Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticación de usuario externo (procedimiento de CLI)

Visión general

Esta configuración es más segura, ya que le permite usar el mismo nombre de usuario y contraseña que su inicio de sesión de dominio, así como cambiar o recuperar sus credenciales sin interactuar con el administrador del firewall. También agrega menos carga de trabajo al administrador, ya que la contraseña debe cambiarse con frecuencia. Recomendamos que utilice esta configuración para autenticar al usuario.

Suponemos que completó la configuración básica de los firewalls de la serie SRX, incluidas las interfaces, las zonas y las políticas de seguridad, como se muestra en la Figura 1.

Figura 1: Topología Topology

Para obtener más información acerca de los requisitos previos, consulte Requisitos del sistema.

Debe asegurarse de que el firewall serie SRX usa un certificado firmado o autofirmado en lugar del certificado predeterminado generado por el sistema. Antes de comenzar a configurar Juniper Secure Connect, debe enlazar el certificado al firewall serie SRX mediante la ejecución del siguiente comando:

Por ejemplo:

Donde SRX_Certificate es el certificado obtenido de CA o un certificado autofirmado.

Configuración rápida de CLI

Para configurar rápidamente este ejemplo en sus firewalls serie SRX, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit].

Procedimiento paso a paso

Para configurar la configuración de VPN mediante la interfaz de línea de comandos:

  1. Inicie sesión en el firewall de la serie SRX con la interfaz de línea de comandos (CLI).
  2. Ingrese al modo de configuración.
  3. Configure VPN de acceso remoto.

    Para implementar Juniper Secure Connect, debe crear un certificado autofirmado y enlazar el certificado al firewall serie SRX. Para obtener más información, consulte Preparación de la configuración de Juniper Secure Connect.

    Configuración de ICR:

    1. Configure la propuesta de ICR.
      • Defina el método de autenticación de propuesta de ICR, el grupo Diffie-Hellman y el algoritmo de autenticación.
      • Configure claves precompartidas como método de autenticación. Ingrese la clave precompartida en formato ASCII. No admitemos el formato hexadecimal para VPN de acceso remoto.
    2. Configure la política de ICR.

      Establezca el modo de política de fase 1 de ICR, referencia a la propuesta de IKE y el método de autenticación de política de fase 1 de IKE.

    3. Configure las opciones de puerta de enlace de ICR. Vea dinámica.

      Si no configura los valores DPD y la información de versión, Junos OS asigna el valor predeterminado para estas opciones. Vea detección de pares muertos.

      Configure la dirección IP de interfaz externa para que los clientes se conecten. Debe introducir esta misma dirección IP (en este ejemplo: https://192.0.2.0/) para el campo Dirección de puerta de enlace en la aplicación Juniper Secure Connect. Consulte puerta de enlace.

    Configuración de IPsec:

    1. Configure la propuesta de IPsec.
    2. Configure la política de IPsec.
      • Especifique PFS de fase 2 IPsec para usar el grupo Diffie-Hellman 19.
      • Especifique la referencia de propuesta de fase 2 de IPsec.

    Configuración VPN IPsec:

    1. Configure los parámetros VPN IPsec. Consulte VPN (seguridad).
    2. Configure los selectores de tráfico vpn. Consulte selector de tráfico.
  4. Configure las opciones de cliente de usuario remoto.
    1. Configure el perfil de acceso remoto. Consulte acceso remoto.
    2. Configure el acceso de usuario de varios dispositivos para ases remotos.

      Para configurar el acceso de usuario de varios dispositivos, asegúrese de que se cumplen los siguientes requisitos previos:

      • Se admite la versión del cliente de Secure Connect.

      • Cada uno de los dispositivos remotos (computadoras o dispositivos inteligentes) tiene un nombre de host único.

      • Para reducir el consumo de licencias, puede configurar opciones de tiempo de espera inactivo mediante set security ipsec vpn vpn-nameike idle-time el comando para desconectar conexiones inactivas.

      • Solo group-ike-idadmite .

      Puede borrar todas las asociaciones de ICR de un usuario mediante el comando clear security ike active-peer aaa-username user-name.

      La función de acceso de usuario de varios dispositivos no funciona con la asignación de direcciones estáticas mediante el atributo de radio Framed-IP-Address. La primera conexión del usuario se establecerá correctamente y el descanso podría fallar.

      La asignación estática de direcciones mediante el proceso authd dará una dirección IP configurada para la primera conexión del usuario y para la posterior conexión que da ip gratuita desde el grupo mediante el set access address-assignment pool family [inet|inet6] host ip-address user-name comando.

    3. Configure la configuración del cliente de acceso remoto. Consulte configuración del cliente.

    En la tabla 1 se resumen las opciones de configuración del usuario remoto.

    Tabla 1: Opciones de configuración de usuario remoto

    Configuración de usuario remoto

    Descripción

    modo de conexión

    Para establecer la conexión del cliente de forma manual o automática, configure la opción adecuada.

