Configuración de Cisco VPN Client en RV042, RV042G y RV082 VPN Routers a través de Windows

Objetivo

Una red privada virtual (VPN) es un método para que los usuarios remotos se conecten virtualmente a una red privada a través de Internet. Una VPN cliente a gateway conecta el escritorio o portátil de un usuario a una red remota mediante el software de cliente VPN. Las conexiones VPN de cliente a gateway son útiles para los empleados remotos que deseen conectarse de forma segura a la red de la oficina de forma remota. Cisco VPN Client es un software configurado en un dispositivo host remoto que proporciona conectividad VPN fácil y segura.

El objetivo de este documento es mostrarle cómo configurar Cisco VPN Client para un equipo que se conecte a un RV042, RV042G o RV082 VPN Router.

Nota: En este documento se asume que ya ha descargado Cisco VPN Client en el equipo con Windows. De lo contrario, debe configurar una conexión VPN de cliente a gateway para poder comenzar a configurar la VPN de switch. Para obtener más información sobre cómo configurar VPN de Cliente a Gateway, consulte Configuración de un Túnel de Acceso Remoto (Cliente a Gateway) para Clientes VPN en RV042, RV042G y RV082 VPN Routers.

Dispositivos aplicables

•RV042
•RV042G
•RV082

Versión del software

•v4.2.2.08

Configuración de la conexión de cliente de VPN Shrew en Windows

Paso 1. Haga clic en el programa Cisco VPN Client en el equipo y ábralo. Se abre la ventana Administrador de acceso de Soft VPN de Shrew:

 

Paso 2. Haga clic en Add (Agregar). Aparece la ventana Configuración del Sitio VPN: 

 

Configuración general

Paso 1. Haga clic en la ficha General.

Nota: La sección General se utiliza para configurar las direcciones IP de host remoto y local. Estos se utilizan para definir los parámetros de red para la conexión Cliente a Gateway.

Paso 2. En el campo Host Name or IP Address, ingrese la dirección IP del host remoto, que es la dirección IP de la WAN configurada.

Paso 3. En el campo Port, ingrese el número del puerto que se utilizará para la conexión. El número de puerto utilizado en el ejemplo de la imagen es 400.

Paso 4. En la lista desplegable Configuración automática, elija la configuración deseada.

· Desactivado: la opción inhabilitada inhabilita cualquier configuración de cliente automática.

· IKE Config Pull: permite configurar las solicitudes de un equipo por el cliente. Con el soporte del método Pull por el equipo, la solicitud devuelve una lista de los ajustes que admite el cliente.

· inserción de configuración IKE: ofrece a un ordenador la oportunidad de ofrecer parámetros al cliente a través del proceso de configuración. Con el soporte del método Push por parte del equipo, la solicitud devuelve una lista de las configuraciones que admite el cliente.

· DHCP sobre IPSec: ofrece al cliente la oportunidad de solicitar parámetros desde el equipo a través de DHCP sobre IPSec.

 

Paso 5. En la lista desplegable Adapter Mode, elija el modo de adaptador deseado para el host local según la configuración automática. 

· Utilizar un adaptador virtual y una dirección asignada: permite al cliente utilizar un adaptador virtual con una dirección especificada.

· Utilizar un adaptador virtual y una dirección aleatoria: permite al cliente utilizar un adaptador virtual con una dirección aleatoria.

· Utilizar un adaptador existente y la dirección actual: utiliza un adaptador existente y su dirección. No es necesario introducir información adicional.

 

Paso 6. Ingrese la unidad de transmisión máxima (MTU) en el campo MTU si elige Utilizar un Adaptador Virtual y Dirección Asignada en la lista desplegable Modo Adaptador en el Paso 5. La unidad de transmisión máxima ayuda a resolver los problemas de fragmentación IP. El valor predeterminado es 1380.

Paso 7. (Opcional) Para obtener la dirección y la máscara de subred automáticamente a través del servidor DHCP, marque la casilla de verificación Obtener automáticamente. Esta opción no está disponible para todas las configuraciones.

Paso 8. Ingrese la dirección IP del cliente remoto en el campo Dirección si elige Usar un Adaptador Virtual y Dirección Asignada en la lista desplegable Modo Adaptador en el Paso 5.

