Navegación

Configuraciones del Hotspot

El Hotspot se puede activar o desactivar haciendo clic en el interruptor principal interruptordesactivado situado en la parte superior de la página. Cuando está activado (es decir, el interruptor es de color verde interruptoractivado), se puede seleccionar uno de los tres roles existentes:

1. Hotspot maestro/independiente o Hotspot independiente

Cuando el Hotspot se utiliza como maestro, todos los datos de configuración, incluso los de los satélites, es decir, la base de datos de usuarios, la configuración del portal, la configuración, los registros, etc., se almacenan localmente y las tareas de administración se llevan a cabo en este Hotspot.

Para el rol Maestro, hay disponible una configuración y también se muestran las cuentas VPN disponibles que se pueden asignar a los satélites.

Contraseña del Hotspot
Esta es la contraseña del Hotspot maestro. Los sistemas satélite remotos necesitan usarla para conectarse al Hotspot maestro. Si este campo se deja en blanco, se generará una nueva contraseña aleatoria.
Satélites de Hotspot
La lista de los túneles OpenVPN disponibles para utilizarlos en la conexión de un sistema de satélite remoto. Se pueden seleccionar uno o más sistemas de esta lista.

2. Hotspot por satélite

Un Hotspot satélite no almacena ninguna configuración, pero se basa en el maestro para verificar los datos del usuario, la disponibilidad de tickets y todas las configuraciones. Al seleccionar esta opción, la dirección IP y la contraseña del Hotspot maestro deben especificarse, junto con el nombre del túnel VPN (véase a continuación). Más concretamente, las opciones disponibles son las siguientes:

Dirección IP del Hotspot maestro
Especifique en este campo la dirección IP del Hotspot maestro, que suele ser la primera dirección IP disponible en la subred OpenVPN especial (véase Las zonas) definida en la configuración del servidor OpenVPN (en Barra de menú ‣ VPN ‣ Servidor OpenVPN ‣ Configuración del servidor) del Hotspot maestro.
Contraseña del Hotspot maestro
La contraseña del Hotspot maestro. Por lo general, se genera automáticamente en el Maestro. Haga clic en la casilla Mostrar para ver la máscara de la contraseña.
Túnel VPN del Hotspot
Desde este menú desplegable, seleccione el túnel OpenVPN utilizado para ir al Hotspot maestro.

3. Servidor RADIUS externo

En esta configuración, el Hotspot se basa en un servidor RADIUS externo, como FreeRadius para sus actividades: se conecta y solicita autenticación para el servidor RADIUS, que almacena todos los datos de contabilidad, configuraciones, emisión de tickets y conexiones. Para el correcto funcionamiento del servidor RADIUS se necesitan varios datos al respecto: la dirección IP, la contraseña, los puertos y la dirección IP del servidor alternativo. Además, se puede utilizar el portal externo.

Dirección IP del servidor RADIUS
La dirección IP del servidor RADIUS externo.
Dirección IP del servidor RADIUS alternativo
La dirección IP del servidor RADIUS externo alternativo.
Contraseña del servidor RADIUS
La contraseña para el servidor RADIUS. Haga clic en la casilla Mostrar para revelar la contraseña.
Puerto AUTH del servidor RADIUS
El número de puerto AUTH (Autenticación) del servidor RADIUS.
Puerto ACCT del servidor RADIUS
El número de puerto ACCT (Registro) del servidor RADIUS.
Puerto COA del servidor RADIUS
El número de puerto COA (Cambio de autorización) del servidor RADIUS.

Sugerencia:

los valores predeterminados para el puerto RADIUS son: 1812 (AUTH), 1813 (ACCT) y 3799 (COA).

