Configurar una VPN del Punto de Acceso

Se aplica A: Puntos de Acceso Administrados en WatchGuard Cloud (AP130, AP330, AP332CR, AP430CR, AP432)

Puede crear un túnel VPN seguro entre un punto de acceso administrado en la nube y un Firebox administrado en la Nube de WatchGuard.

Diagram of the Access Point VPN solution

Actualmente, la VPN del Punto de Acceso solo admite un Firebox administrado en la nube.

Un túnel VPN ofrece una forma mejor y segura para que los trabajadores remotos se conecten al centro de datos corporativo a través de una VPN IKEv2 (IKE Versión 2) sin necesidad de configuración por parte del usuario.

Por ejemplo:

Un trabajador remoto ubicado en su casa que requiere una conexión segura a la red corporativa.
Una pequeña sucursal que no requiere un firewall pero requiere conectividad segura a la red corporativa.

Requisitos de la VPN del Punto de Acceso

Para crear una VPN del Punto de Acceso, debe tener lo siguiente:

Firebox administrado en la nube con Mobile VPN (IKEv2) habilitado
SSID con NAT habilitada en su punto de acceso

La función VPN del Punto de Acceso no admite un SSID con una VLAN habilitada o si el SSID está configurado con un Portal Cautivo.

Licencia de WatchGuard USP Wi-Fi

Requisitos de Red

Si el punto de acceso que utiliza para la VPN se encuentra detrás de otro firewall o enrutador, asegúrese de que estos puertos estén abiertos para las comunicaciones VPN:

Puerto UDP 500
Puerto UDP 4500

Normalmente, no es necesario especificar el Protocolo IP ESP 50 porque está encapsulado dentro de los paquetes del puerto UDP 4500. Este puerto se utiliza para NAT Traversal, y ESP no puede utilizar NAT. En la mayoría de los casos, el punto de acceso será el dispositivo perimetral y siempre utilizará la NAT Transversal.

Asegúrese de que el paso IPSec saliente esté habilitado en su firewall o enrutador. Muchos dispositivos ya lo tienen habilitado de forma predeterminada. En un Firebox WatchGuard, puede habilitar la opción de agregar una política de paso en los ajuste globales de VPN en Fireware Web UI o Policy Manager. Para obtener más información, consulte Acerca de las Configuraciones de VPN Global en la Ayuda de Fireware.

Configurar una VPN del Punto de Acceso

Para configurar una VPN del Punto de Acceso, siga estos pasos:

Configurar un Firebox con Mobile VPN (IKEv2)
Agregar un Access Point Site
Agregar un SSID con NAT
Configurar la VPN del Punto de Acceso
Implementar una Configuración de Sitio a un Punto de Acceso
Probar la VPN del Punto de Acceso

Configurar un Firebox con Mobile VPN (IKEv2)

Una Red Privada Virtual Móvil (Mobile VPN) crea una conexión segura entre un dispositivo remoto, como un punto de acceso, y los recursos de red detrás del Firebox.

Los Fireboxes administrados en la nube y los puntos de acceso de WatchGuard admiten Mobile VPN with IKEv2 para la conexión VPN, que utiliza IPSec para proporcionar cifrado y autenticación sólidos.

Para configurar una VPN entre un punto de acceso y un Firebox administrado en la nube, primero debe configurar un Mobile VPN with IKEv2 en el Firebox.

Desde una cuenta Subscriber, seleccione Configurar > Dispositivos.
Seleccione el Firebox.
Seleccione Configuración del Dispositivo.
Se abre la página Configuración del Dispositivo.
En la sección VPN, seleccione Agregar Mobile VPN.
Se abre la página Agregar Mobile VPN.
Seleccione IKEv2.
Se abre la página de configuración de Mobile VPN with IKEv2.

Screen shot of the Mobile VPN with IKEv2 configuration on a Firebox

Ingrese un Nombre para la VPN.
En la sección Direcciones del Firebox, haga clic en Agregar Nombre de Dominio o Dirección IP. Agregue el nombre de dominio o la dirección IP pública del Firebox.
Haga clic en Guardar.

