Utilice el cliente de VPN de software Shrew para conectarse con el servidor VPN IPSec en RV130 y RV130W

Opciones de descarga

PDF (1.2 MB)
Visualice con Adobe Reader en una variedad de dispositivos
ePub (1.1 MB)
Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (1.4 MB)
Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos

Actualizado:11 de diciembre de 2018

ID del documento:SMB5037

Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Objetivo

IPSec VPN (red privada virtual) permite obtener de forma segura recursos remotos mediante el establecimiento de un túnel cifrado a través de Internet.

El RV130 y el RV130W funcionan como servidores VPN IPSec y admiten el cliente de VPN de software Shrew.

Asegúrese de descargar la última versión del software cliente.

· Shrew Soft (https://www.shrew.net/download/vpn)

Nota: Para poder configurar correctamente el cliente de Shrew Soft VPN con un servidor VPN IPSec, primero debe configurar el servidor VPN IPSec. Para obtener información sobre cómo hacerlo, refiérase al artículo Configuración de un Servidor VPN IPSec en RV130 y RV130W.

El objetivo de este documento es mostrarle cómo utilizar el cliente Shrew Soft VPN para conectarse con un servidor VPN IPSec en el RV130 y el RV130W.

Dispositivos aplicables

Firewall VPN Wireless-N · RV130W

Firewall VPN · RV130

Requisitos del sistema

· sistemas de 32 o 64 bits

· Windows 2000, XP, Vista o Windows 7/8

Topología

A continuación se muestra una topología de nivel superior que ilustra los dispositivos involucrados en la configuración de un cliente Shrewsoft a un sitio.

A continuación se muestra un diagrama de flujo más detallado que ilustra el papel de los servidores DNS en un entorno de red para pequeñas empresas.

Versión del software

•1.0.1.3

Configuración de Shrew Soft VPN Client

Configuración de VPN IPSec y Configuración de Usuario

Paso 1. Inicie sesión en la utilidad de configuración web y elija VPN > IPSec VPN Server > Setup. Se abre la página Setup.

Paso 2. Verifique que el servidor VPN IPSec para el RV130 esté configurado correctamente. Si el servidor VPN IPSec no está configurado o mal configurado, consulte Configuración de un servidor VPN IPSec en RV130 y RV130W y haga clic en Guardar.

Nota: Los parámetros anteriores son un ejemplo de una configuración del servidor VPN IPSec RV130/RV130W. La configuración se basa en el documento Configuración de un servidor VPN IPSec en RV130 y RV130W, y se hará referencia a ella en los pasos siguientes.

Paso 3. Vaya a VPN > IPSec VPN Server > User. Aparece la página Usuario.

Paso 4. Haga clic en Agregar fila para agregar cuentas de usuario, usadas para autenticar los clientes VPN (autenticación extendida) e introduzca el nombre de usuario y la contraseña deseados en los campos proporcionados.

Paso 5. Haga clic en Guardar para guardar la configuración.

Configuración de cliente VPN

Paso 1. Abra Share VPN Access Manager y haga clic en Add para agregar un perfil.

Aparece la ventana Configuración del Sitio VPN.

Paso 2. En la sección Host remoto de la ficha General , introduzca el nombre de host público o la dirección IP de la red a la que intenta conectarse.

Nota: Asegúrese de que el número de puerto esté establecido en el valor predeterminado de 500. Para que la VPN funcione, el túnel utiliza el puerto UDP 500, que se debe configurar para permitir que el tráfico ISAKMP se reenvíe en el firewall.

Paso 3. En la lista desplegable Auto Configuration, elija disabled.

Las opciones disponibles se definen de la siguiente manera:

· Desactivado: desactiva las configuraciones automáticas del cliente.

· IKE Config Pull: permite configurar las solicitudes de un equipo por el cliente. Con el soporte del método Pull por el equipo, la solicitud devuelve una lista de los ajustes que admite el cliente.

· inserción de configuración IKE: ofrece a un ordenador la oportunidad de ofrecer parámetros al cliente a través del proceso de configuración. Con el soporte del método Push por parte del equipo, la solicitud devuelve una lista de las configuraciones que admite el cliente.

· DHCP sobre IPSec: ofrece al cliente la oportunidad de solicitar parámetros desde el equipo a través de DHCP sobre IPSec.

Paso 4. En la sección Host local, elija Use an existing adapter and current address en la lista desplegable Adapter Mode.

