Agregar una propuesta de L2TP IPsec Fase 2
Puede configurar Mobile VPN with L2TP para ofrecer a un cliente L2TP más de una propuesta para la Fase 2 del IKE. Por ejemplo, puede especificar ESP-3DES-SHA1 en una propuesta y ESP-DES-MD5 en la segunda propuesta. Cuando el tráfico pasa por el túnel VPN, la asociación de seguridad puede usar el ESP-3DES-SHA1 o el ESP-DES-MD5 para que coincida con las configuraciones de transformación en el cliente L2TP.
Mobile VPN with L2TP no admite el método de propuesta AH.
Puede incluir un máximo de ocho propuestas. El túnel usa las propuestas configuradas en el orden en que se enumeran en la configuración del túnel.
Agregar una Propuesta de Fase 2 en la Configuración de Mobile VPN with L2TP
- (Fireware v12.3 o versión superior) Seleccione VPN > Mobile VPN.
- En la sección L2TP, haga clic en Configurar.
Aparece la configuración de Mobile VPN with L2TP. - (Fireware v12.2.1 o versión inferior) Seleccione VPN > Mobile VPN with L2TP > Configurar.
Aparece la configuración de Mobile VPN with L2TP. - Seleccione la pestaña IPSec.
- Seleccione la pestaña Configuraciones de Fase 2.
- En la sección Propuestas de IPSec, seleccione una propuesta existente de la lista desplegable
- Haga clic en Agregar.
Las propuestas IPSec de Fase 2 usadas para Mobile VPN with L2TP son las mismas que configuró para utilizar con una VPN de sucursal. Si desea configurar una nueva propuesta de Fase 2 para usarla con Mobile VPN with L2TP, debe agregarla en la página de Propuestas de Fase 2. Luego puede agregarla a la configuración de Mobile VPN with L2TP.
Para crear una nueva propuesta de Fase 2:
- Seleccione VPN > Propuestas de Fase 2.
- Haga clic en Agregar.
Aparece la página Propuesta de Fase 2.
- Ajuste las configuraciones de la propuesta de Fase 2 según se describe en Agregar una Propuesta de Fase 2.
- (Fireware v12.3 o versión superior) Seleccione VPN >Mobile VPN > L2TP.
- (Fireware v12.2.1 o versión inferior) Seleccione VPN > Mobile VPN > L2TP > Configurar.
Aparece el cuadro de diálogo de Configuración de Mobile VPN with L2TP. - Seleccione la pestaña IPSec.
- Seleccione la pestaña Configuraciones de Fase 2.
- En la sección Propuestas de IPSec, haga clic en Agregar.
Aparece el cuadro de diálogo Nueva Propuesta de Fase 2.
Para usar una de las seis propuestas preconfiguradas u otra propuesta de Fase 2 que haya creado anteriormente:
- Seleccione Usar una propuesta de Fase 2 existente.
- En la lista desplegable, seleccione la propuesta que desea agregar.
- Haga clic en Aceptar.
Para crear una nueva propuesta de Fase 2:
- En el cuadro de diálogo Propuesta Nueva de Fase 2, seleccione Crear una propuesta nueva de Fase 2.
- En el cuadro de texto Nombre, ingrese un nombre para la propuesta nueva.
- En la lista desplegable Tipo, seleccione ESP (Carga de seguridad de encapsulación) como método de propuesta.
- De la lista desplegable Autenticación, seleccione el método de autenticación.
Las opciones son Ninguno, MD5, SHA1, SHA2-256, SHA2-384 y SHA2-512, que se enumeran en orden desde la menos segura hasta la más segura.
SHA-2 no se admite en dispositivos XTM
- En la lista desplegable Encryption [Cifrado], seleccione el método de cifrado.
Las opciones son DES, 3DES y AES de 128, 192 o 256 bits, que aparecen en la lista desde el más sencillo y menos seguro hasta el más complejo y más seguro. - Para forzar que Mobile VPN with L2TP genere e intercambie nuevas claves después de que pase cierto tiempo o una cierta cantidad de tráfico, establezca la configuración en la sección Forzar Caducidad de Clave.
- Seleccione la casilla de selección Tiempo para que caduque la clave luego de una cantidad de tiempo. Ingrese o seleccione la cantidad de tiempo que debe pasar para forzar la caducidad de la clave.
- Seleccione la casilla de selección Tráfico para que caduque la clave luego de una cantidad de tráfico. Ingrese o seleccione el número de kilobytes de tráfico que deben pasar para forzar la caducidad de la clave. El valor debe ser un mínimo de 24576 kilobytes.
- Si las opciones Forzar caducidad de clave están deshabilitadas, el intervalo de caducidad de la clave se establece en 8 horas.
- Haga clic en Aceptar.