Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Autenticación de usuario local mediante clave precompartida (procedimiento de CLI)

Visión general

En esta configuración, utilizará el nombre de usuario y la contraseña para la autenticación de usuario local. Esta opción de configuración no le permite cambiar ni recuperar sus credenciales sin interactuar con el administrador del firewall, por lo que no recomendamos este método de autenticación. En su lugar, recomendamos que utilice la autenticación de usuario externo mediante el método RADIUS .

Suponemos que completó la configuración básica de los dispositivos de la serie SRX, incluidas las interfaces, las zonas y las políticas de seguridad, como se muestra en la figura 1.

Figura 1: Topología Topology

Para obtener información acerca de los requisitos previos, consulte Requisitos del sistema.

Debe asegurarse de que el dispositivo de la serie SRX usa un certificado firmado o un certificado autofirmado en lugar del certificado predeterminado generado por el sistema. Antes de empezar a configurar Juniper Secure Connect, debe enlazar el certificado al dispositivo de la serie SRX mediante la ejecución del siguiente comando:

Por ejemplo:

Donde SRX_Certificate es el certificado autofirmado.

Configuración rápida de CLI

Para configurar rápidamente este ejemplo en los dispositivos de la serie SRX, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el nivel de jerarquía [editar].

Procedimiento paso a paso

Para configurar la configuración de VPN mediante la interfaz de línea de comandos:

  1. Inicie sesión en el dispositivo de la serie SRX mediante la interfaz de línea de comandos (CLI).
  2. Ingrese al modo de configuración.
  3. Configure VPN de acceso remoto.

    Para implementar Juniper Secure Connect, debe crear un certificado autofirmado y enlazar el certificado al dispositivo de la serie SRX. Para obtener más información, consulte Preparación de la configuración de Juniper Secure Connect.

    Configuración de ICR:

    1. Configure la propuesta de ICR.
      • Defina el método de autenticación de propuesta de ICR, el grupo Diffie-Hellman y el algoritmo de autenticación.
      • Configure claves previamente compartidas como método de autenticación.
      Consulte la propuesta (IKE de seguridad).
    2. Configure la política de ICR.

      Establezca el modo de política de fase 1 de ICR, haga referencia a la propuesta de IKE y al método de autenticación de política de fase 1 de IKE.

      Consulte política (IKE de seguridad).
    3. Configure las opciones de puerta de enlace IKE. Ver dinámico.

      Si no configura los valores DPD y la información de versión, Junos OS asigna el valor predeterminado para estas opciones. Vea la detección de pares muertos.

      Configure la dirección IP de interfaz externa para que los clientes se conecten. Debe ingresar esta misma dirección IP (en este ejemplo: 192.0.2.0) para el campo Dirección de puerta de enlace en la aplicación Juniper Secure Connect. Consulte puerta de enlace.

    Configuración de IPsec:

    1. Configure la propuesta de IPsec.
      Vea la propuesta (IPsec de seguridad).
    2. Configure la política IPsec.
      • Especifique PFS de fase 2 IPsec para usar el grupo Diffie-Hellman 19.
      • Especifique la referencia de propuesta de fase 2 de IPsec.
      Consulte política (IPsec de seguridad).

    Configuración de VPN IPsec:

    1. Configure parámetros VPN IPsec. Consulte vpn (seguridad).
    2. Configure selectores de tráfico VPN. Consulte selector de tráfico.
  4. Configure las opciones de cliente de usuario remoto.
    1. Configure el perfil de acceso remoto. Consulte Acceso remoto.
    2. Configure la configuración del cliente de acceso remoto. Consulte client-config y default-profile.

    La tabla 1 resume las opciones de configuración del usuario remoto.

    Tabla 1: Opciones de configuración del usuario remoto

    Configuración del usuario remoto

    Descripción

    modo de conexión

    Para establecer la conexión del cliente de forma manual o automática, configure la opción adecuada.

    • Si configura la opción manual , en la aplicación Juniper Secure Connect, para establecer una conexión, debe hacer clic en el botón de alternar o seleccionar Conexión > conectar en el menú.

