Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Autenticación de usuario externo (procedimiento de CLI)

Visión general

Esta configuración es más segura ya que le permite utilizar el mismo nombre de usuario y contraseña que el inicio de sesión de su dominio, así como cambiar o recuperar sus credenciales sin interactuar con el administrador del firewall. También agrega menos carga de trabajo en el administrador, ya que la contraseña debe cambiarse con frecuencia. Le recomendamos que utilice esta configuración para autenticar al usuario.

Suponemos que ha completado la configuración básica de los firewalls de la serie SRX, incluidas las interfaces, las zonas y las políticas de seguridad, como se ilustra en la figura 1.

Figura 1: Topología Topology

Para obtener información acerca de los requisitos previos, consulte Requisitos del sistema para Juniper Secure Connect.

Debe asegurarse de que el firewall de la serie SRX utiliza un certificado firmado o un certificado autofirmado en lugar del certificado predeterminado generado por el sistema. Antes de empezar a configurar Juniper Secure Connect, debe enlazar el certificado al firewall de la serie SRX ejecutando el siguiente comando:

Por ejemplo:

Donde SRX_Certificate es el certificado obtenido de CA o certificado autofirmado.

Configuración rápida de CLI

Para configurar rápidamente este ejemplo en los firewalls de la serie SRX, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de jerarquía [editar].

Procedimiento paso a paso

Para configurar las opciones de VPN mediante la interfaz de línea de comandos:

  1. Inicie sesión en el firewall de la serie SRX mediante la interfaz de línea de comandos (CLI).
  2. Ingrese al modo de configuración.
  3. Configure VPN de acceso remoto.

    Para implementar Juniper Secure Connect, debe crear un certificado autofirmado y enlazar el certificado al firewall de la serie SRX. Para obtener más información, consulte Introducción a Juniper Secure Connect.

    Configuración de IKE:

    1. Configure la propuesta de IKE.
      • Defina el método de autenticación de la propuesta de IKE, el grupo Diffie-Hellman y el algoritmo de autenticación.
      • Configure las claves previamente compartidas como método de autenticación. Introduzca la clave previamente compartida en formato ASCII. No admitimos el formato hexadecimal para VPN de acceso remoto.
      Ver propuesta (IKE de seguridad).
    2. Configure la política de IKE.

      Establezca el modo de política de fase 1 de IKE, la referencia a la propuesta de IKE y el método de autenticación de políticas de fase 1 de IKE.

      Consulte Política (IKE de seguridad).
    3. Configure las opciones de puerta de enlace de IKE. Ver dinámico.

      Si no configura los valores DPD y la información de versión, Junos OS asigna el valor predeterminado para estas opciones. Consulte dead-peer-detection.

      Configure la dirección IP de la interfaz externa para que los clientes se conecten. Debe ingresar esta misma dirección IP (en este ejemplo: https://192.0.2.0/) para el campo Dirección de puerta de enlace en la aplicación Juniper Secure Connect. Consulte puerta de enlace.

    Configuración de IPsec:

    1. Configure la propuesta de IPsec.
      Consulte la propuesta (IPsec de seguridad).
    2. Configure la directiva IPsec.
      • Especifique PFS de fase 2 IPsec para usar el grupo 19 de Diffie-Hellman.
      • Especifique la referencia de propuesta de fase 2 de IPsec.
      Consulte política (IPsec de seguridad).

    Configuración de VPN IPsec:

    1. Configure los parámetros VPN IPsec. Consulte vpn (Seguridad).
    2. Configure selectores de tráfico VPN. Consulte selector de tráfico.
  4. Configure las opciones de cliente de usuario remoto.
    1. Configure el perfil de acceso remoto. Consulte acceso remoto.
    2. Configure el acceso de usuarios de varios dispositivos para el acceso remoto.

      Para configurar el acceso de usuarios multidispositivo, asegúrese de que se cumplen los siguientes requisitos previos:

      • Se admite la versión de cliente de Secure Connect.

      • Cada uno de los dispositivos remotos (computadoras o dispositivos inteligentes) tiene un nombre de host único.

      • Para reducir el consumo de licencias, puede configurar las opciones de tiempo de espera de inactividad mediante set security ipsec vpn vpn-nameike idle-time comando para desconectar las conexiones inactivas.

      • Solo admite group-ike-idarchivos .

      Puede borrar todas las asociaciones IKE de un usuario mediante el comando clear security ike active-peer aaa-username user-name.

      La función de acceso de usuarios de varios dispositivos no funciona con la asignación de direcciones IP estáticas mediante el atributo radius Framed-IP-Address. La primera conexión del usuario se realizará correctamente, pero las conexiones posteriores pueden fallar.

      El proceso authd asigna la dirección estática, proporcionando al usuario una dirección IP configurada para su primera conexión. Para conexiones posteriores, el proceso authd selecciona una IP libre del grupo mediante el set access address-assignment pool family [inet|inet6] host ip-address user-name comando.

    3. Configure la configuración del cliente de acceso remoto. Consulte client-config.

    En la tabla 1 se resumen las opciones de configuración del usuario remoto.