Paso 9. Ingrese Subnet Mask (Máscara de subred) de la dirección IP del cliente remoto en el campo Netmask (Máscara de red) si selecciona Use a Virtual Adapter and Assigned Address (Utilizar un adaptador virtual y dirección asignada) en la lista desplegable Adapter Mode en el Paso 5.

Paso 10. Haga clic en Guardar para guardar la configuración.

Configuración del Cliente

Paso 1. Haga clic en la pestaña Cliente.

Nota: En la sección Cliente, puede configurar las opciones Firewall, Detección de Peer Muerto y Notificaciones de Fallas ISAKMP (Asociación de Seguridad de Internet y Protocolo de Administración de Claves). Los parámetros definen qué opciones de configuración se configuran manualmente y cuáles se obtienen automáticamente.

Paso 2. Elija la opción NAT (traducción de direcciones de red) transversal adecuada en la lista desplegable NAT Traversal.

· Desactivar: el protocolo NAT está desactivado.

· Habilitar: la fragmentación IKE sólo se utiliza si el gateway indica soporte a través de las negociaciones.

Borrador · Forzar: la versión preliminar del protocolo NAT. Se utiliza si la gateway indica soporte a través de la negociación o la detección de la NAT.

· Forzar RFC: la versión RFC del protocolo NAT. Se utiliza si la gateway indica soporte a través de la negociación o la detección de la NAT.

 

Paso 3. Ingrese el puerto UDP para la NAT en el campo Puerto transversal NAT. El valor predeterminado es 4500.

Paso 4. En el campo Keep-alive packet rate, ingrese un valor para la velocidad a la que se envían los paquetes keepalive. El valor se mide en segundos. El valor predeterminado es 30 segundos.’

Paso 5. En la lista desplegable Fragmentación IKE, elija la opción adecuada.

· Desactivar: la fragmentación IKE no se utiliza.

· Habilitar: la fragmentación IKE sólo se utiliza si el gateway indica soporte a través de las negociaciones.

Fuerza ·: la fragmentación IKE se utiliza independientemente de las indicaciones o la detección.

 

Paso 6. Introduzca el tamaño máximo del paquete en el campo Tamaño máximo del paquete en Bytes. Si el tamaño del paquete es mayor que el tamaño máximo del paquete, se realiza la fragmentación IKE. El valor predeterminado es 540 bytes.

Paso 7. (Opcional) Para permitir que el equipo y el cliente detecten cuándo el otro ya no puede responder, marque la casilla de verificación Habilitar detección de par muerto. 

Paso 8. (Opcional) Para enviar notificaciones de fallas por el cliente VPN, marque la casilla de verificación Habilitar notificaciones de fallas ISAKMP.

Paso 9. (Opcional) Para mostrar un banner de inicio de sesión por el cliente cuando la conexión se establece con el gateway, marque la casilla de verificación Enable Client Login .

Paso 10. Haga clic en Guardar para guardar la configuración.

Configuración de resolución de nombres

Paso 1. Haga clic en la pestaña Resolución de nombres.

Nota: La sección Resolución de nombres se utiliza para configurar los parámetros DNS (Sistema de nombres de dominio) y WIN (Servicio de nombres de Internet de Windows).

Paso 2. Haga clic en la pestaña DNS.

Paso 3. Marque Enable DNS para activar el sistema de nombres de dominio (DNS).

Paso 4. (Opcional) Para obtener la dirección del servidor DNS automáticamente, marque la casilla de verificación Obtener automáticamente. Si elige esta opción, vaya directamente al paso 6.

Paso 5. Ingrese la dirección del servidor DNS en el campo Server Address #1 . Si hay otro servidor DNS, introduzca la dirección de esos servidores en los campos Server Address restantes.

Paso 6. (Opcional) Para obtener el sufijo del servidor DNS automáticamente, marque la casilla de verificación Obtener automáticamente. Si elige esta opción, vaya directamente al paso 8.

Paso 7. Introduzca el sufijo del servidor DNS en el campo Sufijo DNS.

Paso 8. Haga clic en Guardar para guardar la configuración.

Paso 9. Haga clic en la pestaña WINS.

