Crear una VPN de acceso remoto—Juniper Secure Connect

Usted está aquí: VPN > red > VPN IPsec.

Juniper Secure Connect es la solución SSL-VPN basada en clientes de Juniper que ofrece conectividad segura para sus recursos de red.

Juniper Secure Connect proporciona acceso remoto seguro para que los usuarios se conecten a las redes y recursos corporativos de forma remota a través de Internet. Juniper Secure Connect descarga la configuración de los dispositivos de SRX Services y elige los protocolos de transporte más eficaces durante el establecimiento de la conexión para ofrecer una excelente experiencia de administrador y usuario.

Para crear una VPN de acceso remoto para Juniper secure connect:

Elija Create VPN > Remote Access > Juniper Secure Connect (Crear VPN acceso remoto) en la parte superior derecha de la página VPN IPsec.

Aparecerá la página Crear acceso remoto (Juniper Secure Connect).

Nota:
A partir de Junos OS versión 23.2R1, al crear o editar las VPN de Juniper Secure Connect, el tipo ike-user-type es group-ike-id si el paquete Junos-ike ya está instalado. Esto ayuda a habilitarlo con el acceso de múltiples dispositivos. Esto no es compatible con la línea de firewalls SRX300 ni con el firewall SRX550HM.
Complete la configuración de acuerdo con las directrices proporcionadas en la Tabla 1 a la Tabla 6.

La conectividad VPN cambiará de línea gris a azul en la topología para mostrar que la configuración se ha completado.
Haga clic en Guardar para completar la configuración de Secure Connect VPN y la política asociada si ha seleccionado la opción de creación automática de directivas.

Si desea descartar los cambios, haga clic en Cancelar.

Tabla 1: Campos en la página Crear acceso remoto (Juniper Secure Connect)
Campo	Acción
Nombre	Escriba un nombre para la conexión de acceso remoto. Este nombre se mostrará como el nombre del dominio de usuarios finales en Juniper Secure Connect Client.
Descripción	Introduzca una descripción. Esta descripción se utilizará para las propuestas de IKE e IPsec, las políticas, el perfil de acceso remoto, la configuración del cliente y el conjunto de reglas NAT. Durante la edición, se mostrará la descripción de la directiva IPsec. Se actualizarán las descripciones de la directiva IPsec y de los perfiles de acceso remoto.
Modo de enrutamiento	Esta opción está deshabilitada para el acceso remoto. El modo predeterminado es Selector de tráfico (inserción automática de rutas).
Método de autenticación	Seleccione un método de autenticación de la lista que el dispositivo utiliza para autenticar el origen de los mensajes de Intercambio de claves por Internet (IKE): EAP-MSCHAPv2 (nombre de usuario y contraseña): utiliza las credenciales de la cuenta de usuario verificadas por el servidor RADIUS (para la autenticación de usuarios externos) para autenticarse y acceder a la red. EAP-TLS (certificado): usa el mecanismo de autenticación de certificados de clave pública TLS dentro de EAP para proporcionar autenticación mutua cliente-servidor y servidor-cliente. Con EAP-TLS, tanto al cliente como al servidor se les debe asignar un certificado digital firmado por una entidad de certificación (CA) en la que confíen. Nota: A partir de Junos OS versión 23.1R1, EAP-TLS no está disponible en Juniper Secure Connect > usuario remoto. Clave precompartida (nombre de usuario y contraseña): una clave secreta compartida entre los dos pares se utiliza durante la autenticación para identificar a los pares entre sí. Nota: A partir de Junos OS versión 23.2R1, al crear o editar las VPN de Juniper Secure Connect, el tipo ike-user-type es group-ike-id. Esto ayuda a habilitarlo con el acceso de múltiples dispositivos. Esto no es compatible con la línea de firewalls SRX300 ni con el firewall SRX550HM.
Creación automática de políticas de firewall	Si selecciona Sí, se crea automáticamente una directiva de firewall entre la zona interna y la zona de interfaz de túnel con redes locales protegidas como dirección de origen y redes protegidas remotas como dirección de destino. Se creará otra política de firewall viceversa. Si elige No, no tiene una opción de directiva de firewall. Debe crear manualmente la directiva de firewall necesaria para que esta VPN funcione. Nota: Si no desea crear automáticamente una política de firewall en el flujo de trabajo de VPN, la red protegida se oculta para el enrutamiento dinámico en la puerta de enlace local y remota.
Usuario remoto	Muestra el icono de usuario remoto en la topología. Haga clic en el icono para configurar los ajustes del cliente de Juniper Secure Connect. Para obtener más información sobre los campos, consulte la Tabla 2. Nota: A partir de la versión 23.1R1 de Junos OS, J-Web muestra el usuario remoto en formato FQDN o FQDN/Realm si el perfil de conexión está configurado. Si no está configurado, J-Web muestra la IP de la interfaz externa (para el perfil predeterminado) o la IP/VPN-Name de la interfaz externa (para el perfil no predeterminado).
Puerta de enlace local	Muestra el icono de puerta de enlace local en la topología. Haga clic en el icono para configurar la puerta de enlace local. Para obtener más información sobre los campos, consulte la Tabla 3.
Configuración de IKE e IPsec	Configure la propuesta de IKE o IPsec personalizada y la propuesta de IPsec personalizada con algoritmos o valores recomendados. Para obtener más información sobre los campos, consulte la Tabla 6. Nota: J-Web solo admite una propuesta de IKE personalizada y no admite el conjunto de propuestas predefinido. Al editar y guardar, J-Web elimina el conjunto de propuestas predefinido si está configurado. En la puerta de enlace remota del túnel VPN, debe configurar la misma propuesta y política personalizadas. Tras la edición, J-Web muestra la primera propuesta personalizada de IKE e IPsec cuando se configura más de una propuesta personalizada.

