Crear una VPN de acceso remoto—Juniper Secure Connect
Usted está aquí: VPN > red > VPN IPsec.
Juniper Secure Connect es la solución SSL-VPN basada en clientes de Juniper que ofrece conectividad segura para sus recursos de red.
Juniper Secure Connect proporciona acceso remoto seguro para que los usuarios se conecten a las redes y recursos corporativos de forma remota a través de Internet. Juniper Secure Connect descarga la configuración de los dispositivos de SRX Services y elige los protocolos de transporte más eficaces durante el establecimiento de la conexión para ofrecer una excelente experiencia de administrador y usuario.
Para crear una VPN de acceso remoto para Juniper secure connect:
Campo |
Acción |
|---|---|
Nombre |
Escriba un nombre para la conexión de acceso remoto. Este nombre se mostrará como el nombre del dominio de usuarios finales en Juniper Secure Connect Client. |
Descripción |
Introduzca una descripción. Esta descripción se utilizará para las propuestas de IKE e IPsec, las políticas, el perfil de acceso remoto, la configuración del cliente y el conjunto de reglas NAT. Durante la edición, se mostrará la descripción de la directiva IPsec. Se actualizarán las descripciones de la directiva IPsec y de los perfiles de acceso remoto. |
Modo de enrutamiento |
Esta opción está deshabilitada para el acceso remoto. El modo predeterminado es Selector de tráfico (inserción automática de rutas). |
Método de autenticación |
Seleccione un método de autenticación de la lista que el dispositivo utiliza para autenticar el origen de los mensajes de Intercambio de claves por Internet (IKE):
|
Creación automática de políticas de firewall |
Si selecciona Sí, se crea automáticamente una directiva de firewall entre la zona interna y la zona de interfaz de túnel con redes locales protegidas como dirección de origen y redes protegidas remotas como dirección de destino. Se creará otra política de firewall viceversa. Si elige No, no tiene una opción de directiva de firewall. Debe crear manualmente la directiva de firewall necesaria para que esta VPN funcione.
Nota:
Si no desea crear automáticamente una política de firewall en el flujo de trabajo de VPN, la red protegida se oculta para el enrutamiento dinámico en la puerta de enlace local y remota. |
Usuario remoto |
Muestra el icono de usuario remoto en la topología. Haga clic en el icono para configurar los ajustes del cliente de Juniper Secure Connect. Para obtener más información sobre los campos, consulte la Tabla 2.
Nota:
La interfaz de usuario de J-Web muestra la URL del usuario remoto una vez configurada la puerta de enlace local. |
Puerta de enlace local |
Muestra el icono de puerta de enlace local en la topología. Haga clic en el icono para configurar la puerta de enlace local. Para obtener más información sobre los campos, consulte la Tabla 3. |
Configuración de IKE e IPsec |
Configure la propuesta de IKE o IPsec personalizada y la propuesta de IPsec personalizada con algoritmos o valores recomendados. Para obtener más información sobre los campos, consulte la Tabla 6.
Nota:
|
Campo |
Acción |
|---|---|
| Perfil predeterminado |
Habilite esta opción para usar el nombre de VPN configurado como perfil predeterminado de acceso remoto.
Nota:
|
| Modo de conexión |
Seleccione una de las siguientes opciones de la lista para establecer la conexión del cliente Juniper Secure Connect:
El modo de conexión predeterminado es Manual. |
| SSL VPN |
Active esta opción para establecer una conexión VPN SSL desde Juniper Secure Connect Client al dispositivo de la serie SRX. De forma predeterminada, esta opción está habilitada.
