Product Documentation

Directivas VPN de dispositivos

May 05, 2016

En XenMobile, puede agregar una directiva de dispositivos para configurar los parámetros de una red privada virtual (VPN) que permita a los dispositivos de los usuarios conectarse de forma segura a los recursos de la empresa. Puede configurar la directiva de redes VPN para las plataformas siguientes: iOS, Android, Samsung SAFE, Samsung KNOX, tabletas Windows 8.1 y Amazon. Cada plataforma requiere un conjunto diferente de valores, que se describen detalladamente en este artículo.

Para agregar una directiva de redes VPN

  1. En la consola de XenMobile, haga clic en Configure > Device Policies. Aparecerá la página Device Policies.


    Página de directivas

  2. Haga clic en Agregar. Aparecerá el cuadro de diálogo Add a New Policy.


    Selección de una directiva de red privada virtual (VPN)

  3. Haga clic en VPN. Aparecerá la página VPN Policy.


    Página de información acerca de la directiva

  4. En el panel Policy Information, escriba la información siguiente:
    1. Policy Name. Escriba un nombre descriptivo para la directiva.
    2. Description. Escriba, si quiere, una descripción para la directiva.
    3. Haga clic en Siguiente.
  5. En Platforms, seleccione la plataforma o las plataformas que quiere agregar.

    Si ha seleccionado iOS, configure los siguientes parámetros:


    Red privada virtual (VPN) para iOS

    1. Connection name. Escriba un nombre para la conexión.
    2. Connection type. En la lista, haga clic en el protocolo que se va a usar para esta conexión.
      • L2TP. Protocolo Layer 2 Tunneling Protocol (L2TP) con la autenticación de clave previamente compartida. Esta es la opción predeterminada.
      • PPTP. Túnel punto a punto.
      • IPsec. La conexión VPN de su empresa.
      • Cisco AnyConnect. Cliente VPN de Cisco AnyConnect.
      • Juniper SSL. Cliente SSL VPN de Juniper Networks.
      • F5 SSL. Cliente SSL VPN de F5 Networks.
      • SonicWALL Mobile Connect. Cliente VPN unificado de Dell para iOS.
      • Ariba VIA. Cliente de acceso virtual a Internet de Ariba Networks.
      • IKEv2 (iOS only). Intercambio de claves por red versión 2 solo para iOS.
      • Custom SSL. Capa de sockets seguros (SSL) personalizada.

      En las siguientes secciones se enumeran las opciones de configuración para cada uno de los tipos de conexión mencionados.

      Cómo configurar las siguientes opciones para el protocolo L2TP

      1. Seleccione Password authentication o RSA SecureID authentication.
      2. Authentication password. Escriba una contraseña de autenticación opcional.
      3. Password authentication. Seleccione si la autenticación mediante contraseña está activada o desactivada.
      4. Send all traffic. Seleccione si enviar todo el tráfico a través de la red privada virtual (VPN).
      Cómo configurar las siguientes opciones para el protocolo PPTP
      1. Seleccione Password authentication o RSA SecureID authentication.
      2. Authentication password. Escriba una contraseña de autenticación opcional.
      3. Password authentication. Seleccione si la autenticación mediante contraseña está activada o desactivada.
      4. Encryption level. Seleccione el nivel de cifrado.
      5. Send all traffic. Seleccione si enviar todo el tráfico a través de la red privada virtual (VPN).
      Cómo configurar las siguientes opciones para el protocolo IPsec
      1. Authentication password. Escriba una contraseña de autenticación opcional.
      2. Authentication type for the connection. Seleccione el tipo de autenticación para esta conexión.

      En la siguiente tabla aparecen las opciones disponibles para cada tipo de conexión. Cada celda contiene el valor predeterminado de una opción, si existe ese valor predeterminado. Si no existe, la celda indica si la opción no se puede aplicar (–), si es necesaria o si es opcional.

      Contraseña Certificado Secreto compartido
      Group name Opcional
      Password authentication OFF OFF OFF
      Identity credential Ninguno.
      Prompt for PIN when connecting OFF
      Enable VPN on demand OFF
      On Demand Domain Necesario si Enable VPN on demand = ON
      Use hybrid authentication OFF
      Pedir contraseña OFF
      Auth password Opcional
      Cómo configurar las siguientes opciones para el protocolo de Cisco AnyConnect
      1. Authentication password. Escriba una contraseña de autenticación opcional.
      2. Group. Escriba un nombre de grupo opcional.
      3. Authentication type for the connection. Seleccione el tipo de autenticación para esta conexión.

