Visión general

Una VPN (red privada virtual) proporciona una comunicación segura entre los sitios sin el gasto de las líneas arrendadas. Las VPN se utilizan para transportar tráfico a través de Internet de una red insegura que utiliza comunicaciones TCP/IP. Una VPN de acceso remoto (de cliente a sede) permite a los empleados que viajan o a los teletrabajadores acceder de forma segura a los recursos de red de la empresa. Existen múltiples tipos de protocolos/tecnologías VPN que pueden utilizarse para establecer un enlace seguro a la red de la empresa, L2TP, PPTP, SSL, OpenVPN, etc. Esta guía hará referencia al protocolo IPSec para establecer un túnel VPN seguro entre hosts externos (usuarios conectados a Internet fuera de la estructura de red de la empresa) y el router ZyWALL. Se requiere software IPSec de terceros para establecer la conexión VPN, ya que los sistemas operativos actuales carecen de un cliente IPSec integrado.

1. Pasarela VPN (Fase 1)
2. Conexión VPN (Fase 2)
3. Aprovisionamiento de la configuración
4. Cliente VPN ZyWALL
5. Pruebas y resolución de problemas

Pasarela VPN (Fase 1)

Inicie sesión en la página de configuración web de ZyWALL y vaya al menú Configuration → VPN → IPSec VPN. En el menú VPN IPSec, haga clic en la pestaña VPN Gateway para añadir la Fase 1 de la configuración del túnel. Haga clic en el botón Add para insertar una nueva regla. En la parte superior izquierda de la ventana, haga clic en el botón Show Advanced Settings para ver todas las opciones del menú.

• Marque la casilla para habilitar la regla VPN y proporcione un nombre.
• Seleccione la interfaz WAN que desea utilizar para conectar la VPN en el campo desplegable My Address
• Asegúrese de que Peer Gateway Address está configurada como "Dynamic Address" (Dirección dinámica).
• Introduzca o cree una "clave precompartida" de autenticación VPN.
• En Phase 1 Settings (Configuración de fase 1), configure el menú desplegable Negotiation Mode (Modo de negociación) para utilizar el modo "Main" (Principal).
• Establezca la propuesta de "Cifrado" y "Autenticación" que desea utilizar (las opciones de cifrado son DES, 3DES, AES128, AES192, AES256) (las opciones de autenticación son MD5, SHA1, SHA256, SHA512)
• Seleccione el grupo de claves Diffie-Hellman (las opciones son DH1, DH2, DH5)
  
  Nota: El símbolo de precaución de la derecha aparecerá en las áreas en las que sea necesario introducir datos o en las que se produzca un error en la entrada, como caracteres ilegales/no admitidos.
  

Conexión VPN (Fase 2)

Una vez creada la regla de VPN Gateway (Fase 1), haga clic en la pestaña VPN Connection para insertar la regla de Fase 2 para el túnel VPN. Haga clic en el botón Añadir para insertar una regla. En la parte superior izquierda de la ventana, haga clic en el botón Mostrar configuración avanzada para ver todas las opciones del menú.

• Marque la casilla para activar la regla y asígnele un nombre.
• Configure el escenario de aplicación VPN Gateway para que utilice "Acceso remoto (función de servidor)".
• Para el escenario de aplicación, configure el menú desplegable Puerta de enlace VPN para utilizar la política de Fase 1 creada en el paso anterior. (RoadWarrior para este ejemplo)
• Desplácese hacia abajo hasta la opción Policy y configure la Política local para que utilice el objeto de dirección "LAN1_SUBNET". Esto le dará al usuario VPN acceso sobre todos los dispositivos conectados a LAN1
• El Protocolo Activo en Phase 2 Setting debe ser "ESP".
• La encapsulación es "Tunnel".
• Establezca la propuesta de "Cifrado" y "Autenticación" que desee utilizar (las opciones de cifrado son DES, 3DES, AES128, AES192, AES256) (las opciones de autenticación son MD5, SHA1, SHA256, SHA512)
• Perfect Forward Secrecy (PFS) es un nivel adicional de cifrado. No es necesario activarlo, pero si desea utilizar el nivel de cifrado añadido, las opciones son Ninguno, DH1, DH2 y/o DH5.
• En Configuración relacionada, asegúrese de que la Zona está configurada para "IPSec_VPN".
  
  

Ahora que se han completado las fases 1 y 2 de la regla VPN, desmarque la casilla "Usar ruta de política para controlar las reglas IPSec dinámicas". Al desmarcar esta opción, el ZyWALL creará automáticamente rutas para los usuarios VPN conectados.

Configuración de aprovisionamiento

Ciertos clientes VPN como el "ZyWALL IPSec VPN Client" y el "TheGreenBow VPN Client" tienen una opción de aprovisionamiento que les permite descargar la configuración que ha configurado la regla VPN en lugar de tener que configurar el cliente manualmente. Para configurar el aprovisionamiento VPN para la regla VPN dinámica RoadWarrior, acabamos de crear la pestaña Configuration Provisioning en el menú IPSec VPN(Configuration → VPN → IPSec VPN).

