Política de dispositivos VPN

La política de dispositivos VPN configura los ajustes de red privada virtual (VPN) que permiten a los dispositivos de los usuarios conectarse de forma segura a los recursos corporativos. Puedes configurar la política de dispositivos VPN para las siguientes plataformas. Cada plataforma requiere un conjunto diferente de valores, que se describen en detalle en este artículo.

Para agregar o configurar esta política, ve a Configurar > Políticas de dispositivos. Para obtener más información, consulta Políticas de dispositivos.

Nota:

• Citrix SSO para Android e iOS ahora se llaman Citrix Secure Access. Estamos actualizando nuestra documentación para reflejar este cambio de nombre.

• Requisitos para VPN por aplicación

Puedes configurar la función de VPN por aplicación para las siguientes plataformas a través de políticas VPN:

• iOS
• macOS
• Android (DA heredado)

Para Android Enterprise, usa la política de dispositivos de configuraciones administradas para configurar perfiles VPN.

-  Las opciones de VPN por aplicación están disponibles para ciertos tipos de conexión. La siguiente tabla indica cuándo están disponibles las opciones de VPN por aplicación.

-  | \*\*Plataforma\*\* | \*\*Tipo de conexión\*\* | \*\*Observación\*\* | |------------|--|--| | iOS | Cisco Legacy AnyConnect, Juniper SSL, F5 SSL, SonicWALL Mobile Connect, Ariba VIA, Citrix SSO o SSL personalizado. |   |
-  | macOS | Cisco AnyConnect, Juniper SSL, F5 SSL, SonicWALL Mobile Connect, Ariba VIA o SSL personalizado. |   |
    -  | Android \(DA heredado) | Citrix SSO |   |

    -  Para crear una VPN por aplicación para dispositivos iOS y Android (DA heredado) usando la aplicación Citrix SSO, debes realizar pasos adicionales, además de la configuración de la política VPN. Además, debes verificar que se cumplan los siguientes requisitos previos:

    -  NetScaler Gateway local
-  Las siguientes aplicaciones están instaladas en el dispositivo:
-  Citrix SSO
-  Citrix Secure Hub

-  Un flujo de trabajo general para configurar una VPN por aplicación para dispositivos iOS y Android mediante la aplicación Citrix SSO es el siguiente:

1. Configura una política de dispositivo VPN como se describe en este artículo.

   • Para iOS, consulta Configurar el protocolo Citrix SSO para iOS. Después de configurar el protocolo Citrix SSO para iOS a través de una política de dispositivo VPN, también debes crear una política de atributos de aplicación para asociar una aplicación a la política de VPN por aplicación. Para obtener más información, consulta Configurar una VPN por aplicación.

     • Para el campo Tipo de autenticación para la conexión, si seleccionas Certificado, primero debes configurar la autenticación basada en certificados para Citrix Endpoint Management. Consulta Certificado de cliente o certificado más autenticación de dominio.

   • Para Android (DA heredado), consulta Configurar el protocolo Citrix SSO para Android.

     • Para el campo Tipo de autenticación para la conexión, si seleccionas Certificado o Contraseña y certificado, primero debes configurar la autenticación basada en certificados para Citrix Endpoint Management. Consulta Certificado de cliente o certificado más autenticación de dominio.
   • 1. Configura Citrix ADC para aceptar tráfico de la VPN por aplicación. Para obtener más detalles, consulta Configuración completa de VPN en NetScaler Gateway.

Configuración de iOS

-  El tipo de conexión VPN de Citrix en la política de dispositivo VPN para iOS no es compatible con iOS 12. Sigue estos pasos para eliminar tu política de dispositivo VPN existente y crear una política de dispositivo VPN con el tipo de conexión Citrix SSO:

-  1.  Elimina tu política de dispositivo VPN para iOS.
-  1.  Agrega una política de dispositivo VPN para iOS con la siguiente configuración:
-  **Tipo de conexión:** **Citrix SSO**
-  **Habilitar VPN por aplicación:** **Activado**
-  **Tipo de proveedor:** **Túnel de paquetes**
-  1.  Agrega una política de dispositivo de atributos de aplicación para iOS. Para **Identificador de VPN por aplicación**, elige **iOS_VPN**.

-  ![Pantalla de configuración de directivas de dispositivo](/en-us/citrix-endpoint-management/media/vpn-policy-ios.png)

• Nombre de conexión: Escribe un nombre para la conexión.
• Tipo de conexión: En la lista, selecciona el protocolo que se usará para esta conexión. El valor predeterminado es L2TP.
  • L2TP: Protocolo de tunelización de capa 2 con autenticación de clave precompartida.
  • PPTP: Tunelización punto a punto.
  • IPSec: Tu conexión VPN corporativa.

  • Cisco Legacy AnyConnect: Este tipo de conexión requiere que el cliente VPN Cisco Legacy AnyConnect esté instalado en el dispositivo del usuario. Cisco está eliminando progresivamente el cliente Cisco Legacy AnyConnect, que se basaba en un marco de VPN obsoleto.

  • Para usar el cliente Cisco AnyConnect actual, usa un Tipo de conexión de SSL personalizado. Para conocer los ajustes necesarios, consulta «Configurar el protocolo SSL personalizado» en esta sección.
  • Juniper SSL: Cliente VPN SSL de Juniper Networks.
  • F5 SSL: Cliente VPN SSL de F5 Networks.
  • SonicWALL Mobile Connect: Cliente VPN unificado de Dell para iOS.
  • Ariba VIA: Cliente de acceso a Internet virtual de Ariba Networks.
  • IKEv2 (solo iOS): Intercambio de claves de Internet versión 2 solo para iOS.
  • AlwaysOn IKEv2: Acceso siempre activo mediante IKEv2.
  • Configuración dual de AlwaysOn IKEv2: Acceso siempre activo mediante configuración dual de IKEv2.
  • Citrix SSO: Cliente Citrix SSO para iOS 12 y versiones posteriores.
  • SSL personalizado: Capa de sockets seguros personalizada. Este tipo de conexión es necesario para el cliente Cisco AnyConnect que tiene un ID de paquete de com.cisco.anyconnect. Especifica un Nombre de conexión de Cisco AnyConnect. También puedes implementar la directiva VPN y habilitar un filtro de Control de acceso a la red (NAC) para dispositivos iOS. El filtro bloquea una conexión VPN para los dispositivos que tienen aplicaciones no conformes instaladas. La configuración requiere ajustes específicos para la directiva VPN de iOS, como se describe en la siguiente sección de iOS. Para obtener más información sobre otros ajustes necesarios para habilitar el filtro NAC, consulta Control de acceso a la red.
• Las siguientes secciones enumeran las opciones de configuración para cada uno de los tipos de conexión anteriores.

