El menú del VPN¶

En esta página se especifica la información siguiente:

VPN permite que dos redes locales separadas se conecten de forma directa entre ellas sobre redes potencialmente no seguras como Internet. Todo el tráfico de red que pasa a través de la conexión VPN se transmite de manera segura dentro de un túnel cifrado, oculto de curiosos. Dicha configuración se denomina VPN Puerta de Enlace a Puerta de Enlace o VPN Gw2Gw de manera abreviada. De manera similar, un ordenador remoto en algún lugar de Internet puede utilizar un túnel VPN para conectarse a una LAN local confiable. El ordenador remoto, al que a veces se le llama Road Warrior parece estar directamente conectado a la LAN de confianza mientras el túnel VPN está activado.

El dispositivo Panda GateDefender admite la creación de VPN que se basan en el protocolo IPsec, admitido por la mayoría de los sistemas operativos y equipos de red, o en el servicio OpenVPN.

Puede configurarse el dispositivo Panda GateDefender como un servidor o un cliente OpenVPN, y hasta para que funcione de las dos maneras al mismo tiempo, con el fin de crear una red de dispositivos conectados a través de OpenVPN. Los elementos de menú que se encuentran disponibles en el submenú son los siguientes:

Servidor OpenVPN: configura el servidor OpenVPN para que los clientes (tanto los clientes remotos (Road Warriors) como otros dispositivos Panda GateDefender en una configuración Puerta de Enlace a Puerta de Enlace) se puedan conectar a una de las zonas locales.
Cliente OpenVPN (Gw2Gw) - configura el lado del cliente de una configuración Puerta de Enlace a Puerta de Enlace entre dos o más dispositivos Panda GateDefender
IPsec/L2TP - configurar túneles VPN basados en IPsec y conexiones L2TP
Usuarios VPN - gestiona los usuarios de las conexiones VPN.

Servidor OpenVPN ¶

Si se configura el dispositivo Panda GateDefender como un servidor OpenVPN, puede aceptar conexiones remotas del enlace y permitir que se configure un cliente VPN y que funcione como si fuera una estación de trabajo o servidor local.

La página se abre con el resumen de la configuración actual del servidor, separada en dos casillas: Configuración general y Estado y control de conexión. Dos pestañas adicionales otorgan acceso a las configuraciones Avanzadas y a la Descarga de cliente VPN.

Nota

Siempre que se cambie la configuración del servidor OpenVPN o se modifique el modo en el que un usuario interactúa con los demás usuarios (p. ej., al alterar la opción Redes detrás del cliente, consulte a continuación), debe reiniciarse el servidor OpenVPN para que los cambios se propaguen a todos los usuarios. Dicha necesidad aparece después de una modificación a través de una casilla pequeña que muestra un mensaje que recuerda que hay que reiniciar el servidor. Los clientes conectados se desconectarán y se volverán a conectar de forma automática después de un breve período, generalmente sin darse cuenta de la interrupción.

Configuración del servidor ¶

Esta página muestra dos casillas: una que permite establecer una configuración general, y otra de carácter informativo que muestra los clientes conectados.

Configuración general

La casilla en la parte superior muestra la configuración actual, que puede cambiarse desde allí a voluntad, simplemente modificando las siguientes opciones, que están relacionadas con el OpenVPN enlazado. Sin embargo, cuando la opción es que se utilice una configuración de un VPN enrutado, solamente habrá una opción disponible: Subred VPN.

Servidor OpenVPN activado: Marque esta casilla para asegurarse de que se inicie el servidor OpenVPN.
Enlazado: Marque esta opción para ejecutar el servidor OpenVPN en modo enlazado, es decir, dentro de una de las zonas existentes.

Nota

Si el servidor OpenVPN no está enlazado (es decir, está enrutado), los clientes recibirán sus direcciones IP desde una subred específica. En este caso, deberán crearse reglas del firewall apropiadas en Firewall VPN, para asegurar que los clientes puedan acceder a cualquier zona, o a algún servidor/recurso (por ej.: un repositorio de código fuente). Si el servidor OpenVPN está enlazado, hereda la configuración del firewall de la zona en la que se encuentra definido.
Subred VPN: Esta opción solamente se encuentra disponible si el modo enlazado está desactivado. Permite que el servidor OpenVPN se ejecute en su propia subred dedicada que puede especificarse en la casilla de texto y que debería ser diferente desde las subredes de las otras zonas.
Enlazar con: La zona a la cual deberá enlazarse el servidor OpenVPN. El menú desplegable solamente muestra las zonas disponibles.

Dirección de inicio del conjunto de IP dinámica: La primera dirección IP posible en la red de la zona seleccionada que debería utilizarse para los clientes OpenVPN.
Dirección final del conjunto de IP dinámica: La última dirección IP posible en la red de la zona seleccionada que debería utilizarse para los clientes OpenVPN.

Nota

El tráfico hacia este conjunto de IP debe filtrarse utilizando el Firewall VPN.

