Temas Relacionados
Configurar el Firebox para Mobile VPN with SSL
Cuando habilita una Mobile VPN with SSL, se crea automáticamente un grupo de usuarios Usuarios-SSLVPN y una política WatchGuard SSLVPN para permitir conexiones SSL VPN de Internet al Firebox. Puede usar el grupo predeterminado, o puede crear nuevos grupos que tengan los mismos nombres que los nombres de grupos de usuarios en sus servidores de autenticación.
La política SSLVPN de WatchGuard es compartida por el Management Tunnel por SSL, BOVPN por TLS en modo Servidor, Mobile VPN with SSL y el Access Portal. Para obtener más información sobre este informe, vea Precedencia y Herencia de los Ajustes SSL/TLS.
Varias funciones de Firebox usan SSL/TLS para una comunicación segura y comparten el mismo servidor OpenVPN. Las funciones que comparten el servidor OpenVPN, en orden de precedencia de mayor a menor, son:
- Management Tunnel por SSL en dispositivos concentradores
- BOVPN por TLS en modo Servidor
- Mobile VPN with SSL
- Access Portal
Las funciones con menor prioridad heredan algunos ajustes SSL/TLS de las funciones habilitadas con mayor prioridad. Los ajustes compartidos no son configurables para las funciones con menor prioridad.
Ejemplo — Management Tunnel y Mobile VPN with SSL habilitado
Cuando habilita un Management Tunnel por SSL en su Management Server WSM, algunos de los ajustes compartidos por los túneles de Mobile VPN with SSL son administrados por su Management Server. No puede cambiar estos ajustes en la configuración de Mobile VPN with SSL. Estos ajustes incluyen las direcciones IP de Firebox, el método de establecimiento de la red, el grupo virtual de direcciones IP, los recursos de VPN, el canal de datos y el canal de configuración. Tampoco puede deshabilitar el servidor de autenticación Firebox-DB, que se requiere para la autenticación del Management Tunnel. Debe cambiar estos ajustes compartidos en las Propiedades del Dispositivo en el Management Server.
Ejemplo — Servidor BOVPN por TLS y Mobile VPN with SSL habilitado
Cuando habilita su Firebox como un servidor BOVPN por TLS, algunos ajustes de Mobile VPN with SSL se heredan de los ajustes del Servidor BOVPN por TLS. No puede cambiar estos ajustes en la configuración de Mobile VPN with SSL. Estos ajustes incluyen las direcciones IP del Firebox, el método de red, el grupo de direcciones IP virtuales, los recursos VPN, el canal de datos, los ajustes de autenticación y encryption (cifrado), y los ajustes del tiempo de espera.
En Fireware v12.1 y v12.1.1, los ajustes compartidos el por Access Portal y Mobile VPN with SSL aparecen en una página llamada Portal VPN. El Canal de Datos de Configuración para Mobile VPN with SSL fue renombrado como el puerto del Portal VPN y aparece en los ajustes del Portal VPN. En Fireware v12.2, los ajustes del Portal VPN se movieron a las configuraciones de Access Portal y Mobile VPN with SSL. Para obtener instrucciones de configuración que se aplican a Fireware v12.1 y v12.1.1, consulte Configurar los ajustes del Portal VPN en Fireware v12.1–v12.1.1 en la Base de Consulta de WatchGuard.
Antes de Empezar
Antes de que configure la Mobile VPN with SSL, decida cómo desea que el Firebox envíe el tráfico a través del túnel VPN. De acuerdo con la opción que elija, podría tener que realizar cambios a su configuración de red antes de habilitar Mobile VPN with SSL.
Puede configurar Mobile VPN with SSL para usar uno de los dos métodos para manejar el tráfico VPN hacia su red:
Tráfico de VPN Enrutado
Ésta es la selección predeterminada. Con esta opción, el Firebox envía el tráfico del túnel VPN hacia todas las redes de confianza, opcionales y personalizadas, o hacia los recursos de red específicos que usted indicó.
Tráfico de VPN de Puente
Esta opción le permite hacer un puente en el tráfico de VPN SSL hacia una red de confianza, opcional o personalizada. Cuando selecciona esta opción, no puede filtrar el tráfico entre los usuarios de VPN con SSL y la red a la que se conecta el tráfico de VPN con SSL. Cuando realiza un puente para el tráfico VPN hacia una red, los usuarios de VPN SSL están en la misma zona de seguridad que otros usuarios en la red en la que se realiza el puente, y el tráfico para esos usuarios móviles es manejado por las mismas políticas de seguridad que el tráfico para otros usuarios en la red en la que se establece el puente.
Por ejemplo, si el tráfico de puente VPN pasa por una interfaz de confianza, todas las políticas que permiten el tráfico para el alias Cualquiera-De Confianza también permiten el tráfico para los usuarios que se conectan con Mobile VPN with SSL. La opción del Tráfico de Puente VPN no tiende un puente VPN SSL sobre tráfico para ninguna red secundaria en el puente de red seleccionado.
Si selecciona Puente de Tráfico VPN en la configuración Mobile VPN with SSL en una máquina virtual FireboxV o XTMv, debe habilitar el modo promiscuo en el interruptor virtual adjunto (vSwitch) en VMware.
- Fireware v11.8.x o anterior — Puede establecer un puente de tráfico VPN a cualquier interfaz que no sea un puente de LAN.
- Fireware v11.9 o posterior — Puede establecer un puente de tráfico VPN solamente a un puente de LAN.
Para obtener información acerca de cómo configurar una interfaz de puente, consulte Crear una Configuración de Puente de Red.
Si configura Mobile VPN with SSL desde la Web UI, no cambie la interfaz que utilizó para iniciar sesión en la Web UI para una interfaz de puente. Esto hace que pierda inmediatamente la conexión de gestión al dispositivo. Si esto sucede, debe utilizar una interfaz configurada diferente para volver a conectarse a Fireware Web UI.
Si desea cambiar la interfaz que utiliza para administrar el dispositivo a una interfaz puente, le recomendamos que realice este cambio desde Policy Manager. Puede completar todos los cambios de configuración de interfaz antes de guardar el archivo de configuración actualizado en el dispositivo.
Para cambiar la interfaz de confianza u opcional que utiliza para administración a una interfaz de puente, desde Fireware Web UI:
- Configure otra interfaz de confianza u opcional para utilizarla como una interfaz de administración temporal.
- Conecte la computadora de administración a la nueva interfaz, e inicie sesión en la Web UI.
- Cambie la interfaz de administración original a una interfaz de puente y configure un puente LAN que incluya esta interfaz.
- Conecte la computadora de administración a la interfaz de administración original.
- Deshabilitar la interfaz de administración temporal.
Para obtener instrucciones detalladas, consulte Crear una Configuración de Puente de Red.
