Contents

Temas Relacionados

Usar Mobile VPN with IPSec con un Dispositivo Android

Los dispositivos móviles que ejecutan la versión 4.x y posteriores de Android incluyen un cliente VPN nativo. En algunos casos, los fabricantes de hardware modifican el cliente VPN nativo de Android para agregar opciones o incluyen su propio cliente VPN en el dispositivo.

Para realizar una conexión VPN IPSec a un Firebox desde un dispositivo Android:

  • Su cliente VPN debe operar en Modo Agresivo.
  • El Firebox debe ejecutar Fireware v11.5.1 o posterior.
  • El Firebox debe estar configurado con transformaciones de Fase 1 y 2 admitidas por el dispositivo Android.

Las versiones recientes del cliente VPN nativo de Android usan el Modo Principal, que no es compatible con Mobile VPN with IPSec. Usted no puede ver o cambiar la configuración de modo en el cliente VPN nativo de Android. Sin embargo, si el fabricante del hardware de su dispositivo Android modificó el cliente VPN nativo, es posible que pueda cambiar esta configuración.

Si no puede cambiar la configuración de su dispositivo al Modo Agresivo, le recomendamos que pruebe uno de estos métodos de conexión:

  • Si su fabricante de hardware instaló su propio cliente VPN en su dispositivo Android, intente conectarse con ese cliente si puede operar en Modo Agresivo. Para obtener más información, consulte la documentación del fabricante.
  • En la configuración del cliente VPN nativo de Android, configure la opción L2TP with IPSec. A continuación, habilite L2TP en su Firebox. L2TP en el Firebox usa el Modo Principal. Para más información sobre L2TP, consulte Acerca de la Autenticación de Usuario L2TP.
  • Instale el cliente OpenVPN SSL en su dispositivo Android. Debe descargar manualmente el perfil del cliente SSL del Portal SSL en su Firebox. Para obtener más información sobre el perfil del cliente, consulte Distribuir e Instalar Nanualmente el Software Cliente Mobile VPN with SSL y el Archivo de Configuración.

Configuraciones de Autenticación y Cifrado

Los dispositivos Android tienen una lista preconfigurada de transformaciones de VPN admitidas. A menos que el fabricante del hardware de su dispositivo modifique el cliente nativo VPN de Android, usted no puede ver esta lista o especificar las diferentes transformaciones predeterminadas. Las recientes versiones del sistema operativo Android tienen estas transformaciones predeterminadas:

Fase 1 — SHA2(256)–AES(256)–DH2

Fase 2 — SHA2(256)–AES(256)

Algunas versiones anteriores del sistema operativo Android usan estas transformaciones predeterminadas:

Fase 1 — SHA1–AES(256)–DH2

Fase 2 — SHA1–AES(256)

En algunos casos, el fabricante del hardware de su dispositivo Android podría especificar diferentes transformaciones predeterminadas para el cliente nativo VPN de Android.

Para iniciar una conexión VPN con el Firebox, el dispositivo Android envía sus transformaciones predeterminadas al Firebox. Debe configurar el Firebox con las transformaciones admitidas por Android para que se establezca la conexión VPN. Recomendamos que especifique las transformaciones predeterminadas de Android en sus configuraciones de Mobile VPN with IPSec en el Firebox.

Si usted especifica transformaciones de Firebox diferentes de las transformaciones predeterminadas de Android, el dispositivo Android envía el siguiente conjunto de transformaciones en su lista. Este proceso se repite hasta que el dispositivo encuentra un conjunto de transformaciones en su lista que coincidan con las configuraciones de Firebox o hasta que el dispositivo Android alcance un límite de reintentos o no tenga transformaciones adicionales para probar.

Para solucionar problemas de conexión, consulte Solucionar problemas de Mobile VPN with IPSec y Traffic Monitor.

Configurar el Firebox

Antes de que pueda conectarse con el cliente VPN nativo de Android, debe configurar la configuración de Mobile VPN with IPSec en su Firebox.

Para configurar los ajustes requeridos en el Firebox, desde Fireware Web UI:Closed
  1. Seleccione VPN > Mobile VPN with IPSec.
    Aparece la página de Mobile VPN with IPSec.
  2. Haga clic en Agregar.
    Aparece la página Configuración de Mobile VPN with IPSec.

Captura de pantalla de Configuración de Mobile VPN with IPSec, pestaña General

  1. En el cuadro de texto Nombre, ingrese el nombre del grupo de autenticación al que pertenecen sus usuarios VPN con Android.

