El objetivo de este documento es mostrarle cómo configurar un único cliente para la red privada virtual (VPN) de gateway en los routers VPN de la serie RV32x.
Una VPN es una red privada que se utiliza para conectar virtualmente a un usuario remoto a través de una red pública. Un tipo de VPN es una VPN de cliente a gateway. Una VPN de cliente a gateway es una conexión entre un usuario remoto y la red. El cliente se configura en el dispositivo del usuario con el software de cliente VPN. Permite a los usuarios conectarse de forma remota a una red de forma segura.
Paso 1. Inicie sesión en la utilidad de configuración web y elija VPN > Cliente a Gateway. Se abre la página De Cliente a Gateway:
Paso 2. Haga clic en el botón de radio Túnel para agregar un solo túnel para el cliente a la VPN de gateway.
Nota: Número de túnel: representa el número del túnel. Este número se genera automáticamente.
Paso 1. Introduzca el nombre del túnel en el campo Tunnel Name.
Paso 2. Elija la interfaz a través de la cual el cliente remoto accede a la VPN desde la lista desplegable Interfaz.
Paso 3. Elija el modo adecuado de administración de claves para garantizar la seguridad en la lista desplegable Modo de claves. El modo predeterminado es IKE con clave previamente compartida.
Las opciones se definen de la siguiente manera:
Paso 4. Marque la casilla de verificación Enable para habilitar el cliente en VPN de gateway. Está habilitado de forma predeterminada.
Paso 5. Si desea guardar los parámetros que tiene hasta ahora, desplácese hacia abajo y haga clic en Guardar para guardar los parámetros.
Nota: Siga los pasos siguientes si selecciona Manual o IKE con clave precompartida en la lista desplegable Modo de mantenimiento en el Paso 3 de la sección Agregar un túnel nuevo.
Paso 1. Elija el método de identificación del router adecuado en la lista desplegable Local Security Gateway para establecer un túnel VPN.
Las opciones se definen de la siguiente manera:
Paso 2. Elija el usuario o grupo de usuarios de LAN local adecuado que puedan acceder al túnel VPN en la lista desplegable Tipo de grupo de seguridad local. El valor predeterminado es Subred.
Paso 3. Si desea guardar los parámetros que tiene hasta ahora, desplácese hacia abajo y haga clic en Guardar para guardar los parámetros.
Nota: Siga los pasos siguientes si selecciona IKE con certificado en la lista desplegable Modo de claves en el Paso 3 de la sección Agregar un túnel nuevo.
Paso 1. Elija el certificado local adecuado para identificar el router de la lista desplegable Certificado local. Haga clic en Autogenerador para generar el certificado automáticamente o haga clic en Importar certificado para importar un nuevo certificado.
Nota: Para obtener más información sobre cómo generar certificados automáticamente, refiérase a Generar Certificados en Routers RV320, y para saber cómo importar certificados consulte Configurar Mi Certificado en Routers RV320.
Paso 2. Elija el tipo adecuado de usuario local de LAN o grupo de usuarios que pueden acceder al túnel VPN en la lista desplegable Tipo de grupo de seguridad local. El valor predeterminado es Subred.
Paso 3. Si desea guardar los parámetros que tiene hasta ahora, desplácese hacia abajo y haga clic en Guardar para guardar los parámetros.
Nota: Siga los pasos siguientes si selecciona Manual o IKE con clave precompartida en la lista desplegable Modo de mantenimiento en el Paso 3 de la sección Agregar un túnel nuevo.
Paso 1. Elija el método de identificación del cliente adecuado para establecer un túnel VPN en la lista desplegable Remote Security Gateway. El valor predeterminado es IP únicamente.
Nota: Si elige Manual en la lista desplegable Modo de mantenimiento en el Paso 3 de la sección Agregar un Túnel Nuevo a través del Túnel o Grupo VPN, esta será la única opción disponible.
Paso 2. Si desea guardar los parámetros que tiene hasta ahora, desplácese hacia abajo y haga clic en Guardar para guardar los parámetros.
Nota: Siga los pasos siguientes si selecciona IKE con certificado en la lista desplegable Modo de claves en el Paso 3 de la sección Agregar un túnel nuevo.
Paso 1. Elija IP Address o IP by DNS Resolved en la lista desplegable.
Paso 2. Elija el certificado remoto apropiado de la lista desplegable Certificado remoto. Haga clic en Importar certificado remoto para importar un nuevo certificado o haga clic en Autorizar CSR para identificar el certificado con una solicitud de firma digital.
Nota: Si desea obtener más información sobre cómo importar un nuevo certificado, consulte Ver/Agregar certificado SSL de confianza en routers RV320, y para obtener más información sobre CSR autorizado consulte Solicitud de firma de certificado (CSR) en routers RV320.
