Configurar el Firebox para Mobile VPN with SSL

1. Seleccione VPN > Mobile VPN with SSL.
   Se abre la página Configuración de Mobile VPN with SSL.

2. Seleccione la casilla de selección Habilitar Mobile VPN with SSL.
3. En el cuadro de texto Principal, ingrese una dirección IP pública o nombre de dominio.
   Esta es la dirección IP o el nombre de dominio a los que se conectan los clientes de Mobile VPN with SSL de forma predeterminada. Ésta puede ser una dirección IP externa, una dirección IP externa secundaria o una VLAN externa. Para un dispositivo en el modo directo, utilice la dirección IP asignada a todas las interfaces.
4. Si su Firebox tiene más de una dirección externa, en el cuadro de texto Secundaria, ingrese una dirección IP pública diferente.
   Esta es la dirección IP a la que el cliente de Mobile VPN with SSL se conecta cuando no puede establecer una conexión con la dirección IP principal. Si agrega una dirección IP secundaria, asegúrese de que sea una dirección IP asignada a una interfaz externa de Firebox o VLAN. Si quiere que el cliente Mobile VPN with SSL use una dirección IP secundaria, también debe seleccionar la casilla de selección Reconexión automática después de perder la conexión en los ajustes de Autenticación, tal como se describe en la sección siguiente.

1. Seleccione VPN > Mobile VPN > SSL.
   Aparece el cuadro de diálogo Configuración de Mobile VPN with SSL.

2. Seleccione la casilla de selección Habilitar Mobile VPN with SSL.
3. En el cuadro de texto Principal, ingrese o seleccione una dirección IP pública o nombre de dominio.
   Esta es la dirección IP o el nombre de dominio a los que se conectan los clientes de Mobile VPN with SSL de forma predeterminada. Ésta puede ser una dirección IP externa, una dirección IP externa secundaria o una VLAN externa. Para un dispositivo en el modo directo, utilice la dirección IP asignada a todas las interfaces.
4. Si su Firebox tiene más de una dirección externa, en el cuadro de texto Respaldo, ingrese o seleccione una dirección IP pública diferente.
   Esta es la dirección IP a la que el cliente de Mobile VPN with SSL se conecta cuando no puede establecer una conexión con la dirección IP principal. Si agrega una dirección IP de respaldo, asegúrese de que sea una dirección IP asignada a una interfaz externa de Firebox o VLAN. Si quiere que el cliente Mobile VPN with SSL use una dirección IP de respaldo, también debe seleccionar la casilla de selección Reconexión automática después de perder la conexión en los ajustes de Autenticación.

1. En la sección Grupo de direcciones IP y red, desde la lista desplegable, seleccione el método que utiliza el Firebox para enviar tráfico a través del túnel VPN:
   • Seleccione Puentear tráfico VPN para puentear el tráfico SSL VPN a una red que usted especifique. Cuando selecciona esta opción, no puede filtrar el tráfico entre los usuarios de VPN con SSL y la red a la que se conecta el tráfico de VPN con SSL.
   • Seleccione Tráfico VPN enrutado para enrutar el tráfico VPN a redes y recursos especificados. Ésta es la opción predeterminada para todos los Firebox.

2. Seleccione o destilde la casilla de selección Forzar todo el tráfico de cliente a través del túnel.
   • Para enrutar todo el tráfico del cliente VPN a su red privada y hacia Internet a través del túnel, seleccione Forzar todo el tráfico de cliente a través del túnel.
     Esta opción envía todo el tráfico externo a través de las políticas del Firebox que usted crea y ofrece una seguridad constante a los usuarios móviles. Sin embargo, dado que requiere mayor capacidad de procesamiento en el Firebox, el acceso a los recursos de Internet puede ser muy lento para el usuario móvil.
     Para obtener información sobre cómo permitir que los clientes accedan a Internet cuando esta opción está seleccionada, consulte Opciones de Acceso a Internet A Través de un Túnel de Mobile VPN with SSL.
   • Para enrutar solo tráfico desde el cliente VPN hasta sus redes privadas a través del túnel, desmarque la casilla de selección Forzar todo el tráfico de cliente a través del túnel.
     Esta opción les brinda a sus usuarios mejores velocidades de red tan solo enrutando el tráfico hacia los recursos privados de red a través del Firebox. El resto del tráfico a Internet no pasa a través del túnel y no es restringido por las políticas en su Firebox.
     1. Para permitir el acceso a todas las redes internas, seleccione Permitir el acceso a todas las redes de Confianza, Opcionales y Personalizadas.
     2. Para restringir el acceso del cliente de Mobile VPN with SSL solo a los dispositivos especificados en su red privada, seleccione Especificar recursos permitidos. Para especificar un recurso permitido, ingrese la dirección IP del recurso de red en notación diagonal y haga clic en Agregar.
3. Configurar las direcciones IP que el Firebox asigna a las conexiones clientes de Mobile VPN with SSL.

