Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticación de usuario local mediante clave previamente compartida

En esta configuración, se utilizan el nombre de usuario y la contraseña para la autenticación de usuario local. Esta opción de configuración no le permite cambiar o recuperar sus credenciales sin interactuar con el administrador del firewall, por lo que no recomendamos este método de autenticación. En su lugar, se recomienda utilizar el método de autenticación de usuario externo mediante RADIUS .

Suponemos que ha completado la configuración básica de sus firewalls de la serie SRX, incluidas las interfaces, las zonas y las políticas de seguridad, tal como se ilustra en la configuración de implementación de Juniper Secure Connect.

Para obtener información acerca de los requisitos previos, consulte Requisitos del sistema para Juniper Secure Connect.

Nota:

Debe asegurarse de que el firewall de la serie SRX utiliza un certificado firmado o un certificado autofirmado en lugar del certificado predeterminado generado por el sistema. Antes de empezar a configurar Juniper Secure Connect, es importante que lea las instrucciones de Introducción a Juniper Secure Connect.

Configurar los ajustes de VPN de Juniper Secure Connect

Para configurar las opciones de VPN mediante la interfaz J-Web:

  1. Inicie sesión en su firewall de la serie SRX mediante la interfaz J-Web.

    Después de iniciar sesión correctamente, aterriza en la página Configuración básica.

  2. En el panel lateral J-Web, vaya a VPN de > red > VPN IPsec.

    1. Después de hacer clic en VPN IPsec, aparece la página VPN IPsec.

    2. En la esquina derecha de la página, seleccione Crear VPN > acceso remoto > Juniper Secure Connect para crear la configuración VPN IPsec para Juniper Secure Connect.

      Aparece el siguiente mensaje de advertencia:

      Figura 1: Mensaje de advertencia para generar y enlazar un certificado Instructions for deploying Juniper Secure Connect: Generate a certificate, then bind it to the SRX device. Red exclamation mark icon. autofirmado

      Como se menciona en el mensaje de advertencia, cree un certificado autofirmado y enlace el certificado al firewall de la serie SRX. Para obtener más información, consulte Implementar certificados para Juniper Secure Connect.

      Para obtener información detallada sobre cómo crear una VPN de acceso remoto, consulte Crear una VPN de acceso remoto: Juniper Secure Connect.

    3. Vuelva a navegar a Network > VPN > VPN IPsec y, en la esquina derecha de la página, seleccione Crear VPN > acceso remoto > Juniper Secure Connect para crear la configuración VPN IPsec para Juniper Secure Connect. Aparecerá la página Crear acceso remoto (Juniper Secure Connect).

      La figura 2 muestra un ejemplo de la creación de página de acceso remoto con un método de autenticación de clave previamente compartida.

      Figura 2: Crear página de acceso remoto para el método Juniper Secure Connect interface for VPN setup with fields for name, description, routing mode, authentication method, and firewall policy. Save and Cancel buttons included. de autenticación de clave precompartida
  3. En la página Crear acceso remoto (Juniper Secure Connect) (consulte la figura 2):

    1. Escriba el nombre de la conexión de acceso remoto (este es el nombre que se mostrará en el Nombre de dominio de usuarios finales en la aplicación Juniper Secure Connect) y una descripción.

    2. El modo de enrutamiento se establece en Selector de tráfico (inserción automática de rutas) de forma predeterminada.

    3. Seleccione el método de autenticación. Para este ejemplo, seleccionemos Clave precompartida en la lista desplegable.

    4. Seleccione para crear la directiva de firewall automáticamente mediante la opción Crear directiva de firewall automáticamente .

  4. Haga clic en el icono Usuario remoto para configurar los ajustes de la aplicación Juniper Secure Connect.
    Figura 3: Página Remote User setup interface with Manual connection mode, enabled SSL VPN, disabled biometric authentication, enabled Dead Peer Detection with 60-second interval and threshold of 5, disabled Save Username, disabled Windows Logon, enabled Multi Device Access, disabled Application Bypass, and Compliance set to None with option to create rules. Cancel and OK buttons for saving or discarding changes. de usuario remoto

    En la figura 3 se muestra un ejemplo de la página Usuario remoto.

