Temas Relacionados
Editar la Configuración Mobile VPN with L2TP
Recomendamos que use el WatchGuard L2TP Setup Wizard para configurar el Mobile VPN with L2TP por primera vez. Para obtener más información, consulte Usar el Asistente de Configuración WatchGuard L2TP.
- Seleccione VPN > Mobile VPN with L2TP.
- Haga clic en Configurar.
Aparece la página Mobile VPN with L2TP.
- Marque la casilla de selección Activar Mobile VPN with L2TP, si Mobile VPN with L2TP no está ya activado.
Mobile VPN with L2TP está habilitado, e IPSec está habilitado en la configuración predeterminada. - Use la información en las secciones siguientes para configurar Mobile VPN with L2TP.
- Seleccione VPN > Mobile VPN > L2TP > Configurar.
Aparece el cuadro de diálogo Configuración de Mobile VPN with L2TP.
- Marque la casilla de selección Activar Mobile VPN with L2TP, si Mobile VPN with L2TP no está ya activado.
Mobile VPN with L2TP está habilitado, e IPSec está habilitado en la configuración predeterminada. - Use la información en las secciones siguientes para configurar Mobile VPN with L2TP.
No puede habilitar IPSec en la configuración Mobile VPN with L2TP si la configuración del dispositivo ya cuenta con una puerta de enlace de VPN para sucursales que usa el modo principal y cuenta con una puerta de enlace remota con una dirección IP dinámica. Cuando activa Mobile VPN with L2TP, las configuraciones IPSec en la configuración L2TP están habilitadas de forma predeterminada. Si IPSec no puede ser habilitada debido a una configuración de VPN para sucursales existente, aparece un mensaje de advertencia cuando activa el Mobile VPN with L2TP. Puede elegir habilitar L2TP sin IPSec, pero es menos seguro y no es recomendado.
Editar el Grupo Virtual de Direcciones IP
En la pestaña Red, el Grupo Virtual de Direcciones IP muestra las direcciones IP internas que usan los usuarios de Mobile VPN with L2TP a través del túnel. El Firebox usa estas direcciones solo cuando son necesarias. El grupo virtual de direcciones IP debe contener por lo menos dos direcciones IP.
Para obtener más información acerca de las direcciones IP virtuales, consulte Direcciones IP Virtuales y Mobile VPN.
Para agregar el grupo virtual de direcciones IP:
- En la sección Grupo Virtual de Direcciones IP haga clic en Agregar.
Aparece el cuadro de diálogo Agregar Grupo de Direcciones. - De la lista desplegable Elegir Tipo, seleccione una de las siguientes opciones:
- IPv4 de Host — para agregar una sola dirección IPv4
- IPv4 de Red — para agregar una dirección de red IPv4
- IPv4 de Rango de Host — para agregar un rango de direcciones IPv4
- Ingrese la dirección IP de host, dirección IP de red o rango de dirección IP que desea agregar.
- Haga clic en Aceptar.
Para eliminar una dirección IP o rango de direcciones desde un grupo virtual de direcciones IP:
- Seleccione la entrada de la dirección IP que desea eliminar.
- Haga clic en Eliminar.
Editar Configuraciones de red
En la pestaña Red en el cuadro de diálogo Configuración de Mobile VPN with L2TP, existen varias configuraciones de red que usted puede configurar. Los valores predeterminados son los mejores para la mayoría de las configuraciones L2TP. Recomendamos que no modifique estos valores a menos que esté seguro de que el cambio corrige un problema conocido.
Las configuraciones que puede establecer son:
Tiempo de espera de mantener conexión
Esto especifica la frecuencia con la que el Firebox envía el mensaje "Hola" de L2TP. El valor predeterminado es de 60 segundos.
Tiempo de espera para retransmitir
Esto especifica cuánto tiempo espera el Firebox por un mensaje de reconocimiento. Un mensaje será retransmitido si el Firebox no recibe un reconocimiento en este marco de tiempo. El valor predeterminado es de 5 segundos.
Reintentos máximos
Esto especifica el número máximo de veces que el Firebox retransmitirá un mensaje. Si se supera la máxima cantidad de reintentos, el Firebox cierra la conexión. El valor predeterminado es 5.
Unidad máxima de transmisión (MTU)
Esto especifica el tamaño máximo de paquete que recibirá en la sesión PPP a través del túnel L2TP. El valor predeterminado es de 1400 bytes.
