Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Cree una VPN de acceso remoto— Juniper Secure Connect

Usted está aquí: RED > VPN > VPN IPsec.

Juniper Secure Connect es la solución SSL-VPN de Juniper basada en clientes que ofrece conectividad segura para sus recursos de red.

Juniper Secure Connect ofrece un acceso remoto seguro para que los usuarios se conecten a las redes y recursos corporativos de forma remota mediante el uso de Internet. Juniper Secure Connect descarga la configuración de los dispositivos de servicios SRX y elige los protocolos de transporte más eficaces durante el establecimiento de la conexión para ofrecer una gran experiencia de administrador y usuario.

Para crear una VPN de acceso remoto para Juniper secure connect:

  1. Elija Create VPN > Remote Access > Juniper Secure Connect en la parte superior derecha de la página VPN IPsec.

    Aparecerá la página Crear acceso remoto (Juniper Secure Connect).

  2. Complete la configuración de acuerdo con las directrices proporcionadas en la tabla 1 a la tabla 6.

    La conectividad VPN cambiará de línea gris a azul en la topología para mostrar que la configuración está completa.

  3. Haga clic en Guardar para completar la configuración de Secure Connect VPN y la política asociada si ha seleccionado la opción de creación automática de políticas.

    Si desea descartar los cambios, haga clic en Cancelar.

Tabla 1: Campos en la página Crear acceso remoto (Juniper Secure Connect)

Campo

Acción

Nombre

Escriba un nombre para la conexión de acceso remoto. Este nombre se mostrará como el nombre del dominio de los usuarios finales en el Juniper Secure Connect Client.

Descripción

Escriba una descripción. Esta descripción se utilizará para las propuestas de IKE e IPsec, las políticas, el perfil de acceso remoto, la configuración del cliente y el conjunto de reglas de TDR.

Durante la edición, se mostrará la descripción de la política de IPsec. La política IPsec y las descripciones del perfil de acceso remoto se actualizarán.

Modo de enrutamiento

Esta opción está deshabilitada para el acceso remoto.

El modo predeterminado es selector de tráfico (inserción automática de ruta).

Método de autenticación

Seleccione un método de autenticación de la lista que el dispositivo utiliza para autenticar el origen de los mensajes de intercambio de claves por internet (IKE):

  • Clave precompartida (método predeterminado): especifica que una clave previamente compartida, que es una clave secreta compartida entre los dos pares, se utiliza durante la autenticación para identificar los pares entre sí. Se debe configurar la misma clave para cada par. Este es el método predeterminado.

  • Basado en certificados (Certificate Based): permite especificar el tipo de firmas digitales, que son certificados que confirman la identidad del titular del certificado.

    La firma compatible es rsa-signatures. rsa-signatures especifica que se utiliza un algoritmo de clave pública, que admite el cifrado y las firmas digitales.

Política de creación automática de firewall

Si selecciona , se crea automáticamente una política de firewall entre la zona interna y la zona de interfaz de túnel con redes protegidas locales como dirección de origen y redes protegidas remotas como dirección de destino.

Otra política de firewall se creará visa-versa.

Si elige No, no tiene una opción de política de firewall. Debe crear manualmente la política de firewall necesaria para que esta VPN funcione.

Nota:

Si no desea crear automáticamente una política de firewall en el flujo de trabajo de VPN, la red protegida se oculta para el enrutamiento dinámico en la puerta de enlace local y remota.

Usuario remoto

Muestra el icono de usuario remoto en la topología. Haga clic en el icono para configurar la configuración del cliente de Juniper Secure Connect.

Para obtener más información sobre los campos, consulte la tabla 2.

Nota:

La interfaz de usuario de J-Web muestra la DIRECCIÓN URL del usuario remoto una vez configurada la puerta de enlace local.

Puerta de enlace local

Muestra el icono de puerta de enlace local en la topología. Haga clic en el icono para configurar la puerta de enlace local.

Para obtener más información sobre los campos, consulte la Tabla 3.

Configuración de ICR e IPsec

Configure la propuesta de ICR o IPsec personalizada y la propuesta de IPsec personalizada con los algoritmos o valores recomendados.

Para obtener más información sobre los campos, consulte la Tabla 6.