      En la siguiente tabla aparecen las opciones disponibles para cada tipo de conexión. Cada celda contiene el valor predeterminado de una opción, si existe ese valor predeterminado. Si no existe, la celda indica si la opción no se puede aplicar (–), si es necesaria o si es opcional.

      Contraseña Certificado Secreto compartido
      Group name Opcional
      Password authentication OFF OFF OFF
      Identity credential Ninguno.
      Prompt for PIN when connecting OFF
      Enable VPN on demand OFF
      On Demand Domain Necesario si Enable VPN on demand = ON
      Use hybrid authentication OFF
      Pedir contraseña OFF
      Auth password Opcional
      Cómo configurar las siguientes opciones para el protocolo SSL de Juniper
      1. Authentication password. Escriba una contraseña de autenticación opcional.
      2. Realm. Escriba un nombre de dominio kerberos opcional.
      3. Role. Escriba un nombre de rol opcional.
      4. Authentication type for the connection. Seleccione el tipo de autenticación para esta conexión.

      En la siguiente tabla aparecen las opciones disponibles para cada tipo de conexión. Cada celda contiene el valor predeterminado de una opción, si existe ese valor predeterminado. Si no existe, la celda indica si la opción no se puede aplicar (–), si es necesaria o si es opcional.

      Contraseña Certificado Secreto compartido
      Group name Opcional
      Password authentication OFF OFF OFF
      Identity credential Ninguno.
      Prompt for PIN when connecting OFF
      Enable VPN on demand OFF
      On Demand Domain Necesario si Enable VPN on demand = ON
      Use hybrid authentication OFF
      Pedir contraseña OFF
      Auth password Opcional
      Cómo configurar las siguientes opciones para el protocolo SSL de F5
      1. Authentication password. Escriba una contraseña de autenticación opcional.
      2. Authentication type for the connection. Seleccione el tipo de autenticación para esta conexión.

      En la siguiente tabla aparecen las opciones disponibles para cada tipo de conexión. Cada celda contiene el valor predeterminado de una opción, si existe ese valor predeterminado. Si no existe, la celda indica si la opción no se puede aplicar (–), si es necesaria o si es opcional.

      Contraseña Certificado Secreto compartido
      Group name Opcional
      Password authentication OFF OFF OFF
      Identity credential Ninguno.
      Prompt for PIN when connecting OFF
      Enable VPN on demand OFF
      On Demand Domain Necesario si Enable VPN on demand = ON
      Use hybrid authentication OFF
      Pedir contraseña OFF
      Auth password Opcional
      Cómo configurar las siguientes opciones para el protocolo Mobile Connect de SonicWALL
      1. Authentication password. Escriba una contraseña de autenticación opcional.
      2. Logon group or domain. Escriba un dominio o grupo de inicio de sesión opcional.
      3. Authentication type for the connection. Seleccione el tipo de autenticación para esta conexión.

      En la siguiente tabla aparecen las opciones disponibles para cada tipo de conexión. Cada celda contiene el valor predeterminado de una opción, si existe ese valor predeterminado. Si no existe, la celda indica si la opción no se puede aplicar (–), si es necesaria o si es opcional.

      Contraseña Certificado Secreto compartido
      Group name Opcional
      Password authentication OFF OFF OFF
      Identity credential Ninguno.
      Prompt for PIN when connecting OFF
      Enable VPN on demand OFF
      On Demand Domain Necesario si Enable VPN on demand = ON
      Use hybrid authentication OFF
      Pedir contraseña OFF
      Auth password Opcional
      Cómo configurar las siguientes opciones para el protocolo VIA Ariba
      1. Authentication password. Escriba una contraseña de autenticación opcional.
      2. Authentication type for the connection. Seleccione el tipo de autenticación para esta conexión.

      En la siguiente tabla aparecen las opciones disponibles para cada tipo de conexión. Cada celda contiene el valor predeterminado de una opción, si existe ese valor predeterminado. Si no existe, la celda indica si la opción no se puede aplicar (–), si es necesaria o si es opcional.

