Configurar el Firebox para Mobile VPN with IPSec

En Fireware v12.2.1 o versiones inferiores, los pasos para configurar Mobile VPN with IPSec son distintos. En Fireware Web UI, seleccione VPN > Mobile VPN with IPSec.

1. Seleccione VPN > Mobile VPN.
   Aparece la página de selección de Mobile VPN.
2. En la sección Mobile VPN with IPSec, haga clic en Configurar.
   Aparece la lista de Mobile VPN with IPSec.

3. Haga clic en Agregar.
   Aparece la página de Utilizar VPN de Usuario Móvil con IPSec.

4. En el cuadro de texto Nombre, escriba un nombre para este grupo de Mobile VPN.
   Puede ingresar el nombre de un grupo existente o el nombre de un nuevo grupo de Mobile VPN. Asegúrese de que el nombre sea exclusivo entre los nombres de grupos de VPN, así como todos los nombres de túneles VPN e interfaces.

Si crea un grupo de usuarios de Mobile VPN que se autentica en un servidor de autenticación externo, asegúrese de crear un grupo en el servidor con el mismo nombre que haya especificado en el asistente para el grupo de Mobile VPN. Si utiliza el Active Directory como su servidor de autenticación, los usuarios deben pertenecer a un grupo de seguridad de Active Directory con el mismo nombre que el nombre de grupo que configura en Mobile VPN with IPSec. Para más información, consulte Configurar el Servidor de Autenticación Externa.

5. Hacer esas configuraciones para editar el perfil del grupo:

Servidor de Autenticación

Seleccione el servidor de autenticación para usar en este grupo de Mobile VPN. Puede autenticar usuarios con la base de datos interna del Firebox (Firebox-DB) o con un servidor RADIUS, VASCO, SecurID, LDAP o Active Directory Server. Asegúrese de que el método de autenticación elegido esté habilitado.

Contraseña

Ingrese una contraseña para cifrar el perfil de Mobile VPN (archivo .wgx) que distribuye a los usuarios de ese grupo. La clave compartida puede contener solo caracteres ASCII estándares. Si usa un certificado para la autenticación, esta contraseña también se usa para cifrar el archivo de certificado exportado que envía a los usuarios.

Confirmar

Ingrese la contraseña nuevamente.

Principal

Ingrese la dirección IP externa principal a la cual los usuarios de Mobile VPN en ese grupo pueden conectarse. Ésta puede ser una dirección IP externa, una dirección IP externa secundaria o una VLAN externa. Para un dispositivo en el modo directo, utilice la dirección IP asignada a todas las interfaces.

Si su Firebox tiene una dirección IP dinámica, puede especificar un nombre de dominio para las conexiones del cliente en lugar de una dirección IP. Para conectarse a la VPN móvil, los usuarios especifican el nombre de dominio en los ajustes del cliente VPN móvil. Asegúrese de registrar la dirección IP externa de su Firebox con un proveedor de servicios de DNS dinámico. Opcionalmente, puede habilitar el DNS dinámico en el Firebox para enviar automáticamente actualizaciones de la dirección IP a un proveedor de servicios de DNS dinámico que el Firebox admite. Para obtener más información sobre el DNS dinámico, consulte Acerca del Servicio de DNS Dinámico.

Copia de Seguridad

Ingrese la dirección IP externa de seguridad a la cual los usuarios de Mobile VPN de ese grupo pueden conectarse. Esa dirección IP de seguridad es opcional. Si añade una dirección IP de respaldo, asegúrese de que sea una dirección IP asignada a una interfaz externa o VLAN.

Tiempo de Espera de la Sesión

Seleccione el tiempo máximo en minutos por el cual una sesión de Mobile VPN puede estar activa.

Tiempo de Espera Inactivo

Seleccione el tiempo en minutos antes de que el Firebox cierre una sesión inactiva de Mobile VPN. Los valores de tiempo de espera inactivo y sesión son valores predeterminados de tiempo de espera si el servidor de autenticación no tiene sus propios valores de tiempo de espera. Si usa el Firebox como servidor de autenticación, los tiempos de espera para el grupo de Mobile VPN se ignoran siempre porque usted define los tiempos de espera para cada cuenta de usuario del Firebox.