Nota:
Esta es una opción de reserva cuando no se puede acceder a los puertos IPsec. |
| Autenticación biométrica |
Active esta opción para autenticar el sistema cliente mediante métodos configurados únicos. Se muestra un mensaje de autenticación cuando se conecta en el sistema cliente. La conexión VPN solo se iniciará después de una autenticación correcta mediante el método configurado para Windows Hello (reconocimiento de huellas digitales, reconocimiento facial, entrada de PIN, etc.). Windows Hello debe estar preconfigurado en el sistema cliente si la opción Autenticación biométrica está habilitada. |
| Detección de pares muertos |
Active la opción de detección de pares inactivos (DPD) para permitir que el cliente de Juniper Secure Connect detecte si se puede acceder al dispositivo de la serie SRX. Desactive esta opción para permitir que el cliente de Juniper Secure Connect detecte hasta que se restablezca la accesibilidad de la conexión del dispositivo de la serie SRX. Esta opción está habilitada de forma predeterminada. |
| Intervalo DPD |
Especifique la cantidad de tiempo que el par espera el tráfico de su par de destino antes de enviar un paquete de solicitud de detección de pares muertos (DPD). El rango es de 2 a 60 segundos y el valor predeterminado es de 60 segundos. |
| Umbral DPD |
Especifique el número máximo de solicitudes de detección de pares muertos (DPD) incorrectas que se enviarán antes de que el par se considere no disponible. El intervalo es del 1 al 5 y el valor predeterminado es 5. |
| Certificados |
Habilite Certificados para configurar las opciones de certificado en Secure Client Connect.
Nota:
Esta opción sólo está disponible si selecciona el método de autenticación basada en certificados. |
| Advertencia de caducidad |
Active esta opción para mostrar la advertencia de caducidad del certificado en Secure Connect Client. Esta opción está habilitada de forma predeterminada.
Nota:
Esta opción solo está disponible si habilita Certificados. |
| Intervalo de advertencia |
Introduzca el intervalo (días) en el que se mostrará la advertencia. El rango es de 1 a 90. El valor predeterminado es 60.
Nota:
Esta opción solo está disponible si habilita Certificados. |
| Requisito de pin por conexión |
Habilite esta opción para introducir el pin de certificado en muy conexión. Esta opción está habilitada de forma predeterminada.
Nota:
Esta opción solo está disponible si habilita Certificados. |
| EAP-TLS |
Active esta opción para el proceso de autenticación. IKEv2 requiere EAP para la autenticación del usuario. El dispositivo serie SRX no puede actuar como servidor EAP. Se debe usar un servidor RADIUS externo para que el EAP de IKEv2 realice la autenticación EAP. SRX actuará como un autenticador de paso a través de la transmisión de mensajes EAP entre el cliente Juniper Secure Connect y el servidor RADIUS. Esta opción está habilitada de forma predeterminada.
Nota:
Esta opción sólo está disponible si selecciona el método de autenticación basada en certificados. |
| Inicio de sesión de Windows |
Active esta opción para que los usuarios inicien sesión de forma segura en el dominio de Windows antes de iniciar sesión en el sistema Windows. El cliente admite el inicio de sesión en el dominio mediante un proveedor de servicios de credenciales después de establecer una conexión VPN con la red de la empresa. |
| Nombre de dominio |
Introduzca el nombre de dominio del sistema en el que se registra el equipo de usuarios. |
| Modo |
Seleccione una de las siguientes opciones de la lista para iniciar sesión en el dominio de Windows.
|
| Desconectar al cerrar sesión |
Active esta opción para apagar la conexión cuando el sistema cambie al modo de hibernación o espera. Cuando el sistema se reanuda desde el modo de hibernación o en espera, hay que restablecer la conexión. |
| Vaciar la credencial al cerrar la sesión |
Active esta opción para eliminar el nombre de usuario y la contraseña de la memoria caché. Debe volver a introducir el nombre de usuario y la contraseña. |
| Duración del plazo de entrega |
Especifique la duración del plazo para inicializar el tiempo transcurrido entre el inicio de sesión de red y el inicio de sesión de dominio. Una vez configurada la conexión, el inicio de sesión de Windows solo se ejecutará después de que haya transcurrido el tiempo de inicialización establecido aquí. |
| Autenticación EAP |
Active esta opción para ejecutar la autenticación EAP antes del cuadro de diálogo de destino en el proveedor de credenciales. Luego, el sistema solicitará el PIN necesario, independientemente de si se requerirá EAP para el acceso telefónico posterior. Si esta opción está deshabilitada, la autenticación EAP se ejecutará después de la selección de destino. |
| Abrir cuadro de diálogo automático |
Active esta opción para seleccionar si un cuadro de diálogo debe abrirse automáticamente para el establecimiento de la conexión a un dominio remoto. Si esta opción está deshabilitada, la contraseña y el PIN del cliente solo se consultarán después del inicio de sesión de Windows. |
Campo |
Acción |
|---|---|
La puerta de enlace está detrás de NAT |
Active esta opción cuando la puerta de enlace local esté detrás de un dispositivo NAT. |
Dirección IP NAT |
Introduzca la dirección IP pública (NAT) del dispositivo de la serie SRX.