Las opciones disponibles se definen de la siguiente manera:

· Utilizar un adaptador virtual y una dirección asignada: permite al cliente utilizar un adaptador virtual con una dirección especificada como origen para sus comunicaciones IPsec.

· Usar un adaptador virtual y una dirección aleatoria: permite al cliente utilizar un adaptador virtual con una dirección aleatoria como origen para sus comunicaciones IPsec.

· Utilizar un adaptador existente y una dirección actual: permite al cliente utilizar solamente su adaptador físico existente con su dirección actual como origen para sus comunicaciones IPsec.

Paso 5. Haga clic en la pestaña Cliente. En la lista desplegable NAT Traversal, seleccione la misma configuración que configuró en el RV130/RV130W para NAT Traversal en el artículo Configuración de un servidor VPN IPSec en RV130 y RV130W.

Las opciones disponibles del menú Network Address Translation Traversal (NATT) se definen de la siguiente manera:

· Desactivar: no se utilizarán las extensiones de protocolo NATT.

· Habilitar: las extensiones de protocolo NATT sólo se utilizarán si la puerta de enlace VPN indica soporte durante las negociaciones y se detecta NAT.

· Force-Draft: la versión borrador de las extensiones de protocolo NATT se utilizará independientemente de si la puerta de enlace VPN indica soporte durante las negociaciones o si se detecta NAT.

· Force-RFC: la versión RFC del protocolo NATT se utilizará independientemente de si el gateway VPN indica soporte durante las negociaciones o si se detecta NAT.

· Force-Cisco-UDP: Fuerza la encapsulación UDP para clientes VPN sin NAT.

Paso 6. Haga clic en la ficha Resolución de nombres y marque la casilla de verificación Habilitar DNS si desea habilitar DNS. Si no se requieren parámetros DNS específicos para la configuración del sitio, desmarque la casilla de verificación Enable DNS.

Paso 7. (Opcional) Si la puerta de enlace remota está configurada para admitir el intercambio de configuración, la puerta de enlace puede proporcionar los parámetros de DNS automáticamente. Si no es así, verifique que la casilla de verificación Obtener automáticamente esté desactivada e introduzca manualmente una dirección de servidor DNS válida.

Paso 8. (Opcional) Haga clic en la ficha Resolución de nombres, marque la casilla de verificación Habilitar WINS si desea habilitar Windows Internet Name Server (WINS). Si la puerta de enlace remota está configurada para admitir el intercambio de configuración, la puerta de enlace puede proporcionar automáticamente los parámetros WINS. Si no es así, verifique que la casilla de verificación Obtener automáticamente esté desactivada e introduzca manualmente una dirección de servidor WINS válida.

Nota: Al proporcionar información de configuración WINS, un cliente podrá resolver los nombres WINS utilizando un servidor ubicado en la red privada remota. Esto es útil cuando se intenta acceder a recursos de red de windows remotos mediante un nombre de ruta de convención de nomenclatura uniforme. El servidor WINS normalmente pertenecería a un controlador de dominio de Windows o a un servidor Samba.

Paso 9. Haga clic en la ficha Authentication y seleccione Mutual PSK + XAuth en la lista desplegable Authentication Method.

Las opciones disponibles se definen de la siguiente manera:

· RSA híbrido + XAuth: la credencial de cliente no es necesaria. El cliente autenticará el gateway. Las credenciales se realizarán en forma de archivos de certificado PEM o PKCS12 o de archivos de clave.

· GRP híbrido + XAuth: la credencial de cliente no es necesaria. El cliente autenticará el gateway. Las credenciales estarán en forma de archivo de certificado PEM o PKCS12 y una cadena secreta compartida.

· RSA mutuo + XAuth: tanto el cliente como la gateway necesitan credenciales para la autenticación. Las credenciales se realizarán en forma de archivos de certificado PEM o PKCS12 o tipo de clave.

· mutuo PSK + XAuth: tanto el cliente como la gateway necesitan credenciales para la autenticación. Las credenciales tendrán la forma de una cadena secreta compartida.

· RSA mutuo: tanto el cliente como la gateway necesitan credenciales para la autenticación. Las credenciales se realizarán en forma de archivos de certificado PEM o PKCS12 o tipo de clave.

· mutuo PSK: tanto el cliente como la gateway necesitan credenciales para la autenticación. Las credenciales tendrán la forma de una cadena secreta compartida.

Paso 10. En la sección Autenticación, haga clic en la subficha Credenciales e ingrese la misma clave previamente compartida que configuró en la página IPsec VPN Server Setup en el campo Pre Shared Key.

