Planificar su Configuración de Mobile VPN with SSL

Antes de configurar Mobile VPN with SSL, es importante entender estos elementos acerca de la configuración de Mobile VPN with SSL:

Direcciones IP dinámicas
Autenticación
Políticas
Puerto y protocolo
Configuración compartida
Opciones de tráfico por túnel— Enrutado o Puenteado
Resolución de nombres
Descargas de clientes

Para configurar Mobile VPN with SSL, consulte Usar un Asistente para Configurar el Firebox para Mobile VPN with SSL o Configurar Manualmente el Firebox para Mobile VPN with SSL.

Dirección IP dinámica

Si su Firebox tiene una dirección IP dinámica, puede especificar un nombre de dominio para las conexiones del cliente en lugar de una dirección IP. Para conectarse a la VPN móvil, los usuarios especifican el nombre de dominio en los ajustes del cliente VPN móvil. Asegúrese de registrar la dirección IP externa de su Firebox con un proveedor de servicios de DNS dinámico. Opcionalmente, puede habilitar el DNS dinámico en el Firebox para enviar automáticamente actualizaciones de la dirección IP a un proveedor de servicios de DNS dinámico que el Firebox admite. Para obtener más información sobre el DNS dinámico, consulte Acerca del Servicio de DNS Dinámico.

Autenticación

Mobile VPN with SSL admite cada tipo de autenticación admitido por el Firebox. Para obtener más información sobre los tipos de autenticación admitidos, consulte Tipos de Servidores de Autenticación. Para obtener información sobre los servidores de autenticación externos para Mobile VPN with SSL, consulte Configurar el Servidor de Autenticación Externa.

Para obtener información sobre cómo especificar el servidor de autenticación en el cliente VPN SSL, consulte Descargar, Instalar y Conectar el Cliente de Mobile VPN with SSL.

Autenticación Multifactor (MFA)

Puede utilizar AuthPoint, la solución de MFA basada en la nube de WatchGuard, para proporcionar autenticación multifactor para usuarios de VPN SSL. Puede usar uno de dos métodos:

Fireware v12.7 o superior

Puede configurar el Firebox para reenviar solicitudes de autenticación para usuarios de VPN SSL directamente a AuthPoint. Después de configurar los ajustes requeridos en AuthPoint, AuthPoint aparece en la lista de servidores de autenticación en el Firebox. En la configuración de Mobile VPN with SSL, debe seleccionar AuthPoint como servidor de autenticación. Esta integración es compatible con el cliente WatchGuard Mobile VPN with SSL (v12.7 o superior únicamente) y el cliente OpenVPN.

Para ver un ejemplo de configuración, consulte la sección para Fireware v12.7 o superior en la guía de integración Integración de Mobile VPN with SSL de Firebox con AuthPoint.

Si configuró Mobile VPN with SSL para la AuthPoint MFA en Fireware v12.6.x o inferior, puede mantener esa integración mientras configura una integración actualizada en Fireware v12.7 o superior. Para obtener información sobre la conversión de la configuración, consulte la sección “Convertir Configuraciones de Fireware 12.6.x o Inferior” en Configurar la MFA para un Firebox.

Fireware v12.6.4 o inferior

En el Firebox, debe especificar un servidor RADIUS en la configuración de Mobile VPN with SSL. AuthPoint no aparece en la lista de servidores de autenticación en el Firebox.

Para ver un ejemplo de configuración, consulte la sección para Fireware v12.6 o inferior en la guía de integración Integración de Mobile VPN with SSL de Firebox con AuthPoint.

Para obtener información general sobre el flujo de trabajo de AuthPoint MFA para Mobile VPN with SSL, consulte Configurar la MFA para un Firebox.

También puede utilizar soluciones de MFA de terceros si su servidor RADIUS admite autenticación multifactorial o de dos factores. Para obtener información sobre la implementación de MFA de terceros, consulte Utilizar la Autenticación Multifactor (MFA) con Mobile VPN.

Grupos de Usuarios

Cuando configura Mobile VPN with SSL, el Firebox crea automáticamente un grupo de usuarios llamado SSLVPN-Users. Puede usar el grupo predeterminado, o puede crear nuevos grupos que tengan los mismos nombres que los nombres de grupos de usuarios en sus servidores de autenticación. Para obtener más información sobre los grupos de usuarios, consulte Configurar Manualmente el Firebox para Mobile VPN with SSL.

Políticas

Cuando activa Mobile VPN with SSL, el Firebox crea automáticamente dos políticas: WatchGuard SSLVPN y Allow SSLVPN-Users.