La primera vez que se inicia el servicio se genera un nuevo certificado CA autofirmado para este servidor OpenVPN, operación que puede tomar un largo tiempo. Luego de que se haya generado el certificado, podrá descargárselo al hacer clic en el enlace Descargar certificado CA. Todos los clientes que deseen conectarse a este servidor OpenVPN deberán utilizar este certificado. De lo contrario, no podrán acceder.

Luego de que se haya configurado el servidor, es posible crear y configurar cuentas dentro de la pestaña Cuentas para los clientes que puedan conectarse al dispositivo Panda GateDefender.

Estado y control de conexión

La casilla en la parte inferior muestra una lista de los clientes actualmente conectados, aunque dicha lista estará vacía hasta que el servidor OpenVPN se encuentre en ejecución y los clientes hayan creado y accedido al servidor OpenVPN. Este cuadro es idéntico a la que se encuentra en Barra de menú ‣ Estado ‣ Conexiones OpenVPN y para cada cliente contiene su nombre, su dirección IP asignada y real, su tráfico (recibido y enviado) en bytes, su tiempo de conexión, su actividad, y la única acción posible:

terminar: Cierra la conexión para ese cliente inmediatamente.

Resolución de problemas de las conexiones VPN.

Mientras que pueden reconocerse fácilmente varios problemas con las conexiones VPN mirando la configuración, una de las fuentes sutiles de problemas de conexión es un valor erróneo del tamaño MTU. El dispositivo Panda GateDefender fija un límite de 1450 bytes para el tamaño MTU de VPN, para prevenir problemas con el valor MTU predeterminado que utiliza el ISP, que es 1500. Sin embargo, algún ISP puede utilizar un tamaño MTU menor al valor que se utiliza comúnmente, haciendo que el valor MTU de Panda sea demasiado grande, lo que causa problemas de conexión (el más notorio es probablemente la imposibilidad de descargar archivos grandes). Puede modificarse dicho valor al acceder al dispositivo Panda GateDefender desde CLI y seguir las siguientes pautas:

Escriba el tamaño MTU que utiliza el ISP (ver enlace debajo).
Inicie sesión en CLI, ya sea desde un shell o desde Barra de menú ‣ Sistema ‣ Consola Web.
Edite la plantilla OpenVPN con un editor a elegir: nano /etc/openvpn/openvpn.conf.tmpl.
Busque la cadena mssfix 1450.
Reemplace 1450 con un valor menor, por ejemplo, 1200.
Reinicie OpenVPN con el siguiente comando: restartopenvpn.

Ver también

Más información sobre el tamaño MTU.

Avanzado ¶

Dentro de esta pestaña, hay tres casillas que especifican las configuraciones avanzadas para el servidor OpenVPN. Aquí puede configurarse la autenticación basada en certificados (en oposición a la basada en contraseñas), entre otras configuraciones.

Nota

Pueden mantenerse los valores por defecto para una utilización normal de estas configuraciones.

Configuración avanzada

La primera casilla contiene algunas configuraciones generales del demonio:

Puerto, Protocolo: La combinación (1194, UDP) del puerto y del protocolo es la configuración por defecto de OpenVPN y se recomienda mantenerla. Deberían definirse reglas apropiadas de redirección de puertos (ver Barra de menú ‣ Firewall ‣ Redirección de puertos) para redirigir el tráfico entrante al puerto 1194 y así hacer que OpenVPN sea accesible a través de otros puertos. El protocolo solo debería configurarse como TCP en algunos casos extremos, como por ejemplo, cuando se accede a OpenVPN a través de un proxy HTTP de terceros. De lo contrario, siempre deberían utilizarse las configuraciones por defecto (1194, UDP).
Bloquear respuestas DHCP que provienen del túnel: Marque esta casilla cuando reciba respuestas DHCP desde la LAN del otro lado del túnel VPN que se encuentren en conflicto con el servidor local DHCP.
No bloquear el tráfico entre clientes: Por defecto, el servidor OpenVPN aísla a los clientes entre sí. Para cambiar dicho comportamiento y permitir el tráfico entre los diferentes clientes VPN, marque esta opción.
Permitir conexiones múltiples desde una cuenta:: Generalmente se permite una conexión de un cliente desde una ubicación por vez. Al seleccionar esta opción, se permite el inicio de sesión múltiple de los clientes, aún desde diferentes ubicaciones. Sin embargo, cuando el mismo cliente está conectado dos o más veces, las reglas del firewall VPN ya no se aplican.

Opciones globales de envío de parámetros

En la segunda casilla puede modificarse la configuración de red que se envía al cliente. Cada opción debe activarse marcando la casilla correspondiente después de haberla modificado.

Enviar estas redes: Las rutas para las redes específicas definidas aquí se envían a los clientes conectados.
Enviar estos nombres de servidores: Los nombres de servidores especificados se envían a los clientes conectados.
Enviar dominio: Los dominios de búsqueda que se utilizan para la resolución de nombre local se añaden a aquellos de los clientes conectados.

Configuración de autenticación

La última casilla se ocupa de la elección del método de autenticación entre los tres que se encuentran disponibles y también determina las opciones de configuración disponibles.

