![Contents](../../../../Resources/Images/red_menu.png)
Temas Relacionados
Usar Mobile VPN with IPSec con Grupos de Active Directory
Muchas organizaciones desean permitir distintos niveles de acceso a los recursos internos de red para diferentes grupos de usuarios remotos. Para restringir el acceso de red para usuarios o grupos específicos, primero debe configurar la autenticación de usuario. Luego puede instalar diferentes perfiles Mobile VPN with IPSec para cada grupo de usuarios. Este ejemplo muestra los pasos para configurar perfiles Mobile VPN with IPSec para diferentes grupos que son definidos en un Active Directory server.
En un nivel alto, los pasos son los siguientes:
- Activar y configurar la Autenticación en Active Directory.
- Crear Perfiles de Grupo Mobile VPN with IPSec que coincidan con los nombres de grupo de usuario en Active Directory server.
Situación de ejemplo
Para mostrar cómo establecer esta configuración, utilizamos una escuela que desea establecer diferentes niveles de acceso web para tres grupos distintos:
- Estudiantes (acceso más restringido)
- Maestros (acceso menos restringido)
- Miembros del equipo de TI (acceso sin restricciones)
Configurar la autenticación de usuario
Antes de configurar los perfiles Mobile VPN with IPSec, debe configurar la autenticación de usuario. Puede utilizar cualquier método de autenticación, como Active Directory, autenticación local, Radius o LDAP. Para obtener más información acerca de los métodos de autenticación compatibles, consulte Tipos de Servidores de Autenticación. En este ejemplo, la escuela desea utilizar la autenticación de Active Directory.
Activar autenticación en Active Directory
Puede usar un servidor de autenticación en Active Directory para que los usuarios puedan autenticarse en su Firebox con sus credenciales actuales de red. Antes de que configure su dispositivo para utilizar la autenticación en Active Directory, asegúrese de que sus usuarios pueden autenticarse exitosamente en el Active Directory server.
Cuando habilita la autenticación en Active Directory, debe especificar la base de búsqueda. Usted configura una base de búsqueda para establecer límites en los directorios en el servidor de autenticación que Firebox utiliza para buscar una coincidencia de autenticación. Recomendamos que determine la base de búsqueda en la raíz del dominio. Eso permite encontrar todos los usuarios y grupos a los que pertenecen los mismos. El formato estándar para la configuración de base de búsqueda es: ou=<nombre de la unidad organizacional>,dc=<primera parte del nombre completo del servidor>,dc=<cualquier parte del nombre completo del servidor que aparece después del punto>.
Para mayor información sobre cómo encontrar su base de búsqueda en el Active Directory server, consulte Encuentre su Base de Búsqueda del Active Directory.
Para este ejemplo, el Active Directory server de la escuela se encuentra en la dirección IP 10.0.1.100.
![Closed](../../../../../Skins/Default/Stylesheets/Images/transparent.gif)
- Seleccione Autenticación > Servidores.
Aparece la página Servidores de Autenticación. - Seleccione Active Directory.
Aparece la página Servidores / Active Directory. - Haga clic en Agregar.
Aparece la página Configuración del Active Directory Server.
- En el cuadro de texto Nombre de Dominio, ingrese el nombre de dominio que se usará para este Active Directory Server.
El nombre de dominio debe incluir un sufijo de dominio. Por ejemplo, ingrese ejemplo.com, y no ejemplo. - En los cuadros de texto Contraseña y Confirmar, ingrese la contraseña.
- De la lista desplegable Principal, seleccione Dirección IP o Nombre DNS.
Para este ejemplo, seleccione Dirección IP. - En el cuadro de texto Principal, ingrese la dirección IP del servidor principal de Active Directory.
Para este ejemplo, ingrese 10.0.1.100.
El Active Directory server puede estar ubicado en cualquier interfaz Firebox. También es posible configurar el dispositivo para usar un Active Directory Server disponible a través de un túnel VPN.
- En el cuadro de texto Puerto, ingrese o seleccione el número de puerto TCP utilizado para conectarse al Active Directory server. El número de puerto predeterminado es 389.
Si su Active Directory server es un servidor de catálogo global, puede ser útil alterar el puerto predeterminado. Para obtener más información, consulte Alterar el puerto predeterminado de Active Directory Server.