Puede ingresar el nombre de un grupo existente o el nombre de un nuevo grupo de Mobile VPN. Asegúrese que el nombre sea exclusivo entre los nombres de grupo de VPN, así como todos los nombres de túneles VPN e interfaces.

  1. Desde la lista desplegable Servidor de autenticación, seleccione un servidor de autenticación.

Asegúrese de que ese método de autenticación esté habilitado.

Si crea un grupo de usuarios de Mobile VPN que se autentica en un servidor de autenticación externo, asegúrese de crear un grupo en el servidor con el mismo nombre que haya especificado en el asistente para el grupo de Mobile VPN. Si utiliza el Active Directory como su servidor de autenticación, los usuarios deben pertenecer a un grupo de seguridad de Active Directory con el mismo nombre que el nombre de grupo que configura en Mobile VPN with IPSec. Para obtener más información, consulte Configurar el Servidor de Autenticación Externa.

  1. Ingrese y confirme la Contraseña que se utilizará para este túnel.
  2. En la sección Direcciones IP Firebox, ingrese la dirección IP externa principal o nombre de dominio al cual los usuarios de Mobile VPN en ese grupo pueden conectarse.
  3. Seleccione la pestaña Túnel IPSec.
    Aparecen las configuraciones del Túnel IPSec.

Captura de pantalla de la Configuración de Mobile VPN with IPSec, pestaña Túnel IPSec

  1. Seleccione Usar la contraseña del perfil de usuario final como la clave precompartida.
    Esa es la configuración predeterminada.
  2. Desde la lista desplegable Autenticación, seleccione SHA-2. Seleccione SHA-1 si su dispositivo Android no admite SHA-2.
  3. Desde la lista desplegable Cifrado, seleccione AES (256 bits). Esta es la configuración de cifrado predeterminada para dispositivos Android.
  4. En la sección Configuraciones de Fase 1, haga clic en Avanzadas.
    Aparece el cuadro de diálogo Configuraciones Avanzadas de Fase 1.
  1. Configure la Duración de la SA en 1 hora.

El cliente VPN de Android está configurado para regenerar la clave después de 1 hora. Si este perfil es usado solamente para conexiones por la VPN de Android, configure la duración de SA en 1 hora para que coincida con la configuración del cliente.

Si planea usar este perfil de VPN para todos los clientes VPN admitidos, configure la Duración de la SA en 8 horas. Cuando la Duración de la SA se configura en 8 horas, los clientes Shrew Soft VPN vuelven a generar claves después de 8 horas, pero el cliente VPN de Android usa el valor más pequeño de generación de clave de 1 hora.

  1. Desde la lista desplegable Grupo de claves, seleccione Grupo Diffie-Hellman 2. Este es el grupo de claves predeterminado para dispositivos Android.
  2. No cambie ninguna configuración avanzada de Fase 1.

Captura de pantalla de la Configuración de Mobile VPN with IPSec

  1. Haga clic en Aceptar.
  2. En la sección Configuraciones de Fase 2, elimine la marca en la casilla de selección PFS.

Captura de pantalla de la casilla de selección Configuraciones de Fase 2 PFS

  1. En la sección Configuraciones de Fase 2, haga clic en Avanzadas.
    Aparece el cuadro de diálogo Configuraciones Avanzadas de Fase 2.

  1. Desde la lista desplegable Autenticación, seleccione SHA-2. Seleccione SHA-1 si su dispositivo Android no admite SHA-2.
  2. En la lista desplegable Cifrado, seleccione AES (256 bits), que es la configuración de cifrado predeterminada para dispositivos Android.
  3. En las configuraciones Forzar vencimiento de clave, configure el vencimiento Hora en 1 hora y elimine la marca en la casilla de selección Tráfico.
  4. Haga clic en Aceptar.
  5. Seleccione la pestaña Recursos.
  6. Seleccione la casilla de selección Permitir todo el tráfico a través del túnel.
    Esto configura el túnel para VPN de ruta predeterminada. El cliente VPN de Android no es compatible con el túnel dividido.
  7. En la lista Grupo Virtual de Direcciones IP, agregue las direcciones IP internas que utilizan los usuarios de Mobile VPN en el túnel.
    Para agregar una dirección IP o una dirección IP de red a un grupo virtual de dirección IP, seleccione Host IP o Red IP, ingrese la dirección y haga clic en Agregar.