La política Allow SSLVPN-Users permite que los grupos y usuarios que configuró para la autenticación SSL tengan acceso a los recursos de su red. De forma predeterminada, la lista Hacia de la política incluye solo el alias. Cualquiera, lo que significa que esta política permite que los usuarios de Mobile VPN with SSL accedan a todos los recursos de la red.

Recomendamos que limite los recursos de red a los que los usuarios de Mobile VPN with SSL pueden acceder a través de la VPN. Para ello, puede reemplazar la política Allow SSL-Users. Para obtener instrucciones que explican cómo reemplazar la política de SSL, y para obtener más información sobre las políticas de SSL, consulte Acerca de las Políticas de Mobile VPN with SSL.

Puerto y Protocolo

El protocolo y puerto predeterminados para Mobile VPN with SSL es el puerto TCP 443, que generalmente está abierto en la mayoría de las redes. Para especificar un puerto o protocolo diferente, consulte Elegir un Puerto y Protocolo para Mobile VPN with SSL.

Ajustes Compartidos

La política SSLVPN de WatchGuard es compartida por el Management Tunnel por SSL, BOVPN por TLS en modo Servidor, Mobile VPN with SSL y el Access Portal. Para obtener más información sobre esta política, vea Precedencia y Herencia de los Ajustes SSL/TLS.

Varias funciones de Firebox usan SSL/TLS para una comunicación segura y comparten el mismo servidor OpenVPN. Las funciones que comparten el servidor OpenVPN, en orden de precedencia de mayor a menor, son:

Management Tunnel por SSL en dispositivos hub
BOVPN por TLS en modo Servidor
Mobile VPN with SSL
Access Portal

Las funciones con menor prioridad heredan algunos ajustes SSL/TLS de las funciones habilitadas con mayor prioridad. Los ajustes compartidos no son configurables para las funciones con menor prioridad.

Ejemplo — Management Tunnel y Mobile VPN with SSL habilitado

Cuando habilita un Management Tunnel por SSL en su Management Server WSM, algunos de los ajustes compartidos por los túneles de Mobile VPN with SSL son administrados por su Management Server. No puede cambiar estos ajustes en la configuración de Mobile VPN with SSL. Estos ajustes incluyen las direcciones IP de Firebox, el método de establecimiento de la red, el grupo de direcciones IP virtuales, los recursos de VPN, el canal de datos y el canal de configuración. Tampoco puede deshabilitar el servidor de autenticación Firebox-DB, que se requiere para la autenticación del Management Tunnel. Debe cambiar estos ajustes compartidos en las Propiedades del Dispositivo en el Management Server.

Ejemplo — Servidor BOVPN por TLS y Mobile VPN with SSL habilitado

Cuando habilita su Firebox como un servidor BOVPN por TLS, algunos ajustes de Mobile VPN with SSL se heredan de los ajustes del Servidor BOVPN por TLS. No puede cambiar estos ajustes en la configuración de Mobile VPN with SSL. Estos ajustes incluyen las direcciones IP del Firebox, el método de red, el grupo de direcciones IP virtuales, los recursos VPN, el canal de datos, los ajustes de autenticación y encryption (cifrado), y los ajustes del tiempo de espera.

En Fireware v12.1.x, los ajustes compartidos el por Access Portal y Mobile VPN with SSL aparecen en una página llamada Portal VPN. El Canal de Datos de Configuración para Mobile VPN with SSL fue renombrado como el puerto del Portal VPN y aparece en los ajustes del Portal VPN. En Fireware v12.2, los ajustes del Portal VPN se movieron a las configuraciones de Access Portal y Mobile VPN with SSL. Para obtener instrucciones de configuración que se aplican a Fireware v12.1.x, consulte Configurar los ajustes del Portal VPN en Fireware v12.1.x en la Base de Consulta de WatchGuard.

Opciones del Tráfico por Túnel

Antes de que configure la Mobile VPN with SSL, decida cómo desea que el Firebox envíe el tráfico a través del túnel VPN. De acuerdo con la opción que elija, podría tener que cambiar su configuración de red antes de habilitar Mobile VPN with SSL.

Puede configurar Mobile VPN with SSL para usar uno de los siguientes métodos para manejar el tráfico VPN hacia su red:

Tráfico de VPN Enrutado

Ésta es la selección predeterminada. Con esta opción, el Firebox envía el tráfico del túnel VPN hacia todas las redes de confianza, opcionales y personalizadas, o hacia los recursos de red específicos que usted indicó.

Tráfico de VPN de Puente

Esta opción le permite hacer un puente en el tráfico de VPN SSL hacia una red de confianza, opcional o personalizada. Cuando selecciona esta opción, no puede filtrar el tráfico entre los usuarios de VPN con SSL y la red a la que se conecta el tráfico de VPN con SSL. Cuando establece un puente de tráfico VPN a una red, los usuarios de VPN SSL se encuentran en la misma zona de seguridad que otros usuarios de la red a la cual usted establece el puente. La administración del tráfico para dichos usuarios móviles está a cargo de las mismas políticas de seguridad que el tráfico de otros usuarios en la red puenteada.