Para obtener más información sobre cómo se usa el DNS para realizar búsquedas en una conexión Mobile VPN, consulte DNS y Mobile VPN.
Configuraciones de Conexión
- Seleccione VPN > Mobile VPN with SSL.
Se abre la página Configuración de Mobile VPN with SSL.
- Seleccione la casilla de selección Habilitar Mobile VPN with SSL.
- En el cuadro de texto Principal, ingrese una dirección IP pública o nombre de dominio.
Esta es la dirección IP o el nombre de dominio a los que se conectan los clientes de Mobile VPN with SSL de forma predeterminada. Ésta puede ser una dirección IP externa, una dirección IP externa secundaria o una VLAN externa. Para un dispositivo en el modo directo, utilice la dirección IP asignada a todas las interfaces. - Si su Firebox tiene más de una dirección externa, en el cuadro de texto Secundaria, ingrese una dirección IP pública diferente.
Esta es la dirección IP a la que el cliente de Mobile VPN with SSL se conecta cuando no puede establecer una conexión con la dirección IP principal. Si agrega una dirección IP secundaria, asegúrese de que sea una dirección IP asignada a una interfaz externa de Firebox o VLAN. Si quiere que el cliente Mobile VPN with SSL use una dirección IP secundaria, también debe seleccionar la casilla de selección Reconexión automática después de perder la conexión en los ajustes de Autenticación, tal como se describe en la sección siguiente.
- Seleccione VPN > Mobile VPN > SSL.
Aparece el cuadro de diálogo Configuración de Mobile VPN with SSL.
- Seleccione la casilla de selección Habilitar Mobile VPN with SSL.
- En el cuadro de texto Principal, ingrese o seleccione una dirección IP pública o nombre de dominio.
Esta es la dirección IP o el nombre de dominio a los que se conectan los clientes de Mobile VPN with SSL de forma predeterminada. Ésta puede ser una dirección IP externa, una dirección IP externa secundaria o una VLAN externa. Para un dispositivo en el modo directo, utilice la dirección IP asignada a todas las interfaces. - Si su Firebox tiene más de una dirección externa, en el cuadro de texto Respaldo, ingrese o seleccione una dirección IP pública diferente.
Esta es la dirección IP a la que el cliente de Mobile VPN with SSL se conecta cuando no puede establecer una conexión con la dirección IP principal. Si agrega una dirección IP de respaldo, asegúrese de que sea una dirección IP asignada a una interfaz externa de Firebox o VLAN. Si quiere que el cliente Mobile VPN with SSL use una dirección IP de respaldo, también debe seleccionar la casilla de selección Reconexión automática después de perder la conexión en los ajustes de Autenticación.
Realizar las Configuraciones del Conjunto de Direcciones IP y Red
En la sección Red y Grupo de Dirección, configure los recursos de red que los clientes de Mobile VPN with SSL pueden usar.
De forma predeterminada, el servidor BOVPN over TLS asigna direcciones en el grupo 192.168.113.0/24 a los clientes BOVPN over TLS. Mobile VPN with SSL también usa el grupo 192.168.113.0/24 de forma predeterminada. Si BOVPN over TLS en modo Cliente y Mobile VPN with SSL están habilitados en el mismo Firebox, usted debe especificar un grupo de direcciones diferente para una de estas funciones. Si ambas funciones utilizan el mismo grupo de direcciones IP, el tráfico BOVPN over TLS no se envía a través del túnel correctamente.
- En la sección Grupo de direcciones IP y red, desde la lista desplegable, seleccione el método que utiliza el Firebox para enviar tráfico a través del túnel VPN:
- Seleccione Puentear tráfico VPN para puentear el tráfico SSL VPN a una red que usted especifique. Cuando selecciona esta opción, no puede filtrar el tráfico entre los usuarios de VPN con SSL y la red a la que se conecta el tráfico de VPN con SSL.
- Seleccione Tráfico VPN enrutado para enrutar el tráfico VPN a redes y recursos especificados. Ésta es la opción predeterminada para todos los Firebox.
- Seleccione o destilde la casilla de selección Forzar todo el tráfico de cliente a través del túnel.
- Para enrutar todo el tráfico del cliente VPN a su red privada y hacia Internet a través del túnel, seleccione Forzar todo el tráfico de cliente a través del túnel.
Esta opción envía todo el tráfico externo a través de las políticas del Firebox que usted crea y ofrece una seguridad constante a los usuarios móviles. Sin embargo, dado que requiere mayor capacidad de procesamiento en el Firebox, el acceso a los recursos de Internet puede ser muy lento para el usuario móvil.
Para obtener información sobre cómo permitir que los clientes accedan a Internet cuando esta opción está seleccionada, consulte Opciones de Acceso a Internet A Través de un Túnel de Mobile VPN with SSL. - Para enrutar solo tráfico desde el cliente VPN hasta sus redes privadas a través del túnel, desmarque la casilla de selección Forzar todo el tráfico de cliente a través del túnel.
Esta opción les brinda a sus usuarios mejores velocidades de red tan solo enrutando el tráfico hacia los recursos privados de red a través del Firebox. El resto del tráfico a Internet no pasa a través del túnel y no es restringido por las políticas en su Firebox.- Para permitir el acceso a todas las redes internas, seleccione Permitir el acceso a todas las redes de Confianza, Opcionales y Personalizadas.
- Para restringir el acceso del cliente de Mobile VPN with SSL solo a los dispositivos especificados en su red privada, seleccione Especificar recursos permitidos. Para especificar un recurso permitido, ingrese la dirección IP del recurso de red en notación diagonal y haga clic en Agregar.
- Para enrutar todo el tráfico del cliente VPN a su red privada y hacia Internet a través del túnel, seleccione Forzar todo el tráfico de cliente a través del túnel.
- Configurar las direcciones IP que el Firebox asigna a las conexiones clientes de Mobile VPN with SSL.
- Fireware v11.8.x y anterior — Puede establecer un puente de tráfico VPN a cualquier interfaz que no sea un puente de LAN.
- Fireware v11.9 y posterior — Puede establecer un puente de tráfico VPN solamente a un puente de LAN.
Tráfico de VPN enrutado
Para el grupo virtual de direcciones IP, mantenga la configuración predeterminada de 192.168.113.0/24 o ingrese un rango diferente. Ingrese la dirección IP de la subnet en notación diagonal. Las direcciones IP de esta subnet se asignan automáticamente a conexiones cliente de Mobile VPN with SSL. No puede asignar una dirección IP a un usuario específico.
Para evitar posibles conflictos de direcciones IP, le recomendamos que asigne direcciones IP virtuales que no sean parte de una red protegida por el Firebox, una red a la que se acceda a través de una ruta o BOVPN, asignada por DHCP a un dispositivo detrás del Firebox, o utilizada para grupos de direcciones de Mobile VPN with IPSec o Mobile VPN with SSL. Si FireCluster está habilitado, el grupo virtual de dirección IP no puede estar en la misma subred como una dirección IP de clúster principal.