Usar portal externo
Cuando se elige esta opción, se puede configurar un portal externo como interfaz de inicio de sesión que los usuarios ven cuando quieren conectarse a través del Hotspot. El portal externo debe ser compatible y comunicarse con chilli. Para activar el portal externo, se deben configurar las siguientes opciones.
URL del portal externo
La ubicación en la que se encuentra el portal.
ID de NAS
El identificador del servidor de acceso a la red del servidor RADIUS que identifica al portal.
UAM Secret
El secreto compartido de UAM del servidor RADIUS externo. Aunque cabe la posibilidad de no definir ningún valor para esta opción, se recomienda definir un secreto, puesto que mejora la seguridad.
Sitios/accesos permitidos
Una lista de sitios web accesibles incluso sin registrarse en el Hotspot.
Activar AnyIP
Permite a los clientes sin un cliente de DHCP activo conectarse al Hotspot.

Nota:

aquí no se analiza la configuración de un servidor RADIUS, puesto que está fuera del dominio y las obligaciones de Panda, que no proporciona ayuda en esta tarea.

Roles de Maestro/Satélite y VPN.

Los roles de maestro/satélite pueden resultar útiles cuando deben cubrirse áreas amplias y no basta con un Hotspot. Cuando se emplea este tipo de arquitectura, todas las tareas de administración de los usuarios y los tickets se llevan a cabo solamente en el maestro. En los sistemas satélite solo estará disponible la sección Informes (en la interfaz de administración del Hotspot).

La conexión entre el maestro y sus satélites se configura creando cuentas OpenVPN en el maestro, una para cada satélite, y estableciendo un túnel VPN entre cada par maestro-satélite. Antes de establecer esta configuración, se deben realizar numerosas tareas tanto en el sistema maestro como en los satélites, que se agrupan en dos partes. Cada parte abarca las operaciones que se llevarán a cabo en el maestro, en cuyo caso se etiquetan con M#, o en los satélites, que se etiquetan con S#.

Cuando ya se han configurado un Hotspot maestro y un Hotspot satélite (o más), si se incorpora un nuevo satélite, solo es necesario realizar las tareas M3, M4 y M5 en el maestro y todas las tareas en el satélite.

M0. Establezca el Hotspot como independiente (esto es opcional).

M1. En la sección El menú VPN (VPN ‣ Servidor OpenVPN), configure el Hotspot como servidor OpenVPN con un tipo de conexión enrutada y un rango de red ad-hoc (por ejemplo, xxx.yyy.zzz.0/24) que debe ser diferente de las subredes de las demás zonas del dispositivo Panda GateDefender.

M2. Se crea una nueva interfaz virtual que enruta el tráfico de los túneles OpenVPN. El maestro adquiere la IP xxx.yyy.zzz.1 (es decir, la primera dirección IP disponible en el rango de red) y actúa como puerta de enlace para todos los túneles OpenVPN.

M3. Cree una cuenta de OpenVPN exclusiva para cada sistema satélite remoto (desde Barra de menú ‣ VPN ‣ Servidor OpenVPN ‣ Cuentas). La cuenta OpenVPN debe configurarse con una dirección IP estática. Las direcciones IP asignadas a los satélites deben estar dentro de la subred definida en el paso M1. Dentro de esa subred, las direcciones IP que terminan en 0, 255 y la primera IP del rango de subred no están disponibles para los satélites.

Sugerencia:

las buenas prácticas sugieren asignar a cada nuevo satélite la IP más baja disponible, para que permanezcan en orden.

Una vez que se hayan creado todas las cuentas de clientes necesarias y antes de activar la configuración maestro/satélite, es necesario verificar que la conexión OpenVPN esté configurada correctamente. Por lo tanto, con respecto a los satélites, es necesario realizar dos pasos:

S1. Cree la cuenta de cliente OpenVPN (VPN ‣ Cliente OpenVPN (Gw2Gw)), utilizando una de las cuentas creadas en el paso M3.

S2. Conéctese al maestro y verifique que se ha establecido la conexión y fluya el tráfico.

Ahora es posible activar el maestro y completar la configuración:

M4. Abra la página de configuración del Hotspot y active la cuenta VPN necesaria en la lista de sistemas satélite del Hotspot.

M5. Haga clic en Guardar y, a continuación, en Aplicar para activar los cambios.