Configurar el protocolo L2TP para iOS

-  **Nombre del servidor o dirección IP:** Escribe el nombre del servidor o la dirección IP del servidor VPN.
-  **Cuenta de usuario:** Escribe una cuenta de usuario opcional.
-  Selecciona **Autenticación de contraseña** o **Autenticación RSA SecurID**.

• Secreto compartido: Escribe la clave de secreto compartido de IPsec.
  • Enviar todo el tráfico: Selecciona si quieres enviar todo el tráfico a través de la VPN. El valor predeterminado es Desactivado.

Configurar el protocolo PPTP para iOS

-  **Nombre del servidor o dirección IP:** Escribe el nombre del servidor o la dirección IP del servidor VPN.

• Cuenta de usuario: Escribe una cuenta de usuario opcional.
• Selecciona Autenticación de contraseña o Autenticación RSA SecurID.
• Nivel de cifrado: En la lista, selecciona un nivel de cifrado. El valor predeterminado es Ninguno.
  • Ninguno: No usar cifrado.
  • Automático: Usar el nivel de cifrado más seguro compatible con el servidor.
  • Máximo (128 bits): Usar siempre cifrado de 128 bits.

• Enviar todo el tráfico: Selecciona si quieres enviar todo el tráfico a través de la VPN. El valor predeterminado es Desactivado.

• Configurar el protocolo IPsec para iOS

  • Nombre del servidor o dirección IP: Escribe el nombre del servidor o la dirección IP del servidor VPN.
  • Cuenta de usuario: Escribe una cuenta de usuario opcional.
    • Tipo de autenticación para la conexión: En la lista, selecciona Secreto compartido o Certificado para el tipo de autenticación de esta conexión. El valor predeterminado es Secreto compartido.
    • Si habilitas Secreto compartido, configura estos ajustes:
    • Nombre de grupo: Escribe un nombre de grupo opcional.
  • Secreto compartido: Escribe una clave de secreto compartido opcional.
  • Usar autenticación híbrida: Selecciona si quieres usar autenticación híbrida. Con la autenticación híbrida, el servidor se autentica primero ante el cliente y, a continuación, el cliente se autentica ante el servidor. El valor predeterminado es Desactivado.
  • Solicitar contraseña: Selecciona si quieres solicitar a los usuarios sus contraseñas cuando se conecten a la red. El valor predeterminado es Desactivado.
  • Si habilitas Certificado, configura estos ajustes:
  • Credencial de identidad: En la lista, selecciona la credencial de identidad que quieres usar. El valor predeterminado es Ninguno.
  • Solicitar PIN al conectar: Selecciona si quieres solicitar a los usuarios que introduzcan su PIN cuando se conecten a la red. El valor predeterminado es Desactivado.
    • Habilitar VPN a petición: Selecciona si quieres habilitar la activación de una conexión VPN cuando los usuarios se conecten a la red. El valor predeterminado es Desactivado. Para obtener información sobre cómo configurar los ajustes cuando Habilitar VPN a petición está Activado, consulta Configurar los ajustes de Habilitar VPN a petición para iOS.
    • Habilitar VPN por aplicación: Selecciona si quieres habilitar la VPN por aplicación. El valor predeterminado es Desactivado.
• Aplicación de coincidencia a petición habilitada: Selecciona si las conexiones VPN por aplicación se activan automáticamente cuando las aplicaciones vinculadas al servicio VPN por aplicación inician la comunicación de red. El valor predeterminado es Desactivado.
• Dominios de Safari: Haz clic en Agregar para agregar un nombre de dominio de Safari.

Configurar el protocolo Cisco Legacy AnyConnect para iOS

-  Para hacer la transición del cliente Cisco AnyConnect heredado al nuevo cliente Cisco AnyConnect, usa el protocolo SSL personalizado.

• Identificador de paquete del proveedor: Para el cliente AnyConnect heredado, el ID de paquete es com.cisco.anyconnect.gui.
• Nombre del servidor o dirección IP: Escribe el nombre del servidor o la dirección IP del servidor VPN.
• Cuenta de usuario: Escribe una cuenta de usuario opcional.
• Grupo: Escribe un nombre de grupo opcional.
  • Tipo de autenticación para la conexión: En la lista, selecciona Contraseña o Certificado para el tipo de autenticación de esta conexión. El valor predeterminado es Contraseña.
  • Si habilitas Contraseña, escribe una contraseña de autenticación opcional en el campo Contraseña de autenticación.
  • Si habilitas Certificado, configura estos ajustes:
    • Credencial de identidad: En la lista, selecciona la credencial de identidad que quieres usar. El valor predeterminado es Ninguno.
    • Solicitar PIN al conectar: Selecciona si quieres solicitar a los usuarios su PIN cuando se conecten a la red. El valor predeterminado es Desactivado.
    • Habilitar VPN bajo demanda: Selecciona si quieres habilitar la activación de una conexión VPN cuando los usuarios se conecten a la red. El valor predeterminado es Desactivado. Para obtener información sobre cómo configurar los ajustes cuando Habilitar VPN bajo demanda está Activado, consulta Configurar los ajustes de Habilitar VPN bajo demanda para iOS.
  • Incluir todas las redes: Selecciona si quieres permitir que todas las redes usen esta conexión. El valor predeterminado es Desactivado.
  • Excluir redes locales: Selecciona si quieres excluir las redes locales del uso de la conexión o permitir las redes. El valor predeterminado es Desactivado.
• Habilitar VPN por aplicación: Selecciona si quieres habilitar la VPN por aplicación. El valor predeterminado es Desactivado. Si habilitas esta opción, configura estos ajustes:
  • Coincidencia de aplicación bajo demanda habilitada: Selecciona si las conexiones VPN por aplicación se activan automáticamente cuando las aplicaciones vinculadas al servicio VPN por aplicación inician la comunicación de red. El valor predeterminado es Desactivado.
  • Tipo de proveedor: Selecciona si la VPN por aplicación se proporciona como un Proxy de aplicación o como un Túnel de paquetes. El valor predeterminado es Proxy de aplicación.
  • Dominios de Safari: Para cada dominio de Safari que pueda activar una conexión VPN por aplicación que quieras incluir, haz clic en Agregar y haz lo siguiente:
    • Dominio: Escribe el dominio que quieres agregar.
    • Haz clic en Guardar para guardar el dominio o haz clic en Cancelar para no guardar el dominio.

