Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Autenticación de usuario local mediante clave precompartida (procedimiento de CLI)

Visión general

En esta configuración, se utilizan el nombre de usuario y la contraseña para la autenticación de usuario local. Esta opción de configuración no le permite cambiar o recuperar sus credenciales sin interactuar con el administrador del firewall, por lo que no recomendamos este método de autenticación. En su lugar, se recomienda utilizar el método de autenticación de usuario externo mediante RADIUS .

Suponemos que ha completado la configuración básica de los firewalls de la serie SRX, incluidas las interfaces, las zonas y las políticas de seguridad, como se ilustra en la figura 1.

Figura 1: Topología Topology

Para obtener información acerca de los requisitos previos, consulte Requisitos del sistema para Juniper Secure Connect.

Debe asegurarse de que el firewall de la serie SRX utiliza un certificado firmado o un certificado autofirmado en lugar del certificado predeterminado generado por el sistema. Antes de empezar a configurar Juniper Secure Connect, debe enlazar el certificado al firewall de la serie SRX ejecutando el siguiente comando:

Por ejemplo:

Donde SRX_Certificate es el certificado autofirmado.

Configuración rápida de CLI

Para configurar rápidamente este ejemplo en los firewalls de la serie SRX, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de jerarquía [editar].

Procedimiento paso a paso

Para configurar las opciones de VPN mediante la interfaz de línea de comandos:

  1. Inicie sesión en el firewall de la serie SRX mediante la interfaz de línea de comandos (CLI).
  2. Ingrese al modo de configuración.
  3. Configure VPN de acceso remoto.
    Condición

    Para implementar Juniper Secure Connect, debe crear un certificado autofirmado y enlazar el certificado al firewall de la serie SRX. Para obtener más información, consulte Preparación de la configuración de Juniper Secure Connect.

    Configuración de IKE:

    1. Configure la propuesta de IKE.
      • Defina el método de autenticación de la propuesta de IKE, el grupo Diffie-Hellman y el algoritmo de autenticación.
      • Configure las claves previamente compartidas como método de autenticación.

        Introduzca la clave en formato ASCII. No admitimos el formato hexadecimal para VPN de acceso remoto.

      Ver propuesta (IKE de seguridad).
    2. Configure la política de IKE.

      Establezca el modo de política de fase 1 de IKE, la referencia a la propuesta de IKE y el método de autenticación de políticas de fase 1 de IKE.

      Consulte Política (IKE de seguridad).
    3. Configure las opciones de puerta de enlace de IKE. Ver dinámico.

      Si no configura los valores DPD y la información de versión, Junos OS asigna el valor predeterminado para estas opciones. Consulte dead-peer-detection.

      Configure la dirección IP de la interfaz externa para que los clientes se conecten. Debe ingresar esta misma dirección IP (en este ejemplo: 192.0.2.0) para el campo Dirección de puerta de enlace en la aplicación Juniper Secure Connect. Consulte puerta de enlace.

    Configuración de IPsec:

    1. Configure la propuesta de IPsec.
      Consulte la propuesta (IPsec de seguridad).
    2. Configure la directiva IPsec.
      • Especifique PFS de fase 2 IPsec para usar el grupo 19 de Diffie-Hellman.
      • Especifique la referencia de propuesta de fase 2 de IPsec.
      Consulte política (IPsec de seguridad).

    Configuración de VPN IPsec:

    1. Configure los parámetros VPN IPsec. Consulte vpn (Seguridad).
    2. Configure selectores de tráfico VPN. Consulte selector de tráfico.
  4. Configure las opciones de cliente de usuario remoto.
    1. Configure el perfil de acceso remoto. Consulte acceso remoto.
    2. Configure la configuración del cliente de acceso remoto. Consulte client-config.

    En la tabla 1 se resumen las opciones de configuración del usuario remoto.

    Tabla 1: Opciones de configuración de usuario remoto

    Configuración de usuario remoto

    Descripción

    modo de conexión

    Para establecer la conexión de cliente de forma manual o automática, configure la opción adecuada.

    • Si configura la opción manual , en la aplicación Juniper Secure Connect, para establecer una conexión, debe hacer clic en el botón de alternancia o seleccionar Conexión > Conectar en el menú.

    • Si configura la opción Siempre , Juniper Secure Connect establecerá automáticamente la conexión.

    Limitación conocida:

    Dispositivo Android: Si usa o selecciona Siempre, la configuración se descarga desde el primer dispositivo SRX utilizado. Si cambia la primera configuración del firewall de la serie SRX o si se conecta a un nuevo dispositivo SRX, la configuración no se descarga en la aplicación Juniper Secure Connect.