- En el cuadro de texto Base de búsqueda, ingrese la ubicación en el directorio para empezar la búsqueda en el formato:
ou=<nombre de la unidad organizacional>,dc=<primera parte del nombre completo del servidor>,dc=<cualquier parte del nombre completo del servidor que aparece después del punto>.
Para este ejemplo, el nombre de dominio raíz en la base de datos de Active Directory es excellentschool.edu, por lo tanto, para la base de búsqueda, ingrese dc=excellentschool,dc=edu.
- En el cuadro de texto Cadena de Grupo, ingrese la cadena de atributos que se usa para mantener la información del grupo de usuarios en el Active Directory Server. Si no cambió su esquema de Active Directory, la cadena de grupo siempre es memberOf.
- En el cuadro de texto DN del usuario de búsqueda, ingrese el nombre completo (DN) para una operación de búsqueda.
No es necesario ingresar nada en este cuadro de texto si mantiene el atributo de inicio de sesión de sAMAccountName. Si cambia el atributo de inicio de sesión, debe agregar un valor en el cuadro de texto DN del Usuario de Búsqueda. Puede usar cualquier DN de usuario con el privilegio de búsqueda en LDAP/Active Directory, por ejemplo, el de Administrador. No obstante, un DN de usuario más débil, sólo con un privilegio de búsqueda, suele ser suficiente.
- En el cuadro de texto Contraseña de Usuario de Búsqueda, inserte la contraseña asociada al nombre completo para una operación de búsqueda.
- En el cuadro de texto Atributo de Inicio de Sesión, ingrese un atributo de inicio de sesión para Active Directory para utilizarlo como autenticación.
El atributo de inicio de sesión es el nombre que se utiliza para conectarse con la base de datos de Active Directory. El atributo predeterminado de inicio de sesión es sAMAccountName. Si utiliza sAMAccountName, puede dejar el campoDN de usuario de búsqueda y la Contraseña de usuario de búsqueda vacíos.
- En el cuadro de texto Tiempo Muerto, ingrese el tiempo después del cual un servidor inactivo se marca como activo nuevamente.
Para establecer la duración, seleccione Minutos u Horas en la lista desplegable al costado.
Después que un servidor de autenticación no haya respondido por un período de tiempo, éste queda marcado como inactivo. Los intentos de autenticación adicionales no tratarán de utilizar este servidor hasta que vuelva a marcarse como activo.
- Haga clic en Guardar.
![Closed](../../../../../Skins/Default/Stylesheets/Images/transparent.gif)
- Haga clic en
O bien, seleccione Configurar > Autenticación > Servidores de Autenticación.
Aparece el cuadro de diálogo Servidores de Autenticación. - Seleccione la pestaña Active Directory.
Aparece la configuración de Active Directory. - Haga clic en Agregar.
Aparecerá el cuadro de diálogo Agregar Dominio de Active Directory.
- En el cuadro de texto Nombre de Dominio, ingrese el nombre de dominio que se usará para este Active Directory Server.
El nombre de dominio debe incluir un sufijo de dominio. Por ejemplo, ingrese ejemplo.com, y no ejemplo. - Haga clic en Agregar.
Aparece el cuadro de diálogo Agregar IP/Nombre de DNS. - De la lista desplegable Elegir Tipo, seleccione Dirección IP o Nombre DNS.
Para este ejemplo, seleccione Dirección IP. - En el cuadro de texto Valor, ingrese la dirección IP del servidor principal de Active Directory.
Para este ejemplo, ingrese 10.0.1.100.
El Active Directory server puede estar ubicado en cualquier interfaz Firebox. También es posible configurar el dispositivo para usar un Active Directory Server disponible a través de un túnel VPN.
- En el cuadro de texto Puerto, ingrese o seleccione el número de puerto TCP utilizado para conectarse al Active Directory server. El número de puerto predeterminado es 389.
Si su Active Directory server es un servidor de catálogo global, puede ser útil alterar el puerto predeterminado. Para obtener más información, consulte Alterar el puerto predeterminado de Active Directory Server.
- Haga clic en Aceptar.
Aparecerá la dirección IP o nombre de DNS que usted agregó en el cuadro de diálogo Agregar dominio de Active Directory. - En el cuadro de texto Base de búsqueda, ingrese la ubicación en el directorio para empezar la búsqueda en el formato:
ou=<nombre de la unidad organizacional>,dc=<primera parte del nombre completo del servidor>,dc=<cualquier parte del nombre completo del servidor que aparece después del punto>.