Configurar el protocolo SSL de Juniper para iOS

    -  **Identificador de paquete del proveedor:** Si tu perfil de VPN por aplicación tiene el identificador de paquete de una aplicación con varios proveedores de VPN del mismo tipo, especifica aquí el proveedor que quieres usar.
    -  **Nombre del servidor o dirección IP:** Escribe el nombre del servidor o la dirección IP del servidor VPN.
    -  **Cuenta de usuario:** Escribe una cuenta de usuario opcional.

• Dominio: Escribe un nombre de dominio opcional.
  • Rol: Escribe un nombre de rol opcional.
  • Tipo de autenticación para la conexión: En la lista, selecciona Contraseña o Certificado para el tipo de autenticación de esta conexión. El valor predeterminado es Contraseña.
  • Si habilitas Contraseña, escribe una contraseña de autenticación opcional en el campo Contraseña de autenticación.
    • Si habilitas Certificado, configura estos ajustes:
    • Credencial de identidad: En la lista, selecciona la credencial de identidad que quieres usar. El valor predeterminado es Ninguno.
  • Solicitar PIN al conectar: Selecciona si quieres solicitar a los usuarios su PIN cuando se conecten a la red. El valor predeterminado es Desactivado.
  • Habilitar VPN bajo demanda: Selecciona si quieres habilitar la activación de una conexión VPN cuando los usuarios se conecten a la red. El valor predeterminado es Desactivado. Para obtener información sobre cómo configurar los ajustes cuando Habilitar VPN bajo demanda está Activado, consulta Configurar los ajustes de Habilitar VPN bajo demanda para iOS.
  • Habilitar VPN por aplicación: Selecciona si quieres habilitar la VPN por aplicación. El valor predeterminado es Desactivado. Si habilitas esta opción, configura estos ajustes:
  • Coincidencia de aplicación bajo demanda habilitada: Selecciona si las conexiones VPN por aplicación se activan automáticamente cuando las aplicaciones vinculadas al servicio VPN por aplicación inician la comunicación de red. El valor predeterminado es Desactivado.
  • Tipo de proveedor: Selecciona si la VPN por aplicación se proporciona como un Proxy de aplicación o como un Túnel de paquetes. El valor predeterminado es Proxy de aplicación.
  • Dominios de Safari: Para cada dominio de Safari que pueda activar una conexión VPN por aplicación que quieras incluir, haz clic en Agregar y haz lo siguiente:
  • Dominio: Escribe el dominio que quieres agregar.
    • Haz clic en Guardar para guardar el dominio o haz clic en Cancelar para no guardar el dominio.

Configurar el protocolo SSL de F5 para iOS

    -  **Identificador de paquete del proveedor:** Si tu perfil de VPN por aplicación tiene el identificador de paquete de una aplicación con varios proveedores de VPN del mismo tipo, especifica aquí el proveedor que quieres usar.

• Nombre del servidor o dirección IP: Escribe el nombre del servidor o la dirección IP del servidor VPN.
  • Cuenta de usuario: Escribe una cuenta de usuario opcional.
  • Tipo de autenticación para la conexión: En la lista, selecciona Contraseña o Certificado para el tipo de autenticación de esta conexión. El valor predeterminado es Contraseña.
  • Si habilitas Contraseña, escribe una contraseña de autenticación opcional en el campo Contraseña de autenticación.
    • Si habilitas Certificado, configura estos ajustes:
    • Credencial de identidad: En la lista, selecciona la credencial de identidad que quieres usar. El valor predeterminado es Ninguno.
    • Solicitar PIN al conectar: Selecciona si quieres solicitar a los usuarios su PIN cuando se conecten a la red. El valor predeterminado es Desactivado.
    • Habilitar VPN bajo demanda: Selecciona si quieres habilitar la activación de una conexión VPN cuando los usuarios se conecten a la red. El valor predeterminado es Desactivado. Para obtener información sobre cómo configurar los ajustes cuando Habilitar VPN bajo demanda está Activado, consulta Configurar los ajustes de Habilitar VPN bajo demanda para iOS.
• Habilitar VPN por aplicación: Selecciona si quieres habilitar la VPN por aplicación. El valor predeterminado es Desactivado. Si habilitas esta opción, configura estos ajustes:
  • Coincidencia de aplicación bajo demanda habilitada: Selecciona si las conexiones VPN por aplicación se activan automáticamente cuando las aplicaciones vinculadas al servicio VPN por aplicación inician la comunicación de red.
  • Tipo de proveedor: Selecciona si la VPN por aplicación se proporciona como un Proxy de aplicación o como un Túnel de paquetes. El valor predeterminado es Proxy de aplicación.
  • Dominios de Safari: Para cada dominio de Safari que pueda activar una conexión VPN por aplicación que quieras incluir, haz clic en Agregar y haz lo siguiente:
    • Dominio: Escribe el dominio que quieres agregar.
    • Haz clic en Guardar para guardar el dominio o haz clic en Cancelar para no guardar el dominio.

