Acerca del Connection Manager de WatchGuard

Aplica A: Acceso a Internet FireCloud

Para que FireCloud proteja a sus usuarios, estos deben tener el Connection Manager de WatchGuard instalado en su dispositivo y usarlo para conectarse a FireCloud. Cuando un usuario está conectado a FireCloud, el tráfico de Internet desde su dispositivo se enruta a través del punto de presencia (PoP) de WatchGuard más cercano.

FireCloud utiliza el Agente de WatchGuard para implementar e instalar el Connection Manager de WatchGuard. El Agente de WatchGuard maneja la comunicación entre las computadoras administradas y el servidor de WatchGuard. El agente se instala en cada endpoint o computadora y se utiliza para implementar el software de WatchGuard, como el Connection Manager de WatchGuard y el software Endpoint Security. Tiene un uso bajo de CPU, memoria y ancho de banda, y usa menos de 2 MB de datos por día. Para obtener más información sobre el Agente de WatchGuard, vaya a Acerca del Agente de WatchGuard.

Cuando descarga el instalador desde FireCloud, descarga el Agente de WatchGuard. Cuando instala el Agente de WatchGuard, este se comunica con WatchGuard Cloud e instala todo el software para el que su cuenta y su computadora tienen licencia actualmente. Cuando WatchGuard lanza una nueva versión del Connection Manager de WatchGuard, el Agente de WatchGuard descarga e instala automáticamente la nueva versión para que sus usuarios estén siempre actualizados.

Si su licencia o versión de prueba de FireCloud vence y su cuenta no tiene licencia para FireCloud, el Agente de WatchGuard desinstala automáticamente el Connection Manager de WatchGuard en todos los dispositivos de sus usuarios finales. Cuando su cuenta vuelva a tener una licencia activa de FireCloud, el Agente de WatchGuard descargará e instalará automáticamente el Connection Manager de WatchGuard de nuevo.

Cada cuenta de WatchGuard Cloud tiene instalada una versión única del Agente de WatchGuard. Solo los usuarios de FireCloud de la misma cuenta de WatchGuard Cloud pueden utilizar el instalador de esa cuenta. Si usted es Service Provider, no utilice el mismo instalador para implementar FireCloud en varias cuentas administradas.

Caution: No puede instalar el Connection Manager de WatchGuard en computadoras que tengan instalados productos Endpoint Security de Panda. El Connection Manager de WatchGuard solo es compatible con los productos WatchGuard Endpoint Security.

Requisitos de Acceso a la Red

Se requieren conexiones a estos nombres de host para que el Agente de WatchGuard se conecte a WatchGuard Cloud a través de su firewall.

Nombres de Host Puertos
*.pandasecurity.com
*.pandasoftware.com
*.windows.net		 TCP 443
TCP 80

Cómo Funciona el Connection Manager

Mientras está conectado a FireCloud, este lo protege de las amenazas para que pueda utilizar su computadora y navegar por Internet de forma segura. Después de conectarse a FireCloud por primera vez, el agente mantiene su sesión abierta y usted permanece conectado incluso si reinicia su computadora. Para obtener información más detallada, vaya a Sesiones de Autenticación del Connection Manager.

Cuando está conectado a FireCloud, puede seguir conectándose a los recursos locales de su red, como las impresoras.

Si tiene que conectarse a una VPN, primero debe desconectarse manualmente de FireCloud. Después de desconectarse de FireCloud, debe iniciar sesión manualmente y volver a conectarse para seguir protegido.

Si no puede conectarse a FireCloud o si se desconecta manualmente de FireCloud, podrá seguir conectándose a Internet, pero FireCloud no lo protegerá.

Si el Connection Manager de WatchGuard no puede autenticarse o conectarse a FireCloud durante más de una hora, se le pedirá que vuelva a iniciar sesión.

Si va a su oficina y se conecta a la red corporativa cuando su computadora ya está conectada a FireCloud, es posible que la configuración de su firewall afecte al modo en que se gestiona el tráfico. FireCloud utiliza el puerto UDP 4500 para comunicarse con los puntos de presencia (PoP) de WatchGuard.