A los usuarios de Mobile VPN se les asigna una dirección IP del grupo de direcciones IP virtuales cuando se conectan a su red. El número de direcciones IP en el grupo virtual de direcciones IP debe ser el mismo que el número de usuarios de Mobile VPN. Si se ha configurado un FireCluster, debe agregar dos direcciones IP virtuales para cada usuario de Mobile VPN.

Las direcciones IP virtuales deben estar en una subred diferente de las redes locales. Las direcciones IP virtuales no pueden ser usadas para nada más en su red.

  1. Haga clic en Aceptar.
  2. Haga clic en la pestaña Avanzada.

Captura de pantalla de los ajustes Avanzados

  1. Configure los ajustes de DNS:

Asignar a los clientes móviles los ajustes de DNS/WINS de red

Si selecciona esta opción, los clientes móviles recibirán los ajustes de DNS y WINS que usted especifique en Red > Interfaces > DNS/WINS. Por ejemplo, si especifica el servidor DNS 10.0.2.53 en los ajustes de DNS/WINS de Red, los clientes de mobile VPN usan 10.0.2.53 como un servidor DNS.

De forma predeterminada, el ajuste Asignar a los clientes móviles los ajustes del Servidor DNS/WINS de Red se selecciona para las nuevas configuraciones de mobile VPN.

No asignar a los clientes móviles los ajustes de DNS o WINS

Si selecciona esta opción, los clientes no reciben los ajustes de DNS o WINS de Firebox.

Asignar estos ajustes a clientes móviles

Si selecciona esta opción, los clientes móviles recibirán los ajustes del nombre de dominio, el servidor DNS y el servidor WINS que usted especifique en esta sección. Por ejemplo, si especifica ejemplo.com como nombre de dominio y 10.0.2.53 como servidor DNS, los clientes móviles usan ejemplo.com para nombres de dominio no calificados y 10.0.2.53 como el servidor DNS.

Puede especificar un nombre de dominio, hasta dos direcciones IP de servidor DNS y hasta dos direcciones IP de servidor WINS.

Para obtener más información sobre los ajustes del servidor DNS y WINS para usuarios de Mobile VPN with IPSec, consulte Configurar el DNS y los Servidores WINS para Mobile VPN with IPSec.

  1. Haga clic en Guardar.
Para configurar los ajustes requeridos en el Firebox, desde Policy Manager:Closed

Primero, use el asistente Mobile VPN with IPSec Wizard para definir las configuraciones básicas:

  1. Seleccione VPN > Mobile VPN > IPSec.
    Aparece el cuadro de diálogo de Mobile Configuración de Mobile VPN with IPSec.
  2. Haga clic en Agregar.
    Aparece el Add Mobile VPN with IPSec Wizard.
  3. Haga clic en Siguiente.
    Aparece la página Seleccionar un servidor de autenticación de usuario.

Captura de pantalla del cuadro de diálogo del asistente para seleccionar un servidor de autenticación del usuario

  1. Desde la lista desplegable Servidor de autenticación, seleccione un servidor de autenticación.

Puede autenticar usuarios al Firebox (Firebox-DB) o a un servidor Active Directory o RADIUS. Asegúrese de que el método de autenticación elegido esté habilitado.

  1. En el cuadro de texto Nombre de grupo, ingrese el nombre del grupo de autenticación al que pertenecen sus usuarios VPN con sistema operativo Android.

Puede ingresar el nombre de un grupo Mobile VPN ya creado o insertar un nombre de grupo para un nuevo grupo de Mobile VPN. Asegúrese que el nombre es exclusivo entre los nombres de grupo de VPN, así como todos los nombres de túneles VPN e interfaces.

Si crea un grupo de usuarios de Mobile VPN que se autentica en un servidor de autenticación externo, asegúrese de crear un grupo en el servidor con el mismo nombre que haya especificado en el asistente para el grupo de Mobile VPN. Si utiliza el Active Directory como su servidor de autenticación, los usuarios deben pertenecer a un grupo de seguridad de Active Directory con el mismo nombre que el nombre de grupo que configura en Mobile VPN with IPSec. Para obtener más información, consulte Configurar el Servidor de Autenticación Externa.

  1. Haga clic en Siguiente.
    Aparece la página Seleccionar un método de autenticación de túnel.

Captura de pantalla del cuadro de diálogo del asistente Seleccionar un método de autenticación de túnel.