Tabla 2: Campos en la página de usuario remoto
Campo	Acción
Perfil predeterminado	Habilite esta opción para usar el nombre de VPN configurado como perfil predeterminado de acceso remoto. Nota: A partir de la versión 23.1R1 de Junos OS, el perfil predeterminado está en desuso en J-Web. El campo muestra el valor configurado, si el perfil predeterminado está configurado en VPN > VPN IPsec > Configuración global > VPN de acceso remoto.
Modo de conexión	Seleccione una de las siguientes opciones de la lista para establecer la conexión del cliente Juniper Secure Connect: Manual: debe conectarse manualmente al túnel VPN cada vez que inicie sesión. Siempre: se conecta automáticamente al túnel VPN cada vez que inicia sesión. El modo de conexión predeterminado es Manual.
SSL VPN	Active esta opción para establecer una conexión VPN SSL desde Juniper Secure Connect Client al firewall de la serie SRX. De forma predeterminada, esta opción está habilitada. Nota: Esta es una opción de reserva cuando no se puede acceder a los puertos IPsec.
Autenticación biométrica	Active esta opción para autenticar el sistema cliente mediante métodos configurados únicos. Se muestra un mensaje de autenticación cuando se conecta en el sistema cliente. La conexión VPN solo se iniciará después de una autenticación correcta mediante el método configurado para Windows Hello (reconocimiento de huellas digitales, reconocimiento facial, entrada de PIN, etc.). Windows Hello debe estar preconfigurado en el sistema cliente si la opción Autenticación biométrica está habilitada.
Detección de pares muertos	Active la opción de detección de pares inactivos (DPD) para permitir que el cliente de Juniper Secure Connect detecte si se puede acceder al firewall de la serie SRX. Desactive esta opción para permitir que el cliente de Juniper Secure Connect detecte hasta que se restablezca la accesibilidad de la conexión con el firewall de la serie SRX. Esta opción está habilitada de forma predeterminada.
Intervalo DPD	Especifique la cantidad de tiempo que el par espera el tráfico de su par de destino antes de enviar un paquete de solicitud de detección de pares muertos (DPD). El rango es de 2 a 60 segundos y el valor predeterminado es de 60 segundos.
Umbral DPD	Especifique el número máximo de solicitudes de detección de pares muertos (DPD) incorrectas que se enviarán antes de que el par se considere no disponible. El intervalo es del 1 al 5 y el valor predeterminado es 5.
Certificados	Habilite Certificados para configurar las opciones de certificado en Secure Client Connect. Nota: Esta opción sólo está disponible si selecciona el método de autenticación EAP-TLS (certificado).
Advertencia de caducidad	Active esta opción para mostrar la advertencia de caducidad del certificado en Secure Connect Client. Esta opción está habilitada de forma predeterminada. Nota: Esta opción solo está disponible si habilita Certificados.
Intervalo de advertencia	Introduzca el intervalo (días) en el que se mostrará la advertencia. El rango es de 1 a 90. El valor predeterminado es 60. Nota: Esta opción solo está disponible si habilita Certificados.
Requisito de pin por conexión	Habilite esta opción para introducir el pin de certificado en muy conexión. Esta opción está habilitada de forma predeterminada. Nota: Esta opción solo está disponible si habilita Certificados.
Guardar nombre de usuario	A partir de Junos OS versión 22.1R1, puede habilitar esta opción para guardar el nombre de usuario remoto.
Guardar contraseña	A partir de Junos OS versión 22.1R1, puede habilitar esta opción para guardar tanto el nombre de usuario remoto como la contraseña.
Inicio de sesión de Windows	Active esta opción para que los usuarios inicien sesión de forma segura en el dominio de Windows antes de iniciar sesión en el sistema Windows. El cliente admite el inicio de sesión en el dominio mediante un proveedor de servicios de credenciales después de establecer una conexión VPN con la red de la empresa.
Nombre de dominio	Introduzca el nombre de dominio del sistema en el que se registra el equipo de usuarios.
Modo	Seleccione una de las siguientes opciones de la lista para iniciar sesión en el dominio de Windows. Manual: debe introducir manualmente los datos de inicio de sesión en la pantalla de inicio de sesión de Windows. Automático: el software cliente transfiere los datos introducidos aquí a la interfaz de inicio de sesión de Microsoft (proveedor de credenciales) sin que usted realice.
