Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Cree una VPN de acceso remoto: cliente exclusivo de NCP

Usted está aquí: RED > VPN > VPN IPsec.

El cliente de acceso remoto exclusivo de NCP forma parte de la solución de acceso remoto exclusivo de NCP para puertas de enlace serie SRX de Juniper. El cliente VPN solo está disponible con administración de acceso remoto exclusivo de NCP. Utilice el cliente exclusivo de NCP para establecer vínculos de datos seguros y basados en IPsec desde cualquier ubicación cuando se conecte con puertas de enlace serie SRX.

Para crear una VPN de acceso remoto para Juniper secure connect:

  1. Elija Create VPN > Remote Access > NCP Exclusive Client en la parte superior derecha de la página VPN IPsec.

    Aparecerá la página Create Remote Access (NCP Exclusive Client).

  2. Complete la configuración de acuerdo con las pautas proporcionadas en la tabla 1 a la tabla 5.

    La conectividad VPN cambiará de línea gris a azul en la topología para mostrar que la configuración está completa.

  3. Haga clic en Guardar para guardar los cambios.

    Si desea descartar los cambios, haga clic en Cancelar.

Tabla 1: Campos de la página Crear acceso remoto (cliente exclusivo de NCP)

Campo

Acción

Nombre

Escriba un nombre para la conexión de acceso remoto. Este nombre se mostrará como el nombre de conexión de los usuarios finales en el cliente exclusivo ncp.

Descripción

Escriba una descripción. Esta descripción se utilizará para las propuestas de IKE e IPsec, las políticas, el perfil de acceso remoto, la configuración del cliente y el conjunto de reglas de TDR.

Durante la edición, se mostrará la descripción de la política de IPsec. La política IPsec y las descripciones del perfil de acceso remoto se actualizarán.

Modo de enrutamiento

Esta opción está deshabilitada para el acceso remoto.

El modo predeterminado es selector de tráfico (inserción automática de ruta).

Método de autenticación

Seleccione un método de autenticación de la lista que el dispositivo utiliza para autenticar el origen de los mensajes de intercambio de claves por internet (IKE):

  • Clave precompartida (método predeterminado): especifica que una clave previamente compartida, que es una clave secreta compartida entre los dos pares, se utiliza durante la autenticación para identificar los pares entre sí. Se debe configurar la misma clave para cada par. Este es el método predeterminado.

  • Basado en certificados: tipos de firmas digitales, que son certificados que confirman la identidad del titular del certificado.

    La firma compatible es rsa-signatures. rsa-signatures especifica que se utiliza un algoritmo de clave pública, que admite el cifrado y las firmas digitales.

Política de creación automática de firewall

Si selecciona , se crea automáticamente una política de firewall entre la zona interna y la zona de interfaz de túnel con redes protegidas locales como dirección de origen y redes protegidas remotas como dirección de destino.

Otra política de firewall se creará visa-versa.

Si elige No, no tiene una opción de política de firewall. Debe crear manualmente la política de firewall necesaria para que esta VPN funcione.

Nota:

Si no desea crear automáticamente una política de firewall en el flujo de trabajo de VPN, la red protegida se oculta para el enrutamiento dinámico en la puerta de enlace local y remota.

Usuario remoto

Muestra el icono de usuario remoto en la topología.

Esta opción está deshabilitada.

Puerta de enlace local

Muestra el icono de puerta de enlace local en la topología. Haga clic en el icono para configurar la puerta de enlace local.

Para obtener más información sobre los campos, consulte la tabla 2.

Configuración de ICR e IPsec

Configure la propuesta de ICR o IPsec personalizada y la propuesta de IPsec personalizada con los algoritmos o valores recomendados.

Para obtener más información sobre los campos, consulte la Tabla 5.

Nota:

  • J-Web solo admite una propuesta de ICR personalizada y no admite el conjunto de propuestas predefinidos. Al editar y guardar, J-Web elimina la propuesta predefinida si está configurada.

  • En la puerta de enlace remota del túnel VPN, debe configurar la misma propuesta y política personalizadas.

  • Tras la edición, J-Web muestra la primera propuesta de ICR e IPsec personalizada cuando se configura más de una propuesta personalizada.
Tabla 2: Campos en la página de puerta de enlace local

Campo

Acción

La puerta de enlace está detrás de TDR

Active esta opción cuando la puerta de enlace local está detrás de un dispositivo TDR.

Dirección IP TDR

Ingrese la dirección IP pública (TDR) del dispositivo serie SRX.