PSK (nombre de usuario/contraseña)

El método por defecto del dispositivo Panda GateDefender es PSK (nombre de usuario/contraseña). El cliente realiza la autenticación utilizando un nombre de usuario y una contraseña. No se necesita cambio adicional alguno para utilizar este método, mientras que los otros dos métodos se describen debajo.

Al hacer clic en el enlace Descargar certificado CA, se descarga el certificado público de este servidor OpenVPN. Los clientes deben verificar la autenticidad del servidor al que se están conectando. Además, al hacer clic en el enlace de archivo Exportar CA como PKCS#12, se descarga el certificado en formato PKCS#12 (lo que debería mantenerse en privado), que se puede importar a cualquier servidor OpenVPN que se debe utilizar como un servidor de backup.

Finalmente, si este sistema fuera un sistema de backup, existen dos opciones más disponibles:

PKCS#12: Utilice el botón Examinar para seleccionar el archivo de certificado que ha exportado desde el servidor primario, o provea su ruta y nombre.
Contraseña de cifrado: La contraseña para poder leer el certificado. Déjela en blanco si el certificado proviene de otro dispositivo Panda GateDefender.

Certificado X.509 y certificado X.509 y PSK (dos factores)

Al configurar el método de autenticación basado en certificado X.509 (ya sea solamente por certificado o por certificado más el nombre de usuario y la contraseña), la configuración se vuelve un poco más complicada. Se asume (y se requiere) que se utilice una autoridad de certificado (CA) independiente para este fin. No es posible ni se recomienda mantener dicha autoridad de certificado en el dispositivo Panda GateDefender.

Es necesario generar y firmar certificados para el servidor y para cada cliente que utilice la autoridad de certificado elegida. Debe especificarse de manera explícita el tipo de certificado y ser uno de “servidor” y “cliente” en el campo “Tipo de certificado Netscape”.

Debe subirse el archivo de certificado del servidor en formato PKCS#12 en esta sección (indique la Contraseña de cifrado que se ha especificado para la autoridad de certificado antes o durante la creación del certificado).

Los certificados del cliente deben poseer los campos de nombre en común iguales a sus nombres de usuario de OpenVPN.

Advertencia

¡Al utilizarse la autenticación solo por certificado, se otorgará acceso al servidor OpenVPN a un cliente con un certificado válido aunque no posea cuenta válida!

Finalmente, puede subirse una lista de revocación (CRL), en caso de que se haya perdido un certificado de cliente, para revocar dicho certificado de cliente en el CA.

Cliente OpenVPN (Gw2Gw)¶

En esta página aparece la lista de las conexiones como clientes OpenVPN del dispositivo Panda GateDefender, es decir, todas las conexiones en túnel hacia servidores OpenVPN remotos. La lista informa sobre el estado, el nombre, cualquier opción adicional, una observación y las acciones disponibles para cada conexión. El estado es cerrada cuando la conexión está desactivada, y establecida cuando la conexión está activada. Además de activar y desactivar una conexión, las acciones disponibles son las de editar o eliminar la conexión. En el primer caso se abrirá un formulario que es igual que el que se abre al añadir una conexión (ver debajo) en el que se ven y modifican las configuraciones actuales, mientras que en el último caso solamente se permite la eliminación de ese perfil del dispositivo Panda GateDefender.

La creación de conexiones nuevas de clientes OpenVPN es directa y puede realizarse de dos maneras: Se puede hacer clic sobre el botón Añadir configuración de túnel e introducir la información necesaria sobre el servidor OpenVPN al que conectarse (puede haber más de uno), o importar las configuraciones del cliente desde el Servidor de acceso OpenVPN al hacer clic en Importar perfil desde el Servidor de acceso OpenVPN.

Añadir configuración del túnel

Existen dos tipos de preferencias que pueden configurarse para cada configuración del túnel: La más básica incluye opciones obligatorias para que se establezca el túnel, mientras que la avanzada es opcional y generalmente solo debe cambiarse si el servidor OpenVPN posee una configuración que no es la estándar. Para acceder a las configuraciones avanzadas, haga clic en el botón >> que se encuentra al lado de la etiqueta Configuración avanzada del túnel. Las configuraciones básicas son:

Nombre de la conexión: Una etiqueta para identificar la conexión.
Conectar a: El FQDN, puerto y protocolo del servidor OpenVPN remoto en formato myvpn.ejemplo.com:puerto:protocolo. El puerto y el protocolo son opcionales y se dejan en sus valores por defecto, que son 1194 y UDP respectivamente cuando no se especifica ninguno. El protocolo debe ser especificado en letras minúsculas.

