UiPath Documentation
orchestrator
latest
false
Importante :
La localización de contenidos recién publicados puede tardar entre una y dos semanas en estar disponible.
UiPath logo, featuring letters U and I in white

Guía del usuario de Orchestrator

Última actualización 13 de mar. de 2026

Configuración de VPN para robots en la nube

Puedes crear una puerta de enlace de VPN para un tenant para que tus cloud robots de VM o cloud robots sin servidor puedan acceder a tus recursos locales que están detrás de un cortafuegos.

Esta página describe:
  • Cómo funciona la puerta de enlace VPN de UiPath a nivel de red.
  • Cómo planificar rangos CIDR, enrutamiento, reglas de firewall y DNS correctamente.
  • Cómo configurar las conexiones VPN de sitio a sitio, incluido el enrutamiento estático, BGP y las políticas personalizadas de IPsec o IKE.

Requisitos previos

Importante:

La instalación de software personalizado en tu máquina virtual, como clientes VPN, puede interferir con los servicios básicos y hacer que la máquina virtual quede inutilizable. En su lugar, utiliza la configuración de este capítulo.

Para poder configurar la puerta de enlace de VPN, debe cumplir los siguientes requisitos:

  • Ser administrador de la organización en Automation CloudTM.
  • Tener un rol de Orchestrator que incluya el permiso Máquinas - Editar.

  • Información requerida de su administrador de red:

    • Una lista de intervalos de direcciones IP reservadas ubicados en la configuración de tu red local en notación CIDR. Como parte de la configuración, necesitas especificar los prefijos del intervalo de direcciones IP que vamos a encaminar a tu ubicación local.

    • Los CIDR privados a los que desea que UiPath llegue a través de la VPN (sus redes locales).
    • Una clave precompartida (PSK) para cada dispositivo de VPN.
      Importante:

      Las subredes de tu red local no deben superponerse con las subredes de la red virtual a la que quieres conectarte.

    • Use dispositivos VPN compatibles y tenga la capacidad y los conocimientos necesarios para configurarlos, como se describe en Acerca de los dispositivos VPN para conexiones: Puerta de enlace VPN de Azure. Para obtener más información sobre los parámetros de conexión predeterminados, consulta las Políticas predeterminadas para Azure.
    • Tu dispositivo de VPN debe usar direcciones IPv4 públicas de cara al exterior.
    • Nota:

      La clave precompartida debe constar de un máximo de 128 caracteres ASCII imprimibles.

      No utilices espacios ni guiones - ni caracteres con tilde ~.

El esquema de flujo de trabajo de la puerta de enlace VPN

Este esquema muestra cómo se establece la conexión VPN entre tu red local y las redes de UiPath Cloud Robot.

Conectarse a una puerta de enlace VPN permite a los robots en la nube basados en VM (grupos de VM de ACR) y a los robots sin servidor acceder a recursos restringidos en tu red local.
Figura 1. Esquema de flujo de trabajo de puerta de enlace VPN El esquema de flujo de trabajo de la puerta de enlace VPN
El flujo es el siguiente:
  1. Identifica los CIDR locales a los que quieres que llegue UiPath (tus intervalos de direcciones privadas internas). Estos son los CIDR que deben ser accesibles a través de la VPN.

  2. En su red local, proporcione los rangos de IP de los grupos ACR-VM (6, 7) para permitir su tráfico en la red.

  3. Crea la red de puerta de enlace VPN de UiPath (subred CIDR de puerta de enlace). Esta red aloja solo los recursos de puerta de enlace VPN (puntos finales de túnel y emparejamiento BGP).
    • Mínimo admitido: /27
    • Recomendado: /25 o más grande
    • Los puntos finales privados requieren /25 o más
    • No se puede cambiar después de la creación
  4. UiPath crea una IP pública para la puerta de enlace de VPN. Tu dispositivo VPN local utiliza esta IP pública como par remoto. La dirección del par BGP y el ASN también estarán disponibles una vez que se complete el aprovisionamiento.
  5. Crea un túnel de sitio a sitio entre la IP pública de tu dispositivo VPN local y la IP pública de la puerta de enlace VPN de UiPath.
  6. Se establece el enrutamiento (estático o BGP):
    • Enrutamiento estático (BGP deshabilitado en la conexión): introduces los CIDR locales en la conexión; solo esos rangos se enrutan a las instalaciones.
    • Enrutamiento dinámico (BGP habilitado en la conexión): las rutas se intercambian de forma dinámica.
  7. El tráfico del robot se origina en los CIDR del robot, no en el CIDR de la puerta de enlace:
    • Cada CIDR del grupo de máquinas virtuales de ACR (cada grupo tiene su propio CIDR).
    • El CIDR único del robot sin servidor (uno por tenant).
  8. Tu cortafuegos local (y cualquier cortafuegos intermedio) debe permitir la entrada desde los CIDR del robot a los recursos locales y garantizar el enrutamiento de retorno a esos CIDR del robot (rutas estáticas o BGP).
Importante:

La puerta de enlace VPN no realiza NAT. Los CIDR no deben superponerse y las IP de origen deben ser enrutables en ambos sentidos.

