Utilizar el WatchGuard L2TP Setup Wizard

El WatchGuard L2TP Setup Wizard le ayuda a activar y configurar Mobile VPN with L2TP en el Firebox. El asistente de configuración solamente está disponible cuando Mobile VPN with L2TP no está activado. El asistente le solicita que configure estos ajustes:

  • Servidor de autenticación
  • Usuarios y grupos
  • Grupo de direcciones IP virtuales
  • Método de autenticación

Los ajustes que no se incluyen en el asistente se establecen según sus valores predeterminados. Después de completar el asistente, puede editar la configuración de Mobile VPN with L2TP para cambiar los ajustes que especificó en el asistente y otros ajustes.

No puede configurar Mobile VPN with L2TP si la configuración del dispositivo ya cuenta con una puerta de enlace de VPN de sucursal que usa el modo principal y cuenta con una puerta de enlace remota con una dirección IP dinámica.

Antes de Empezar

Servidor de Autenticación

Debe configurar un servidor de autenticación para la autenticación de usuario L2TP antes de habilitar Mobile VPN with L2TP. Asegúrese que cualquiera de los usuarios y grupos que desea usar sean agregados al servidor de autenticación. Cuando configura Mobile VPN with L2TP, selecciona un servidor de autenticación y especifica usuarios y grupos.

Mobile VPN with L2TP admite dos métodos de autenticación: local en el Firebox (Firebox-DB) y RADIUS. Para obtener más información acerca de los métodos de autenticación de usuario admitidos con L2TP, consulte Acerca de la Autenticación de Usuario de Mobile VPN with L2TP

Dirección IP dinámica

Si su Firebox tiene una dirección IP dinámica, puede configurar el DNS dinámico para que los usuarios puedan especificar un nombre de dominio en los ajustes del cliente para conectarse a la VPN. Asegúrese de registrar la dirección IP externa de su Firebox con un proveedor de servicios de DNS dinámico. Opcionalmente, puede habilitar el DNS dinámico en el Firebox para enviar automáticamente actualizaciones de la dirección IP a un proveedor de servicios de DNS dinámico que el Firebox admite. Para obtener más información sobre el DNS dinámico, consulte Acerca del Servicio de DNS Dinámico.

Configuración predeterminada

IPSec

Cuando activa Mobile VPN with L2TP, IPSec se habilita de forma predeterminada con estos ajustes de IPSec:

Transformaciones de Fase 1:

  • SHA-1, AES(256) y Grupo Diffie-Hellman 2
  • SHA-1, AES(256) y Grupo Diffie-Hellman 20
  • SHA2-256, AES(256) y Grupo Diffie-Hellman 14

La Duración de la SA es de 8 horas para todas las transformaciones.

Propuestas de Fase 2:

  • ESP-AES-SHA1
  • ESP-AES128-SHA1
  • ESP-AES256-SHA256

PFS está deshabilitado por defecto.

Grupo de Direcciones IP

De forma predeterminada, el grupo de direcciones de Mobile VPN with L2TP es 192.168.115.0/24.

Le recomendamos que no utilice los rangos de red privada 192.168.0.0/24 o 192.168.1.0/24 en sus redes corporativas o de invitados. Estos rangos se utilizan comúnmente en redes domésticas. Si un usuario de VPN móvil tiene un rango de red doméstica que se superpone con el rango de su red corporativa, el tráfico del usuario no pasa por el túnel VPN. Para resolver este problema, le recomendamos Migrar a un Nuevo Rango de Red Local.

Para obtener más información acerca de los grupos de direcciones IP virtuales, consulte Direcciones IP Virtuales y Mobile VPN.

Grupo de Usuarios

Cuando habilita Mobile VPN with L2TP, el Firebox crea automáticamente un grupo de usuarios llamado IKEv2-Users. Puede agregar otros usuarios y grupos en la configuración de L2TP. El Firebox incluye automáticamente a esos usuarios y grupos en el grupo L2TP-Users.

Para obtener información sobre la autenticación de usuario y la autenticación multifactor, consulte Acerca de la Autenticación de Usuario de Mobile VPN with L2TP.

Política

Cuando activa Mobile VPN with L2TP, el Firebox crea automáticamente tres políticas: Allow-IKE-to-Firebox, que es una política de IPSec oculta, Allow L2TP-Users y WatchGuard L2TP.

La política Allow L2TP-Users permite que los grupos y usuarios que configuró para la autenticación L2TP tengan acceso a los recursos de su red. De forma predeterminada, la lista Hacia de la política incluye solo el alias. Cualquiera, lo que significa que esta política permite que los usuarios de Mobile VPN with L2TP accedan a todos los recursos de la red.