Tráfico de VPN enrutado

Para el grupo virtual de direcciones IP, mantenga la configuración predeterminada de 192.168.113.0/24 o ingrese un rango diferente. Ingrese la dirección IP de la subnet en notación diagonal. Las direcciones IP de esta subnet se asignan automáticamente a conexiones cliente de Mobile VPN with SSL. No puede asignar una dirección IP a un usuario específico.

Para evitar posibles conflictos de direcciones IP, le recomendamos que asigne direcciones IP virtuales que no sean parte de una red protegida por el Firebox, una red a la que se acceda a través de una ruta o BOVPN, asignada por DHCP a un dispositivo detrás del Firebox, o utilizada para grupos de direcciones de Mobile VPN with IPSec o Mobile VPN with SSL. Si FireCluster está habilitado, el grupo virtual de dirección IP no puede estar en la misma subred como una dirección IP de clúster principal.

Para un Firebox con Fireware v11.12.4 o anterior, asegúrese de asignar direcciones IP virtuales que no sean parte del grupo de direcciones Mobile VPN with PPTP.

Tráfico de VPN de puente

Desde la lista desplegable Puentear a interfaz, seleccione el nombre de la interfaz a la cual desea puentear. La elección de interfaces en donde puede establecer puentes de tráfico VPN depende de la versión de Fireware en el dispositivo:

• Fireware v11.8.x y anterior — Puede establecer un puente de tráfico VPN a cualquier interfaz que no sea un puente de LAN.
• Fireware v11.9 y posterior — Puede establecer un puente de tráfico VPN solamente a un puente de LAN.

Para obtener más información, consulte Antes de Empezar.

En los cuadros de texto Inicio y Finalización, ingrese las direcciones IP en el rango que desea asignar a las conexiones de cliente de Mobile VPN with SSL. Las direcciones IP de Inicio y de Finalización deben estar en la misma subred que la interfaz puenteada.

Para obtener más información acerca de las direcciones IP virtuales, consulte Direcciones IP Virtuales y Mobile VPN.

1. En la sección Grupo de Direcciones IP y Red, desde la lista desplegable, seleccione el método que utiliza el Firebox para enviar tráfico a través del túnel VPN.
   • Seleccione Puentear tráfico VPN para puentear el tráfico SSL VPN a una red que usted especifique. Cuando selecciona esta opción, no puede filtrar el tráfico entre los usuarios de VPN con SSL y la red a la que se conecta el tráfico de VPN con SSL.
   • Seleccione Tráfico VPN enrutado para enrutar el tráfico VPN a redes y recursos especificados. Ésta es la opción predeterminada para todos los Firebox.

2. Seleccione o destilde la casilla de selección Forzar todo el tráfico de cliente a través del túnel.
   • Para enrutar todo el tráfico del cliente VPN a su red privada y hacia Internet a través del túnel, seleccione Forzar todo el tráfico de cliente a través del túnel.
     Esta opción envía todo el tráfico externo a través de las políticas del Firebox que usted crea y ofrece una seguridad constante a los usuarios móviles. Sin embargo, dado que requiere mayor capacidad de procesamiento en el Firebox, el acceso a los recursos de Internet puede ser muy lento para el usuario móvil.
     Para obtener información sobre cómo permitir que los clientes accedan a Internet cuando esta opción está seleccionada, consulte Opciones de Acceso a Internet A Través de un Túnel de Mobile VPN with SSL.
   • Para enrutar solo tráfico desde el cliente VPN hasta sus redes privadas a través del túnel, desmarque la casilla de selección Forzar todo el tráfico de cliente a través del túnel.
     Esta opción envía todo el tráfico externo a través de las políticas del Firebox que usted crea y ofrece una seguridad constante a los usuarios móviles. Sin embargo, dado que requiere mayor capacidad de procesamiento en el Firebox, el acceso a los recursos de Internet puede ser muy lento para el usuario móvil.
     1. Para permitir el acceso a todas las redes internas, seleccione Permitir el acceso a todas las redes de Confianza, Opcionales y Personalizadas.
     2. Para restringir el acceso del cliente de Mobile VPN with SSL solo a los dispositivos especificados en su red privada, seleccione Especificar recursos permitidos. Para especificar un recurso permitido, ingrese la dirección IP del recurso de red en notación diagonal y haga clic en Agregar.
3. Configurar las direcciones IP que el Firebox asigna a las conexiones clientes de Mobile VPN with SSL. Si FireCluster está habilitado, el grupo virtual de dirección IP no puede estar en la misma subred como una dirección IP de clúster principal.