Desconectar al cerrar sesión	Active esta opción para apagar la conexión cuando el sistema cambie al modo de hibernación o espera. Cuando el sistema se reanuda desde el modo de hibernación o en espera, hay que restablecer la conexión.
Vaciar la credencial al cerrar la sesión	Active esta opción para eliminar el nombre de usuario y la contraseña de la memoria caché. Debe volver a introducir el nombre de usuario y la contraseña.
Duración del plazo de entrega	Especifique la duración del plazo para inicializar el tiempo transcurrido entre el inicio de sesión de red y el inicio de sesión de dominio. Una vez configurada la conexión, el inicio de sesión de Windows solo se ejecutará después de que haya transcurrido el tiempo de inicialización establecido aquí.
Autenticación EAP	Active esta opción para ejecutar la autenticación EAP antes del cuadro de diálogo de destino en el proveedor de credenciales. Luego, el sistema solicitará el PIN necesario, independientemente de si se requerirá EAP para el acceso telefónico posterior. Si esta opción está deshabilitada, la autenticación EAP se ejecutará después de la selección de destino.
Abrir cuadro de diálogo automático	Active esta opción para seleccionar si un cuadro de diálogo debe abrirse automáticamente para el establecimiento de la conexión a un dominio remoto. Si esta opción está deshabilitada, la contraseña y el PIN del cliente solo se consultarán después del inicio de sesión de Windows.
Acceso a múltiples dispositivos	Nota: A partir de Junos OS versión 23.2R1, J-Web admite la opción de acceso multidispositivo para la página de usuario remoto. Esta opción no es compatible con la línea de firewalls SRX300 ni con el firewall SRX550HM. Active esta opción para conectarlo desde varios dispositivos. Nota: Para usar el acceso multidispositivo, el paquete junos-ike debe estar instalado en el firewall de la serie SRX. Ejecute el siguiente comando en el firewall de la serie SRX para instalar el paquete junos-ike: request system software add optional: //junos-ike.tgz
Desvío de aplicaciones	Active esta opción para configurar qué aplicaciones, dominios o ambos pueden omitir el túnel VPN. Puede seleccionar los perfiles de omisión de aplicaciones configurados en la vista de cuadrícula. Para agregar un nuevo término de omisión de aplicación: Haga clic en el icono + . Introduzca los siguientes datos: Nombre: escriba un nombre para el término. Descripción: introduzca la descripción del término de omisión de aplicación. Protocolo: seleccione el protocolo disponible en la lista. Están disponibles las siguientes opciones: TCP y UDP: omite el tráfico TCP y UDP. TCP: omite sólo el tráfico TCP. UDP: omite solo el tráfico UDP. De forma predeterminada, TCP y UDP están seleccionados. Tipo de dominio: seleccione el tipo de dominio disponible en la lista. Están disponibles las siguientes opciones: Contiene: cualquier nombre de dominio (por ejemplo, abc.com). FQDN: el nombre de dominio contiene el nombre de dominio completo (por ejemplo, www.abc.com). Comodín: el nombre de dominio contiene cualquier subdominio (por ejemplo, .abc.com). Cuando se selecciona un comodín, "." se rellena previamente en el campo de valor de dominio de forma predeterminada. Valor de dominio: introduzca el nombre de dominio para omitir el túnel VPN. Haga clic en el icono de verificación para guardar los cambios y crear un término de omisión de aplicación. Haga clic en X para descartar. Haga clic en el icono de edición disponible encima de la cuadrícula para editar el término de omisión de aplicación y haga clic en el icono de eliminación para eliminar cualquier término de omisión de aplicación. Nota: Al editar el usuario remoto, si desactiva Desvío de aplicación, se eliminarán los términos de desvío de aplicación configurados en el usuario remoto.
Conformidad	Nota: A partir de Junos OS versión 23.2R1, J-Web admite la opción de cumplimiento para la página de usuario remoto. Esta opción no es compatible con la línea de firewalls SRX300 ni con el firewall SRX550HM. Seleccione la regla de cumplimiento de la lista que será validada por el firewall de la serie SRX para establecer un túnel VPN antes de que un usuario inicie sesión. Para crear una nueva regla de cumplimiento, haga clic en Crear. Aparecerá la página Crear cumplimiento previo al inicio de sesión. Para obtener información sobre el campo, consulte Crear cumplimiento previo al inicio de sesión.

