de enlace, bien, pues lo único que debemos hacer es clic en el botón de la parte inferior que dice Crear puerta de enlace.

Esperamos unos cuantos minutos hasta que finalice el proceso de creación de la puerta de enlance, al final el gráfico tendrá un aspecto como el siguiente:

Como se puede apreciar, la puerta de enlace ha sido creada, y además nos muestra información de los Bytes de entrada y salida, así como la dirección IP que se utilizará.

También una vez creada la puerta, se generan los enlaces para descargar el paquete de conexión VPN para el cliente, descargamos según la arquitectura del equipo cliente.

Al finalizar la instalación del paquete, se creará una conexión SSTP para establecer la VPN con la red de Windows Azure

Al hacer clic en conectar se abrirá la utilidad Windows Azure Virtual Network y hacemos clic en el botón Conectar

Una vez finalizada la conexión haremos un ipconfig para comprobar que efectivamente hemos recibido una dirección IP del segmento que definimos.

Como podemos apreciar, ya tenemos conectividad entre el equipo local y la red de Windows Azure, por lo tanto podemos hacer uso de todos los servicios dispuestos en la nube de Windows Azure desde nuestro equipo local. Por último veamos el estado de la conexión VPN en el sitio de administración de Windows Azure.

Nótese que se armó la conexión entre nuestra red virtual y el equipo local, recordemos que podemos realizar conexión Point-to-Site en un máximo de 250 equipos.

Bueno, por ahora esto es todo, espero sea de utilidad y nos vemos en un próximo artículo sobre el apasionante mundo de la nube Microsoft. Hasta pronto!

Creación de una red virtual en Windows Azure

En esta oportunidad mostraré los pasos que se deben llevar a cabo en Windows Azure para crear una red virtual. Es importante aclarar que solo podemos crear redes con direcciones IPv4, Windows Azure no soporta direccionamiento IPv6, las redes que podemos crear deben estar en el espacio de redes privadas (10.x, 172.x, 192.x).

Una vez creada la red virtual, podemos crear máquinas virtuales y asignarlas al segmento de red que ya hemos definido, y todas las máquinas que vayamos agregando a la red tendrán comunicación entre sí. También es importante saber que existe la posibilidad de crear las redes virtuales que necesitemos, pero no es posible comunicar las máquinas entre dichas redes, es decir; solo podemos establecer comunicación con las máquinas que se encuentren dentro del mismo segmento, generando de este modo asilamiento entre ellas. 

A través de la creación de redes virtuales, podemos extender nuestro centro de datos local (on-premises) a la nube de Windows Azure, es decir; podemos conectar nuestro segmento de la red corporativa con la red virtual de Windows Azure que creemos, esto a través de una conexión VPN site to site.

Otra consideración importante acerca de las redes virtuales en Windows Azure, es que no podemos realizar traza de rutas (tracert) para diagnosticar la conectividad, así como tampoco es permitida la salida de paquetes ICMP, por lo cual no es posible hacer ping a direcciones IP fuera de nuestra red. También considero importante tocar en este momento el tema del direccionamiento de las máquinas virtuales, pues es importante saber que no debemos asignar direcciones IP estáticas a nuestros servidores, así como lo ven!!..Windows Azure utiliza su propio sistema de direccionamiento dinámico (DHCP) y no recomienda que asignemos direcciones IP estáticas a nuestras máquinas o perdemos la conectividad. Pero entonces, qué sucede con sistemas que requieren de una dirección IP estática, como por ejemplo un controlador de dominio, donde las "Best practices" indican que estos servidores deben tener una dirección IP estática.(actualización: ya es posible trabajar con IP estática, artículo aquí) Pues bien, resulta que Windows Azure, si bien asigna una dirección dinámica, esta no cambia durante el tiempo de vida de la máquina virtual, es decir; la dirección se conserva hasta que eliminemos o desasignemos la máquina, lo cual viene siendo muy parecido a tener una dirección IP estática.

Bien, creo que ya es suficiente de teoría, creo que con lo mencionado podemos tener una idea general de lo que se tratan las redes virtuales en Windows Azure, ahora vamos a crear una para ver lo sencillo que resulta.

Lo primero, ingresar al sitio de gestión de Windows Azure y en el panel de opciones seleccionar Redes

Luego, en la parte inferior izquierda de la pantalla hacemos clic en la opción Nuevo

En Servicios de Red elegimos Red Virtual y por último Creación Personalizada como se muestra a continuación.

Ahora debemos empezar a diligenciar los detalles de nuestra red virtual, le asignamos un nombre a nuestro gusto, en mi caso network2, ya que antes había creado una network1 ;-) el grupo de afinidad lo llame del mismo modo, recordemos que le grupo de afinidad hace referencia a la ubicación física de nuestra red dentro de los datacenters de Microsoft.

En el paso 2 del asistente encontramos las opciones para establecer un servidor DNS y para configurar la conectividad VPN con la red local, lo cual veremos en otro artículo, por ahora simplemente dejaremos estos datos sin diligenciar y continuaremos con el paso 3 del asistente.

En el tercero y último paso del asistente podemos elegir nuestro espacio de direcciones y crear las subredes, como se puede apreciar en la imagen a continuación, podemos elegir cualquiera de los espacios de direcciones IP privadas definidos en la RFC1918.

En este caso elegiré el espacio 192.168.0.0, y podemos elegir las direcciones a utilizar, donde la menor que podemos elegir es una /29 con capacidad para 8 hosts, en mi caso elegí crear una subred, la cual re nombré como Subred-1 con CIDR /24. Finalmente así quedó mi subred:

Y con esto ya quedó  creada nuestra red virtual.

Finalmente veamos la opción que nos permite asignar una máquina a nuestra red virtual durante la creación de una máquina virtual.

Una vez asignada la máquina a nuestra red virtual le será asignada mediante DHCP una dirección perteneciente al segmento que definimos.

Muchas gracias y hasta la próxima!