Recomendamos que limite los recursos de red a los que los usuarios de Mobile VPN with L2TP pueden acceder a través de la VPN. Para ello, puede reemplazar la política Allow L2TP-Users. Para obtener instrucciones que explican cómo reemplazar la política Allow L2TP-Users, y para obtener más información sobre las políticas de L2TP, consulte Acerca de Políticas L2TP.

Otros Ajustes

Después de completar el asistente, puede configurar ajustes de Mobile VPN with L2TP adicionales que no aparecen en el asistente. Para obtener información sobre otros ajustes, consulte Editar la Configuración Mobile VPN with L2TP.

Usar el L2TP Setup Wizard

Los pasos para iniciar el asistente cambiaron en Fireware v12.3. Para iniciar el asistente en Fireware Web UI v12.2.1 o versiones inferiores, seleccione VPN > Mobile VPN with L2TP y haga clic en Ejecutar Asistente. Para iniciar el asistente en Policy Manager v12.2.1 o versiones inferiores, seleccione VPN > Mobile VPN > L2TP > Activar.

  1. Seleccione VPN > Mobile VPN.
  2. En la sección de L2TP, haga clic en Lanzar Asistente.
    Se muestra el Mobile VPN with L2TP wizard.
  3. Haga clic en Siguiente.
    Aparece una lista de servidores de autenticación.

Screen shot of the Mobile VPN with L2TP Setup Wizard, user authentication page.

  1. En la lista Servidor de Autenticación, seleccione un servidor.
  2. Haga clic en Agregar. Puede agregar la base de datos de Firebox (Firebox-DB) interna y uno o más servidores RADIUS.
    Para más información acerca de los métodos de autenticación de usuario para L2TP, consulte Acerca de la Autenticación de Usuario de Mobile VPN with L2TP.
  3. Para especificar un servidor predeterminado diferente, seleccione ese servidor y haga clic en Mover hacia Arriba. El servidor que aparece primero en la lista es el servidor predeterminado.
    Si los usuarios no especifican el servidor de autenticación como parte del nombre de usuario al realizar la autenticación desde un cliente L2TP, Mobile VPN with L2TP usa el servidor de autenticación predeterminado.

Si selecciona más de un servidor de autenticación, los usuarios quienes usan el servidor de autenticación no predeterminado deben especificar el servidor de autenticación o dominio como parte del nombre de usuario. Para obtener información y ejemplos, consulte Conectar desde un Cliente VPN L2TP.

  1. Haga clic en Siguiente.
    Aparece el cuadro de diálogo Autenticación de Usuarios y Grupos. El grupo de usuarios L2TP es agregado automáticamente de forma predeterminada.

Screen shot of the Mobile VPN with L2TP Setup Wizard - Authentication Users and Groups page

  1. Seleccione los usuarios o grupos para Mobile VPN with L2TP.
  2. (Opcional) En Fireware v12.5.4 o superior, para habilitar la Aplicación de Host Sensor para un grupo, marque la casilla de selección para ese grupo y luego seleccione . Para deshabilitar la Aplicación de Host Sensor para un grupo, marque la casilla de selección para ese grupo y luego seleccione No. Para más información, consulte Acerca de la Aplicación de Host Sensor de TDR.
  3. Para agregar usuarios o grupos nuevos para autenticar con Mobile VPN with L2TP:
    1. En la sección Crear nuevo en la primera lista desplegable, seleccione Cualquiera, Firebox-DB o RADIUS.
    2. En la lista desplegable adyacente, seleccione Usuario o Grupo.
    3. Haga clic en Agregar.
    4. Si seleccionó Cualquiera o RADIUS para el servidor de autenticación, configure los ajustes en el cuadro de diálogo Agregar Usuario o Grupo.
    5. (Opcional) En Fireware v12.5.4 o superior, para habilitar la Aplicación de Host Sensor para un grupo, seleccione Habilitar la Aplicación de Host Sensor. Para más información, consulte Acerca de la Aplicación de Host Sensor de TDR.

    Screen shot of the Add Authentication User or Group dialog box.

    1. Si seleccionó Firebox-DB para el servidor de autenticación, configure los ajustes en el cuadro de diálogo Usuario de Firebox o Grupo de Firebox.
    2. (Opcional) En Fireware v12.5.4 o superior, para habilitar la Aplicación de Host Sensor para un grupo, seleccione Habilitar la Aplicación de Host Sensor. Para obtener más información, consulte Acerca de la Aplicación de Host Sensor de TDR.