Nota:
  • J-Web solo admite una propuesta de ICR personalizada y no admite el conjunto de propuestas predefinidos. Al editar y guardar, J-Web elimina la propuesta predefinida si está configurada.

  • En la puerta de enlace remota del túnel VPN, debe configurar la misma propuesta y política personalizadas.

  • Tras la edición, J-Web muestra la primera propuesta de ICR e IPsec personalizada cuando se configura más de una propuesta personalizada.

Tabla 2: Campos en la página de usuario remoto

Campo

Acción

Perfil predeterminado

Habilite esta opción para usar el nombre vpn configurado como perfil predeterminado de acceso remoto.

Nota:
  • Esta opción no está disponible si el perfil predeterminado está configurado.

  • Debe habilitar el perfil predeterminado. Si no está habilitado, configure el perfil predeterminado en VPN > VPN IPsec > Configuración global > VPN de acceso remoto.

Modo de conexión

Seleccione una de las siguientes opciones de la lista para establecer la conexión del cliente Juniper Secure Connect:

  • Manual: debe conectarse manualmente al túnel VPN cada vez que inicie sesión.

  • Siempre: se conecta automáticamente al túnel VPN cada vez que inicia sesión.

El modo de conexión predeterminado es Manual.

SSL VPN

Habilite esta opción para establecer una conexión VPN SSL desde el juniper Secure Connect Client al firewall serie SRX.

De forma predeterminada, esta opción está habilitada.

Nota:

Esta es una opción de reserva cuando los puertos IPsec no son accesibles.

Autenticación biométrica

Habilite esta opción para autenticar el sistema de cliente mediante métodos configurados únicos.

Se muestra un indicador de autenticación cuando se conecta en el sistema de cliente. La conexión VPN solo se iniciará después de la autenticación correcta mediante el método configurado para Windows Hello (reconocimiento de huellas digitales, reconocimiento facial, entrada de PIN, etc.).

Windows Hello debe estar preconfigurado en el sistema cliente si la opción de autenticación biométrica está habilitada.

Detección de pares muertos

Habilite la opción de detección de par muerto (DPD) para permitir que el cliente de Juniper Secure Connect detecte si el firewall de la serie SRX es accesible.

Desactive esta opción para permitir que el cliente de Juniper Secure Connect detecte hasta que se restablezca la accesibilidad de la conexión del firewall serie SRX.

Esta opción está habilitada de forma predeterminada.

Intervalo DPD

Ingrese la cantidad de tiempo que el par espera el tráfico desde su par de destino antes de enviar un paquete de solicitud de detección de par muerto (DPD). El intervalo es de 2 a 60 segundos y el valor predeterminado es de 60 segundos.

Umbral DPD

Introduzca el número máximo de solicitudes de detección de pares muertos (DPD) no exitosas que se enviarán antes de que el par se considere no disponible. El intervalo es del 1 al 5 y el valor predeterminado es 5.

Certificados

Habilite certificados para configurar las opciones de certificado en Secure Client Connect.

Nota:

Esta opción solo está disponible si selecciona el método de autenticación basado en certificados.

Advertencia de vencimiento

Habilite esta opción para mostrar la advertencia de vencimiento del certificado en el Secure Connect Client.

Esta opción está habilitada de forma predeterminada.

Nota:

Esta opción solo está disponible si habilita certificados.

Intervalo de advertencia

Escriba el intervalo (días) en el que se mostrará la advertencia.

El rango es del 1 al 90. El valor predeterminado es 60.

Nota:

Esta opción solo está disponible si habilita certificados.

Req del pin por conexión

Habilite esta opción para ingresar el pin de certificado en la conexión.

Esta opción está habilitada de forma predeterminada.

Nota:

Esta opción solo está disponible si habilita certificados.

EAP-TLS

Habilite esta opción para el proceso de autenticación. IKEv2 requiere EAP para la autenticación del usuario. El firewall serie SRX no puede actuar como servidor EAP. Se debe usar un servidor RADIUS externo para que IKEv2 EAP realice la autenticación EAP. EL SRX actuará como autenticador de transmisión de mensajes EAP entre el cliente De Juniper Secure Connect y el servidor RADIUS.