Para este ejemplo, el nombre de dominio raíz en la base de datos de Active Directory es excellentschool.edu, por lo tanto, para la base de búsqueda, ingrese dc=excellentschool,dc=edu.
- En el cuadro de texto Cadena de Grupo, ingrese la cadena de atributos que se usa para mantener la información del grupo de usuarios en el Active Directory Server. Si no cambió su esquema de Active Directory, la cadena de grupo siempre es memberOf.
- En el cuadro de texto DN del usuario de búsqueda, ingrese el nombre completo (DN) para una operación de búsqueda.
No es necesario ingresar nada en este cuadro de texto si mantiene el atributo de inicio de sesión de sAMAccountName. Si cambia el atributo de inicio de sesión, debe agregar un valor en el cuadro de texto DN del Usuario de Búsqueda. Puede usar cualquier DN de usuario con el privilegio de búsqueda en LDAP/Active Directory, por ejemplo, el de Administrador. No obstante, un DN de usuario más débil, sólo con un privilegio de búsqueda, suele ser suficiente.
- En el cuadro de texto Contraseña de Usuario de Búsqueda, inserte la contraseña asociada al nombre completo para una operación de búsqueda.
- En el cuadro de texto Atributo de Inicio de Sesión, ingrese un atributo de inicio de sesión para Active Directory para utilizarlo como autenticación.
El atributo de inicio de sesión es el nombre que se utiliza para conectarse con la base de datos de Active Directory. El atributo predeterminado de inicio de sesión es sAMAccountName. Si utiliza sAMAccountName, puede dejar el campoDN de usuario de búsqueda y la Contraseña de usuario de búsqueda vacíos.
- En el cuadro de texto Tiempo Muerto, ingrese el tiempo después del cual un servidor inactivo se marca como activo nuevamente.
Para establecer la duración, seleccione Minutos u Horas en la lista desplegable al costado.
Después que un servidor de autenticación no haya respondido por un período de tiempo, éste queda marcado como inactivo. Los intentos de autenticación adicionales no tratarán de utilizar este servidor hasta que vuelva a marcarse como activo.
- Haga clic en Aceptar.
- Guardar el Archivo de Configuración.
Crear un Perfil de Grupo para los Estudiantes
La escuela sólo desea que los estudiantes tengan acceso al DNS, FTP y a los servidores web internos.
![Closed](../../../../../Skins/Default/Stylesheets/Images/transparent.gif)
- Seleccione VPN > Mobile VPN with IPSec.
Aparece la página de Mobile VPN with IPSec. - Haga clic en Agregar.
Aparece la página Mobile VPN with IPSec / Agregar.
- En el cuadro de texto Nombre, ingrese el nombre del grupo de usuarios.
Para este ejemplo, debido a que los estudiantes están en el grupo de Active Directory Estudiantes, ingrese Estudiantes. - En los cuadros de texto Contraseña y Confirmar, ingrese la contraseña a usar para cifrar el perfil Mobile VPN que distribuya a los usuarios en este grupo. La contraseña también su utiliza para cifrar el archivo de certificado exportado que le envía a los estudiantes.
- En la lista desplegable Servidor de Autenticación, seleccione el dominio de Active Directory para este grupo de usuarios.
Para el ejemplo, seleccione excellentschool.edu. - En el cuadro de texto Principal, ingrese la dirección IP externa principal a la cual los usuarios de Mobile VPN en ese grupo pueden conectarse. Esta puede ser una dirección IP externa, una dirección IP externa secundaria o una VLAN externa. Para un dispositivo en el modo directo, utilice la dirección IP asignada a todas las interfaces.
- Seleccione la pestaña Recursos.
- Asegúrese de que la casilla de selección Permitir todo el Tráfico a través del Túnel esté desmarcada.
Esta opción hace que el cliente VPN enrute todo el tráfico del equipo cliente hacia Internet a través de la VPN. En este ejemplo, debido a que la escuela permite a los estudiantes un acceso muy limitado a los recursos en esta red a través del túnel VPN, no tienen motivo para enrutar el tráfico que no es para su red a través del túnel VPN. - Para agregar las direcciones IP de los recursos a los que los estudiantes pueden acceder a través del túnel, haga clic en Agregar, debajo de la lista Recursos Permitidos.
