Temas Relacionados
Editar la Configuración de Mobile VPN with IKEv2
Recomendamos que use el WatchGuard IKEv2 Setup Wizard para configurar el Mobile VPN with IKEv2 por primera vez. Para obtener más información, consulte Usar el WatchGuard IKEv2 Setup Wizard.
- Seleccione VPN > Mobile VPN with IKEv2.
- Haga clic en Configurar.
- Marque la casilla de selección Activar Mobile VPN with IKEv2 si Mobile VPN with IKEv2 no está ya activado.
- Use la información en las siguientes secciones para configurar los ajustes de Mobile VPN with IKEv2.
- Seleccione VPN > Mobile VPN > IKEv2 > Configurar.
Aparece el cuadro de diálogo Configuración de Mobile VPN with IKEv2.
- Marque la casilla de selección Activar Mobile VPN with IKEv2 si Mobile VPN with IKEv2 no está ya activado.
- Use la información en las siguientes secciones para configurar los ajustes de Mobile VPN with IKEv2.
Editar Configuraciones de red
En la pestaña Red, en la sección Direcciones de Firebox, especifique una dirección IP o nombre de dominio para las conexiones de usuarios de Mobile VPN with IKEv2. Si su Firebox está detrás de un dispositivo NAT, debe especificar la dirección IP pública o el nombre de dominio del dispositivo NAT.
Editar el Grupo Virtual de Direcciones IP
En la pestaña Red, el Grupo Virtual de Direcciones IP muestra las direcciones IP internas que usan los usuarios de Mobile VPN with IKEv2 a través del túnel. El grupo de direcciones IP virtuales debe contener al menos dos direcciones IP. De forma predeterminada, el Firebox asigna direcciones en el rango 192.168.114.0/24 a clientes de Mobile VPN with IKEv2.
Para obtener más información acerca de las direcciones IP virtuales, consulte Direcciones IP Virtuales y Mobile VPN.
Para agregar al grupo de direcciones IP virtuales:
- Haga clic en Agregar.
Aparece el cuadro de diálogo Agregar Grupo de Direcciones. - En la lista desplegable Elegir Tipo, seleccione IPv4 de Red o IPv4 de Host.
- En el cuadro de texto adyacente, ingrese una dirección IP o una dirección IP de red.
Editar configuraciones de autenticación
En la pestaña Autenticación puede configurar servidores de autenticación, y los usuarios y grupos autorizados.
Configurar Servidores de Autenticación
- Seleccione la pestaña Autenticación.
- En la sección Servidores de Autenticación, seleccione Firebox-DB, RADIUS o ambos.
- Si selecciona tanto Firebox-DB como RADIUS, puede seleccionar Establecer como servidor predeterminado para que RADIUS sea el servidor de autenticación predeterminado.
Configurar usuarios y grupos
Si usa el Firebox-DB para la autenticación, debe usar el grupo Usuarios de IKEv2 que se crea de forma predeterminada. Puede agregar los nombres de otros grupos y usuarios que utilicen Mobile VPN with IKEv2. Para cada grupo o usuario que agrega, puede seleccionar el servidor de autenticación en donde existe el grupo, o seleccione Cualquiera si ese grupo existe en más de un servidor de autenticación. El nombre de grupo o usuario que agregue debe existir en el servidor de autenticación. Los nombres de grupo y usuario distinguen entre mayúsculas y minúsculas, y deben coincidir exactamente con el nombre en su servidor de autenticación.
Para obtener más información acerca de la autenticación de usuario, consulte Acerca de la Autenticación de Usuario de Mobile VPN with IKEv2.
- En la sección Usuarios y Grupos, seleccione usuarios y grupos para Mobile VPN with IKEv2.
- Para agregar un nuevo usuario o grupo de Firebox-DB, seleccione Firebox-DB en la lista desplegable.
- Para agregar un nuevo usuario o grupo de RADIUS, seleccione RADIUS en la lista desplegable.
- Para agregar un nuevo usuario o grupo tanto para Firebox-DB como RADIUS, seleccione Cualquiera en la lista desplegable.
- En la lista desplegable adyacente, seleccione Usuario o Grupo.
- Haga clic en Agregar.
Aparece el cuadro de diálogo Usuario de Firebox, Grupo de Firebox o Agregar Usuario o Grupo. - Especifique los ajustes para el usuario o grupo.
Para obtener más información sobre cómo agregar usuarios de Firebox-DB, consulte Definir un Nuevo Usuario para Autenticación en Firebox.