    • Si configura la opción Siempre , Juniper Secure Connect establece automáticamente la conexión.

    Limitación conocida:

    Dispositivo Android: si usa o selecciona Siempre, la configuración se descarga desde el primer dispositivo SRX usado. Si cambia la primera configuración del dispositivo SRX o si se conecta a un nuevo dispositivo SRX, la configuración no se descarga en la aplicación Juniper Secure Connect.

    Esto significa que, una vez que se conecta en el modo Siempre mediante el dispositivo Android, cualquier cambio de configuración en el dispositivo SRX no surte efecto en Juniper Secure Connect.

    detección de pares muertos

    La detección de pares inactivos (DPD) está habilitada de forma predeterminada para permitir que el cliente detecte si el dispositivo de la serie SRX es accesible y si el dispositivo no es accesible, desactive la conexión hasta que se restaure la accesibilidad.

    perfil predeterminado

    Si configura un perfil de conexión VPN como perfil predeterminado, debe introducir solo la dirección de puerta de enlace en la aplicación Juniper Secure Connect. Es opcional introducir el nombre del reino en la aplicación Juniper Secure Connect, ya que la aplicación selecciona automáticamente el perfil predeterminado como nombre de reino. En este ejemplo, ingrese ra.example.com en el campo Dirección de puerta de enlace de la aplicación Juniper Secure Connect.

  5. Configure la puerta de enlace local.
    1. Cree un grupo de direcciones para la asignación de IP dinámica del cliente. Consulte asignación de direcciones (acceso).

      • Escriba la dirección de red que utiliza para la asignación de direcciones.

      • Ingrese su dirección de servidor DNS. Ingrese los detalles del servidor WINS, si es necesario. Cree el intervalo de direcciones para asignar direcciones IP a los clientes.

      • Escriba el nombre y los límites inferiores y superiores.

    2. Cree un perfil de acceso. Ingrese los detalles del grupo de IP local que se encuentra en la política VPN para los clientes. Escriba un nombre para el conjunto de direcciones IP.

      Escriba un nombre de usuario y una contraseña para la autenticación local SRX de las credenciales del cliente.

    3. Crear perfil de terminación SSL. La terminación SSL es un proceso en el que los dispositivos de la serie SRX actúan como un servidor proxy SSL y terminan la sesión SSL desde el cliente. Escriba el nombre para el perfil de terminación SSL y seleccione el certificado de servidor que usa para la terminación SSL en los dispositivos de la serie SRX. El certificado de servidor es un identificador de certificado local. Los certificados de servidor se utilizan para autenticar la identidad de un servidor.
    4. Cree un perfil VPN SSL. Consulte tcp-encap.
    5. Cree políticas de firewall.
      Cree la política de seguridad para permitir el tráfico de la zona de confianza a la zona VPN.
      Cree la política de seguridad para permitir el tráfico de la zona VPN a la zona de confianza.
  6. Configure la información de la interfaz Ethernet.

    Configure la interfaz st0 con la familia establecida como inet.

  7. Configure zonas de seguridad.
  8. La configuración de acceso remoto con usuario remoto y puerta de enlace local se configura correctamente.
  9. Inicie la aplicación Juniper Secure Connect y proporcione la misma dirección IP que configuró para la dirección IP externa en el campo Dirección de puerta de enlace en la aplicación Juniper Secure Connect.

    En este ejemplo, configuró 192.0.2.0 como la dirección IP de interfaz externa para que los clientes se conecten. Debe ingresar esta misma dirección IP (192.0.2.0) para el campo Dirección de puerta de enlace en la aplicación Juniper Secure Connect.

Resultado

Desde el modo operativo, confirme su configuración ingresando los show securitycomandos , show accessy show services . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Asegúrese de que ya tiene un certificado de servidor para adjuntar con el perfil de terminación SSL.

Cuando termine de configurar la función en el dispositivo, ingrese confirmar desde el modo de configuración.

Documentación relacionada