La escuela sólo desea que los estudiantes tengan acceso al DNS, FTP y a los servidores web internos. Para el ejemplo, agregue las tres direcciones de Host IPv4 10.0.2.21, 10.0.2.53 y 10.0.2.80.
- Para agregar un rango de direcciones IP de host IPv4 para las conexiones de los estudiantes, haga clic en Agregar, debajo de la lista Grupo Virtual de Direcciones IP.
Para este ejemplo, agregue el rango de direcciones IP 10.0.4.1 - 10.0.4.254 en el grupo virtual de direcciones IP. Esto permite que el dispositivo admita más de 200 conexiones simultáneas de cliente VPN de los estudiantes.
A los usuarios de Mobile VPN se les asigna una dirección IP del grupo de direcciones IP virtuales cuando se conectan a su red. El número de direcciones IP en el grupo de direcciones IP virtuales debe ser igual al número de usuarios de Mobile VPN.
Las direcciones IP virtuales deben estar en una subred diferente de las redes locales. Las direcciones IP virtuales no pueden ser usadas para nada más en su red.
- Haga clic en Guardar.
![Closed](../../../../../Skins/Default/Stylesheets/Images/transparent.gif)
- Seleccione VPN > Mobile VPN > IPSec.
Aparece el cuadro de diálogo Configuración de Mobile VPN with IPSec. - Haga clic en Agregar.
Aparece el Add Mobile VPN with IPSec Wizard. - Haga clic en Siguiente.
Aparece la página Seleccionar un servidor de autenticación de usuario.
- En la lista desplegable Servidor de Autenticación, seleccione el dominio de Active Directory para este grupo de usuarios.
- En el cuadro de texto Nombre de Grupo, ingrese el nombre del grupo de usuarios.
Para este ejemplo, dado que los estudiantes están en el grupo de Active Directory Estudiantes, ingrese Estudiantes. - Haga clic en Siguiente.
Aparece la página Seleccionar un método de autenticación de túnel.
- Seleccione una opción para autenticación de túnel:
- Usar esta contraseña
Ingrese y confirme una contraseña para este túnel. - Usar un certificado RSA emitido por su WatchGuard Management Server.
Ingrese la Dirección IP de su Management Server y la Contraseña de Administración.
- Usar esta contraseña
- Haga clic en Siguiente.
Aparece la página Dirigir el flujo de tráfico de Internet.
- Seleccione una opción para tráfico de Internet:
- No, permitir que el tráfico de Internet se dirija directamente al ISP de usuario móvil.
(Túnel dividido) - Sí, forzar todo el tráfico de Internet para que fluya a través del túnel.
(VPN de ruta predeterminada)
- No, permitir que el tráfico de Internet se dirija directamente al ISP de usuario móvil.
Para el perfil Estudiantes, elija la opción que empieza con No. En este ejemplo, debido a que la escuela permite a los estudiantes un acceso muy limitado a los recursos en esta red a través del túnel VPN, no tienen motivo para enrutar el tráfico desde los equipos de los estudiantes a Internet a través del túnel VPN.
- Haga clic en Siguiente.
Aparece la pantalla Identifique los recursos accesible a través del túnel.
La escuela sólo desea que los estudiantes tengan acceso al DNS, FTP y a los servidores web internos. Para este ejemplo, agregue las direcciones IP 10.0.2.21, 10.0.2.53 y 10.0.2.80.
- Para especificar las direcciones IP de host o de red que los usuarios pueden usar para conectarse a través de un túnel VPN, haga clic en Agregar.
- Haga clic en Siguiente.
Aparece la página Crear grupo de direcciones IP virtuales.
- Para agregar una dirección IP o un rango de direcciones IP, haga clic en Agregar.
Para este ejemplo, agregue el rango de direcciones IP 10.0.4.1 - 10.0.4.254 en el grupo virtual de direcciones IP. Esto permite que el dispositivo admita más de 200 conexiones simultáneas de cliente VPN de los estudiantes.
A los usuarios de Mobile VPN se les asigna una dirección IP del grupo de direcciones IP virtuales cuando se conectan a su red. El número de direcciones IP en el grupo de direcciones IP virtuales debe ser igual al número de usuarios de Mobile VPN.