Paso 1: crea la puerta de enlace de VPN

Para crear una puerta de enlace de VPN para un tenant:

  1. En Automation CloudTM, ve a Admin.

    Si aún no lo está, habilite la nueva experiencia de Administrador mediante el botón del encabezado.

  2. En el panel Tenants de la izquierda, selecciona el tenant para el que quieres crear una puerta de enlace de VPN.

    Se abrirá la página de configuración para el tenant seleccionado.

  3. Selecciona el mosaico Puerta de enlace de VPN .
  4. Selecciona Crear puerta de enlace para Tenant. Se abre el panel Crear puerta de enlace
  5. En el campo Nombre, escribe un nombre para la puerta de enlace, tal como quieres que se muestre en la página Puerta de enlace de VPN del tenant.
  6. En el campo Espacio de dirección para vnet de puerta de enlace de VPN, añade las direcciones IP que obtuviste de tu administrador de red.
    • Usa la notación CIDR
    • Mínimo admitido: /27
    • Recomendado: /25 o mayor (los puntos finales privados requieren /25 o mayor)
    • No se puede modificar después de la creación
    Importante:
    • Los rangos de Vnet para la puerta de enlace o para el grupo de máquinas virtuales no se pueden modificar una vez creados.
    • Incluso si asignas un bloque CIDR a la red de puerta de enlace VPN (por ejemplo, /25), el tráfico de los grupos de máquinas o las plantillas de máquinas sin servidor con VPN habilitada no se originará a partir de este CIDR.

      Las direcciones IP de origen reales utilizadas para el tráfico saliente son las de los CIDR asignados al grupo de máquinas individual o a la plantilla sin servidor.

      Asegúrate de permitir el tráfico desde los CIDR de tus grupos de máquinas o plantillas sin servidor, no desde el CIDR de la red de puerta de enlace VPN.

  7. (Opcional) Si quieres utilizar un DNS para esta conexión, selecciona Añadir dirección DNS y luego:
    1. En el campo Dirección de DNS, agrega una dirección de DNS.
    2. Para añadir direcciones DNS adicionales, selecciona Añadir más para añadir otro campo y luego añade la dirección a ese campo.
      Nota: Puedes añadir direcciones de DNS más tarde, después de crear la puerta de enlace de VPN, pero eso requiere que reinicies todas las VM que estén conectadas a la puerta de enlace.
  8. Selecciona Crear en la parte inferior del panel para crear la conexión de puerta de enlace VPN.

El panel se cierra y el estado de la puerta de enlace de VPN pasa a Aprovisionamiento.

Cuando se complete, se muestra el estado Implementado en la tarjeta de la puerta de enlace.

Nota: Si el estado es Erróneo, elimina la puerta de enlace y vuelve a crearla siguiendo las instrucciones anteriores.

Paso 2: crea plantillas de cloud robot

Nota: La puerta de enlace de VPN debe mostrar el estado Implementado antes de que puedas realizar este paso.

La Vnet para una plantilla de cloud robot se crea cuando se crea cada plantilla.

Cloud robots: VM

En Orchestrator, crea uno o varios grupos de Cloud Robot - VM, siguiendo las instrucciones de Crear el grupo de Cloud Robot - VM.Durante la configuración, asegúrate de seleccionar la opción Conectar puerta de enlace de VPN.

Para cada grupo, puedes monitorizar el Estado de VPN desde la página Máquinas > Administrar Cloud Robot - VM.

Nota:

Los grupos de Cloud Robot - VM existentes no pueden conectarse a la puerta de enlace de VPN. Debes crear otros nuevos.

Además, para grupo que se configuraron para conectarse a la puerta de enlace de VPN del tenant, tienes la opción de editar el grupo y apagar la alternancia Habilitar integración de VPN para desconectar el grupo. Una vez desconectado, no puedes volver a conectar el grupo a la puerta de enlace de VPN.

Cloud Robots - Serverless

En Orchestrator, edita o crea plantillas de Cloud Robot - Serverless, siguiendo las instrucciones de Robots de Automation Cloud™ - Serverless.Durante la configuración, asegúrate de configurar opciones en la página Configuración de red.

