En este artículo, se explica cómo configurar el túnel de Red privada virtual (VPN) de acceso remoto del cliente al gateway en los routers VPN RV016, RV042, RV042G y RV082 con la ayuda de un software de cliente VPN externo como The Green Bow o VPN Tracker.
Una VPN es una red privada que se utiliza para conectar virtualmente dispositivos del usuario remoto a través de la red pública para proporcionar seguridad. VPN de túnel de acceso remoto es el proceso que se utiliza para configurar una VPN entre una computadora del cliente y una red. El cliente se configura en el escritorio o en la computadora portátil de los usuarios a través del software de cliente VPN. Permite a los usuarios conectarse de manera segura a la red en forma remota. La conexión VPN del cliente a la gateway es útil para que los empleados remotos se conecten a la red de la oficina de manera remota y segura.
Paso 1. Inicie sesión en la utilidad de configuración web y elija VPN > Client to Gateway. Se abre la página De Cliente a Gateway:
Paso 1. Haga clic en el botón de opción correspondiente según el tipo de túnel que desee agregar.
El Número de túnel es un campo generado automáticamente que muestra el número del túnel.
Paso 2. Introduzca un nombre para el túnel en el campo Tunnel Name (Nombre de túnel).
Paso 3. Elija la interfaz WAN adecuada que se utilizará para el túnel VPN en la lista desplegable Interfaz.
Paso 4. (Opcional) Para habilitar la VPN, marque la casilla de verificación en el campo Habilitar. Siempre está marcado de manera predeterminada.
Paso 1. Elija el método de identificación del router adecuado para establecer un túnel VPN en la lista desplegable Local Security Gateway. Omita este paso si eligió VPN de grupo en el Paso 1 de la sección Agregar un nuevo túnel.
Paso 2. Introduzca el nombre del dominio completamente calificado registrado en el campo Nombre de dominio si selecciona Autenticación de IP + Nombre de dominio (FQDN) o Autenticación de IP + Nombre de dominio (FQDN) en el paso 1.
Paso 3. Introduzca la dirección de correo electrónico en el campo Dirección de correo electrónico si selecciona Autenticación IP + Dirección de correo electrónico (FQDN de USUARIO) o Autenticación IP dinámica + Dirección de correo electrónico (FQDN de USUARIO) en el paso 1.
Paso 4. Elija el usuario o grupo de usuarios de LAN local adecuado que pueden acceder al túnel VPN en la lista desplegable Grupo de seguridad local. El valor predeterminado es Subred.
Paso 5. Haga clic en Guardar para guardar la configuración.
Paso 1. Si elije Túnel, elija el método de identificación de cliente adecuado para establecer un túnel VPN de la lista desplegable Tipo de gateway de seguridad remoto. El valor predeterminado es IP únicamente. Omita este paso si se eligió VPN de grupo en el Paso 1 de la sección Agregar un nuevo túnel.
Paso 2. Introduzca la dirección IP del cliente remoto en el campo IP Address si ha seleccionado IP Only (Sólo IP), IP + Domain Name (FQDN) o IP + E-mail Address (FQDN de usuario) Authentication en el paso 1.
Paso 3. Elija la opción adecuada de la lista desplegable para introducir la dirección IP si la conoce o resuelva la dirección IP del servidor DNS si selecciona Sólo IP o Autenticación de nombre de dominio (FQDN) e IP + Dirección de correo electrónico (FQDN de USUARIO) en el paso 1.
Paso 4. Ingrese el nombre de dominio de la dirección IP en el campo Nombre de dominio si elige Autenticación IP + Nombre de dominio (FQDN) o Autenticación IP dinámica + Nombre de dominio (FQDN) en el Paso 1.
Paso 5. Introduzca la dirección de correo electrónico en el campo Dirección de correo electrónico si selecciona Autenticación IP + Dirección de correo electrónico (FQDN de USUARIO) o Autenticación IP dinámica + Dirección de correo electrónico (FQDN de USUARIO) en el paso 1.
Paso 6. Si elige grupo, elija el tipo de cliente remoto adecuado en la lista desplegable Cliente remoto. Omita este paso si se eligió VPN de túnel en el Paso 1 de la sección Agregar un nuevo túnel.
Paso 7. Haga clic en Guardar para guardar la configuración.
El protocolo de seguridad de Internet (IPSec) es un protocolo de seguridad de capa de Internet que proporciona seguridad integral mediante la autenticación y el cifrado durante cualquier sesión de comunicación.