Para obtener más información sobre cómo agregar grupos de Firebox-DB, consulte Definir un Nuevo Grupo para Autenticación en Firebox.
Para obtener más información sobre cómo agregar usuarios y grupos de RADIUS, consulte Usar los Usuarios y Grupos en las Políticas.
- En la sección Usuarios y Grupos, seleccione usuarios y grupos para Mobile VPN with IKEv2.
- Para agregar un nuevo usuario o grupo de Firebox-DB, haga clic en Nuevo.
- Seleccione Usuario/Grupo de Firebox-DB o Usuario/Grupo Externo.
Aparece el cuadro de diálogo Servidores de Autenticación. - Para agregar a un usuario, en la sección Usuarios, haga clic en Agregar.
Aparece el cuadro de diálogo Configurar Usuario de Firebox. - Especifique el nombre de usuario, la contraseña, los ajustes del tiempo de espera y los ajustes del límite de inicios de sesión para el usuario. Para obtener más información sobre cómo agregar usuarios, consulte Definir un Nuevo Usuario para Autenticación en Firebox.
- Para agregar un grupo, en la sección Grupo, haga clic en Agregar.
Aparece el cuadro de diálogo Configurar Grupo de Firebox. - Especifique el nombre de usuario, la contraseña, los ajustes del tiempo de espera y los ajustes del límite de inicios de sesión para el usuario. Para obtener más información sobre cómo agregar usuarios, consulte Definir un Nuevo Grupo para Autenticación en Firebox.
Configurar un Certificado de Autenticación
Puede seleccionar un certificado de Firebox o un certificado de terceros para la autenticación de Mobile VPN with IKEv2. Los certificados de Firebox y de terceros tienen estos requisitos:
- El uso de clave extendida (EKU) señala “serverAuth” y “Seguridad IKE de IP Intermedia” (OID 1.3.6.1.5.5.8.2.2)
- Dirección IP o nombre DNS como valor de Nombre Alternativo de Sujeto
Para seleccionar un certificado para la autenticación:
- Haga clic en la pestaña Seguridad.
- Para especificar un certificado para la autenticación, haga clic en Editar.
Aparece el cuadro de diálogo Ajustes de Dirección y Certificado de Firebox. - En la lista desplegable Tipo, seleccione Certificado Generado por el Firebox o Certificado de Terceros.
Configurar los Ajustes de Fase 1 y 2
Para configurar los ajustes de Fase 1, seleccione VPN > Ajustes Compartidos de IKEv2. Para obtener más información sobre los Ajustes Compartidos de IKEv2, consulte Configurar los Ajustes Compartidos de IKEv2.
Las propuestas IPSec de Fase 2 usadas para Mobile VPN with IKEv2 son las mismas que configuró para usar con una VPN de sucursal IPSec. Si desea configurar una nueva propuesta de Fase 2 para usarla con Mobile VPN with IKEv2, debe agregarla en la página de Propuestas de Fase 2. Luego puede agregarla a la configuración de Mobile VPN with IKEv2.
- Seleccione VPN > Mobile VPN > IKEv2 > Configurar.
- Seleccione Seguridad > Fase 2.
- Seleccione la pestaña Configuraciones de Fase 2.
- Seleccione Perfect Forward Secrecy Habilitado para habilitar Perfect Forward Secrecy (PFS).
- En la lista desplegable adyacente, seleccione un Grupo Diffie-Hellman.
- En la sección Propuestas de IPSec, seleccione una propuesta existente de la lista desplegable.
- Haga clic en Agregar.
- Para agregar una nueva propuesta, seleccione VPN > Propuestas de Fase 2. Para obtener más información sobre las Propuestas de Fase 2, consulte Agregar una Propuesta de Fase 2.
- Haga clic en Guardar.
- Seleccione VPN > Mobile VPN > IKEv2 > Configurar.
- Seleccione Seguridad > Fase 2.
- Seleccione la pestaña Configuraciones de Fase 2.
- Seleccione la casilla de selección PFS para habilitar Perfect Forward Secrecy (PFS).
- En la lista desplegable adyacente, seleccione un Grupo Diffie-Hellman.
- En la sección Propuestas de IPSec, seleccione una propuesta existente de la lista desplegable.
- Haga clic en Agregar.
- Para agregar una nueva propuesta, seleccione VPN > Propuestas de Fase 2. Para obtener más información sobre las Propuestas de Fase 2, consulte Agregar una Propuesta de Fase 2.