    Configure el cliente de usuario remoto seleccionando las opciones de la página Usuario remoto y, a continuación, haciendo clic en Aceptar :

    En la tabla 1 se resumen las opciones de configuración del usuario remoto.

    Tabla 1: Opciones de configuración de usuario remoto

    Configuración de usuario remoto

    Descripción

    Perfil predeterminado

    El perfil predeterminado está habilitado de forma predeterminada. Si no desea que este perfil sea el perfil predeterminado, haga clic en el botón de alternancia.

    Si habilita Perfil predeterminado para el perfil de conexión VPN, Juniper Secure Connect selecciona automáticamente el perfil predeterminado como nombre de dominio (en este ejemplo: https://192.0.2.12/). En este caso, es opcional ingresar el nombre del dominio en Juniper Secure Connect.

    Si deshabilita Perfil predeterminado para el perfil de conexión VPN, debe introducir el nombre del dominio junto con la dirección de la puerta de enlace (en este ejemplo: https://192.0.2.12/JUNIPER_SECURE_CONNECT) en Juniper Secure Connect.

    Nota:

    A partir de la versión 23.1R1 de Junos OS, el perfil predeterminado está en desuso en J-Web. Sin embargo, en la CLI, en lugar de eliminarla inmediatamente, proporcionamos compatibilidad con versiones anteriores y la oportunidad de hacer que su configuración existente se ajuste a la configuración cambiada. Recibirá un mensaje de advertencia si continúa usando la opción de perfil predeterminado en su configuración. Sin embargo, las implementaciones existentes no se ven afectadas si modifica la configuración actual mediante la CLI. Consulte perfil predeterminado (Juniper Secure Connect)

    Modo de conexión

    Para establecer la conexión de cliente de forma manual o automática, seleccione la opción adecuada.

    • Si selecciona Manual y, a continuación, en la aplicación Juniper Secure Connect, para establecer una conexión, debe hacer clic en el botón de alternancia o seleccionar Conexión > Conectar en el menú.

    • Si selecciona Siempre, Juniper Secure Connect establecerá automáticamente la conexión.

    Limitación conocida:

    Dispositivo Android: Si usa o selecciona Siempre, la configuración se descarga desde el primer dispositivo SRX utilizado. Si cambia la primera configuración del firewall de la serie SRX o si se conecta a un nuevo dispositivo SRX, la configuración no se descarga en la aplicación Juniper Secure Connect.

    Esto significa que una vez que se conecta en el modo Siempre con el dispositivo Android, los cambios de configuración en el firewall de la serie SRX no surtirán efecto en Juniper Secure Connect.

    SSL VPN

    Para habilitar la compatibilidad con la conexión VPN SSL desde la aplicación Juniper Secure Connect a los firewalls de la serie SRX, haga clic en el botón de alternancia. Utilice esta opción cuando no se permitan puertos IPsec. Al habilitar SSL VPN, el cliente tiene la flexibilidad de conectar los firewalls de la serie SRX. De forma predeterminada, SSL VPN está habilitada.

    Autenticación biométrica

    Esta opción está desactivada de forma predeterminada. Si habilita esta opción, al hacer clic en conectar en Juniper Secure Connect, Juniper Secure Connect mostrará un mensaje de autenticación.

    Esta opción permite al usuario proteger sus credenciales mediante la compatibilidad de autenticación biométrica integrada en el sistema operativo.

    Detección de pares muertos

    La detección de pares inactivos (DPD) está habilitada de forma predeterminada para permitir que el cliente detecte si se puede acceder al firewall de la serie SRX y, si no se puede acceder al dispositivo, deshabilite la conexión hasta que se restablezca la accesibilidad.

    Guardar nombre de usuario

    Para guardar credenciales en la aplicación Juniper Secure Connect, puede habilitar esta opción.