La sesión y los tiempos de espera inactivos no pueden ser más extensos que el valor en el campo Duración de la SA.
Para configurar este valor, en el cuadro de diálogo Configuración de Mobile VPN with IPSec, haga clic en la pestaña Túnel IPSec y haga clic en Avanzadas para Configuraciones de Fase 1. El valor predeterminado es de 8 horas.

6. Seleccione la pestaña Túnel IPSec.
   Se abre la página Túnel IPSec.

7. Configure lo siguiente:

Utilice la contraseña del perfil del usuario final como clave compartida inicial

Seleccione esta opción para usar la contraseña del perfil del usuario final como la clave precompartida para la autenticación de túnel. Debe usar la misma clave compartida en el dispositivo remoto. Esta clave compartida puede contener sólo caracteres ASCII estándar.

Use un certificado

Seleccione esta opción para usar un certificado para autenticación de túnel.
Para obtener más información acerca de los certificados de Mobile VPN with IPSec, consulte Certificados para la Autenticación del Túnel de Mobile VPN with IPSec (Web UI).

Dirección IP de CA

Si usa un certificado, ingrese la dirección IP del Management Server que fue configurada como autoridad de certificación.

Tiempo de espera

Si utiliza un certificado, ingrese el tiempo en segundos antes de que el cliente de Mobile VPN with IPSec detenga un intento de conexión si no hay respuesta de la autoridad de certificación. Recomendamos que se mantenga el valor predeterminado.

Configuraciones de la Fase 1

Seleccione los métodos de autenticación y cifrado para los túneles VPN. Para realizar configuraciones avanzadas, tales como NAT Traversal o el grupo de claves, haga clic en Avanzadas, y consulte Definir Configuración Avanzada de Fase 1.

Las opciones de cifrado se incluyen en una lista desde la más simple y menos segura a la más compleja y más segura:

• DES
• 3DES
• AES (128 bits)
• AES (192 bits)
• AES (256 bits) (ajuste predeterminado)

Configuraciones de la Fase 2

Por defecto, PFS (Perfect Forward Secrecy) está habilitado. En la lista desplegable, seleccione el grupo Diffie-Hellman.

Para cambiar otra configuración de propuesta, haga clic en Avanzadas y consulte Definir Configuración Avanzada de Fase 2.

8. Seleccione la pestaña Recursos.
   Aparece la página Recursos.

9. Configure lo siguiente:

Permitir todo el tráfico a través del túnel

Para enviar todo el tráfico de Internet de usuario de Mobile VPN a través del túnel VPN, seleccione esa casilla de selección.
Si selecciona esa casilla de selección, el tráfico de Internet del usuario de Mobile VPN es enviado a través de la VPN. Eso es más seguro, pero disminuye el desempeño de la red.
Si no selecciona esa casilla de selección, el tráfico de Internet del usuario de Mobile VPN es enviado directamente a Internet. Eso es menos seguro, pero los usuarios pueden navegar por Internet más rápidamente.

Recursos permitidos

Esta lista incluye los recursos a los cuales los usuarios del grupo de autenticación de Mobile VPN pueden acceder en la red.

Para agregar una dirección IP o una dirección IP de red a la lista de recursos de red, haga clic en Agregar. Seleccione Host IPv4 o Red IPv4, ingrese la dirección, y haga clic en Aceptar.

Para eliminar la dirección IP seleccionada o la dirección IP de red de la lista de recursos, seleccione un recurso y haga clic en Eliminar.

Grupo de Direcciones IP Virtuales

Esta lista incluye las direcciones IP internas que son usadas por los usuarios de Mobile VPN por el túnel.

Para agregar una dirección IP o una dirección IP de red al grupo virtual de direcciones IP, haga clic en Agregar. Seleccione Host IPv4 o Red IPv4, ingrese la dirección, y haga clic en Aceptar.

Para eliminarla del grupo virtual de direcciones IP, seleccione una dirección IP de host o de red y haga clic en Eliminar.

Las direcciones IP del grupo virtual de direcciones IP no pueden ser usadas para nada más en su red.

Para obtener más información acerca de las direcciones IP virtuales, consulte Direcciones IP Virtuales y Mobile VPN.

10. Seleccione la pestaña Avanzado.
    Aparece la página Avanzado.

11. Realice las configuraciones de la Administración de Línea:

Modo de conexión

Manual — En este modo, el cliente no intenta restablecer el túnel VPN automáticamente si se cae el túnel VPN. Esta es la configuración predeterminada.

