¿Tiene una cuenta?
El objetivo de este documento es mostrarle cómo configurar la conectividad VPN de AnyConnect en el RV34x Series Router.
Una conexión de red privada virtual (VPN) permite a los usuarios acceder, enviar y recibir datos desde y hacia una red privada a través de una red pública o compartida, como Internet, pero garantiza la seguridad de las conexiones a una infraestructura de red subyacente para proteger la red privada y sus recursos.
Un cliente VPN es un software instalado y ejecutado en un equipo que desea conectarse a la red remota. Este software cliente debe configurarse con la misma configuración que la del servidor VPN, como la dirección IP y la información de autenticación. Esta información de autenticación incluye el nombre de usuario y la clave previamente compartida que se utilizará para cifrar los datos. Según la ubicación física de las redes que se conecten, un cliente VPN también puede ser un dispositivo de hardware. Esto suele suceder si la conexión VPN se utiliza para conectar dos redes que se encuentran en ubicaciones separadas.
Cisco AnyConnect Secure Mobility Client es una aplicación de software para conectarse a una VPN que funciona en diversos sistemas operativos y configuraciones de hardware. Esta aplicación de software permite el acceso a los recursos remotos de otra red como si el usuario estuviera conectado directamente a su red, pero de forma segura. Cisco AnyConnect Secure Mobility Client proporciona una nueva e innovadora forma de proteger a los usuarios móviles en plataformas de smartphones o basadas en equipos, lo que proporciona una experiencia más fluida y siempre protegida para los usuarios finales y una aplicación de políticas completa para el administrador de TI.
En el router RV34x, comenzando con la versión de firmware 1.0.3.15 y avanzando, no es necesario el otorgamiento de licencias de AnyConnect. Sólo se cobrará por las licencias de cliente.
Para obtener más información sobre las licencias de AnyConnect en los routers de la serie RV340, consulte el artículo sobre: Licencia de AnyConnect para los routers de la serie RV340.
Paso 1. Acceda a la utilidad basada en web del router y elija VPN > SSL VPN.
Paso 2. Haga clic en el botón de opción On para habilitar Cisco SSL VPN Server.
Configuración de gateway obligatoria
Los siguientes parámetros de configuración son obligatorios:
Paso 3. Elija Gateway Interface en la lista desplegable. Este será el puerto que se utilizará para pasar el tráfico a través de los túneles SSL VPN. Las opciones son:
Nota: En este ejemplo, se elige WAN1.
Paso 4. Introduzca el número de puerto que se utiliza para el gateway SSL VPN en el campo Gateway Port que va del 1 al 65535.
Nota: En este ejemplo, 8443 se utiliza como número de puerto.
Paso 5. Elija el archivo de certificado de la lista desplegable. Este certificado autentica a los usuarios que intentan acceder al recurso de red a través de los túneles SSL VPN. La lista desplegable contiene un certificado predeterminado y los certificados que se importan.
Nota: En este ejemplo, se elige Default.
Paso 6. Ingrese la dirección IP del conjunto de direcciones del cliente en el campo Conjunto de direcciones del cliente. Este conjunto será el rango de direcciones IP que se asignarán a clientes VPN remotos.
Nota: Asegúrese de que el rango de direcciones IP no se superpone con ninguna de las direcciones IP de la red local.
Nota: En este ejemplo, se utiliza 192.168.0.0.
Paso 7. Elija la máscara de red del cliente en la lista desplegable.
Nota: En este ejemplo, se elige 255.255.255.128.
Paso 8. Ingrese el nombre de dominio del cliente en el campo Dominio del cliente. Este será el nombre de dominio que se debe enviar a los clientes SSL VPN.
Nota: En este ejemplo, se utiliza WideDomain.com como nombre de dominio del cliente.
Paso 9. Introduzca el texto que aparecería como banner de inicio de sesión en el campo Banner de inicio de sesión. Este será el banner que se mostrará cada vez que un cliente inicie sesión.
Nota: En este ejemplo, Bienvenido a Widedomain. se utiliza como el banner de inicio de sesión.
Parámetros de puerta de enlace opcionales
Los siguientes parámetros de configuración son opcionales:
Paso 1. Introduzca un valor en segundos para el tiempo de espera inactivo comprendido entre 60 y 86400. Este será el tiempo que la sesión SSL VPN puede permanecer inactiva.
Nota: En este ejemplo, se utiliza 3000.
Paso 2. Introduzca un valor en segundos en el campo Tiempo de espera de sesión. Este es el tiempo que tarda la sesión del protocolo de control de transmisión (TCP) o del protocolo de datagramas de usuario (UDP) en agotarse después del tiempo de inactividad especificado. El rango va de 60 a 1209600.
Nota: En este ejemplo, se utiliza 60.
Paso 3. Ingrese un valor en segundos en el campo ClientDPD Timeout entre 0 y 3600. Este valor especifica el envío periódico de mensajes HELLO/ACK para verificar el estado del túnel VPN.
Nota: Esta función debe estar habilitada en ambos extremos del túnel VPN.
Nota: En este ejemplo, se utiliza 350.
Paso 4. Ingrese un valor en segundos en el campo GatewayDPD Timeout entre 0 y 3600. Este valor especifica el envío periódico de mensajes HELLO/ACK para verificar el estado del túnel VPN.