Esta opción está habilitada de forma predeterminada.

Nota:

Esta opción solo está disponible si selecciona el método de autenticación basado en certificados.

Guardar nombre de usuario

A partir de Junos OS versión 22.1R1, puede habilitar esta opción para guardar el nombre de usuario remoto.

Guardar contraseña

A partir de Junos OS versión 22.1R1, puede habilitar esta opción para guardar el nombre de usuario y la contraseña remotos.

Inicio de sesión de Windows

Habilite esta opción para proporcionar a los usuarios que inicien sesión de forma segura en el dominio de Windows antes de iniciar sesión en el sistema Windows. El cliente admite el inicio de sesión de dominio mediante un proveedor de servicios de credenciales después de establecer una conexión VPN a la red de la empresa.

Nombre de dominio

Escriba el nombre de dominio del sistema en el que se registra la Máquina de usuarios.

Modo

Seleccione una de las siguientes opciones de la lista para iniciar sesión en el dominio de Windows.

  • Manual: debe ingresar manualmente los datos de inicio de sesión en la pantalla de inicio de sesión de Windows.

  • Automático: el software del cliente transfiere los datos especificados aquí a la interfaz de inicio de sesión de Microsoft (proveedor de credenciales) sin su acción.

Desconecte en Logoff

Habilite esta opción para apagar la conexión cuando el sistema cambie al modo de hibernación o espera. Cuando el sistema se reanuda desde el modo de hibernación o espera, la conexión debe restablecerse.

Credencial de lavado en Logoff

Habilite esta opción para eliminar el nombre de usuario y la contraseña de la caché. Debe volver a ingresar el nombre de usuario y la contraseña.

Duración del plazo de entrega

Escriba la duración del plazo para inicializar el tiempo entre el inicio de sesión de la red y el inicio de sesión del dominio.

Después de configurar la conexión, el inicio de sesión de Windows solo se ejecutará después de que haya transcurrido el tiempo de inicialización establecido aquí.

Autenticación EAP

Habilite esta opción para ejecutar la autenticación EAP antes del cuadro de diálogo de destino en el proveedor de credenciales. Luego, el sistema solicitará el PIN necesario, independientemente de si se necesitará EAP para el marcado posterior.

Si esta opción está deshabilitada, la autenticación EAP se ejecutará después de la selección de destino.

Abrir el cuadro de diálogo automático

Habilite esta opción para seleccionar si un cuadro de diálogo debe abrirse automáticamente para el establecimiento de conexión a un dominio remoto.

Si esta opción está deshabilitada, la contraseña y el PIN del cliente solo se consultan después del inicio de sesión de Windows.

Tabla 3: Campos en la página de puerta de enlace local

Campo

Acción

La puerta de enlace está detrás de TDR

Active esta opción cuando la puerta de enlace local está detrás de un dispositivo TDR.

Dirección IP TDR

Ingrese la dirección IP pública (TDR) del firewall de la serie SRX.

Nota:

Esta opción solo está disponible cuando la puerta de enlace está detrás de TDR está habilitada. Puede configurar una dirección IPv4 para hacer referencia al dispositivo TDR.

ID de ICR

Este campo es obligatorio. Ingrese el ID de ICR en el formato user@example.com.

Interfaz externa

Seleccione una interfaz de salida de la lista a la que se conectará el cliente.

La lista contiene todas las direcciones IP disponibles si más de una dirección IPv4 está configurada en la interfaz especificada. La dirección IP seleccionada se configurará como la dirección local en la puerta de enlace de IKE.

Interfaz de túnel

Seleccione una interfaz de la lista para que el cliente se conecte.

Haga clic en Agregar para agregar una nueva interfaz. Aparecerá la página Crear interfaz de túnel. Para obtener más información sobre cómo crear una nueva interfaz de túnel, consulte la tabla 4.

Haga clic en Editar para editar la interfaz de túnel seleccionada.

Clave precompartida

Escriba uno de los valores siguientes de la clave previamente compartida:

  • ascii-text— clave de texto ASCII.

  • clave hexadecimal: clave hexadecimal.

Nota:

Esta opción está disponible si el método de autenticación es clave precompartida.