    Inicio de sesión de Windows

    Esta opción permite a los usuarios iniciar sesión en el sistema Windows local a través de un túnel VPN ya establecido (mediante el inicio de sesión previo de Windows), de modo que se autentique en el dominio central de Windows o Active Directory.

    Acceso a múltiples dispositivos

    Proporcionar acceso múltiple a un usuario del cliente Juniper Secure Connect utilizando las mismas credenciales y la misma URL de puerta de enlace desde diferentes dispositivos

    Desvío de aplicaciones

    Para permitir a los usuarios de la aplicación Juniper Secure Connect omitir aplicaciones específicas basadas en nombres de dominio y protocolos, eliminando la necesidad de que el tráfico pase a través del túnel VPN, seleccione esta opción.

    Conformidad

    Si habilita esta función en su firewall, la aplicación Juniper Secure Connect puede establecer la conexión VPN según los criterios de admisión que configure. Le recomendamos que habilite esta función.
  5. Haga clic en Puerta de enlace local para configurar las opciones de Puerta de enlace local.

    En la figura 4 se muestra un ejemplo de las opciones de configuración de la puerta de enlace local.

    Figura 4: Configuración de Configuration interface for setting up a Local Gateway on a network device, showing options like NAT, external IP 192.0.2.12/28, tunnel interface st0.0, authentication, and SSL VPN profiles. la puerta de enlace local

    1. Si habilita Gateway está detrás de NAT, aparecerá un cuadro de texto. En el cuadro de texto, escriba la dirección IP NAT. Solo admitimos direcciones IPv4. La dirección NAT es la dirección externa.

    2. Para versiones anteriores de J-Web, debe introducir un ID de IKE en formato user@hostname.com . Por ejemplo, abc@xyz.com.

    3. En el campo Interfaz externa , seleccione la dirección IP para que los clientes se conecten. Debe ingresar esta misma dirección IP (en este ejemplo: https://192.0.2.12/) para el campo Dirección de puerta de enlace en la aplicación Juniper Secure Connect.

      Si habilita La puerta de enlace está detrás de NAT, la dirección IP NAT se convierte en la dirección de puerta de enlace.

    4. En la lista desplegable Interfaz de túnel , seleccione una interfaz para enlazarla a la VPN basada en rutas. También puede hacer clic en Agregar. Si hace clic en Agregar, aparecerá la página Crear interfaz de túnel .

      El siguiente número de interfaz lógica st0 disponible se muestra en el campo Unidad de interfaz y puede introducir una descripción para esta interfaz. Seleccione la zona a la que desea agregar esta interfaz de túnel. Si la directiva de creación automática de firewall (en la página Crear acceso remoto) se establece en , la directiva de firewall utiliza esta zona. Haga clic en Aceptar.

    5. Introduzca la clave previamente compartida en formato ASCII. No admitimos el formato hexadecimal para VPN de acceso remoto.

    6. En la lista desplegable Autenticación de usuario , seleccione un perfil de acceso existente o haga clic en Agregar para crear un nuevo perfil de acceso. Si hace clic en Agregar, aparecerá la página Crear perfil de acceso .

      Introduzca el nombre del perfil de acceso. En la lista desplegable Asignación de direcciones , seleccione un grupo de direcciones o haga clic en Crear grupo de direcciones. Si hace clic en Crear grupo de direcciones, aparecerá la página Crear grupo de direcciones.

      • Escriba los detalles del grupo de IP local que se encuentra en la directiva de VPN para los clientes. Escriba un nombre para el grupo de direcciones IP.

      • Escriba la dirección de red y la subred que utiliza para la asignación de direcciones.

      • Introduzca la dirección del servidor DNS. Introduzca los detalles del servidor WINS, si es necesario.

      • Después de introducir los detalles, haga clic en Aceptar.

      Active la casilla Local para crear un usuario de autenticación local, donde todos los detalles de autenticación se almacenan en los firewalls de la serie SRX. Si hace clic en el icono de agregar (+), aparecerá la ventana Crear usuario de autenticación local .

