WATCHGUARD - MOBILE VPN CON IKEV2

Podemos configurar nuestro Firebox para alojar sesiones de Mobile VPN con IKEv2. Cuando nuestro Firebox este configurado con Mobile VPN, los usuario incluidos en el grupo del Mobile VPN con IKEv2 pueden usar un cliente IKEv2 para establecer una conexión IKEv2.

 

1. MOBILE VPN CON IKEV2.

2. CONFIGURACIÓN WINDOWS 10.

3. CORTAR TRÁFICO A INTERNET.

 

1. MOBILE VPN CON IKEV2.

Para habilitar y configurar Mobile VPN con IKEv2 nos vamos a VPN → Mobile VPN:


 

Vamos a IKEv2














Primero marcamos la casilla de Active Mobile VPN with IKEv2:




NETWORKING:

En Firebox Addreses indicamos la dirección IP del Firebox:









Ahora en Virtual IP Address Pool eliminamos las direcciones IP que usaran los usuarios en el túnel y creamos unas nuevas:












Ya tendremos en Nerworking todo configurado:






















AUTHENTICATION:

Ahora configuraremos la parte de la autenticación de los usuarios:









Nos vamos a Users and Groups y vemos que Firebox crea un grupo preconfigurado llamado IKEv2-Users:





Nosotros creamos un usuario de prueba a parte del grupo IKEv2-Users:


























SECURITY:

En Phase 1 Settings → Certificate indicamos que usaremos certificado de autenticación generado por Firebox:












En Phase 2 Settings establecemos lo siguiente:












 

Y ya tendriamos habilitado y configurado Mobile VPN con IKEv2:


 

 

 

 

 

 

 2. CONFIGURACIÓN WINDOWS 10.

Ahora nos toca configurar el equipo con Windows 10 del usuario para que use la VPN.

Le damos a CLIENT PROFILE:




Y procedemos a descargarnos un archivo comprimido TGZ, al que le damos un nombre, que incluye scripts para la creación y configuración de la VPN para distintos sistemas operativos:












Descomprimimos el archivo y vemos las diferentes carpetas para los diferentes sistemas operativos:








En la carpeta de Windows encontraremos instrucciones, el certificado de autenticación y otra carpeta de scripts en Powershell:








Debemos ejecutar el siguiente script:




Veremos despues de ejecutarlo que se habra creado la VPN con IKEv2 automaticamente:











Si accedemos podremos ver que nos queda indicar las credenciales del usuario de prueba que hemos creado:





















Una vez indicado las credenciales y guardado los cambios ya podremos conectarnos a la VPN:





Vemos como salimos a internet por el túnel IKEv2 y pasamos por el Firebox:






Podemos ver la dirección IP que tiene el equipo en el túnel:











3. CORTAR TRÁFICO A INTERNET. 

Podemos ver que cuando habilitamos y configuramos Mobile VPN con IKEv2 se crea una regla del firewall que permite todo el tráfico de los usuarios conectados por IKEv2:



Crearemos una nueva que deniegue a los usuarios conectados salir a internet. 

Para ello configuramos la regla de la siguiente manera, indicando en FROM IKEv2-Users:


 

 




Y desde un equipo conectado a la VPN podemos comprobar que no sale a internet:




No hay comentarios:

Publicar un comentario

Suscribirse a: Entradas (Atom)