VPN - Configurar VPN IKEv2 con certificado utilizando SecuExtender IPSec VPN Client

Creación 28 de febrero de 2018 10:22 - Actualización 7 de noviembre de 2023 07:48

Serhii Boiarynov

¿Tiene más preguntas? Enviar una solicitud

Aviso importante:
Estimado cliente, tenga en cuenta que utilizamos traducción automática para proporcionar artículos en su idioma local. Es posible que no todo el texto se traduzca con exactitud. Si hay preguntas o discrepancias sobre la exactitud de la información en la versión traducida, por favor revise el artículo original aquí:Versión Original

Este artículo le mostrará cómo configurar IKEv2 IPsec VPN con certificado utilizando SecuExtender en Windows y MacOS. Se le mostrará cómo configurar la VPN en el firewall (USG FLEX / ATP / VPN Series en modo autónomo / en las instalaciones), así como mostrar la manera de deshacerse de la TGBErrorCodeMgrNotCreated.description error en MacOS.

Nota: Para IOS 17 se utiliza un grupo de claves: DH19 debe ser utilizado

Video:

Tabla de Contenido

A) Configurar IKEv2 en el Firewall

B) Configurar SecuExtender Client

C) Configurar en MacOS

A) Configuración de IKEv2 en el cortafuegos

Inicie sesión en la unidad introduciendo su dirección IP y las credenciales de una cuenta de administrador (por defecto, el nombre de usuario es "admin" y la contraseña es "1234").
Vaya a Configuración > Objeto > Dirección/Geo IP, haga clic en "Añadir" para crear un objeto del "Tipo de dirección" "Rango". Nómbralo "IKEv2_Pool" e introduce un rango de IPs que no se solape con tus subredes
.
Cree otro objeto de Dirección IP para permitir a los clientes IKEv2 el acceso a Internet a través del túnel VPN más adelante. Elija el tipo "Range", nómbrelo "All_Traffic" por ejemplo, escriba "0.0.0.0" para la "Starting IP Address" y "255.255.255.255" para la "End IP Address".
Vaya a Configuración > Objeto > Usuario/Grupo y haga clic en "Añadir" para crear nuevos usuarios.
Haga clic en la pestaña "Grupo" y haga clic en "Añadir" para crear un grupo "IKEv2_Users" y añada los usuarios necesarios marcándolos y haciendo clic en la flecha que apunta a la derecha.
Vaya a Configuración > Objeto > Certificado, haga clic en "Añadir", elija "Nombre de dominio del host", escriba el nombre de dominio o DynDNS, desplácese hasta "Uso de clave extendida" y marque las tres casillas de verificación "Autenticación del servidor", "Autenticación del cliente" e "IKE intermedio" y haga clic en "Aceptar".
Haga doble clic en este certificado y desplácese hacia abajo para utilizar "Sólo exportar certificado".
Vaya a Configuración > Red > VPN > VPN IPSec y haga clic en "Añadir", haga clic en "Mostrar configuración avanzada", marque "Activar", elija "IKEv2", elija "Dirección dinámica" en "Dirección de pasarela de pares", marque "Certificado" en "Autenticación" y elija el certificado que ha creado anteriormente.
Desplácese hacia abajo para elegir las propuestas deseadas en "Configuración de Fase 1", marque "Activar Protocolo de Autenticación Extendida", elija "Modo Servidor", deje "Método AAA" en "por defecto" y elija el grupo "IKEv2_Users" creado previamente para "Usuarios permitidos" antes de hacer clic en "Aceptar".
Ahora abra la pestaña "Conexión VPN", haga clic en "Añadir", haga clic en "Mostrar configuración avanzada", marque "Activar", elija "Acceso remoto (rol de servidor)" para el "Escenario de aplicación", elija su puerta de enlace VPN creada previamente para "Puerta de enlace VPN", en "Política local" elija el objeto de rango IP creado previamente "Todo_tráfico".
Marque "Enable Configuration Payload", elija el objeto "IKEv2_Pool" como su "IP Address Pool" (Los servidores DNS son opcionales), elija sus propuestas deseadas para la conexión VPN y finalmente pulse "OK" para finalizar la configuración de la conexión VPN.
Ahora vaya a Configuración > Objeto > Red > Enrutamiento, haga clic en "Añadir", marque "Habilitar", elija "Túnel" para "Entrante", elija la conexión IPSec creada anteriormente para "Por favor, seleccione un miembro", elija "IKEv2_Pool" para la "Dirección de origen" y, finalmente, elija su interfaz WAN o el tronco WAN como "Siguiente salto" antes de hacer clic en "Aceptar".

B) Configurar el cliente SecuExtender

Abra el cliente IPSec, haga clic con el botón derecho en la carpeta "IKE V2" de la parte izquierda para añadir una nueva "Ikev2Gateway", introduzca el nombre de dominio que también introdujo en el certificado de la USG para la "Pasarela remota" y elija las propuestas correspondientes en "Criptografía".
Haga clic con el botón derecho del ratón en la pasarela VPN de la izquierda para añadir la conexión VPN, elija el "Tipo de dirección" "Dirección de subred", escriba la dirección de subred y la máscara de subred de la subred local en el sitio USG, a la que los clientes deben tener acceso y elija las propuestas coincidentes para la conexión VPN.
Si el "Child SA Lifetime" no coincide con el configurado en el USG, ajústelo antes de abrir finalmente el túnel haciendo de nuevo clic con el botón derecho del ratón en la Conexión VPN de la parte izquierda.

C) No se puede importar el archivo .tgb en MacOS

Si usted está recibiendo este error de archivo TGB "TGBErrorCodeMgrNotCreated.description", en su MacOS, esto está relacionado con la configuración de privacidad en el MacOS. Debe permitir que SecuExtender sea de confianza en su sistema operativo.

Vaya a Configuración -> Privacidad y Seguridad -> Seguridad y seleccione "App Store y desarrolladores identificados". A continuación, "SecuExtender VPN Client" debe aparecer, y hay que pulsar "Permitir":

Ahora puede importar el archivo .tgb correctamente en el Cliente SecuExtender en MacOS para obtener su configuración.

+++ Puedes comprar licencias para tus clientes VPN Zyxel (SSL VPN, IPsec) con entrega inmediata mediante 1-click: Zyxel Webstore +++

Artículos en esta sección

Más información