Nota:

Esta opción solo está disponible cuando la puerta de enlace está detrás de TDR está habilitada. Puede configurar una dirección IPv4 para hacer referencia al dispositivo TDR.

ID de ICR

Este campo es obligatorio. Ingrese el ID de ICR en el formato user@example.com.

Interfaz externa

Seleccione una interfaz de salida de la lista a la que se conectará el cliente.

La lista contiene todas las direcciones IP disponibles si más de una dirección IPv4 está configurada en la interfaz especificada. La dirección IP seleccionada se configurará como la dirección local en la puerta de enlace de IKE.

Interfaz de túnel

Seleccione una interfaz de la lista para que el cliente se conecte.

Haga clic en Agregar para agregar una nueva interfaz. Aparecerá la página Crear interfaz de túnel. Para obtener más información sobre cómo crear una nueva interfaz de túnel, consulte la tabla 3.

Haga clic en Editar para editar la interfaz de túnel seleccionada.

Clave precompartida

Escriba uno de los valores siguientes de la clave previamente compartida:

  • ascii-text— clave de texto ASCII.

  • clave hexadecimal: clave hexadecimal.

Nota:

Esta opción está disponible si el método de autenticación es clave precompartida.

Certificado local

Seleccione un certificado local de la lista.

El certificado local enumera solo los certificados RSA.

Para agregar un certificado, haga clic en Agregar. Para obtener más información sobre cómo agregar un certificado de dispositivo, consulte Agregar un certificado de dispositivo.

Para importar un certificado, haga clic en Importar. Para obtener más información sobre cómo importar un certificado de dispositivo, consulte Importar un certificado de dispositivo.

Nota:

Esta opción está disponible si el método de autenticación está basado en certificados.

Ca/Grupo de confianza

Seleccione un perfil de grupo o autoridad de certificación de confianza de la lista.

Para agregar un perfil de CA, haga clic en Agregar perfil de CA. Para obtener más información sobre cómo agregar un perfil de CA, consulte Agregar un perfil de entidad de certificación.

Nota:

Esta opción está disponible si el método de autenticación está basado en certificados.

Autenticación de usuario

Este campo es obligatorio. Seleccione el perfil de autenticación de la lista que se utilizará para autenticar a los usuarios que acceden a la VPN de acceso remoto.

Haga clic en Agregar para crear un perfil nuevo. Para obtener más información sobre cómo crear un nuevo perfil de acceso, consulte Agregar un perfil de acceso.

Perfil de VPN SSL

Seleccione el perfil VPN SSL de la lista que se utilizará para finalizar las conexiones de acceso remoto.

Para crear un nuevo perfil VPN SSL:

  1. Haga clic en Agregar.

  2. Ingrese los siguientes detalles:

    • Nombre: escriba el nombre de un perfil VPN SSL.

    • Registro: habilite esta opción para iniciar sesión en VPN SSL.

    • Perfil de terminación SSL: seleccione un perfil de terminación SSL de la lista.

      Para agregar un nuevo perfil de terminación SSL:

      1. Haga clic en Agregar.

      2. Ingrese los siguientes detalles:

        • Nombre: escriba un nombre para el perfil de terminación SSL.

        • Certificado de servidor: seleccione un certificado de servidor de la lista.

          Para agregar un certificado, haga clic en Agregar. Para obtener más información sobre cómo agregar un certificado de dispositivo, consulte Agregar un certificado de dispositivo.

          Para importar un certificado, haga clic en Importar. Para obtener más información sobre cómo importar un certificado de dispositivo, consulte Importar un certificado de dispositivo.

        • Haga clic en Aceptar.

      3. Haga clic en Aceptar.

  3. Haga clic en Aceptar.

Tráfico TDR de origen

Esta opción está habilitada de forma predeterminada.

Todo el tráfico del cliente de Juniper Secure Connect está NATed a la interfaz seleccionada de forma predeterminada.

Si está deshabilitado, debe asegurarse de que tiene una ruta desde la red que apunta a los dispositivos de la serie SRX para gestionar correctamente el tráfico de devolución.

Interfaz

Seleccione una interfaz de la lista por la que pasa el tráfico TDR de origen.

Redes protegidas

Haga clic en +. Aparecerá la página Crear redes protegidas.
Crear redes protegidas

Zona

Seleccione una zona de seguridad de la lista que se utilizará como zona de origen en la política de firewall.

Dirección global

Seleccione las direcciones en la columna Disponible y, a continuación, haga clic en la flecha derecha para moverla a la columna Seleccionado.

Haga clic en Agregar para seleccionar las redes a las que el cliente puede conectarse.