Las direcciones IP virtuales deben estar en una subred diferente de las redes locales. Las direcciones IP virtuales no pueden ser usadas para nada más en su red.
- Haga clic en Siguiente.
Aparece la página Add Mobile VPN with IPSec Wizard ha concluido con éxito. El archivo de configuración del usuario final del grupo de Mobile VPN with IPSec está disponible en la ubicación especificada en esta página. - Haga clic en Finalizar.
Crear un Perfil de Grupo para los Maestros
El grupo Maestros necesita tener acceso tanto a redes de confianza como opcionales.
![Closed](../../../../../Skins/Default/Stylesheets/Images/transparent.gif)
- Seleccione VPN > Mobile VPN with IPSec.
Aparece la página de Mobile VPN with IPSec. - Haga clic en Agregar.
Aparece la página Mobile VPN with IPSec / Agregar. - En el cuadro de texto Nombre, ingrese el nombre del grupo de usuarios.
Para este ejemplo, debido a que los maestros están en el grupo de Active Directory Maestros, ingrese Maestros. - En los cuadros de texto Contraseña y Confirmar, ingrese la contraseña a usar para cifrar el perfil Mobile VPN que distribuya a los usuarios en este grupo. La contraseña también su utiliza para cifrar el archivo de certificado exportado que le envía a los profesores.
- En la lista desplegable Servidor de Autenticación, seleccione el dominio de Active Directory para este grupo de usuarios.
Para el ejemplo, seleccione excellentschool.edu. - En el cuadro de texto Principal, ingrese la dirección IP externa principal a la cual los usuarios de Mobile VPN en ese grupo pueden conectarse. Esta puede ser una dirección IP externa, una dirección IP externa secundaria o una VLAN externa. Para un dispositivo en el modo directo, utilice la dirección IP asignada a todas las interfaces.
- Seleccione la pestaña Recursos.
- Asegúrese de que la casilla de selección Permitir todo el Tráfico a través del Túnel esté desmarcada.
Esta opción hace que el cliente VPN enrute todo el tráfico del equipo cliente hacia Internet a través de la VPN. El tráfico del grupo Maestros hacia los recursos en su red es enrutado a través del túnel. Los maestros pueden continuar utilizando su conexión casera de Internet para el tráfico hacia lugares que no están en la red privada. - Para agregar la direcciones IP de los recursos a los que pueden acceder los maestros a través del túnel, haga clic en Agregar, debajo de la lista Recursos Permitidos.
El grupo Maestros necesita tener acceso tanto a redes de confianza como opcionales. Para habilitar el acceso a estas redes, agregue las direcciones IP de red de esas dos redes. Para este ejemplo, agregue estas direcciones IP de red:
10.0.2.0/24 y 10.0.1.0/24.
- Para agregar un rango de direcciones IP de host IPv4 para las conexiones de los maestros, haga clic en Agregar, debajo de la lista Grupo Virtual de Direcciones IP.
En esta escuela, 50 direcciones IP son suficientes para el grupo Maestros. Para este ejemplo, agregue el rango de direcciones IP 10.0.5.1 - 10.0.5.50 en el grupo virtual de direcciones IP.
- Haga clic en Guardar.
![Closed](../../../../../Skins/Default/Stylesheets/Images/transparent.gif)
- Seleccione VPN > Mobile VPN > IPSec.
Aparece el cuadro de diálogo Configuración de Mobile VPN with IPSec. - Haga clic en Agregar.
Aparece el Add Mobile VPN with IPSec Wizard. - Haga clic en Siguiente.
Aparece la página Seleccionar un servidor de autenticación de usuario.
- En la lista desplegable Servidor de Autenticación, seleccione el dominio de Active Directory para este grupo de usuarios.
- En el cuadro de texto Nombre de Grupo, ingrese el nombre del grupo Maestros.
Para este ejemplo, debido a que los maestros están en el grupo de Active Directory Maestros, ingrese Maestros. - Haga clic en Siguiente.
Aparece la página Seleccionar un método de autenticación de túnel.
- Seleccione una opción para autenticación de túnel:
- Usar esta contraseña
Ingrese y confirme una contraseña para este túnel. - Usar un certificado RSA emitido por su WatchGuard Management Server.
Ingrese la Dirección IP de su Management Server y la Contraseña de Administración.
- Usar esta contraseña
- Haga clic en Siguiente.
