Acceso a Internet a través de un Túnel de Mobile VPN with IKEv2

El cliente móvil de VPN IKEv2 puede enrutar el tráfico a Internet para usuarios VPN móviles en dos maneras:

Ruta predeterminada (túnel completo)

La ruta predeterminada es la opción más segura porque enruta todo el tráfico de Internet de un usuario remoto a través de los túneles VPN al Firebox. Luego, el tráfico se envía de regreso a Internet. Con esta configuración, el Firebox puede examinar todo el tráfico y brindar mayor seguridad. Tenga en cuenta que esta opción requiere más potencia de procesamiento y ancho de banda.

La ruta predeterminada es la opción por defecto para todos los tipos de VPN móviles en el Firebox.

Túnel Dividido

El Firebox admite las conexiones de clientes Mobile VPN with IKEv2 que se configuran para el túnel dividido. No obstante, usted debe configurar manualmente los clientes IKEv2 para el túnel dividido. Por ejemplo, debe agregar manualmente las rutas en la computadora del cliente por cada red remota a la que requiera acceso. No brindamos soporte técnico al cliente para los ajustes de túnel dividido en los clientes IKEv2. Consulte la documentación proporcionada por su proveedor cliente de VPN.

Si necesita un túnel dividido, le recomendamos que utilice Mobile VPN with SSL. Para obtener información sobre Mobile VPN with SSL y el túnel dividido, consulte Opciones de Acceso a Internet A Través de un Túnel de Mobile VPN with SSL.

Configuración del Firebox

Firebox debe estar configurado con NAT dinámica para recibir el tráfico de un usuario IKEv2. Cualquier política que administre tráfico hacia Internet desde detrás del Firebox debe estar configurada para permitir el tráfico de usuarios de IKEv2.

Cuando configura la VPN de ruta predeterminada:

  • Asegúrese de que las direcciones IP que ha agregado al grupo de direcciones IKEv2 estén incluidas en su configuración de NAT dinámica en el Firebox. Esto permite a los usuarios remotos navegar por Internet cuando envían todo el tráfico al Firebox.
    En Policy Manager, seleccione Red > NAT.
  • Edite la configuración de la política para permitir conexiones del grupo Usuarios de IKEv2 a través de la interfaz externa.
    Por ejemplo, si usa WebBlocker para controlar el acceso web, agregue el grupo Usuarios de IKEv2 a la política de proxy que está configurada con WebBlocker habilitado.

Configuración del Cliente

Para configurar el cliente, se recomienda descargar los archivos de configuración de cliente IKEv2 desde el Firebox. Para obtener información sobre la configuración de cliente, consulte Configurar los Dispositivos Cliente para Mobile VPN with IKEv2.

Si configura el cliente manualmente, se recomienda configurar los clientes IKEv2 para la VPN de ruta predeterminada (túnel completo):

  • Windows 10 — En las propiedades del adaptador IPv4 para la conexión VPN IKEv2, verifique que esté seleccionada la opción Usar puerta de enlace predeterminada en la red remota. Esta es la opción de ruta predeterminada (túnel completo).
  • Windows 8.1 — Mantenga la configuración estándar, que es la de ruta predeterminada.
  • macOS — Mantenga la configuración estándar, que es la de ruta predeterminada.

No puede configurar este ajuste en sistemas operativos móviles.

El WatchGuard ofrece instrucciones de interoperabilidad para ayudar a nuestros clientes a configurar los productos WatchGuard para que funcionen con productos creados por otras organizaciones. Si necesita más información o soporte técnico acerca de cómo configurar un producto ajeno a WatchGuard, consulte la documentación y los recursos de soporte de ese producto.

Habilitar Ruta Predeterminada (Túnel Completo) en Windows

  1. En Windows 8.1 o Windows 10, busque el Centro de Redes y Recursos Compartidos.
  2. Haga clic en Cambiar Configuraciones del Adaptador.
  3. Haga clic con el botón secundario en el nombre de la conexión VPN.
  4. Haga clic en Propiedades.
    Aparece el cuadro de diálogo Propiedades de Conexión VPN.
  5. Seleccione la pestaña Red.
  6. Seleccione Protocolo de Internet Versión 4 (TCP/IPv4) en la lista y haga clic en Propiedades.
  7. En la pestaña General, haga clic en Avanzada.
    Aparece el cuadro de diálogo Configuraciones TCP/IP Avanzadas.
  8. En la pestaña Ajustes de IP, marque la casilla de selección Usar puerta de enlace predeterminada en red remota.
  1. En la barra de búsqueda de Windows, ingrese powershell.
  2. En los resultados de búsqueda, seleccione Windows PowerShell.
    Aparece la ventana de interfaz de comandos de PowerShell.
  3. Para conocer la lista de VPN, ingrese este comando: get-vpnconnection
    Se mostrará la configuración de todas las VPN disponibles de Windows en la ventana de PowerShell.
  4. Identifique el nombre de la conexión VPN móvil que quiere cambiar, por ejemplo, Mi VPN Móvil.
  5. Para deshabilitar el túnel dividido para esta conexión VPN y usar en su lugar la ruta predeterminada, ingrese:
    set-vpnconnection -Name "My Mobile VPN" -SplitTunneling $false
  6. Para salir de PowerShell, ingrese salir.

Ver También

Agregar reglas NAT de red dinámica

Mobile VPN with IKEv2

Editar la Configuración de Mobile VPN with IKEv2

Resolver Problemas de Mobile VPN with IKEv2

Habilitar Ruta Predeterminada en Windows 7 en la Base de Consulta de WatchGuard