Para un Firebox con Fireware v11.12.4 o anterior, asegúrese de asignar direcciones IP virtuales que no sean parte del grupo de direcciones Mobile VPN with PPTP.
Tráfico de VPN de puente
Desde la lista desplegable Puentear a interfaz, seleccione el nombre de la interfaz a la cual desea puentear. La elección de interfaces en donde puede establecer puentes de tráfico VPN depende de la versión de Fireware en el dispositivo:
Para obtener más información, consulte Antes de Empezar.
En los cuadros de texto Inicio y Finalización, ingrese las direcciones IP en el rango que desea asignar a las conexiones de cliente de Mobile VPN with SSL. Las direcciones IP de Inicio y de Finalización deben estar en la misma subred que la interfaz puenteada.
Para obtener más información acerca de las direcciones IP virtuales, consulte Direcciones IP Virtuales y Mobile VPN.
- En la sección Grupo de Direcciones IP y Red, desde la lista desplegable, seleccione el método que utiliza el Firebox para enviar tráfico a través del túnel VPN.
- Seleccione Puentear tráfico VPN para puentear el tráfico SSL VPN a una red que usted especifique. Cuando selecciona esta opción, no puede filtrar el tráfico entre los usuarios de VPN con SSL y la red a la que se conecta el tráfico de VPN con SSL.
- Seleccione Tráfico VPN enrutado para enrutar el tráfico VPN a redes y recursos especificados. Ésta es la opción predeterminada para todos los Firebox.
- Seleccione o destilde la casilla de selección Forzar todo el tráfico de cliente a través del túnel.
- Para enrutar todo el tráfico del cliente VPN a su red privada y hacia Internet a través del túnel, seleccione Forzar todo el tráfico de cliente a través del túnel.
Esta opción envía todo el tráfico externo a través de las políticas del Firebox que usted crea y ofrece una seguridad constante a los usuarios móviles. Sin embargo, dado que requiere mayor capacidad de procesamiento en el Firebox, el acceso a los recursos de Internet puede ser muy lento para el usuario móvil.
Para obtener información sobre cómo permitir que los clientes accedan a Internet cuando esta opción está seleccionada, consulte Opciones de Acceso a Internet A Través de un Túnel de Mobile VPN with SSL. - Para enrutar solo tráfico desde el cliente VPN hasta sus redes privadas a través del túnel, desmarque la casilla de selección Forzar todo el tráfico de cliente a través del túnel.
Esta opción envía todo el tráfico externo a través de las políticas del Firebox que usted crea y ofrece una seguridad constante a los usuarios móviles. Sin embargo, dado que requiere mayor capacidad de procesamiento en el Firebox, el acceso a los recursos de Internet puede ser muy lento para el usuario móvil.- Para permitir el acceso a todas las redes internas, seleccione Permitir el acceso a todas las redes de Confianza, Opcionales y Personalizadas.
- Para restringir el acceso del cliente de Mobile VPN with SSL solo a los dispositivos especificados en su red privada, seleccione Especificar recursos permitidos. Para especificar un recurso permitido, ingrese la dirección IP del recurso de red en notación diagonal y haga clic en Agregar.
- Para enrutar todo el tráfico del cliente VPN a su red privada y hacia Internet a través del túnel, seleccione Forzar todo el tráfico de cliente a través del túnel.
- Configurar las direcciones IP que el Firebox asigna a las conexiones clientes de Mobile VPN with SSL. Si FireCluster está habilitado, el grupo virtual de dirección IP no puede estar en la misma subred como una dirección IP de clúster principal.
- En Fireware XTM v11.8.x y anterior, puede establecer un puente sobre tráfico VPN hacia cualquier interfaz que no sea un puente de LAN.
- En Fireware v11.9 y posterior, puede establecer un puente sobre tráfico VPN solamente para un puente de LAN.
Tráfico de VPN enrutado
Para el grupo virtual de direcciones IP, mantenga la configuración predeterminada de 192.168.113.0/24 o ingrese un rango diferente.
Para evitar posibles conflictos de direcciones IP, le recomendamos que asigne direcciones IP virtuales que no sean parte de una red protegida por el Firebox, una red a la que se acceda a través de una ruta o BOVPN, asignada por DHCP a un dispositivo detrás del Firebox, o utilizada para grupos de direcciones de Mobile VPN with IPSec o Mobile VPN with SSL. Si FireCluster está habilitado, el grupo virtual de dirección IP no puede estar en la misma subred como una dirección IP de clúster principal.
Para un Firebox con Fireware v11.12.4 o anterior, asegúrese de asignar direcciones IP virtuales que no sean parte del grupo de direcciones Mobile VPN with PPTP.
Tráfico de VPN de puente
Desde la lista desplegable Puentear a interfaz, seleccione el nombre de la interfaz a la cual desea puentear. La elección de interfaces en donde puede establecer puentes de tráfico VPN depende de la versión de Fireware que utiliza el dispositivo.
Para obtener más información, consulte Antes de Empezar.
En los cuadros de texto Inicio y Finalización, ingrese la primera y la última dirección IP en el rango que desea asignar a las conexiones de cliente de Mobile VPN with SSL. Cuando une el tráfico VPN a un puente LAN, las direcciones IP Inicio y Finalización deben estar en la misma subred que la interfaz unida.
Para obtener más información acerca de las direcciones IP virtuales, consulte Direcciones IP Virtuales y Mobile VPN.
Configurar los Ajustes de Autenticación
Luego debe definir las configuraciones de autenticación. Puede seleccionar uno o más servidores de autenticación configurados para utilizar. El servidor en la parte superior de la lista es el servidor predeterminado. El servidor predeterminado se utiliza para la autenticación si el usuario no especifica el servidor de autenticación o dominio en el cliente de Mobile VPN with SSL.
Asegúrese de crear un grupo en el servidor que tenga el mismo nombre que se añadió al asistente para el grupo Mobile VPN. Si utiliza el Active Directory como su servidor de autenticación, los usuarios deben pertenecer a un grupo de seguridad de Active Directory con el mismo nombre que el nombre de grupo que configura en Mobile VPN with SSL. Para obtener más información, consulte Configurar el Servidor de Autenticación Externa.
Seleccionar Servidores de Autenticación
En Fireware v12.1 y v12.1.1, los ajustes de servidor de autenticación compartidos por el Access Portal y Mobile VPN por SSL aparecen en una página llamada Portal VPN. En Fireware v12.2, los ajustes del Portal VPN se movieron a las configuraciones del Access Portal y Mobile VPN with SSL. Para obtener instrucciones de configuración de Mobile VPN with SSL que se aplican a Fireware v12.1 y 12.1.1, consulte Configurar los ajustes del Portal VPN en Fireware v12.1–v12.1.1 en la Base de Consulta de WatchGuard.