Nota:
Esta opción solo está disponible cuando la puerta de enlace está atrasada NAT está habilitada. Puede configurar una dirección IPv4 para hacer referencia al dispositivo NAT. |
IKE ID |
Este campo es obligatorio. Introduzca el ID de IKE en el formato user@example.com. |
Interfaz externa |
Seleccione una interfaz de salida de la lista a la que se conectará el cliente. La lista contiene todas las direcciones IP disponibles si hay más de una dirección IPv4 configurada en la interfaz especificada. La dirección IP seleccionada se configurará como la dirección local en la puerta de enlace de IKE. |
Interfaz de túnel |
Seleccione una interfaz de la lista para que el cliente se conecte. Haga clic en Agregar para agregar una nueva interfaz. Aparecerá la página Crear interfaz de túnel. Para obtener más información sobre cómo crear una nueva interfaz de túnel, consulte la tabla 4. Haga clic en Editar para editar la interfaz del túnel seleccionado. |
Clave precompartida |
Escriba uno de los siguientes valores de la clave previamente compartida:
Nota:
Esta opción está disponible si el método de autenticación es Clave precompartida. |
Certificado local |
Seleccione un certificado local de la lista. El certificado local enumera solo los certificados RSA. Para agregar un certificado, haga clic en Agregar. Para obtener más información sobre cómo agregar un certificado de dispositivo, consulte Agregar un certificado de dispositivo. Para importar un certificado, haga clic en Importar. Para obtener más información sobre la importación de un certificado de dispositivo, consulte Importar un certificado de dispositivo.
Nota:
Esta opción está disponible si el método de autenticación está basado en certificados. |
CA/grupo de confianza |
Seleccione un perfil de grupo o autoridad de certificación de confianza de la lista. Para agregar un perfil de CA, haga clic en Agregar perfil de CA. Para obtener más información sobre cómo agregar un perfil de CA, consulte Agregar un perfil de entidad de certificación.
Nota:
Esta opción está disponible si el método de autenticación está basado en certificados. |
Autenticación de usuario |
Este campo es obligatorio. Seleccione el perfil de autenticación de la lista que se usará para autenticar al usuario que acceda a la VPN de acceso remoto. Haga clic en Agregar para crear un nuevo perfil. Para obtener más información sobre cómo crear un nuevo perfil de acceso, consulte Agregar un perfil de acceso. |
Perfil de VPN SSL |
Seleccione el perfil VPN SSL de la lista que se utilizará para finalizar las conexiones de acceso remoto. Para crear un nuevo perfil de VPN SSL:
|
Tráfico NAT de origen |
Esta opción está habilitada de forma predeterminada. Todo el tráfico del cliente de Juniper Secure Connect se envía a la interfaz seleccionada de forma predeterminada. Si está deshabilitado, debe asegurarse de que tiene una ruta desde la red que apunte a los dispositivos de la serie SRX para manejar correctamente el tráfico de retorno. |
Interfaz |
Seleccione una interfaz de la lista por la que pase el tráfico NAT de origen. |
Redes protegidas |
Haga clic en +. Aparecerá la página Crear redes protegidas. |
| Crear redes protegidas | |
Zona |
Seleccione una zona de seguridad de la lista que se usará como zona de origen en la directiva de firewall. |
Dirección global |
Seleccione las direcciones de la columna Disponible y, a continuación, haga clic en la flecha derecha para moverla a la columna Seleccionada. Haga clic en Agregar para seleccionar las redes a las que el cliente puede conectarse. Aparecerá la página Crear dirección global. Para obtener más información sobre los campos, consulte la Tabla 5. |
Editar |
Seleccione la red protegida que desea editar y haga clic en el icono del lápiz. Aparece la página Editar redes protegidas con campos editables. |
Eliminar |
Seleccione la red protegida que desea editar y haga clic en el icono de eliminar. Aparece el mensaje de confirmación. Haga clic en Sí para eliminar la red protegida. |
Campo |
Acción |
|---|---|
Unidad de interfaz |
Introduzca el número de unidad lógica. |
Descripción |
Escriba una descripción para la interfaz lógica. |
Zona |
Seleccione una zona de la lista para agregarla a la interfaz del túnel. Esta zona se utiliza en la creación automática de la directiva de firewall. Haga clic en Agregar para agregar una nueva zona. Escriba el nombre y la descripción de la zona y haga clic en Aceptar en la página Crear zona de seguridad. |
Instancia de enrutamiento |
Seleccione una instancia de enrutamiento de la lista.