Antes de configurar el aprovisionamiento, debemos crear una cuenta de usuario que permita la descarga de la configuración. Vaya a Configuración → Objeto → Usuario/Grupo y haga clic en el botón Añadir para insertar una cuenta de nivel "Usuario". Las cuentas administrativas no pueden utilizar la opción de descarga de aprovisionamiento de configuración.

Una vez creada la cuenta de usuario, vaya a Configuración → VPN → VPN IPSec y haga clic en la pestaña Aprovisionamiento de configuración para insertar una regla que permita la descarga del cliente VPN de configuración de RoadWarrior VPN.

• Habilite el menú de aprovisionamiento de configuración VPN.
• Haga clic en el botón Añadir para crear una regla que permita el aprovisionamiento de la "RoadWarrior_Connection" Conexión VPN para el "VPN-user" Usuario permitido. Asegúrese de que la regla está activada y haga clic en Aplicar para guardar la configuración.
  

Cliente VPN ZyWALL

Para descargar los ajustes de aprovisionamiento de configuración VPN configurados en el router, abra el software cliente, haga clic en el menú Configuration y seleccione la opción "Get from Server".

Introduzca la dirección IP pública, el nombre de dominio o el nombre DDNS asociado al router ZyWALL. El cliente descarga la configuración vía SSL. Por defecto, el ZyWALL está programado para utilizar el puerto 443 para SSL. Si ha cambiado el puerto, indique el nuevo puerto SSL. Introduzca el nombre de usuario y la contraseña asociados a la configuración de aprovisionamiento y haga clic en Siguiente.

Nota: Esto sólo funciona mientras la gestión remota está habilitada en el router ZyWALL, si la gestión remota ha sido deshabilitada la función de aprovisionamiento de configuración no podrá recuperar los ajustes de configuración VPN automáticamente desde el router ZyWALL.

El cliente enviará la solicitud para descargar los ajustes de configuración VPN al router ZyWALL.

Una vez descargada la configuración, puede establecer un túnel VPN entre su ordenador y el router ZyWALL. Haga clic con el botón derecho del ratón en la fase 2 de la configuración y seleccione "Abrir túnel" para iniciar el marcador VPN.

Para configurar un túnel completo o dividido para el tráfico VPN, eche un vistazo aquí:

Túnel VPN completo/dividido

Pruebas y resolución de problemas

Intente establecer una conexión VPN con el router. Una vez establecida la conexión, intente hacer ping o acceder a cualquier recurso de la red remota.

1. Si no puede obtener tráfico a través del túnel VPN:

• Desactive el cortafuegos en el host remoto para asegurarse de que no está bloqueando la solicitud.
• ¿Intenta acceder a los recursos utilizando el nombre de host del ordenador? Intente utilizar la dirección IP asignada al ordenador. El uso de un nombre de host de ordenador requiere el protocolo de difusión NetBIOS para resolver la dirección IP del ordenador; el estándar IPSec no admite difusiones. Dado que el estándar VPN IPSec no admite difusiones, no podemos garantizar que funcione el uso de nombres de host en lugar de IP. Una solución para esta limitación del estándar IPSec sería utilizar un servidor WINS.
• Desactive el cortafuegos del router ZyWALL.
• Asegúrate de que no hay conflictos de IP. Si la red ZyWALL está configurada para utilizar la red 192.168.1.0/24 y el usuario remoto también está utilizando el mismo esquema IP, el tráfico no se enrutará a través del túnel VPN correctamente.
• Compruebe la puerta de enlace de la red host, si el router local (no el ZyWALL) no tiene habilitado el paso a través de VPN o los puertos necesarios abiertos, es posible que la VPN no funcione correctamente.
• Póngase en contacto con el soporte técnico para obtener más ayuda.
• El túnel VPN no se establece/conecta:

• Asegúrese de que su router de red permite el paso de los puertos IPSec (UDP:500 y UDP:4500) o asegúrese de habilitar VPN pass-through si el router admite esta opción. Es posible evitar el router para asegurarse de que no está causando el problema.
• Asegúrese de que su ISP no está bloqueando los puertos VPN; algunos proveedores bloquean los puertos VPN en su extremo.
• Compruebe que el cortafuegos de su ordenador permite las comunicaciones del cliente VPN.
• Actualiza los controladores de tus tarjetas NIC (Ethernet y/o Wi-Fi).
• Compruebe la configuración VPN en el ZyWALL y asegúrese de que coincide con la configuración del cliente de software.
• Contacte con el soporte técnico para más ayuda.

Video:

+++ Puedes comprar licencias para tus clientes Zyxel VPN (SSL VPN, IPsec) con entrega inmediata en 1-click: Zyxel Webstore +++