Aparece la página Dirigir el flujo de tráfico de Internet.
- Seleccione una opción para tráfico de Internet:
- No, permitir que el tráfico de Internet se dirija directamente al ISP de usuario móvil.
(Túnel dividido) - Sí, forzar todo el tráfico de Internet para que fluya a través del túnel.
(VPN de ruta predeterminada)
- No, permitir que el tráfico de Internet se dirija directamente al ISP de usuario móvil.
Para el perfil Maestros, elija la opción que comienza con No. El tráfico del grupo Maestros hacia los recursos en su red se enrutado a través del túnel. Los maestros pueden continuar utilizando sus conexiones caseras de Internet para el tráfico a lugares que no están en su red privada.
- Haga clic en Siguiente.
Aparece la página Identificación de los recursos accesibles a través del túnel.
- Para especificar las direcciones IP de host o de red que los maestros pueden usar para conectarse a través de un túnel VPN, haga clic en Agregar.
Dado que el grupo Maestros debe tener acceso a las redes de confianza y opcionales, agregamos las direcciones IP de red de esas dos redes. Para este ejemplo, agregue las direcciones IP de red 10.0.2.0/24 y 10.0.1.0/24.
- Haga clic en Siguiente.
Aparece la página Crear grupo de direcciones IP virtuales. Para este ejemplo, asumimos que 50 direcciones IP de host son suficientes para el grupo Maestros.
- Haga clic en Agregar para agregar una dirección IP o un rango de dirección IP.
En esta escuela, 50 direcciones IP son suficientes para el grupo Maestros. Para este ejemplo, agregue el rango de direcciones IP 10.0.5.1 - 10.0.5.50 en el grupo virtual de direcciones IP.
- Haga clic en Siguiente.
Aparece la página Add Mobile VPN with IPSec Wizard ha concluido con éxito. El archivo de configuración del usuario final del grupo de Mobile VPN with IPSec está disponible en la ubicación especificada en esta pantalla. - Haga clic en Finalizar.
Crear un Perfil de Grupo para el Grupo de TI
El grupo de TI tiene acceso ilimitado a la red, y también necesita conectarse con varios sitios que se conectan a la red a través de Túneles VPN de Sucursal.
![Closed](../../../../../Skins/Default/Stylesheets/Images/transparent.gif)
- Seleccione VPN > Mobile VPN with IPSec.
Aparece la página de Mobile VPN with IPSec. - Haga clic en Agregar.
Aparece la página Mobile VPN with IPSec / Agregar. - En el cuadro de texto Nombre, ingrese el nombre del grupo de usuarios.
Para este ejemplo, dado que los miembros de TI están en el grupo de Active Directory TI, ingrese TI. - En la lista desplegable Servidor de Autenticación, seleccione el dominio de Active Directory para este grupo de usuarios.
Para el ejemplo, seleccione excellentschool.edu. - En los cuadros de texto Contraseña y Confirmar, ingrese la contraseña a usar para cifrar el perfil Mobile VPN que distribuya a los usuarios en este grupo. La contraseña también su utiliza para cifrar el archivo de certificado exportado que le envía al grupo de IT.
- En el cuadro de texto Principal, ingrese la dirección IP externa principal a la cual los usuarios de Mobile VPN en ese grupo pueden conectarse. Esta puede ser una dirección IP externa, una dirección IP externa secundaria o una VLAN externa. Para un dispositivo en el modo directo, utilice la dirección IP asignada a todas las interfaces.
- Seleccione la pestaña Recursos.
- Seleccione la casilla de selección Permitir todo el tráfico a través del túnel.
Cuando selecciona esta opción, la lista de Recursos Permitidos incluye automáticamente todos los recursos de red.
El grupo de TI tiene acceso ilimitado a la red, y también necesita conectarse con varios sitios que se conectan a la red a través de Túneles VPN de Sucursal. Esta configuración también significa que las conexiones de los usuarios en el grupo de TI se conectan con los host de Internet que utilizan la misma conexión de Internet que los usuarios locales en la red. Esto puede ser útil para la solución de problemas de red.
- Para agregar un rango de direcciones IP de host IPv4 para las conexiones de los miembros de TI, haga clic en Agregar, debajo de la lista Grupo Virtual de Direcciones IP.