    Esto significa que una vez que se conecta en el modo Siempre con el dispositivo Android, los cambios de configuración en el firewall de la serie SRX no surtirán efecto en Juniper Secure Connect.

    detección de pares muertos

    La detección de pares inactivos (DPD) está habilitada de forma predeterminada para permitir que el cliente detecte si se puede acceder al firewall de la serie SRX y, si no se puede acceder al dispositivo, deshabilite la conexión hasta que se restablezca la accesibilidad.

    default -profile

    Si configura un perfil de conexión VPN como perfil predeterminado, debe introducir solo la dirección de puerta de enlace en la aplicación Juniper Secure Connect. Es opcional ingresar el nombre del dominio en la aplicación Juniper Secure Connect, ya que la aplicación selecciona automáticamente el perfil predeterminado como nombre del reino. En este ejemplo, escriba ra.example.com en el campo Dirección de puerta de enlace de la aplicación Juniper Secure Connect.

    Nota:

    A partir de Junos OS versión 23.1R1, hemos ocultado la default-profile opción en el nivel de jerarquía [].edit security remote-access En versiones anteriores a Junos OS versión 23.1R1, utilice esta opción para especificar uno de los perfiles de acceso remoto como perfil predeterminado en Juniper Secure Connect. Pero con los cambios en el formato de los nombres de perfil de acceso remoto, ya no necesitamos la default-profile opción.

    Hemos dejado de usar default-profile la opción, en lugar de eliminarla inmediatamente, para proporcionar compatibilidad con versiones anteriores y la oportunidad de hacer que su configuración existente se ajuste a la configuración cambiada. Recibirá un mensaje de advertencia si continúa usando la opción en su default-profile configuración. Sin embargo, las implementaciones existentes no se ven afectadas si modifica la configuración actual. Consulte perfil predeterminado (Juniper Secure Connect).
  5. Configure la puerta de enlace local.
    1. Cree un grupo de direcciones para la asignación de IP dinámica del cliente. Consulte asignación de direcciones (acceso).

      • Escriba la dirección de red que utiliza para la asignación de direcciones.

      • Introduzca la dirección del servidor DNS. Introduzca los detalles del servidor WINS, si es necesario. Cree el intervalo de direcciones para asignar direcciones IP a los clientes.

      • Introduzca el nombre y los límites inferior y superior.

    2. Crear perfil de acceso. Escriba los detalles del grupo de IP local que se encuentra en la directiva de VPN para los clientes. Escriba un nombre para el grupo de direcciones IP.

      Escriba un nombre de usuario y una contraseña para la autenticación local SRX de credenciales de cliente.

    3. Cree un perfil de terminación SSL. La terminación SSL es un proceso en el que los firewalls de la serie SRX actúan como un servidor proxy SSL y terminan la sesión SSL desde el cliente. Escriba el nombre del perfil de terminación SSL y seleccione el certificado de servidor que utiliza para la terminación SSL en los firewalls de la serie SRX. El certificado de servidor es un identificador de certificado local. Los certificados de servidor se utilizan para autenticar la identidad de un servidor.
    4. Cree un perfil de VPN SSL. Consulte tcp-encap.
    5. Crear políticas de firewall.
      Cree la política de seguridad para permitir el tráfico desde la zona de confianza a la zona VPN.
      Cree la política de seguridad para permitir el tráfico desde la zona VPN a la zona de confianza.
  6. Configure la información de la interfaz Ethernet.

    Configure la interfaz st0 con la familia establecida como inet.

  7. Configure zonas de seguridad.

    Para host-inbound-traffic la configuración mínima requerida:

    1. system-services - En la zona, seleccione ike permitir el servicio VPN y https permitir la VPN conexión HTTPS para enviar la configuración inicial a la aplicación Juniper Secure Connect. En la trust zona, seleccione https.

    2. protocols - Ninguno para la configuración básica.

      Consulte servicios del sistema y protocolos.

    En el ejemplo de configuración mencionamos all system-services y protocols. Pero, le recomendamos que permita solo los servicios y protocolos necesarios.

  8. La configuración de acceso remoto con usuario remoto y puerta de enlace local se configura correctamente.
  9. Inicie la aplicación Juniper Secure Connect y proporcione la misma dirección IP que configuró para la dirección IP externa en el campo Dirección de puerta de enlace de la aplicación Juniper Secure Connect.

    En este ejemplo, ha configurado 192.0.2.0 como la dirección IP de interfaz externa para que los clientes se conecten. Debe ingresar esta misma dirección IP (192.0.2.0) para el campo Dirección de puerta de enlace en la aplicación Juniper Secure Connect.

Resultado

Desde el modo operativo, escriba los comandos , y show services para confirmar la show securityconfiguración. show access Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Asegúrese de que ya tiene un certificado de servidor para adjuntar con el perfil de terminación SSL.

Cuando haya terminado de configurar la función en su dispositivo, ingrese commit desde el modo de configuración.

Documentación relacionada