Tráfico de VPN enrutado

Para el grupo virtual de direcciones IP, mantenga la configuración predeterminada de 192.168.113.0/24 o ingrese un rango diferente.

Para evitar posibles conflictos de direcciones IP, le recomendamos que asigne direcciones IP virtuales que no sean parte de una red protegida por el Firebox, una red a la que se acceda a través de una ruta o BOVPN, asignada por DHCP a un dispositivo detrás del Firebox, o utilizada para grupos de direcciones de Mobile VPN with IPSec o Mobile VPN with SSL. Si FireCluster está habilitado, el grupo virtual de dirección IP no puede estar en la misma subred como una dirección IP de clúster principal.

Para un Firebox con Fireware v11.12.4 o anterior, asegúrese de asignar direcciones IP virtuales que no sean parte del grupo de direcciones Mobile VPN with PPTP.

Tráfico de VPN de puente

Desde la lista desplegable Puentear a interfaz, seleccione el nombre de la interfaz a la cual desea puentear. La elección de interfaces en donde puede establecer puentes de tráfico VPN depende de la versión de Fireware que utiliza el dispositivo.

• En Fireware XTM v11.8.x y anterior, puede establecer un puente sobre tráfico VPN hacia cualquier interfaz que no sea un puente de LAN.
• En Fireware v11.9 y posterior, puede establecer un puente sobre tráfico VPN solamente para un puente de LAN.

Para obtener más información, consulte Antes de Empezar.

En los cuadros de texto Inicio y Finalización, ingrese la primera y la última dirección IP en el rango que desea asignar a las conexiones de cliente de Mobile VPN with SSL. Cuando une el tráfico VPN a un puente LAN, las direcciones IP Inicio y Finalización deben estar en la misma subred que la interfaz unida.

Para obtener más información acerca de las direcciones IP virtuales, consulte Direcciones IP Virtuales y Mobile VPN.

Desde la página Mobile VPN with SSL:

1. Seleccione la pestaña Autenticación.
   

2. En la lista desplegable, seleccione cada servidor de autenticación que desee utilizar para la autenticación de usuario de Mobile VPN with SSL. Puede seleccionar cualquier servidor de autenticación habilitado: la base de datos interna del Firebox (Firebox-DB), o un RADIUS, SecurID, LDAP o un dominio de servidor de Active Directory.
   Solo se enumeran dominios y servidores de métodos de autenticación habilitados. Para obtener información acerca de los métodos de autenticación admitidos, consulte Tipos de Servidores de Autenticación.

3. Haga clic en Agregar.
4. Repita los pasos 2 y 3 para agregar más servidores de autenticación.
5. Si agrega varios servidores de autenticación, seleccione el servidor que desea que sea el servidor predeterminado. Haga clic en Mover Arriba para mover ese servidor al principio de la lista.
   Si un usuario no especifica el servidor de autenticación en el cuadro de texto Nombre de usuario cuando utiliza el cliente de Mobile VPN with SSL para la autenticación, Mobile VPN with SSL utiliza el servidor de autenticación predeterminado.
6. Marque la casilla de selección Reconexión automática después de perder la conexión si desea que el cliente Mobile VPN with SSL pueda reconectarse automáticamente. Si habilita esta opción, el usuario móvil puede marcar una casilla de selección en el cliente de Mobile VPN with SSL para controlar si el cliente se reconecta automáticamente. También debe habilitar esta opción si quiere que el cliente use de forma automática la dirección IP secundaria cuando no puede conectarse a la dirección IP primaria.
7. Para solicitar a los usuarios que se autentiquen después de desconectar una conexión de Mobile VPN with SSL, seleccione la casilla de selección Forzar a los usuarios a autenticarse después de que se pierda una conexión. Recomendamos que marque esta casilla de selección si usa un método de autenticación de dos factores con contraseña de un solo uso, como RADIUS, SecurID o VASCO. Si no obliga a los usuarios a autenticarse después de perder la conexión, el intento de conexión automática puede fallar. El motivo de esto es que el cliente Mobile VPN with SSL intenta usar la contraseña de un solo uso que se ingresó originalmente, la cual ya no es correcta, para reconectarse automáticamente después de haber perdido la conexión.
8. Marque la casilla de selección Permitir que el cliente Mobile VPN with SSL recuerde la contraseña, si desea que el cliente de Mobile VPN with SSL sea capaz de recordar la contraseña. Si habilita esta opción, el usuario móvil puede marcar una casilla de selección en el cliente de Mobile VPN with SSL para controlar si el cliente recuerda la contraseña.
9. Haga clic en Guardar.