  • Si el puerto 4500 está abierto cuando se conecta a su red corporativa, el connection manager continúa pasando tráfico a través de FireCloud.
  • Si el puerto 4500 está bloqueado cuando está conectado a su red corporativa, la conexión del cliente a FireCloud no se abre y el cliente pasa el tráfico como lo hace normalmente cuando está conectado a la red corporativa. Sin embargo, el Connection Manager de WatchGuard intenta continuamente conectarse al PoP de FireCloud mientras está detrás del firewall.

Después de desconectarse de la red corporativa, es posible que tenga que volver a conectarse manualmente a FireCloud.

Para ver el estado de su conexión a FireCloud, señale el icono del connection manager en la bandeja del sistema. El color del icono indica el estado de la conexión:

Estado Definición
Conectado a punto de presencia y enrutar el tráfico de Internet a través de FireCloud.
Conectado a punto de presencia pero no puede conectarse a Internet.
No conectado.

Sesiones de Autenticación del Connection Manager

Cuando se autentica con el Connection Manager y se conecta a FireCloud, el Connection Manager establece dos sesiones.

  • La primera sesión se establece con el Proveedor de Identidad (IdP), por ejemplo, Authpoint.
  • La segunda sesión se establece con FireCloud, lo que permite la conexión a un PoP de FireCloud.

El Connection Manager almacena en caché la sesión del IdP, y esta sesión sigue siendo válida hasta que se detiene o se reinicia la aplicación Connection Manager, se reinicia el sistema o el proveedor de identidad invalida la sesión (por ejemplo, la sesión alcanza el tiempo de espera del IdP).

La sesión de FireCloud sigue siendo válida hasta que selecciona Desconectar en el menú del Connection Manager.

La regla de acceso a FireCloud que se aplica a su grupo de usuarios determina si puede desconectarse manualmente de FireCloud

Los siguientes escenarios describen cómo el Connection Manager utiliza cada sesión y cuál es el comportamiento esperado.

Cuando se conecta por primera vez a FireCloud con el Connection Manager, se muestra la página de inicio de sesión del proveedor de identidad. Debe ingresar su nombre de usuario y contraseña para autenticarse con el proveedor de identidad.

Si la autenticación se realiza correctamente, el Connection Manager almacena en caché la nueva sesión del IdP.

Tras la autenticación correcta del proveedor de identidad, el Connection Manager establece una nueva sesión de FireCloud que le permite conectarse a un POP de FireCloud y comenzar a pasar tráfico.

Cuando se desconecta manualmente de FireCloud, el Connection Manager cierra la sesión de FireCloud y la sesión de FireCloud se invalida. El Connection Manager conserva la sesión del IdP almacenada en caché.

Cuando abre el Connection Manager, se conecta a FireCloud:

  • Si la sesión del IdP almacenada en caché es válida y no ha expirado, el Connection Manager utiliza la sesión del IdP existente para establecer una nueva sesión de FireCloud. Dado que se reutiliza la sesión del IdP establecida, no se le pedirá que inicie sesión.
  • Si la sesión del IdP almacenada en caché no es válida (por ejemplo, si ha expirado), el Connection Manager le pedirá que inicie sesión con el proveedor de identidad para crear una nueva sesión del IdP. Una vez que el proveedor de identidad lo ha autenticado y el Connection Manager ha creado una nueva sesión del IdP, el Connection Manager establece una nueva sesión de FireCloud.

Cuando reinicia una computadora, el Connection Manager se inicia automáticamente, pero no conserva la sesión del IdP anterior. El comportamiento del Connection Manager después de reiniciar depende de si se desconectó de FireCloud antes de reiniciar.

Si se desconecta manualmente de FireCloud antes de reiniciar, el Connection Manager le pedirá que inicie sesión con el proveedor de identidad para crear una nueva sesión del IdP. Una vez que el proveedor de identidad lo ha autenticado y se ha creado una nueva sesión del IdP, el Connection Manager establece una nueva sesión de FireCloud.

Si reinicia mientras sigue conectado a FireCloud, después del reinicio, el Connection Manager intentará reanudar la sesión de FireCloud establecida anteriormente.

  • Si esta acción se realiza correctamente, el Connection Manager se conecta a FireCloud (no es necesario que inicie sesión), pero ya no habrá una sesión del IdP almacenada en caché.
  • Si esta acción no se realiza correctamente, el Connection Manager le pedirá que inicie sesión. Después de que el proveedor de identidad lo haya autenticado y se haya creado una nueva sesión del IdP, el Connection Manager establece una nueva sesión de FireCloud.