Subir certificado: El certificado del servidor que se necesita para la conexión del túnel. Se permite explorar el sistema de archivos local para buscar el archivo, o se puede ingresar la ruta y el nombre del archivo. Si el servidor está configurado para utilizar la autenticación PSK (contraseña/nombre de usuario), debe subirse al dispositivo Panda GateDefender el certificado de host del servidor (es decir, aquel que se descargó del enlace Descargar certificado CA de la sección del servidor Barra de menú ‣ VPN ‣ Servidor OpenVPN). De lo contrario, para utilizar la autenticación basada en el certificado, debe subirse el archivo PKCS#12 del servidor (es decir, el que se descargó del link Exportar CA como archivo PKCS#12 de la sección del servidor Barra de menú ‣ VPN ‣ Servidor VPN ‣ Avanzado).
Contraseña de cifrado PKCS#12: Inserte aquí la Contraseña de cifrado si se le suministró alguna al CA antes o durante la creación del certificado. Esto solamente es necesario al subir un certificado PKCS#12.
Nombre de usuario, Contraseña: Si el servidor está configurado para utilizar una autenticación PSK (contraseña/nombre de usuario) o un certificado más una autenticación por contraseña, proporciona aquí el nombre de usuario y la contraseña de la cuenta del servidor OpenVPN.
Observación: Un comentario sobre la conexión.

Configuración avanzada del túnel

En esta casilla, que aparece al hacer clic en el botón >> de la casilla anterior, se pueden modificar opciones adicionales, aunque los valores en esta casilla solamente deberán modificarse si el servidor no se ha configurado con los valores estándares.

Servidores VPN de backup: Uno o más (uno por línea) servidores OpenVPN de backup en el mismo formato que se utilizó para el servidor primario, es decir, myvpn.ejemplo.com:puerto:protocolo. De omitirse, los valores del puerto y del protocolo serán los valores 1194 y UDP por defecto respectivamente. Si la conexión al servidor principal falla, uno de estos servidores de backup se hará cargo. El protocolo debe ser escrito en letras minúsculas.
Tipo de dispositivo: El dispositivo que utiliza el servidor, que es TAP o TUN.
Tipo de conexión: Este menú desplegable no se encuentra disponible si se ha seleccionado TUN como Tipo de dispositivo, ya que en este caso el tipo de conexión siempre es enrutada. Las opciones disponibles son enrutada (es decir, el cliente actúa como una puerta de enlace para la LAN remota) o enlazada (es decir, el firewall cliente aparece como una parte de la LAN remota). El valor por defecto es enrutada.
Enlazar con: Este campo solamente se encuentra disponible si se ha elegido TAP como Tipo de dispositivo y el tipo de conexión es enlazada. En este menú desplegable, seleccione la zona hacia la cual esta conexión del cliente debería enlazarse.
NAT: Esta opción solamente se encuentra disponible si el Tipo de conexión es enrutada. Marque esta casilla para ocultar los clientes conectados a través de este dispositivo Panda GateDefender detrás de la dirección IP del VPN del firewall. Esta configuración prevendrá solicitudes de conexiones entrantes a los clientes. En otras palabras, las conexiones entrantes no verán a los clientes dentro de la red local.
Bloquear respuestas DHCP que provienen del túnel: Marque esta casilla para evitar recibir respuestas DHCP desde la LAN del otro lado del túnel VPN que se encuentren en conflicto con el servidor local DHCP.
Utilizar compresión LZO: Comprime el tráfico que pasa por el túnel, se encuentra activada por defecto.
Protocolo: El protocolo que utiliza el servidor: UDP (por defecto) o TCP. Configúrelo en TCP solamente si se debe utilizar un proxy HTTP: En este caso, aparecerá un formulario para su configuración.

Si el dispositivo Panda GateDefender solamente puede acceder a la Internet a través de un proxy de subida HTTP, igual puede ser utilizado como un cliente OpenVPN con una configuración Puerta de Enlace a Puerta de Enlace, pero el protocolo TCP para OpenVPN debe seleccionarse en ambos lados y debe rellenarse la información de cuenta de proxy HTTP en los campos de texto:

Proxy HTTP: El host del proxy HTTP, por ejemplo, proxy.ejemplo.com:puerto, en el que el puerto por defecto es 8080 si no se cambia.
Nombre de usuario del proxy, Contraseña del proxy: La información de cuenta del proxy: El nombre de usuario y la contraseña.
Falsificar el usuario agente del proxy: En algunos casos, puede utilizarse una cadena falsificada de usuario agente para disfrazar el dispositivo Panda GateDefender como si fuera un navegador web común, es decir, para contactar al proxy como un explorador. Esta operación podría ser útil si el proxy acepta conexiones solamente de algún tipo de exploradores.

Una vez que se ha configurado la conexión, aparecerá una nueva casilla en la parte inferior de la página, que se llama Autenticación TLS, desde la que se podrá subir un archivo de clave TLS para utilizarse para la conexión. Las siguientes opciones se encuentran disponibles:

Archivo de clave TLS: El archivo de clave para subir, que se puede buscar en el sistema de archivos local del PC.
MD5: El checksum MD5 del archivo subido, que aparecerá tan pronto se haya almacenado el archivo en el dispositivo Panda GateDefender.
Dirección: Este campo se fija en 0 para los servidores y en 1 para los clientes.