      Escriba un nombre de usuario y una contraseña y, a continuación, haga clic en Aceptar. Vuelva a hacer clic en Aceptar para completar la configuración del perfil de acceso.

    7. En la lista desplegable Perfil de VPN SSL , seleccione un perfil existente o haga clic en Agregar para crear un nuevo perfil de VPN SSL. Si hace clic en Agregar, aparecerá la página Agregar perfil de VPN SSL .

      En la página Agregar perfil de VPN SSL , puede configurar el perfil de VPN SSL. Introduzca el nombre del perfil de SSL VPN en el campo Nombre y habilite el registro mediante el interruptor, si es necesario. En el campo Perfil de terminación SSL , seleccione el perfil de terminación SSL en la lista desplegable. La terminación SSL es un proceso en el que los firewalls de la serie SRX actúan como un servidor proxy SSL y terminan la sesión SSL desde el cliente. Si desea crear un nuevo perfil de terminación SSL, haga clic en Agregar. Aparecerá la página Crear perfil de terminación SSL .

      • Escriba el nombre del perfil de terminación SSL y seleccione el certificado de servidor que utiliza para la terminación SSL en los firewalls de la serie SRX. Haga clic en Agregar para agregar un nuevo certificado de servidor o haga clic en Importar para importar el certificado de servidor. El certificado de servidor es un identificador de certificado local. Los certificados de servidor se utilizan para autenticar la identidad de un servidor.

      • Haga clic en Aceptar.

    8. La opción Tráfico NAT de origen está habilitada de forma predeterminada. Cuando el tráfico NAT de origen está habilitado, todo el tráfico de la aplicación Juniper Secure Connect se envía a la interfaz seleccionada de forma predeterminada. Haga clic en el botón de alternancia para deshabilitar la opción Tráfico NAT de origen . Si la opción está deshabilitada, debe asegurarse de que tiene una ruta desde la red que apunte a los firewalls de la serie SRX para controlar correctamente el tráfico de retorno.

    9. En Redes protegidas, haga clic en el icono de agregar (+) para seleccionar las redes a las que puede conectarse la aplicación Juniper Secure Connect.

      De forma predeterminada, se permite cualquier red 0.0.0.0/0. Si configura una red específica, se habilita el túnel dividido para la aplicación Juniper Secure Connect. Si conserva el valor predeterminado, puede restringir el acceso a las redes definidas ajustando la directiva de firewall desde la red cliente. Haga clic en Aceptar y las redes seleccionadas se encuentran ahora en la lista de redes protegidas. Haga clic en Aceptar para completar la configuración de la puerta de enlace local.

      La configuración de IKE y la configuración de IPsec son opciones avanzadas. J-Web ya está configurado con valores predeterminados para los parámetros IKE e IPsec. No es obligatorio configurar estas opciones.

  6. Ahora puede encontrar la dirección URL a la que se conectan los usuarios remotos. Copie y almacene esta URL para compartirla con los usuarios remotos. Solo necesita la información /xxxx si esta configuración no es su perfil predeterminado.

    La figura 5 resalta la URL que el usuario remoto debe introducir en el campo Dirección de puerta de enlace de la aplicación Juniper Secure Connect para establecer una conexión de acceso remoto.

    Figura 5: Confirmar configuración de Network configuration diagram showing remote user connecting to local gateway via internet. Green checkmarks indicate operational status. acceso remoto

    1. Haga clic en Guardar para completar la configuración de VPN de Juniper Secure Connect y la política asociada si ha seleccionado la opción de creación automática de directivas.

    2. Haga clic en el botón Confirmar resaltado (en la parte superior derecha de la página, junto al botón Comentarios) para confirmar la configuración.

Descargue e instale la aplicación Juniper Secure Connect en el equipo cliente. Inicie Juniper Secure Connect y conéctese a la dirección de puerta de enlace del firewall de la serie SRX.

Documentación relacionada