- Haga clic en Aceptar.
Configurar los Ajustes de DNS y WINS
En Fireware v12.2.1 o posterior, puede especificar los servidores de DNS y WINS en la configuración de Mobile VPN with IKEv2.
- Seleccione VPN > Mobile VPN with IKEv2.
- En la sección Ajustes de DNS, seleccione una de estas opciones:
Asignar a los clientes móviles los ajustes de DNS/WINS de red
Si selecciona esta opción, los clientes móviles recibirán los primeros dos servidores DNS y los primeros dos servidores WINS que usted especifique en Red > Interfaces > DNS/WINS. Por ejemplo, si especifica el servidor DNS 10.0.2.53 en los ajustes de DNS/WINS de Red, los clientes de mobile VPN usan 10.0.2.53 como un servidor DNS. Aunque puede especificar hasta tres servidores DNS de Red, los clientes de mobile VPN usan solo los dos primeros en la lista.
De forma predeterminada, el ajuste Asignar a los clientes móviles los ajustes del Servidor DNS/WINS de Red se selecciona para las nuevas configuraciones de mobile VPN.
No asignar a los clientes móviles los ajustes de DNS o WINS
Si selecciona esta opción, los clientes no reciben los ajustes de DNS o WINS de Firebox.
Asignar estos ajustes a clientes móviles
Si selecciona esta opción, los clientes móviles recibirán el servidor DNS y WINS que usted especifique en esta sección. Por ejemplo, si especifica 10.0.2.53 como servidor DNS, los clientes móviles usan 10.0.2.53 como el servidor DNS.
Puede especificar hasta dos direcciones IP de servidor DNS y hasta dos direcciones IP de servidor WINS.
- Haga clic en Guardar.
- Seleccione VPN > Mobile VPN > IKEv2 > Configurar.
- En la sección Ajustes de DNS, seleccione una de estas opciones:
Asignar a los clientes móviles los ajustes de DNS/WINS de red
Si selecciona esta opción, los clientes móviles recibirán los primeros dos servidores DNS y los primeros dos servidores WINS que usted especifique en Red > Interfaces > DNS/WINS. Por ejemplo, si especifica el servidor DNS 10.0.2.53 en los ajustes de DNS/WINS de Red, los clientes de mobile VPN usan 10.0.2.53 como un servidor DNS. Aunque puede especificar hasta tres servidores DNS de Red, los clientes de mobile VPN usan solo los dos primeros en la lista.
De forma predeterminada, el ajuste Asignar a los clientes móviles los ajustes del Servidor DNS/WINS de Red se selecciona para las nuevas configuraciones de mobile VPN.
No asignar a los clientes móviles los ajustes de DNS o WINS
Si selecciona esta opción, los clientes no reciben los ajustes de DNS o WINS de Firebox.
Asignar estos ajustes a clientes móviles
Si selecciona esta opción, los clientes móviles recibirán el servidor DNS y WINS que usted especifique en esta sección. Por ejemplo, si especifica 10.0.2.53 como servidor DNS, los clientes móviles usan 10.0.2.53 como el servidor DNS.
Puede especificar hasta dos direcciones IP de servidor DNS y hasta dos direcciones IP de servidor WINS.
- Haga clic en Aceptar.
En Fireware v12.2 o anterior, no puede configurar los ajustes de DNS y WINS en los ajustes de Mobile VPN with IKEv2. Los clientes reciben automáticamente los servidores DNS y WINS especificados en los ajustes DNS/WINS de Red (global) en el Firebox. El sufijo del nombre de dominio no se hereda. Aunque puede especificar hasta tres servidores DNS de Red, los clientes de mobile VPN usan solo los dos primeros en la lista. Para obtener información sobre los ajustes de DNS/WINS de Red, consulte Configurar los Servidores DNS y WINS de Red.
Ver también
Usar el WatchGuard IKEv2 Setup Wizard
Configurar los Dispositivos iOS y macOS para Mobile VPN with IKEv2
Configurar los Dispositivos Windows para Mobile VPN with IKEv2
Configurar los Dispositivos Android para Mobile VPN with IKEv2
Configurar los Dispositivos Clientes para Mobile VPN with IKEv2
Acceso a Internet a través de un Túnel de Mobile VPN with IKEv2
Certificados para Autenticación de Túneles de Mobile VPN with IKEv2