Importar perfil del servidor de acceso OpenVPN

La segunda posibilidad para añadir una cuenta es importar directamente el perfil desde un Servidor de acceso OpenVPN: En este caso, debe proveerse la siguiente información:

Nombre de la conexión: Un nombre personalizado para la conexión.
URL del servidor de acceso: La dirección URL del Servidor de acceso OpenVPN.

Nota

Nótese que el dispositivo Panda GateDefender solamente admite la configuración XML-RPC del Servidor de acceso OpenVPN, por lo que una entrada URL aquí tiene la siguiente forma: https://<<SERVERNAME>/RPC2.
Nombre de usuario, Contraseña: El nombre de usuario y la contraseña en el Servidor de acceso.
Verificar certificado SSL: Si se marca esta casilla y el servidor se ejecuta detrás de una conexión SSL cifrada, entonces se verificará el certificado SSL para ver si es válido. Si el certificado no fuera válido, entonces la conexión se cerrará de inmediato. Puede desactivarse esta opción cuando se utiliza un certificado autofirmado.
Observación: Un comentario para recordar el propósito de la conexión.

IPsec/L2TP ¶

La página IPsec contiene dos pestañas (IPsec y L2TP), que permiten instalar y configurar los túneles IPsec y activar el soporte L2TP, respectivamente.

IPsec ¶

La pestaña IPsec contiene tres cuadros: La primera, Configuración general, sirve para activar y configurar IPsec. La segunda, Estado y control de la conexión, muestra todas las conexiones y permite añadir una nueva. Finalmente, la casilla Autoridades de certificación permite gestionar los certificados. Tenga en cuenta que al añadir una nueva conexión, aparecerán nuevos cuadros que ayudan en la configuración de los tipos de conexiones y de sus opciones.

IPSec en resumen.

IPsec es una solución genérica VPN estandarizada, en la que las tareas de cifrado y autenticación se llevan a cabo en la capa 3 OSI como una extensión del protocolo IP. Por lo tanto, IPsec debe implementarse en la pila IP del kernel. Aunque IPsec es un protocolo estandarizado y es compatible con la mayor parte de los proveedores que implementan soluciones IPsec, la implementación real puede ser muy diferente de un proveedor a otro, lo que a veces causa problemas severos de interoperabilidad.

Asimismo, la configuración y administración de IPsec generalmente es bastante difícil debido a su complejidad y diseño, mientras que algunas situaciones en particular podrían ser imposibles de manejar, por ejemplo cuando existe la necesidad de lidiar con NAT.

En comparación con IPSec, OpenVPN es más fácil de instalar, configurar y gestionar. El dispositivo Panda GateDefender utiliza una interfaz de administración fácil de utilizar que admite diferentes métodos de autenticación. Se sugiere utilizar IPsec solo si es absolutamente necesario, por ejemplo para respaldar instalaciones IPsec existentes o al lidiar con dispositivos que no admiten OpenVPN debido a los problemas de interoperabilidad que puedan surgir, mientras que se fomenta la utilización de OpenVPN en todos los demás casos, en especial si hay necesidad de trabajar con NAT.

Configuración general

En esta casilla se pueden configurar los parámetros principales de la configuración IPsec:

Activada: Activa IPsec al marcar la casilla (la configuración por defecto es la de desactivada).

Opciones de depuración: Aparecerán algunas casillas al hacer clic en el pequeño símbolo +: Mostrar la estructura de mensajes de entrada, Mostrar la estructura de mensajes de salida, Mostrar la interacción con el soporte IPsec del kernel (KLIPS), y Mostrar la interacción con el DNS. Al marcar dichas casillas, se registrarán mensajes más detallados en el archivo /var/log/messages.

Estado y control de conexión

Aquí se muestra una lista de cuentas y su estado de conexión. La lista muestra el nombre, tipo, nombre común, observación y estado de cada conexión. Se añaden nuevas conexiones al hacer clic en el botón Añadir (ver debajo).

Autoridades de certificación

En la última casilla de la página principal de IPsec, se muestran los certificados de root y de host y pueden gestionarse los certificados existentes. Si los certificados de root y de host todavía deben ser generados, se muestra un mensaje en el que se lee “No presente”.

Crear certificados de root/host: Haga clic en el botón para generar nuevos certificados de root y de host. Se puede proveer toda la información requerida en la página que se abrirá (ver Crear certificados de root/host más adelante).
Nombre de CA: En caso de que un certificado CA firmado por una Autoridad se encuentre disponible, introduzca el nombre de la Autoridad en la primera casilla de texto y el archivo de certificado en la segunda. Puede abrirse el selector de archivos para facilitar la búsqueda del archivo al hacer clic en el botón Examinar..., y puede subirse el certificado al hacer clic en el botón Subir certificado CA.
Reiniciar: Para borrar un Certificado que ya ha sido creado, haga clic en este botón al final de la página.

Advertencia

Tenga en cuenta que al resetear los certificados de root, no solamente se eliminarán los certificados sino también las conexiones basadas en los certificados.

Crear certificados root/host

Deberá introducir la siguiente información para crear nuevos certificados de host y de root.

