Hola que tales amigos, el día de hoy vamos a ver la manera en cómo podemos crear una configuración S2S VPN con el objetivo de tener el escenario para implementar Windows 365 hybrid mode.
De acuerdo a los documentos oficiales de Microsoft tenemos estos pasos macro para configurar nuestra red con Azure.
Así es como puede crear una conexión VPN de sitio a sitio en Azure Portal:
Inicie sesión en Azure Portal: vaya a https://portal.azure.com e inicie sesión con su cuenta de Azure.
Cree una red virtual (VNet): si aún no ha configurado una red virtual, deberá crear una. Puede hacer esto haciendo clic en el botón “+ Crear un recurso”, luego busque “Red virtual” en el mercado.
Siga los pasos para crear la red virtual, especificando el espacio de direcciones, la subred y otros detalles necesarios.
Cree una puerta de enlace de red local: para conectar su red local a Azure, deberá crear una puerta de enlace de red local. Esto representa el dispositivo VPN local. En el portal, vaya a “Crear un recurso” > “Redes” > “Puerta de enlace de red local” y proporcione la información necesaria, como el nombre de la puerta de enlace, la dirección IP de su dispositivo VPN local y el espacio de direcciones de su dispositivo local. red de locales. Cree una puerta de enlace de red virtual: la puerta de enlace de red virtual se usa para conectar la red virtual de Azure a su puerta de enlace de red local.
Vaya a “Crear un recurso” > “Redes” > “Puerta de enlace de red virtual” y proporcione la información requerida. Seleccione la VNet que creó anteriormente, establezca el tipo de puerta de enlace en “VPN” y especifique otras configuraciones como SKU, dirección IP pública, etc.
Configure la conexión VPN: después de crear la puerta de enlace de red virtual, vaya a la hoja “Puertas de enlace de red virtual” y seleccione la puerta de enlace que creó.
Haga clic en “Conexiones” en “Configuración” y luego haga clic en “+ Agregar” para crear una nueva conexión. Proporcione los detalles de la conexión, incluido el tipo de conexión (sitio a sitio), la clave compartida (clave precompartida) para la autenticación y seleccione la puerta de enlace de red local que creó anteriormente.
Descargar configuración de VPN: una vez que se crea la conexión, puede descargar el archivo de configuración de VPN. Este archivo contiene la configuración necesaria para su dispositivo VPN local, como direcciones IP, clave precompartida e información de enrutamiento.
Configure su dispositivo VPN local: finalmente, deberá configurar su dispositivo VPN local utilizando la información del archivo de configuración descargado.
Tenga en cuenta que el dispositivo VPN local debe ser compatible con los requisitos de VPN de Azure. Además, asegúrese de que el firewall de su red permita el tráfico requerido para la conexión VPN.
Ahora vamos a simplificar estos pasos con imágenes para que quede un poco más entendido el proceso de configuración.
Entonces siguiendo los pasos anteriores nos conectamos al portal de Azure https://portal.azure.com y creamos un nuevo grupo de recursos, revisamos y creamos.
Resource Group: Un “Resource Group” (Grupo de Recursos) en Microsoft Azure es un contenedor lógico que se utiliza para organizar y administrar los recursos relacionados en una suscripción de Azure. Los recursos pueden ser máquinas virtuales, bases de datos, redes virtuales, aplicaciones web, grupos de seguridad, almacenamiento, etc.
ahora vamos a crear la de nuestro Virtual Networks, creamos una nueva configuración de Virtual Network seleccionando nuestro Resource Group.
Virtual Network: Una red virtual (VNet) es un componente fundamental de la infraestructura informática en la nube que le permite crear entornos de red privados y aislados en la nube. Es uno de los componentes básicos de la mayoría de las plataformas en la nube, como Microsoft Azure, Amazon Web Services (AWS) y Google Cloud Platform (GCP).
Damos clic en siguiente, bajo las opciones de seguridad para esta prueba dejamos tal cual y continuamos.
Bajo la sección de configuración de IP addresses vamos a cambiar los valores de la subnet para tener una capacidad de 256 direcciones o nodos, esto puede variar dependiendo de la configuración de cada cliente. revisamos y creamos.
El siguiente paso es crear Gateway Subnet a nuestro Address Space de Azure. Esto lo podemos hacer desde la opción de subnet – agregar – Gateway subnet. podemos modificar el rango para la configuración de las direcciones.