Tabla 3: Campos en la página Puerta de enlace local
Campo	Acción
La puerta de enlace está detrás de NAT	Active esta opción cuando la puerta de enlace local esté detrás de un dispositivo NAT.
Dirección IP NAT	Introduzca la dirección IP pública (NAT) del firewall de la serie SRX. Nota: Esta opción solo está disponible cuando la puerta de enlace está atrasada NAT está habilitada. Puede configurar una dirección IPv4 para hacer referencia al dispositivo NAT.
Interfaz externa	Seleccione una interfaz de salida de la lista a la que se conectará el cliente. La lista contiene todas las direcciones IP disponibles si se configura más de una dirección IPv4 o IPv6 en la interfaz especificada. La dirección IP seleccionada se configurará como la dirección local en la puerta de enlace de IKE. Nota: A partir de la versión 23.4R1 de Junos OS, J-Web admite la dirección IPv6 para los dispositivos instalados del paquete junos-ike.
Perfil de conexión	Este es un campo obligatorio. Escriba el perfil de conexión con el formato de dirección IP o FQDN o FQDN/Realm. El perfil de conexión puede ser cualquier cadena y puede tener puntos y barras; 255 caracteres máximo. El ID de IKE se deriva automáticamente del perfil de conexión. Nota: A partir de la versión 23.1R1 de Junos OS, el ID de IKE se derivará automáticamente mediante el perfil de conexión. Si se configura el nombre de host del sistema, el ID de IKE se configurará como <nombre de host configurado>@connection-perfil de lo contrario será no-config-hostname@connection-profile. Si el perfil de conexión tiene dominio (/hr), al formar el ID de IKE, '/' se reemplazará por '.'. Para VPN existente donde el nombre del perfil de acceso remoto no contiene un punto (.), el perfil de conexión se mostrará como external-IP para el perfil predeterminado o external-IP/VPN-Name para el perfil no predeterminado. Una vez que actualice la VPN existente, el nombre de perfil predeterminado se actualizará con el valor del perfil de conexión. Si cambia el valor del perfil de conexión, el ID de IKE se actualizará automáticamente.
Interfaz de túnel	Seleccione una interfaz de la lista para que el cliente se conecte. Haga clic en Agregar para agregar una nueva interfaz. Aparecerá la página Crear interfaz de túnel. Para obtener más información sobre cómo crear una nueva interfaz de túnel, consulte la tabla 4. Haga clic en Editar para editar la interfaz del túnel seleccionado.
Clave precompartida	Escriba uno de los siguientes valores de la clave previamente compartida: ascii-text: clave de texto ASCII. hexadecimal: clave hexadecimal. Nota: Esta opción está disponible si el método de autenticación es Clave precompartida.
Certificado local	Seleccione un certificado local de la lista. El certificado local enumera solo los certificados RSA. Nota: Esta opción sólo está disponible si selecciona el método de autenticación EAP-TLS (certificado). A partir de la versión 23.1R1 de Junos OS, todos los certificados de dispositivo se enumeran en certificados locales. Por ejemplo, Let's Encrypt y certificados ACME. Para obtener más información sobre los certificados de dispositivo, consulte Crear un certificado de dispositivo
Autenticación de usuario	Este campo es obligatorio. Seleccione el perfil de autenticación de la lista que se usará para autenticar al usuario que acceda a la VPN de acceso remoto. Haga clic en Agregar para crear un nuevo perfil. Para obtener más información sobre cómo crear un nuevo perfil de acceso, consulte Agregar un perfil de acceso.
Perfil de VPN SSL	Seleccione el perfil VPN SSL de la lista que se utilizará para finalizar las conexiones de acceso remoto. Para crear un nuevo perfil de VPN SSL: Haga clic en Agregar. Introduzca los siguientes datos: Nombre: escriba el nombre de un perfil de VPN SSL. Registro: habilite esta opción para iniciar sesión en SSL VPN. Perfil de terminación SSL: seleccione un perfil de terminación SSL de la lista. Para agregar un nuevo perfil de terminación SSL: Haga clic en Agregar. Aparecerá la página Crear perfil de terminación SSL. Introduzca los siguientes datos: Nombre: escriba un nombre para el perfil de terminación SSL. Certificado de servidor: seleccione un certificado de servidor de la lista. Para agregar un certificado, haga clic en Agregar. Para obtener más información sobre cómo agregar un certificado de dispositivo, consulte Acerca de la página Certificados. Haga clic en Aceptar. Haga clic en Aceptar. Haga clic en Aceptar.
Tráfico NAT de origen	Esta opción está habilitada de forma predeterminada. Todo el tráfico del cliente de Juniper Secure Connect se envía a la interfaz seleccionada de forma predeterminada. Si está deshabilitado, debe asegurarse de que tiene una ruta desde la red que apunte a los firewalls de la serie SRX para manejar correctamente el tráfico de retorno.
Interfaz	Seleccione una interfaz de la lista por la que pase el tráfico NAT de origen.
Redes protegidas	Haga clic en +. Aparecerá la página Crear redes protegidas.
Crear redes protegidas
Zona	Seleccione una zona de seguridad de la lista que se usará como zona de origen en la directiva de firewall.
Dirección global	Seleccione las direcciones de la columna Disponible y, a continuación, haga clic en la flecha derecha para moverla a la columna Seleccionada. Haga clic en Agregar para seleccionar las redes a las que el cliente puede conectarse. Aparecerá la página Crear dirección global. Para obtener más información sobre los campos, consulte la Tabla 5.
Editar	Seleccione la red protegida que desea editar y haga clic en el icono del lápiz. Aparece la página Editar redes protegidas con campos editables.
Borrar	Seleccione la red protegida que desea editar y haga clic en el icono de eliminar. Aparece el mensaje de confirmación. Haga clic en Sí para eliminar la red protegida.