      Contraseña Certificado Secreto compartido
      Group name Opcional
      Password authentication OFF OFF OFF
      Identity credential Ninguno.
      Prompt for PIN when connecting OFF
      Enable VPN on demand OFF
      On Demand Domain Necesario si Enable VPN on demand = ON
      Use hybrid authentication OFF
      Pedir contraseña OFF
      Auth password Opcional
      Cómo configurar las siguientes opciones para el protocolo IKEv2 (solo para iOS)
      1. Authentication password. Escriba una contraseña de autenticación opcional.
      2. Password authentication. Seleccione si la autenticación mediante contraseña está activada o desactivada.
      3. Always-on VPN. Seleccione si la conexión VPN siempre está activada.

        Las siguientes opciones solo se aplican si Always-on VPN está establecido en ON.

      4. Server name or IP address. Escriba el nombre o la dirección IP del servidor VPN.
      5. User Account. Escriba una cuenta de usuario opcional.
      6. Authentication type for the connection. Seleccione el tipo de autenticación para esta conexión.

      En la siguiente tabla aparecen las opciones disponibles para cada tipo de conexión. Cada celda contiene el valor predeterminado de una opción, si existe ese valor predeterminado. Si no existe, la celda indica si la opción no se puede aplicar (–), si es necesaria o si es opcional.

      Contraseña Certificado Secreto compartido
      Group name Opcional
      Shared secret Opcional
      Use hybrid authentication OFF
      Pedir contraseña OFF
      Allow user to disable automatic connection OFF OFF OFF
      Local identifier Requerido Requerido Requerido
      Remote identifier Requerido Requerido Requerido
      Extended Authentication Enabled OFF OFF OFF
      Dead Peer Detection Interval Ninguno. Ninguno. Ninguno.
      Encryption Algorithm 2DES 2DES 2DES
      Integrity Algorithm SHA1-96 SHA1-96 SHA1-96
      Diffie-Hellman Group 2 2 2
      LifeTime (en minutos) 1440 1440 1440
      Voice Mail Permitir el tráfico a través de un túnel Permitir el tráfico a través de un túnel Permitir el tráfico a través de un túnel
      Allow traffic from captive web sheet outside the VPN OFF OFF OFF
      Allow traffic from all captive networking apps outside the VPN tunnel OFF OFF OFF
      AirPrint Permitir el tráfico a través de un túnel Permitir el tráfico a través de un túnel Permitir el tráfico a través de un túnel
      Captive networking app bundle identifiers Opcional Opcional Opcional
      Cómo configurar las siguientes opciones para el protocolo SSL personalizado
      1. Custom SSL identifier (reverse DNS format). Escriba el identificador de SSL en formato DNS inverso.
      2. Authentication password. Escriba una contraseña de autenticación opcional.
      3. Password authentication. Seleccione si la autenticación mediante contraseña está activada o desactivada.
      4. Authentication type for the connection. Seleccione el tipo de autenticación para esta conexión.

      En la siguiente tabla aparecen las opciones disponibles para cada tipo de conexión. Cada celda contiene el valor predeterminado de una opción, si existe ese valor predeterminado. Si no existe, la celda indica si la opción no se puede aplicar (–), si es necesaria o si es opcional.

      Contraseña Certificado Secreto compartido
      Group name Opcional
      Pedir contraseña OFF
      Auth password Opcional OFF
      Identity credential Ninguno.
      Prompt for PIN when connecting OFF
      Enable VPN on demand OFF
      On Demand Domain Necesario si Enable VPN on demand = ON
      Use hybrid authentication OFF
    3. Enable per-app VPN. Habilitar o inhabilitar la red privada virtual Per-App (disponibles para cada aplicación, iOS 7 y versiones posteriores). Si está habilitada, habilite o inhabilite On-demand match enabled.
    4. Safari domains. Haga clic en Add para agregar un dominio de Safari que permita a la aplicación crear una conexión VPN Per-App segura a través de Safari.
    5. Custom XML. Haga clic en Add para introducir los pares de nombre del parámetro en Parameter name y su valor en Value respectivamente para personalizar la configuración.
    6. Proxy configuration. En la lista, seleccione cómo se enruta la conexión VPN a través de un servidor proxy y configure las opciones adicionales.