Gateway Subnet: En redes, una subred de puerta de enlace es una subred específica dentro de una red virtual (VNet) utilizada en entornos de computación en la nube, particularmente en el contexto de servicios como Microsoft Azure o Amazon Web Services (AWS). La subred de puerta de enlace es una parte esencial de la creación y configuración de una puerta de enlace de red virtual, que permite la conectividad entre las redes locales y la red en la nube.
La siguiente etapa es crear el local Network Gateway, veamos una descripción general sobre su significado.
Local Network Gateway:
En Microsoft Azure, un “Local Network Gateway” (Gateway de Red Local) es un objeto que representa una red local o sitio de red externo a Azure. Este componente es utilizado en el contexto de configurar una conexión VPN (Virtual Private Network) entre una red local y una red virtual en Azure.
El Local Network Gateway actúa como el punto de entrada o punto final de la conexión VPN en la red local, mientras que, en Azure, el componente que representa el punto final de la VPN en la red virtual se conoce como “Virtual Network Gateway”.
Para realizar los pasos vamos a crear un nuevo Local Network Gateway, colocamos el nombre, la ip local de nuestro router on-premises y el espacio de direcciones ips on-premises.
Siguiente paso vamos a crear la Public IP Address que nos va a servir para el Virtual Network Gateway.
Public IP Address: En Microsoft Azure, una dirección IP pública es una dirección IPv4 o IPv6 que es enrutable globalmente y accesible a través de Internet. Se asigna a recursos, como máquinas virtuales, equilibradores de carga, puertas de enlace de aplicaciones o puertas de enlace de VPN, alojados en la nube de Azure. Las direcciones IP públicas permiten que estos recursos se comuniquen con el mundo exterior, incluidos los usuarios de Internet u otras redes externas.
Dentro de Azure buscamos Public IP Address y creamos.
La siguiente etapa es crear la Virtual Network Gateway.
Virtual Network Gateway:
En Azure, un “Virtual Network Gateway” (Gateway de Red Virtual) es un servicio que permite establecer una conexión segura y cifrada entre una red virtual en Azure y una red local o redes externas, como una conexión VPN (Virtual Private Network) o una conexión ExpressRoute.
El Virtual Network Gateway actúa como el punto final de la conexión VPN o ExpressRoute en la red virtual de Azure. Permite que los recursos en la red virtual se comuniquen de forma segura con los recursos en la red local o en otras redes conectadas a través de la conexión.
Es importante mencionar que la configuración en esta etapa puede llegar a tarde más de 30 minutos en completarse, lo que conlleva a esperar el resultado y no pasar al siguiente paso hasta verlo completado de manera correcta.
Buscamos Virtual Network Gateway y configuramos, vamos a colocar los valores como el nombre, el resource group, y los detalles de instancias.
Siguiente punto a configurar Connection.
En Azure, una “Connection IKEv2/IPsec” es un tipo de conexión VPN (Virtual Private Network) que se establece entre un Virtual Network Gateway en Azure y un dispositivo o sitio externo, como una red local o un centro de datos.
IKEv2 (Internet Key Exchange version 2) e IPsec (Internet Protocol Security) son dos protocolos utilizados en conjunto para establecer una conexión VPN segura y cifrada entre el Virtual Network Gateway de Azure y el dispositivo remoto.
buscamos Connection type en Azure y configuramos como tipo de Conexion Site-to-site (IPsec)
En la opción de settings, seleccionamos nuestras Virtual Network Gateway y nuestra Local Network Gateway.
En la sección de Shared Key (PSK) vamos a crear una contraseña para la VPN esta contraseña guardémosla en un lugar seguro ya que sera necesaria para la configuración del lado de nuestro servidor on-premises. el resto de configuración la dejamos tal cual y creamos el recurso.
Siguiente etapa, configurar RRAS en Windows Server Local.
RRAS Server: Un servidor RRAS (Routing and Remote Access Service) es un servidor que ejecuta el servicio de enrutamiento y acceso remoto en sistemas operativos Windows. RRAS permite a un servidor de Windows actuar como un enrutador y proporcionar servicios de acceso remoto a usuarios y dispositivos externos, permitiéndoles conectarse y comunicarse con la red local del servidor.
Nos conectamos a nuestro servidor On-Premises.
Agregamos el Rol de Routing and Remote Access y lo habilitamos.