Tabla 4: Campos en la página Crear interfaz de túnel
Campo	Acción
Unidad de interfaz	Introduzca el número de unidad lógica.
Descripción	Escriba una descripción para la interfaz lógica.
Zona	Seleccione una zona de la lista para agregarla a la interfaz del túnel. Esta zona se utiliza en la creación automática de la directiva de firewall. Haga clic en Agregar para agregar una nueva zona. Escriba el nombre y la descripción de la zona y haga clic en Aceptar en la página Crear zona de seguridad.
Instancia de enrutamiento	Seleccione una instancia de enrutamiento de la lista. Nota: La instancia de enrutamiento predeterminada, principal, hace referencia a la tabla de enrutamiento inet.0 principal del sistema lógico.

Tabla 5: Campos en la página Crear dirección global
Campo	Acción
Subred	Introduzca la subred para la dirección IPv4 o IPv6. Nota: A partir de la versión 23.4R1 de Junos OS, J-Web admite la dirección IPv6 para los dispositivos instalados del paquete junos-ike.
Identificador	Escriba un nombre para la dirección global.

Tabla 6: Configuración de IKE e IPsec
Campo	Acción
Configuración de IKE Nota: Los siguientes parámetros se generan automáticamente y no se muestran en la interfaz de usuario de J-Web: Si el método de autenticación es Clave precompartida, la versión de IKE es v1, ike-user-type es shared-ike-id y el modo es Agresivo. Si el método de autenticación se basa en certificados, la versión de IKE es v2, ike-user-type es shared-ike-id y mode es Main. A partir de Junos OS versión 23.2R1, el tipo ike-user-type es group-ike-id. Esto ayuda a habilitarlo con el acceso de múltiples dispositivos. Puede editar y guardar la VPN existente para convertirla en group-ike-id. Esto no es compatible con la línea de firewalls SRX300 ni con el firewall SRX550HM.
Algoritmo de cifrado	Seleccione el mecanismo de cifrado adecuado de la lista. El valor predeterminado es AES-CBC de 256 bits.
Algoritmo de autenticación	Seleccione el algoritmo de autenticación de la lista. Por ejemplo, SHA de 256 bits. Nota: A partir de la versión Junos OS 23.4R1, J-Web admite el algoritmo de autenticación SHA de 512 bits para los dispositivos instalados en paquetes junos-ike.
Grupo DH	Un intercambio Diffie-Hellman (DH) permite a los participantes generar un valor secreto compartido. Seleccione el grupo DH adecuado de la lista. El valor predeterminado es group19. Nota: A partir de la versión 23.4R1 de Junos OS, J-Web admite los grupos DH de los grupos 15, 16 y 21 para los dispositivos instalados en paquetes junos-ike.
Segundos de por vida	Seleccione una duración de por vida (en segundos) de una asociación de seguridad (SA) de IKE. El valor predeterminado es 28.800 segundos. Rango: 180 a 86,400 segundos.
Detección de pares muertos	Active esta opción para enviar solicitudes de detección de pares inactivos, independientemente de si hay tráfico IPsec saliente al par.
Modo DPD	Seleccione una de las opciones de la lista: optimizado: envía sondeos solo cuando hay tráfico saliente y no hay tráfico de datos entrante - RFC3706 (modo predeterminado). sondeo-idle-tunnel: envía sondeos igual que en modo optimizado y también cuando no hay tráfico de datos entrante y saliente. always-send: envía sondeos periódicamente independientemente del tráfico de datos entrante y saliente.