Nota: Esta función debe estar habilitada en ambos extremos del túnel VPN.
Nota: En este ejemplo, se utiliza 360.
Paso 5. Introduzca un valor en segundos en el campo Mantener activo entre 0 y 600. Esta función garantiza que el router siempre esté conectado a Internet. Intentará restablecer la conexión VPN si se interrumpe.
Nota: En este ejemplo, se utiliza 40.
Paso 6. Introduzca un valor en segundos para la duración del túnel que se conectará en el campo Duración del arrendamiento. El rango va de 600 a 1209600.
Nota: En este ejemplo, se utiliza 43500.
Paso 7. Introduzca el tamaño del paquete en bytes que se puede enviar a través de la red. El rango va de 576 a 1406.
Nota: En este ejemplo, se utiliza 1406.
Paso 8. Ingrese el tiempo del intervalo de relevo en el campo Intervalo de actualización. La función Rekey permite que las claves SSL se renegocien después de que se haya establecido la sesión. El rango está entre 0 y 43200.
Nota: En este ejemplo, se utiliza 3600.
Paso 9. Haga clic en Apply (Aplicar).
Paso 1. Haga clic en la ficha Políticas de grupo.
Paso 2. Haga clic en el botón Add bajo la Tabla de Grupos de SSL VPN para agregar una política de grupo.
Nota: La tabla SSL VPN Group mostrará la lista de políticas de grupo en el dispositivo. También puede editar la primera política de grupo de la lista, que se denomina SSLVPNDefaultPolicy. Ésta es la política predeterminada proporcionada por el dispositivo.
Paso 3. Introduzca el nombre de política preferido en el campo Policy Name.
Nota: En este ejemplo, se utiliza la política de grupo 1.
Paso 4. Introduzca la dirección IP del DNS principal en el campo proporcionado. De forma predeterminada, esta dirección IP ya se ha suministrado.
Nota: En este ejemplo, se utiliza 192.168.1.1.
Paso 5. (Opcional) Introduzca la dirección IP del DNS secundario en el campo proporcionado. Esto servirá como copia de seguridad en caso de que el DNS primario falle.
Nota: En este ejemplo, se utiliza 192.168.1.2.
Paso 6. (Opcional) Introduzca la dirección IP del WINS principal en el campo proporcionado.
Nota: En este ejemplo, se utiliza 192.168.1.1.
Paso 7. (Opcional) Introduzca la dirección IP del WINS secundario en el campo proporcionado.
Nota: En este ejemplo, se utiliza 192.168.1.2.
Paso 8. (Opcional) Introduzca una descripción de la política en el campo Descripción.
Nota: En este ejemplo, se utiliza la política de grupo con túnel dividido.
Paso 9. (Opcional) Haga clic en un botón de opción para elegir la política de proxy de IE para habilitar los parámetros de proxy de Microsoft Internet Explorer (MSIE) para establecer el túnel VPN. Las opciones son:
Nota: En este ejemplo, se elige Desactivado. Esta es la configuración predeterminada.
Paso 10. (Opcional) En el área Configuración de Tunelización Dividida, marque la casilla de verificación Habilitar Tunelización Dividida para permitir que el tráfico destinado a Internet se envíe sin cifrar directamente a Internet. La tunelización completa envía todo el tráfico al dispositivo final donde luego se enruta a los recursos de destino, eliminando la red corporativa de la ruta para el acceso web.
Paso 11. (Opcional) Haga clic en un botón de opción para elegir si incluir o excluir el tráfico al aplicar la tunelización dividida.
Nota: En este ejemplo, se elige Incluir tráfico.
Paso 12. En Split Network Table (Tabla de red dividida), haga clic en el botón Add para agregar la excepción split Network (Red dividida).
Paso 13. Introduzca la dirección IP de la red en el campo proporcionado.
Nota: En este ejemplo, se utiliza 192.168.1.0.
Paso 14. En Split DNS Table (Dividir tabla DNS), haga clic en el botón Add para agregar la excepción de DNS dividido.
Paso 15. Introduzca el nombre de dominio en el campo proporcionado y, a continuación, haga clic en Aplicar.
Paso 1. Haga clic en el icono AnyConnect Secure Mobility Client.
Paso 2. En la ventana AnyConnect Secure Mobility Client, ingrese la dirección IP de la gateway y el número de puerto de la gateway separados por dos puntos (:) y luego haga clic en Connect.
Nota: En este ejemplo, se utiliza 10.10.10.1:8443. El software mostrará ahora que se está poniendo en contacto con la red remota.
Paso 3. Introduzca el nombre de usuario y la contraseña del servidor en los campos correspondientes y, a continuación, haga clic en Aceptar.
Nota: En este ejemplo, el usuario de Group1 se utiliza como nombre de usuario.
Paso 4. Tan pronto como se establezca la conexión, aparecerá el banner de inicio de sesión. Haga clic en Aceptar.
La ventana de AnyConnect debe indicar la conexión VPN correcta a la red.
Paso 5. (Opcional) Para desconectarse de la red, haga clic en Desconectar.
Ahora debería haber configurado correctamente la conectividad VPN AnyConnect mediante un router de la serie RV34x.