Aparecerá la página Crear dirección global. Para obtener más información sobre los campos, consulte la Tabla 4.

Editar

Seleccione la red protegida que desea editar y haga clic en el icono de lápiz.

La página Editar redes protegidas aparece con campos editables.

Eliminar

Seleccione la red protegida que desea editar y haga clic en el icono eliminar.

Aparecerá el mensaje de confirmación.

Haga clic en para eliminar la red protegida.
Tabla 3: Campos en la página Crear interfaz de túnel

Campo

Acción

Unidad de interfaz

Escriba el número de unidad lógica.

Descripción

Escriba una descripción para la interfaz lógica.

Zona

Seleccione una zona de la lista para agregarla a la interfaz de túnel.

Esta zona se utiliza en la creación automática de la política de firewall.

Haga clic en Agregar para agregar una nueva zona. Escriba el nombre y la descripción de la zona y haga clic en Aceptar en la página Crear zona de seguridad.

Instancia de enrutamiento

Seleccione una instancia de enrutamiento de la lista.

Nota:

La instancia de enrutamiento predeterminada, principal, hace referencia a la tabla de enrutamiento principal inet.0 en el sistema lógico.
Tabla 4: Campos en la página Crear direcciones globales

Campo

Acción

Nombre

Escriba un nombre para la dirección global. El nombre debe ser una cadena única que debe comenzar con un carácter alfanumérico y puede incluir puntos, puntos, guiones y guiones bajos; no se permiten espacios; Máximo de 63 caracteres.

Tipo de IP

Seleccione IPv4.
IPv4

Dirección IPv4

Ingrese una dirección IPv4 válida.

Subred

Ingrese la subred para la dirección IPv4.
Tabla 5: Configuración de ICR e IPsec

Campo

Acción
Configuración de IKE
Nota:

Los siguientes parámetros se generan automáticamente y no se muestran en la interfaz de usuario de J-Web:

  • Si el método de autenticación es clave precompartida, la versión de IKE es 1, el tipo de usuario de ike es shared-ike-id y el modo es agresivo.

  • Si el método de autenticación está basado en certificados, la versión de IKE es 2, el tipo de usuario de ike es group-ike-id y el modo es Principal.

Algoritmo de cifrado

Seleccione el mecanismo de cifrado adecuado de la lista.

El valor predeterminado es AES-CBC de 256 bits.

Algoritmo de autenticación

Seleccione el algoritmo de autenticación de la lista. Por ejemplo, SHA de 256 bits.

Grupo DH

Un intercambio Diffie-Hellman (DH) permite a los participantes generar un valor secreto compartido. Seleccione el grupo DH adecuado de la lista. El valor predeterminado es group19.

Segundos de vida útil

Seleccione una duración (en segundos) de una asociación de seguridad (SA) de ICR.

El valor predeterminado es 28 800 segundos. Rango: de 180 a 86 400 segundos.

Detección de pares muertos

Habilite esta opción para enviar solicitudes de detección de pares inactivos independientemente de si hay tráfico IPsec saliente al par.

Modo DPD

Seleccione una de las opciones de la lista:

  • optimizado: envía sondeos solo cuando hay tráfico de salida y no hay tráfico de datos entrante - RFC3706 (modo predeterminado).

  • probe-idle-tunnel: envía sondas igual que en el modo optimizado y también cuando no hay tráfico de datos saliente y entrante.

  • always-send: envía sondeos periódicamente independientemente del tráfico de datos entrante y saliente.

Intervalo DPD

Seleccione un intervalo (en segundos) para enviar mensajes de detección de pares inactivos. El intervalo predeterminado es de 10 segundos. El rango es de 2 a 60 segundos.

Umbral DPD

Seleccione un número del 1 al 5 para establecer el umbral DPD de falla.

Esto especifica la cantidad máxima de veces que se deben enviar los mensajes DPD cuando no hay respuesta del par. El número predeterminado de transmisiones es 5 veces.
Configuración avanzada (opcional)

TDR-T

Habilite esta opción para que el tráfico IPsec pase a través de un dispositivo TDR.

TDR-T es un algoritmo de fase 1 de ICR que se utiliza cuando se intenta establecer una conexión VPN entre dos dispositivos de puerta de enlace, donde hay un dispositivo TDR delante de uno de los dispositivos de la serie SRX.

TDR manténgase vivo

Seleccione el intervalo de mantenimiento adecuado en segundos. Rango: 1 a 300.