      En la siguiente tabla se ofrece una lista de las opciones disponibles para Manual y Automatic; si no aparece nada, no requiere configuración adicional. Cada celda contiene el valor predeterminado de una opción, si existe ese valor predeterminado. Si no existe, la celda indica si la opción no se puede aplicar (–), si es necesaria o si es opcional.

      Manual Automatic
      Host name or IP address for the proxy server Requerido
      Port for the proxy server Requerido
      User name Opcional
      Contraseña Opcional
      Proxy server URL Requerido
    Configuraciones de directivas


    Parámetros de eliminación de directivas

    1. En Policy Settings, junto a Remove policy, haga clic en Select date o Duration until removal (in days).
    2. Si hace clic en Select date, haga clic en el calendario para seleccionar la fecha específica de la eliminación.
    3. En la lista Allow user to remove policy, haga clic en Always, Password required o Never.
    4. Si hace clic en Password required, junto a Removal password, escriba la contraseña en cuestión.

    Si ha seleccionado Android, configure los siguientes parámetros:


    Red privada virtual (VPN) para Android

    1. Connection name. Escriba un nombre para la conexión VPN de Cisco AnyConnect.
    2. Server name or IP address. Escriba el nombre o la dirección IP del servidor VPN.
    3. Backup VPN server. Escriba la información del servidor VPN de respaldo.
    4. User group. Escriba la información del grupo de usuarios.
    5. Identity credential. En la lista, seleccione una credencial de identidad.
    6. Automatic VPN policy. Habilite o inhabilite esta opción para establecer cómo reaccionará la red privada virtual ante redes con las que se haya establecido una relación de confianza o de no confianza. Si esta opción está habilitada, escriba la información siguiente:
      • Trusted network policy. En la lista, haga clic en la directiva pertinente.
      • Untrusted network policy. En la lista, haga clic en la directiva pertinente.

    Si ha seleccionado Samsung SAFE, configure los siguientes parámetros:


    Red privada virtual (VPN) para Samsung SAFE

    1. Connection name. Escriba un nombre para la conexión.
    2. Connection type. En la lista, haga clic en el protocolo que se va a usar para esta conexión:
      • L2TP with pre-shared key. Protocolo Layer 2 Tunneling Protocol con autenticación de clave previamente compartida. Esta es la opción predeterminada.
      • L2TP with certificate. Protocolo Layer 2 Tunneling Protocol con certificado.
      • PPTP. Túnel punto a punto.
      • Enterprise. La conexión VPN de su empresa.
      En la siguiente tabla se muestran las opciones de configuración para cada uno de los tipos de conexión mencionados. Cada celda contiene el valor predeterminado de una opción, si existe ese valor predeterminado. Si no existe, la celda indica si la opción no se puede aplicar (–), si es necesaria o si es opcional.
      L2TP with pre-shared key L2TP with certificate PPTP Enterprise
      Host name Requerido Requerido Requerido Requerido
      Enable backup server Off
      Backup VPN server Es necesario si Enable backup server = On
      User name Opcional Opcional Opcional Opcional
      Contraseña Opcional Opcional Opcional Opcional
      Group name Opcional
      IPsec group ID type Predeterminado
      IKE version IKEv1
      Authentication method Certificate (predeterminado) Pre-shared key Hybrid RSA EAP MD5 EAP MSCHAPv2
      Identity credential Requerido Ninguno. Ninguno.
      CA certificate Seleccione el certificado.
      Enable dead peer detection Off
      Enable default route Off
      Enable smartcard authentication Off
      Enable user authentification Off
      Enable mobile option Off
      Diffie-Hellman group value (nivel de clave) 0
      IKE Phase 1 key exchange mode Principal
      Perfect forwarded secrecy (PFS) value Off
      Split tunnel type Auto
      SuiteB Type GCM-128
      Pre-shared key Requerido Opcional
      Enable encryption Off
    3. Forward routes. Agregue rutas de reenvío opcionales si el servidor VPN de la empresa es compatible con varias tablas de enrutamiento.