Cuando configure e implemente la VPN del Punto de Acceso, el Firebox automáticamente crea un grupo de autenticación correspondiente y usuarios para los usuarios de la VPN del Punto de Acceso para la Mobile VPN. El nombre del grupo es el nombre del access point site, y el nombre de usuario del punto de acceso que aparece en los detalles del grupo es el número de serie del dispositivo.

Para más información, consulte Configurar Mobile VPN with IKEv2 para un Firebox Administrado en la Nube.

Agregar un Access Point Site

Configure una VPN en un Access Point Site. Para más información sobre los Access Point Sites, consulte Acerca de los Access Point Sites.

Para configurar una VPN del Punto de Acceso, desde WatchGuard Cloud:

Desde una cuenta Subscriber, seleccione Configurar > Access Point Sites.
Se abre la página Access Point Sites.
Haga clic en Agregar Sitio.
También puede seleccionar y configurar un Access Point Site existente.

Screen shot of the Add Access Point Site page in WatchGuard Cloud

Escriba un Nombre y Descripción para el Access Point Site y, a continuación, haga clic en Agregar.
Se abre la página de configuración de Access Point Site.

Screen shot of the Access Point Site configuration page for an Access Point VPN

Agregar un SSID con NAT

Para agregar un SSID con NAT habilitada al sitio para la VPN del punto de acceso:

En el mosaico Redes Wi-Fi, haga clic en Agregar SSID.
Se abre la página Agregar SSID.

Screen shot of the SSID settings for an Access Point VPN

Configure estos ajustes del SSID:

Nombre de SSID — Escriba el nombre de SSID. Este es el nombre de la red inalámbrica que se muestra a los clientes.
Difundir SSID — Marque la casilla de selección Difundir SSID para difundir el nombre del SSID a los clientes inalámbricos. Si desea ocultar el nombre del SSID, desmarque esta casilla de selección.
Tipo de SSID — Seleccione una red inalámbrica Privada.
Radio — Seleccione las radios del punto de acceso (2.4 GHz, 5 GHz, o ambas, 2.4 GHz y 5 GHz) que difundirán este SSID.
Seguridad — Seleccione el tipo de seguridad y la contraseña para este SSID. Le recomendamos que utilice WPA2 Personal como mínimo.
En la sección Red, debe seleccionar NAT.

La VPN del Punto de Acceso no puede funcionar con un SSID en modo puenteado o con una VLAN habilitada.

Configure estos ajustes al habilitar la NAT en el SSID:

Screen shot of the SSID NAT settings for an Access Point VPN

Dirección IP Local (Gateway) — Una dirección IP en la red seleccionada fuera del grupo de direcciones DHCP. Esta dirección se utiliza como la dirección de la puerta de enlace para los clientes en la red inalámbrica.

Asegúrese de configurar un rango de direcciones IP que no entre en conflicto con las direcciones IP de su red existente.

Máscara de Subred — La máscara de red para la red seleccionada.
Dirección IP de Inicio del Grupo DHCP — La dirección IP inicial del grupo de direcciones DHCP en la red seleccionada.
Dirección IP de Finalización del Grupo DHCP — La dirección IP final del grupo de direcciones DHCP en la red seleccionada.
Tiempo de Concesión — El tiempo de concesión DHCP en horas (1 a 24).
Servidor DNS Principal y Secundario — Los servidores DNS primario y secundario a los cuales los clientes inalámbricos hacen las consultas DNS. El servidor DNS principal debe ser su servidor DNS de la red corporativa.

Haga clic en Agregar para agregar el SSID al sitio.
Haga clic en Atrás para volver a la página de ajustes de configuración del sitio.

Screen shot of the Access Point Sites configuration page

Haga clic en Programar Implementación para implementar la configuración del sitio con el nuevo SSID.