Si configura Mobile VPN with SSL para usar más de un servidor de autenticación, los usuarios que no usan el servidor de autenticación predeterminado deben especificar el servidor de autenticación o dominio como parte del nombre de usuario. Para obtener información y ejemplos, consulte Instalar y Conectar el Cliente de Mobile VPN with SSL.

Desde el cuadro de diálogo Configuración de Mobile VPN with SSL:

1. Seleccione la pestaña Autenticación.
   

2. Para agregar un nuevo servidor de autenticación, haga clic en Configurar.
   Para obtener información acerca de los métodos de autenticación admitidos, consulte Tipos de Servidores de Autenticación.
3. Para seleccionar un servidor de autenticación que ya está configurado en su Firebox, marque la casilla de selección junto al nombre del servidor.

4. Si agrega varios servidores de autenticación, seleccione qué servidor es el servidor predeterminado. Haga clic en Arriba para mover ese servidor al principio de la lista.
   Si un usuario no especifica el servidor de autenticación en el cuadro de texto Nombre de usuario cuando utiliza el cliente de Mobile VPN with SSL para la autenticación, Mobile VPN with SSL utiliza el servidor de autenticación predeterminado.
5. Marque la casilla de selección Reconexión automática después de perder la conexión si desea que el cliente Mobile VPN with SSL pueda reconectarse automáticamente.
   Si habilita esta opción, el usuario móvil puede marcar una casilla de selección en el cliente de Mobile VPN with SSL para controlar si el cliente se reconecta automáticamente. También debe habilitar esta opción si quiere que el cliente use, de forma automática, las direcciones IP de respaldo cuando no puede conectarse a la dirección IP principal.
6. Para solicitar a los usuarios que se autentiquen después de desconectar una conexión de Mobile VPN with SSL, seleccione la casilla de selección Forzar a los usuarios a autenticarse después de que se pierda una conexión.
   Recomendamos que marque esta casilla de selección si usa un método de autenticación de dos factores con contraseña de un solo uso, como RADIUS, SecurID o VASCO. Si no obliga a los usuarios a autenticarse después de perder la conexión, el intento de conexión automática puede fallar. El motivo de esto es que el cliente Mobile VPN with SSL intenta usar la contraseña de un solo uso que se ingresó originalmente, la cual ya no es correcta, para reconectarse automáticamente después de haber perdido la conexión.
7. Marque la casilla de selección Permitir que el cliente Mobile VPN with SSL recuerde la contraseña, si desea que el cliente de Mobile VPN with SSL sea capaz de recordar la contraseña. Si habilita esta opción, el usuario móvil puede marcar una casilla de selección en el cliente de Mobile VPN with SSL para controlar si el cliente recuerda la contraseña.

Si configura Mobile VPN with SSL para usar más de un servidor de autenticación, los usuarios que no usan el servidor de autenticación predeterminado deben especificar el servidor de autenticación o dominio como parte del nombre de usuario. Para obtener información y ejemplos, consulte Instalar y Conectar el Cliente de Mobile VPN with SSL.

1. En la pestaña Autenticación, debajo de la lista de usuarios y grupos, haga clic en Agregar.
   Aparece el cuadro de diálogo Agregar Usuario o Grupo.

2. Seleccione Grupo o Usuario para agregar un grupo o usuario.
3. En el cuadro de texto Nombre, ingrese el nombre del grupo o usuario en el cuadro de texto adyacente. El nombre debe ser igual que el nombre de un grupo o de un usuario en su servidor de autenticación.
4. Desde la lista desplegable de Servidor de Autenticación, seleccione el servidor de autenticación donde exista el grupo o el usuario.
   O bien, seleccione Todos si el grupo se puede utilizar con todos los servidores de autenticación seleccionados.
5. Haga clic en Aceptar.
   El usuario o el grupo se agregan a la lista de Usuarios y Grupos.
6. Haga clic en Guardar para guardar las configuraciones.

1. En la pestaña Autenticación, seleccione Grupo o Usuario para agregar un grupo o usuario.
2. En el cuadro de texto Nombre, ingrese el nombre del grupo o usuario en el cuadro de texto adyacente. El nombre debe ser igual que el nombre de un grupo o de un usuario en su servidor de autenticación.

3. Desde la lista desplegable de Servidor de Autenticación, seleccione el servidor de autenticación donde exista el grupo o el usuario.
   O bien, seleccione Todos si el grupo se puede utilizar con todos los servidores de autenticación seleccionados.
4. Haga clic en Agregar.
   El usuario o el grupo se agregan a la lista de Usuarios y Grupos.
5. Haga clic en Aceptar para guardar las configuraciones.