    Screen shot of the Firebox Group dialog box

Si usa el Firebox-DB para autenticación, debe usar el grupo Usuarios de L2TP que se crea de forma predeterminada. Puede agregar los nombres de otros grupos y usuarios que usen Mobile VPN with L2TP. Para cada grupo o usuario que agrega, puede seleccionar el servidor de autenticación en donde existe el grupo, o seleccione Cualquiera si ese grupo existe en más de un servidor de autenticación. El nombre de grupo o usuario que agregue debe existir en el servidor de autenticación. Los nombres de grupo y usuario distinguen entre mayúsculas y minúsculas, y deben coincidir exactamente con el nombre en su servidor de autenticación.

  1. Después de configurar usuarios y grupos, haga clic en Siguiente.
    Aparece la página Grupo de Direcciones IP Virtuales. De manera predeterminada, aparece la red 192.168.115.0/24 en la lista.

Screen shot of the Mobile VPn with L2TP Setup Wizard, Virtual IP Address Pool page

  1. Para agregar un nuevo grupo de direcciones IP, haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar Grupo de Direcciones.

Screen shot of the Add Address Pool dialog box

  1. En la lista desplegable Elegir tipo, seleccione si agregar una dirección de host IPv4, una dirección de red o un rango de direcciones. Debe agregar por lo menos dos direcciones IP al grupo de direcciones IP virtuales. Ingrese la dirección IP o el rango y haga clic en Aceptar.
    La dirección se agrega al grupo de direcciones IP virtuales.

Screen shot of the Mobile VPn with L2TP Setup Wizard, Virtual IP Address Pool page

Para obtener más información acerca de los grupos de direcciones IP virtuales, consulte Direcciones IP Virtuales y Mobile VPN.

  1. Después de que defina el grupo de direcciones IP virtuales, haga clic en Siguiente.
    Aparece la página Método de autenticación de túnel.

Screen shot of the Mobile VPN with L2TP Setup Wizard, tunnel authentication method page

  1. Seleccione una opción para la autenticación de túnel IPSec. Existen dos opciones:

Usar Clave Precompartida

Ingrese o pegue la clave compartida. Debe usar la misma clave precompartida en las configuraciones IPSec en el cliente L2TP.

Usar el IPSec Firebox Certificate

Seleccione el certificado que desea usar de la tabla. Ya debe haber importado un certificado al Firebox para usar esta opción.

Para utilizar los certificados para la autentificación, debe instalar el certificado en todos los dispositivos que se conecten.

Para más información, consulte Certificados para la Autenticación de Túnel de Mobile VPN with L2TP.

  1. Haga clic en Siguiente.
  2. Haga clic en Finalizar para guardar la configuración y salir del asistente.
  1. Seleccione VPN > Mobile VPN > L2TP.
    Se muestra el WatchGuard L2TP Setup Wizard.
  2. Haga clic en Siguiente.
    Aparece una lista de Servidores de Autenticación configurados.

Screen shot of the WatchGuard L2TP Setup Wizard - Select the user authentication servers page

  1. Seleccione la casilla de selección para cada servidor de autenticación que desee usar para la autenticación de usuario de Mobile VPN with L2TP. Puede agregar la base de datos de Firebox (Firebox-DB) interna y uno o más servidores RADIUS.
    Para más información acerca de los métodos de autenticación de usuario para L2TP, consulte Acerca de la Autenticación de Usuario de Mobile VPN with L2TP
  2. Para especificar un servidor predeterminado diferente, marque la casilla de selección para ese servidor y haga clic en Configurar como Predeterminado.
    Si los usuarios no especifican el servidor de autenticación como parte del nombre de usuario al realizar la autenticación desde un cliente L2TP, Mobile VPN with L2TP usa el servidor de autenticación predeterminado.

Si selecciona más de un servidor de autenticación, los usuarios quienes usan el servidor de autenticación no predeterminado deben especificar el servidor de autenticación o dominio como parte del nombre de usuario. Para obtener información y ejemplos, consulte Conectar desde un Cliente VPN L2TP.

  1. Después de haber seleccionado los servidores de autenticación, haga clic en Siguiente.
    Aparece la página Agregar Usuarios y Grupos. El grupo de usuarios L2TP es agregado automáticamente de forma predeterminada.

