Cuando configura una VPN móvil, el Firebox crea automáticamente dos tipos de políticas:
Política de conexión
La política de conexión permite que se establezca la VPN. Mobile VPN with L2TP tiene dos políticas de conexión:
- Allow-IKE-to-Firebox — Esta política está oculta, lo que significa que no aparece en la lista de políticas de Firebox. En los ajustes globales de la VPN, el ajuste Habilitar la política IPSec incorporada controla esta política. No desmarque la casilla de selección Habilitar la política IPSec incorporada. Para obtener más información sobre los ajustes globales de la VPN, consulte Acerca de las Configuraciones de VPN Global.
- WatchGuard L2TP — Esta política permite el tráfico UDP 1701 desde el alias. L2TP-IPSec al Firebox.
Recomendamos que no cambie las políticas de conexión.
Política de acceso
La política de acceso permite que los grupos y usuarios de Mobile VPN with L2TP tengan acceso a los recursos de su red. Para Mobile VPN with L2TP, la política de acceso se denomina Allow L2TP-Users.
Si usa un asistente para habilitar Mobile VPN with L2TP en Policy Manager:
- Puede especificar a qué recursos de red pueden acceder los usuarios de L2TP. Si selecciona Permitir el acceso a todos los recursos, la lista Hacia en la política Allow L2TP-Users incluye solo el alias Cualquiera. Esto significa que los usuarios pueden acceder a todos los recursos de la red.
- Si selecciona Restringir el acceso a los recursos que se especifican a continuación, la lista Hacia en la política Allow L2TP-Users incluye solo los recursos que usted especificó.
Si usa un asistente para habilitar Mobile VPN with L2TP en Fireware Web UI, la opción para especificar recursos de la red no aparece. De forma predeterminada, la política Allow L2TP-Users permite a los usuarios acceder a todos los recursos de la red.
Después de completar el asistente en Policy Manager o Fireware Web UI, puede editar la política Allow L2TP-Users para cambiar los recursos permitidos.
Solo el grupo L2TP-Users aparece en la lista Desde de la política Allow L2TP-Users. El grupo L2TP-Users incluye cualquier usuario y grupo que usted agregue a la configuración de Mobile VPN with L2TP. Los usuarios y grupos que usted agregue a la configuración de Mobile VPN with L2TP no aparecen en la lista Desde de la política Allow L2TP-Users. Sin embargo, la política aún se aplica a esos usuarios y grupos.
Grupos de Autenticación y Políticas L2TP
Es importante comprender que las políticas de Firebox controlan a qué recursos pueden acceder los usuarios de VPN móvil. Las VPN no se consideran parte de las zonas de confianza u opcionales. Cuando los usuarios se conectan a la VPN, no se los considera usuarios de confianza en la red local.
Esto significa que las políticas del Firebox con los alias De confianza u Opcional en la lista Desde no se aplican al tráfico de usuarios de la VPN móvil a menos que usted agregue grupos o usuarios de VPN móvil a esas políticas. O bien puede crear nuevas políticas para el tráfico de grupos y usuarios de VPN móvil.
Por ejemplo, esta política no se aplica al tráfico de los usuarios de Mobile VPN with L2TP porque lista Desde incluye solo el alias Cualquiera-De Confianza:
Esta política se aplica al tráfico de usuarios de Mobile VPN with L2TP porque la lista Desde incluye un grupo de usuarios de Mobile VPN with L2TP:
Esta política también se aplica al tráfico de usuarios de Mobile VPN with L2TP porque el grupo de usuarios de RADIUS llamado TestGroup1 se especifica en la configuración de Mobile VPN with L2TP:
Considere atentamente qué grupos de usuarios agrega a las políticas de Firebox. Por ejemplo, si agrega grupos de usuarios RADIUS a la configuración de autenticación en su Firebox, y agrega los mismos grupos a su configuración de Mobile VPN with L2TP, considere agregar los grupos de RADIUS a las políticas del Firebox, en lugar del grupo predeterminado. L2TP-Users. El grupo L2TP-Users incluye todos los grupos y usuarios que usted agregue a la configuración de Mobile VPN with L2TP. Si agrega el grupo L2TP-Users a una política de Firebox, todos los usuarios móviles tienen acceso a los recursos especificados en esa política, lo que podría no ser su intención.
Los grupos de direcciones IP virtuales no afectan si los usuarios de VPN se consideran usuarios de confianza o no en la red local. Por ejemplo, si especifica un grupo de direcciones IP para Mobile VPN with L2TP que se superpone con el rango de direcciones IP de su red local, los usuarios de la VPN móvil todavía no se consideran usuarios de confianza en la red local.
Prácticas Recomendadas para las Políticas L2TP
Recomendamos que limite los recursos de red a los que los usuarios de Mobile VPN with L2TP pueden acceder a través de la VPN. Para ello, puede reemplazar la política Allow L2TP-Users.
Para reemplazar la política Allow L2TP-Users:
- Determine los puertos y protocolos que sus usuarios necesitan. Para determinar esto, evalúe su red con pruebas de valores de referencia y vea los registros.
- Agregue grupos y usuarios de Mobile VPN with L2TP a las políticas existentes del Firebox que especifican esos puertos y protocolos. Por ejemplo, puede agregar grupos y usuarios de Mobile VPN with L2TP a las políticas para el tráfico web.
- Si es necesario, agregue políticas nuevas:
- Cuando selecciona un tipo de política para la nueva política, puede especificar un protocolo y un puerto.
- En la lista de la política Desde, especifique usuarios o grupos. Debe especificar grupos o usuarios incluidos en la configuración de Mobile VPN with L2TP. Por ejemplo, puede especificar el grupo predeterminado L2TP-Users. O bien especifique los grupos y usuarios que agregó a la configuración de Mobile VPN with L2TP.
- En la lista Hasta de la política, elimine el alias Cualquiera y agregue otros destinos.
- Antes de deshabilitar la política Allow L2TP-Users, asegúrese de que sus políticas permitan que los usuarios de Mobile VPN with L2TP accedan a todos los recursos de red necesarios.
- Deshabilite la política Allow L2TP-Users.
Ver También
Editar la Configuración Mobile VPN with L2TP
Acerca de la Autenticación de Usuario de Mobile VPN with L2TP