Antes de comenzar tecnicamente el post, quiero comentar que 2 años atras escribi un post relacionado a la configuracion de Microsoft Tunnel en la version 1.0, recientemente Microsoft publico la version 2.0 de esta excelente Guía.
Aquí el post que realice en el 2020. Guía de Implementación de Microsoft Tunnel – Deployment MX
Ahora bien, cabe mencionar que en este post solamente colocare los parámetros básicos de configuración que me llegaron a realizar la correcta instalación de la infraestructura.
El túnel de Microsoft es una característica nueva que se lanzó durante Microsoft Ignite 2020. El túnel es una solución de puerta de enlace VPN para Microsoft Intune. El túnel permite el acceso a recursos locales desde dispositivos iOS/iPadOS y Android Enterprise mediante autenticación moderna y acceso condicional.
Solo los dispositivos que están inscritos en Intune son compatibles con Microsoft Tunnel.
Se admiten las siguientes plataformas de dispositivos:
Android Enterprise (totalmente administrado, perfil de trabajo de propiedad corporativa, perfil de trabajo) iOS/iPad OS
La siguiente funcionalidad es compatible con todas las plataformas: Autenticación de Azure Active Directory (Azure AD) en el Túnel mediante nombre de usuario y contraseña, o certificados.
Soporte por aplicación. Túnel manual de dispositivo completo a través de una aplicación de Túnel, donde el usuario inicia VPN y selecciona Conectar.
Túnel dividido. Sin embargo, en iOS, las reglas de tunelización dividida se ignoran cuando su perfil de VPN usa una VPN por aplicación.
El soporte para un Proxy está limitado a las siguientes plataformas: Android 10 y posterior iOS/iPad OS
Ahora bien, les comparto la configuracion básica de la creación de una maquina de Linux que hará el papel de conexión entre las aplicaciones on-premise y nuestros dispositivos móviles.
Virtual Machine: VMTunnel-Linux
Red hat enterprise linux 8.4 LVM
username: deploymentmx
key pair name: VMTunnel-Linux_key
Virtual Network: Tunnel_VPN-vnet
subnet: 10.1.0.0/24
private ip: 10.1.0.4
publicIP: VMTunnel-Linux-ip
cuando el proceso termina de crear la maquina Linux debemos guardar nuestra llave .PEM para utilizarla posteriormente
Dentro dela configuracion del DNS de la maquina virtual debemos agregar el nombre junto con la creación de la aplicación cloudapp de azure.
- tunnel-linux.eastus.cloudapp.azure.com
Colocar en modo estático la dirección IP del servidor.
debemos crear un DNS publico (dominio para agregar el CNAME de la dirección anterior.
Tambien dentro de la guía esta el paso a paso de como tener un certificado TTL/TLS, en mi caso lo saque publicamente usando Digicert Inc.
Este certificado debemos agregarlo como parte de la configuración en nuestro DNS publico con un registro TXT. (Para Digicert, es parte de la configuración)
Ahora voy a resumir los comandos de linux que se han ejecutado para realizar la configuracion de Microsoft Tunnel.
Abriendo una terminal SSH ejecutamos lo siguiente:
ssh -i .\VMTunnel-Linux_key.pem user@tunnel-linux.eastus.cloudapp.azure.com (user, es el usuario de la maquina de linux)
Icacls.exe .\VMTunnel-Linux_key.pem /inheritance:r /grant "Administrator:F" /grant "SYSTEM:F" (opcional Unprotect Private Key)
scp -i .\VMTunnel-Linux_key.pem .\vpn_deployment_mx.pfx user@tunnel-linux.eastus.cloudapp.azure.com:\home\user\
sudo yum install -y https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
sudo yum install jq -y
sudo wget --output-document=mst-readiness https://aka.ms/microsofttunnelready
ls -l
chmod u+x ./mst-readiness
sudo ./mst-readiness network
sudo ./mst-readiness account
entramos a este enlace: https://login.microsoftonline.com/common/oauth2/deviceauth
wget --output-document=mstunnel-setup https://aka.ms/microsofttunneldownload
chmod u+x ./mstunnel-setup
sudo ./mstunnel-setup
sudo cp ./vpn_deployment_mx.pfx /etc/mstunnel/private/site.pfx
ahora volvemos a la otra terminal y ejecutamos
sudo ./mstunnel-setup
sudo mst-cli server restartUna vez terminada la configuración de nuestro servidor, debemos ir al portal de Microsoft Intune y posicionarnos en Microsoft Tunnel.
Debemos configurar:
Server Configurations
Sites
Servers
Los pasos para estas configuración los voy a obviar ya que vienen dentro de la documentación.
Ahora debemos implementar para esta nueva version Microsoft Defender y/o Microsoft Tunnel App desde la tienda de Google Play, esto nos dará como resultado la configuracion de Microsoft Tunnel, además de crear un perfil VPN para tunnel. aqui unos ejemplos
Cuando tengamos implementado veremos la configuracion de la siguiente manera en nuestro dispositivo administrado.
Como se ha seleccionado Microsoft Edge para la aplicación permitida de Microsoft Tunnel una vez conectados, podemos testear creando una maquina virtual de Azure (WebServer) generar una aplicación on-premise y entrar a la dirección internal desde Microsoft Edge en el móvil para tener el acceso.
Sin mas por el momento me despido enviandoles un gran saludo a todos mis lectores, estamos con nuevos post.
