orchestrator
latest
false
Importante :
La localización de contenidos recién publicados puede tardar entre una y dos semanas en estar disponible.
UiPath logo, featuring letters U and I in white

Guía del usuario de Orchestrator

Última actualización 1 de sep. de 2025

Configuración de VPN para robots en la nube

Puedes crear una puerta de enlace VPN para un tenant para que tus cloud robots de VM puedan acceder a tus recursos locales que están detrás de un firewall.

Requisitos previos

Importante:

La instalación de software personalizado en tu máquina virtual, como clientes VPN, puede interferir con los servicios básicos y hacer que la máquina virtual quede inutilizable. En su lugar, utiliza la configuración de este capítulo.

Para poder configurar la puerta de enlace de VPN, debe cumplir los siguientes requisitos:

  • Tener uno mismo conocimientos, ayuda del administrador de red o de alguien con buen conocimiento de los conceptos de VPN y de redes.
  • Ser administrador de la organización en Sector público de Automation CloudTM .
  • Tener un rol de Orchestrator que incluya el permiso Máquinas - Editar.
  • Cada tenant para el que quieres crear una puerta de enlace de VPN debe tener al menos 5000 robot units asignadas.
  • Información del administrador de tu red:

    • Una lista de intervalos de direcciones IP reservadas ubicados en la configuración de tu red local en notación CIDR. Como parte de la configuración, necesitas especificar los prefijos del intervalo de direcciones IP que vamos a encaminar a tu ubicación local.

      Importante:

      Las subredes de tu red local no deben superponerse con las subredes de la red virtual a la que quieres conectarte.

    • Use dispositivos VPN compatibles y tenga la capacidad y los conocimientos necesarios para configurarlos, como se describe en Acerca de los dispositivos VPN para conexiones: Puerta de enlace VPN de Azure. Para obtener más información sobre los parámetros de conexión predeterminados, consulta las Políticas predeterminadas para Azure.
    • Tu dispositivo de VPN debe usar direcciones IPv4 públicas de cara al exterior.

    • Una clave precompartida (PSK) para cada dispositivo de VPN.
      Nota:

      La clave precompartida debe constar de un máximo de 128 caracteres ASCII imprimibles.

      No utilices espacios ni guiones - ni caracteres con tilde ~.
    • Debes introducir un único intervalo de IP en notación de CIDR, con una máscara de /25.

El esquema de flujo de trabajo de la puerta de enlace VPN

Este esquema muestra cómo se establece la conexión VPN entre su red local y las redes de su Cloud Robot - VM.

Conectarse a una puerta de enlace VPN permite que sus ACR-VM accedan a recursos restringidos en su red local.
Imagen 'El esquema de flujo de trabajo de la puerta de enlace VPN'
El flujo es el siguiente:
  1. En tu red local, configura el rango de IP (1) para la puerta de enlace VPN. Esto representa el rango de IP de tu red local.

  2. En su red local, proporcione los rangos de IP de los grupos ACR-VM (6, 7) para permitir su tráfico en la red.

  3. Configura el rango de IP de la puerta de enlace VPN (4), que representan los recursos subyacentes que se utilizan para alojar la puerta de enlace VPN en la nube. /25 es el sufijo obligatorio para la puerta de enlace. Esto indica a tu red local que la puerta de enlace VPN puede necesitar hasta 128 direcciones IP para funcionar.
  4. Se crea una IP pública para la puerta de enlace (5), a la que su red local debe tener como destino para iniciar una conexión.

  5. Su red local se conecta a la puerta de enlace VPN a través de un túneles de sitio a sitio (3) y, en este punto, la puerta de enlace VPN se dirige a la IP pública de su red local (2) y su red local se dirige a la IP pública de la puerta de enlace (5). Tus recursos locales están disponibles en la puerta de enlace de VPN y cualquier ACR-VM conectado puede acceder a ellos.

  6. Los grupos ACR-VM tienen redes independientes. Para conectar un grupo ACR-VM a la pasarela VPN, configura un rango IP para ese grupo (6, 7).

    Importante:

    Es importante que el rango de IP de los grupos que desea configurar (6, 7) no se superponga con ningún otro rango de IP en todo su espacio de red (incluida su red local (1) y cualquier recurso utilizado por la puerta de enlace VPN de UiPath® (4)).

Paso 1: crea la puerta de enlace de VPN

Para crear una puerta de enlace de VPN para un tenant:

  1. En Sector público de Automation CloudTM , ve a Admin.

    Si aún no lo está, habilite la nueva experiencia de Administrador mediante el botón del encabezado.

  2. En el panel Tenants de la izquierda, selecciona el tenant para el que quieres crear una puerta de enlace de VPN.

    Se abrirá la página de configuración para el tenant seleccionado.

  3. Selecciona el mosaico Puerta de enlace de VPN .
  4. Selecciona Crear puerta de enlace para Tenant. Se abre el panel Crear puerta de enlace
  5. En el campo Nombre, escribe un nombre para la puerta de enlace, tal como quieres que se muestre en la página Puerta de enlace de VPN del tenant.
  6. En el campo Espacio de direcciones para vnet de puerta de enlace VPN, añade las direcciones IP que obtuviste de tu administrador de red. Utiliza la notación CIDR, con una máscara de /25.Por ejemplo, 10.0.0.0/25.

    Esto debería ser un intervalo de direcciones IP que tu administrador de red haya reservado para esta red virtual. Además, no debe superponerse con los intervalos de IP que representan la red local o los intervalos de IP del grupo de VM (se definen más tarde).

    Importante:
    • Los rangos de Vnet para la puerta de enlace o para el grupo de máquinas virtuales no se pueden modificar una vez creados.
    • Incluso si asignas un bloque CIDR a la red de puerta de enlace VPN (por ejemplo, /25), el tráfico de los grupos de máquinas o las plantillas de máquinas sin servidor con VPN habilitada no se originará a partir de este CIDR.

      Las direcciones IP de origen reales utilizadas para el tráfico saliente son las de los CIDR asignados al grupo de máquinas individual o a la plantilla sin servidor.

      Asegúrate de permitir el tráfico desde los CIDR de tus grupos de máquinas o plantillas sin servidor, no desde el CIDR de la red de puerta de enlace VPN.

  7. (Opcional) Si quieres utilizar un DNS para esta conexión, selecciona Añadir dirección DNS y luego:
    1. En el campo Dirección de DNS, agrega una dirección de DNS.
    2. Para añadir direcciones DNS adicionales, selecciona Añadir más para añadir otro campo y luego añade la dirección a ese campo.
      Nota: Puedes añadir direcciones de DNS más tarde, después de crear la puerta de enlace de VPN, pero eso requiere que reinicies todas las VM que estén conectadas a la puerta de enlace.
  8. Selecciona Crear en la parte inferior del panel para crear la conexión de puerta de enlace VPN.
    Nota:Si el tenant actual no tiene al menos 5000 robot units asignadas, no puedes crear la puerta de enlace.

El panel se cierra y el estado de la puerta de enlace de VPN pasa a Aprovisionamiento. La implementación de la puerta de enlace puede tardar hasta 45 minutos en completarse.

Cuando se complete, se muestra el estado Implementado en la tarjeta de la puerta de enlace.

Nota: Si el estado es Erróneo, elimina la puerta de enlace y vuelve a crearla siguiendo las instrucciones anteriores.

Paso 2: crea plantillas de cloud robot

Nota: La puerta de enlace de VPN debe mostrar el estado Implementado antes de que puedas realizar este paso.

La Vnet para una plantilla de cloud robot se crea cuando se crea cada plantilla.

Cloud robots - VM: en Orchestrator, crea uno o más grupos de Cloud robot - VM , siguiendo las instrucciones de Crear el grupo de cloud robot . Durante la configuración, asegúrate de seleccionar la opción Conectar puerta de enlace VPN .

Para cada grupo, puedes monitorizar el Estado de VPN desde la página Máquinas > Administrar Cloud Robot - VM.

Nota:

Los grupos de Cloud Robot - VM existentes no pueden conectarse a la puerta de enlace de VPN. Debes crear otros nuevos.

Además, para grupo que se configuraron para conectarse a la puerta de enlace de VPN del tenant, tienes la opción de editar el grupo y apagar la alternancia Habilitar integración de VPN para desconectar el grupo. Una vez desconectado, no puedes volver a conectar el grupo a la puerta de enlace de VPN.

Paso 3: creación de la conexión sitio a sitio

Con la puerta de enlace VPN implementada, ahora puedes conectar tus redes locales a ella.

La tarjeta de puerta de enlace muestra la dirección IP pública, que es una información esencial para la conexión del túnel.

Para configurar la puerta de enlace de VPN para conectarse a un dispositivo VPN:

  1. En Sector público de Automation CloudTM , ve a Admin > Tenant > Puerta de enlace de VPN.
  2. En el mosaico de la puerta de enlace, selecciona Añadir conexión.

    Se abre el panel Crear conexión a la derecha de la página.

  3. Proporciona valores para los siguientes campos:
    OpciónDescripción

    Nombre de la conexión *

    Proporcione un nombre para su conexión.

    Clave compartida (PSK) *

    Escribe una frase o cadena secreta. Debes recordar esta clave exacta y proporcionarla cuando configures la conexión en tu dispositivo local.

    IP pública para el dispositivo VPN *

    Proporcione la dirección IP pública de su dispositivo VPN local. Importante: No proporciones la dirección IP pública de la puerta de enlace VPN que se muestra en la tarjeta. Esa dirección debe configurarse en tu dispositivo local.

    Espacio de direcciones para el dispositivo local *

    Especifica todos los rangos de direcciones IP privadas en tu red local que necesitan comunicarse a través de esta conexión. Como la puerta de enlace no es compatible con el protocolo de puerta de enlace de borde (BGP), se requiere una configuración manual. Si has especificado una dirección IP de servidor DNS para la puerta de enlace, asegúrate de que la dirección se encuentra dentro de uno de los rangos de direcciones IP privadas que defines aquí.

  4. Opcionalmente, puedes definir configuraciones personalizadas para la política IPSec/IKE. Utiliza esta sección para garantizar la compatibilidad con la configuración de seguridad específica requerida por tu dispositivo VPN local, o para implementar políticas de seguridad avanzadas adaptadas a las necesidades de tu organización. Para ello, activa la política de IPSec/IKE personalizada .
    Nota: solo se admite IKEv2.
    1. Para la fase 1 de IKE, proporciona valores para los siguientes campos:
      Cifrado *

      Proporciona el método de cifrado coincidente para el intercambio de claves seguras inicial (IKE Fase 1). Debe ser idéntica a la configuración de UiPath Gateway (por ejemplo, AES-256, GCMAES).

      Valores posibles: GCMAES256, GCMAES128, AES256, AES192, AES128

      Integridad *

      Proporciona la comprobación de integridad de datos coincidente para la comunicación IKE de fase 1 inicial (por ejemplo, SHA-256, SHA-512). Debe coincidir con UiPath Gateway.

      Valores posibles: SHA384, SHA256, SHA1, MD5

      Grupo DH *

      Proporciona el grupo Diffie-Hellman (DH) correspondiente para el intercambio de claves seguras en la fase 1 de IKE (por ejemplo, Grupo 14, Grupo 19). Debe coincidir con UiPath Gateway.

      Valores posibles: DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, Ninguno

    2. Para IKE fase 2 (IPSec), proporciona valores para los siguientes campos:
      Cifrado IPsec *

      Proporciona el método de cifrado coincidente para el tráfico de datos dentro del túnel VPN (IPSec Fase 2) (por ejemplo, AES-256, 3DES). Debe coincidir con UiPath Gateway.

      Valores posibles: GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Ninguno

      Integridad de IPsec *

      Proporciona la comprobación de integridad de datos coincidentes para el tráfico dentro del túnel VPN (IPSec Fase 2) (por ejemplo, SHA-256, SHA-512). Debe coincidir con UiPath Gateway.

      Valores posibles: GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5

      Grupo PFS *

      Proporcione el grupo Perfect Forward Secrecy (PFS) correspondiente para la fase 2 de IPSec, si está habilitado en UiPath Gateway (por ejemplo, Grupo 14, Grupo 19). Si un lado usa PFS, el otro debe hacerlo coincidir o deshabilitarlo.

      Valores posibles: PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Ninguno

      Vida útil de IPSec SA en kilobytes *

      Proporciona la duración de las conexiones seguras activas (IKE e IPSec). Estos son ajustes locales; la coincidencia no es estrictamente necesaria, pero se recomiendan valores similares para mantener la coherencia.

      Valores posibles: mínimo 1024, predeterminado 10 2400 000

      Vida útil de IPsec SA en segundos *

      Proporciona la duración de las conexiones seguras activas (IKE e IPSec). Estos son ajustes locales; la coincidencia no es estrictamente necesaria, pero se recomiendan valores similares para mantener la coherencia.

      Valores posibles: mínimo 300, predeterminado 27 000

  5. Selecciona Añadir conexión. Una vez completada la configuración, el estado de la conexión puede tardar un tiempo en actualizarse a Conectado.

El panel se cierra y la nueva conexión se muestra en la página Conexiones. La conexión está lista para usarse cuando la columna Estado de conexión muestra Conectado.

Un estado Conectado significa que la clave precompartida (PSK), la dirección del protocolo de Internet público (IP) del par y los parámetros de la política IPSec/IKE están configurados correctamente y existe un túnel cifrado.

Los Serverless y Cloud Robots no aceptan de forma inherente conexiones de red entrantes. Existe una excepción para los Cloud Robots, que permiten conexiones de Protocolo de escritorio remoto (RDP) solo cuando se habilitan explícitamente.

Nota: Si el estado de la conexión es Conexión fallida, debes eliminar la conexión y volver a crearla.

Para añadir más conexiones, en la página Conexiones , selecciona Crear conexión.

Nota: Puedes añadir hasta 25 conexiones.

Paso 4: configuración de dispositivos de VPN

Ahora el administrador de tu red puede:

  1. Configura tu dispositivo de VPN desde tu red local.

    El PSK debe coincidir con el especificado para la conexión creada en el paso 3.

  2. Añade los espacios de dirección usados para configurar la puerta de enlace de VPN y Vnets para plantillas de cloud robot a la lista de permitidos de tu red.

Para obtener una lista de dispositivos VPN compatibles y las instrucciones de configuración de RouteBased, consulta Acerca de los dispositivos VPN para conexiones: Azure VPN Gateway en la documentación de Microsoft.

Preguntas frecuentes

Residencia de datos

La puerta de enlace de VPN para un tenant se crea automáticamente en la misma región del tenant y no se puede cambiar dicha región.

Cambio a una región diferente

Si ya existe una puerta de enlace de VPN y elegiste mover tu tenant a una región diferente, puedes:

  • seguir usando la puerta de enlace en la región antigua o
  • eliminar la puerta de enlace de VPN existente y crear una nueva, que se crea en la región actual del tenant.

Retención de datos

Si deshabilitas un tenant que tenga una puerta de enlace de VPN, tienes un período de gracia de 60 días antes de perder el acceso a tu dispositivo de VPN. Después de 60 días, tu puerta de enlace de VPN se elimina de forma permanente de tus tenants.

Si vuelves a habilitar el tenant en un plazo de 60 días, tu puerta de enlace de VPN no se eliminará y estará disponible para usarse.

Expiración de la licencia

Si ya no tienes las robot units necesarias, tienes un período de gracia de 60 días antes de perder el acceso a tu dispositivo de VPN.Después de 60 días, tu puerta de enlace de VPN se elimina de forma permanente de tus tenants.

Resolución de problemas de conexiones VPN

Si una conexión está Conectada, pero no puedes acceder a los recursos, comprueba:

  • Configuración de espacio de dirección: garantiza que los espacios de direcciones definidos en ambos extremos sean correctos y no se superpongan para un enrutamiento adecuado.

  • Resolución de DNS: confirma que la puerta de enlace y los dispositivos conectados resuelven los nombres de dominio necesarios. Verifica las configuraciones y la accesibilidad del servidor DNS.

  • Reglas del cortafuegos: revisa las reglas del cortafuegos tanto en el gateway como en la red local; garantiza los flujos de tráfico en los puertos y protocolos necesarios dentro de los espacios de direcciones definidos.

¿Te ha resultado útil esta página?

Obtén la ayuda que necesitas
RPA para el aprendizaje - Cursos de automatización
Foro de la comunidad UiPath
Uipath Logo
Confianza y seguridad
© 2005-2025 UiPath. Todos los derechos reservados.