Si se espera que la VPN tenga grandes períodos de inactividad, puede configurar valores de conservación para generar tráfico artificial para mantener la sesión activa en los dispositivos TDR.

Límite de conexión de ICR

Escriba el número de conexiones simultáneas que admite el perfil de VPN.

El rango es del 1 al 4294967295.

Cuando se alcanza la cantidad máxima de conexiones, ningún punto de conexión de usuario de acceso remoto (VPN) que intente acceder a una VPN IPsec puede iniciar negociaciones de intercambio de claves por internet (IKE).

Fragmentación de IKEv2

Esta opción está habilitada de forma predeterminada. La fragmentación de IKEv2 divide un mensaje IKEv2 grande en un conjunto de mensajes más pequeños para que no haya fragmentación en el nivel de IP. La fragmentación tiene lugar antes de que el mensaje original se cifrado y autentifique, de modo que cada fragmento se cifra y autentica por separado.

Nota:

Esta opción está disponible si el método de autenticación está basado en certificados.

Tamaño de fragmento IKEv2

Seleccione el tamaño máximo, en bytes, de un mensaje IKEv2 antes de dividirlo en fragmentos.

El tamaño se aplica al mensaje IPv4. Rango: 570 a 1320 bytes.

El valor predeterminado es 576 bytes.

Nota:

Esta opción está disponible si el método de autenticación está basado en certificados.
Configuración de IPsec

Algoritmo de cifrado

Seleccione el método de cifrado. El valor predeterminado es AES-GCM de 256 bits.

Algoritmo de autenticación

Seleccione el algoritmo de autenticación IPsec de la lista. Por ejemplo, HMAC-SHA-256-128.

Nota:

Esta opción está disponible cuando el algoritmo de cifrado no es gcm.

Confidencialidad directa perfecta

Seleccione Perfect Forward Secrecy (PFS) de la lista. El dispositivo usa este método para generar la clave de cifrado. El valor predeterminado es group19.

PFS genera cada nueva clave de cifrado independientemente de la clave anterior. Los grupos con mayor número proporcionan más seguridad, pero requieren más tiempo de procesamiento.

Nota:

group15, group16 y group21 solo admiten la línea SRX5000 de dispositivos con una tarjeta SPC3 y un paquete junos-ike instalados.

Segundos de vida útil

Seleccione la vida útil (en segundos) de una asociación de seguridad (SA) de IPsec. Cuando caduca la SA, se sustituye por una nueva SA y un índice de parámetros de seguridad (SPI) o se termina. El valor predeterminado es de 3.600 segundos. Rango: de 180 a 86 400 segundos.

Kilobytes de por vida

Seleccione la vida útil (en kilobytes) de una SA IPsec. El valor predeterminado es 256kb. Rango: de 64 a 4294967294.
Configuración avanzada

Anti repetición

IPsec protege contra ataques VPN mediante el uso de una secuencia de números integrados en el paquete IPsec: el sistema no acepta un paquete con el mismo número de secuencia.

Esta opción está habilitada de forma predeterminada. El Anti-Replay comprueba los números de secuencia y aplica la comprobación, en lugar de simplemente ignorar los números de secuencia.

Desactive la anti-reproducción si hay un error con el mecanismo IPsec que da como resultado paquetes fuera de orden, lo que impide la funcionalidad adecuada.

Intervalo de instalación

Seleccione el número máximo de segundos para permitir la instalación de una asociación de seguridad saliente (SA) de clave reclavada en el dispositivo. Seleccione un valor del 1 al 10.

Tiempo de inactividad

Seleccione el intervalo de tiempo de inactividad. Las sesiones y el tiempo de las traducciones correspondientes han transcurrido un cierto período de tiempo si no se recibe tráfico. El rango es de 60 a 999999 segundos.

DF Bit

Seleccione cómo el dispositivo maneja el bit Don't Fragment (DF) en el encabezado externo:

  • clear—Borrar (deshabilitar) el bit DF del encabezado externo. Este es el valor predeterminado.

  • copy (copy): permite copiar el bit DF en el encabezado externo.

  • set—Establecer (habilitar) el bit DF en el encabezado externo.

Copiar DSCP externo

Esta opción está habilitada de forma predeterminada. Esto permite copiar el punto de código de servicios diferenciados (DSCP) (DSCP+ ECN externo) desde el paquete cifrado del encabezado IP externo al mensaje de texto sin formato del encabezado IP interno en la ruta de descifrado. Al habilitar esta función, tras el descifrado de IPsec, los paquetes de texto sin formato pueden seguir las reglas internas de CoS (DSCP+ECN).

Documentación relacionada