Unidad máxima de recepción (MRU)
Esto especifica el tamaño máximo de paquete que enviará en la sesión PPP a través del túnel L2TP. El valor predeterminado es de 1400 bytes.
Editar configuraciones de autenticación
En la pestaña Autenticación puede configurar servidores de autenticación, y los usuarios y grupos autorizados.
Configurar Servidores de Autenticación
Las etiquetas para los ajustes del servidor de autenticación son levemente diferentes en Fireware Web UI que en el Policy Manager.
- En la página Mobile VPN with L2TP, seleccione la pestaña Autenticación.
- En la sección Configuraciones de Autenticación de Servidor, marque la casilla de selección para cada servidor de autenticación que desea usar para la autenticación de usuarios Mobile VPN with L2TP. Puede usar la base de datos interna del Firebox (Firebox-DB) o un servidor RADIUS si ha configurado uno.
Para más información acerca de los métodos de autenticación de usuario para L2TP, consulte Acerca de la Autenticación de Usuario L2TP - Si seleccionó más de un servidor de autenticación, seleccione el servidor que desea establecer como servidor predeterminado. Haga clic en Configurar como predeterminado para mover ese servidor al principio de la lista.
- En el cuadro de diálogo Configuración de Mobile VPN with L2TP, seleccione la pestaña Autenticación.
- En la sección Configuraciones de Autenticación de Servidor, marque la casilla de selección para cada servidor de autenticación que desea usar para la autenticación de usuarios Mobile VPN with L2TP. Puede usar la base de datos interna del Firebox (Firebox-DB) o un servidor RADIUS si ha configurado uno.
Para más información acerca de los métodos de autenticación de usuario para L2TP, consulte Acerca de la Autenticación de Usuario L2TP - Si seleccionó más de un servidor de autenticación, seleccione el servidor que desea establecer como servidor predeterminado. Haga clic en Configurar como predeterminado para mover ese servidor al principio de la lista.
Si selecciona más de un servidor de autenticación, los usuarios quienes usan el servidor de autenticación no predeterminado deben especificar el servidor de autenticación o dominio como parte del nombre de usuario. Para obtener información y ejemplos, consulte Conectar desde un Cliente VPN L2TP .
Configurar usuarios y grupos
Si usa el Firebox-DB para autenticación, debe usar el grupo Usuarios de L2TP que se crea de forma predeterminada. Puede agregar los nombres de otros grupos y usuarios que usen Mobile VPN with L2TP. Para cada grupo o usuario que agrega, puede seleccionar el servidor de autenticación en donde existe el grupo, o seleccione Cualquiera si ese grupo existe en más de un servidor de autenticación. El nombre de grupo o usuario que agregue debe existir en el servidor de autenticación. Los nombres de grupo y usuario distinguen entre mayúsculas y minúsculas, y deben coincidir exactamente con el nombre en su servidor de autenticación.
Para configurar los usuarios y grupos que se autenticarán con Mobile VPN with L2TP, desde Fireware Web UI:
- En la sección Usuarios y Grupos de Autenticación, haga clic en Agregar.
Aparece el cuadro de texto Agregar Usuario o Grupo de Autenticación. - Configure el Tipo a Grupo o Usuario.
- En el cuadro de texto Nombre, ingrese el nombre del grupo o usuario.
- Desde la lista desplegable de Servidor de Autenticación, seleccione el servidor de autenticación donde exista el grupo o el usuario. O bien, seleccione Todos si el grupo se puede utilizar con todos los servidores de autenticación seleccionados.
- Haga clic en Aceptar.
Para configurar los usuarios y grupos que se autenticarán con Mobile VPN with L2TP:
- En la sección Usuarios y Grupos Autorizados, configure el Tipo como Grupo o Usuario.
- En el cuadro de texto Nombre, ingrese el nombre del grupo o usuario.
- Desde la lista desplegable de Servidor de Autenticación, seleccione el servidor de autenticación donde exista el grupo o el usuario. O bien, seleccione Todos si el grupo se puede utilizar con todos los servidores de autenticación seleccionados.
- Haga clic en Agregar.
Para más información acerca de los métodos de autenticación de usuario para L2TP, consulte Acerca de la Autenticación de Usuario L2TP
Cuando agrega a un usuario o grupo y selecciona Firebox-DB como servidor de autenticación, esto no agrega automáticamente al usuario o grupo a Firebox-DB. Asegúrese de que cualquier usuario o grupo que agregue y que use la autenticación Firebox-DB también esté configurado en las configuraciones de autenticación de Firebox. Para obtener más información, consulte Configurar el Firebox como un Servidor de Autenticación.