Desde la página Mobile VPN with SSL:
- Seleccione la pestaña Autenticación.
- En la lista desplegable, seleccione cada servidor de autenticación que desee utilizar para la autenticación de usuario de Mobile VPN with SSL. Puede seleccionar cualquier servidor de autenticación habilitado: la base de datos interna del Firebox (Firebox-DB), o un RADIUS, SecurID, LDAP o un dominio de servidor de Active Directory.
Solo se enumeran dominios y servidores de métodos de autenticación habilitados. Para obtener información acerca de los métodos de autenticación admitidos, consulte Tipos de Servidores de Autenticación.
- Haga clic en Agregar.
- Repita los pasos 2 y 3 para agregar más servidores de autenticación.
- Si agrega varios servidores de autenticación, seleccione el servidor que desea que sea el servidor predeterminado. Haga clic en Mover Arriba para mover ese servidor al principio de la lista.
Si un usuario no especifica el servidor de autenticación en el cuadro de texto Nombre de usuario cuando utiliza el cliente de Mobile VPN with SSL para la autenticación, Mobile VPN with SSL utiliza el servidor de autenticación predeterminado. - Marque la casilla de selección Reconexión automática después de perder la conexión si desea que el cliente Mobile VPN with SSL pueda reconectarse automáticamente. Si habilita esta opción, el usuario móvil puede marcar una casilla de selección en el cliente de Mobile VPN with SSL para controlar si el cliente se reconecta automáticamente. También debe habilitar esta opción si quiere que el cliente use de forma automática la dirección IP secundaria cuando no puede conectarse a la dirección IP primaria.
- Para solicitar a los usuarios que se autentiquen después de desconectar una conexión de Mobile VPN with SSL, seleccione la casilla de selección Forzar a los usuarios a autenticarse después de que se pierda una conexión. Recomendamos que marque esta casilla de selección si usa un método de autenticación de dos factores con contraseña de un solo uso, como RADIUS, SecurID o VASCO. Si no obliga a los usuarios a autenticarse después de perder la conexión, el intento de conexión automática puede fallar. El motivo de esto es que el cliente Mobile VPN with SSL intenta usar la contraseña de un solo uso que se ingresó originalmente, la cual ya no es correcta, para reconectarse automáticamente después de haber perdido la conexión.
- Marque la casilla de selección Permitir que el cliente Mobile VPN with SSL recuerde la contraseña, si desea que el cliente de Mobile VPN with SSL sea capaz de recordar la contraseña. Si habilita esta opción, el usuario móvil puede marcar una casilla de selección en el cliente de Mobile VPN with SSL para controlar si el cliente recuerda la contraseña.
- Haga clic en Guardar.
Si configura Mobile VPN with SSL para usar más de un servidor de autenticación, los usuarios que no usan el servidor de autenticación predeterminado deben especificar el servidor de autenticación o dominio como parte del nombre de usuario. Para obtener información y ejemplos, consulte Instalar y Conectar el Cliente de Mobile VPN with SSL.
Desde el cuadro de diálogo Configuración de Mobile VPN with SSL:
- Seleccione la pestaña Autenticación.
- Para agregar un nuevo servidor de autenticación, haga clic en Configurar.
Para obtener información acerca de los métodos de autenticación admitidos, consulte Tipos de Servidores de Autenticación. - Para seleccionar un servidor de autenticación que ya está configurado en su Firebox, marque la casilla de selección junto al nombre del servidor.
- Si agrega varios servidores de autenticación, seleccione qué servidor es el servidor predeterminado. Haga clic en Arriba para mover ese servidor al principio de la lista.
Si un usuario no especifica el servidor de autenticación en el cuadro de texto Nombre de usuario cuando utiliza el cliente de Mobile VPN with SSL para la autenticación, Mobile VPN with SSL utiliza el servidor de autenticación predeterminado. - Marque la casilla de selección Reconexión automática después de perder la conexión si desea que el cliente Mobile VPN with SSL pueda reconectarse automáticamente.
Si habilita esta opción, el usuario móvil puede marcar una casilla de selección en el cliente de Mobile VPN with SSL para controlar si el cliente se reconecta automáticamente. También debe habilitar esta opción si quiere que el cliente use, de forma automática, las direcciones IP de respaldo cuando no puede conectarse a la dirección IP principal. - Para solicitar a los usuarios que se autentiquen después de desconectar una conexión de Mobile VPN with SSL, seleccione la casilla de selección Forzar a los usuarios a autenticarse después de que se pierda una conexión.
Recomendamos que marque esta casilla de selección si usa un método de autenticación de dos factores con contraseña de un solo uso, como RADIUS, SecurID o VASCO. Si no obliga a los usuarios a autenticarse después de perder la conexión, el intento de conexión automática puede fallar. El motivo de esto es que el cliente Mobile VPN with SSL intenta usar la contraseña de un solo uso que se ingresó originalmente, la cual ya no es correcta, para reconectarse automáticamente después de haber perdido la conexión. - Marque la casilla de selección Permitir que el cliente Mobile VPN with SSL recuerde la contraseña, si desea que el cliente de Mobile VPN with SSL sea capaz de recordar la contraseña. Si habilita esta opción, el usuario móvil puede marcar una casilla de selección en el cliente de Mobile VPN with SSL para controlar si el cliente recuerda la contraseña.
Si configura Mobile VPN with SSL para usar más de un servidor de autenticación, los usuarios que no usan el servidor de autenticación predeterminado deben especificar el servidor de autenticación o dominio como parte del nombre de usuario. Para obtener información y ejemplos, consulte Instalar y Conectar el Cliente de Mobile VPN with SSL.
Agregar Usuarios y Grupos
Puede utilizar el grupo predeterminado Usuarios-SSLVPN para la autenticación, o puede agregar los nombres de los usuarios y de los grupos que existen en su servidor de autenticación.
El grupo Usuarios-SSLVPN se agrega de forma predeterminada. Puede agregar los nombres de otros grupos y usuarios que utilicen Mobile VPN with SSL. Para cada grupo o usuario, puede seleccionar un servidor de autenticación específico donde existe el grupo, o seleccionar Cualquiera si ese grupo existe en más de un servidor de autenticación. El nombre de grupo o usuario que agregue debe existir en el servidor de autenticación. Los nombres de grupo y usuario distinguen entre mayúsculas y minúsculas, y deben coincidir exactamente con el nombre en su servidor de autenticación.
- En la pestaña Autenticación, debajo de la lista de usuarios y grupos, haga clic en Agregar.
Aparece el cuadro de diálogo Agregar Usuario o Grupo.
- Seleccione Grupo o Usuario para agregar un grupo o usuario.
- En el cuadro de texto Nombre, ingrese el nombre del grupo o usuario en el cuadro de texto adyacente. El nombre debe ser igual que el nombre de un grupo o de un usuario en su servidor de autenticación.