  

Paso 10. Active Enable WINS para habilitar Windows Internet Name Server (WINS).

Paso 11. (Opcional) Para obtener la dirección del servidor DNS automáticamente, marque la casilla de verificación Obtener automáticamente. Si elige esta opción, vaya directamente al paso 13.

Paso 12. Ingrese la dirección del servidor WINS en el campo Server Address #1 . Si hay otros servidores DNS, introduzca la dirección de esos servidores en los campos Server Address restantes.

Paso 13. Haga clic en Guardar para guardar la configuración.

Autenticación

Paso 1. Haga clic en la pestaña Autenticación.

Nota: En la sección Autenticación, puede configurar los parámetros para que el cliente maneje la autenticación cuando intente establecer una SA ISAKMP.

Paso 2. Elija el método de autenticación adecuado en la lista desplegable Método de autenticación. 

· RSA híbrido + XAuth: la credencial de cliente no es necesaria. El cliente autenticará el gateway. Las credenciales se realizarán en forma de archivos de certificado PEM o PKCS12 o de archivos de clave.

· GRP híbrido + XAuth: la credencial de cliente no es necesaria. El cliente autenticará el gateway. Las credenciales estarán en forma de archivo de certificado PEM o PKCS12 y una cadena secreta compartida.

· RSA mutuo + XAuth: tanto el cliente como la gateway necesitan credenciales para la autenticación. Las credenciales se realizarán en forma de archivos de certificado PEM o PKCS12 o tipo de clave.

· mutuo PSK + XAuth: tanto el cliente como la gateway necesitan credenciales para la autenticación. Las credenciales tendrán la forma de una cadena secreta compartida.

· RSA mutuo: tanto el cliente como la gateway necesitan credenciales para la autenticación. Las credenciales se realizarán en forma de archivos de certificado PEM o PKCS12 o tipo de clave.

· mutuo PSK: tanto el cliente como la gateway necesitan credenciales para la autenticación. Las credenciales tendrán la forma de una cadena secreta compartida.

Configuración de identidad local

Paso 1. Haga clic en la ficha Local Identity.

Nota: La identidad local establece el ID que se envía a la puerta de enlace para su verificación. En la sección Identidad local, se configuran las cadenas Tipo de identificación y FQDN (Nombre de dominio completo) para determinar cómo se envía el ID.

Paso 2. Elija la opción de identificación adecuada en la lista desplegable Tipo de identificación. No todas las opciones están disponibles para todos los modos de autenticación.

· nombre de dominio completamente calificado: la identificación del cliente de la identidad local se basa en un nombre de dominio completamente calificado. Si elige esta opción, siga el paso 3 y, a continuación, vaya directamente al paso 7.

· nombre de dominio completamente calificado del usuario: la identificación del cliente de la identidad local se basa en el nombre de dominio completamente calificado del usuario. Si elige esta opción, siga el paso 4 y, a continuación, vaya directamente al paso 7.

Dirección IP ·: la identificación del cliente de la identidad local se basa en la dirección IP. Si marca Usar una dirección de host local descubierta, la dirección IP se detecta automáticamente. Si elige esta opción, siga el paso 5 y, a continuación, vaya directamente al paso 7.

Identificador de clave ·: la identificación del cliente local se identifica en función de un identificador de clave. Si elige esta opción, siga los pasos 6 y 7.

Paso 3. Introduzca el nombre de dominio completo como cadena DNS en el campo FQDN String.

Paso 4. Ingrese el nombre de dominio completo del usuario como cadena DNS en el campo Cadena UFQDN.

Paso 5. Ingrese la dirección IP en el campo Cadena UFQDN.

Paso 6. Introduzca el identificador de clave para identificar el cliente local en la cadena de ID de clave.

Paso 7. Haga clic en Guardar para guardar la configuración.

Configuración de identidad remota

Paso 1. Haga clic en la pestaña Remote Identity.

Nota: La identidad remota verifica el ID de la puerta de enlace. En la sección Identidad remota, se configura el tipo de identificación para determinar cómo se verifica el ID.

Paso 2. Elija la opción de identificación adecuada en la lista desplegable Tipo de identificación.

· Any: el cliente remoto puede aceptar cualquier valor o ID para autenticar.