Paso 3. Si desea guardar los parámetros que tiene hasta ahora, desplácese hacia abajo y haga clic en Guardar para guardar los parámetros.
Nota: Siga los pasos siguientes si selecciona Manual en la lista desplegable Modo de mantenimiento en el Paso 3 de la sección Agregar un túnel nuevo.
Paso 1. Introduzca el valor hexadecimal único para el Índice de parámetros de seguridad (SPI) entrante en el campo SPI entrante. El SPI se transporta en el encabezado del protocolo de carga de seguridad de encapsulación (ESP), que juntos determina la asociación de seguridad (SA) para el paquete entrante. El intervalo es de 100 a ffffffff, siendo el valor predeterminado 100.
Paso 2. Introduzca el valor hexadecimal único para el Índice de parámetros de seguridad (SPI) saliente en el campo SPI saliente. El SPI se transporta en el encabezado del protocolo de carga de seguridad de encapsulación (ESP), que juntos determina la asociación de seguridad (SA) para el paquete saliente. El intervalo es de 100 a ffffffff, siendo el valor predeterminado 100.
Nota: El SPI entrante del dispositivo conectado y el SPI saliente del otro extremo del túnel deben coincidir entre sí para establecer un túnel.
Paso 3. Elija el método de cifrado adecuado en la lista desplegable Cifrado. El cifrado recomendado es 3DES. El túnel VPN necesita utilizar el mismo método de cifrado para ambos extremos.
Paso 4. Elija el método de autenticación adecuado en la lista desplegable Autenticación. La autenticación recomendada es SHA1. El túnel VPN necesita utilizar el mismo método de autenticación para ambos extremos.
Paso 5. Introduzca la clave para cifrar y descifrar los datos en el campo Encryption Key (Clave de cifrado). Si ha seleccionado DES como método de encriptación en el paso 3, introduzca un valor hexadecimal de 16 dígitos. Si ha seleccionado 3DES como método de encriptación en el paso 3, introduzca un valor hexadecimal de 40 dígitos.
Paso 6. Ingrese una clave previamente compartida para autenticar el tráfico en el campo Authentication Key. Si elige MD5 como método de cifrado en el Paso 4, introduzca un valor hexadecimal de 32 dígitos. Si elige SHA como método de cifrado en el Paso 4, introduzca un valor hexadecimal de 40 dígitos. El túnel VPN necesita utilizar la misma clave previamente compartida para ambos extremos.
Paso 7. Si desea guardar los parámetros que tiene hasta ahora, desplácese hacia abajo y haga clic en Guardar para guardar los parámetros.
Nota: Siga los pasos siguientes si selecciona IKE con clave precompartida o IKE con certificado en la lista desplegable Modo de claves en el Paso 3 de la sección Agregar un túnel nuevo.
Paso 1. Elija el grupo DH de fase 1 adecuado de la lista desplegable Grupo DH de fase 1. La fase 1 se utiliza para establecer la asociación de seguridad lógica (SA) simple entre los dos extremos del túnel para admitir una comunicación auténtica segura. Diffie-Hellman (DH) es un protocolo de intercambio de claves criptográficas que se utiliza durante la conexión de fase 1 para compartir clave secreta para autenticar la comunicación.
Paso 2. Elija el cifrado de la fase 1 adecuado para cifrar la clave en la lista desplegable Encriptación de la fase 1. Se recomienda usar AES-256, ya que es el método de cifrado más seguro. El túnel VPN necesita utilizar el mismo método de cifrado para ambos extremos.
Paso 3. Elija el método de autenticación adecuado en la lista desplegable Autenticación de Fase 1. El túnel VPN necesita utilizar el mismo método de autenticación para ambos extremos.
Paso 4. Introduzca la cantidad de tiempo en segundos, en la Fase 1, el túnel VPN permanece activo en el campo Phase 1 SA Lifetime. El tiempo predeterminado es 28800 segundos.
Paso 5. Marque la casilla de verificación Perfect Forward Secrecy para proporcionar más protección a las claves. Esta opción permite generar una nueva clave si se pone en peligro alguna. Los datos cifrados solo se ponen en riesgo a través de la clave comprometida. Por lo tanto, proporciona una comunicación más segura y autenticada, ya que protege otras claves a pesar de que se vea comprometida una clave. Esta es una acción recomendada, ya que proporciona más seguridad.
Paso 6. Elija el grupo DH de fase 2 adecuado de la lista desplegable Grupo DH de fase 2. La Fase 1 se utiliza para establecer la Asociación de seguridad lógica (SA) simplex entre los dos extremos del túnel para admitir la comunicación segura de autenticación. Diffie-Hellman (DH) es un protocolo de intercambio de claves criptográficas que se utiliza durante la conexión de fase 1 para compartir clave secreta para autenticar la comunicación.