Nota: Para que IPSec funcione, dos extremos de la VPN deben tener los mismos métodos de cifrado, descifrado y autenticación. Además, la clave de Confidencialidad directa perfecta debe ser la misma en ambos lados del túnel.
Paso 1. Elija el modo adecuado de administración de claves para garantizar la seguridad en la lista desplegable Modo de claves. El modo predeterminado es IKE con clave previamente compartida.
Paso 1. Introduzca el valor hexadecimal único para el Índice de parámetros de seguridad (SPI) entrante en el campo SPI entrante. SPI se transporta en el encabezado del Protocolo de carga útil de seguridad encapsulada (ESP), y juntos determinan la protección del paquete entrante. Puede ingresar de 100 a ffffffff. El SPI entrante del router local debe coincidir con el SPI saliente del router remoto.
Paso 2. Introduzca el valor hexadecimal único para el Índice de parámetros de seguridad (SPI) saliente en el campo SPI saliente. SPI se transporta en el encabezado del Protocolo de carga útil de seguridad encapsulada (ESP), y juntos determinan la protección del paquete saliente. Puede ingresar de 100 a ffffffff. El SPI saliente del router remoto debe coincidir con el SPI entrante del router local.
Paso 3. Elija el método de encriptación adecuado para los datos en la lista desplegable Encryption. El cifrado recomendado es 3DES. El túnel VPN necesita utilizar el mismo método de cifrado para ambos extremos.
Paso 4. Elija el método de autenticación adecuado para los datos de la lista desplegable Authentication. La autenticación recomendada es SHA1, ya que es más segura que MD5. El túnel VPN necesita utilizar el mismo método de autenticación para ambos extremos.
Paso 5. Introduzca la clave para cifrar y descifrar los datos en el campo Encryption Key. Si elige DES como método de cifrado en el Paso 3, ingrese un valor hexadecimal de 16 dígitos. Si elige 3DES como método de cifrado en el Paso 3, introduzca un valor hexadecimal de 40 dígitos.
Paso 6. Ingrese una clave previamente compartida para autenticar el tráfico en el campo Authentication Key. Si elige MD5 como método de cifrado en el Paso 4, introduzca un valor hexadecimal de 32 dígitos. Si elige SHA como método de cifrado en el Paso 4, introduzca un valor hexadecimal de 40 dígitos. El túnel VPN necesita utilizar la misma clave previamente compartida para ambos extremos.
Paso 7. Haga clic en Guardar para guardar la configuración.
Paso 1. Elija el grupo DH de fase 1 adecuado de la lista desplegable Grupo DH de fase 1. La Fase 1 se utiliza para establecer la Asociación de seguridad lógica (SA) simplex entre los dos extremos del túnel para admitir la comunicación segura de autenticación. Diffie-Hellman (DH) es un protocolo de intercambio de claves criptográficas que se utiliza para determinar la fuerza de la clave durante la Fase 1 y también comparte la clave secreta para autenticar la comunicación.
Paso 2. Elija el cifrado de fase 1 adecuado para cifrar la clave en la lista desplegable Cifrado de fase 1. Se recomienda usar 3DES, ya que es el método de cifrado más seguro. El túnel VPN necesita utilizar el mismo método de cifrado para ambos extremos.
Paso 3. Elija el método de autenticación de fase 1 adecuado de la lista desplegable Autenticación de fase 1. El túnel VPN necesita utilizar el mismo método de autenticación para ambos extremos.
Paso 4. Introduzca la cantidad de tiempo en segundos durante los cuales las claves de la fase 1 son válidas y el túnel VPN permanece activo en el campo Phase 1 SA Life Time.
Paso 5. Marque la casilla de verificación Confidencialidad directa perfecta para proporcionar más protección a las claves. Esta opción permite que el router genere una nueva clave si se ve comprometida alguna clave. Los datos cifrados solo se ponen en riesgo a través de la clave comprometida. Por lo tanto, proporciona una comunicación más segura y autenticada, ya que protege otras claves a pesar de que se vea comprometida una clave. Esta es una acción recomendada, ya que proporciona más seguridad.
Paso 6. Elija el grupo DH de fase 2 adecuado de la lista desplegable Grupo DH de fase 2. La fase 2 utiliza la asociación de seguridad y se utiliza para determinar la seguridad del paquete de datos mientras los paquetes de datos pasan por los dos terminales.