Nombre de la organización: El nombre de la organización a utilizar en el certificado. Por ejemplo, si el VPN conecta las escuelas de un distrito escolar, será algo así como “Distrito Escolar de Aberdeen.”

Nombre de host del dispositivo Panda GateDefender: El nombre de host que se utiliza para identificar el certificado. Deberá ser la dirección FQDN o la IPROJA del dispositivo Panda GateDefender.

Su dirección de correo electrónico: Una dirección de correo electrónico de contacto.
Su departamento: El nombre del departamento.
Ciudad: El nombre del pueblo o ciudad.
Estado o provincia: El nombre del estado o la provincia.
País: País de residencia.

Los certificados se crean después de hacer clic en el botón Crear certificados de root/host. El proceso puede tardar bastantes minutos en completarse.

Nombre alternativo del sujeto: Un nombre de host alternativo para su identificación.

En lugar de generar nuevos certificados, puede subirse un archivo de certificado PKCS12 que se haya creado con anterioridad al utilizar la casilla que está en la parte inferior de la página.

Subir archivo PKCS12: Abra el cuadro de diálogo de selección de archivo al hacer clic en el botón Examinar... y seleccione el archivo PKCS12.
Contraseña del archivo PKCS12: La contraseña del certificado si el archivo está protegido.
Subir archivo PKCS12: Haga clic en este botón para subir el archivo PKCS12.

Añadir un túnel/Tipo de conexión

Al hacer clic en Añadir dentro de Estado y control de conexión, se abrirá una página desde la que se puede seleccionar una Red privada virtual host a red, una Red privada virtual red a red, o una Red privada virtual L2TP host a red. Luego de la elección del tipo de conexión y un clic en el botón Añadir, se abrirá la página del editor de conexión, que contiene dos casillas que agrupan los tipos de opciones: Configuración de la conexión y Autenticación.

Configuración de conexión

La primera casilla se utiliza para configurar los parámetros de red:

Nombre: El nombre de la conexión.
Activada: Si se encuentra marcada, la conexión está activada.
Interfaz: La interfaz a través de la cual se conecta el host. En la conexión red a red, siempre es el enlace.
Subred local: La subred local.
ID local: Una cadena que identifica el host local de la conexión.
Host remoto/IP: la IP o FQDN del host remoto.
Subred remota: Solamente está disponible para conexiones red a red y especifica la subred remota.
ID remota: La ID que identifica el host remoto de esta conexión.
Acción de detección de extremo muerto: La acción a realizarse si un extremo se desconecta. Las opciones disponibles del menú desplegable son Limpiar, Mantener, o Reiniciar el extremo.

Nota

A diferencia de otros lugares, al hacer clic o mover el ratón sobre el signo ? no aparecerá una ventana de ayuda sino una página web con una descripción detallada de las funciones de la detección de extremo muerto.
Observación: Un comentario sobre la conexión.
Editar configuración avanzada: Marque esta casilla para editar más configuraciones avanzadas. Se podrá acceder y editarlas después de guardar la configuración actual (al final del siguiente cuadro).

Autenticación

Esta casilla sirve para configurar la autenticación.

Utilizar una clave compartida previamente: Introduzca una frase de contraseña para autenticar el otro lado del túnel. Elija esta opción para una VPN simple red a red.

Advertencia

¡No utilice PSK para autenticar las conexiones host a red!
Subir una solicitud de certificado: Algunas implementaciones IPsec de Road Warriors no poseen su propio CA. Si desean utilizar un CA integrado en IPSec, pueden generar lo que se conoce como una solicitud de certificado, que es un certificado parcial X.509 que debe ser firmado por un CA. Mientras se carga la solicitud de certificado, se firma la solicitud y el nuevo certificado estará disponible en la sección Barra de menú ‣ VPN del dispositivo Panda GateDefender.
Subir un certificado: En este caso, el extremo IPsec posee un CA disponible para su uso. Tanto el certificado CA y el certificado host del extremo deben incluirse en el archivo cargado.
Subir archivo PKCS12 - archivo de contraseña PKCS12: Elija esta opción para subir un archivo PKCS12. Debe suministrarse la contraseña en el campo de texto que se encuentra debajo del campo de selección de archivo si el archivo se encuentra protegido por una contraseña.
Crear un certificado: También puede crearse un certificado X.509 nuevo. En este caso, deben definirse los campos solicitados: Los campos opcionales aparecen señalados con puntos rojos. Si este certificado es para una conexión red a red, el campo Nombre completo del usuario o Nombre de host del sistema debe contener el nombre de dominio completamente calificado del extremo. Los campos Archivo de contraseña PKCS12 se aseguran de que los certificados generados por el host no sean interceptados y comprometidos mientras se transmiten al extremo IPsec.

Configuración avanzada

En esta página, que se abre al definir y guardar una conexión nueva, pueden definirse algunas configuraciones avanzadas para dicha conexión.

Advertencia

¡Los usuarios que no tengan experiencia no deberían cambiar las siguientes configuraciones avanzadas!