- Desde la lista desplegable de Servidor de Autenticación, seleccione el servidor de autenticación donde exista el grupo o el usuario.
O bien, seleccione Todos si el grupo se puede utilizar con todos los servidores de autenticación seleccionados. - Haga clic en Aceptar.
El usuario o el grupo se agregan a la lista de Usuarios y Grupos. - Haga clic en Guardar para guardar las configuraciones.
- En la pestaña Autenticación, seleccione Grupo o Usuario para agregar un grupo o usuario.
- En el cuadro de texto Nombre, ingrese el nombre del grupo o usuario en el cuadro de texto adyacente. El nombre debe ser igual que el nombre de un grupo o de un usuario en su servidor de autenticación.
- Desde la lista desplegable de Servidor de Autenticación, seleccione el servidor de autenticación donde exista el grupo o el usuario.
O bien, seleccione Todos si el grupo se puede utilizar con todos los servidores de autenticación seleccionados. - Haga clic en Agregar.
El usuario o el grupo se agregan a la lista de Usuarios y Grupos. - Haga clic en Aceptar para guardar las configuraciones.
- Seleccione el grupo o usuario en la lista.
- Haga clic en Eliminar.
La Política Permitir Usuarios-SSLVPN y los Grupos y Usuarios de Mobile VPN with SSL
Cuando guarda la configuración Mobile VPN with SSL, la política Permitir Usuarios-SSLVPN se crea o actualiza para aplicarse a los grupos y usuarios que configuró para la autenticación. Los nombres de grupo y de usuario que agregó no aparecen en la lista Desde en la política Permitir Usuarios-SSLVPN. En cambio, aparece el nombre de grupo único Usuarios-SSLVPN. Los nombres de grupo y usuario que agregó no aparecen en la lista De. Sin embargo, esta política se aplica a todos los usuarios y grupos que configuró en laos ajustes de autenticación de Mobile VPN with SSL.
Si deshabilita Mobile VPN with SSL, la política Permitir Usuarios-SSLVPN y el grupo Usuarios-SSLVPN se eliminan automáticamente.
Realizar Configuraciones Avanzadas para Mobile VPN with SSL
Puede establecer estas configuraciones en la página Avanzado:
- Autenticación y cifrado
- Puertos
- Temporizadores
- DNS y WINS
La configuración de autenticación y cifrado cambió a valores predeterminados más fuertes en Fireware v12.0. Las configuraciones para Blowfish, MD5 y DES fueron eliminadas. Para obtener más información sobre estos ajustes en Fireware v11.12.4 y anterior, consulte Ayuda de Fireware v11.
- Seleccione VPN > Mobile VPN with SSL.
Se abre la página Configuración de Mobile VPN with SSL. - Seleccione la pestaña Avanzada.
- Configure los ajustes de autenticación, encryption (cifrado), puerto y tiempo de espera:
Autenticación
Seleccione un método de autenticación para la conexión: SHA-1, SHA-256 o SHA-512. Recomendamos las variantes SHA-2, SHA-256 y SHA-512, que son más fuertes que SHA-1.
Cifrado
Seleccione un algoritmo para cifrar el tráfico: 3DES, AES (128 bits), AES (192 bits) o AES (256 bits). En Fireware v12.2 o posterior, también puede seleccionar AES-GCM (128 bits), AES-GCM (192 bits) o AES-GCM (256 bits). Recomendamos el cifrado AES. Para un mejor rendimiento, elija una variante AES de 128 bits. Para el encryption (cifrado) más fuerte, elija una variante AES de 256 bits.
Si selecciona 3DES, tenga en cuenta un ataque de seguridad potencial, aunque poco probable. Para más información, consulte Vulnerabilidad de Sweet32 en la Base de Conocimiento de WatchGuard.
Canal de datos
Seleccione el protocolo y el puerto de Mobile VPN with SSL que se utilizan para enviar datos después de establecer una conexión de VPN. Puede utilizar el protocolo TCP o UDP. Luego, seleccione un puerto. El protocolo y puerto predeterminados para Mobile VPN with SSL es el puerto TCP 443. Éste es también el protocolo y puerto estándar para tráfico HTTPS. Puede usar el puerto 443 para Mobile VPN with SSL siempre que no use la misma dirección IP externa en una política HTTPS entrante.
Si cambia el canal de datos para usar un puerto distinto del 443, los usuarios deben ingresar manualmente este puerto en el cuadro de diálogo de la conexión de Mobile VPN with SSL. Por ejemplo, si cambia el canal de datos a 444 y la dirección IP del Firebox es 203.0.113.2, el usuario debe ingresar 203.0.113.2:444 en lugar de 203.0.113.2.
Si el puerto está configurado como puerto 443 predeterminado, el usuario debe ingresar solamente la dirección IP del Firebox. No es necesario ingresar :443 después de la dirección IP.
Para obtener más información, consulte Elegir un Puerto y Protocolo para Mobile VPN with SSL.
Mobile VPN with SSL no admite un canal de datos UDP para las conexiones VPN hacia una dirección IP de interfaz externa secundaria.
Canal de configuración
El Canal de Configuración especifica el canal donde los usuarios de Mobile VPN with SSL pueden descargar el software cliente SSL.
Seleccione el protocolo y puerto de Mobile VPN with SSL que se utilizan para negociar el canal de datos y para descargar archivos de configuración. Si configura el protocolo del canal de datos en TCP, el canal de configuración utiliza automáticamente el mismo puerto y protocolo. Si configura el protocolo del canal de datos en UDP, puede establecer el protocolo del canal de configuración en TCP o UDP, y puede utilizar un puerto diferente al canal de datos.
En Fireware v12.1 y v12.1.1, el Canal de Configuración aparece en los ajustes del Portal VPN y se denomina puerto del Portal VPN. Para obtener instrucciones de configuración que se aplican a Fireware v12.1 y v12.1.1, consulte Configurar los ajustes del Portal VPN en Fireware v12.1–v12.1.1 en la Base de Consulta de WatchGuard.
Intervalo Keep-alive
Defina la frecuencia con la que el Firebox envía tráfico a través del túnel para mantener la actividad del túnel cuando no se envía otro tráfico a través del mismo.
Tiempo de espera de Keep-alive
Defina durante cuánto tiempo el Firebox espera una respuesta. Si no hay respuesta antes del valor de tiempo de espera, el túnel se cierra y el cliente debe volver a conectarse.
Renegociar el canal de datos
Si una conexión Mobile VPN with SSL ha estado habilitada por el tiempo especificado en el cuadro de texto Renegociar canal de datos, el cliente Mobile VPN with SSL debe crear un nuevo túnel. El valor mínimo es de 60 minutos.