En esta escuela, el grupo de TI necesita solamente 25 direcciones IP virtuales. Para este ejemplo, agregue el rango de direcciones IP 10.0.5.51 - 10.0.5.76 en el grupo virtual de direcciones IP.
- Haga clic en Guardar.
Se agrega la configuración del grupo de IT.
![Closed](../../../../../Skins/Default/Stylesheets/Images/transparent.gif)
- Seleccione VPN > Mobile VPN > IPSec.
Aparece el cuadro de diálogo Configuración de Mobile VPN with IPSec. - Haga clic en Agregar.
Aparece el Add Mobile VPN with IPSec Wizard. - Haga clic en Siguiente.
Aparece la página Seleccionar un servidor de autenticación de usuario.
- En la lista desplegable Servidor de Autenticación, seleccione el dominio de Active Directory para este grupo de usuarios.
Para este ejemplo, dado que el equipo de TI está en el grupo de Active Directory TI, ingrese TI. - En el cuadro de texto Nombre de Grupo, ingrese el nombre del Grupo de TI.
- Haga clic en Siguiente.
Aparece la página Seleccionar un método de autenticación de túnel.
- Seleccione una opción para autenticación de túnel:
- Usar esta contraseña
Ingrese y confirme una contraseña para este túnel. - Usar un certificado RSA emitido por su WatchGuard Management Server.
Ingrese la Dirección IP de su Management Server y la Contraseña de Administración.
- Usar esta contraseña
- Haga clic en Siguiente.
Aparece la página Dirigir flujo de tráfico de Internet.
- Seleccione una opción para tráfico de Internet:
- No, permitir que el tráfico de Internet se dirija directamente al ISP de usuario móvil.
(Túnel dividido) - Sí, forzar todo el tráfico de Internet para que fluya a través del túnel.
(VPN de ruta predeterminada)
- No, permitir que el tráfico de Internet se dirija directamente al ISP de usuario móvil.
Para el perfil de TI, escoja la opción que comienza con Sí. El grupo de TI tiene acceso ilimitado a la red, y también necesita conectarse con varios sitios que se conectan a la red a través de Túneles VPN de Sucursal. Con esta configuración, las conexiones de los usuarios en el grupo de TI que se conectan con los host de Internet utilizan la misma conexión de Internet que los usuarios locales en la red. Esto puede ser útil para la solución de problemas de red
- Haga clic en Siguiente.
Aparece la página Identificación de los recursos accesibles a través del túnel. Dado que seleccionó Sí, fuerce todo el tráfico de Internet para que atraviese el túnel en el paso anterior, no tiene que cambiar los ajustes de configuración en esta página.
- Haga clic en Siguiente.
Aparece la página Crear grupo de direcciones IP virtuales.
- Para agregar una dirección IP o un rango de direcciones IP, haga clic en Agregar.
Para este ejemplo, dado que el grupo de TI necesita solamente 25 direcciones IP virtuales, especificamos este rango de direcciones: 10.0.5.51 - 10.0.5.76. - Haga clic en Siguiente.
Aparece la página Add Mobile VPN with IPSec Wizard ha concluido con éxito. El archivo de configuración del usuario final del grupo de Mobile VPN with IPSec está disponible en la ubicación especificada en esta pantalla. - Haga clic en Finalizar.
- Guardar la configuración en el Firebox.
Resumen
Los perfiles VPN descritos en este ejemplo permiten que estudiantes, maestros y miembros del equipo de TI utilicen el cliente Mobile VPN with IPSec para autenticarse ante el Active Directory server y para conectarse con diferentes recursos en la red de la escuela. El equipo de TI está configurado con una ruta VPN predeterminada. Maestros y estudiantes están configurados con un túnel VPN dividido. Para obtener más información sobre estas dos opciones, consulte Opciones de Acceso a Internet para Usuarios de Mobile VPN.
El administrador ahora puede distribuir los archivos de configuración de usuario final a los estudiantes, maestros y miembros del equipo de TI, junto con el cliente VPN. Si la configuración utiliza una contraseña del túnel, los usuarios también deben conocer la contraseña del túnel para instalar el perfil de usuario final en el cliente Mobile VPN IPSec de WatchGuard. Para iniciar una conexión VPN, cada usuario debe especificar sus credenciales tal y como están definidas en el Active Directory server.
Para obtener más información sobre la configuración del cliente, consulte: