Acerca de Mobile VPN with IPSec en el Firebox
Cuando configura un grupo de usuario Mobile VPN with IPSec, se agrega automáticamente una política de tipo Cualquiera a la lista Políticas de Mobile VPN with IPSec para permitir que todo el tráfico pase desde y hacia los usuarios Mobile VPN autenticados en el grupo y sus redes privadas. Para restringir el acceso del cliente Mobile VPN, elimine la política de tipo Cualquiera y agregue otras políticas de Mobile VPN que permitan el acceso a recursos específicos.
Para establecer una conexión de Mobile VPN with IPSec, un usuario móvil debe ser miembro de un grupo de Mobile VPN y debe tener un perfil de usuario final Mobile VPN para ese grupo. Después de configurar Mobile VPN with IPSec para un grupo, puede generar ese perfil de usuario final que distribuye a los usuarios móviles.
Para obtener información acerca de cómo configurar el perfil de Mobile VPN para un grupo de usuarios, consulte Configurar el Firebox para Mobile VPN with IPSec.
Para obtener información sobre cómo generar el perfil de usuario final desde Fireware Web UI, consulte Generar de Archivos de Configuración de Mobile VPN with IPSec.
Si usa un Policy Manager para configurar el Mobile VPN with IPSec, este genera y guarda automáticamente un perfil de usuario final en el equipo de administración. El usuario debe tener ese archivo de perfil de usuario final para configurar el cliente Mobile VPN. Si usa un certificado para la autenticación, los archivos .p12 y cacert.pem se generan y se guardan automáticamente en la misma ubicación que el perfil de usuario final.
Puede configurar Mobile VPN with IPSec desde Fireware Web UI; pero si usa un certificado para la autenticación, debe usar Policy Manager para generar los archivos .p12 y cacert.pem. Estos archivos se encuentran en el mismo directorio que el perfil de usuario final generado por Policy Manager.
Se recomienda Mobile VPN with IKEv2 como alternativa a Mobile VPN with IPSec. La vulnerabilidad del Modo Agresivo de IKEv1 descrita en CVE-2002-1623 afecta a Mobile VPN with IPSec. En cambio, no afecta a Mobile VPN with IKEv2 o L2TP. Si configura Mobile VPN with IPSec, se recomienda configurar un certificado en lugar de una clave precompartida en caso de que tenga WSM Management Server. Si no tiene Management Server, se recomienda precisar una clave precompartida muy segura y cambiarla con regularidad. También se recomienda precisar un algoritmo hash, como SHA-256.
Cliente Mobile VPN with IPSec
Después de configurar Mobile VPN with IPSec en el Firebox, debe hacer lo siguiente:
- Instalar un cliente VPN compatible en cada computadora cliente
- Importar el perfil del usuario final
Cuando la VPN del usuario esté correctamente configurada, el usuario inicia la conexión a Mobile VPN. Si las credenciales que el usuario especifica se encuentran en la base de datos del servidor de autenticación, y si el usuario está incluido en el grupo Mobile VPN que creó, Firebox inicia la sesión de Mobile VPN.
Compatibilidad
Puede instalar el cliente IPSec de WatchGuard en sistemas operativos compatibles. O bien puede configurar el cliente IPSec nativo en sistemas operativos compatibles.
Para obtener información sobre compatibilidad, consulte la Matriz de Compatibilidad de Sistemas Operativos en las Notas de Versión de Fireware.
Instalación y Configuración
Para obtener información sobre cómo instalar el cliente VPN IPSec de WatchGuard e importar el perfil del usuario final, consulte Instalar el Software Cliente de Mobile VPN IPSec.
Para obtener información sobre cómo configurar el cliente VPN IPSec nativo de macOS o iOS, consulte Usar el Cliente VPN IPSec Nativo para macOS o iOS.
Para obtener información sobre cómo configurar el cliente VPN IPSec nativo en dispositivos Android, consulte Utilizar Mobile VPN with IPSec con un Dispositivo Android.