Intervalo DPD	Seleccione un intervalo (en segundos) para enviar mensajes de detección de pares inactivos. El intervalo predeterminado es de 10 segundos. El rango es de 2 a 60 segundos.
Umbral DPD	Seleccione un número del 1 al 5 para establecer el umbral de DPD de error. Esto especifica el número máximo de veces que se deben enviar los mensajes DPD cuando no hay respuesta del par. El número predeterminado de transmisiones es 5 veces.
Configuración avanzada (opcional)
NAT-T	Active esta opción para que el tráfico IPsec pase a través de un dispositivo NAT. NAT-T es un algoritmo IKE fase 1 que se utiliza cuando se intenta establecer una conexión VPN entre dos dispositivos de puerta de enlace, donde hay un dispositivo NAT delante de uno de los firewalls de la serie SRX.
NAT Keep Alive	Seleccione el intervalo keepalive adecuado en segundos. Rango: 1 a 300. Si se espera que la VPN tenga largos períodos de inactividad, puede configurar valores keepalive para generar tráfico artificial para mantener la sesión activa en los dispositivos NAT.
Límite de conexión IKE	Introduzca el número de conexiones simultáneas que admite el perfil VPN. El rango es de 1 a 4294967295. Cuando se alcanza el número máximo de conexiones, ningún otro extremo de usuario de acceso remoto (VPN) que intente tener acceso a una VPN IPsec puede iniciar negociaciones de Intercambio de claves por Internet (IKE).
Fragmentación IKEv2	Esta opción está habilitada de forma predeterminada. La fragmentación de IKEv2 divide un mensaje IKEv2 grande en un conjunto de mensajes más pequeños para que no haya fragmentación en el nivel de IP. La fragmentación tiene lugar antes de cifrar y autenticar el mensaje original, de modo que cada fragmento se cifra y autentica por separado. Nota: Esta opción está disponible si el método de autenticación está basado en certificados.
Tamaño del fragmento IKEv2	Seleccione el tamaño máximo, en bytes, de un mensaje IKEv2 antes de dividirlo en fragmentos. El tamaño se aplica al mensaje IPv4. Rango: 570 a 1320 bytes. El valor predeterminado es 576 bytes. Nota: Esta opción está disponible si el método de autenticación está basado en certificados.
Configuración de IPsec Nota: El método de autenticación es Pre-Shared Key o Certificate Based, genera automáticamente el protocolo como ESP.
Algoritmo de cifrado	Seleccione el método de cifrado. El valor predeterminado es AES-GCM de 256 bits.
Algoritmo de autenticación	Seleccione el algoritmo de autenticación IPsec de la lista. Por ejemplo, HMAC-SHA-256-128. Nota: Esta opción está disponible cuando el algoritmo de cifrado no es gcm. Nota: A partir de la versión 23.4R1 de Junos OS, J-Web admite el algoritmo de autenticación HMAC-SHA 384 y HMAC-SHA 512 para los dispositivos instalados en paquetes junos-ike.
Confidencialidad directa perfecta	Seleccione Confidencialidad directa perfecta (PFS) en la lista. El dispositivo utiliza este método para generar la clave de cifrado. El valor predeterminado es group19. PFS genera cada nueva clave de cifrado independientemente de la clave anterior. Los grupos numerados más altos proporcionan más seguridad, pero requieren más tiempo de procesamiento. Nota: group15, group16 y group21 solo admiten la línea SRX5000 de dispositivos con una tarjeta SPC3 y un paquete junos-ike instalados. Nota: A partir de la versión Junos OS 23.4R1, J-Web admite PFS de grupo 15, grupo 16 y grupo 21 para dispositivos instalados en paquetes junos-ike.
