Precedencia y Herencia de los Ajustes SSL/TLS
Varias funciones de Firebox usan SSL/TLS para una comunicación segura y comparten el mismo servidor OpenVPN. Las funciones que comparten el servidor OpenVPN, en orden de precedencia de mayor a menor, son:
- Management Tunnel por SSL en dispositivos hub
- BOVPN por TLS en modo Servidor
- Mobile VPN with SSL
- Access Portal
Las funciones con menor prioridad heredan algunos ajustes SSL/TLS de las funciones habilitadas con mayor prioridad. Los ajustes compartidos no son configurables para las funciones con menor prioridad.
Cuando habilita más de una de estas funciones, aparecen mensajes informativos que explican que algunos de los ajustes se heredan de otra función.
Política Compartida
Cuando habilita Management Tunnel por SSL, BOVPN por TLS, Mobile VPN with SSL o el Access Portal, la política WatchGuard SSLVPN se crea automáticamente. Todas estas características comparten la política WatchGuard SSLVPN.
En Fireware v12.1 o superior, de forma predeterminada, la política WatchGuard SSLVPN incluye solo la interfaz Cualquiera-Externo.
Le recomendamos que mantenga la política WatchGuard SSLVPN en su configuración. En Fireware v12.1 o superior, si elimina la política WatchGuard SSLVPN y crea una política personalizada con un nombre diferente, Mobile VPN with SSL no funciona si el protocolo del Canal de Datos está configurado para TCP.
En Fireware v12.1.x, la política SSLVPN de WatchGuard incluye el alias WG-VPN-Portal. Si actualiza de v12.1.x a v12.2 o una versión superior, el alias WG-VPN-Portal se elimina de la política SSLVPN de WatchGuard. Las interfaces que aparecían en el alias WG-VPN-Portal aparecen en la política WatchGuard SSLVPN, lo que significa que la política coincide con el mismo tráfico. Para obtener más información, consulte Cambios en la política SSLVPN de WatchGuard y en el alias WG-VPN-Portal en Fireware v12.1.x en la Base de Consulta de WatchGuard.
Configuraciones de Ejemplo
Las configuraciones de ejemplo en este tema muestran cómo se relacionan los ajustes para estas funciones y cómo la política WatchGuard SSLVPN se ve afectada. Estos ejemplos también muestran los mensajes que aparecen cuando una función tiene prioridad sobre otra.
En Fireware v12.1.x, los ajustes compartidos el por Access Portal y Mobile VPN with SSL aparecen en una página llamada Portal VPN. El Canal de Datos de Configuración para Mobile VPN with SSL fue renombrado como el puerto del Portal VPN y aparece en los ajustes del Portal VPN. En Fireware v12.2, los ajustes del Portal VPN se movieron a las configuraciones de Access Portal y Mobile VPN with SSL. Para obtener instrucciones de configuración que se aplican a Fireware v12.1.x, consulte Configurar los ajustes del Portal VPN en Fireware v12.1.x en la Base de Consulta de WatchGuard.
En este ejemplo, estas funciones están habilitadas en su Firebox:
- Management Tunnel por SSL en un dispositivo hub
- BOVPN por TLS en modo Servidor
- Mobile VPN with SSL
- Access Portal
Estos ajustes no son configurables:
- BOVPN por TLS en modo Servidor — Direcciones IP de Firebox, grupo de direcciones IP virtuales, protocolo y puerto del canal de datos, y renegociar el canal de datos
- Mobile VPN with SSL — Direcciones IP de Firebox, método de red, grupo de direcciones IP virtuales, recursos VPN, canal de datos, autenticación del canal de configuración, encryption (cifrado) y temporizadores.
- Access Portal — Puerto del Access Portal
Estos mensajes aparecen para BOVPN por TLS en modo Servidor, Mobile VPN with SSL y el Access Portal:
En este ejemplo, estas funciones están habilitadas en su Firebox:
- BOVPN por TLS en modo Servidor
- Mobile VPN with SSL
- Access Portal
Estos ajustes no son configurables:
- Mobile VPN with SSL — Direcciones IP de Firebox, método de red, grupo de direcciones IP virtuales, recursos VPN, canal de datos, canal de configuración, autenticación, encryption (cifrado) y temporizadores
- Access Portal — Puerto del Access Portal
En los ajustes BOVPN por TLS, puede configurar el Canal de Datos para TCP o UDP. La configuración del Canal de Datos para BOVPN por TLS afecta la configuración del Canal de Datos para Mobile VPN with SSL.
Canal de Datos TCP
Cuando se selecciona TCP en los ajustes de BOVPN por TLS, solo puede especificar el puerto 443. El Canal de Datos y el Canal de Configuración para Mobile VPN with SSL son TCP 443 y no se pueden configurar. El puerto del Access Portal es 443 y no se puede configurar.
Estos mensajes aparecen para Mobile VPN with SSL y el Access Portal:
Canal de Datos UDP
En la configuración de BOVPN por TLS en modo Servidor, cuando se selecciona UDP en los ajustes del Canal de Datos, puede especificar un puerto distinto de 443.
En la configuración de Mobile VPN with SSL, el Canal de Datos para cambia a UDP y el puerto del Canal de Datos cambia al puerto que usted especificó para el Canal de Datos de BOVPN por TLS. El Canal de Configuración es 443 y no se puede configurar.
Si habilita BOVPN por TLS en modo Servidor y Mobile VPN with SSL ya está habilitado, este mensaje aparece si se selecciona UDP para el Canal de Datos de BOVPN por TLS:
En este ejemplo, estas funciones están habilitadas en su Firebox:
- Mobile VPN with SSL
- Access Portal
En la configuración Mobile VPN with SSL, puede configurar el Canal de Datos para TCP o UDP. Los ajustes del Canal de Datos afectan al puerto del Access Portal.
Canal de Datos TCP
En los ajustes de Mobile VPN with SSL, si los ajustes del Canal de Datos se configuran en TCP, los ajustes del puerto del Access Portal cambian al puerto especificado y no son configurables. Por ejemplo, si especifica TCP 444 para el Canal de datos, el puerto del Access Portal se convierte en 444 y no es configurable.
Este mensaje aparece en la configuración del Access Portal:
Canal de Datos UDP
En los ajustes de Mobile VPN with SSL, si los ajustes del Canal de Datos están configurados para UDP, los ajustes del puerto del Access Portal no cambian y se pueden configurar.
Por ejemplo, si el Canal de Datos está configurado para UDP 444, puede especificar el puerto 443 u otro puerto para el Access Portal. La política de WatchGuard SSLVPN incluye los puertos UDP y TCP:
En este ejemplo, estas funciones están habilitadas en su Firebox:
- BOVPN por TLS en modo Servidor
- Access Portal
Canal de Datos TCP
Si los ajustes del Canal de Datos para BOVPN por TLS están configurados para TCP, no puede especificar un puerto que no sea 443. El puerto del Access Portal permanece en 443 y no se puede configurar.
Este mensaje aparece en la configuración del Access Portal:
Canal de Datos UDP
Si los ajustes del Canal de Datos para BOVPN por TLS están configurados para UDP, puede especificar un puerto que no sea 443. El puerto del Access Portal permanece en 443 y no se puede configurar.
Por ejemplo, si el Canal de Datos de BOVPN por TLS está configurado para UDP 444, la política WatchGuard SSLVPN incluye UDP 444 y TCP 443:
En este ejemplo, estas funciones están habilitadas en su Firebox:
- BOVPN por TLS en modo Servidor
- Mobile VPN with SSL
Estos ajustes de Mobile VPN with SSL no son configurables: direcciones IP de Firebox, método de red, grupo virtual de dirección IP, recursos VPN, canal de datos, canal de configuración, autenticación, cifrado y tiempo
Canal de Datos TCP
Si los ajustes del Canal de Datos para BOVPN por TLS están configurados para TCP, no puede especificar un puerto que no sea 443. El puerto del Canal de Configuración es 443 y no se puede configurar.
Este mensaje aparece en la configuración de Mobile VPN with SSL:
Canal de Datos UDP
En los ajustes de BOVPN por TLS en modo Servidor, si los ajustes del Canal de Datos están configurados para UDP, puede especificar un puerto distinto de 443.
En los ajustes de Mobile VPN with SSL, el Canal de Datos cambia al puerto que especificó para BOVPN por TLS y no se puede configurar. El Canal de Configuración permanece en 443 y no se puede configurar.
Por ejemplo, si el Canal de Datos para BOVPN por TLS está configurado para UDP 444:
- El Canal de Datos para Mobile VPN with SSL cambia a 444 y no se puede configurar.
- El Canal de Configuración permanece en 443 y no se puede configurar.
En este ejemplo, estas funciones están habilitadas en su Firebox:
- Management Tunnel por SSL en un dispositivo hub
- BOVPN por TLS en modo Servidor
Estos ajustes para BOVPN por TLS no son configurables:
- Direcciones IP de Firebox
- Grupo de direcciones IP virtuales
- Protocolo y puerto del canal de datos
- Renegociar el canal de datos
Este mensaje aparece para BOVPN por TLS:
En este ejemplo, estas funciones están habilitadas en su Firebox:
- Management Tunnel por SSL en un dispositivo hub
- Mobile VPN with SSL
Estos ajustes para Mobile VPN with SSL no son configurables:
- Direcciones IP de Firebox
- Método de red
- Grupo de direcciones IP virtuales
- Recursos VPN
- Canal de Datos
- Canal de Configuración
Este mensaje aparece para Mobile VPN with SSL:
En este ejemplo, estas funciones están habilitadas en su Firebox:
- Management Tunnel por SSL en un dispositivo hub
- Access Portal
El puerto del Access Portal no se puede configurar.
Ver También
Configurar Túneles de Administración
Configurar BOVPN por TLS en Modo Servidor