    Si ha seleccionado Samsung KNOX, configure los siguientes parámetros:


    Red privada virtual (VPN) para Samsung KNOX

    1. Connection name. Escriba el nombre de la conexión.
    2. Host name. Escriba el nombre de host.
    3. Enable backup server. Seleccione si habilitar un servidor VPN de respaldo. Si selecciona esta opción, aparecerá un campo adicional. Introduzca los datos del servidor de respaldo.
    4. User name. Escriba un nombre de usuario opcional.
    5. Password. Escriba una contraseña opcional.
    6. Group name. Escriba un nombre de grupo opcional.
    7. IPsec group ID type. En la lista, haga clic en el tipo de ID de grupo IPsec.
    8. IKE version. En la lista, haga clic en la versión IKE.
    9. Authentication method. En la lista, haga clic en el método de autenticación.
      • Certificate. Autenticación basada en certificados.
      • Pre-shared key. Autenticación mediante una clave previamente compartida.
      • Hybrid RSA. Autenticación híbrida con certificados RSA.
      • EAP MD5. Protocolo de autenticación extensible con la función hash de MD5.
      • EAP MSCHAPv2. Protocolo de autenticación extensible con la versión 2 del Protocolo de autenticación por desafío mutuo de Microsoft.
      En la siguiente tabla se muestran las opciones de configuración para cada uno de los tipos de conexión mencionados. Cada celda contiene el valor predeterminado de una opción, si existe ese valor predeterminado. Si no existe, la celda indica si la opción no se puede aplicar (–), si es necesaria o si es opcional.
      Certificado Pre-shared key Hybrid RSA EAP MD5 EAP MSCHAPv2
      Pre-shared key Requerido
      Identity credential Ninguno. Ninguno.
      CA certificate Requerido Requerido Requerido Requerido Requerido
      Enable dead peer detection OFF OFF OFF OFF OFF
      Enable default route OFF OFF OFF OFF OFF
      Enable smartcard authentication OFF OFF OFF OFF OFF
      Enable user authentication OFF OFF OFF OFF OFF
      Enable mobile option OFF OFF OFF OFF OFF
      DIfffie-Hellman group value (nivel de clave) 0 0 0 0 0
      IKE Phase 1 key exchange mode Principal Principal Principal Principal Principal
      Perfect forward secrecy (PFS) value OFF OFF OFF OFF OFF
      Split tunnel type Auto Auto Auto Auto Auto
      SuiteB Type GCM-128 GCM-128 GCM-128 GCM-128 GCM-128
    10. Forward route. Agregue rutas de reenvío opcionales si el servidor VPN de la empresa es compatible con varias tablas de enrutamiento.

    Si ha seleccionado Windows 8.1 tablet, configure los siguientes parámetros:


    VPN para tabletas Windows 8.1

    1. Connection name. Escriba el nombre de la conexión.
    2. Connection type. En la lista, haga clic en el tipo de conexión.
      • SonicWALL. Cliente VPN unificado de Dell para Windows.
      • Check Point. Cliente SSL VPN de Check Point Software Technologies.
      • Juniper. Cliente SSL VPN de Juniper Networks.
      • Microsoft. Cliente VPN de Microsoft.
      • F5. Cliente SSL VPN de F5 Networks.
      En la siguiente tabla se muestran las opciones de configuración para cada uno de los tipos de conexión mencionados. Cada celda contiene el valor predeterminado de una opción, si existe ese valor predeterminado. Si no existe, la celda indica si la opción no se puede aplicar (–), si es necesaria o si es opcional.
      SonicWALL Check Point Juniper Microsoft F5
      Server address Opcional Opcional Opcional Opcional Opcional
      Remember credential OFF OFF OFF OFF OFF
      Split tunneling OFF OFF OFF OFF OFF
      Idle connection lifetime (segundos) Requerido Requerido Requerido Requerido Requerido
      DNS suffix Requerido Requerido Requerido Requerido Requerido
      Automatically start connections OFF OFF OFF OFF
      Servidor DNS Requerido Requerido Requerido Requerido
      Client app ID Requerido Requerido Requerido Requerido
      Checkpoint port Requerido
      Checkpoint name Requerido
      Checkpoint timeout Requerido
      Enable Single Sign-On OFF
      Enable network optimization OFF
      Enable compression OFF
      Require smart card certificate OFF
      Automatically select client certificate OFF
      Enable client logging OFF
      Enable packet capture OFF
      Use single sign-on credentials OFF
      Make connection available to all users OFF
      Tunneling protocol Requerido
      Authentication method Requerido
      VPN server name Requerido
      VPN friendly name Requerido
      Automatically detect settings OFF
      Bypass proxy server for local addresses OFF
      Automatically use Windows credentials OFF
      Client certificate issuer Requerido