1. Seleccione el grupo o usuario en la lista.
2. Haga clic en Eliminar.

1. Seleccione VPN > Mobile VPN with SSL.
   Se abre la página Configuración de Mobile VPN with SSL.
2. Seleccione la pestaña Avanzada.

3. Configure los ajustes de autenticación, encryption (cifrado), puerto y tiempo de espera:

Autenticación

Seleccione un método de autenticación para la conexión: SHA-1, SHA-256 o SHA-512. Recomendamos las variantes SHA-2, SHA-256 y SHA-512, que son más fuertes que SHA-1.

Cifrado

Seleccione un algoritmo para cifrar el tráfico: 3DES, AES (128 bits), AES (192 bits) o AES (256 bits). En Fireware v12.2 o posterior, también puede seleccionar AES-GCM (128 bits), AES-GCM (192 bits) o AES-GCM (256 bits). Recomendamos el cifrado AES. Para un mejor rendimiento, elija una variante AES de 128 bits. Para el encryption (cifrado) más fuerte, elija una variante AES de 256 bits.

Si selecciona 3DES, tenga en cuenta un ataque de seguridad potencial, aunque poco probable. Para más información, consulte Vulnerabilidad de Sweet32 en la Base de Conocimiento de WatchGuard.

Canal de datos

Seleccione el protocolo y el puerto de Mobile VPN with SSL que se utilizan para enviar datos después de establecer una conexión de VPN. Puede utilizar el protocolo TCP o UDP. Luego, seleccione un puerto. El protocolo y puerto predeterminados para Mobile VPN with SSL es el puerto TCP 443. Éste es también el protocolo y puerto estándar para tráfico HTTPS. Puede usar el puerto 443 para Mobile VPN with SSL siempre que no use la misma dirección IP externa en una política HTTPS entrante.

Si cambia el canal de datos para usar un puerto distinto del 443, los usuarios deben ingresar manualmente este puerto en el cuadro de diálogo de la conexión de Mobile VPN with SSL. Por ejemplo, si cambia el canal de datos a 444 y la dirección IP del Firebox es 203.0.113.2, el usuario debe ingresar 203.0.113.2:444 en lugar de 203.0.113.2.

Si el puerto está configurado como puerto 443 predeterminado, el usuario debe ingresar solamente la dirección IP del Firebox. No es necesario ingresar :443 después de la dirección IP.

Para obtener más información, consulte Elegir un Puerto y Protocolo para Mobile VPN with SSL.

Mobile VPN with SSL no admite un canal de datos UDP para las conexiones VPN hacia una dirección IP de interfaz externa secundaria.

Canal de configuración

El Canal de Configuración especifica el canal donde los usuarios de Mobile VPN with SSL pueden descargar el software cliente SSL.

Seleccione el protocolo y puerto de Mobile VPN with SSL que se utilizan para negociar el canal de datos y para descargar archivos de configuración. Si configura el protocolo del canal de datos en TCP, el canal de configuración utiliza automáticamente el mismo puerto y protocolo. Si configura el protocolo del canal de datos en UDP, puede establecer el protocolo del canal de configuración en TCP o UDP, y puede utilizar un puerto diferente al canal de datos.

En Fireware v12.1 y v12.1.1, el Canal de Configuración aparece en los ajustes del Portal VPN y se denomina puerto del Portal VPN. Para obtener instrucciones de configuración que se aplican a Fireware v12.1 y v12.1.1, consulte Configurar los ajustes del Portal VPN en Fireware v12.1–v12.1.1 en la Base de Consulta de WatchGuard.

Intervalo Keep-alive

Defina la frecuencia con la que el Firebox envía tráfico a través del túnel para mantener la actividad del túnel cuando no se envía otro tráfico a través del mismo.

Tiempo de espera de Keep-alive

Defina durante cuánto tiempo el Firebox espera una respuesta. Si no hay respuesta antes del valor de tiempo de espera, el túnel se cierra y el cliente debe volver a conectarse.

Renegociar el canal de datos

Si una conexión Mobile VPN with SSL ha estado habilitada por el tiempo especificado en el cuadro de texto Renegociar canal de datos, el cliente Mobile VPN with SSL debe crear un nuevo túnel. El valor mínimo es de 60 minutos.

4. Configure los ajustes de DNS:
   

En Fireware v12.2.1 o posterior, puede seleccionar asignar o no la ajustes de DNS/WINS de Red (global) a los clientes de Mobile VPN with SSL.

Asignar a los clientes móviles los ajustes de DNS/WINS de red

Si selecciona esta opción, los clientes móviles recibirán los ajustes de DNS y WINS que usted especifique en Red > Interfaces > DNS/WINS. Por ejemplo, si especifica el servidor DNS 10.0.2.53 en los ajustes de DNS/WINS de Red, los clientes de mobile VPN usan 10.0.2.53 como un servidor DNS.