Cifrado IKE: Los métodos de cifrado que debería admitir IKE.
Integridad IKE: Los algoritmos que deberían admitirse para verificar la integridad de los paquetes.
Tipo de grupo IKE: El tipo de grupo IKE.
Duración de IKE: La cantidad de horas que son válidas los paquetes IKE.
Cifrado ESP: Los métodos de cifrado que debería admitir el ESP.
Integridad ESP: Los algoritmos que deberían admitirse para verificar la integridad de los paquetes.
Duración de la clave ESP: El cantidad de horas que debería ser válida una clave ESP.
Modo agresivo IKE permitido: Marque esta casilla para activar el modo agresivo IKE. Se aconseja NO hacerlo.
Confidencialidad directa total: Si se marca esta casilla, se activa la confidencialidad directa total.
Negociación de compresión para la carga de red: Marque esta casilla para utilizar la compresión para la carga de red.
IP virtual de Road Warrior: Esta opción permite asignar una IP virtual (“IP interna”) al usuario cuando se establece la conexión.

Cómo crear una VPN red a red con IPsec utilizando la autenticación por certificado.

Panorama:

Firewall CoreFW - IPROJA: 100.100.100.100, IPVERDE: 10.10.10.1/24
Firewall LocalFW - IPROJA: 200.200.200.200, IPVERDE: 192.168.0.1/24

Problema: Conectar LocalFW a CoreFW utilizando IPSec.

Solución:

Deben realizarse los siguientes pasos en CoreFW:

Ir a Barra de menú ‣ VPN ‣IPsec, active IPsec y especifique 100.100.100.100 como nombre de host/IP de la VPN local.
Después de guardar, haga clic en el botón Crear certificado de host/root, salvo que ya se hayan generado, y compile el formulario.
Descargue el certificado de host y guárdelo como fw_a_cert.pem.
En la casilla Estado y control de conexión haga clic en el botón Añadir y después seleccione Red a red. Aparecerán dos casillas en la página que se abre.
Ingrese 200.200.200.200 en el campo Host/IP remoto, 10.10.10.0/24 como Subred local, y 192.168.0.0/24 como Subred remota dentro de Configuración de la conexión.
Seleccione Crear un certificado en la casilla Autenticación y compile el formulario. Asegúrese de fijar una contraseña.
Después de guardar, descargue el archivo PKCS12 y guárdelo como fw_a.p12.

Deben realizarse los siguientes pasos en LocalFW:

Ir a Barra de menú ‣ VPN ‣IPsec, active IPsec y especifique 200.200.200.200 como nombre de host/IP de la VPN local.
Después de guardar haga clic en el botón Crear certificado de host/root. Si ya se han generado, Restablezca los certificados anteriores.
¡No rellene ningún campo en la primera sección de Crear certificado de host/root! En su lugar, suba el archivo fw_a.p12 que ha guardado de CoreFW, introduzca la contraseña y haga clic en Subir archivo PKCS12.
Haga clic en Añadir en la casilla Estado y control de conexión y luego seleccione Red a red. Aparecerán dos casillas en la página que se abre.
Introduzca 100.100.100.100 en el campo Host/IP remoto, 192.168.0.0/24 como Subred local, y 10.10.10.0/24 como Subred remota dentro de Configuración de la conexión.
Seleccione Subir un certificado dentro de la casilla Autenticación y suba el archivo fw_a_cert.pem que ha creado en MainFW.

L2TP ¶

Se describe L2TP, el Protocolo de túnel de capa dos, en RFC 2661. En resumen, es un protocolo que permite una conexión de túnel que transporta paquetes PPP. Se la utiliza para apoyar a las conexiones VPN utilizando IPSec.

Las siguientes opciones se encuentran disponibles para configurar L2TP.

Activar L2TP: Debe estar marcada la casilla para activar el soporte L2TP en el dispositivo Panda GateDefender.
Zona: La zona hacia la que se dirigen las conexiones L2TP. Solamente pueden elegirse las zonas activas en el menú desplegable.
Dirección de inicio del conjunto de IP L2TP, Dirección final del conjunto de IP L2TP: El rango de IP desde el cual los usuarios L2TP recibirán una dirección IP al conectarse al dispositivo Panda GateDefender.
Activar depuración: Marque esta casilla para permitir que L2TP genere registros más detallados.

Usuarios VPN ¶

La casilla que aparece en esta página contiene la lista de los usuarios OpenVPN, que al principio está vacía. Por lo tanto, la única acción disponible es la de Añadir nuevo usuario, mientras que la lista contiene la lista de cuentas que ya se encuentran definidas con algún tipo de información: El nombre de la cuenta, una observación, si es un usuario OpenVPN o L2TP, las redes que utiliza la cuenta, su estado y las acciones disponibles.

Haga clic en Añadir nuevo usuario para añadir una cuenta VPN. Se pueden especificar las siguientes opciones para cada usuario dentro del formulario que aparecerá:

Añadir usuario

Nombre: El nombre de usuario para iniciar la sesión.
Activada: Marque la casilla para activar el usuario, es decir, para permitirle que se conecte al servidor OpenVPN del dispositivo Panda GateDefender.
Contraseña, Confirmar contraseña: La contraseña para el usuario que se debe ingresar dos veces. No se muestran las contraseñas: Para verlas, marque las dos casillas a su derecha.
Observación: Un comentario adicional.