Paso 11. Haga clic en la pestaña Fase 2. Configure los siguientes parámetros para que tengan la misma configuración que configuró para el RV130/RV130W en el Paso 2 de la sección Configuración del Usuario del Servidor VPN IPSec de este documento.

Los parámetros de Shrew Soft deben coincidir con las configuraciones de RV130/RV130W en la Fase 1 de la siguiente manera:

· "Tipo de intercambio" debe coincidir con "Modo de intercambio".

· "DH Exchange" debe coincidir con "DH Group".

· "Algoritmo de cifrado" debe coincidir con "Algoritmo de cifrado".

· "Algoritmo hash" debe coincidir con "Algoritmo de autenticación".

Paso 12. (Opcional) Si su gateway ofrece una ID de proveedor compatible con Cisco durante las negociaciones de la fase 1, marque la casilla de verificación Enable Check Point Compatible Vendor ID . Si la puerta de enlace no lo hace o no está seguro, deje la casilla de verificación desactivada.

Paso 13. Haga clic en la pestaña Fase 2. Configure los siguientes parámetros para que tengan la misma configuración que configuró para el RV130/RV130W en el Paso 2 de la sección Configuración del Usuario del Servidor VPN IPSec de este documento.

Los parámetros de Shrew Soft deben coincidir con las configuraciones de RV130/RV130W en la Fase 2 de la siguiente manera:

· "Algoritmo de transformación" debe coincidir con "Algoritmo de cifrado".

· "Algoritmo HMAC" debe coincidir con "Algoritmo de autenticación".

· PFS Exchange" debe coincidir con "DH Group" si PFS Key Group está habilitado en RV130/RV130W. De lo contrario, seleccione disabled.

· "Key Life Time limit" (Límite de tiempo de vida de la clave) debe coincidir con "IPSec SA Lifetime" (Duración de SA de IPSec).

Paso 14. Haga clic en la pestaña Política y seleccione Requisito en la lista desplegable Nivel de Generación de Políticas. La opción Nivel de Generación de Políticas modifica el nivel en el que se generan las Políticas IPSec. Los diferentes niveles proporcionados en la lista desplegable se asignan a los comportamientos de negociación SA IPSec implementados por diferentes implementaciones de proveedores.

Las opciones disponibles se definen de la siguiente manera:

· Automático: el cliente determinará automáticamente el nivel de política IPSec adecuado.

· Require: el cliente no negociará una asociación de seguridad (SA) única para cada política. Las políticas se generan utilizando la dirección pública local como ID de política local y los recursos de red remota como ID de política remota. La propuesta de fase 2 utilizará los ID de política durante la negociación.

· único: el cliente negociará una SA única para cada política.

· compartido: las políticas se generan en el nivel necesario. La propuesta de la fase 2 utilizará el ID de política local como el ID local y Any (0.0.0.0/0) como el ID remoto durante la negociación.

Paso 15. Desactive la casilla de verificación Obtener topología automáticamente o Túnel de todos. Esta opción modifica la forma en que se configuran las políticas de seguridad para la conexión. Cuando está desactivado, se debe realizar la configuración manual. Cuando está activado, se realiza la configuración automática.

Paso 16. Haga clic en Agregar para agregar el recurso de red remota al que desea conectarse. Los recursos de red remotos incluyen acceso de escritorio remoto, recursos departamentales, unidades de red y correo electrónico seguro.

Aparece la ventana Topology Entry:

Paso 17. En el campo Address , ingrese el ID de subred del RV130/RV130W. La dirección debe coincidir con el campo IP Address en el Paso 2 de la sección Configuración de IPSec VPN Server y Configuración de Usuario de este documento.

Paso 18. En el campo Máscara de red, ingrese la máscara de subred para la red local del RV130/RV130W. La máscara de red debe coincidir con el campo Subnet Mask (Máscara de subred) en el Paso 2 de la sección Configuración del Usuario del Servidor VPN IPSec de este documento.

Paso 19. Haga clic en Aceptar para finalizar la adición del recurso de red remota.

Paso 20. Haga clic en Guardar para guardar las configuraciones para conectarse al sitio VPN.

Paso 21. Vuelva a la ventana VPN Access Manager para seleccionar el sitio VPN configurado y haga clic en el botón Connect.

Aparece la ventana VPN Connect.

Paso 22. En la sección Credenciales, ingrese el nombre de usuario y la contraseña de la cuenta que configuró en el Paso 4 de la sección Configuración de Usuario del Servidor VPN IPSec de este documento.