Descargar e Instalar el Agente de WatchGuard y el Connection Manager

Descargue el Agente de WatchGuard desde la UI de FireCloud en WatchGuard Cloud. También puede obtener un enlace al instalador para su cuenta y distribuirlo a sus usuarios para que puedan descargar e instalar el connection manager ellos mismos.

Para descargar el Agente de WatchGuard (utilizado para instalar el Connection Manager de WatchGuard):

  1. Inicie sesión en WatchGuard Cloud y vaya a Configurar > FireCloud.
  2. Seleccione Descargar Cliente.
    Se abre la página Descargar Cliente.
  3. Haga clic en Descargar Instalador.
    Comienza la descarga del instalador del Agente de WatchGuard.
  4. Si desea enviar el instalador a sus usuarios para que puedan descargar e instalar el agente ellos mismos, haga clic en Copiar URL del Instalador. Puede enviar este enlace a sus usuarios.

Puede utilizar varios métodos para implementar el Agente de WatchGuard. El método más sencillo es ejecutar el instalador manualmente.

También puede utilizar el símbolo del sistema de Windows para instalar el Agente de WatchGuard, o puede utilizar la opción de línea de comandos para la implementación a través de un Objeto de Política de Grupo (GPO) de Active Directory.

Si el Agente de WatchGuard no puede instalar el Connection Manager, el agente vuelve a intentar la instalación después de 4 horas. Para volver a intentar la instalación inmediatamente, puede ejecutar el instalador.

  1. Ejecute el instalador descargado.
  2. Haga clic en Instalar. La instalación del Agente de WatchGuard puede tardar varios minutos.
  3. Cuando se complete la instalación, haga clic en Finalizar.
  4. Una vez instalado el Agente de WatchGuard, éste descarga e instala automáticamente el Connection Manager. Una vez finalizado este proceso, se abrirá el Connection Manager y se le solicitará que ingrese sus credenciales para conectarse a FireCloud. Utiliza las credenciales de la cuenta de usuario en su proveedor de identidad.
  1. En el menú Inicio de Windows, haga clic con el botón derecho en Símbolo del Sistema y, a continuación, seleccione Ejecutar como Administrador.
    Aparece una ventana del Símbolo del Sistema de Windows.
  2. Cambie el directorio a la ubicación del archivo .MSI del Agente de WatchGuard descargado.
  3. Para ejecutar el instalador del Agente de WatchGuard, ejecute el comando msiexec -i WatchGuard_Agent.msi.

    Para instalar el agente de forma silenciosa, sin necesidad de interacción del usuario, agregue /q o /qn al comando. Para evitar que la computadora se reinicie cuando se complete la instalación, agregue /norestart al comando. Para obtener más información, vaya a la Documentación de Microsoft para el Comando msiexec.

Puede utilizar los comandos descritos en el procedimiento anterior para instalar el Agente de WatchGuard de forma remota en varias computadoras a través de un Objeto de Política de Grupo (GPO) de Active Directory. Debe usar un método de instalación que admita parámetros de línea de comandos.

Si no desea instalar el Agente de WatchGuard en computadoras que ya lo tienen instalado, puede configurar el script para impedir la instalación en esas computadoras.

Puede utilizar uno de estos métodos para configurar un GPO para instalar desde un archivo .MSI con parámetros de línea de comandos:

Opción 1 — Crear un GPO de Inicio de Sistema que Ejecuta un Archivo de Lote

Configure un GPO para una secuencia de comandos de inicio o una secuencia de comandos de inicio de sesión que ejecuta un archivo de lote que instala el Agente de WatchGuard. El archivo de lote contiene solo una línea, que especifica la ruta de red al archivo .MSI. Los otros parámetros son los mismos que se describen en el procedimiento anterior para la instalación desde el símbolo del sistema de Windows.

msiexec -i "[ruta]\WatchGuard_Agent.msi"

Opción 2 — Crear un GPO de Instalación de Software que Usa un Archivo de Transformación (MST)

Utilice la herramienta Orca del Kit de Desarrollo de Software (SDK) de Windows para crear un archivo de transformación (.MST) que contenga los parámetros de línea de comandos necesarios. Para descargar el SDK de Windows, vaya a la página SDK de Windows de Microsoft.