Bajo el panel Protocolos VPN, aparecen dos casillas que permiten elegir el protocolo que se utilizará para la conexión VPN:

OpenVPN: Marque esta casilla para permitir que se utilice el protocolo OpenVPN.
L2TP: Marque esta casilla para permitir que se utilice el protocolo L2TP. No puede seleccionarse esta opción si todavía no se ha configurado un túnel L2TP. En ese caso, aparecerá un mensaje informativo como un hipervínculo: Al hacer clic en él, se abre el editor de conexión IPsec para añadir rápidamente una nueva conexión L2TP host a red, que es un requisito obligatorio para permitir que los usuarios se conecten a través de L2TP. Una vez que se haya hecho, será posible permitir que un usuario VPN se conecte utilizando el Protocolo L2TP.

Justo debajo, es posible especificar configuraciones más avanzadas para cada uno de los protocolos que utilizará el usuario. Al hacer clic en el hipervínculo Configuración avanzada, se mostrarán otros dos hipervínculos: Al hacer clic sobre cada uno de ellos aparecerá un nuevo panel en el cual se podrán configurar más preferencias de conexión.

Opciones de OpenVPN

Direccionar todo el tráfico de cliente a través del servidor VPN: Si se marca esta opción, todo el tráfico proveniente del cliente conectado, sin importar su destino, se enrutará a través del enlace del dispositivo Panda GateDefender. El valor por defecto es el de enrutar todo el tráfico cuyo destino se encuentre fuera de cualquiera de las zonas internas (como por ejemplo los hosts de Internet) a través del uplink del cliente.
Solo enviar opciones globales a este cliente: Para usuarios avanzados solamente. Por lo general, cuando un cliente se conecta, se añaden a la tabla de enrutamiento del cliente las rutas del túnel de las redes a las que se puede acceder a través de VPN, para permitir que se conecte a las diferentes redes locales a las que se puede acceder desde el dispositivo Panda GateDefender. Debería activarse esta opción si no se desea dicho comportamiento, pero las tablas de enrutamiento del cliente (especialmente aquellas para las zonas internas) deberían modificarse de forma manual.
Empujar ruta a la zona azul, Empujar ruta a la zona naranja: Cuando esta opción se active, el cliente tendrá acceso a la zona azul o a la zona naranja. Estas opciones no tienen efecto alguno si las zonas correspondientes no están activadas.
Redes detrás del cliente: Esta opción solamente es necesaria si se utiliza esta cuenta como un cliente en una configuración Puerta de Enlace a Puerta de Enlace. En la casilla deberían estar escritas las redes que se encuentran detrás de este cliente y que deberían enviarse a los otros clientes. En otras palabras, estas redes estarán disponibles para los otros clientes.
Empujar solamente estas redes: Las rutas de red local que deberían enviarse al cliente. Esta opción anula todas las rutas enviadas automáticamente.
Direcciones IP estáticas: Se asignan direcciones IP dinámicas a los clientes, pero se le asignará al cliente una dirección IP estática proporcionada aquí.
Forzar DomainNameServer personalizado: Aquí se asignan nombres de servidores personalizados para cada cliente. Esta configuración (y la siguiente) puede definirse pero activarse o desactivarse a discreción.
Forzar dominios personalizados: Aquí se asignan dominios de búsqueda personalizados para cada cliente.
NAT uno a uno: En los dos campos de texto a continuación se pueden especificar fuentes y destinos NAT personalizados que se corresponden.

Nota

Si planea poseer dos o más sucursales conectadas a través de una VPN de Puerta de Enlace a Puerta de Enlace, se recomienda elegir diferentes subredes para las LAN en las diferentes sucursales. Por ejemplo, una sucursal podría poseer una zona VERDE con la subred 192.168.1.0/24 mientras que la otra sucursal utilizaría 192.168.2.0/24. Al usar esta solución, se podrán evitar varias fuentes probables de errores y conflictos. De hecho, esto trae varias ventajas gratis, que incluyen: la asignación automática de rutas correctas sin la necesidad de enviar rutas personalizadas, ningún mensaje de advertencia sobre rutas posiblemente conflictivas, la resolución correcta del nombre local y una configuración más sencilla de la red WAN.

Opciones de L2TP

Túnel IPsec: Este menú desplegable le permite elegir el túnel que utilizará el usuario, entre aquellos ya definidos.

El menú del VPN¶

Servidor OpenVPN ¶

Configuración del servidor ¶

Avanzado ¶

Cliente OpenVPN (Gw2Gw)¶

IPsec/L2TP ¶

IPsec ¶

L2TP ¶

Usuarios VPN ¶

Contenidos

Tema anterior

Próximo tema

Navegación

El menú del VPN¶

Tema anterior

Próximo tema

Búsqueda rápida

Navegación