Hola que tal amigos pues si he estado leyendo información de como podemos hacer una conexión exitosa desde un equipo cliente con Microsoft Azure, esto con la posibilidad de crear una red homogenea tanto on-premise como en la nube.
Este tutorial esta basado de acuerdo a portales oficiales de Microsoft he información recabada de algunos blogs amigos en internet.
Lo primero que debemos hacer es crear los elementos necesarios en el portal oficial de Microsoft azure. Para ello debemos entrar con nuestra cuenta desde este enlace.
Dar clic en el apartado de portal clasico https://manage.windowsazure.com/
iniciamos con nuestras cuentas para poder tener el acceso al mismo.
Ahora vamos a montar nuestra VPN desde el portal clasico de Microsoft Azure, vamos a nuestro panel izquierdo y damos clic en redes.
En este menú nos aparecerán todos los servicios referentes a las redes creadas en Windows Azure, por defecto, si no hemos creado nada, no nos aparecerá nada por lo que tendremos que pulsar sobre el botón “New” > “Network Services” > “Virtual Network” > “Custom Create”.
Ahora vamos a crear un nombre para nuestra VPN para ello vamos a crear de acuerdo a nuestras especificaciones, para nuestro caso le pondremos como se muestran las siguientes imagenes.
A continuación nos aparecerá el menú para configurar y dar valores a nuestra red, nos pedirá un nombre, la región de nuestra red, un grupo de afinidad y el nombre del mismo. El grupo de afinidad nos irá bien para juntar los servicios que vayamos a usar con otros que tengamos en el mismo datacenter.
En el siguiente paso nos pide que añadamos algún servidor DNS (no es obligatorio) pero si disponemos de alguno que queramos añadir, ahora sería el momento.
Además, en esta pantalla es donde se decide entre crear una conexión Point-To-Site, Site-To-Site, las dos o ninguna. En nuestro caso como hoy hablamos de la Point-To-Site, seleccionaremos su checkbox y seguiremos adelante.
Vamos a poner los servidores de google para nuestro articulo.
En el paso 3, debemos especificar cuál será el rango de direcciones IP que le será asignado a los clientes que se conectan por medio de VPN de punto a sitio.
Aunque el máximo número de clientes que soporta cualquiera de los 3 tipos de gateway es de 128 usuarios simultáneos, usaremos un rango de direcciones mayor por simplicidad.
Con el fin de evitar que nuestros rangos de direcciones IP de esta nueva red virtual, choquen o coincidan con los rangos que ya estemos utilizando en nuestra infraestructura local, es recomendable que seleccionemos rangos poco frecuentes, por ejemplo, es muy común encontrar en las redes los rangos 192.168.x.x, 172.16.x.x, por esta razón, estaré seleccionando las últimas direcciones del rango de direcciones RFC1918 172.16.0.0/20 cuyas direcciones van desde la172.16.0.1 hasta la 172.31.255.254
Creamos de acuerdo a la siguiente imagen.
Al final tenemos nuestra red virtual creada.
Con la VPN creada nos falta crear la puerta de enlace en el portal de management. Para ello, accedemos a Networks > Seleccionamos la red que acabamos de crear y nos dirigimos a la pestaña “Dashboard”.
Ahora vamos a crear el Gateway, es básicamente una máquina virtual administrada por Microsoft Azure la cual cuenta con 2 adaptadores de red de los cuales uno de ellos está conectado a la subred GatewaySubnet y el otro está conectado a la subred donde tenemos nuestros servidores virtuales, en este caso Subnet-1.
Nos posicionamos en panel para crear nuestra puerta de enlace como se muestra a continuación.
Este proceso puede tardar de 15 a 45 minutos por lo que debemos tener calma.
Ahora Microsoft Azure nos pedirá obligatoriamente la configuración de los certificados, esto quiere decir por cuestiones de seguridad y los canales de comunicación se nos pide se configuren, existen muchas formas de hacer esto, lo mas común es a traves de la herramienta makecert, si bien esta herramienta sirve para la tarea en cuestión, Microsoft nos obliga a descargar e instalar Visual Studio para poder utilizar esta simple aplicación.
Agradezco a Victor Burgos por haber facilitado esta herramienta para la creación de certificados.
Vamos a utilizar una herramienta llamada X Certificate and Key Management. la cual se utiliza para generar certificados y llaves privadas/públicas para instalar en sus servidores web, ssh, ESX, etc
XCA es una utilidad que nos permite crear una entidad certificadora en nuestra propia máquina con la cual podemos generar y firmar nuevos certificados para utilizarlo en toda clase de escenarios.