Configurar el protocolo SonicWALL para iOS

• Identificador de paquete del proveedor: Si tu perfil de VPN por aplicación tiene el identificador de paquete de una aplicación con varios proveedores de VPN del mismo tipo, especifica aquí el proveedor que quieres usar.
  • Nombre del servidor o dirección IP: Escribe el nombre del servidor o la dirección IP del servidor VPN.
  • Cuenta de usuario: Escribe una cuenta de usuario opcional.
    • Grupo o dominio de inicio de sesión: Escribe un grupo o dominio de inicio de sesión opcional.
    • Tipo de autenticación para la conexión: En la lista, selecciona Contraseña o Certificado para el tipo de autenticación de esta conexión. El valor predeterminado es Contraseña.
  • Si habilitas Contraseña, escribe una contraseña de autenticación opcional en el campo Contraseña de autenticación.
  • Si habilitas Certificado, configura estos ajustes:
    • Credencial de identidad: En la lista, selecciona la credencial de identidad que quieres usar. El valor predeterminado es Ninguno.
    • Solicitar PIN al conectar: Selecciona si quieres solicitar a los usuarios su PIN cuando se conecten a la red. El valor predeterminado es Desactivado.
• Habilitar VPN bajo demanda: Selecciona si quieres habilitar la activación de una conexión VPN cuando los usuarios se conectan a la red. El valor predeterminado es Desactivado. Para obtener información sobre cómo configurar los ajustes cuando Habilitar VPN bajo demanda está en Activado, consulta Configurar los ajustes de Habilitar VPN bajo demanda para iOS.
  • Habilitar VPN por aplicación: Selecciona si quieres habilitar la VPN por aplicación. El valor predeterminado es Desactivado. Si configuras esta opción en Activado, configura estos ajustes:
  • Coincidencia de aplicación bajo demanda habilitada: Selecciona si las conexiones VPN por aplicación se activan automáticamente cuando las aplicaciones vinculadas al servicio VPN por aplicación inician la comunicación de red.
  • Tipo de proveedor: Selecciona si la VPN por aplicación se proporciona como un proxy de aplicación o como un túnel de paquetes. El valor predeterminado es proxy de aplicación.
  • Dominios de Safari: Para cada dominio de Safari que pueda activar una conexión VPN por aplicación que quieras incluir, haz clic en Agregar y haz lo siguiente:
    • Dominio: Escribe el dominio que quieres agregar.
    • Haz clic en Guardar para guardar el dominio o haz clic en Cancelar para no guardar el dominio.

Configurar el protocolo Ariba VIA para iOS

-  **Identificador de paquete del proveedor:** Si tu perfil de VPN por aplicación tiene el identificador de paquete de una aplicación con varios proveedores de VPN del mismo tipo, especifica aquí el proveedor que quieres usar.
-  **Nombre del servidor o dirección IP:** Escribe el nombre del servidor o la dirección IP del servidor VPN.

• Cuenta de usuario: Escribe una cuenta de usuario opcional.
• Tipo de autenticación para la conexión: En la lista, selecciona Contraseña o Certificado para el tipo de autenticación de esta conexión. El valor predeterminado es Contraseña.
  • Si habilitas Contraseña, escribe una contraseña de autenticación opcional en el campo Contraseña de autenticación.
  • Si habilitas Certificado, configura estos ajustes:
    • Credencial de identidad: En la lista, selecciona la credencial de identidad que quieres usar. El valor predeterminado es Ninguno.
    • Solicitar PIN al conectar: Selecciona si quieres solicitar a los usuarios su PIN cuando se conecten a la red. El valor predeterminado es Desactivado.
    • Habilitar VPN bajo demanda: Selecciona si quieres habilitar la activación de una conexión VPN cuando los usuarios se conectan a la red. El valor predeterminado es Desactivado. Para obtener información sobre cómo configurar los ajustes cuando Habilitar VPN bajo demanda está en Activado, consulta Configurar los ajustes de Habilitar VPN bajo demanda para iOS.
• Habilitar VPN por aplicación: Selecciona si quieres habilitar la VPN por aplicación. El valor predeterminado es Desactivado. Si habilitas esta opción, configura estos ajustes:
  • Coincidencia de aplicación bajo demanda habilitada: Selecciona si las conexiones VPN por aplicación se activan automáticamente cuando las aplicaciones vinculadas al servicio VPN por aplicación inician la comunicación de red.
  • Dominios de Safari: Para cada dominio de Safari que pueda activar una conexión VPN por aplicación que quieras incluir, haz clic en Agregar y haz lo siguiente:
    • Dominio: Escribe el dominio que quieres agregar.
    • Haz clic en Guardar para guardar el dominio o haz clic en Cancelar para no guardar el dominio.

• Configurar los protocolos IKEv2 para iOS

Esta sección incluye la configuración utilizada para los protocolos IKEv2, Always On IKEv2 y Always On IKEv2 Dual Configuration. Para el protocolo Always On IKEv2 Dual Configuration, configura todos estos ajustes tanto para redes móviles como para redes Wi-Fi.

-  **Permitir al usuario deshabilitar la conexión automática:** Para los protocolos Always On. Selecciona si quieres permitir que los usuarios deshabiliten la conexión automática a la red en sus dispositivos. El valor predeterminado es **Desactivado**.

-  **Nombre de host o dirección IP del servidor:** Escribe el nombre o la dirección IP del servidor VPN.

-  **Identificador local:** El FQDN o la dirección IP del cliente IKEv2. Este campo es obligatorio.

-  **Identificador remoto:** El FQDN o la dirección IP del servidor VPN. Este campo es obligatorio.

• Autenticación de dispositivo: Elige Secreto compartido, Certificado o Certificado de dispositivo basado en identificador de dispositivo para el tipo de autenticación de esta conexión. El valor predeterminado es Secreto compartido.

  • Si eliges Secreto compartido, escribe una clave de secreto compartido opcional.

  • Si eliges Certificado, elige una credencial de identidad para usar. El valor predeterminado es Ninguno.