Certificado local

Seleccione un certificado local de la lista.

El certificado local enumera solo los certificados RSA.

Para agregar un certificado, haga clic en Agregar. Para obtener más información sobre cómo agregar un certificado de dispositivo, consulte Agregar un certificado de dispositivo.

Para importar un certificado, haga clic en Importar. Para obtener más información sobre cómo importar un certificado de dispositivo, consulte Importar un certificado de dispositivo.

Nota:

Esta opción está disponible si el método de autenticación está basado en certificados.

Ca/Grupo de confianza

Seleccione un perfil de grupo o autoridad de certificación de confianza de la lista.

Para agregar un perfil de CA, haga clic en Agregar perfil de CA. Para obtener más información sobre cómo agregar un perfil de CA, consulte Agregar un perfil de entidad de certificación.

Nota:

Esta opción está disponible si el método de autenticación está basado en certificados.

Autenticación de usuario

Este campo es obligatorio. Seleccione el perfil de autenticación de la lista que se utilizará para autenticar a los usuarios que acceden a la VPN de acceso remoto.

Haga clic en Agregar para crear un perfil nuevo. Para obtener más información sobre cómo crear un nuevo perfil de acceso, consulte Agregar un perfil de acceso.

Perfil de VPN SSL

Seleccione el perfil VPN SSL de la lista que se utilizará para finalizar las conexiones de acceso remoto.

Para crear un nuevo perfil VPN SSL:

  1. Haga clic en Agregar.

  2. Ingrese los siguientes detalles:

    • Nombre: escriba el nombre de un perfil VPN SSL.

    • Registro: habilite esta opción para iniciar sesión en VPN SSL.

    • Perfil de terminación SSL: seleccione un perfil de terminación SSL de la lista.

      Para agregar un nuevo perfil de terminación SSL:

      1. Haga clic en Agregar.

        Aparecerá la página Crear perfil de finalización SSL.

      2. Ingrese los siguientes detalles:

        • Nombre: escriba un nombre para el perfil de terminación SSL.

        • Certificado de servidor: seleccione un certificado de servidor de la lista.

          Para agregar un certificado, haga clic en Agregar. Para obtener más información sobre cómo agregar un certificado de dispositivo, consulte Agregar un certificado de dispositivo.

          Para importar un certificado, haga clic en Importar. Para obtener más información sobre cómo importar un certificado de dispositivo, consulte Importar un certificado de dispositivo.

        • Haga clic en Aceptar.

      3. Haga clic en Aceptar.

  3. Haga clic en Aceptar.

Tráfico TDR de origen

Esta opción está habilitada de forma predeterminada.

Todo el tráfico del cliente de Juniper Secure Connect está NATed a la interfaz seleccionada de forma predeterminada.

Si está deshabilitado, debe asegurarse de que tiene una ruta desde su red que apunte a los firewalls serie SRX para gestionar correctamente el tráfico de retorno.

Interfaz

Seleccione una interfaz de la lista por la que pasa el tráfico TDR de origen.

Redes protegidas

Haga clic en +. Aparecerá la página Crear redes protegidas.

Crear redes protegidas

Zona

Seleccione una zona de seguridad de la lista que se utilizará como zona de origen en la política de firewall.

Dirección global

Seleccione las direcciones en la columna Disponible y, a continuación, haga clic en la flecha derecha para moverla a la columna Seleccionado.

Haga clic en Agregar para seleccionar las redes a las que el cliente puede conectarse.

Aparecerá la página Crear dirección global. Para obtener más información sobre los campos, consulte la Tabla 5.

Editar

Seleccione la red protegida que desea editar y haga clic en el icono de lápiz.

La página Editar redes protegidas aparece con campos editables.

Eliminar

Seleccione la red protegida que desea editar y haga clic en el icono eliminar.

Aparecerá el mensaje de confirmación.

Haga clic en para eliminar la red protegida.

Tabla 4: Campos en la página Crear interfaz de túnel

Campo

Acción

Unidad de interfaz

Escriba el número de unidad lógica.

Descripción

Escriba una descripción para la interfaz lógica.

Zona

Seleccione una zona de la lista para agregarla a la interfaz de túnel.

Esta zona se utiliza en la creación automática de la política de firewall.