Para comenzar descargamos la herramienta desde este link. una vez descargada e instalada la ejecutamos. Debemos crear una nueva base de datos donde se almacenarán de manera segura las llaves privadas/públicas y los certificados que vamos generando.
Ahora creamos una nueva base de datos como se muestra a continuación.
Especificamos la ruta y el nombre de la base de datos, ademas de colocar un password el cual hara segura la base de datos para los certificados.
Inicialmente crearemos la llave privada para el certificado raíz de nuestra nueva CA.
Hacemos clic en el tab de Private Keys, luego haz clic en New Key, ponemos un nombre descriptivo para esta nueva llave privada y hacemos clic en create.
Keytype en RSA y el Keysize en 2048 bit.
Ahora crearemos el certificado raíz para nuestra entidad certificadora local.
Hacemos clic en el tab de Certificates, luego hacemos clic en New Certificate, en el campo Template for the new certificate verificamos que esté seleccionado [default] CA, hacemos clic en Apply all para que los otros tabs se actualicen con los parámetros del template [default] CA, luego hacemos clic en el tab de Subject.
En el tab de Subject, podemos poner tanta información como queramos, pero como mínimo, debemos llenar el campo commonName y seleccionar que se use la llave privada que creamos en el paso anterior, para terminar haz clic en OK.
Listo nuestro certificado
Ahora vamos a exportar el certificado en el gateway de Azure y en las máquinas de los usuarios que se vayan a conectar.
Ahora vamos a crear un certificado cliente derivado de un certificado Raiz, para ello vamos a crear un nuevo certificado de usuario que posteriormente vamos a instalar en la máquina del usuario en el almacén de certificados personales.
Vamos a nuestro panel principal y damos clic en private key.
Al final de este paso, contaremos con 2 llaves privadas en tu base de datos tal como se ve en la siguiente imagen.
Para crear el certificado de cliente derivado del certificado raíz, vamos al tab de Certificates, hacemos clic derecho en el certificado raíz y seleccionamos New
Verificamos que en el campo Template for the new certificate esté seleccionada la opción [default] HTTPS_client, hacemos clic en Apply all para actualizar los otros tabs con los parámetros del template y vamos al tab de subject.
Nota: En el campo de Signing, podemos verificar que se usará el certificado TutorMas CA Root Certificate para firmar este nuevo certificado, de esta manera es que el gateway de Azure puede verificar que el certificado ha sido firmado por la entidad certificadora ya que ambos están relacionados matemáticamente.
En el subject tal cual le hicimos anteriormente agregamos la información con el nombre descriptivo.
Ahora nos deben aparecer 2 certificados en tu base de datos de XCA.
Ahora vamos a exportar los certificados para el gateway de Azure y el usuario.
Los 2 certificado que tenemos actualmente se deben exportar en 2 formatos diferentes
1.-deploymentmx (.cer) – llave publica – se instala en Gateway de Azure y maquina de usuario (user certificate store)
2.-Deploymentmx client certificate (Encriptacion (*.p12)) – llave publica y privada – maquina del usuario (computer certificate store)
Para exportar el certificado raíz, hacemos clic sobre él para seleccionarlo, hacemos clic en export, asigna un nombre para el archivo, verifica que el formato para exportar sea DER (*.cer) que es el formato que solicitamos Microsoft Azure y hacemos clic en OK, este formato solamente contiene el certificado y la llave pública.
Ahora hacemos lo mismo para el otro certificado pero verificando la encriptacion, PKCS # 12 chain (*.p12).
Para proteger la llave privada de este certificado, te aparecerá una nueva ventana donde debes indicar una clave para cifrar el archivo.
Listo!!! ahora si ya tenemos nuestros archivos necesarios para subirlos a Azure.
Ok ahora en el portal de Azure, veamos que nuestro diagrama tiene una advertencia sobre el certificado raiz.
Ahora nos vamos a ir a la parte de certificados que se encuentra en en nuestra ventana principal y hacemos clic en upload certificado.
Celeccionamos el certificado raiz (.cer)
Adicionalmente veremos el certificado en la lista de certificados y la alerta del certificado desaparecerá indicando que hay cero clientes conectados.
Ya tenemos todo listo del lado de Azure, ahora vamos a configurar el cliente. Para ello vamos a instalar el cerfiticado raiz y el certificado cliente en la maquina que se va a conectar a Azure, para este caso especial lo vamos a hacer con Windows 10.
