oct
22
Compártelo en Facebook
Tweet esto!
votar
”Menéame”


Configuración y Uso de Access Manager VPN con firewall Juniper (parte 1)

En este artículo vamos a explicar como configurar y usar el programa “Access Manager VPN”, para establecer conexiones remotas seguras a través de un firewall Juniper SSG5.

Existen varias maneras de crear conexiones seguras entre ubicaciones remotas, principalmente las podemos dividir en 2:

-          S2S (site to site): las conexiones remotas sitio a sitio mediante VPN, son la forma más habitual de establecer una conexión remota segura entre dos ubicaciones geográficamente separadas. La mayoría de empresas con delegaciones usan VPN con este esquema. Al establecer una conexión VPN entre dos dispositivos separados geográficamente, nos permite unirlos y que puedan disponer de todos los recursos de la red, como si estuvieran físicamente en la red.

-          C2S (client to site): las conexiones remotas cliente a sitio mediante VPN, son la mejor forma de no invertir una gran cantidad de dinero, facilitando a un usuario remoto, por ejemplo un comercial sin ubicación fija, la conexión remota segura mediante VPN a la red corporativa y sus recursos.

En este artículo vamos a explicar como configurar un cliente C2S para establecer una conexión segura VPN mediante un firewall Juniper SSG5.

Vamos a imaginarnos que somos una empresa llamada Bibibirras SA y que tenemos a 10 comerciales repartidos por España con netbooks, estos comerciales usan su netbook para revisar su correo electrónico y navegar por Internet. Supongamos que la empresa Bibibirras SA decide implantar un CRM para el departamento comercial y desea dotar a sus comerciales de acceso a la herramienta de forma remota y segura.

Los primeros pasos que se tienen que hacer para proporcionar a los comerciales de Bibibirras SA del acceso remoto seguro al CRM, son configurar el firewall.

Partiendo que hemos escogido un firewall Juniper SSG5 que nos brinda hasta 20 conexiones o tuneles VPN a clientes remotos y la posibilidad de aumentarlo hasta un máximo de 40 previo pago de una amplicación de licencia.

Podéis obtener más info del firewall Juniper SSG5 aquí: http://www.juniper.net/us/en/products-services/security/ssg-series/ssg5/

Vamos a ver como configurar el firewall Juniper SSG5 para permitir el acceso remoto de los comerciales mediante un cliente VPN (C2S) gratuito.

Paso 1: acceso al router como administrador.

Accedemos al firewall como administrador con el nombre de usuario y contraseña pertinentes.

Paso 2: creación de grupo y usuarios locales.

Lo primero que tenemos que crear es un grupo, lo llamaremos USUARIOS_VPN, donde agregaremos los usuarios que tendrán acceso mediante cliente VPN. Para poder hacerlo debemos de entrar en: “Objects > Users > Local Groups”. Aquí clicamos en el botón “New” de arriba a la derecha, y le ponemos el nombre “USUARIOS_VPN”. Cerramos y ya tenemos el grupo creado. Cada vez que creemos un usuario nuevo, deberemos entrar en el grupo y agregarlo.

A continuación vamos a crear 2 usuarios para que tengan acceso remoto seguro mediante VPN. Clicamos en “Objects > Users > Local” y se nos abre la siguiente ventana:

 Juniper SSG5 usuarios locales para VPN

En la imagen vemos ya dos usuarios creados, por seguridad hemos eliminado los nombres y referencias reales. Clicamos en el botón “New”:

 Juniper SSG5 creación grupo local con usuarios

Ponemos como “User Name” el nombre que querramos, es identificativo. Marcamos “IKE User” y “Simple Identify” seleccionando U-FQDN, introduciendo en el campo “IKE Identify” la identificación que necesitará el cliente VPN para poder conectarse al firewall y ser admitido. Por ejemplo, para la empresa Bibibirras SA el IKE Identify podría ser el e-mail del comercial. Vamos a poner pepe@bibibirras.com. Le damos a OK, y con este esquema creamos los usuarios que querramos. Una vez creado el usuario lo tenemos que añadir al grupo USUARIOS_VPN, entrando en “Objects > Users > Local Groups”, nos saldrá el grupo creado, clicamos en “Edit” y movemos de la columna de la derecha el usuario a la izquierda.

Paso 3: creación del gateway y asignación VPN a auto-key.

Debemos ahora crear el gateway y asociarlos al grupo de usuarios que hemos creado en el paso anterior.