Haga clic en Agregar para agregar una nueva zona. Escriba el nombre y la descripción de la zona y haga clic en Aceptar en la página Crear zona de seguridad.

Instancia de enrutamiento

Seleccione una instancia de enrutamiento de la lista.

Nota:

La instancia de enrutamiento predeterminada, principal, hace referencia a la tabla de enrutamiento principal inet.0 en el sistema lógico.

Tabla 5: Campos en la página Crear direcciones globales

Campo

Acción

Nombre

Escriba un nombre para la dirección global. El nombre debe ser una cadena única que debe comenzar con un carácter alfanumérico y puede incluir puntos, puntos, guiones y guiones bajos; no se permiten espacios; Máximo de 63 caracteres.

Tipo de IP

Seleccione IPv4.

IPv4

Dirección IPv4

Ingrese una dirección IPv4 válida.

Subred

Ingrese la subred para la dirección IPv4.

Tabla 6: Configuración de ICR e IPsec

Campo

Acción

Configuración de IKE
Nota:

Los siguientes parámetros se generan automáticamente y no se muestran en la interfaz de usuario de J-Web:

  • Si el método de autenticación es clave precompartida, la versión de IKE es v1, ike-user-type es shared-ike-id y el modo es agresivo.

  • Si el método de autenticación está basado en certificados, la versión de IKE es v2, ike-user-type es shared-ike-id y el modo es Main.

Algoritmo de cifrado

Seleccione el mecanismo de cifrado adecuado de la lista.

El valor predeterminado es AES-CBC de 256 bits.

Algoritmo de autenticación

Seleccione el algoritmo de autenticación de la lista. Por ejemplo, SHA de 256 bits.

Grupo DH

Un intercambio Diffie-Hellman (DH) permite a los participantes generar un valor secreto compartido. Seleccione el grupo DH adecuado de la lista. El valor predeterminado es group19.

Segundos de vida útil

Seleccione una duración (en segundos) de una asociación de seguridad (SA) de ICR.

El valor predeterminado es 28 800 segundos. Rango: de 180 a 86 400 segundos.

Detección de pares muertos

Habilite esta opción para enviar solicitudes de detección de pares inactivos independientemente de si hay tráfico IPsec saliente al par.

Modo DPD

Seleccione una de las opciones de la lista:

  • optimizado: envía sondeos solo cuando hay tráfico de salida y no hay tráfico de datos entrante - RFC3706 (modo predeterminado).

  • probe-idle-tunnel: envía sondas igual que en el modo optimizado y también cuando no hay tráfico de datos saliente y entrante.

  • always-send: envía sondeos periódicamente independientemente del tráfico de datos entrante y saliente.

Intervalo DPD

Seleccione un intervalo (en segundos) para enviar mensajes de detección de pares inactivos. El intervalo predeterminado es de 10 segundos. El rango es de 2 a 60 segundos.

Umbral DPD

Seleccione un número del 1 al 5 para establecer el umbral DPD de falla.

Esto especifica la cantidad máxima de veces que se deben enviar los mensajes DPD cuando no hay respuesta del par. El número predeterminado de transmisiones es 5 veces.

Configuración avanzada (opcional)

TDR-T

Habilite esta opción para que el tráfico IPsec pase a través de un dispositivo TDR.

TDR-T es un algoritmo de fase 1 de ICR que se utiliza cuando se intenta establecer una conexión VPN entre dos dispositivos de puerta de enlace, donde hay un dispositivo TDR delante de uno de los firewalls de la serie SRX.

TDR manténgase vivo

Seleccione el intervalo de mantenimiento adecuado en segundos. Rango: 1 a 300.

Si se espera que la VPN tenga grandes períodos de inactividad, puede configurar valores de conservación para generar tráfico artificial para mantener la sesión activa en los dispositivos TDR.

Límite de conexión de ICR

Escriba el número de conexiones simultáneas que admite el perfil de VPN.

El rango es del 1 al 4294967295.

Cuando se alcanza la cantidad máxima de conexiones, ningún punto de conexión de usuario de acceso remoto (VPN) que intente acceder a una VPN IPsec puede iniciar negociaciones de intercambio de claves por internet (IKE).