Nota:
La instancia de enrutamiento predeterminada, principal, hace referencia a la tabla de enrutamiento inet.0 principal del sistema lógico. |
Campo |
Acción |
|---|---|
Nombre |
Escriba un nombre para la dirección global. El nombre debe ser una cadena única que debe comenzar con un carácter alfanumérico y puede incluir dos puntos, puntos, guiones y guiones bajos; no se permiten espacios; Máximo de 63 caracteres. |
Tipo de IP |
Seleccione IPv4. |
| IPv4 | |
Dirección IPv4 |
Introduzca una dirección IPv4 válida. |
Subred |
Introduzca la subred para la dirección IPv4. |
Campo |
Acción |
|---|---|
| Configuración de IKE
Nota:
Los siguientes parámetros se generan automáticamente y no se muestran en la interfaz de usuario de J-Web:
|
|
Algoritmo de cifrado |
Seleccione el mecanismo de cifrado adecuado de la lista. El valor predeterminado es AES-CBC de 256 bits. |
Algoritmo de autenticación |
Seleccione el algoritmo de autenticación de la lista. Por ejemplo, SHA de 256 bits. |
Grupo DH |
Un intercambio Diffie-Hellman (DH) permite a los participantes generar un valor secreto compartido. Seleccione el grupo DH adecuado de la lista. El valor predeterminado es group19. |
Segundos de por vida |
Seleccione una duración de por vida (en segundos) de una asociación de seguridad (SA) de IKE. El valor predeterminado es 28.800 segundos. Rango: 180 a 86,400 segundos. |
Detección de pares muertos |
Active esta opción para enviar solicitudes de detección de pares inactivos, independientemente de si hay tráfico IPsec saliente al par. |
Modo DPD |
Seleccione una de las opciones de la lista:
|
Intervalo DPD |
Seleccione un intervalo (en segundos) para enviar mensajes de detección de pares inactivos. El intervalo predeterminado es de 10 segundos. El rango es de 2 a 60 segundos. |
Umbral DPD |
Seleccione un número del 1 al 5 para establecer el umbral de DPD de error. Esto especifica el número máximo de veces que se deben enviar los mensajes DPD cuando no hay respuesta del par. El número predeterminado de transmisiones es 5 veces. |
| Configuración avanzada (opcional) | |
NAT-T |
Active esta opción para que el tráfico IPsec pase a través de un dispositivo NAT. NAT-T es un algoritmo IKE fase 1 que se utiliza cuando se intenta establecer una conexión VPN entre dos dispositivos de puerta de enlace, donde hay un dispositivo NAT delante de uno de los dispositivos de la serie SRX. |
NAT Keep Alive |
Seleccione el intervalo keepalive adecuado en segundos. Rango: 1 a 300. Si se espera que la VPN tenga largos períodos de inactividad, puede configurar valores keepalive para generar tráfico artificial para mantener la sesión activa en los dispositivos NAT. |
Límite de conexión IKE |
Introduzca el número de conexiones simultáneas que admite el perfil VPN. El rango es de 1 a 4294967295. Cuando se alcanza el número máximo de conexiones, ningún otro extremo de usuario de acceso remoto (VPN) que intente tener acceso a una VPN IPsec puede iniciar negociaciones de Intercambio de claves por Internet (IKE). |
Fragmentación IKEv2 |
Esta opción está habilitada de forma predeterminada. La fragmentación de IKEv2 divide un mensaje IKEv2 grande en un conjunto de mensajes más pequeños para que no haya fragmentación en el nivel de IP. La fragmentación tiene lugar antes de cifrar y autenticar el mensaje original, de modo que cada fragmento se cifra y autentica por separado.