Para crear el archivo .MST en Orca:

  1. Abra Orca.
  2. Seleccione Archivo > Abrir y seleccione el archivo .MSI del Agente de WatchGuard que ha descargado.
  3. Para comenzar una nueva transformación, seleccione Transformación > Nueva Transformación.
  4. Para guardar el archivo de transformación, seleccione Archivo > Guardar Transformado Como.
    Se abrirá el cuadro de diálogo Guardar Transformación Como.
  5. Seleccione la ubicación donde desea guardar el archivo .MST.
  6. En el cuadro de texto Nombre de Archivo, escriba un nombre para el archivo .MST y, a continuación, haga clic en Guardar.
    El archivo .MST se guarda en la ubicación especificada.
  7. Copie el archivo .MSI original en el directorio que contiene el archivo .MST.
  8. Para probar manualmente la instalación, escriba este comando:
    install: msiexec -i WatchGuard_Agent.msi -t TRANSFORMS=[Nombre del archivo mst del Agente de WatchGuard]

Después de crear el archivo .MST, cree un GPO de Instalación de Software que incluya los archivos .MSI y .MST.

Para crear el GPO de Instalación de Software:

  1. Abra el Editor de Administración de Políticas de Grupo.
  2. Navegue a los ajustes de instalación del software.
  3. Haga clic con el botón derecho y seleccione Nuevo > Paquete.
  4. Especifique la ruta de red al archivo .MSI.
  5. Seleccione Avanzado.
  6. Seleccione la pestaña Modificaciones.
  7. Haga clic en Agregar.
  8. Especifique la ruta de red al archivo .MST.
  9. Haga clic en Aceptar.
  10. En el menú Inicio de Windows, haga clic con el botón derecho en Símbolo del Sistema y seleccione Ejecutar como Administrador.
    Aparece una ventana del Símbolo del Sistema de Windows.
  11. Utilice el comando gpupdate para actualizar la configuración de la política de grupo.
  12. Para probar el GPO, reinicie una computadora en el dominio.

Conectarse a FireCloud con el Connection Manager de WatchGuard

Para conectarse a FireCloud, desde el Connection Manager de WatchGuard:

  1. Abra el Connection Manager de WatchGuard.
  2. Haga clic en Conectar.
  3. Ingrese su nombre de usuario o dirección de correo electrónico y luego haga clic en Siguiente.
  4. Ingrese su contraseña.
    Aparece un mensaje de éxito cuando se conecte a FireCloud.

Mientras esté conectado a FireCloud, estará protegido y podrá usar su computadora y navegar por Internet de forma segura. Después de conectarse a FireCloud por primera vez, el agente mantiene su sesión abierta y usted permanece conectado incluso si reinicia su computadora.

Desconectarse de FireCloud

En algunos casos, es posible que tenga que desconectarse de FireCloud. Por ejemplo, es posible que tenga que desconectarse cuando necesite conectarse a una VPN.

Para desconectarse de FireCloud, en la bandeja del sistema de su computadora, haga clic con el botón derecho en el icono de FireCloud y, a continuación, seleccione Desconectar. Después de completar la tarea, debe volver a conectarse manualmente a FireCloud.

La regla de acceso a FireCloud que se aplica a su grupo de usuarios determina si puede desconectarse manualmente de FireCloud

Ver Mensajes de Registro del Connection Manager

Para ayudarle a resolver problemas de conexión con FireCloud, puede utilizar los mensajes de registro del connection manager.

Para ver los mensajes de registro:

  1. En la bandeja del sistema de su computadora, haga clic en el icono de FireCloud.
  2. Seleccione Ver Mensajes de Registro.
    Verá los mensajes de registro activos del connection manager.

Si es necesario, puede guardar los mensajes de registro en un archivo de texto. Puede hacerlo cuando trabaje con el Soporte de WatchGuard para resolver problemas.

Temas Relacionados

Acerca del Connection Manager de WatchGuard

Agente de WatchGuard — Mensajes de Error de Instalación y Actualización

Problemas de Instalación del Agente de WatchGuard MSI con WatchGuard Endpoint Security