Nombre distintivo · ASN.1: el cliente remoto se identifica automáticamente desde un archivo de certificado PEM o PKCS12. Sólo puede elegir esta opción si elige un método de autenticación RSA en el Paso 2 de la sección Autenticación. Marque la casilla de verificación Usar el asunto en el certificado recibido pero no lo compare con una casilla de verificación de valor específica para recibir automáticamente el certificado. Si elige esta opción, siga el paso 3 y, a continuación, vaya directamente al paso 8.

· nombre de dominio completamente calificado: la identificación del cliente de la identidad remota se basa en el nombre de dominio completamente calificado. Sólo puede elegir esta opción si elige un método de autenticación PSK en el Paso 2 de la sección Autenticación. Si elige esta opción, siga el paso 4 y, a continuación, vaya directamente al paso 8.

· nombre de dominio completamente calificado del usuario: la identificación del cliente de la identidad remota se basa en el nombre de dominio completamente calificado del usuario. Sólo puede elegir esta opción si elige un método de autenticación PSK en el Paso 2 de la sección Autenticación. Si elige esta opción, siga el paso 5 y, a continuación, vaya directamente al paso 8.

Dirección IP ·: la identificación del cliente de la identidad remota se basa en la dirección IP. Si marca Usar una dirección de host local descubierta, la dirección IP se detecta automáticamente. Si elige esta opción, siga el paso 6 y, a continuación, vaya directamente al paso 8.

Identificador de clave ·: la identificación del cliente remoto se basa en un identificador de clave. Si elige esta opción, siga los pasos 7 y 8.

Paso 3. Ingrese la cadena ASN.1 DN en el campo ASN.1 DN String.

Paso 4. Introduzca el nombre de dominio completo como una cadena DNS en el campo FQDN String.

Paso 5. Introduzca el nombre de dominio completo del usuario como cadena DNS en el campo Cadena UFQDN.

Paso 6. Ingrese la dirección IP en el campo Cadena UFQDN.

Paso 7. Introduzca el identificador de clave para identificar el cliente local en el campo Key ID String.

Paso 8. Haga clic en Guardar para guardar la configuración.

Configuración de credenciales

Paso 1. Haga clic en la pestaña Credenciales.

Nota: En la sección Credenciales, se configura la clave precompartida.

 

Paso 2. Para elegir el archivo de certificado de servidor, haga clic en el ... junto al campo Server Certificate Authority File y elija la ruta donde guardó el archivo de certificado de servidor en su PC.

Paso 3. Para elegir el archivo de certificado de cliente, haga clic en el ... junto al campo Archivo de certificado de cliente y elija la ruta donde guardó el archivo de certificado de cliente en su PC.

Paso 4. Para elegir el archivo de clave privada del cliente, haga clic en el ... junto al campo Client Private Key File y elija la trayectoria en la que guardó el archivo de clave privada del cliente en su PC.

Paso 5. Introduzca la clave previamente compartida en el campo PreShared Key. Esta debe ser la misma clave que se utiliza durante la configuración del túnel.

Paso 6. Haga clic en Guardar para guardar la configuración.

Configuración de la Fase 1

Paso 1. Haga clic en la pestaña Fase 1.

Nota: En la sección Fase 1, puede configurar los parámetros de modo que se pueda establecer una SA ISAKMP con el gateway del cliente.

Paso 2. Elija el tipo de intercambio de claves adecuado en la lista desplegable Tipo de intercambio.

· principal: la identidad de los pares está asegurada.

· agresivo: la identidad de los pares no está asegurada.

 

Paso 3. En la lista desplegable Intercambio DH, elija el grupo adecuado que se eligió durante la configuración de la conexión VPN.

Paso 4. En la lista desplegable Algoritmo del cifrado, elija la opción adecuada que se eligió durante la configuración de la conexión VPN.

Paso 5. En la lista desplegable Longitud de clave del cifrado, elija la opción que coincida con la longitud de clave de la opción elegida durante la configuración de la conexión VPN.

Paso 6. En la lista desplegable Hash Algorithm, elija la opción elegida durante la configuración de la conexión VPN.