    Tabla 1: Opciones de configuración de usuario remoto

    Configuración de usuario remoto

    Descripción

    modo de conexión

    Para establecer la conexión de cliente de forma manual o automática, configure la opción adecuada.

    • Si configura la opción manual , en la aplicación Juniper Secure Connect, para establecer una conexión, debe hacer clic en el botón de alternancia o seleccionar Conexión > Conectar en el menú.

    • Si configura la opción Siempre , Juniper Secure Connect establecerá automáticamente la conexión.

    Limitación conocida:

    Dispositivo Android: Si usa o selecciona Siempre, la configuración se descarga desde el primer dispositivo SRX utilizado. Si cambia la primera configuración del firewall de la serie SRX o si se conecta a un nuevo dispositivo SRX, la configuración no se descarga en la aplicación Juniper Secure Connect.

    Esto significa que una vez que se conecta en el modo Siempre con el dispositivo Android, los cambios de configuración en el firewall de la serie SRX no surtirán efecto en Juniper Secure Connect.

    detección de pares muertos

    La detección de pares inactivos (DPD) está habilitada de forma predeterminada para permitir que el cliente detecte si se puede acceder al firewall de la serie SRX y, si no se puede acceder al dispositivo, deshabilite la conexión hasta que se restablezca la accesibilidad.

    default -profile

    Si configura un perfil de conexión VPN como perfil predeterminado, debe introducir solo la dirección de puerta de enlace en la aplicación Juniper Secure Connect. Es opcional ingresar el nombre del dominio en la aplicación Juniper Secure Connect, ya que la aplicación selecciona automáticamente el perfil predeterminado como nombre del reino. En este ejemplo, escriba ra.example.com en el campo Dirección de puerta de enlace de la aplicación Juniper Secure Connect.

    Nota:

    A partir de Junos OS versión 23.1R1, hemos ocultado la default-profile opción en el nivel de jerarquía [].edit security remote-access En versiones anteriores a Junos OS versión 23.1R1, utilice esta opción para especificar uno de los perfiles de acceso remoto como perfil predeterminado en Juniper Secure Connect. Pero con los cambios en el formato de los nombres de perfil de acceso remoto, ya no necesitamos la default-profile opción.

    Hemos dejado de usar default-profile la opción, en lugar de eliminarla inmediatamente, para proporcionar compatibilidad con versiones anteriores y la oportunidad de hacer que su configuración existente se ajuste a la configuración cambiada. Recibirá un mensaje de advertencia si continúa usando la opción en su default-profile configuración. Sin embargo, las implementaciones existentes no se ven afectadas si modifica la configuración actual. Consulte perfil predeterminado (Juniper Secure Connect).
  5. Configure la puerta de enlace local.
    1. Cree un grupo de direcciones para la asignación de IP dinámica del cliente. Consulte asignación de direcciones (acceso).

      • Escriba la dirección de red que utiliza para la asignación de direcciones.

      • Introduzca la dirección del servidor DNS. Introduzca los detalles del servidor WINS, si es necesario. Cree el intervalo de direcciones para asignar direcciones IP a los clientes.

      • Introduzca el nombre y los límites inferior y superior.

    2. Crear perfil de acceso.

      Para la autenticación de usuarios externos, proporcione la dirección IP del servidor Radius, el secreto Radius y la dirección de origen para las comunicaciones RADIUS de las que se obtendrán las comunicaciones. Configure el radio para el orden de autenticación.

    3. Cree un perfil de terminación SSL. La terminación SSL es un proceso en el que los firewalls de la serie SRX actúan como un servidor proxy SSL y terminan la sesión SSL desde el cliente. Escriba el nombre del perfil de terminación SSL y seleccione el certificado de servidor que utiliza para la terminación SSL en los firewalls de la serie SRX. El certificado de servidor es un identificador de certificado local. Los certificados de servidor se utilizan para autenticar la identidad de un servidor.
    4. Cree un perfil de VPN SSL. Consulte tcp-encap.
    5. Crear políticas de firewall.
      Cree la política de seguridad para permitir el tráfico desde la zona de confianza a la zona VPN.
      Cree la política de seguridad para permitir el tráfico desde la zona VPN a la zona de confianza.
  6. Configure la información de la interfaz Ethernet.

    Configure la interfaz st0 con la familia establecida como inet.

  7. Configure zonas de seguridad.
  8. La configuración de acceso remoto con usuario remoto y puerta de enlace local se configura correctamente.
  9. Inicie la aplicación Juniper Secure Connect y proporcione la misma dirección IP que configuró para la dirección IP externa en el campo Dirección de puerta de enlace de la aplicación Juniper Secure Connect.

    En este ejemplo, ha configurado 192.0.2.0 como la dirección IP de interfaz externa para que los clientes se conecten. Debe ingresar esta misma dirección IP (192.0.2.0) para el campo Dirección de puerta de enlace en la aplicación Juniper Secure Connect.

Resultado

Desde el modo operativo, escriba los comandos , y show services para confirmar la show securityconfiguración. show access Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Asegúrese de que ya tiene un certificado de servidor para adjuntar con el perfil de terminación SSL.

Cuando haya terminado de configurar la función en su dispositivo, ingrese commit desde el modo de configuración.

Documentación relacionada