Temas Relacionados
Opciones de Acceso a Internet a través de un Túnel Mobile VPN with L2TP
Cuando configura Mobile VPN para sus usuarios remotos, debe elegir si desea que su tráfico general de Internet se dirija a través del túnel VPN, o derive el túnel VPN. Su elección puede afectar su seguridad de red porque el tráfico de Internet que no se dirige a través del túnel no es filtrado ni cifrado.
En su configuración, usted especifica su elección con la ruta de túnel que selecciona: ruta VPN predeterminada o túnel dividido VPN.
VPN de Ruta Predeterminada
La opción más segura es obligar que todo el tráfico de Internet del usuario remoto sea enrutado a través del túnel VPN hacia el Firebox. Después, el tráfico es enviado de vuelta a Internet. Con esa configuración (conocida como VPN de ruta predeterminada), el Firebox puede examinar todo el tráfico y ofrecer mayor seguridad, aunque utiliza más potencia de procesamiento y ancho de banda. Al usar una VPN de ruta predeterminada, una política de NAT dinámica debe incluir el tráfico saliente de la red remota. Esto permite a los usuarios remotos navegar por Internet cuando envían todo el tráfico al Firebox.
Dividir VPN de Túnel
Otra opción de configuración es activar el túnel dividido. Esta configuración permite a los usuarios navegar por Internet sin necesidad de enviar tráfico de Internet a través del túnel VPN. El túnel dividido mejora el desempeño de red, pero disminuye la seguridad debido a que las políticas creadas no son aplicadas al tráfico de Internet. Si usa división de túneles, recomendamos que cada equipo cliente tenga un firewall de software.
Los clientes VPN nativos en dispositivos Android e iOS no son compatibles con los túneles divididos.
Configuración de VPN de ruta predeterminada para Mobile VPN with L2TP
En Windows 7 y Mac OS X, la configuración predeterminada para una conexión L2TP es la ruta predeterminada. Firebox debe estar configurado con NAT dinámica para recibir el tráfico desde un usuario L2TP. Cualquier política que administre tráfico hacia Internet desde detrás del Firebox debe estar configurada para permitir el tráfico del usuario de L2TP.
Cuando configura la VPN de ruta predeterminada:
- Asegúrese de que las direcciones IP que ha agregado al grupo de direcciones L2TP estén incluidas en su configuración de NAT dinámica en el Firebox.
Desde Policy Manager, seleccione Red > NAT. - Edite la configuración de la política para permitir conexiones desde el grupo de usuarios de L2TP a través de la interfaz externa.
Por ejemplo, si usa WebBlocker para controlar el acceso web, agregue el grupo de usuarios de L2TP a la política de proxy que está configurada con WebBlocker habilitado.
Configuración de VPN de túnel dividido para Mobile VPN with L2TP
Si el cliente VPN admite túneles divididos, en el equipo cliente, edite las propiedades de conexión L2TP para no enviar todo el tráfico a través de la VPN.
Para Windows 10 debe usar Windows PowerShell para editar la conexión VPN L2TP:
- En la barra de búsqueda de Windows, ingrese powershell.
- En los resultados de búsqueda, seleccione Windows PowerShell.
Aparece la ventana de interfaz de comandos de PowerShell. - Para ver la lista de VPN, ingrese este comando: get-vpnconnection
Aparece la configuración de todas las VPN de Windows disponibles en la ventana de PowerShell. - Identifique el nombre de la conexión mobile VPN L2TP que quiere cambiar. Por ejemplo Mi Mobile VPN.
- Para habilitar el túnel dividido para esta conexión VPN, ingrese:
set -vpnconnection -Name "My Mobile VPN" -SplitTunneling $true - Para deshabilitar el túnel dividido para esta conexión de VPN, ingrese:
set -vpnconnection -Name "My Mobile VPN" -SplitTunneling $false - Para salir de PowerShell, ingrese salir.
Para habilitar el túnel dividido L2TP en Windows 8:
- Desde el menú lateral de Windows 8, seleccione Configuraciones.
- Haga clic en Panel de Control.
- Seleccione Centro de Redes y Recursos Compartidos.
- Haga clic en Cambiar Configuraciones del Adaptador.
- Haga clic con el botón secundario en el nombre de la conexión VPN.
- Haga clic en Propiedades.
Aparece el cuadro de diálogo Propiedades de Conexión VPN. - Seleccione la pestaña Red.
- Seleccione Protocolo de Internet Versión 4 (TCP/IPv4) en la lista y haga clic en Propiedades.
- En la pestaña General, haga clic en Avanzada.
Aparece el cuadro de diálogo Configuraciones TCP/IP Avanzadas. - En la pestaña Configuraciones IP, desmarque la casilla de selección Usar puerta de enlace predeterminada en red remota.
Para habilitar el túnel dividido L2TP en Windows 7:
- Seleccione Panel de control > Red e Internet > Conectar a una red.
- Haga clic con el botón secundario en la conexión VPN L2TP y seleccione Propiedades.
Aparece el cuadro de diálogo Propiedades de VPN. - Seleccione la pestaña Red.
- Seleccione Protocolo de Internet Versión 4 (TCP/IPv4) en la lista y haga clic en Propiedades.
- Haga clic en Avanzadas.
Aparece el cuadro de diálogo Configuraciones TCP/IP Avanzadas. - En la pestaña Configuraciones IP, desmarque la casilla de selección Usar puerta de enlace predeterminada en red remota.
Acerca de las rutas L2TP
Las rutas L2TP están definidas por el equipo cliente. Si no selecciona la casilla de selección Usar puerta de enlace predeterminada en red remota, la computadora cliente envía el tráfico a través del túnel VPN solo si el destino del tráfico coincide con la ruta a través de la VPN de la computadora cliente.
La mayoría de las computadoras cliente establecen la ruta según la clase de subred aparente de la dirección IP virtual. Por ejemplo, una dirección IP virtual de 10.0.10.25 es parte de la subred RFC-1918 clase A estándar 10.0.0.0/8, de manera que el cliente crea una ruta hacia toda esa subred para la conexión VPN. Este comportamiento del cliente puede variar según el sistema operativo de la computadora y su versión.