Desde la máquina del usuario, para gestionar las bases de datos de certificados de la máquina, vamos a utilizar dos consolas de administración, Certlm.msc y Certmgr.msc.
Para lanzar Certlm.msc, haz clic derecho en el botón de inicio y selecciona ejecutar.
Ejecuta Certlm.msc para abrir el almacén de certificados de la máquina y seleccionamos Trusted Root Certification Authorities > Certificates.
Ahora clic derecho en la carpeta de certificates e importamos el certificado raiz previamente creado.
Damos clic en Next en nuestra pantalla y agregamos nuestro certificado raiz, tal y como se muestra a continuación.
Verificamos que el certificado se instale en Trusted Root Certification Authorities.
Hasta el momento, ya tenemos instalado correctamente el certificado raíz tanto en Azure como en la máquina del usuario.
Vemos el resultado de importacion correctamente.
Ahora amos ahora a importar el certificado de usuario en el almacén de certificados del usuario (User Certificate Store).
Hacemos clic derecho en inicio y ejecutar para colocar Certmgr.msc.
Ahora seleccionamos Personal > Certificates, en esta parte importaremos el certificado cliente, tal y como se muestra a continuación.
Indicamos la clave que le asignaste al archivo en el paso anterior, y selecciona únicamente Include all extended properties.
Nota: La opción Mark this key as exportable, no la marcamos porque no queremos que el usuario (u otro usuario no autorizado) exporte este certificado con la llave privada, si en tu caso quieres permitir este tipo posibilidad, puedes marcar la opción.
Listo. Ahora vamos a descargar el cliente VPN a nuestro equipo tecnico con Windows 10.
En las propiedades de la consola de Microsoft Azure, podremos ver los links de descarga del paquete para 32 y para 64 bits, descarga el que corresponda a nuestro sistema operativo.
Guardamos el archivo y lo ejecutamos.
Como el archivo no esta certificado por Microsoft, damos cli en Run Anyway.
Ahora podremos ver en nuestra redes inhalambricas de Windows 10 nuestra conexion de VPN con nuestro Windows 10.
Ahora vamos a verificar el tunel y la conectividad, damos clic en VLAN-DEPLOYMENTMX
Damos clic en cmd y ejecutamos ipconfig para nuestra nueva conexion.
Ahora si, en nuestro portal de Microsoft Azure veremos nuestro Cliente de Windows 10 conectado correctamente.
Listo, ahora vamos a poder conectarnos nuestro equipo de Windows 10 fisico con una maquina virtual en Azure., para ello vamos a crear una nueva maquina virtual.
Una vez creada y ejecutada, vamos al panel principal y podemos ver la direccion ip privada de esa maquina cual vamos a realizar ping entre nuestro equipo Windows 10 fisico y el equipo virtual Windows 10
Equipo Fisico 10.0.0.2
Equipo Azure 10.0.0.4
Corremos nuestra maquina virtual y desde nuestro equipo fisico hacemos ping en ambas plataformas.
Se produce un error debido a que el servidor de seguridad de Windows en la misma máquina virtual está bloqueando la comunicación, Para ello habilitamos la regla de entrada Firewall de Windows para el ping ICMP.
desde cmd con privilegios de administrador ejecutamos los siguientes comandos.
netsh advfirewall firewall add rule name=”ICMPv6″ dir=in action=allow enable=yes protocol=icmpv6
netsh advfirewall firewall add rule name=”ICMPV4″ dir=in action=allow enable=yes protocol=icmpv4
Hasta aqui la primera parte, la segunda parte veremos la conexion directa de mis equipos.
sin mas por el momento me despido enviandoles un gran saludo a todos mis lectores, estamos con nuevos post
About the author
Microsoft Global Secure Access
Encontrándose en fase previa, ahora, Microsoft ha cambiado la forma de trabajar destinada a proteger a cualquier usuario que acceda a cualquier dato desde cualquier dispositivo. Microsoft Entra Internet Access y Microsoft Entra Private Access componen la solución Security Service Edge (SSE) de Microsoft. El acceso seguro global (versión preliminar) es el término unificado que se usa para Microsoft Entra Internet Access y Microsoft Entra Private Access. El acceso seguro global es la ubicación unificada del Centro de administración Microsoft Entra. El acceso seguro global se basa en los principios básicos de Zero Trust de usar privilegios mínimos, comprobar explícitamente y asumir la vulneración. Veamos en este post como configurar de manera sencilla y básica Microsoft Global Secure Access. Global Secure Access (versión preliminar), Microsoft Security Service Edge, es la ubicación centralizada en el Centro de administración de Microsoft Entra, donde puede configurar y administrar las características. Muchas […]
Lo más destacado en LinkedIn 2024
Here's my 2024 LinkedIn Rewind, by Coauthor: 2024 proved that technical expertise matters most when shared effectively. As Microsoft MVP and LinkedIn Learning Instructor, I focused on bridging enterprise device management knowledge between English and Spanish-speaking technology communities. Key technical implementations:→ Microsoft Tunnel Gateway for MAM deployment→ Remote Help for Intune Suite testing→ Cloud PKI in Intune Suite validation→ Microsoft Teams Rooms management with Intune→ Windows Autopilot Pre-provisioning configurations Technical milestones: Achieved Windows Server Hybrid Administrator Associate certification Received 11th consecutive Microsoft MVP Award (Security & Windows Devices) Enhanced Intune Suite implementation expertise Expanded DeploymentMX blog technical resources Launched new LinkedIn Learning courses for Spanish-speaking IT professionals Posts that resonated with our technical community: "Honored to share that I've been recognized as a dual MVP in Security & Windows and Devices for the 11th consecutive year!"https://www.linkedin.com/feed/update/urn:li:activity:7216858712936693760/ "Windows 24H2 screens look […]
Microsoft Zero Trust Workshop
Abordar los desafíos de seguridad modernos puede ser complicado, pero implementar una estrategia de Zero Trust lo simplifica. Al adoptar Zero Trust, tu organización puede mejorar su postura de seguridad, reducir riesgos y complejidad, y fortalecer el cumplimiento y la gobernanza. Zero Trust no es un producto ni un servicio, sino un enfoque integral para diseñar e implementar principios clave de seguridad. Esta herramienta de evaluación te ayudará a navegar en tu recorrido hacia Zero Trust. En esta guía aprenderás cómo aplicar los principios de Zero Trust en el panorama de seguridad de Microsoft, enfocándote en: Verificar de manera explícita Adoptar el acceso con privilegios mínimos Asumir que la seguridad puede ser comprometida Zero Trust se basa en no asumir que todo lo que está detrás del firewall corporativo es seguro. En su lugar, parte del principio de que puede […]
Implementar Windows 365 Boot
Microsoft presentó recientemente una función llamada Windows 365 Boot, diseñada para simplificar el acceso a las Cloud PCs. Con Windows 365 Boot, los usuarios pueden iniciar sesión en su dispositivo local y conectarse de inmediato a su Cloud PC, creando una experiencia similar a la de un kiosco, diseñada para un acceso dedicado a Windows 365. El proceso para configurar un dispositivo con Windows 365 Boot ha sido increíblemente simplificado por los equipos de Intune y Windows 365. A través de una implementación guiada, los administradores pueden configurar un conjunto completo de perfiles de Intune con un mínimo de pasos: seleccionar algunas configuraciones, asignar la implementación a un grupo de Entra y registrar el primer dispositivo físico en cuestión de minutos. Sin embargo, hay un requisito sorprendente: ¡los dispositivos deben inscribirse utilizando una cuenta de usuario! ¿Por qué, Microsoft? Este […]
Implementar Zoom con Microsoft Intune
Hola que tal amigos, el dia de hoy vamos a utilizar Microsoft Intune para desplegar la herramienta de conferencias Zoom, dada la situación que se vive actualmente, podemos a través de esta herramienta hacer uso de su implementación usando la plataforma de Microsoft Intune. Lo primero que debemos hacer es descargar el archivo .MSI desde la siguiente ruta. https://www.zoom.us/client/latest/ZoomInstallerFull.msi Los ajustes se pueden configurar en varios escenarios. Algunos solo pueden ser configurados por Zoom Admin o IT Admin y otros pueden ser configurados por el usuario final. Podemos configurar a nivel de cliente el archivo para una instalación desatendida con los siguientes comandos. Install: msiexec /packageZoomInstallerFull.msi /lex zoommsi.log Silent install: msiexec /i ZoomInstallerFull.msi /quiet /qn /norestart /log install.log Wait until in-progress meeting ends before installing: msiexec /i ZoomInstallerFull.msi /norestart MSIRESTARTMANAGERCONTROL=»Disable» Auto-start Silently with Windows*: Disabled by default. To enable, append ZSILENTSTART=»true» to the end of your install […]