Paso 3: creación de la conexión sitio a sitio

Con la puerta de enlace VPN implementada, ahora puedes conectar tus redes locales a ella.

La tarjeta de la puerta de enlace muestra la dirección IP pública, que es una información esencial para la configuración del túnel.

Para configurar la puerta de enlace de VPN para conectarse a un dispositivo VPN:

  1. En Automation CloudTM, ve a Admin > Tenant > Puerta de enlace de VPN.
  2. En el mosaico de la puerta de enlace, selecciona Añadir conexión.

    Se abre el panel Crear conexión.

  3. Proporciona valores para los siguientes campos:
    OpciónDescripción

    Nombre de la conexión *

    Proporcione un nombre para su conexión.

    Clave compartida (PSK) *

    Escribe una frase o cadena secreta. Debes recordar esta clave exacta y proporcionarla cuando configures la conexión en tu dispositivo local.

    IP pública para el dispositivo VPN *

    Proporciona la dirección IP pública de tu dispositivo de VPN local. Importante: no proporciones la dirección IP pública de la puerta de enlace VPN que se muestra en la tarjeta. Esa IP pública de puerta de enlace debe configurarse en tu dispositivo local como el par remoto.

  4. Elige el tipo de enrutamiento para esta conexión entre enrutamiento estático (BGP deshabilitado) o enrutamiento dinámico (BGP habilitado).
    Una sola puerta de enlace de UiPath VPN puede hospedar una combinación de conexiones BGP y no BGP.
    1. Enrutamiento estático (BGP deshabilitado)
      Si BGP está deshabilitado en la conexión, debes configurar a qué CIDR locales debe enrutar UiPath.

      Espacio de dirección para el dispositivo local *: especifica todos los CIDR privados en tu red local a los que se debe poder acceder a través de esta conexión. Solo estos rangos se enrutan a tus instalaciones a través de este túnel.

      Nota:

      Si configuraste direcciones IP de servidores DNS en la puerta de enlace, asegúrate de que esas IP de DNS caigan dentro de uno de los CIDR en las instalaciones definidos aquí (para que la puerta de enlace pueda alcanzarlas a través del túnel).

    2. Enrutamiento dinámico (BGP habilitado)
      Si BGP está habilitado en la conexión:
      • Las rutas se intercambian dinámicamente.
      • UiPath anuncia:
        • Todos los CIDR del grupo de VM de ACR
        • El CIDR del robot sin servidor
      • Tu dispositivo local anuncia sus CIDR locales.
      Proporciona valores para los siguientes campos:
      • ASN en las instalaciones: el ASN utilizado por tu dispositivo VPN en las instalaciones.
      • Dirección de par de BGP: la dirección IP utilizada por tu dispositivo local para la conexión de BGP.

      Si falta algún valor o es incorrecto, BGP no se establecerá.

  5. Opcionalmente, puedes definir configuraciones personalizadas para la política IPSec/IKE. Utiliza esta sección para garantizar la compatibilidad con la configuración de seguridad específica requerida por tu dispositivo VPN local, o para implementar políticas de seguridad avanzadas adaptadas a las necesidades de tu organización. Para ello, activa la política de IPSec/IKE personalizada .
    Nota: solo se admite IKEv2.
    1. Para la fase 1 de IKE, proporciona valores para los siguientes campos:
      Cifrado *

      Proporciona el método de cifrado coincidente para el intercambio de claves seguras inicial (IKE Fase 1). Debe ser idéntica a la configuración de UiPath Gateway (por ejemplo, AES-256, GCMAES).

      Valores posibles: GCMAES256, GCMAES128, AES256, AES192, AES128

      Integridad *

      Proporciona la comprobación de integridad de datos coincidente para la comunicación IKE de fase 1 inicial (por ejemplo, SHA-256, SHA-512). Debe coincidir con UiPath Gateway.

      Valores posibles: SHA384, SHA256, SHA1, MD5

      Grupo DH *

      Proporciona el grupo Diffie-Hellman (DH) correspondiente para el intercambio de claves seguras en la fase 1 de IKE (por ejemplo, Grupo 14, Grupo 19). Debe coincidir con UiPath Gateway.

      Valores posibles: DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, Ninguno

    2. Para IKE fase 2 (IPSec), proporciona valores para los siguientes campos:
      Cifrado IPsec *

      Proporciona el método de cifrado coincidente para el tráfico de datos dentro del túnel VPN (IPSec Fase 2) (por ejemplo, AES-256, 3DES). Debe coincidir con UiPath Gateway.