La configuración del maestro ya ha finalizado. Es momento de realizar la configuración de los satélites:

S3. Entre en el menú Hotspot, elija el Hotspot satélite, introduzca la primera dirección IP disponible en la subred OpenVPN del maestro y la contraseña del Hotspot maestro y seleccione el túnel VPN del Hotspot en el menú desplegable.

S4. Haga clic en Guardar y, a continuación, en Aplicar para activar los cambios.

Para verificar que el sistema satélite esté conectado correctamente, abra la Interfaz de administración del Hotspot del sistema satélite. Solo se muestra una interfaz limitada, que contiene la sección Informes y nada más: todas las tareas de administración se delegan en el maestro.

La configuración ya se ha completado: tanto el sistema maestro como los sistemas satélite funcionan correctamente.

Usar autenticación externa

Cuando el rol del Hotspot es Hotspot maestro/independiente, puede basarse en un recurso externo únicamente para autenticar los usuarios, mientras mantiene la contabilidad, el registro, la base de datos de usuarios y todos los demás ajustes localmente en el dispositivo Panda GateDefender. En otras palabras, los datos de un usuario se copian de forma local desde el servidor externo, que puede ser un servidor RADIUS o LDAP, lo que le permite proporcionar sus credenciales del servidor remoto y utilizar el Hotspot de inmediato sin necesidad de crear una cuenta nueva.

Hay una opción disponible para que el Hotspot pueda conectarse al servidor remoto y recuperar los datos:

Usar autenticación externa
Al marcar esta casilla, aparecen dos modalidades de autenticación remota posibles, junto con todas las opciones necesarias para configurarlas.
Tipo de servidor

Este menú desplegable permite elegir uno de los dos servidores admitidos, bien LDAP o RADIUS, y cambia las opciones de configuración que aparecen en consecuencia.

Nota:

las opciones de configuración adicionales que aparecen son muy similares a las que se muestran en Barra de menú ‣ Proxy ‣ HTTP ‣ Autenticación.

Para el servidor LDAP, están disponibles las siguientes opciones de configuración (véase el ejemplo de la derecha para obtener más información):

Servidor LDAP

La dirección IP o el nombre de host del servidor LDAP, en formato LDAP.

Sugerencia:

la especificación de puerto, si es necesaria, se puede escribir tras la URL, por ejemplo, ldap://192.168.0.20:389/. Es seguro omitir el puerto estándar (389).

Unir configuración DN
Esta configuración define el nombre distintivo del servidor LDAP, es decir, el nodo de nivel superior de la estructura de árbol del LDAP.
Unir nombre de usuario DN
El nombre de usuario que se debe utilizar para consultar el DN. Es necesario para recuperar y autenticar las credenciales de los usuarios del Hotspot.
Unir contraseña DN
La contraseña para el usuario especificado en la opción anterior. Al hacer clic en la casilla de la derecha, muestra u oculta los caracteres.
Filtro de búsqueda de usuarios
La cadena que debe utilizarse para consultar el servidor LDAP remoto.
Servidor de reserva de LDAP
La dirección IP o el nombre de host del servidor LDAP alternativo, en formato LDAP, que debe utilizarse cuando no se puede acceder al servidor principal.
Tasa predeterminada
La tasa que estará asociada a cada usuario que se autentique mediante este método.

Para el servidor RADIUS, están disponibles las siguientes opciones de configuración:

Servidor RADIUS
La dirección IP o la URL del servidor RADIUS.
Puerto del servidor RADIUS
El puerto en el que escucha el servidor RADIUS.
Identificador
Un identificador adicional.
Secreto compartido
La contraseña que se utilizará.
Servidor de reserva RADIUS
La dirección IP o la URL del servidor RADIUS alternativo, utilizado cuando no se puede acceder al servidor principal.
Tasa predeterminada
La tasa que estará asociada a cada usuario que se autentique mediante este método.

Tema anterior

El menú Hotspot

Tema siguiente

Interfaz de administración

Navegación

© Copyright 2012-2014, Panda Security SL. Última actualización: 31 de enero de 2014.