- Configure los ajustes de DNS:
En Fireware v12.2.1 o posterior, puede seleccionar asignar o no la ajustes de DNS/WINS de Red (global) a los clientes de Mobile VPN with SSL.
Asignar a los clientes móviles los ajustes de DNS/WINS de red
Si selecciona esta opción, los clientes móviles recibirán los ajustes de DNS y WINS que usted especifique en Red > Interfaces > DNS/WINS. Por ejemplo, si especifica el servidor DNS 10.0.2.53 en los ajustes de DNS/WINS de Red, los clientes de mobile VPN usan 10.0.2.53 como un servidor DNS.
De forma predeterminada, el ajuste Asignar a los clientes móviles los ajustes del Servidor DNS/WINS de Red se selecciona para las nuevas configuraciones de mobile VPN.
No asignar a los clientes móviles los ajustes de DNS o WINS
Si selecciona esta opción, los clientes no reciben los ajustes de DNS o WINS de Firebox.
Si su configuración de Mobile VPN with SSL no especifica los ajustes de DNS, cuando actualice a Fireware v12.2.1, se seleccionará la opción No asignar a los clientes móviles los ajustes de DNS o WINS.
Asignar estos ajustes a clientes móviles
Si selecciona esta opción, los clientes móviles recibirán los ajustes del nombre de dominio, el servidor DNS y el servidor WINS que usted especifique en esta sección. Por ejemplo, si especifica ejemplo.com como nombre de dominio y 10.0.2.53 como servidor DNS, los clientes móviles usan ejemplo.com para nombres de dominio no calificados y 10.0.2.53 como el servidor DNS.
Puede especificar un nombre de dominio, hasta dos direcciones IP de servidor DNS y hasta dos direcciones IP de servidor WINS.
Para obtener más información sobre los ajustes del servidor DNS y WINS para usuarios de Mobile VPN with IPSec, consulte Configurar el DNS y los Servidores WINS para Mobile VPN with IPSec.
Para obtener más información acerca de DNS y WINS, consulte Determinación del Nombre para Mobile VPN with SSL.
En Fireware v12.2 o anterior, puede especificar los ajustes de un nombre de dominio, un servidor DNS y un servidor WINS, pero no puede seleccionar asignar o no los ajustes de DNS/WINS de Red (global) a clientes de Mobile VPN with SSL.
- Seleccione VPN > Mobile VPN > SSL.
Aparece el cuadro de diálogo Configuración de Mobile VPN with SSL.
- Seleccione la pestaña Avanzada.
- Configure los ajustes de autenticación, encryption (cifrado), puerto y tiempo de espera:
Autenticación
Seleccione un método de autenticación para la conexión: SHA-1, SHA-256 y SHA-512. Recomendamos las variantes SHA-2, SHA-256 y SHA-512, que son más fuertes que SHA-1.
Cifrado
Seleccione un algoritmo para cifrar el tráfico: 3DES, AES (128 bits), AES (192 bits) o AES (256 bits). En Fireware v12.2 o posterior, también puede seleccionar AES-GCM (128 bits), AES-GCM (192 bits) o AES-GCM (256 bits). Recomendamos el cifrado AES. Para un mejor rendimiento, elija una variante AES de 128 bits. Para el encryption (cifrado) más fuerte, elija una variante AES de 256 bits.
Si selecciona 3DES, tenga en cuenta un ataque de seguridad potencial, aunque poco probable. Para más información, consulte Vulnerabilidad de Sweet32 en la Base de Conocimiento de WatchGuard.
Canal de datos
Seleccione el protocolo y el puerto de Mobile VPN with SSL que se utilizan para enviar datos después de establecer una conexión de VPN. Puede utilizar el protocolo TCP o UDP. Luego, seleccione un puerto. El protocolo y puerto predeterminados para Mobile VPN with SSL es el puerto TCP 443. Éste es también el protocolo y puerto estándar para tráfico HTTPS. Puede usar el puerto 443 para Mobile VPN with SSL siempre que no use la misma dirección IP externa en una política HTTPS entrante.
Si cambia el canal de datos para usar un puerto distinto del 443, los usuarios deben ingresar manualmente este puerto en el cuadro de diálogo de la conexión de Mobile VPN with SSL. Por ejemplo, si cambia el canal de datos a 444 y la dirección IP del Firebox es 203.0.113.2, el usuario debe ingresar 203.0.113.2:444 en lugar de 203.0.113.2.
Si el puerto está configurado como puerto 443 predeterminado, el usuario debe ingresar solamente la dirección IP del Firebox. No es necesario ingresar :443 después de la dirección IP.
Para obtener más información, consulte Elegir un Puerto y Protocolo para Mobile VPN with SSL.
Mobile VPN with SSL no admite un canal de datos UDP para las conexiones VPN hacia una dirección IP de interfaz externa secundaria.
Canal de configuración
El Canal de Configuración especifica el canal donde los usuarios de Mobile VPN with SSL pueden descargar el software cliente SSL.
Seleccione el protocolo y puerto de Mobile VPN with SSL que se utilizan para negociar el canal de datos y para descargar archivos de configuración. Si configura el protocolo del canal de datos en TCP, el canal de configuración utiliza automáticamente el mismo puerto y protocolo. Si configura el protocolo del canal de datos en UDP, puede establecer el protocolo del canal de configuración en TCP o UDP, y puede utilizar un puerto diferente al canal de datos.
En Fireware v12.1 y v12.1.1, el Canal de Configuración aparece en los ajustes del Portal VPN y se denomina puerto del Portal VPN. Para obtener instrucciones de configuración que se aplican a Fireware v12.1 y v12.1.1, consulte Configurar los ajustes del Portal VPN en Fireware v12.1–v12.1.1 en la Base de Consulta de WatchGuard.
Intervalo Keep-alive
Defina la frecuencia con la que el Firebox envía tráfico a través del túnel para mantener la actividad del túnel cuando no se envía otro tráfico a través del mismo.
Tiempo de espera Keep-alive
Defina durante cuánto tiempo el Firebox espera una respuesta. Si no hay respuesta antes del valor de tiempo de espera, el túnel se cierra y el cliente debe volver a conectarse.
Renegociar el canal de datos
Si una conexión Mobile VPN with SSL ha estado habilitada por el tiempo especificado en el cuadro de texto Renegociar canal de datos, el cliente Mobile VPN with SSL debe crear un nuevo túnel. El valor mínimo es de 60 minutos.
Restablecer valores predeterminados
Haga clic para restablecer las configuraciones de la pestaña Avanzadas a los valores prestablecidos. Se elimina toda la información de servidor DNS y WINS de la pestaña Avanzadas.
- Configure los ajustes de DNS:
Asignar a los clientes móviles los ajustes de DNS/WINS de red
Si selecciona esta opción, los clientes móviles recibirán los ajustes de DNS y WINS que usted especifique en Red > Interfaces > DNS/WINS. Por ejemplo, si especifica el servidor DNS 10.0.2.53 en los ajustes de DNS/WINS de Red, los clientes de mobile VPN usan 10.0.2.53 como un servidor DNS.