De forma predeterminada, el ajuste Asignar a los clientes móviles los ajustes del Servidor DNS/WINS de Red se selecciona para las nuevas configuraciones de mobile VPN.

No asignar a los clientes móviles los ajustes de DNS o WINS

Si selecciona esta opción, los clientes no reciben los ajustes de DNS o WINS de Firebox.

Si su configuración de Mobile VPN with SSL no especifica los ajustes de DNS, cuando actualice a Fireware v12.2.1, se seleccionará la opción No asignar a los clientes móviles los ajustes de DNS o WINS.

Asignar estos ajustes a clientes móviles

Si selecciona esta opción, los clientes móviles recibirán los ajustes del nombre de dominio, el servidor DNS y el servidor WINS que usted especifique en esta sección. Por ejemplo, si especifica ejemplo.com como nombre de dominio y 10.0.2.53 como servidor DNS, los clientes móviles usan ejemplo.com para nombres de dominio no calificados y 10.0.2.53 como el servidor DNS.

Puede especificar un nombre de dominio, hasta dos direcciones IP de servidor DNS y hasta dos direcciones IP de servidor WINS.

Para obtener más información sobre los ajustes del servidor DNS y WINS para usuarios de Mobile VPN with IPSec, consulte Configurar el DNS y los Servidores WINS para Mobile VPN with IPSec.

Para obtener más información acerca de DNS y WINS, consulte Determinación del Nombre para Mobile VPN with SSL.

En Fireware v12.2 o anterior, puede especificar los ajustes de un nombre de dominio, un servidor DNS y un servidor WINS, pero no puede seleccionar asignar o no los ajustes de DNS/WINS de Red (global) a clientes de Mobile VPN with SSL.

1. Seleccione VPN > Mobile VPN > SSL.
   Aparece el cuadro de diálogo Configuración de Mobile VPN with SSL.

2. Seleccione la pestaña Avanzada.
3. Configure los ajustes de autenticación, encryption (cifrado), puerto y tiempo de espera:

Autenticación

Seleccione un método de autenticación para la conexión: SHA-1, SHA-256 y SHA-512. Recomendamos las variantes SHA-2, SHA-256 y SHA-512, que son más fuertes que SHA-1.

Cifrado

Seleccione un algoritmo para cifrar el tráfico: 3DES, AES (128 bits), AES (192 bits) o AES (256 bits). En Fireware v12.2 o posterior, también puede seleccionar AES-GCM (128 bits), AES-GCM (192 bits) o AES-GCM (256 bits). Recomendamos el cifrado AES. Para un mejor rendimiento, elija una variante AES de 128 bits. Para el encryption (cifrado) más fuerte, elija una variante AES de 256 bits.

Si selecciona 3DES, tenga en cuenta un ataque de seguridad potencial, aunque poco probable. Para más información, consulte Vulnerabilidad de Sweet32 en la Base de Conocimiento de WatchGuard.

Canal de datos

Seleccione el protocolo y el puerto de Mobile VPN with SSL que se utilizan para enviar datos después de establecer una conexión de VPN. Puede utilizar el protocolo TCP o UDP. Luego, seleccione un puerto. El protocolo y puerto predeterminados para Mobile VPN with SSL es el puerto TCP 443. Éste es también el protocolo y puerto estándar para tráfico HTTPS. Puede usar el puerto 443 para Mobile VPN with SSL siempre que no use la misma dirección IP externa en una política HTTPS entrante.

Si cambia el canal de datos para usar un puerto distinto del 443, los usuarios deben ingresar manualmente este puerto en el cuadro de diálogo de la conexión de Mobile VPN with SSL. Por ejemplo, si cambia el canal de datos a 444 y la dirección IP del Firebox es 203.0.113.2, el usuario debe ingresar 203.0.113.2:444 en lugar de 203.0.113.2.

Si el puerto está configurado como puerto 443 predeterminado, el usuario debe ingresar solamente la dirección IP del Firebox. No es necesario ingresar :443 después de la dirección IP.

Para obtener más información, consulte Elegir un Puerto y Protocolo para Mobile VPN with SSL.

Mobile VPN with SSL no admite un canal de datos UDP para las conexiones VPN hacia una dirección IP de interfaz externa secundaria.

Canal de configuración

El Canal de Configuración especifica el canal donde los usuarios de Mobile VPN with SSL pueden descargar el software cliente SSL.

Seleccione el protocolo y puerto de Mobile VPN with SSL que se utilizan para negociar el canal de datos y para descargar archivos de configuración. Si configura el protocolo del canal de datos en TCP, el canal de configuración utiliza automáticamente el mismo puerto y protocolo. Si configura el protocolo del canal de datos en UDP, puede establecer el protocolo del canal de configuración en TCP o UDP, y puede utilizar un puerto diferente al canal de datos.

