Usar el WatchGuard IKEv2 Setup Wizard

El WatchGuard IKEv2 Setup Wizard le ayuda a activar y configurar Mobile VPN with IKEv2 en el Firebox. El asistente de configuración solamente está disponible cuando Mobile VPN with IKEv2 no se activó. El asistente le solicita que configure cuatro ajustes:

  • Nombre de dominio o dirección IP del Firebox para conexiones de clientes
  • Servidor de autenticación
  • Usuarios y grupos
  • Grupo de direcciones IP virtuales

Los ajustes que no se incluyen en el asistente se establecen según sus valores predeterminados. Luego, puede editar la configuración de Mobile VPN with IKEv2 para cambiar los ajustes que especificó en el asistente y otros.

Antes de Empezar

Servidor de Autenticación

Debe configurar un servidor de autenticación para la autenticación de usuario de IKEv2 antes de habilitar Mobile VPN with IKEv2. Al configurar Mobile VPN with IKEv2, selecciona un servidor de autenticación y especifica a usuarios y grupos. Si sus usuarios se autentican en los recursos de red con Active Directory, recomendamos que configure la autenticación RADIUS para que la VPN IKEv2 pueda pasar a través de las credenciales de Active Directory.

Para obtener más información sobre los métodos de autenticación de usuario compatibles con IKEv2, consulte Acerca de la Autenticación de Usuario de Mobile VPN with IKEv2.

Dirección IP dinámica

Si su Firebox tiene una dirección IP dinámica, puede especificar un nombre de dominio para las conexiones del cliente en lugar de una dirección IP. Para conectarse a la VPN móvil, los usuarios especifican el nombre de dominio en los ajustes del cliente VPN móvil. Asegúrese de registrar la dirección IP externa de su Firebox con un proveedor de servicios de DNS dinámico. Opcionalmente, puede habilitar el DNS dinámico en el Firebox para enviar automáticamente actualizaciones de la dirección IP a un proveedor de servicios de DNS dinámico que el Firebox admite. Para obtener más información sobre el DNS dinámico, consulte Acerca del Servicio de DNS Dinámico.

Configuración predeterminada

IPSec

Cuando activa Mobile VPN with IKEv2, IPSec se habilita de forma predeterminada con estos ajustes de IPSec:

Transformaciones de Fase 1:

  • SHA2-256, AES(256) y Grupo Diffie-Hellman 14
  • SHA-1, AES(256) y Grupo Diffie-Hellman 5
  • SHA-1, AES(256) y Grupo Diffie-Hellman 2
  • SHA-1, 3DES y Grupo Diffie-Hellman 2

La duración de la SA es de 24 horas para todas las transformaciones.

Propuestas de Fase 2:

  • ESP-AES-SHA1
  • ESP-AES256-SHA256

PFS está deshabilitado.

Fireware v12.2 o superior admite AES-GCM para las transformaciones de Fase 1 y las propuestas de Fase 2.

Si sus clientes IKEv2 requieren ajustes diferentes, puede editar estos ajustes después de ejecutar el asistente.

Grupo de Direcciones IP

De forma predeterminada, el grupo de direcciones de Mobile VPN with IKEv2 es 192.168.114.0/24.

Le recomendamos que no utilice los rangos de red privada 192.168.0.0/24 o 192.168.1.0/24 en sus redes corporativas o de invitados. Estos rangos se utilizan comúnmente en redes domésticas. Si un usuario de VPN móvil tiene un rango de red doméstica que se superpone con el rango de su red corporativa, el tráfico del usuario no pasa por el túnel VPN. Para resolver este problema, le recomendamos Migrar a un Nuevo Rango de Red Local.

Para obtener más información acerca de los grupos de direcciones IP virtuales, consulte Direcciones IP Virtuales y Mobile VPN.

Grupo de Usuarios

Cuando habilita Mobile VPN with IKEv2, Firebox crea automáticamente un grupo de usuarios llamado IKEv2-Users.. Puede agregar otros usuarios y grupos en la configuración de IKEv2. El Firebox incluye automáticamente a esos usuarios y grupos en el grupo IKEv2-Users.

Para obtener información sobre la autenticación de usuario y la autenticación multifactor, consulte Acerca de la Autenticación de Usuario de Mobile VPN with IKEv2.

Políticas

Cuando activa Mobile VPN with IKEv2, Firebox crea automáticamente dos políticas: Allow-IKE-to-Firebox, que es una política oculta, y Allow IKEv2-Users.

La política Allow IKEv2-Users permite que los grupos y usuarios que configuró para la autenticación IKEv2 tengan acceso a los recursos de su red. De forma predeterminada, la lista Hacia de la política incluye solo el alias. Cualquiera, lo que significa que esta política permite que los usuarios de Mobile VPN with IKEv2 accedan a todos los recursos de la red.

Recomendamos que limite los recursos de red a los que los usuarios de Mobile VPN with IKEv2 pueden acceder a través de la VPN. Para ello, puede reemplazar la política Allow IKEv2-Users. Para obtener instrucciones que explican cómo reemplazar la política Allow IKEv2-Users, y para obtener más información sobre las políticas de IKEv2, consulte Acerca de las Políticas IKEv2.