  1. Seleccione Utilizar esta contraseña. Ingrese y confirme la contraseña.
  2. Haga clic en Siguiente.
    Aparece la página Dirigir flujo de tráfico de Internet.

Captura de pantalla del cuadro de diálogo del asistente Direct to the flow of Internet traffic wizard

  1. Seleccione Sí, forzar a que todo el tráfico de Internet fluya a través del túnel..
    Esto configura el túnel para VPN de ruta predeterminada. El cliente VPN de Android no es compatible con el túnel dividido.
  2. Haga clic en Siguiente.
    Aparece la página Crear grupo de direcciones IP virtuales.

Captura de pantalla del cuadro de diálogo del asistente Crear conjunto de direcciones IP virtuales

  1. Haga clic en Siguiente y Terminar.
  2. Para una configuración VPN de ruta predeterminada, la configuración automáticamente permite el acceso a todas las direcciones IP de red y alias Cualquiera Externo.

A los usuarios de Mobile VPN se les asigna una dirección IP del grupo de direcciones IP virtuales cuando se conectan a su red. El número de direcciones IP en el grupo virtual de direcciones IP debe ser el mismo que el número de usuarios de Mobile VPN. Si se ha configurado un FireCluster, debe agregar dos direcciones IP virtuales para cada usuario de Mobile VPN.

Las direcciones IP virtuales deben estar en una subred diferente de las redes locales. Las direcciones IP virtuales no pueden ser usadas para nada más en su red.

  1. Haga clic en Siguiente.
  2. Para añadir usuarios al nuevo grupo de Mobile VPN with IPSec, elija la casilla de selección Agregar usuarios.
  3. Haga clic en Finalizar.
    La configuración de Mobile VPN que creó aparece en el cuadro de diálogo Configuración de Mobile VPN with IPSec.

Captura de pantalla del cuadro de diálogo de Mobile VPN with IPSec

Luego, debe editar las configuraciones VPN de Fase 1 y Fase 2 para que coincidan con las configuraciones para el cliente VPN en el dispositivo Android.

  1. En el cuadro de diálogo Configuración de Mobile VPN with IPSec, seleccione la configuración que acaba de agregar.
  2. Haga clic en Editar.
    Aparece el cuadro de diálogo de Editar Mobile VPN with IPSec.
  3. Seleccione la pestaña Túnel IPSec.

Captura de pantalla del cuadro de diálogo Editar Mobile VPN with IPSec, pestaña Túnel IPSec

  1. Desde la lista desplegable Autenticación, seleccione SHA2-256. Seleccione SHA-1 si su dispositivo Android no admite SHA-2.
  2. En la lista desplegable Cifrado, seleccione AES (256 bits), que es la configuración de cifrado predeterminada para dispositivos Android.
  3. Haga clic en Avanzadas.
    Aparece el cuadro de diálogo Configuraciones Avanzadas de Fase 1.

Captura de pantalla del cuadro de diálogo Configuraciones avanzadas de la Fase 1

  1. Configure la Duración de la SA en 1 hora.

El cliente VPN de Android está configurado para regenerar la clave después de 1 hora. Si este perfil se usa solamente para conexiones por la VPN de Android, configure la duración de SA en 1 hora para que coincida con la configuración del cliente.

Si desea usar este perfil de VPN para todos los clientes VPN admitidos, configure la Duración de la SA en 8 horas. Cuando la Duración de la SA se configura en 8 horas, los clientes Shrew Soft VPN vuelven a generar claves después de 8 horas, pero el cliente VPN de Android usa el valor más pequeño de generación de clave de 1 hora.

  1. Desde la lista desplegable Grupo de claves, seleccione Grupo Diffie-Hellman 2.
  2. No cambie ninguna configuración avanzada de Fase 1.
  3. Haga clic en Aceptar.
  4. En el cuadro de diálogo Editar Mobile VPN with IPSec, haga clic en Propuesta.

Captura de pantalla del cuadro de diálogo Propuesta de Fase 2

  1. Desde la lista desplegable Autenticación, seleccione SHA2-256. Seleccione SHA-1 si su dispositivo Android no admite SHA-2.
  2. En la lista desplegable Cifrado, seleccione AES (256 bits), que es la configuración de cifrado predeterminada para dispositivos Android.
  3. En las configuraciones Forzar vencimiento de clave, configure el vencimiento Hora en 1 hora y elimine la marca en la casilla de selección Tráfico.
  4. Haga clic en Aceptar.
  5. En el cuadro de diálogo Editar Mobile VPN with IPSec, destilde la casilla de selección PFS.
    Perfect Forward Secrecy no es compatible con el cliente VPN de Android.