En Fireware v12.1 y v12.1.1, el Canal de Configuración aparece en los ajustes del Portal VPN y se denomina puerto del Portal VPN. Para obtener instrucciones de configuración que se aplican a Fireware v12.1 y v12.1.1, consulte Configurar los ajustes del Portal VPN en Fireware v12.1–v12.1.1 en la Base de Consulta de WatchGuard.

Intervalo Keep-alive

Defina la frecuencia con la que el Firebox envía tráfico a través del túnel para mantener la actividad del túnel cuando no se envía otro tráfico a través del mismo.

Tiempo de espera Keep-alive

Defina durante cuánto tiempo el Firebox espera una respuesta. Si no hay respuesta antes del valor de tiempo de espera, el túnel se cierra y el cliente debe volver a conectarse.

Renegociar el canal de datos

Si una conexión Mobile VPN with SSL ha estado habilitada por el tiempo especificado en el cuadro de texto Renegociar canal de datos, el cliente Mobile VPN with SSL debe crear un nuevo túnel. El valor mínimo es de 60 minutos.

Restablecer valores predeterminados

Haga clic para restablecer las configuraciones de la pestaña Avanzadas a los valores prestablecidos. Se elimina toda la información de servidor DNS y WINS de la pestaña Avanzadas.

4. Configure los ajustes de DNS:

Asignar a los clientes móviles los ajustes de DNS/WINS de red

Si selecciona esta opción, los clientes móviles recibirán los ajustes de DNS y WINS que usted especifique en Red > Interfaces > DNS/WINS. Por ejemplo, si especifica el servidor DNS 10.0.2.53 en los ajustes de DNS/WINS de Red, los clientes de mobile VPN usan 10.0.2.53 como un servidor DNS.

De forma predeterminada, el ajuste Asignar a los clientes móviles los ajustes del Servidor DNS/WINS de Red se selecciona para las nuevas configuraciones de mobile VPN.

No asignar a los clientes móviles los ajustes de DNS o WINS

Si selecciona esta opción, los clientes no reciben los ajustes de DNS o WINS de Firebox.

Si su configuración de Mobile VPN with SSL no especifica los ajustes de DNS, cuando actualice a Fireware v12.2.1, se seleccionará la opción No asignar a los clientes móviles los ajustes de DNS o WINS.

Asignar estos ajustes a clientes móviles

Si selecciona esta opción, los clientes móviles recibirán los ajustes del nombre de dominio, el servidor DNS y el servidor WINS que usted especifique en esta sección. Por ejemplo, si especifica ejemplo.com como nombre de dominio y 10.0.2.53 como servidor DNS, los clientes móviles usan ejemplo.com para nombres de dominio no calificados y 10.0.2.53 como el servidor DNS.

Puede especificar un nombre de dominio, hasta dos direcciones IP de servidor DNS y hasta dos direcciones IP de servidor WINS.

Para obtener más información sobre los ajustes del servidor DNS y WINS para usuarios de Mobile VPN with IPSec, consulte Configurar el DNS y los Servidores WINS para Mobile VPN with IPSec.

Para obtener más información acerca de DNS y WINS, consulte Determinación del Nombre para Mobile VPN with SSL.

En Fireware v12.2 o anterior, puede especificar los ajustes de un nombre de dominio, un servidor DNS y un servidor WINS, pero no puede seleccionar asignar o no los ajustes de DNS/WINS de Red (global) a clientes de Mobile VPN with SSL.

1. Seleccione Firewall > Políticas de Firewall.
   Aparecerá la página Políticas.
2. Haga clic en Agregar Política.
3. En la lista desplegable Filtros de Paquetes, seleccione Cualquiera.
4. En el cuadro de texto Nombre, ingrese un nombre descriptivo para la política.
5. Haga clic en Agregar Política.
6. En la pestaña Configuraciones, en la sección Desde, seleccione Cualquiera-De Confianza y haga clic en Eliminar.
7. En la sección Desde, haga clic en Agregar.
   Aparece el cuadro de diálogo Agregar miembro.
8. Desde la lista desplegable Tipo de miembro, seleccione Grupo SSLVPN.
9. Seleccione Usuarios-SSLVPN.
10. Para cerrar el cuadro de diálogo Agregar Miembro, haga clic en Aceptar.
11. En la sección Hacia, seleccione Cualquiera-Externa. Haga clic en Eliminar.
12. En la sección Hacia, haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar miembro.
13. De la lista de miembros, seleccione Cualquiera-De Confianza.
14. Haga clic en Aceptar.
15. Haga clic en Guardar.