Windows Autopilot Pre-Aprovisionamiento
Windows Autopilot ayuda a las organizaciones a aprovisionar fácilmente nuevos dispositivos mediante la imagen y los controladores oem preinstalados. Esta funcionalidad permite a los usuarios finales preparar sus dispositivos para la empresa mediante un proceso sencillo. Windows Autopilot también puede proporcionar un servicio de aprovisionamiento previo que ayuda a los asociados o al personal de TI a aprovisionar previamente un equipo Windows totalmente configurado y listo para la empresa. Desde la perspectiva del usuario final, la experiencia controlada por el usuario de Windows Autopilot no cambia, pero conseguir que su dispositivo esté totalmente aprovisionado es más rápido. Con Windows Autopilot para la implementación aprovisionada previamente, el proceso de aprovisionamiento se divide. Las partes que consumen mucho tiempo las realiza TI, asociados o OEM. El usuario final simplemente completa algunas directivas y configuraciones necesarias y, a continuación, puede empezar a usar su dispositivo. En […]
Related
Script para Copiar contenido desde Azure Storage Account usando AZCopy
hola team, les quiero compartir un script el cual sería util para que puedan copiar contenido desde Storage Account de Azure a nuestros dispositivos. este script lo puedes descargar desde mi repositorio de Github con el siguiente enlace. Copy files from Storage Account to PC using AZCopy (github.com) Sin más por el momento me despido enviándoles un gran saludo a todos mis lectores.
Curso Gestión de la Nube con Microsoft Intune -LinkedIn Learning
Con gran felicidad, les informo sobre el reciente lanzamiento de mi curso "Administración en la nube con Microsoft Intune", agradeciendo al equipo de LinkedIn Learning por hacerlo posible una vez más. Ponte al mando de Microsoft Intune en la nube (linkedin.com) Gestión de la nube con Microsoft Intune Sin más por el momento me despido enviándoles un gran saludo de parte de sus amigos.
Crear Usuario Local en Microsoft Intune y administrarlo usando Windows LAPS
Hola que tal el día de hoy vamos a ver la manera de combinar dos configuraciones en Microsoft Intune usando scripts de PowerShell para crear una cuenta local administrada en equipos de Azure AD y Hybrid Azure AD usando además la característica de Windows Local Admin Password Solutions. Aunque son conocidos algunos de los métodos para la implementación de cuentas locales a través de Microsoft Intune, entre ellas OMA-URI, en esta ocasión vamos a utilizar proactive remediations con scripts de PowerShell. Como primer paso debemos tener previamente listo nuestro equipo el cual lo he configurado a través de hybrid Azure AD join. Ahora desde el portal de Microsoft Intune nos dirigimos a Devices - Remediations y creamos un script package. Configuramos los valores de información. al finalizar damos clic en Next. En la parte de Settings vamos a seleccionar los […]
Configurar una red Site to Site VPN de On-Premise a la nube de Microsoft Azure
Hola que tales amigos, el día de hoy vamos a ver la manera en cómo podemos crear una configuración S2S VPN con el objetivo de tener el escenario para implementar Windows 365 hybrid mode. De acuerdo a los documentos oficiales de Microsoft tenemos estos pasos macro para configurar nuestra red con Azure. Así es como puede crear una conexión VPN de sitio a sitio en Azure Portal: Inicie sesión en Azure Portal: vaya a https://portal.azure.com e inicie sesión con su cuenta de Azure. Cree una red virtual (VNet): si aún no ha configurado una red virtual, deberá crear una. Puede hacer esto haciendo clic en el botón "+ Crear un recurso", luego busque "Red virtual" en el mercado. Siga los pasos para crear la red virtual, especificando el espacio de direcciones, la subred y otros detalles necesarios. Cree una puerta […]
Windows 11 Administración Local – Linkedin Learning
La administración de sistemas requiere un trabajo de aprendizaje constante, es importante que conozcas cómo sacar el máximo rendimiento de este sistema operativo y de su configuración, para que el trabajo de tu equipo de usuarios se eficiente. Descubre este curso de Microsoft eminentemente práctico, orientado a la implementación, mantenimiento y resolución de problemas a nivel intermedio para el manejo de Windows 11, el nuevo sistema operativo enfocado a la rama educacional, empresarial y de casa. Introducción a Windows 11 (linkedin.com)
MSIX App attach en Azure Virtual Desktop
MSIX App Attach
Be the first to leave a comment