Captura de pantalla de la pestaña Túnel IPSec con la casilla de selección destildada

Finalmente, configure los ajustes de DNS.

  1. Haga clic en la pestaña Avanzada.
  2. Configure los ajustes de DNS:

Asignar a los clientes móviles los ajustes de DNS/WINS de red

Si selecciona esta opción, los clientes móviles recibirán los ajustes de DNS y WINS que usted especifique en Red > Interfaces > DNS/WINS. Por ejemplo, si especifica el servidor DNS 10.0.2.53 en los ajustes de DNS/WINS de Red, los clientes de mobile VPN usan 10.0.2.53 como un servidor DNS.

De forma predeterminada, el ajuste Asignar a los clientes móviles los ajustes del Servidor DNS/WINS de Red se selecciona para las nuevas configuraciones de mobile VPN.

No asignar a los clientes móviles los ajustes de DNS o WINS

Si selecciona esta opción, los clientes no reciben los ajustes de DNS o WINS de Firebox.

Asignar estos ajustes a clientes móviles

Si selecciona esta opción, los clientes móviles recibirán los ajustes del nombre de dominio, el servidor DNS y el servidor WINS que usted especifique en esta sección. Por ejemplo, si especifica ejemplo.com como nombre de dominio y 10.0.2.53 como servidor DNS, los clientes móviles usan ejemplo.com para nombres de dominio no calificados y 10.0.2.53 como el servidor DNS.

Puede especificar un nombre de dominio, hasta dos direcciones IP de servidor DNS y hasta dos direcciones IP de servidor WINS.

Para obtener más información sobre los ajustes del servidor DNS y WINS para usuarios de Mobile VPN with IPSec, consulte Configurar el DNS y los Servidores WINS para Mobile VPN with IPSec.

  1. Haga clic en Aceptar.
  2. Guarde el archivo de configuración en el Firebox.

Para autenticar desde un cliente VPN de Android, los usuarios VPN de Android deben ser miembros del grupo de autenticación que especificó en el Add Mobile VPN with IPSec Wizard.

  • Para obtener información sobre cómo agregar usuarios a un grupo de usuarios de Firebox, consulte Definir un Nuevo Usuario para Autenticación en Firebox.
  • Si usa un servidor de autenticación de terceros, use las instrucciones proporcionadas en la documentación de su proveedor.

Configurar el Cliente VPN Nativo de Android

Después de configurar el Firebox, los usuarios en el grupo de autenticación que especificó en el perfil Mobile VPN with IPSec en el Firebox pueden usar el cliente VPN nativo para Android para conectarse. Para usar el cliente VPN nativo de Android, el usuario debe ajustar manualmente las configuraciones del cliente VPN para que coincidan con las configuraciones en el Firebox.

También puede configurar manualmente el cliente VPN nativo en el dispositivo Android:

  1. En la página Configuraciones, en la sección Redes Inalámbricas, seleccione Más > VPN.

  1. Haga clic en Agregar Red VPN.
    Aparece la página Editar red VPN.

  1. Configure lo siguiente:
    • Nombre — Un nombre para identificar esta conexión VPN en el dispositivo Android
    • Tipo — Seleccione IPSec Xauth PSK
    • Dirección del servidor — La dirección IP externa del Firebox
    • Identificador de IPSec — El nombre de grupo que especificó en la configuración de Mobile VPN with IPSec del Firebox
    • Clave precompartida IPSec — La contraseña de túnel que estableció en la configuración de Mobile VPN with IPSec del Firebox
  1. Guardar la conexión.
  2. Abra la conexión e ingrese el Nombre de usuario y la Contraseña para un usuario en el grupo de autenticación especificado.

Captura de pantalla de la página Conectar del cliente VPN Android

  1. Haga clic en Conectar.

Para verificar que su conexión haya sido exitosa y que el túnel VPN esté activo, explore un sitio web que muestre su dirección IP, como www.whatismyip.com Si el dispositivo Android está conectado a través de la VPN, su dirección IP es la dirección IP externa del Firebox.

Ver también

Mobile VPN with IPSec

Definir Configuración Avanzada de Fase 1

Definir Configuración Avanzada de Fase 2

Danos tu Opinión     Obtener Soporte     Toda la Documentación del Producto     Búsqueda Técnica

© 2019 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.