De forma predeterminada, el ajuste Asignar a los clientes móviles los ajustes del Servidor DNS/WINS de Red se selecciona para las nuevas configuraciones de mobile VPN.
No asignar a los clientes móviles los ajustes de DNS o WINS
Si selecciona esta opción, los clientes no reciben los ajustes de DNS o WINS de Firebox.
Si su configuración de Mobile VPN with SSL no especifica los ajustes de DNS, cuando actualice a Fireware v12.2.1, se seleccionará la opción No asignar a los clientes móviles los ajustes de DNS o WINS.
Asignar estos ajustes a clientes móviles
Si selecciona esta opción, los clientes móviles recibirán los ajustes del nombre de dominio, el servidor DNS y el servidor WINS que usted especifique en esta sección. Por ejemplo, si especifica ejemplo.com como nombre de dominio y 10.0.2.53 como servidor DNS, los clientes móviles usan ejemplo.com para nombres de dominio no calificados y 10.0.2.53 como el servidor DNS.
Puede especificar un nombre de dominio, hasta dos direcciones IP de servidor DNS y hasta dos direcciones IP de servidor WINS.
Para obtener más información sobre los ajustes del servidor DNS y WINS para usuarios de Mobile VPN with IPSec, consulte Configurar el DNS y los Servidores WINS para Mobile VPN with IPSec.
Para obtener más información acerca de DNS y WINS, consulte Determinación del Nombre para Mobile VPN with SSL.
En Fireware v12.2 o anterior, puede especificar los ajustes de un nombre de dominio, un servidor DNS y un servidor WINS, pero no puede seleccionar asignar o no los ajustes de DNS/WINS de Red (global) a clientes de Mobile VPN with SSL.
Configurar Políticas para Controlar el Acceso de Clientes de Mobile VPN with SSL
Cuando habilita Mobile VPN with SSL, las políticas para conceder acceso al cliente Mobile VPN with SSL se crean automáticamente. Puede cambiar estas políticas para controlar el acceso al cliente Mobile VPN with SSL.
WatchGuard SSLVPN
Esta política de SSLVPN permite conexiones desde un cliente Mobile VPN with SSL hacia el Firebox. Esta política permite el tráfico desde cualquier host en las interfaces especificadas a cualquier dirección IP de interfaz primaria o secundaria configurada de su Firebox en el puerto TCP 443, el puerto y protocolo que Firebox utiliza para Mobile VPN with SSL.
Estas interfaces están incluidas en la política SSLVPN de WatchGuard de forma predeterminada:
- En Fireware v12.1 y posterior, la política de SSLVPN incluye solo la interfaz Cualquiera Externa de forma predeterminada.
- En Fireware v12.0.2 y versiones anteriores, la política SSLVPN WatchGuard incluye las interfaces Cualquiera Externa, Cualquiera Opcional y Cualquiera De Confianza de forma predeterminada.
Si desea que esta política permita conexiones desde el puerto TCP 443 sólo para una dirección IP específica de la interfaz, edite la sección Hasta de la política para eliminar el alias del Firebox y agregar la dirección IP externa que sus clientes Mobile VPN with SSL usan para conectarse.
En Fireware v12.1 y v12.1.1, la política SSLVPN de WatchGuard incluye el alias WG-VPN-Portal. Si actualiza de v12.1 o v12.1.1 a v12.2, el alias WG-VPN-Portal se elimina de la política SSLVPN de WatchGuard. Las interfaces que aparecían en el alias WG-VPN-Portal aparecen en la política WatchGuard SSLVPN, lo que significa que la política coincide con el mismo tráfico. Para obtener más información, consulte Cambios en la política SSLVPN de WatchGuard y en el alias WG-VPN-Portal en Fireware v12.1 y v12.1.1 en la Base de Consulta de WatchGuard.
En Fireware v12.1 o posterior, si elimina la política WatchGuard SSLVPN y crea una política personalizada con un nombre diferente, Mobile VPN with SSL no funciona si el protocolo del Canal de Datos está configurado para TCP.
Permitir Usuarios-SSLVPN
Esta política Cualquiera permite a los grupos y usuarios que configuró para la autenticación de SSL obtener acceso a recursos en su red. Esta política incluye automáticamente a todos los usuarios y grupos en su configuración de Mobile VPN with SSL. No tiene restricciones respecto del tráfico que permite desde clientes SSL a recursos de red protegidos por el Firebox.
Para restringir el tráfico del usuario de VPN por el puerto y el protocolo, puede deshabilitar o eliminar la política Permitir Usuarios-SSLVPN. Posteriormente, agregue nuevas políticas a su configuración o agregue el grupo con acceso a Mobile VPN with SSL a la sección Desde de sus políticas existentes.
De manera predeterminada, todo tráfico de Mobile VPN with SSL no es de confianza. Incluso si asigna las direcciones IP de los usuarios Mobile VPN with SSL en la misma subred que una red de confianza, el tráfico desde el usuario Mobile VPN with SSL no se considera de confianza. Independientemente de la dirección IP asignada, se deben crear políticas para permitir el acceso de los usuarios de Mobile VPN with SSL a los recursos de red.
Autenticación de WatchGuard
En Fireware v11.11.4 y anterior, esta política WG-Auth permite a los usuarios autenticarse con el Firebox en el puerto 4100 para descargar el software cliente Mobile VPN with SSL. Si la política de Autenticación de WatchGuard no se encuentra incluida en la configuración de su Firebox, esta se crea de forma automática cuando habilita Mobile VPN with SSL. La política de Autenticación de WatchGuard debe permitir el tráfico desde Cualquiera-Externa hasta el Firebox, para permitir que los usuarios se conecten al Firebox desde una red externa.
Para obtener más información sobre este informe, vea Acerca de la Política de Autenticación de WatchGuard (WG-Autoriz).
En Fireware v11.12 y posterior, esta política no se crea automáticamente cuando usted habilita Mobile VPN with SSL. Los usuarios se autentican con Firebox en el puerto 443, o en un puerto personalizado que usted especifique, para descargar el software cliente Mobile VPN with SSL.
Después de actualizar su Firebox a Fireware OS v11.12, si su archivo de configuración incluye una política de Autenticación WatchGuard, el alias Cualquiera-Externa se elimina automáticamente. Si actualiza con Policy Manager, para asegurarse de que el alias no se vuelva a agregar automáticamente a la configuración cuando guarde la configuración en su Firebox, debe volver a cargar manualmente la configuración desde el Firebox después de que se complete la actualización. El alias Cualquiera-Externa se elimina automáticamente de la política de Autenticación WatchGuard, ya sea que haya agregado manualmente el alias o que Mobile VPN with SSL esté habilitado.