Nota:
Esta opción está disponible si el método de autenticación está basado en certificados. |
Tamaño del fragmento IKEv2 |
Seleccione el tamaño máximo, en bytes, de un mensaje IKEv2 antes de dividirlo en fragmentos. El tamaño se aplica al mensaje IPv4. Rango: 570 a 1320 bytes. El valor predeterminado es 576 bytes.
Nota:
Esta opción está disponible si el método de autenticación está basado en certificados. |
| Configuración de IPsec
Nota:
El método de autenticación es Pre-Shared Key o Certificate Based, genera automáticamente el protocolo como ESP. |
|
Algoritmo de cifrado |
Seleccione el método de cifrado. El valor predeterminado es AES-GCM de 256 bits. |
Algoritmo de autenticación |
Seleccione el algoritmo de autenticación IPsec de la lista. Por ejemplo, HMAC-SHA-256-128.
Nota:
Esta opción está disponible cuando el algoritmo de cifrado no es gcm. |
Confidencialidad directa perfecta |
Seleccione Confidencialidad directa perfecta (PFS) en la lista. El dispositivo utiliza este método para generar la clave de cifrado. El valor predeterminado es group19. PFS genera cada nueva clave de cifrado independientemente de la clave anterior. Los grupos numerados más altos proporcionan más seguridad, pero requieren más tiempo de procesamiento.
Nota:
group15, group16 y group21 solo admiten la línea SRX5000 de dispositivos con una tarjeta SPC3 y un paquete junos-ike instalados. |
Segundos de por vida |
Seleccione la duración (en segundos) de una asociación de seguridad (SA) IPsec. Cuando la SA expira, se reemplaza por una nueva SA e índice de parámetros de seguridad (SPI) o se termina. El valor predeterminado es de 3.600 segundos. Rango: 180 a 86,400 segundos. |
Kilobytes de por vida |
Seleccione la duración (en kilobytes) de una SA IPsec. El valor predeterminado es 256kb. Rango: 64 a 4294967294. |
| Configuración avanzada | |
Anti Repetición |
IPsec protege contra ataques VPN mediante una secuencia de números integrada en el paquete IPsec; el sistema no acepta un paquete con el mismo número de secuencia. Esta opción está habilitada de forma predeterminada. El Anti-Replay comprueba los números de secuencia y aplica la comprobación, en lugar de simplemente ignorar los números de secuencia. Deshabilite Anti-Replay si hay un error con el mecanismo IPsec que da como resultado paquetes fuera de orden, lo que impide su correcto funcionamiento. |
Intervalo de instalación |
Seleccione el número máximo de segundos que desea permitir la instalación de una asociación de seguridad de salida (SA) con nueva clave en el dispositivo. Seleccione un valor de 1 a 10 segundos. |
Tiempo de inactividad |
Seleccione el intervalo de tiempo de inactividad. Las sesiones y sus traducciones correspondientes agotan el tiempo de espera después de un cierto período de tiempo si no se recibe tráfico. El rango es de 60 a 999999 segundos. |
DF Bit |
Seleccione cómo maneja el dispositivo el bit No fragmentar (DF) en el encabezado exterior:
|
Copiar DSCP externo |
Esta opción está habilitada de forma predeterminada. Esto permite copiar el punto de código de servicios diferenciados (DSCP) (DSCP+ECN externo) desde el paquete cifrado con encabezado IP externo al mensaje de texto sin formato del encabezado IP interno en la ruta de descifrado. Al habilitar esta característica, después del descifrado de IPsec, los paquetes de texto sin cifrar pueden seguir las reglas internas de CoS (DSCP+ECN). |