    • Si configura la opción manual , en la aplicación Juniper Secure Connect, para establecer una conexión, debe hacer clic en el botón de alternar o seleccionar Conexión > Conectar en el menú.

    • Si configura la opción Always , Juniper Secure Connect establece automáticamente la conexión.

    Limitación conocida:

    Dispositivo Android: si usa o selecciona Siempre, la configuración se descarga desde el primer dispositivo SRX utilizado. Si la primera configuración del firewall serie SRX cambia o si se conecta a un nuevo dispositivo SRX, la configuración no se descarga a la aplicación Juniper Secure Connect.

    Esto significa que una vez que se conecta en el modo Siempre con el dispositivo Android, cualquier cambio de configuración en el firewall serie SRX no tendrá efecto en Juniper Secure Connect.

    detección de pares muertos

    La detección de pares muertos (DPD) está habilitada de forma predeterminada para permitir que el cliente detecte si el firewall de la serie SRX es accesible y, si el dispositivo no es accesible, desactive la conexión hasta que se restablezca la accesibilidad.

    perfil predeterminado

    Si configura un perfil de conexión VPN como perfil predeterminado, debe ingresar solo la dirección de puerta de enlace en la aplicación Juniper Secure Connect. Es opcional ingresar el nombre del reino en la aplicación Juniper Secure Connect, ya que la aplicación selecciona automáticamente el perfil predeterminado como nombre de dominio. En este ejemplo, escriba ra.example.com en el campo Dirección de puerta de enlace de la aplicación Juniper Secure Connect.

    Nota:

    A partir de Junos OS versión 23.1R1, hemos ocultado la default-profile opción en el nivel de jerarquía [].edit security remote-access En versiones anteriores a Junos OS versión 23.1R1, utilice esta opción para especificar uno de los perfiles de acceso remoto como perfil predeterminado en Juniper Secure Connect. Pero con los cambios en el formato de los nombres de perfil de acceso remoto, ya no necesitamos la default-profile opción.

    Hemos desusado default-profile la opción (en lugar de eliminarla de inmediato) para proporcionar compatibilidad con versiones anteriores y una oportunidad de hacer que su configuración existente se ajuste a la configuración modificada. Recibirá un mensaje de advertencia si continúa utilizando la opción en su default-profile configuración. Sin embargo, las implementaciones existentes no se verán afectadas si modifica la configuración actual. Consulte el perfil predeterminado (Juniper Secure Connect).

  5. Configure la puerta de enlace local.
    1. Cree un conjunto de direcciones para la asignación de IP dinámica del cliente. Consulte asignación de direcciones (acceso).
      • Escriba la dirección de red que utilice para la asignación de direcciones.

      • Ingrese su dirección de servidor DNS. Escriba los detalles del servidor WINS, si es necesario. Cree el intervalo de direcciones para asignar direcciones IP a los clientes.

      • Escriba el nombre y los límites inferiores y superiores.

    2. Cree un perfil de acceso.

      Para la autenticación de usuario externo, proporcione la dirección IP del servidor Radius, el secreto de Radius y la dirección de origen para las comunicaciones de radio desde las que se origen. Configure el radio para el orden de autenticación.

    3. Cree un perfil de terminación SSL. La terminación SSL es un proceso en el que los firewalls serie SRX actúan como un servidor proxy SSL y terminan la sesión SSL desde el cliente. Escriba el nombre del perfil de terminación SSL y seleccione el certificado de servidor que utilice para la terminación SSL en los firewalls serie SRX. El certificado de servidor es un identificador de certificado local. Los certificados de servidor se utilizan para autenticar la identidad de un servidor.
    4. Cree un perfil de VPN SSL. Consulte tcp-encap.
    5. Cree políticas de firewall.
      Cree la política de seguridad para permitir el tráfico desde la zona de confianza a la zona VPN.
      Cree la política de seguridad para permitir el tráfico desde la zona VPN a la zona de confianza.
  6. Configure la información de interfaz Ethernet.

    Configure la interfaz st0 con la familia establecida como inet.

  7. Configure zonas de seguridad.
  8. La configuración de acceso remoto con usuario remoto y puerta de enlace local se configura correctamente.
  9. Inicie la aplicación Juniper Secure Connect y proporcione la misma dirección IP que configuró para la dirección IP externa en el campo Dirección de puerta de enlace en la aplicación Juniper Secure Connect.

    En este ejemplo, configuró 192.0.2.0 como la dirección IP de interfaz externa para que los clientes se conecten. Debe ingresar esta misma dirección IP (192.0.2.0) para el campo Dirección de puerta de enlace en la aplicación Juniper Secure Connect.

Resultado

Desde el modo operativo, ingrese los comandos , show accessy show services para confirmar su show securityconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Asegúrese de que ya tiene un certificado de servidor para adjuntar con el perfil de terminación SSL.

Cuando termine de configurar la función en el dispositivo, ingrese confirmación desde el modo de configuración.