Para restablecer el túnel VPN, debe hacer clic en el botón Conectar en Connection Monitor, o hacer clic con el botón secundario en el ícono Mobile VPN en la barra de herramientas del escritorio de Windows y hacer clic en Conectar.

Automático — En este modo, el cliente intenta iniciar la conexión cuando su equipo envía tráfico a un destino que usted puede alcanzar a través de la VPN. El cliente también intenta reiniciar el túnel VPN automáticamente caso esté quede sin disponibilidad.

Variable — En este modo, el cliente intenta restablecer el túnel VPN automáticamente hasta que usted hace clic en Desconectar. Después de desconectarse, el cliente no intenta restablecer el túnel VPN nuevamente hasta que usted hace clic en Conectar.

Tiempo de espera de inactividad

Si el Modo de Conexión se configura en Automático o Variable, el software cliente Mobile VPN with IPSec no intenta renegociar la conexión VPN hasta que no haya habido tráfico desde los recursos de red disponibles a través del túnel durante el tiempo que usted ingresó para Tiempo de espera de inactividad.

Las configuraciones de Administración de Línea predeterminadas son Manual y 0 segundos. Si alterar una de ellas, debe usar el archivo .ini para configurar el software cliente.

12. (Fireware v12.2.1 o superior) Configurar los ajustes de DNS:

Asignar a los clientes móviles los ajustes de DNS/WINS de red

Si selecciona esta opción, los clientes móviles recibirán los ajustes de DNS y WINS que usted especifique en Red > Interfaces > DNS/WINS. Por ejemplo, si especifica el servidor DNS 203.0.113.50 en los ajustes de DNS/WINS de Red, los clientes de VPN móviles usan 203.0.113.50 como un servidor DNS.

De forma predeterminada, el ajuste Asignar a los clientes móviles los ajustes del Servidor DNS/WINS de Red se selecciona para las nuevas configuraciones de VPN móviles.

No asignar a los clientes móviles los ajustes de DNS o WINS

Si selecciona esta opción, los clientes no reciben los ajustes de DNS o WINS de Firebox.

Asignar estos ajustes a clientes móviles

Si selecciona esta opción, los clientes móviles recibirán los ajustes del nombre de dominio, el servidor DNS y el servidor WINS que usted especifique en esta sección. Por ejemplo, si especifica ejemplo.com como el nombre de dominio y 203.0.113.50 como el servidor DNS, los clientes móviles usan ejemplo.com para nombres de dominio no calificados y 203.0.113.50 como el servidor DNS.

Puede especificar un nombre de dominio, hasta dos direcciones IP de servidor DNS y hasta dos direcciones IP de servidor WINS.

Para obtener más información sobre los ajustes del servidor DNS y WINS para usuarios de Mobile VPN with IPSec, consulte Configurar el DNS y los Servidores WINS para Mobile VPN with IPSec.

13. Haga clic en Guardar.
    La página Mobile VPN with IPSec se abre y el nuevo grupo IPSec aparece en la lista Grupos.
14. Haga clic en Guardar.

1. Seleccione VPN > Mobile VPN > IPSec.
   
   Aparece el cuadro de diálogo Configuración de Mobile VPN with IPSec.

2. Haga clic en Agregar.
   
   Aparece el Add Mobile VPN with IPSec Wizard.

3. Haga clic en Siguiente.
   
   Aparece la pantalla Seleccionar un servidor de autenticación de usuario.

4. De la lista desplegable Servidor de Autenticación, seleccione un servidor de autenticación.

Puede autenticar usuarios al Firebox (Firebox-DB) o a un servidor RADIUS, VASCO, SecurID, LDAP o Active Directory server. Asegúrese de que ese método de autenticación está activado en el Policy Manager. Seleccione Configurar > Autenticación > Servidores de Autenticación para ver estas configuraciones.

5. En el cuadro de texto Nombre de Grupo, ingrese el nombre del grupo.

Puede ingresar el nombre de un grupo Mobile VPN ya creado o insertar un nombre de grupo para un nuevo grupo de Mobile VPN. Asegúrese que el nombre es exclusivo entre los nombres de grupo de VPN, así como todos los nombres de túneles VPN e interfaces.

Para obtener más información acerca de la autenticación de grupo de VPN, consulte Tipos de Autenticación de Firebox.

