Cómo configurar la autenticación de dos factores (2FA) con Google Authenticator para el acceso remoto a VPN IKEv2 y VPN SSL en la serie H de Zyxel

Este artículo proporciona una guía clara y paso a paso sobre cómo configurar una VPN de acceso remoto IKEv2 con autenticación de dos factores en dispositivos Zyxel de la serie H. Aprenderá a configurar la autenticación segura de usuarios, integrar Google Authenticator para 2FA y configurar los ajustes necesarios de VPN, IP y túnel para garantizar un acceso remoto fiable y protegido a su red.

🔹 Nota: En los dispositivos Zyxel de la serie H que ejecutan uOS, el proceso de autorización 2FA se realiza después de establecer el túnel VPN. Se accede a la página de autenticación a través del túnel VPN, no directamente desde la interfaz WAN.

Google Authenticator se considera uno de los métodos más fiables para la autenticación de dos factores (2FA) porque:

• Genera un código de verificación único cada 30 segundos, lo que minimiza el riesgo de reutilización o compromiso.
• Funciona sin conexión a Internet, lo que garantiza el acceso en entornos sin conexión.
• Es gratuito, ligero y fácil de implementar en múltiples plataformas.

Siguiendo esta guía, los administradores aprenderán a:

• Habilitar y configurar la autenticación de dos factores (2FA) en las puertas de enlace de la serie H de Zyxel.
• Emparejar cuentas de usuario VPN con Google Authenticator.
• Implementar un inicio de sesión seguro para conexiones VPN de acceso remoto (IKEv2) y VPN SSL.

La combinación del cifrado VPN y la autenticación de dos factores basada en TOTP proporciona una capa de seguridad mejorada, lo que garantiza que solo los usuarios autenticados puedan establecer conexiones remotas a la red corporativa.

Nota: Todas las direcciones IP de red y máscaras de subred se utilizan como ejemplos en este artículo. Sustitúyalas por las direcciones IP y la subred de su red real. 

• Cliente VPN SecuExtender: versión 7.7.50.008 o superior.
• Cuenta de usuario local: actualmente, la autenticación de dos factores solo es compatible con usuarios locales.

Habilitar Google Authenticator para un usuario

1. Vaya a Usuario y autenticación > Usuario/Grupo.

2. Seleccione la cuenta de usuario local requerida.

3. Habilite la autenticación de dos factores (2FA) y seleccione Google Authenticator.

Configurar Google Authenticator

1. Descargue e instale Google Authenticator en su dispositivo móvil.

2. Abra la aplicación Google Authenticator y escanee el código QR que se muestra en la interfaz gráfica de usuario web.

1. Introduzca el código de verificación generado por la aplicación en el paso 3 de la interfaz gráfica de usuario web.

2. Haga clic en Verificar código y Finalizar.

Configurar el tiempo válido y los tipos de servicio VPN

1. Habilite la autenticación de dos factores (2FA) para el acceso a la VPN.

2. Configure el tiempo válido, que define el límite de tiempo para introducir el código 2FA (por defecto: 3 minutos).

3. Seleccione los tipos de servicio VPN que requieren 2FA, como VPN de acceso remoto o VPN SSL.

4. Una vez establecido el túnel VPN, los usuarios deben introducir el código del token a través de la GUI web para completar la autenticación.

VPN de acceso remoto (IKEv2)

1. Abra el túnel VPN de acceso remoto (IKEv2) utilizando el cliente VPN SecuExtender.

2. Cuando se le solicite, introduzca el código de verificación generado por Google Authenticator o utilice un código de respaldo.

3. Inicie sesión con su nombre de usuario, contraseña y código de token para completar la autenticación.

VPN SSL

1. Abra el túnel SSL VPN utilizando el cliente VPN SecuExtender.

2. Cuando se le solicite, introduzca el código de verificación generado por Google Authenticator o utilice un código de respaldo.

3. Inicie sesión con su nombre de usuario, contraseña y código de token para completar la autenticación.