1. Haga clic en
   O seleccione Editar > Agregar Políticas.
   Aparece el cuadro de diálogo Agregar Políticas.
2. Expanda la carpeta Filtrado de paquetes.
   Aparece una lista de plantillas para filtros de paquetes.
3. Seleccionar Cualquiera.
4. Haga clic en Agregar.
   Se abre el cuadro de diálogo Nuevas Propiedades de Políticas.
   
5. En el cuadro de texto Nombre, ingrese un nombre descriptivo para la política.
6. En la pestaña Política, en la sección Desde, seleccione Cualquiera-De-Confianza. Haga clic en Eliminar.
7. En la sección Desde, haga clic en Agregar.
   Aparece el cuadro de diálogo Agregar dirección.
8. Haga clic en Agregar Usuario.
9. De las dos listas desplegables Tipo, seleccione SSLVPN para el primero y Grupo para el segundo.
10. Seleccione Usuarios-SSLVPN y haga clic en Seleccionar.
    Después de Usuarios-SSLVPN se encuentra el nombre del método de autenticación entre paréntesis.
11. Para cerrar el cuadro de diálogo Agregar Dirección, haga clic en Aceptar.
12. En la sección Hacia, seleccione Cualquiera externa y haga clic en Eliminar.
13. En la sección Hacia, haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar dirección.
14. De la lista Miembros Disponibles, seleccione Cualquiera-De Confianza y haga clic en Agregar.
15. Haga clic en Aceptar dos veces. Haga clic en Cerrar.
16. Guarde los cambios al Firebox.

1. Seleccione Autenticación > Usuarios y Grupos.
2. Agregue usuarios y grupos como se describe en Usar los Usuarios y Grupos en las Políticas.

Después de agregar usuarios o grupos desde la configuración de Mobile VPN with SSL a la lista Usuarios y Grupos, puede editar la política Permitir Usuarios SSLVPN generada automáticamente para aplicarla a un grupo o usuario específicos.

En este ejemplo, modificamos la política Permitir Usuarios SSLVPN para que se aplique solo al grupo de usuarios LDAP-Users1:

1. Seleccione Autenticación > Usuarios y Grupos.
2. Agregue el grupo Usuarios de LDAP 1 que agregó a la configuración de Mobile VPN with SSL.
   Asegúrese de establecer el Auth Server a LDAP.
3. Edite la política Permitir Usuarios-SSLVPN.
4. En la sección Desde, elimine el grupo Usuarios-SSLVPN.
5. En la sección Desde, haga clic en Agregar.
   Aparece el cuadro de diálogo Agregar miembro.
6. En la lista desplegable Tipo de Miembro, seleccione Grupo de SSLVPN.
   Aparece una lista de grupos.
7. Seleccione el grupo LDAP-Users1. Haga clic en Aceptar.
   El grupo LDAP-Users1 aparece en la lista Desde.
8. Haga clic en Aceptar.
   La política Permitir Usuarios-SSLVPN ahora se aplica únicamente al grupo LDAP-Users1.

1. Seleccione Configuración > Autenticación > Usuarios y Grupos.
2. Agregue usuarios y grupos, como se describe en Usar los Usuarios y Grupos en las Políticas.

Después de agregar usuarios o grupos desde la configuración de Mobile VPN with SSL a la lista Usuarios y Grupos, puede editar la política Permitir Usuarios SSLVPN generada automáticamente para aplicarla a un grupo o usuario específicos.

En este ejemplo, modificamos la política Permitir Usuarios SSLVPN para que se aplique solo al grupo de usuarios LDAP-Users1:

1. Seleccione Configuración > Autenticación > Usuarios y Grupos.
2. Agregue el grupo Usuarios de LDAP 1 que agregó a la configuración de Mobile VPN with SSL.
   Asegúrese de establecer el Auth Server a LDAP.
3. Edite la política Permitir Usuarios-SSLVPN.
4. En la sección Desde, elimine el grupo Usuarios-SSLVPN.
5. En la sección Desde, haga clic en Agregar.
   Aparece el cuadro de diálogo Agregar dirección.
6. Seleccione Agregar otro.
   Aparece el cuadro de diálogo Agregar miembro.

7. En la lista desplegable Elegir tipo, seleccione Dirección personalizada.
8. En la lista desplegable Usuario/Grupo, seleccione el grupo LDAP-Users1. Haga clic en Aceptar.
   El grupo LDAP-Users1 aparece en la lista Miembros y Direcciones Seleccionados.
9. Haga clic en Aceptar.
   La política Permitir Usuarios-SSLVPN ahora se aplica únicamente al grupo LDAP-Users1.