Permitir a los Usuarios de Mobile VPN with SSL el Acceso a una Red de Confianza
En este ejemplo, se agrega la política Cualquiera para permitir que los miembros del grupo Usuarios de SSLVPN tengan acceso total a los recursos en todas las redes de confianza.
- Seleccione Firewall > Políticas de Firewall.
Aparecerá la página Políticas. - Haga clic en Agregar Política.
- En la lista desplegable Filtros de Paquetes, seleccione Cualquiera.
- En el cuadro de texto Nombre, ingrese un nombre descriptivo para la política.
- Haga clic en Agregar Política.
- En la pestaña Configuraciones, en la sección Desde, seleccione Cualquiera-De Confianza y haga clic en Eliminar.
- En la sección Desde, haga clic en Agregar.
Aparece el cuadro de diálogo Agregar miembro. - Desde la lista desplegable Tipo de miembro, seleccione Grupo SSLVPN.
- Seleccione Usuarios-SSLVPN.
- Para cerrar el cuadro de diálogo Agregar Miembro, haga clic en Aceptar.
- En la sección Hacia, seleccione Cualquiera-Externa. Haga clic en Eliminar.
- En la sección Hacia, haga clic en Agregar.
Aparece el cuadro de diálogo Agregar miembro. - De la lista de miembros, seleccione Cualquiera-De Confianza.
- Haga clic en Aceptar.
- Haga clic en Guardar.
- Haga clic en
O seleccione Editar > Agregar Políticas.
Aparece el cuadro de diálogo Agregar Políticas. - Expanda la carpeta Filtrado de paquetes.
Aparece una lista de plantillas para filtros de paquetes. - Seleccionar Cualquiera.
- Haga clic en Agregar.
Se abre el cuadro de diálogo Nuevas Propiedades de Políticas. - En el cuadro de texto Nombre, ingrese un nombre descriptivo para la política.
- En la pestaña Política, en la sección Desde, seleccione Cualquiera-De-Confianza. Haga clic en Eliminar.
- En la sección Desde, haga clic en Agregar.
Aparece el cuadro de diálogo Agregar dirección. - Haga clic en Agregar Usuario.
- De las dos listas desplegables Tipo, seleccione SSLVPN para el primero y Grupo para el segundo.
- Seleccione Usuarios-SSLVPN y haga clic en Seleccionar.
Después de Usuarios-SSLVPN se encuentra el nombre del método de autenticación entre paréntesis. - Para cerrar el cuadro de diálogo Agregar Dirección, haga clic en Aceptar.
- En la sección Hacia, seleccione Cualquiera externa y haga clic en Eliminar.
- En la sección Hacia, haga clic en Agregar.
Aparece el cuadro de diálogo Agregar dirección. - De la lista Miembros Disponibles, seleccione Cualquiera-De Confianza y haga clic en Agregar.
- Haga clic en Aceptar dos veces. Haga clic en Cerrar.
- Guarde los cambios al Firebox.
Para obtener más información acerca de las políticas, consulte Agregar Políticas a su Configuración.
Usar Otros Grupos o Usuarios en una Política de Mobile VPN with SSL
Para establecer una conexión con Mobile VPN with SSL, los usuarios deben ser miembros del grupo Usuarios-SSLVPN o de cualquier grupo que haya agregado a la configuración de Mobile VPN with SSL. Puede usar políticas con otros grupos para restringir acceso a recursos después de que el usuario se conecta. Si agregó grupos de un servidor de autenticación de terceros en su configuración de Mobile VPN with SSL y desea utilizar esos nombres de grupos en políticas para restringir el acceso, debe además agregar esos grupos a la lista Usuarios y Grupos en la configuración del Firebox.
- Seleccione Autenticación > Usuarios y Grupos.
- Agregue usuarios y grupos como se describe en Usar los Usuarios y Grupos en las Políticas.
Después de agregar usuarios o grupos desde la configuración de Mobile VPN with SSL a la lista Usuarios y Grupos, puede editar la política Permitir Usuarios SSLVPN generada automáticamente para aplicarla a un grupo o usuario específicos.
En este ejemplo, modificamos la política Permitir Usuarios SSLVPN para que se aplique solo al grupo de usuarios LDAP-Users1:
- Seleccione Autenticación > Usuarios y Grupos.
- Agregue el grupo Usuarios de LDAP 1 que agregó a la configuración de Mobile VPN with SSL.
Asegúrese de establecer el Auth Server a LDAP. - Edite la política Permitir Usuarios-SSLVPN.
- En la sección Desde, elimine el grupo Usuarios-SSLVPN.
- En la sección Desde, haga clic en Agregar.
Aparece el cuadro de diálogo Agregar miembro. - En la lista desplegable Tipo de Miembro, seleccione Grupo de SSLVPN.
Aparece una lista de grupos. - Seleccione el grupo LDAP-Users1. Haga clic en Aceptar.
El grupo LDAP-Users1 aparece en la lista Desde. - Haga clic en Aceptar.
La política Permitir Usuarios-SSLVPN ahora se aplica únicamente al grupo LDAP-Users1.
- Seleccione Configuración > Autenticación > Usuarios y Grupos.
- Agregue usuarios y grupos, como se describe en Usar los Usuarios y Grupos en las Políticas.
Después de agregar usuarios o grupos desde la configuración de Mobile VPN with SSL a la lista Usuarios y Grupos, puede editar la política Permitir Usuarios SSLVPN generada automáticamente para aplicarla a un grupo o usuario específicos.
En este ejemplo, modificamos la política Permitir Usuarios SSLVPN para que se aplique solo al grupo de usuarios LDAP-Users1:
- Seleccione Configuración > Autenticación > Usuarios y Grupos.
- Agregue el grupo Usuarios de LDAP 1 que agregó a la configuración de Mobile VPN with SSL.
Asegúrese de establecer el Auth Server a LDAP. - Edite la política Permitir Usuarios-SSLVPN.
- En la sección Desde, elimine el grupo Usuarios-SSLVPN.
- En la sección Desde, haga clic en Agregar.
Aparece el cuadro de diálogo Agregar dirección. - Seleccione Agregar otro.
Aparece el cuadro de diálogo Agregar miembro.
- En la lista desplegable Elegir tipo, seleccione Dirección personalizada.
- En la lista desplegable Usuario/Grupo, seleccione el grupo LDAP-Users1. Haga clic en Aceptar.
El grupo LDAP-Users1 aparece en la lista Miembros y Direcciones Seleccionados. - Haga clic en Aceptar.
La política Permitir Usuarios-SSLVPN ahora se aplica únicamente al grupo LDAP-Users1.
Ver también
Instalar y Conectar el Cliente de Mobile VPN with SSL
Desinstale el Cliente de Mobile VPN with SSL.
Tutorial en video — Mobile VPN with SSL