Paso 7. En el campo Key Life Time limit, introduzca el valor utilizado durante la configuración de la conexión VPN.

Paso 8. En el campo Key Life Data limit, introduzca el valor en kilobytes para proteger. El valor predeterminado es 0, que desactiva la función. 

Paso 9. (Opcional) Marque la casilla de verificación Enable Check Point Compatible Vendor ID .

Paso 10. Haga clic en Guardar para guardar la configuración.

Configuración de fase 2

Paso 1. Haga clic en la pestaña Fase 2.

Nota: En la sección Fase 2, puede configurar los parámetros de modo que se pueda establecer una SA IPSec con el gateway del cliente remoto.

Paso 2. En la lista desplegable Transform Algorithm, elija la opción elegida durante la configuración de la conexión VPN.

Paso 3. En la lista desplegable Transforme la longitud de la clave, elija la opción que coincida con la longitud de la clave de la opción elegida durante la configuración de la conexión VPN.

Paso 4. En la lista desplegable HMAC Algorithm, elija la opción elegida durante la configuración de la conexión VPN.

Paso 5. En la lista desplegable PFS Exchange, elija la opción elegida durante la configuración de la conexión VPN.

Paso 6. En el campo Key Life Time limit, ingrese el valor utilizado durante la configuración de la conexión VPN.

Paso 7. En el campo Key Life Data limit, introduzca el valor en kilobytes que desea proteger. El valor predeterminado es 0, que desactiva la función. 

Paso 8. Haga clic en Guardar para guardar la configuración.

Configuración de política

Paso 1.Haga clic en la pestaña Política.

Nota: En la sección Política, se define la política IPSEC, que es necesaria para que el cliente se comunique con el host para la configuración del sitio.

Paso 2. En la lista desplegable Nivel de generación de políticas, elija la opción adecuada. 

· Automático: el nivel de política IPSec necesario se determina automáticamente.

· Require: no se negocia una asociación de seguridad única para cada política.

· único: se negocia una asociación de seguridad única para cada política.

· compartido: la política adecuada se genera en el nivel necesario.

 

Paso 3. (Opcional) Para cambiar las negociaciones de IPSec, marque la casilla de verificación Mantener asociaciones de seguridad persistentes. Si se activa, la negociación se realiza para cada política directamente después de la conexión. Si se inhabilita, la negociación se realiza según las necesidades.

Paso 4. (Opcional) Para recibir una lista de redes suministrada automáticamente desde el dispositivo, o para enviar todos los paquetes al RV0XX de forma predeterminada, marque la casilla de verificación Obtener topología automáticamente o Túnel todo. Si no se marca, la configuración se debe realizar manualmente. Si está marcado, vaya directamente al paso 10.

Paso 5. Haga clic en Agregar para agregar una entrada de Topología a la tabla. Aparecerá la ventana Topology Entry.

Paso 6. En la lista desplegable Tipo, elija la opción adecuada.

· Incluir: se accede a la red a través de un gateway VPN.

· Excluir: se accede a la red a través de la conectividad local.

Paso 7. En el campo Address, ingrese la dirección IP del RV0XX.

Paso 8. En el campo Máscara de red, ingrese la dirección de máscara de subred del dispositivo.

Paso 9. Click OK. La dirección IP y la dirección de máscara de subred del RV0XX se muestran en la lista de recursos de red remota.

Paso 10. Haga clic en Guardar, que devuelve el usuario a la ventana VPN Access Manager donde se muestra la nueva conexión VPN.

Conectar

Esta sección explica cómo configurar la conexión VPN después de que se hayan configurado todos los parámetros. La información de inicio de sesión necesaria es la misma que el acceso de cliente VPN configurado en el dispositivo.

Paso 1. Haga clic en la conexión VPN deseada.

Paso 2. Haga clic en Connect (Conectar)

Aparece la ventana VPN Connect:

 

Paso 3. Ingrese el nombre de usuario para la VPN en el campo Username.

Paso 4. Ingrese la contraseña para la cuenta de usuario VPN en el campo Password.

Paso 5. Haga clic en Connect (Conectar) Aparece la ventana Share Soft VPN Connect:

 

Paso 6. (Opcional) Para desactivar la conexión, haga clic en Desconectar.