Segundos de por vida	Seleccione la duración (en segundos) de una asociación de seguridad (SA) IPsec. Cuando la SA expira, se reemplaza por una nueva SA e índice de parámetros de seguridad (SPI) o se termina. El valor predeterminado es de 3.600 segundos. Rango: 180 a 86,400 segundos.
Kilobytes de por vida	Seleccione la duración (en kilobytes) de una SA IPsec. El valor predeterminado es 256kb. Rango: 64 a 4294967294.
Configuración avanzada
Anti Repetición	IPsec protege contra ataques VPN mediante una secuencia de números integrada en el paquete IPsec; el sistema no acepta un paquete con el mismo número de secuencia. Esta opción está habilitada de forma predeterminada. El Anti-Replay comprueba los números de secuencia y aplica la comprobación, en lugar de simplemente ignorar los números de secuencia. Deshabilite Anti-Replay si hay un error con el mecanismo IPsec que da como resultado paquetes fuera de orden, lo que impide su correcto funcionamiento.
Intervalo de instalación	Seleccione el número máximo de segundos que desea permitir la instalación de una asociación de seguridad de salida (SA) con nueva clave en el dispositivo. Seleccione un valor de 1 a 10 segundos.
Tiempo de inactividad	Seleccione el intervalo de tiempo de inactividad. Las sesiones y sus traducciones correspondientes agotan el tiempo de espera después de un cierto período de tiempo si no se recibe tráfico. El rango es de 60 a 999999 segundos.
DF Bit	Seleccione cómo maneja el dispositivo el bit No fragmentar (DF) en el encabezado exterior: clear: borra (desactiva) el bit DF del encabezado exterior. Este es el valor predeterminado. copiar: copia el bit DF en el encabezado exterior. set: permite definir (habilitar) el bit DF en el encabezado exterior.
Copiar DSCP externo	Esta opción está habilitada de forma predeterminada. Esto permite copiar el punto de código de servicios diferenciados (DSCP) (DSCP+ECN externo) desde el paquete cifrado con encabezado IP externo al mensaje de texto sin formato del encabezado IP interno en la ruta de descifrado. Al habilitar esta característica, después del descifrado de IPsec, los paquetes de texto sin cifrar pueden seguir las reglas internas de CoS (DSCP+ECN).
Advertencia de paquete grande ICMP	Utilice esta opción para habilitar o deshabilitar el envío de notificaciones de paquetes ICMP demasiado grandes para paquetes IPv6. Nota: Esta opción solo está disponible para dispositivos instalados en paquetes junos-ike.
ESN	Active esta opción para permitir que IPsec use un número de secuencia de 64 bits. Si ESN no está habilitado, se usará el número de secuencia de 32 bits de forma predeterminada. Asegúrese de que ESN no esté habilitado cuando la antirreproducción esté deshabilitada. Nota: Esta opción solo está disponible para dispositivos instalados en paquetes junos-ike.
MTU de túnel	Escriba el tamaño máximo del paquete de transmisión para los túneles IPsec. Rango: 256 a 9192. Nota: Esta opción solo está disponible para dispositivos instalados en paquetes junos-ike.

Crear una VPN de acceso remoto—Juniper Secure Connect

Documentación relacionada