Paso 7. Elija la encriptación de fase 2 adecuada para encriptar la clave de la lista desplegable encriptación de fase 2. Se recomienda usar AES-256, ya que es el método de cifrado más seguro. El túnel VPN necesita utilizar el mismo método de cifrado para ambos extremos.
Paso 8. Elija el método de autenticación apropiado de la lista desplegable Phase 2 Authentication. El túnel VPN necesita utilizar el mismo método de autenticación para ambos extremos.
Paso 9. Introduzca la cantidad de tiempo en segundos durante los cuales las claves de la fase 2 son válidas y el túnel VPN permanece activo en el campo Phase 2 SA Life Time.
Paso 10. Ingrese una clave previamente compartida entre los pares IKE para autenticar a los pares en el campo Clave previamente compartida. Se pueden utilizar hasta 30 hexadecimales y caracteres como clave previamente compartida. El túnel VPN necesita utilizar la misma clave previamente compartida para ambos extremos.
Nota: Se recomienda encarecidamente cambiar con frecuencia la clave previamente compartida entre los pares IKE para que la VPN permanezca protegida.
Paso 11. Marque la casilla de verificación Complejidad mínima de claves previamente compartidas si desea habilitar el medidor de seguridad para la clave previamente compartida. Se utiliza para determinar la seguridad de la clave previamente compartida a través de barras de color.
Nota: El medidor de fuerza de clave previamente compartida muestra la fuerza de la clave previamente compartida a través de barras de colores. El color rojo indica una seguridad débil, el amarillo indica una seguridad aceptable y el verde indica una seguridad sólida.
Paso 12. Haga clic en Guardar para guardar la configuración.
Paso 1. Haga clic en Advanced para mostrar los parámetros avanzados de IKE con clave previamente compartida.
Paso 2. Marque la casilla de verificación Modo agresivo si la velocidad de la red es baja. Esto intercambia los ID de los terminales del túnel en texto no cifrado durante la conexión de SA (Fase 1), lo que requiere menos tiempo para el intercambio pero es menos seguro.
Nota: El modo agresivo no está disponible para la conexión VPN de cliente de grupo a gateway.
Paso 3. Marque la casilla de verificación Compress (Support IP Payload Compression Protocol (IPComp)) si desea comprimir el tamaño de los datagramas IP. IPComp es un protocolo de compresión IP que se utiliza para comprimir el tamaño del datagrama IP. La compresión IP es útil si la velocidad de la red es baja y el usuario desea transmitir rápidamente los datos sin pérdidas a través de la red lenta, pero no proporciona ninguna seguridad.
Paso 4. Marque la casilla de verificación Señal de mantenimiento si desea que la conexión del túnel VPN permanezca siempre activa. La señal de mantenimiento ayuda a restablecer las conexiones inmediatamente si alguna conexión se vuelve inactiva.
Paso 5. Marque la casilla de verificación Algoritmo de hash AH si desea habilitar el Encabezado de autenticación (AH). AH proporciona autenticación a los datos de origen, integridad de los datos mediante checksum y protección al encabezado de IP. El túnel debe tener el mismo algoritmo para ambos lados.
Paso 6. Verifique la Difusión de NetBIOS si desea permitir el tráfico que no se puede enrutar a través del túnel VPN. Los valores predeterminados no están marcados. NetBIOS se utiliza para detectar recursos de red, como impresoras, computadoras, etc. en la red a través de algunas aplicaciones de software y funciones de Windows, como el Entorno de red.
Paso 7. Marque la casilla de verificación NAT Traversal si desea acceder a Internet desde su LAN privada a través de una dirección IP pública. Si el router VPN está detrás de una gateway NAT, marque esta casilla de verificación para habilitar NAT Traversal. Ambos extremos del túnel deben tener la misma configuración.
Paso 8. Verifique el Intervalo de detección de pares inactivos para verificar la actividad del túnel VPN mediante saludo o ACK de manera periódica. Si marca esta casilla de verificación, ingrese la duración o el intervalo deseado de los mensajes de saludo.
Nota: Puede configurar el intervalo de detección de puntos inactivos sólo para una conexión VPN de cliente a gateway individual, no para una conexión VPN de cliente a gateway de grupo.
Paso 9. Haga clic en Guardar para guardar la configuración.
Ahora ha aprendido cómo configurar el túnel VPN de acceso remoto del cliente al gateway en los routers VPN RV016, RV042, RV042G y RV082.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
10-Dec-2018 |
Versión inicial |