Paso 7. Elija el cifrado de fase 2 adecuado para cifrar la clave en la lista desplegable Encriptación fase 2. Se recomienda usar AES-256, ya que es el método de cifrado más seguro. El túnel VPN necesita utilizar el mismo método de cifrado para ambos extremos.
Paso 8. Elija el método de autenticación adecuado en la lista desplegable Autenticación de Fase 2. El túnel VPN necesita utilizar el mismo método de autenticación para ambos extremos.
Paso 9. Introduzca la cantidad de tiempo en segundos, en la Fase 2, el túnel VPN permanece activo en el campo Phase 2 SA Lifetime. El tiempo predeterminado es 3600 segundos.
Paso 10. Marque la casilla de verificación Complejidad mínima de claves previamente compartidas si desea habilitar el medidor de seguridad para la clave previamente compartida.
Paso 11. Introduzca una clave que se haya compartido previamente entre los pares IKE en el campo Clave precompartida. Se pueden utilizar hasta 30 caracteres alfanuméricos como clave precompartida. El túnel VPN necesita utilizar la misma clave previamente compartida para ambos extremos.
Nota: Se recomienda encarecidamente cambiar con frecuencia la clave previamente compartida entre los pares IKE para que la VPN permanezca segura.
Nota: Si elige IKE con clave precompartida en la lista desplegable Modo de mantenimiento en la sección Paso 3 para Agregar un Túnel Nuevo, sólo puede tener la opción de configurar el Paso 10, Paso 11 y ver el Medidor de fuerza de clave precompartida.
Paso 12. Si desea guardar los parámetros que tiene hasta ahora, desplácese hacia abajo y haga clic en Guardar para guardar los parámetros.
Los ajustes avanzados son posibles sólo para IKE con clave precompartida e IKE con clave de certificación. La configuración de la clave manual no tiene ninguna configuración avanzada.
Paso 1. Haga clic en Advanced para obtener los parámetros avanzados para IKE con clave previamente compartida.
Paso 2. Marque la casilla de verificación Modo agresivo si la velocidad de la red es baja. Intercambia los ID de los puntos finales del túnel en texto claro durante la conexión SA, lo que requiere menos tiempo para intercambiar pero menos seguro.
Paso 3. Marque la casilla de verificación Compress (Support IP Payload Compression Protocol (IPComp)) si desea comprimir el tamaño del datagrama IP. IPComp es un protocolo de compresión IP que se utiliza para comprimir el tamaño del datagrama IP, si la velocidad de la red es baja y el usuario desea transmitir rápidamente los datos sin pérdida alguna a través de la red lenta.
Paso 4.Marque la casilla de verificación Mantener activo si siempre desea que la conexión del túnel VPN permanezca activa. Ayuda a restablecer las conexiones inmediatamente si alguna conexión se vuelve inactiva.
Paso 5. Marque la casilla de verificación AH Hash Algorithm si desea autenticar el encabezado Authenticate Header (AH). AH proporciona autenticación al origen de los datos, la integridad de los datos a través de la suma de comprobación y la protección se amplía al encabezado IP. El túnel debe tener el mismo algoritmo para ambos lados.
Paso 6. Verifique la Difusión de NetBIOS si desea permitir el tráfico que no se puede enrutar a través del túnel VPN. Los valores predeterminados no están marcados. NetBIOS se utiliza para detectar recursos de red, como impresoras, computadoras, etc. en la red a través de algunas aplicaciones de software y funciones de Windows, como el Entorno de red.
Paso 7. Marque la casilla de verificación NAT Traversal si desea acceder a Internet desde su LAN privada a través de la dirección IP pública. NAT traversal se utiliza para aparecer las direcciones IP privadas de los sistemas internos como direcciones IP públicas para proteger las direcciones IP privadas de cualquier ataque o descubrimiento malicioso.
Paso 8. Verifique el Intervalo de detección de pares inactivos para verificar la actividad del túnel VPN mediante saludo o ACK de manera periódica. Si marca esta casilla de verificación, introduzca la duración o el intervalo de los mensajes de saludo que desee.
Paso 9. Marque Autenticación Extendida para proporcionar más seguridad y autenticación a la conexión VPN. Haga clic en el botón de opción correspondiente para ampliar la autenticación de la conexión VPN.
Nota: Para obtener más información sobre cómo agregar o editar la base de datos local, consulte Configuración de administración de dominios y usuarios en el router RV320.
Paso 10. Verifique Mode Configuration para proporcionar la dirección IP para el solicitante de túnel entrante.
Nota: Los pasos 9 a 11 están disponibles para el Modo de claves previamente compartidas IKE para VPN de túnel.
Paso 11. Haga clic en Guardar para guardar la configuración.
Ya ha aprendido los pasos para configurar un único cliente para gateway VPN en los routers VPN de la serie RV32x