Editar configuraciones L2TP IPSec
Mobile VPN with L2TP puede operar con o sin IPSec habilitado. L2TP usa IPSec proporciona un fuerte cifrado y autenticación L2TP sin IPSec no proporciona un fuerte cifrado ni autenticación. Recomendamos que no deshabilite IPSec en la configuración Mobile VPN with L2TP.
Cuando habilita Mobile VPN with L2TP, IPSec se habilita de forma predeterminada. La única configuración IPSec que debe establecer es el método de credencial para la autenticación. Las otras configuraciones IPSec Fase 1 están establecidas con valores predeterminados. Las configuraciones predeterminadas de IPSec Fase 1 y Fase 2 para Mobile VPN with L2TP son similares a las configuraciones predeterminadas Fase 1 y Fase 2 en una VPN de sucursal. Puede cambiarlas para que coincidan con las configuraciones IPSec de los clientes L2TP que usted usa. Las configuraciones IPSec en los clientes L2TP deben coincidir con las configuraciones en los ajustes de Mobile VPN with L2TP.
Habilitar o deshabilitar IPSec
- Seleccione la pestaña IPSec.
- Para deshabilitar IPSec para L2TP, desmarque la casilla de selección Habilitar IPSec.
Para habilitar IPSec para L2TP, marque la casilla de selección Habilitar IPSec.
Configuraciones de Fase 1 IPSec
Cuando IPSec está habilitado, debe configurar el método de autenticación de túnel en las configuraciones de Fase 1 de IPSec. Usted configura el método de autenticación de túnel en el WatchGuard L2TP Setup Wizard, o puede hacerlo en la pestaña IPSec.
- En la página Mobile VPN with L2TP, seleccione la pestaña IPSec.
- Seleccione la pestaña Configuraciones de Fase 1.
- Seleccione una opción para la autenticación de túnel IPSec. Existen dos opciones:
Usar Clave Precompartida
Ingrese la clave compartida. Debe usar la misma clave precompartida en las configuraciones IPSec en los clientes L2TP. La clave compartida puede tener hasta 79 caracteres de largo.
Usar IPSec
Seleccione el certificado que desea usar de la tabla. Ya debe haber importado un certificado al Firebox para usar esta opción.
Para obtener más información acerca de los certificados IPSec, consulte Certificados para Autenticación de Túneles de Mobile VPN with L2TP.
La configuración predeterminada IPSec L2TP contiene tres conjuntos de transformación predeterminados, que aparecen en el listado Configuraciones de Transformación.
- SHA-1, AES(256) y Grupo Diffie-Hellman 2
- SHA-1, AES(256) y Grupo Diffie-Hellman 20
- SHA2-256, AES(256) y Grupo Diffie-Hellman 14
Se puede:
- Use los conjuntos de transformación predeterminados.
- Elimine los conjuntos de transformación y reemplácelos por otros nuevos.
- Agregar una transformación adicional tal como se explica en Agregar una Transformación Fase 1 L2TP IPSec.
En la sección Avanzada, puede establecer las configuraciones para NAT Traversal y Dead Peer Detection.
- En el cuadro de diálogo Configuración de Mobile VPN with L2TP, seleccione la pestaña IPSec.
- Seleccione la pestaña Configuraciones de Fase 1.
- Seleccione una opción para la autenticación de túnel IPSec. Existen dos opciones:
Usar Clave Precompartida
Ingrese la clave compartida. Debe usar la misma clave precompartida en las configuraciones IPSec en los clientes L2TP. La clave compartida puede ser de hasta 79 caracteres de largo.
Usar Certificado IPSec
Seleccione el certificado que desea usar de la tabla. Ya debe haber importado un certificado al Firebox para usar esta opción.
Para obtener más información acerca de los certificados IPSec, consulte Certificados para Autenticación de Túneles de Mobile VPN with L2TP.
La configuración predeterminada IPSec L2TP contiene tres conjuntos de transformación predeterminados, que aparecen en el listado Configuraciones de Transformación.
- SHA-1, AES(256) y Grupo Diffie-Hellman 2
- SHA-1, AES(256) y Grupo Diffie-Hellman 20
- SHA2-256, AES(256) y Grupo Diffie-Hellman 14
Se puede:
- Use los conjuntos de transformación predeterminados.
- Elimine los conjuntos de transformación y reemplácelos por otros nuevos.
- Agregue transformaciones adicionales, tal como se explica en Agregar una Transformación de Fase 1 de IPSec L2TP.