Si no implementa la configuración de SSID, el SSID no estará disponible para que lo seleccione en la configuración de VPN del Punto de Acceso en el siguiente paso.

Configurar la VPN del Punto de Acceso

Para habilitar y configurar la VPN del Punto de Acceso:

Desde la página de configuración del sitio del Access Point Site, haga clic en VPN del Punto de Acceso.
Se abre la página VPN del Punto de Acceso.

Screen shot of the Access Point VPN configuration page

Habilite VPN del Punto de Acceso.
En la lista desplegable SSID, seleccione el SSID con NAT habilitada que creó.
El SSID no puede tener habilitada una VLAN.
(Opcional) Marque la casilla de selección Utilizar túnel para la autenticación RADIUS para enviar tráfico de autenticación RADIUS a través del túnel a un servidor RADIUS situado detrás del endpoint del túnel de Firebox. Los SSID configurados en la VPN del Punto de Acceso y cualquier otro SSID que utilice la autenticación Enterprise con el mismo servidor RADIUS pasarán el tráfico de autenticación por el túnel. Esta función solo aparece si ha configurado la autenticación Enterprise con un servidor RADIUS en el SSID configurado para la VPN del Punto de Acceso.
En la lista desplegable Firebox, seleccione el Firebox administrado en la nube con Mobile VPN habilitada.

Solo los SSID con NAT habilitada y los Fireboxes administrados en la nube con Mobile VPN (IKEv2) habilitada se muestran en la configuración de la VPN. Asegúrese de configurar estos elementos antes de iniciar la configuración de VPN del punto de acceso.

Haga clic en Guardar.

Después de guardar la VPN del Punto de Acceso, la configuración se implementa inmediatamente.

Al guardar e implementar la VPN del Punto de Acceso, el Firebox crea automáticamente un grupo de autenticación y usuarios correspondientes para la VPN del Punto de Acceso.

Screen shot of the Firebox authentication group settings for an Access Point VPN

Implementar una Configuración de Sitio a un Punto de Acceso

Cuando haya completado la configuración de SSID y VPN en su sitio, debe implementar la configuración en un punto de acceso suscribiendo el dispositivo al sitio.

Vuelva a la página de ajustes de configuración del sitio.
Haga clic en la pestaña Dispositivos Suscritos.
La pestaña Dispositivos Suscritos muestra una lista de todos los dispositivos suscritos al sitio.

Screen shot of the Subscribed Devices tab in an Access Point Site configuration

Para seleccionar dispositivos a fin de suscribirlos a este sitio, haga clic en Seleccionar Dispositivos.
Se abre la página Seleccionar Dispositivos. Esta lista muestra todos los dispositivos en la cuenta seleccionada actualmente que aún no están suscritos a este sitio.

Screen shot of the Select Devices page to subscribe devices to an Access Point Site

Haga clic en la casilla de selección situada junto a los dispositivos que desea suscribir a la VPN del sitio.
Haga clic en Guardar.
El sitio se implementa inmediatamente en la nube para que los dispositivos seleccionados lo descarguen.

Probar la VPN del Punto de Acceso

Si la VPN del Punto de Acceso está configurada correctamente, el punto de acceso aparece en la página Estado en Vivo > VPN > Mobile VPN en el Firebox que configuró con Mobile VPN with IKEv2.

Screen shot of the Live Status > VPN > Mobile VPN page on the Firebox with access points connected

Para probar la conexión, asocie un cliente inalámbrico con el SSID que creó para la VPN del Punto de Acceso, luego intente conectarse a los recursos detrás del Firebox.

Debe ver el tráfico enviado y recibido a través de la VPN.

Screen shot of the Live Status > VPN > Mobile VPN page on the Firebox with wireless clients connected

Temas Relacionados

configurar los Ajustes de SSID del Punto de Acceso

Acerca de los Access Point Sites

Acerca de Mobile VPN para un Firebox Administrado en la Nube

© 2024 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Las demás marcas comerciales pertenecen a sus respectivos propietarios.