Si crea un grupo de usuarios de Mobile VPN que se autentica en un servidor de autenticación externo, asegúrese de crear un grupo en el servidor con el mismo nombre que haya especificado en el asistente para el grupo de Mobile VPN. Si utiliza el Active Directory como su servidor de autenticación, los usuarios deben pertenecer a un grupo de seguridad de Active Directory con el mismo nombre que el nombre de grupo que configura en Mobile VPN with IPSec. Para más información, consulte Configurar el Servidor de Autenticación Externa.

6. Haga clic en Siguiente.
   
   Aparece la pantalla Seleccionar un método de autenticación de túnel.

7. Seleccione una opción para autenticación de túnel:

• Usar esta contraseña
  
  Ingrese y confirme la contraseña.
• Usar un certificado RSA emitido por su WatchGuard Management Server
  Ingrese la Dirección IP de su Management Server y la Contraseña de Administración.

Para obtener información sobre cómo usar un certificado RSA, consulte Certificados para la Autenticación del Túnel de Mobile VPN with IPSec (Web UI).

8. Haga clic en Siguiente.
   
   Aparece la pantalla Dirigir flujo de tráfico de Internet.

9. Seleccione una opción para el tráfico de Internet:

• No, permitir que el tráfico de Internet se dirija directamente al ISP de usuario móvil.
  
  (Túnel dividido)
• Sí, forzar todo el tráfico de Internet para que fluya a través del túnel.
  
  (VPN de ruta predeterminada)

Para obtener más información sobre túneles divididos y la VPN de ruta predeterminada, consulte Opciones de Acceso a Internet a Través de un Túnel Mobile VPN with IPSec.

10. Haga clic en Siguiente.
    
    Aparece la pantalla Identifique los recursos accesibles a través del túnel.

11. Haga clic en Agregar para especificar el host o las direcciones IP de red que los usuarios pueden conectar a través de un túnel VPN.
12. Haga clic en Siguiente.
    
    Aparece la pantalla Crear el grupo de direcciones IP virtuales.

13. Haga clic en Agregar para agregar una dirección IP o un rango de dirección IP.
    
    Para agregar más direcciones IP virtuales, repita este paso.

A los usuarios de Mobile VPN se les asigna una dirección IP del grupo de direcciones IP virtuales cuando se conectan a su red. El número de direcciones IP en el grupo de direcciones IP virtuales debe ser el mismo que el número de usuarios de Mobile VPN. Si se ha configurado un FireCluster, debe agregar dos direcciones IP virtuales para cada usuario de Mobile VPN.

Las direcciones IP virtuales deben estar en una subred diferente de las redes locales. Las direcciones IP virtuales no pueden ser usadas para nada más en su red.

Para obtener más información acerca de las direcciones IP virtuales, consulte Direcciones IP Virtuales y Mobile VPN.

14. Haga clic en Siguiente.
    Si utilizó un certificado para la autenticación del túnel, aparece la pantalla Cifrar el archivo de configuración de VPN.

15. Ingrese y confirme la contraseña que se usará para cifrar el archivo de configuración .wgx y el certificado PKCS#12 que se guarda cuando genera el archivo de configuración de la VPN desde el Policy Manager.

Si utilizó una contraseña para la autenticación del túnel, el asistente salta este paso y se usa la contraseña que especificó para el túnel para cifrar el archivo de configuración de la VPN.

16. Haga clic en Siguiente.
    
    Aparece la pantalla Add Mobile VPN with IPSec Wizard ha concluido con éxito.
    
    

El archivo de configuración del usuario final del grupo de Mobile VPN with IPSec está disponible en la ubicación especificada en esta pantalla.

17. Para agregar usuarios al nuevo grupo de Mobile VPN with IPSec, elija la casilla de selección Agregar usuarios.
18. Haga clic en Finalizar.

Una vez finalizado el asistente, puede editar el perfil de grupo que acaba de crear para:

• Cambiar la clave compartida
• Agregar acceso a más hosts y redes
• Restringir acceso a un único puerto de destino, puerto de origen o protocolo
• Cambiar las configuraciones de Fase 1 y Fase 2
• (Fireware v12.2.1 o superior) Especificar los ajustes de servidor DNS y WINS
  Para obtener más información sobre los ajustes del servidor DNS y WINS para usuarios de Mobile VPN with IPSec, consulte Configurar el DNS y los Servidores WINS para Mobile VPN with IPSec.
  

Para editar el perfil, consulte Modificar un Perfil de Grupo Existente de Mobile VPN with IPSec.