  • Si eliges Certificado de dispositivo basado en identificador de dispositivo, elige el tipo de identidad de dispositivo para usar. El valor predeterminado es IMEI. Para usar esta opción, importa certificados de forma masiva mediante la API REST. Consulta Cargar certificados de forma masiva mediante la API REST. Solo disponible cuando seleccionas Always On IKEv2.

  • Autenticación extendida habilitada: Selecciona si quieres habilitar el Protocolo de autenticación extendida (EAP). Si está Activado, escribe la cuenta de usuario y la contraseña de autenticación.

  • Intervalo de detección de pares inactivos: Elige la frecuencia con la que se contacta a un dispositivo par para asegurarte de que el dispositivo par siga siendo accesible. El valor predeterminado es Ninguno. Las opciones son:

  • Ninguno: Desactivar la detección de pares inactivos.

  • Bajo: Contacta con el par cada 30 minutos.

  • Medio: Contacta con el par cada 10 minutos.

  • Alto: Contacta con el par cada 1 minuto.

• Desactivar movilidad y multihoming: Elige si quieres desactivar esta función.

• Usar atributos de subred interna IPv4/IPv6: Elige si quieres activar esta función.

• Desactivar redirecciones: Elige si quieres desactivar las redirecciones.

• Activar reserva: Si está activada, esta configuración permite que un túnel a través de datos móviles transporte el tráfico apto para Asistencia Wi-Fi y que requiere una VPN. El valor predeterminado es Desactivado.

  • Activar el mantenimiento de conexión NAT mientras el dispositivo está inactivo: Para los protocolos Always On. Los paquetes de mantenimiento de conexión mantienen las asignaciones NAT para las conexiones IKEv2. El chip envía estos paquetes a intervalos regulares cuando el dispositivo está activo. Si esta configuración está activada, el chip envía paquetes de mantenimiento de conexión incluso mientras el dispositivo está inactivo. El intervalo predeterminado es de 20 segundos a través de Wi-Fi y de 110 segundos a través de datos móviles. Puedes cambiar el intervalo usando el parámetro de intervalo de mantenimiento de conexión NAT.

  • Intervalo de mantenimiento de conexión NAT (segundos): El valor predeterminado es de 20 segundos.

    • Activar secreto directo perfecto: Elige si quieres activar esta función.

    • Direcciones IP del servidor DNS: Opcional. Una lista de cadenas de direcciones IP de servidor DNS. Estas direcciones IP pueden incluir una combinación de direcciones IPv4 e IPv6. Haz clic en Agregar para escribir una dirección.

    • Nombre de dominio: Opcional. El dominio principal del túnel.

• Dominios de búsqueda: Opcional. Una lista de cadenas de dominio utilizadas para calificar completamente los nombres de host de etiqueta única.

  • Anexar dominios de coincidencia suplementarios a la lista del resolvedor: Opcional. Determina si se debe agregar la lista de dominios de coincidencia suplementarios a la lista de dominios de búsqueda del resolvedor. El valor predeterminado es Activado.

  • Dominios de coincidencia suplementarios: Opcional. Una lista de cadenas de dominio utilizadas para determinar qué consultas DNS deben usar la configuración del resolvedor DNS que se encuentra en las direcciones del servidor DNS. Esta clave crea una configuración de DNS dividido donde solo los hosts en ciertos dominios se resuelven utilizando el resolvedor DNS del túnel. Los hosts que no están en uno de los dominios de esta lista se resuelven utilizando el resolvedor predeterminado del sistema.

  • Si este parámetro tiene una cadena vacía, esa cadena es el dominio predeterminado. Como resultado, una configuración de túnel dividido puede dirigir todas las consultas DNS a los servidores DNS de la VPN antes que a los servidores DNS principales. Si el túnel VPN es la ruta predeterminada de la red, los servidores DNS enumerados se convierten en el resolvedor predeterminado. En ese caso, la lista de dominios de coincidencia suplementarios se ignora.

  • Parámetros de SA de IKE y Parámetros de SA secundarios: Configura estos ajustes para cada opción de parámetros de Asociación de seguridad (SA):

    • Algoritmo de cifrado: En la lista, selecciona el algoritmo de cifrado IKE que quieres usar. El valor predeterminado es 3DES.

    • Algoritmo de integridad: En la lista, selecciona el algoritmo de integridad que quieres usar. El valor predeterminado es SHA-256.

  • Grupo Diffie Hellman: En la lista, selecciona el número de grupo Diffie Hellman. El valor predeterminado es 2.

  • Tiempo de vida de IKE en minutos: Escribe un número entero entre 10 y 1440 que represente el tiempo de vida de la SA (intervalo de nueva clave). El valor predeterminado es 1440 minutos.

  • Excepciones de servicio: Para los protocolos Always On. Las excepciones de servicio son servicios del sistema que están exentos de Always On VPN. Configura estos ajustes de excepciones de servicio:

  • Buzón de voz: En la lista, selecciona cómo gestionar la excepción del buzón de voz. El valor predeterminado es Permitir tráfico a través del túnel.

  • AirPrint: En la lista, selecciona cómo gestionar la excepción de AirPrint. El valor predeterminado es Permitir tráfico a través del túnel.

  • Permitir tráfico desde la hoja web cautiva fuera del túnel VPN: Selecciona si quieres permitir que los usuarios se conecten a puntos de acceso públicos fuera del túnel VPN. El valor predeterminado es Desactivado.

  • Permitir tráfico de todas las aplicaciones de red cautiva fuera del túnel VPN: Selecciona si quieres permitir todas las aplicaciones de red de punto de acceso fuera del túnel VPN. El valor predeterminado es Desactivado.

  • Identificadores de paquete de aplicaciones de red cautiva: Para cada identificador de paquete de aplicación de red de punto de acceso al que los usuarios pueden acceder, haz clic en Agregar y escribe el Identificador de paquete de la aplicación de red de punto de acceso. Haz clic en Guardar para guardar el identificador de paquete de la aplicación.