    Si ha seleccionado Amazon, configure los siguientes parámetros:


    Directiva de redes privadas virtuales (VPN) para dispositivos Amazon

    1. Connection name. Escriba el nombre de la conexión.
    2. Connection type. Haga clic en el tipo de conexión.
      • L2TP PSK. Protocolo Layer 2 Tunneling Protocol (L2TP) con la autenticación de clave previamente compartida.
      • L2TP RSA. Protocolo Layer 2 Tunneling Protocol (L2TP) con la autenticación RSA.
      • IPSEC XAUTH PSK. Protocolo de seguridad de Internet con clave previamente compartida y autenticación ampliada.
      • IPSEC XAUTH RSA. Protocolo de seguridad de Internet con RSA y autenticación ampliada.
      • IPSEC HYBRID RSA. Protocolo de seguridad de Internet con autenticación RSA híbrida.
      • PPTP. Túnel punto a punto.
      En la siguiente tabla se muestran las opciones de configuración para cada uno de los tipos de conexión mencionados. Cada celda contiene el valor predeterminado de una opción, si existe ese valor predeterminado. Si no existe, la celda indica si la opción no se puede aplicar (–), si es necesaria o si es opcional.
      L2TP PSK L2TP RSA IPSEC XAUTH PSK IPSEC XAUTH RSA IPSEC HYBRID RSA PPTP
      Server address Requerido Requerido Requerido Requerido Requerido Requerido
      User name Opcional Opcional Opcional Opcional Opcional Opcional
      Contraseña Opcional Opcional Opcional Opcional Opcional Opcional
      L2TP Secret Opcional Opcional
      IPsec identifier Opcional Opcional
      IPsec pre-shared key Opcional Opcional
      DNS search domains Opcional Opcional Opcional Opcional Opcional Opcional
      DNS servers Opcional Opcional Opcional Opcional Opcional Opcional
      Forwarding routes Opcional Opcional Opcional Opcional Opcional Opcional
      Server certificate Selección Selección Selección
      CA certificate Selección Selección Selección
      Identity credential Requerido Requerido
      PPP encryption (MMPE) OFF
    3. Forwarding route. Agregue rutas de reenvío opcionales si el servidor VPN de la empresa es compatible con varias tablas de enrutamiento.
  6. Cuando termine de definir la configuración de una o varias plataformas y haga clic en Next, aparecerá la página de asignación VPN Policy.
  7. Junto a Choose delivery groups, escriba lo que necesite para buscar un grupo de entrega, o bien seleccione un grupo o varios grupos de la lista a la que quiera asignar la directiva. Los grupos que seleccione aparecerán en la lista Delivery groups to receive app assignment, situada a la derecha.


    Página de asignación de directivas

  8. Expanda Deployment Schedule y, a continuación, configure los siguientes parámetros:
    1. Junto a Deploy, haga clic en ON para programar la implementación o haga clic en OFF para cancelarla. La opción predeterminada es ON. Si elige OFF, no habrá ninguna otra opción a configurar.
    2. Junto a Deployment schedule, haga clic en Now o en Later. La opción predeterminada es Now.
    3. Si hace clic en Later, haga clic en el icono de calendario y seleccione la fecha y la hora previstas para la implementación.
    4. Junto a Deployment condition, puede hacer clic en On every connection o en Only when previous deployment has failed. La opción predeterminada es On every connection.
    5. Junto a Deploy for always-on connection, haga clic en ON o en OFF. La opción predeterminada es OFF.
      Nota: Esta opción se aplica cuando se ha configurado la clave de implementación en segundo plano para la programación. Esta opción se configura en Settings > Server Properties. La opción Deploy for always-on connection no está disponible para dispositivos iOS.
    Nota: La programación de implementaciones que configure es la misma para todas las plataformas. Todos los cambios que se realicen se aplicarán a todas las plataformas, excepto la opción Deploy for always on connection, que no se aplicará para iOS.


    Programación de implementaciones

  9. Haga clic en Save para guardar la directiva.