Nos vamos a “VPNs > Auto Key Advanced”. Arriba a la derecha clicamos en “New” y creamos el gateway de la siguiente manera:

 Juniper SSG5 creación gateway

En el campo “Gateway Name” ponemos el nombre descriptivo que querramos, por ejemplo GW_BIBIBIRRAS. Marcamos como remote gateway la opción “Dialup user group” y seleccionamos el grupo de usuarios que hemos creado anteriormente “USUARIOS_VPN”. Le damos a OK y listo.

Una vez creado el gateway debemos de crear la VPN y asignarle este gateway. Esto lo hacemos entrando en la opción “VPNs > AutoKey IKE”. Clicamos en “New” y nos abre la siguiente ventana:

 Juniper SSG5 creación VPN

En el campo “VPN Name” ponemos un nombre identificativo, pondremos por ejemplo: VPN_BIBIBIRRAS. Seleccionamos dentro de “Remote Gateway” la opción predeterminada “Predefined” y en la derecha desplegamos la lista y seleccionamos el gateway que hemos creado antes “GW_BIBIBIRRAS”. Le damos a OK.

Paso 4: Creación de la regla de acceso en las políticas de acceso.

Ahora nos queda crear una regla de acceso en las políticas de acceso del firewall. Nos vamos a la opción “Policy>Policies”. En esta opción podemos ver todas las reglas definidas entre las zonas “Untrust” y “Trust”. Nosotros vamos a crear una regla en la zona “Untrust to trust”, ya que permitiremos el acceso desde un punto desconocido (IP desconocida pública) hasta nuestra red corporativa. Antes de clicar en el botón “New” debemos de poner en “From” la opción “Untrust” y en “To” la opción “Trust”.

 Juniper SSG5 creación política VPN

Se nos abre la siguiente ventana, donde debemos de seleccionar primero de “Source Address” tal como está en la imagen. En “Destination Address” introduciremos el servidor donde tenemos la aplicación remota a la cual se quiere acceder, en el ejemplo de Bibibirras SA un CRM que se aloja en el servidor de terminal services.

Las demás opciones las dejamos igual que en la imagen y en el campo “Tunnel”, seleccionamos del desplegable “VPN” la vpn que hemos creado en el paso 3 (“VPN_BIBIBIRRAS”). Marcamos que los usuarios hagan logging al inicio de la sesión y listo.

Ya hemos completado todos los pasos que teníamos que hacer en el firewall de la empresa Bibibirras SA, ahora debemos de descargar el cliente VPN “Access Manager VPN” para que los comerciales puedan acceder. Esta explicación la haremos en el próximo artículo.

Artículos relacionados

6 Comments to “Configuración y Uso de Access Manager VPN con firewall Juniper (parte 1)”

  • Bitacoras.com 22 octubre 2010 a las 12:22

    Información Bitacoras.com…

    Valora en Bitacoras.com: En este artículo vamos a explicar como configurar y usar el programa “Access Manager VPN”, para establecer conexiones remotas seguras a través de un firewall Juniper SSG5. Existen varias maneras de crear conexiones segu……

  • Artículo de opinión sobre configuración firewall Juniper SSG5 para VPN client to site – Parte 2 » Tu quiosco de conocimiento 28 octubre 2010 a las 10:21

    [...] que ya tenemos el firewall configurado (ver parte 1 del artículo: Configuración y Uso de Access Manager VPN con firewall Juniper (parte 1)), vamos a explicar como descargar, configurar y usar el cliente VPN, para que el comercial de la [...]

  • daniel 8 junio 2011 a las 20:02

    Como puedo configurar la zona UNTRUST a mi DSL por favor podrian decirme

  • TuQuiosquero 9 junio 2011 a las 7:22

    Gracias por tu pregunta Daniel, lo primero de todo sería saber si tienes un firewall y el modelo del firewall, en este articulo hablamos en concreto del firewall juniper.

  • Javier Carrillo 5 junio 2012 a las 21:45

    Que tal. Como puedo hacer la configuración S2S??

  • TuQuiosquero 6 junio 2012 a las 7:20

    Buenas Javier, para la configuración del S2S primero de todo hay que contratar una VPN con tu proveedor de servicios, posteriormente se tiene que configurar el router, para que se cree una conexión segura entre un punto y otro de la VPN. Dentro del firewall juniper hay un apartado donde pone VPN.

Post comment

Switch to our mobile site