Para este caso de uso, seleccionamos la opción de “Secure connection between two private networks”
Dejamos la selección por defecto en las siguientes dos ventanas del asistente.
y finalizamos.
Automáticamente, después del primer asistente nos mostrara el segundo asistente para la conexión Demand-Dial Interface Wizard.
Colocamos un nombre la para conexion.
Tipo de conexión (VPN)
Seleccionamos el protocolo IKEv2 como lo seleccionamos desde Azure para la conexion.
Colocamos la IP publica de Azure, esta información esta previamente configurada en las etapas anteriores.
La siguiente pantalla la dejamos por defecto y continuamos a la configuración de las IP´s de nuestra subnet default.
La siguiente pantalla la dejamos tal cual por defecto y finalizamos.
Dentro de la aplicación, nos posicionamos en Network Interfases y seleccionamos nuestra configuración.
Damos clic derecho en properties y nos posicionamos en la pestaña de opciones y colocamos el número de intentos antes de la Conexion.
En la pestaña seguridad, colocaremos el password o la contraseña que hemos implementado del lado de Azure.
Cerramos el asistente, por último, damos clic derecho en nuestra interface y conectamos.
Podemos ver que del lado del servidor la conexión se ha establecido de manera satisfactoria, y de lado de Azure en nuestro Local Network Gateway también.
Ahora que ya se tiene el puente entre los recursos, el siguiente paso es crear un static route in RRAS is fuese necesario.
Static Routes en RRAS server: En un servidor RRAS (Servicio de enrutamiento y acceso remoto) de Windows, las rutas estáticas son rutas configuradas manualmente que se agregan a la tabla de enrutamiento del servidor. Estas rutas definen rutas específicas para que el tráfico de red llegue a destinos que no están conectados directamente al servidor RRAS. Al agregar rutas estáticas, el servidor RRAS puede reenviar el tráfico entre diferentes redes de manera eficiente y precisa.
Dentro del servidor vamos a la ruta IPv4 – Static Routes. Damos clic derecho y creamos una nueva configuración seleccionando la interface creada.
Finalmente, como última etapa vamos a probar creando una máquina virtual de Azure y seleccionamos el Resource Group para que toda la configuración de red este dentro de la misma y probar.
Conectamos a la máquina virtual de prueba en Azure y colocamos la dirección ip de nuestro servidor. Para este ejemplo se ha creado una carpeta compartida con la siguiente ruta desde el servidor on-premises.
\192.168.0.15Test-S2s-VPN
Máquina de Azure.
Hemos terminado!!!!
Siguientes pasos, esta configuración se puede usar para ambientes en donde se habiliten los servicios de Microsoft como Windows 365 o Azure Virtual Desktop para una infraestructura hibrida. para ello esperen próximamente nuevos posts relacionados a estas configuraciones.
sin más por el momento me despido enviándoles un gran saludo a todos mis lectores, estamos con nuevos posts.
About the author
Microsoft Global Secure Access
Encontrándose en fase previa, ahora, Microsoft ha cambiado la forma de trabajar destinada a proteger a cualquier usuario que acceda a cualquier dato desde cualquier dispositivo. Microsoft Entra Internet Access y Microsoft Entra Private Access componen la solución Security Service Edge (SSE) de Microsoft. El acceso seguro global (versión preliminar) es el término unificado que se usa para Microsoft Entra Internet Access y Microsoft Entra Private Access. El acceso seguro global es la ubicación unificada del Centro de administración Microsoft Entra. El acceso seguro global se basa en los principios básicos de Zero Trust de usar privilegios mínimos, comprobar explícitamente y asumir la vulneración. Veamos en este post como configurar de manera sencilla y básica Microsoft Global Secure Access. Global Secure Access (versión preliminar), Microsoft Security Service Edge, es la ubicación centralizada en el Centro de administración de Microsoft Entra, donde puede configurar y administrar las características. Muchas […]
Lo más destacado en LinkedIn 2024
Here's my 2024 LinkedIn Rewind, by Coauthor: 2024 proved that technical expertise matters most when shared effectively. As Microsoft MVP and LinkedIn Learning Instructor, I focused on bridging enterprise device management knowledge between English and Spanish-speaking technology communities. Key technical implementations:→ Microsoft Tunnel Gateway for MAM deployment→ Remote Help for Intune Suite testing→ Cloud PKI in Intune Suite validation→ Microsoft Teams Rooms management with Intune→ Windows Autopilot Pre-provisioning configurations Technical milestones: Achieved Windows Server Hybrid Administrator Associate certification Received 11th consecutive Microsoft MVP Award (Security & Windows Devices) Enhanced Intune Suite implementation expertise Expanded DeploymentMX blog technical resources Launched new LinkedIn Learning courses for Spanish-speaking IT professionals Posts that resonated with our technical community: "Honored to share that I've been recognized as a dual MVP in Security & Windows and Devices for the 11th consecutive year!"https://www.linkedin.com/feed/update/urn:li:activity:7216858712936693760/ "Windows 24H2 screens look […]
