Validación basada en certificados mediante autenticación EAP-MSCHAPv2 (procedimiento de la CLI)

• Configure rsa-signatures como método de autenticación para configurar la autenticación basada en certificados.

• Defina la propuesta de ICR, el método de autenticación, el grupo Diffie-Hellman y el algoritmo de autenticación.

Ver propuesta (IKE de seguridad).

Para cargar un certificado local, especifique un certificado local determinado mediante el set security ike policy policy-name certificate local-certificate certificate-id comando cuando el dispositivo local tenga varios certificados cargados. Puede seleccionar uno de los certificados locales ya firmados externamente. En este ejemplo, SRX_Certificate es el certificado local existente que se carga para JUNIPER_SECURE_CONNECT la directiva.

Si no tiene un certificado local existente, puede crear uno siguiendo estos pasos:

• Cargue manualmente un certificado digital de autoridad de certificación (AC) desde una ubicación especificada. Consulte Solicitud de seguridad pki ca-certificate load (Seguridad).
• Cargue manualmente un certificado digital local desde una ubicación especificada. Consulte Carga de certificado local de PKI de seguridad de solicitud.

Después de crear un certificado local, puede asociar el certificado a una política de ICR mediante el set security ike policy policy-name certificate local-certificate certificate-id comando.

Si no configura los valores DPD y la información de versión, Junos OS asigna el valor predeterminado para estas opciones. Consulte detección de pares muertos.

Configure la dirección IP de interfaz externa para que los clientes se conecten. Debe introducir esta misma dirección IP (en este ejemplo: https://192.0.2.0) para el campo Dirección de puerta de enlace en la aplicación Juniper Secure Connect. Ver puerta de enlace.

Especifique el protocolo de propuesta de fase 2 de IPsec, el algoritmo de cifrado y otras opciones de fase 2.

Consulte propuesta (IPsec de seguridad).

• Especifique la PFS de fase 2 de IPsec para usar el grupo Diffie-Hellman 19.
• Especifique la referencia de propuesta de fase 2 de IPsec.

Consulte política (IPsec de seguridad).

En la tabla 1 se resumen las opciones de configuración de usuario remoto.

Tabla 1: Opciones de configuración de usuario remoto

Configuración de usuario remoto	Descripción
modo de conexión	Para establecer la conexión del cliente de forma manual o automática, configure la opción adecuada. Si configura manual opción, en la aplicación Juniper Secure Connect, para establecer una conexión, debe hacer clic en el botón de alternancia o seleccionar Conexión > Conectar en el menú. Si configura la opción Siempre , Juniper Secure Connect establece automáticamente la conexión. Limitación conocida: Dispositivo Android: si usa o selecciona Siempre, la configuración se descargará desde el primer dispositivo SRX utilizado. Si la primera configuración del firewall de la serie SRX cambia o si se conecta a un nuevo dispositivo SRX, la configuración no se descargará en la aplicación Juniper Secure Connect. Esto significa que una vez que se conecta en el modo Siempre con el dispositivo Android, los cambios de configuración en el firewall de la serie SRX no surtirán efecto en Juniper Secure Connect.
detección de pares muertos	La detección de pares inactivos (DPD) está habilitada de forma predeterminada para permitir que el cliente detecte si se puede acceder al firewall de la serie SRX y, si no se puede acceder al dispositivo, deshabilite la conexión hasta que se restablezca la accesibilidad.
perfil predeterminado	Si configura un perfil de conexión VPN como default-profile, debe ingresar solo la dirección de puerta de enlace en la aplicación Juniper Secure Connect. Es opcional introducir el nombre de dominio en la aplicación Juniper Secure Connect, ya que la aplicación selecciona automáticamente el perfil predeterminado como nombre de dominio. En este ejemplo, escriba ra.example.com en el campo Dirección de puerta de enlace de la aplicación Juniper Secure Connect. Nota: A partir de la versión 23.1R1 de Junos OS, ocultamos la default-profile opción en el nivel de jerarquía [].edit security remote-access En las versiones anteriores a Junos OS versión 23.1R1, utilice esta opción para especificar uno de los perfiles de acceso remoto como perfil predeterminado en Juniper Secure Connect. Pero con los cambios en el formato de los nombres de perfil de acceso remoto, ya no requerimos la default-profile opción. Hemos dejado de usar default-profile la opción, en lugar de eliminarla de inmediato, para ofrecer compatibilidad con versiones anteriores y la posibilidad de hacer que su configuración existente se ajuste a la configuración cambiada. Recibirá un mensaje de advertencia si continúa usando la opción en su default-profile configuración. Sin embargo, las implementaciones existentes no se verán afectadas si modifica la configuración actual. Consulte default-profile (Juniper Secure Connect).

Opción de configuración no-eap-tls para configurar el método de autenticación EAP-MSCHAPv2 para validar los certificados de usuario.

• Introduzca la dirección de red que utiliza para la asignación de direcciones.

• Ingrese la dirección de su servidor DNS. Escriba los detalles del servidor WINS, si es necesario. Cree el rango de direcciones para asignar direcciones IP a los clientes.

• Ingrese el nombre y los límites inferior y superior.

Para la autenticación de usuarios externos, proporcione la dirección IP del servidor RADIUS, el secreto RADIUS y la dirección de origen de las comunicaciones RADIUS desde las que se obtendrán. Configure radius para el orden de autenticación.

Cree la política de seguridad para permitir tráfico desde la zona de confianza a la zona VPN.

Cree la política de seguridad para permitir tráfico desde la zona VPN a la zona de confianza.