Fragmentación de IKEv2

Esta opción está habilitada de forma predeterminada. La fragmentación de IKEv2 divide un mensaje IKEv2 grande en un conjunto de mensajes más pequeños para que no haya fragmentación en el nivel de IP. La fragmentación tiene lugar antes de que el mensaje original se cifrado y autentifique, de modo que cada fragmento se cifra y autentica por separado.

Nota:

Esta opción está disponible si el método de autenticación está basado en certificados.

Tamaño de fragmento IKEv2

Seleccione el tamaño máximo, en bytes, de un mensaje IKEv2 antes de dividirlo en fragmentos.

El tamaño se aplica al mensaje IPv4. Rango: 570 a 1320 bytes.

El valor predeterminado es 576 bytes.

Nota:

Esta opción está disponible si el método de autenticación está basado en certificados.

Configuración de IPsec
Nota:

El método de autenticación es una clave precompartida o basada en certificados, genera automáticamente el protocolo como ESP.

Algoritmo de cifrado

Seleccione el método de cifrado. El valor predeterminado es AES-GCM de 256 bits.

Algoritmo de autenticación

Seleccione el algoritmo de autenticación IPsec de la lista. Por ejemplo, HMAC-SHA-256-128.

Nota:

Esta opción está disponible cuando el algoritmo de cifrado no es gcm.

Confidencialidad directa perfecta

Seleccione Perfect Forward Secrecy (PFS) de la lista. El dispositivo usa este método para generar la clave de cifrado. El valor predeterminado es group19.

PFS genera cada nueva clave de cifrado independientemente de la clave anterior. Los grupos con mayor número proporcionan más seguridad, pero requieren más tiempo de procesamiento.

Nota:

group15, group16 y group21 solo admiten la línea SRX5000 de dispositivos con una tarjeta SPC3 y un paquete junos-ike instalados.

Segundos de vida útil

Seleccione la vida útil (en segundos) de una asociación de seguridad (SA) de IPsec. Cuando caduca la SA, se sustituye por una nueva SA y un índice de parámetros de seguridad (SPI) o se termina. El valor predeterminado es de 3.600 segundos. Rango: de 180 a 86 400 segundos.

Kilobytes de por vida

Seleccione la vida útil (en kilobytes) de una SA IPsec. El valor predeterminado es 256kb. Rango: de 64 a 4294967294.

Configuración avanzada

Anti repetición

IPsec protege contra ataques VPN mediante el uso de una secuencia de números integrados en el paquete IPsec: el sistema no acepta un paquete con el mismo número de secuencia.

Esta opción está habilitada de forma predeterminada. El Anti-Replay comprueba los números de secuencia y aplica la comprobación, en lugar de simplemente ignorar los números de secuencia.

Desactive la anti-reproducción si hay un error con el mecanismo IPsec que da como resultado paquetes fuera de orden, lo que impide la funcionalidad adecuada.

Intervalo de instalación

Seleccione el número máximo de segundos para permitir la instalación de una asociación de seguridad saliente (SA) de clave reclavada en el dispositivo. Seleccione un valor de 1 a 10 segundos.

Tiempo de inactividad

Seleccione el intervalo de tiempo de inactividad. Las sesiones y el tiempo de las traducciones correspondientes han transcurrido un cierto período de tiempo si no se recibe tráfico. El rango es de 60 a 999999 segundos.

DF Bit

Seleccione cómo el dispositivo maneja el bit Don't Fragment (DF) en el encabezado externo:

  • clear—Borrar (deshabilitar) el bit DF del encabezado externo. Este es el valor predeterminado.

  • copy (copy): permite copiar el bit DF en el encabezado externo.

  • set—Establecer (habilitar) el bit DF en el encabezado externo.

Copiar DSCP externo

Esta opción está habilitada de forma predeterminada. Esto permite copiar el punto de código de servicios diferenciados (DSCP) (DSCP+ ECN externo) desde el paquete cifrado del encabezado IP externo al mensaje de texto sin formato del encabezado IP interno en la ruta de descifrado. Al habilitar esta función, tras el descifrado de IPsec, los paquetes de texto sin formato pueden seguir las reglas internas de CoS (DSCP+ECN).