  • VPN por aplicación: Configura estos ajustes para los tipos de conexión IKEv2.

  • Habilitar VPN por aplicación: Selecciona si quieres habilitar la VPN por aplicación. El valor predeterminado es Desactivado.

    • Aplicación de coincidencia bajo demanda habilitada: Selecciona si las conexiones VPN por aplicación se activan automáticamente cuando las aplicaciones vinculadas al servicio VPN por aplicación inician la comunicación de red. El valor predeterminado es Desactivado.

    • Dominios de Safari: Haz clic en Agregar para agregar un nombre de dominio de Safari.

    • Configuración del proxy: Elige cómo la conexión VPN se enruta a través de un servidor proxy. El valor predeterminado es Ninguno.

Configurar el protocolo Citrix SSO para iOS

    -  El cliente Citrix SSO está disponible en la Apple Store.

• Nombre del servidor o dirección IP: Introduce el nombre del servidor o la dirección IP del servidor VPN.
  • Cuenta de usuario: Introduce una cuenta de usuario opcional.
  • Tipo de autenticación para la conexión: En la lista, selecciona Contraseña o Certificado para el tipo de autenticación de esta conexión. El valor predeterminado es Contraseña.
  • Si habilitas Contraseña, introduce una contraseña de autenticación opcional en el campo Contraseña de autenticación.
    • Si habilitas Certificado, configura estos ajustes:
    • Credencial de identidad: En la lista, selecciona la credencial de identidad que quieres usar. El valor predeterminado es Ninguno.
    • Solicitar PIN al conectar: Selecciona si quieres solicitar a los usuarios su PIN cuando se conecten a la red. El valor predeterminado es Desactivado.
    • Habilitar VPN bajo demanda: Selecciona si quieres habilitar la activación de una conexión VPN cuando los usuarios se conecten a la red. El valor predeterminado es Desactivado. Para obtener información sobre cómo configurar los ajustes cuando Habilitar VPN bajo demanda está en Activado, consulta Configurar las opciones de habilitación de VPN bajo demanda para iOS.
  • Habilitar VPN por aplicación: Selecciona si quieres habilitar la VPN por aplicación. El valor predeterminado es Desactivado. Si estableces esta opción en Activado, configura los siguientes ajustes:
  • Coincidencia de aplicación bajo demanda habilitada: Selecciona si las conexiones VPN por aplicación se activan automáticamente cuando las aplicaciones vinculadas al servicio VPN por aplicación inician la comunicación de red.
  • Tipo de proveedor: Selecciona si la VPN por aplicación se proporciona como un Proxy de aplicación o como un Túnel de paquetes. El valor predeterminado es Proxy de aplicación.
  • Tipo de proveedor: Establécelo en Túnel de paquetes.
  • Dominios de Safari: Para cada dominio de Safari que pueda activar una conexión VPN por aplicación que quieras incluir, haz clic en Agregar y haz lo siguiente:
    • Dominio: Introduce el dominio que quieres agregar.
    • Haz clic en Guardar para guardar el dominio o haz clic en Cancelar para no guardar el dominio.
  • XML personalizado: Para cada parámetro XML personalizado que quieras agregar, haz clic en Agregar y especifica los pares clave/valor. Los parámetros disponibles son:
  • disableL3: Deshabilita la VPN a nivel de sistema. Permite solo VPN por aplicación. No se necesita ningún Valor.
  • user agent: Asocia a esta política de dispositivo cualquier política de NetScaler Gateway dirigida a clientes de complemento VPN. Para las solicitudes iniciadas por el complemento, el Valor de esta clave se agrega automáticamente al complemento VPN.

Configurar el protocolo SSL personalizado para iOS

Para pasar del cliente Cisco Legacy AnyConnect al cliente Cisco AnyConnect:

1. Configura la política de dispositivo VPN con el protocolo SSL personalizado. Implementa la política en los dispositivos iOS.
2. Carga el cliente Cisco AnyConnect desde https://apps.apple.com/us/app/cisco-secure-client/id1135064690, agrega la aplicación a Citrix Endpoint Management y, a continuación, implementa la aplicación en los dispositivos iOS.

3. Quita la política de dispositivo VPN antigua de los dispositivos iOS.

   • Ajustes:

     • Identificador SSL personalizado (formato DNS inverso): Establécelo como el identificador de paquete. Para el cliente Cisco AnyConnect, usa com.cisco.anyconnect.
     • Identificador de paquete del proveedor: Si la aplicación especificada en Identificador SSL personalizado tiene varios proveedores de VPN del mismo tipo (Proxy de aplicación o Túnel de paquetes), especifica este identificador de paquete. Para el cliente Cisco AnyConnect, usa com.cisco.anyconnect.
     • Nombre del servidor o dirección IP: Introduce el nombre del servidor o la dirección IP del servidor VPN.
     • Cuenta de usuario: Introduce una cuenta de usuario opcional.
     • Tipo de autenticación para la conexión: En la lista, selecciona Contraseña o Certificado para el tipo de autenticación de esta conexión. El valor predeterminado es Contraseña.
   • Si habilitas Contraseña, introduce una contraseña de autenticación opcional en el campo Contraseña de autenticación.
     • Si habilitas Certificado, configura estos ajustes:
     • Credencial de identidad: En la lista, selecciona la credencial de identidad que quieres usar. El valor predeterminado es Ninguno.
     • Solicitar PIN al conectar: Selecciona si quieres solicitar a los usuarios su PIN cuando se conecten a la red. El valor predeterminado es Desactivado.
     • Habilitar VPN bajo demanda: Selecciona si quieres habilitar la activación de una conexión VPN cuando los usuarios se conecten a la red. El valor predeterminado es Desactivado. Para obtener información sobre cómo configurar los ajustes cuando Habilitar VPN bajo demanda está en Activado, consulta Configurar las opciones de habilitación de VPN bajo demanda para iOS.
     • Incluir todas las redes: Selecciona si quieres permitir que todas las redes usen esta conexión. El valor predeterminado es Desactivado.
   • Excluir redes locales: Selecciona si quieres excluir las redes locales de usar la conexión o si quieres permitir las redes. El valor predeterminado es Desactivado.
     • Habilitar VPN por aplicación: Selecciona si quieres habilitar la VPN por aplicación. El valor predeterminado es Desactivado. Si estableces esta opción en Activado, configura los siguientes ajustes:
     • Coincidencia de aplicación bajo demanda habilitada: Selecciona si las conexiones VPN por aplicación se activan automáticamente cuando las aplicaciones vinculadas al servicio VPN por aplicación inician la comunicación de red.
     • Tipo de proveedor: Un tipo de proveedor indica si el proveedor es un servicio VPN o un servicio proxy. Para el servicio VPN, elige Túnel de paquetes. Para el servicio proxy, elige Proxy de aplicación. Para el cliente Cisco AnyConnect, elige Túnel de paquetes.
     • Dominios de Safari: Para cada dominio de Safari que pueda activar una conexión VPN por aplicación que quieras incluir, haz clic en Agregar y haz lo siguiente:
     • Dominio: Introduce el dominio que quieres agregar.
     • Haz clic en Guardar para guardar el dominio o haz clic en Cancelar para no guardar el dominio.
     • XML personalizado: Para cada parámetro XML personalizado que quieras agregar, haz clic en Agregar y haz lo siguiente:
   • Nombre del parámetro: Introduce el nombre del parámetro que quieres agregar.
   • Valor: Introduce el valor asociado al Nombre del parámetro.
     • Haz clic en Guardar para guardar el parámetro o haz clic en Cancelar para no guardar el parámetro.