Microsoft Zero Trust Workshop
Abordar los desafíos de seguridad modernos puede ser complicado, pero implementar una estrategia de Zero Trust lo simplifica. Al adoptar Zero Trust, tu organización puede mejorar su postura de seguridad, reducir riesgos y complejidad, y fortalecer el cumplimiento y la gobernanza. Zero Trust no es un producto ni un servicio, sino un enfoque integral para diseñar e implementar principios clave de seguridad. Esta herramienta de evaluación te ayudará a navegar en tu recorrido hacia Zero Trust. En esta guía aprenderás cómo aplicar los principios de Zero Trust en el panorama de seguridad de Microsoft, enfocándote en: Verificar de manera explícita Adoptar el acceso con privilegios mínimos Asumir que la seguridad puede ser comprometida Zero Trust se basa en no asumir que todo lo que está detrás del firewall corporativo es seguro. En su lugar, parte del principio de que puede […]
Implementar Windows 365 Boot
Microsoft presentó recientemente una función llamada Windows 365 Boot, diseñada para simplificar el acceso a las Cloud PCs. Con Windows 365 Boot, los usuarios pueden iniciar sesión en su dispositivo local y conectarse de inmediato a su Cloud PC, creando una experiencia similar a la de un kiosco, diseñada para un acceso dedicado a Windows 365. El proceso para configurar un dispositivo con Windows 365 Boot ha sido increíblemente simplificado por los equipos de Intune y Windows 365. A través de una implementación guiada, los administradores pueden configurar un conjunto completo de perfiles de Intune con un mínimo de pasos: seleccionar algunas configuraciones, asignar la implementación a un grupo de Entra y registrar el primer dispositivo físico en cuestión de minutos. Sin embargo, hay un requisito sorprendente: ¡los dispositivos deben inscribirse utilizando una cuenta de usuario! ¿Por qué, Microsoft? Este […]
Implementar Zoom con Microsoft Intune
Hola que tal amigos, el dia de hoy vamos a utilizar Microsoft Intune para desplegar la herramienta de conferencias Zoom, dada la situación que se vive actualmente, podemos a través de esta herramienta hacer uso de su implementación usando la plataforma de Microsoft Intune. Lo primero que debemos hacer es descargar el archivo .MSI desde la siguiente ruta. https://www.zoom.us/client/latest/ZoomInstallerFull.msi Los ajustes se pueden configurar en varios escenarios. Algunos solo pueden ser configurados por Zoom Admin o IT Admin y otros pueden ser configurados por el usuario final. Podemos configurar a nivel de cliente el archivo para una instalación desatendida con los siguientes comandos. Install: msiexec /packageZoomInstallerFull.msi /lex zoommsi.log Silent install: msiexec /i ZoomInstallerFull.msi /quiet /qn /norestart /log install.log Wait until in-progress meeting ends before installing: msiexec /i ZoomInstallerFull.msi /norestart MSIRESTARTMANAGERCONTROL=»Disable» Auto-start Silently with Windows*: Disabled by default. To enable, append ZSILENTSTART=»true» to the end of your install […]
Windows Autopilot Pre-Aprovisionamiento
Windows Autopilot ayuda a las organizaciones a aprovisionar fácilmente nuevos dispositivos mediante la imagen y los controladores oem preinstalados. Esta funcionalidad permite a los usuarios finales preparar sus dispositivos para la empresa mediante un proceso sencillo. Windows Autopilot también puede proporcionar un servicio de aprovisionamiento previo que ayuda a los asociados o al personal de TI a aprovisionar previamente un equipo Windows totalmente configurado y listo para la empresa. Desde la perspectiva del usuario final, la experiencia controlada por el usuario de Windows Autopilot no cambia, pero conseguir que su dispositivo esté totalmente aprovisionado es más rápido. Con Windows Autopilot para la implementación aprovisionada previamente, el proceso de aprovisionamiento se divide. Las partes que consumen mucho tiempo las realiza TI, asociados o OEM. El usuario final simplemente completa algunas directivas y configuraciones necesarias y, a continuación, puede empezar a usar su dispositivo. En […]
Related
Script para Copiar contenido desde Azure Storage Account usando AZCopy
hola team, les quiero compartir un script el cual sería util para que puedan copiar contenido desde Storage Account de Azure a nuestros dispositivos. este script lo puedes descargar desde mi repositorio de Github con el siguiente enlace. Copy files from Storage Account to PC using AZCopy (github.com) Sin más por el momento me despido enviándoles un gran saludo a todos mis lectores.