Para establecer configuraciones avanzadas de Fase 1 de IPSec, haga clic en Avanzada.
Para obtener más información sobre estas configuraciones avanzadas de Fase 1, consulte Configurar los Ajustes Avanzados L2TP IPSec Fase 1.
Configuraciones de Fase 2 IPSec
La configuración de Fase 2 IPSec incluye las configuraciones para una asociación de seguridad (SA), que define cómo los paquetes de datos son protegidos cuando pasan entre dos extremos. La SA mantiene toda la información necesaria para que Firebox sepa qué debería hacer con el tráfico entre los extremos. Los parámetros en SA pueden incluir:
- Los algoritmos de cifrado y autenticación utilizados.
- Caducidad de SA (en segundos o número de bytes, o ambos).
- La dirección IP del dispositivo para el cual se establece la SA (el dispositivo que maneja el cifrado y descifrado de IPSec en el otro lado de la VPN, no el por detrás que envía o recibe el tráfico).
- Las direcciones IP de origen y de destino del tráfico al cual la SA se aplica.
- Dirección del tráfico a la cual se aplica la SA (hay una SA para cada dirección de tráfico, entrante y saliente).
- En la página Mobile VPN with L2TP, seleccione la pestaña IPSec.
- Seleccione la pestaña Configuraciones de Fase 2.
- Seleccione la casilla de selección Habilitar Perfect Forward Secrecy si desea habilitar Perfect Forward Secrecy (PFS).
El Perfect Forward Secrecy ofrece más protección a las claves creadas en una sesión. Las claves hechas con PFS no son hechas a partir de una clave anterior. Si una clave anterior está comprometida después de una sesión, las claves de su nueva sesión quedan protegidas.
PFS está deshabilitada de forma predeterminada, ya que muchos clientes L2TP no la admiten. Asegúrese que sus clientes L2TP habiliten PFS antes de habilitarla usted en su configuración Mobile VPN with L2TP.
- Si activa el PFS, seleccione el grupo Diffie-Hellman.
Para obtener más información acerca de los grupos Diffie-Hellman, consulte Acerca de los Grupos Diffie-Hellman.
- Configure las propuestas de Fase 2. La configuración L2TP IPSec contiene tres propuestas IPSec de Fase 2, las cuales aparecen en la lista Propuestas de IPSec. Se puede:
- Utilizar la propuesta predeterminada.
- Eliminar las propuestas predeterminadas y agregar nuevas.
- Agregar propuestas adicionales, tal como se explica en Agregar una Propuesta de L2TP IPsec Fase 2.
- En el cuadro de diálogo Configuración de Mobile VPN with L2TP, seleccione la pestaña IPSec.
- Seleccione la pestaña Configuraciones de Fase 2.
- Seleccione la casilla de selección PFS si desea habilitar Perfect Forward Secrecy (PFS).
El Perfect Forward Secrecy ofrece más protección a las claves creadas en una sesión. Las claves hechas con PFS no son hechas a partir de una clave anterior. Si una clave anterior está comprometida después de una sesión, las claves de su nueva sesión quedan protegidas.
PFS está deshabilitada de forma predeterminada, ya que muchos clientes L2TP no la admiten. Asegúrese que sus clientes L2TP habiliten PFS antes de habilitarla usted en su configuración Mobile VPN with L2TP.
- Si activa el PFS, seleccione el grupo Diffie-Hellman.
Para obtener más información acerca de los grupos Diffie-Hellman, consulte Acerca de los Grupos Diffie-Hellman.
- Configure las propuestas de Fase 2. La configuración L2TP IPSec contiene tres propuestas IPSec de Fase 2, las cuales aparecen en la lista Propuestas de IPSec. Se puede:
- Utilizar la propuesta predeterminada.
- Eliminar las propuestas predeterminadas y agregar nuevas.
- Agregar propuestas adicionales, tal como se explica en Agregar una Propuesta de L2TP IPsec Fase 2.
Cuando activa Mobile VPN with L2TP, Policy Manager crea automáticamente dos políticas para permitir el tráfico. Para obtener más información, consulte Acerca de Políticas L2TP.
Si los usuarios no pueden conectarse a la VPN o a los recursos de la red, verifique estas causas comunes:
- Ajustes DNS incorrectos
- Políticas deshabilitadas o eliminadas
- Configuraciones de grupo de usuario incorrectas
- Superposición de grupos de direcciones IP
- Configuraciones de ruta incorrectas