Otros Ajustes

Después de completar el asistente, puede configurar ajustes adicionales de Mobile VPN with IKEv2 que no aparecen en el asistente. Para obtener información sobre otros ajustes, consulte Editar la Configuración de Mobile VPN with IKEv2.

Usar el IKEv2 Setup Wizard

  1. (Fireware v12.3 o versión superior) Seleccione VPN > Mobile VPN.
  2. En la sección IKEv2, seleccione Configurar.
    Aparece la página de Mobile VPN with IKEv2.
  3. (Fireware v12.2.1 o versión inferior) Seleccione VPN > Mobile VPN with IKEv2.
    Aparece la página de Mobile VPN with IKEv2.
  4. Haga clic en Ejecutar Asistente.
  5. Haga clic en Siguiente.
  6. Ingrese el nombre de dominio o la dirección IP para las conexiones del cliente. Si su Firebox está detrás de un dispositivo NAT, debe especificar la dirección IP pública o el nombre de dominio del dispositivo NAT.

  1. En la lista desplegable, seleccione un servidor para los usuarios de Mobile VPN with IKEv2:
    • Firebox-DB
    • RADIUS
    • AuthPoint (Fireware v12.7 o superior)

  1. Haga clic en Agregar.
  2. Repita los pasos 7 y 8 para agregar otros servidores de autenticación. El primer servidor de la lista es el servidor de autenticación predeterminado.
  3. Seleccione o agregue los usuarios o grupos para Mobile VPN with IKEv2.
  4. (Opcional) En Fireware v12.5.4 o superior, para habilitar la Aplicación de Host Sensor para un grupo, marque la casilla de selección para ese grupo y luego seleccione . Para deshabilitar la Aplicación de Host Sensor para un grupo, marque la casilla de selección para ese grupo y luego seleccione No. Para más información, consulte Acerca de la Aplicación de Host Sensor de TDR.

  1. Especifique el grupo de direcciones IP para usuarios de Mobile VPN with IKEv2. El grupo de direcciones IP predeterminado es 192.168.114.0/24.

  1. Haga clic en Finalizar.

  1. Para editar la configuración, haga clic en Configurar.
  2. Para descargar scripts de configuración e instrucciones para clientes VPN IKEv2, haga clic en Descargar. Para obtener más información sobre scripts e instrucciones, consulte Configurar los Dispositivos Cliente para Mobile VPN with IKEv2.

  1. (Fireware v12.3 o versión superior) Seleccione VPN > Mobile VPN > IKEv2.
    Aparece el IKEv2 Setup Wizard.
  2. (Fireware v12.2.1 o versión inferior) Seleccione VPN > Mobile VPN > IKEv2 > Activar.
    Aparece el IKEv2 Setup Wizard.

Screen shot of the IKEv2 wizard start page

  1. Haga clic en Siguiente.
  2. Ingrese el nombre de dominio o la dirección IP para las conexiones del cliente. Si su Firebox está detrás de un dispositivo NAT, especifique la dirección IP pública o el nombre de dominio del dispositivo NAT.

Screen shot of the server address page in the IKEv2 wizard

  1. Seleccione uno o más servidores de autenticación para usuarios de Mobile VPN with IKEv2:
  • Firebox-DB
  • RADIUS
  • AuthPoint (Fireware v12.7 o superior)

Screen shot of the authentication server settings in the IKEv2 wizard

  1. Para especificar un servidor de autenticación predeterminado diferente, seleccione un servidor y haga clic en Configurar como Predeterminado.
  2. Seleccione o agregue los usuarios o grupos para Mobile VPN with IKEv2.

  1. (Opcional) En Fireware v12.5.4 o superior, para habilitar la Aplicación de Host Sensor para un grupo, marque la casilla de selección para ese grupo y luego marque la casilla de selección Aplicación de Host Sensor. Para deshabilitar la Aplicación de Host Sensor para un grupo, marque la casilla de selección para ese grupo y luego desmarque la casilla de selección Aplicación de Host Sensor. Para más información, consulte Acerca de la Aplicación de Host Sensor de TDR.
  2. Especifique el grupo de direcciones IP para usuarios de Mobile VPN with IKEv2. El grupo de direcciones IP predeterminado es 192.168.114.0/24.

  1. Haga clic en Finalizar.

  1. Para editar la configuración, seleccione VPN > Mobile VPN > IKEv2 > Configurar.
  2. Para descargar scripts de configuración e instrucciones para clientes VPN IKEv2, seleccione VPN > Mobile VPN > IKEv2.

Para obtener más información sobre los scripts, consulte Configurar los Dispositivos Cliente para Mobile VPN with IKEv2.

Para configurar otros ajustes, edite la configuración de Mobile VPN with IKEv2.

Ver También

Mobile VPN with IKEv2

Editar la Configuración de Mobile VPN with IKEv2

Acceso a Internet a través de un Túnel de Mobile VPN with IKEv2

Configurar los Dispositivos Cliente para Mobile VPN with IKEv2

Configurar los Dispositivos iOS y macOS para Mobile VPN with IKEv2

Configurar los Dispositivos Windows para Mobile VPN with IKEv2

Configurar los Dispositivos Android para Mobile VPN with IKEv2

Resolver Problemas de Mobile VPN with IKEv2