Screen shot of the WatchGuard L2TP Setup Wizard - Add authorized users and groups page

  1. Seleccione los usuarios o grupos para Mobile VPN with L2TP.
  2. (Opcional) En Fireware v12.5.4 o superior, para habilitar la Aplicación de Host Sensor para un grupo, marque la casilla de selección Aplicación de Host Sensor para ese grupo. Para más información, consulte Acerca de la Aplicación de Host Sensor de TDR.
  3. Para agregar usuarios o grupos nuevos para autenticar con Mobile VPN with L2TP:
    1. Haga clic en Nuevo.
    2. Seleccione Usuario/Grupo de Firebox-DB o Usuario/Grupo Externo.
    3. Si seleccionó Usuario/Grupo de Firebox-DB para el servidor de autenticación, siga las instrucciones en los apartados Definir un Nuevo Usuario para Autenticación en Firebox o Definir un Nuevo Grupo para Autenticación en Firebox para agregar un usuario o un grupo.
    4. Si seleccionó Usuario/Grupo Externo, configure los ajustes en el cuadro de diálogo Agregar Usuario o Grupo.
    5. (Opcional) En Fireware v12.5.4 o superior, para habilitar la Aplicación de Host Sensor para un grupo, marque la casilla de selección Aplicación de Host Sensor para ese grupo. Para obtener más información, consulte Acerca de la Aplicación de Host Sensor de TDR.

    Screen shot of the Add Authentication User or Group dialog box.

Si usa el Firebox-DB para la autenticación debe usar el grupo Usuarios de L2TP que es creado de forma predeterminada. Puede agregar los nombres de otros grupos y usuarios que usen Mobile VPN with L2TP. Para cada grupo o usuario que agrega, puede seleccionar el servidor de autenticación en donde existe el grupo, o seleccione Cualquiera si ese grupo existe en más de un servidor de autenticación. El nombre de grupo o usuario que agregue debe existir en el servidor de autenticación. Los nombres de grupo y usuario distinguen entre mayúsculas y minúsculas, y deben coincidir exactamente con el nombre en su servidor de autenticación.

  1. Después de configurar usuarios y grupos, haga clic en Siguiente.
    Aparece la página Configurar los recursos permitidos.

Screen shot of the WatchGuard L2TP Setup Wizard - Configure the allowed resources page

Los recursos permitidos determinan lo que el asistente coloca en la sección Hacia de la política Permitir usuarios L2TP generada automáticamente. A menos que restrinja el acceso a recursos específicos, la política Permitir usuarios L2TP permite el acceso a Cualquiera.

  1. Para limitar el acceso, seleccione Restringir acceso a los recursos especificados abajo.
  2. Haga clic en Agregar para agregar rangos de direcciones IP de red, alias u otros recursos a los que desea que los usuarios de Mobile VPN with L2TP tengan acceso.
  3. Después de haber configurado los recursos permitidos, haga clic en Siguiente.
    Aparece la página Grupo de Direcciones IP Virtuales. De manera predeterminada, aparece la red 192.168.115.0/24 en la lista.

Screen shot of the WatchGuard L2TP Setup Wizard - Define the virtual IP address pool page

  1. Haga clic en Agregar para agregar una dirección de host IPv4, dirección de red o rango de direcciones. Debe agregar por lo menos dos direcciones IP al grupo de direcciones IP virtuales.

Para obtener más información acerca de los grupos de direcciones IP virtuales, consulte Direcciones IP Virtuales y Mobile VPN.

  1. Después de que defina el grupo de direcciones IP virtuales, haga clic en Siguiente.
    Aparece la página Seleccione método de autenticación de túnel.

Screen shot of the WatchGuard L2TP Setup Wizard - Select the tunnel authentication method page

  1. Seleccione una opción para la autenticación de túnel IPSec. Existen dos opciones:

Usar Clave Precompartida

Ingrese o pegue la clave compartida. Debe usar la misma clave precompartida en las configuraciones IPSec en el cliente L2TP.

Usar Certificado IPSec

Seleccione el certificado que desea usar de la tabla. Ya debe haber importado un certificado al Firebox para usar esta opción.

Para más información, consulte Certificados para la Autenticación de Túnel de Mobile VPN with L2TP.

  1. Haga clic en Siguiente.
    El L2TP wizard ha concluido.
  2. Si desea editar la configuración L2TP después de haber finalizado el asistente, seleccione la casilla de selección Abrir el diálogo configuración L2TP.
  3. Para cerrar el asistente, haga clic en Finalizar.
    Mobile VPN with L2TP está habilitado, y las políticas L2TP requeridas se agregan automáticamente.

Para configurar otros ajustes, edite la configuración de Mobile VPN with L2TP.

Cuando habilita Mobile VPN with L2TP, se agregan automáticamente dos políticas para permitir el tráfico L2TP. Para más información, consulte Acerca de Políticas L2TP.

Ver También

Mobile VPN with L2TP

Editar la Configuración Mobile VPN with L2TP

Resolver Problemas de Mobile VPN with L2TP