Configurar la política de dispositivo VPN para admitir NAC

-  1.  El **Tipo de conexión** de **SSL personalizado** es necesario para configurar el filtro NAC.

1. Especifica un Nombre de conexión de VPN. - 1. Para Identificador SSL personalizado, introduce com.citrix.NetScalerGateway.ios.app - 1. Para Identificador de paquete del proveedor, introduce com.citrix.NetScalerGateway.ios.app.vpnplugin

   • Los valores de los pasos 3 y 4 provienen de la instalación de Citrix SSO necesaria para el filtrado NAC. No configuras una contraseña de autenticación. Para obtener más información sobre el uso de la función NAC, consulta Control de acceso a la red.

Configurar las opciones de habilitación de VPN bajo demanda para iOS

   -  **Dominio bajo demanda:** Para cada dominio y acción asociada a realizar cuando los usuarios se conecten, haz clic en **Agregar** y haz lo siguiente:
-  **Dominio:** Escribe el dominio que quieres agregar.
-  **Acción:** En la lista, selecciona una de las acciones posibles:
    -  **Establecer siempre:** El dominio siempre activa una conexión VPN.
-  **Nunca establecer:** El dominio nunca activa una conexión VPN.
-  **Establecer si es necesario:** El dominio activa un intento de conexión VPN si la resolución del nombre de dominio falla. La falla ocurre cuando el servidor DNS no puede resolver el dominio, redirige a un servidor diferente o agota el tiempo de espera.
    -  Haz clic en **Guardar** para guardar el dominio o en **Cancelar** para no guardarlo.
        -  **Reglas bajo demanda**
        -  **Acción:** En la lista, selecciona la acción que quieres realizar. El valor predeterminado es **EvaluateConnection**. Las acciones posibles son:
        -  **Permitir:** Permite que la VPN bajo demanda se conecte cuando se activa.
        -  **Conectar:** Inicia una conexión VPN incondicionalmente.
    -  **Desconectar:** Quita la conexión VPN y no la vuelvas a conectar bajo demanda mientras la regla coincida.
        -  **EvaluateConnection:** Evalúa la matriz ActionParameters para cada conexión.
    -  **Ignorar:** Deja cualquier conexión VPN existente activa, pero no la vuelvas a conectar bajo demanda mientras la regla coincida.
-  **Coincidencia de dominio DNS:** Para cada dominio con el que quieres que coincida la lista de dominios de búsqueda de un dispositivo, haz clic en **Agregar** y haz lo siguiente:
    -  **Dominio DNS:** Escribe el nombre de dominio. Puedes usar el prefijo comodín "\*" para que coincida con varios dominios. Por ejemplo, \*.example.com coincide con mydomain.example.com, yourdomain.example.com y herdomain.example.com.
    -  Haz clic en **Guardar** para guardar el dominio o en **Cancelar** para no guardarlo.
-  **Coincidencia de dirección de servidor DNS:** Para cada dirección IP con la que quieres que coincida cualquiera de los servidores DNS especificados de la red, haz clic en **Agregar** y haz lo siguiente:
    -  **Dirección del servidor DNS:** Escribe la dirección del servidor DNS que quieres agregar. Puedes usar el sufijo comodín "\*" para que coincida con los servidores DNS. Por ejemplo, 17.\* coincide con cualquier servidor DNS de la subred de clase A.
    -  Haz clic en **Guardar** para guardar la dirección del servidor DNS o en **Cancelar** para no guardarla.
-  **Coincidencia de tipo de interfaz:** En la lista, selecciona el tipo de hardware de interfaz de red principal en uso. El valor predeterminado es **Unspecified**. Los valores posibles son:
    -  **No especificado:** Coincide con cualquier hardware de interfaz de red. Esta opción es la predeterminada.
    -  **Ethernet:** Coincide solo con hardware de interfaz de red Ethernet.
    -  **Wi-Fi:** Coincide solo con hardware de interfaz de red Wi-Fi.
    -  **Móvil:** Coincide solo con hardware de interfaz de red móvil.
-  **Coincidencia de SSID:** Para cada SSID con el que quieres que coincida la red actual, haz clic en **Agregar** y haz lo siguiente.
    -  **SSID:** Escribe el SSID que quieres agregar. Si la red no es una red Wi-Fi, o si el SSID no aparece, la coincidencia falla. Deja esta lista vacía para que coincida con cualquier SSID.
    -  Haz clic en **Guardar** para guardar el SSID o en **Cancelar** para no guardarlo.
-  **Sonda de cadena de URL:** Escribe una URL para obtener. Si esta URL se obtiene correctamente sin redirección, esta regla coincide.
-  **ActionParameters : Dominios:** Para cada dominio que EvaluateConnection comprueba y que quieres agregar, haz clic en **Agregar** y haz lo siguiente:
    -  **Dominio:** Escribe el dominio que quieres agregar.
    -  Haz clic en **Guardar** para guardar el dominio o en **Cancelar** para no guardarlo.
-  **ActionParameters : Acción de dominio:** En la lista, selecciona el **comportamiento de la VPN** para los dominios **ActionParameters : Dominios** especificados. El valor predeterminado es **ConnectIfNeeded**. Las acciones posibles son:
    -  **ConnectIfNeeded:** El dominio activa un intento de conexión VPN si la resolución del nombre de dominio falla. La falla ocurre cuando el servidor DNS no puede resolver el dominio, redirige a un servidor diferente o agota el tiempo de espera.
    -  **NeverConnect:** El dominio nunca activa una conexión VPN.
-  **Parámetros de acción: Servidores DNS requeridos:** Para cada servidor DNS que quieres usar para resolver los dominios especificados, haz clic en **Agregar** y haz lo siguiente:
    -  **Servidor DNS:** Válido solo cuando **ActionParameters** : **DomainAction** = **ConnectIfNeeded**. Escribe la dirección IP del servidor DNS. Este servidor puede estar fuera de la configuración de red actual del dispositivo. Si el servidor DNS no es accesible, se establece una conexión VPN en respuesta. Asegúrate de que el servidor DNS sea un servidor DNS interno o un servidor DNS externo de confianza.
    -  Haz clic en **Guardar** para guardar el servidor DNS o en **Cancelar** para no guardarlo.
-  **ActionParameters : Sonda de cadena de URL requerida:** Opcionalmente, escribe una URL HTTP o HTTPS (preferida) para sondear, usando una solicitud GET. Si el nombre de host de la URL no se puede resolver, el servidor no es accesible o el servidor no responde, se establece una conexión VPN. Válido solo cuando **ActionParameters** : **DomainAction** = **ConnectIfNeeded**.
-  **OnDemandRules : Contenido XML:** Escribe, o copia y pega, las reglas XML de configuración bajo demanda.
    -  Haz clic en **Comprobar diccionario** para validar el código XML. **XML válido** aparece debajo del cuadro de texto **Contenido XML** si el XML es válido. Si no es válido, un mensaje de error describe el error.