Crear Usuario Local en Microsoft Intune y administrarlo usando Windows LAPS
Hola que tal el día de hoy vamos a ver la manera de combinar dos configuraciones en Microsoft Intune usando scripts de PowerShell para crear una cuenta local administrada en equipos de Azure AD y Hybrid Azure AD usando además la característica de Windows Local Admin Password Solutions. Aunque son conocidos algunos de los métodos para la implementación de cuentas locales a través de Microsoft Intune, entre ellas OMA-URI, en esta ocasión vamos a utilizar proactive remediations con scripts de PowerShell. Como primer paso debemos tener previamente listo nuestro equipo el cual lo he configurado a través de hybrid Azure AD join. Ahora desde el portal de Microsoft Intune nos dirigimos a Devices - Remediations y creamos un script package. Configuramos los valores de información. al finalizar damos clic en Next. En la parte de Settings vamos a seleccionar los […]
Windows 11 Administración Local – Linkedin Learning
La administración de sistemas requiere un trabajo de aprendizaje constante, es importante que conozcas cómo sacar el máximo rendimiento de este sistema operativo y de su configuración, para que el trabajo de tu equipo de usuarios se eficiente. Descubre este curso de Microsoft eminentemente práctico, orientado a la implementación, mantenimiento y resolución de problemas a nivel intermedio para el manejo de Windows 11, el nuevo sistema operativo enfocado a la rama educacional, empresarial y de casa. Introducción a Windows 11 (linkedin.com)
MSIX App attach en Azure Virtual Desktop
MSIX App Attach
Implementa Task Sequence a través de Internet con Cloud Management Gateway
Desde la versión 2010 de Microsoft Endpoint Configuration Manager, Microsoft lanzo una serie de nuevas funcionalidades para mejorar la experiencia de usuario y la administración remota de los sistemas operativos fuera de la red corporativa, una de esas funcionalidades fue la implementación de Task Sequence a través de Internet con lo que nos da la posibilidad de poder implementar un sistema operativo de Windows que incluya el agente de System Center para que pueda ser gestionado desde la consola con ayuda de Cloud Management Gateway. Con esta nueva funcionalidad podemos implementar Windows desde un medio booteable (USB) Cabe recalcar que este método no soporta la conexión de Wifi, solamente es por medio de una conexión de cable físico ethernet para poder alcanzar esta configuración. Sin más por el momento vayamos a la parte interesante. Antes de comenzar debemos tener implementado […]
Crear un Apple Enrollment Profile en Microsoft Intune
Hola a todos, el dia de hoy vamos a ver la manera en como podemos configurar un perfil de enrolamiento de Apple (iOS) para usar con Microsoft Intune, esto con la finalidad de poder administrar de manera corporativa nuestros dispositivos iOS usando Apple Business Manager. Lo primero que debemos hacer es crear el Apple Device Enrollment token (.pem) Este token permite que Intune sincronice información sobre los dispositivos Apple que posee su empresa. También permite que Intune cargue perfiles de inscripción en Apple y asigne dispositivos a esos perfiles. Dentro de el portal de Microsoft Endpoint Manager Admin Center, nos dirijimos a Devices - iOS/iPadOS enrollment - Enrollment Program Tokens - Add. llenamos todos los campos ororgando permiso a Microsoft para enviar información de usuarios y dispositivos a Apple seleccionando Aceptar. elejimos descargar clave pública para descargar y guardar el […]
Be the first to leave a comment