Por ejemplo, si el tráfico de puente VPN pasa por una interfaz de confianza, todas las políticas que permiten el tráfico para el alias Cualquiera-De Confianza también permiten el tráfico para los usuarios que se conectan con Mobile VPN with SSL. La opción del Tráfico de Puente VPN no tiende un puente VPN SSL sobre tráfico para ninguna red secundaria en el puente de red seleccionado.

Puede establecer un puente de tráfico VPN solamente a un puente de LAN.

Para obtener información acerca de cómo configurar una interfaz de puente, consulte Crear una Configuración de Puente de Red.

Si selecciona Puente de Tráfico VPN en la configuración Mobile VPN with SSL en una máquina virtual FireboxV o XTMv, debe habilitar el modo promiscuo en el interruptor virtual adjunto (vSwitch) en VMware.

Si configura Mobile VPN with SSL desde la Web UI, no cambie la interfaz que utilizó para iniciar sesión en la Web UI para una interfaz de puente. Esto hace que pierda inmediatamente la conexión de gestión al dispositivo. Si esto sucede, debe utilizar una interfaz configurada diferente para volver a conectarse a Fireware Web UI.

Si desea cambiar la interfaz que utiliza para administrar el dispositivo a una interfaz puente, le recomendamos que realice este cambio desde Policy Manager. Puede completar todos los cambios de configuración de interfaz antes de guardar el archivo de configuración actualizado en el dispositivo.

Para cambiar la interfaz de confianza u opcional que utiliza para administración a una interfaz de puente, desde Fireware Web UI:

Configure otra interfaz de confianza u opcional para utilizarla como una interfaz de administración temporal.
Conecte la computadora de administración a la nueva interfaz, e inicie sesión en la Web UI.
Cambie la interfaz de administración original a una interfaz de puente y configure un puente LAN que incluya esta interfaz.
Conecte la computadora de administración a la interfaz de administración original.
Deshabilitar la interfaz de administración temporal.

Para obtener instrucciones detalladas, consulte Crear una Configuración de Puente de Red.

Para obtener más información sobre cómo se usa el DNS para realizar búsquedas en una conexión de VPN móvil, consulte DNS y Mobile VPN.

Resolución de Nombres

Debe decidir cómo proporcionar la resolución de nombres para los usuarios de VPN móvil. Para más información, consulte Determinación del Nombre para Mobile VPN with SSL.

Descargas de Clientes

Decida cómo sus usuarios deben obtener el software cliente Mobile VPN with SSL:

Página de descargas de software alojada por el Firebox
Página de descargas de software en el sitio web de WatchGuard
Distribución manual

Página de Descargas de Software Alojada por el Firebox

De forma predeterminada, los usuarios pueden descargar el cliente desde la página de descargas de software de Mobile VPN with SSL en https://[dirección IP del Firebox]:[puerto]/sslvpn.html. Para obtener más información sobre esta página, consulte Descargar, Instalar y Conectar el Cliente de Mobile VPN with SSL.

En Fireware v12.5.4 o superior, puede deshabilitar la página de descargas de software Mobile VPN with SSL. Por ejemplo, puede deshabilitar esta página para cumplir con una política de seguridad corporativa. Para deshabilitar la página de descargas de software, debe ingresar estos comandos en la CLI:

WG#config

WG(config)#policy

WG(config/policy)#no sslvpn web-download enable

Para habilitar la página, ingrese lo siguiente:

WG#config

WG(config)#policy

WG(config/policy)#sslvpn web-download enable

Esta opción no está disponible en Fireware Web UI ni en Policy Manager.

Para obtener información detallada sobre cómo ingresar comandos en la CLI, consulte Referencia de la CLI de Fireware.

Página de Descargas de Software en el Sitio Web de WatchGuard

Los usuarios pueden descargar la versión más reciente del software Mobile VPN with SSL en el sitio web de WatchGuard.

Distribución Manual

Puede instalar manualmente el cliente en el dispositivo de un usuario. Para más información, consulte Distribuir e Instalar en Forma Manual el Software Cliente de Mobile VPN with SSL y el Archivo de Configuración.

Ver También

Usar un Asistente para Configurar el Firebox para Mobile VPN with SSL

Configurar Manualmente el Firebox para Mobile VPN with SSL

Utilizar la Autenticación Multifactor (MFA) con Mobile VPN

© 2023 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Todos los demás nombres comerciales son propiedad de sus respectivos dueños.