      Valores posibles: GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Ninguno

      Integridad de IPsec *

      Proporciona la comprobación de integridad de datos coincidentes para el tráfico dentro del túnel VPN (IPSec Fase 2) (por ejemplo, SHA-256, SHA-512). Debe coincidir con UiPath Gateway.

      Valores posibles: GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5

      Grupo PFS *

      Proporcione el grupo Perfect Forward Secrecy (PFS) correspondiente para la fase 2 de IPSec, si está habilitado en UiPath Gateway (por ejemplo, Grupo 14, Grupo 19). Si un lado usa PFS, el otro debe hacerlo coincidir o deshabilitarlo.

      Valores posibles: PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Ninguno

      Vida útil de IPSec SA en kilobytes *

      Proporciona la duración de las conexiones seguras activas (IKE e IPSec). Estos son ajustes locales; la coincidencia no es estrictamente necesaria, pero se recomiendan valores similares para mantener la coherencia.

      Valores posibles: mínimo 1024, predeterminado 10 2400 000

      Vida útil de IPsec SA en segundos *

      Proporciona la duración de las conexiones seguras activas (IKE e IPSec). Estos son ajustes locales; la coincidencia no es estrictamente necesaria, pero se recomiendan valores similares para mantener la coherencia.

      Valores posibles: mínimo 300, predeterminado 27 000

  6. Selecciona Añadir conexión. Una vez completada la configuración, el estado de la conexión puede tardar un tiempo en actualizarse a Conectado.

El panel se cierra y la nueva conexión se muestra en la página Conexiones. La conexión está lista para usarse cuando la columna Estado de conexión muestra Conectado.

Un estado Conectado significa que la clave precompartida (PSK), la dirección del protocolo de Internet público (IP) del par y los parámetros de la política IPSec/IKE están configurados correctamente y existe un túnel cifrado.

Nota: Si el estado de la conexión es Conexión fallida, debes eliminar la conexión y volver a crearla.

Para añadir más conexiones, en la página Conexiones , selecciona Crear conexión.

Nota: Puedes añadir hasta 25 conexiones.

Paso 4: configuración de dispositivos de VPN

Ahora el administrador de tu red puede:

  1. Configura tu dispositivo de VPN desde tu red local.

    El PSK debe coincidir con el especificado para la conexión creada en el paso 3.

  2. Añade los espacios de dirección usados para configurar la puerta de enlace de VPN y Vnets para plantillas de cloud robot a la lista de permitidos de tu red.

Para obtener una lista de dispositivos VPN compatibles y las instrucciones de configuración de RouteBased, consulta Acerca de los dispositivos VPN para conexiones: Azure VPN Gateway en la documentación de Microsoft.

Preguntas frecuentes

Residencia de datos

La puerta de enlace de VPN para un tenant se crea automáticamente en la misma región del tenant y no se puede cambiar dicha región.

Cambio a una región diferente

Si ya existe una puerta de enlace de VPN y elegiste mover tu tenant a una región diferente, puedes:

  • seguir usando la puerta de enlace en la región antigua o
  • eliminar la puerta de enlace de VPN existente y crear una nueva, que se crea en la región actual del tenant.

Retención de datos

Si deshabilitas un tenant que tenga una puerta de enlace de VPN, tienes un período de gracia de 60 días antes de perder el acceso a tu dispositivo de VPN. Después de 60 días, tu puerta de enlace de VPN se elimina de forma permanente de tus tenants.

Si vuelves a habilitar el tenant en un plazo de 60 días, tu puerta de enlace de VPN no se eliminará y estará disponible para usarse.

Expiración de la licencia

Si tus Robot Unit han caducado, tienes un período de gracia de 60 días antes de perder el acceso a tu dispositivo VPN. Después de 60 días, tu puerta de enlace de VPN se eliminará de forma permanente de tus tenants.

Resolución de problemas de conexiones VPN

Si una conexión está Conectada, pero no puedes acceder a los recursos, comprueba:

  • Configuración de espacio de dirección: garantiza que los espacios de direcciones definidos en ambos extremos sean correctos y no se superpongan para un enrutamiento adecuado.

  • Resolución de DNS: confirma que la puerta de enlace y los dispositivos conectados resuelven los nombres de dominio necesarios. Verifica las configuraciones y la accesibilidad del servidor DNS.

  • Reglas del cortafuegos: revisa las reglas del cortafuegos tanto en el gateway como en la red local; garantiza los flujos de tráfico en los puertos y protocolos necesarios dentro de los espacios de direcciones definidos.

¿Te ha resultado útil esta página?

Conectar

¿Necesita ayuda? Soporte

¿Quiere aprender? UiPath Academy

¿Tiene alguna pregunta? Foro de UiPath

Manténgase actualizado