• Proxy
  • Configuración del proxy: En la lista, selecciona cómo la conexión VPN se enruta a través de un servidor proxy. El valor predeterminado es Ninguno.
    • Si habilitas Manual, configura estos ajustes:
      • Nombre de host o dirección IP del servidor proxy: Escribe el nombre de host o la dirección IP del servidor proxy. Este campo es obligatorio.
      • Puerto del servidor proxy: Escribe el número de puerto del servidor proxy. Este campo es obligatorio.
      • Nombre de usuario: Escribe un nombre de usuario opcional para el servidor proxy.
      • Contraseña: Escribe una contraseña opcional para el servidor proxy.
    • Si configuras Automático, configura este ajuste:
      • URL del servidor proxy: Escribe la URL del servidor proxy. Este campo es obligatorio.
  • Ajustes de política
    • Quitar política: Elige un método para programar la eliminación de la política. Las opciones disponibles son Seleccionar fecha y Duración hasta la eliminación (en horas).
    • Seleccionar fecha: Haz clic en el calendario para seleccionar la fecha específica de eliminación.
    • Duración hasta la eliminación (en horas): Escribe un número, en horas, hasta que se produzca la eliminación de la política. Solo disponible para iOS 6.0 y versiones posteriores.

Configurar una VPN por aplicación

    -  Las opciones de VPN por aplicación para iOS están disponibles para estos tipos de conexión: Cisco Legacy AnyConnect, Juniper SSL, F5 SSL, SonicWALL Mobile Connect, Ariba VIA, Citrix VPN, Citrix SSO y Custom SSL.

• Para configurar una VPN por aplicación:

  • 1. En Configurar > Políticas de dispositivos, crea una política VPN. Por ejemplo:
    • 

  • 

    • 1. En Configurar > Políticas de dispositivos, crea una política de Atributos de aplicación para asociar una aplicación a la política de VPN por aplicación. Para Identificador de VPN por aplicación, elige el nombre de la política VPN creada en el Paso 1. Para ID de paquete de aplicación administrada, elige de la lista de aplicaciones o escribe el ID de paquete de aplicación. (Si implementas una política de Inventario de aplicaciones de iOS, la lista de aplicaciones tendrá aplicaciones).
    • 

Ajustes de macOS

-  ![Pantalla de configuración de directivas de dispositivo](/en-us/citrix-endpoint-management/media/configure-device-policies-vpn-macos-example.png)

    -  **Nombre de conexión:** Escribe un nombre para la conexión.
    -  **Tipo de conexión:** En la lista, selecciona el protocolo que se usará para esta conexión. El valor predeterminado es L2TP.
        -  **L2TP:** Protocolo de tunelización de capa 2 con autenticación de clave precompartida.
        -  **PPTP:** Tunelización punto a punto.
-  **IPSec:** Tu conexión VPN corporativa.
-  **Cisco AnyConnect:** Cliente VPN Cisco AnyConnect.
-  **Juniper SSL:** Cliente VPN SSL de Juniper Networks.
-  **F5 SSL:** Cliente VPN SSL de F5 Networks.
-  **SonicWALL Mobile Connect:** Cliente VPN unificado de Dell para iOS.
-  **Ariba VIA:** Cliente de acceso a Internet virtual de Ariba Networks.
-  **Citrix VPN:** Cliente VPN de Citrix.
    -  **SSL personalizado:** Capa de sockets seguros personalizada.

    -  Las siguientes secciones enumeran las opciones de configuración para cada uno de los tipos de conexión anteriores.

Configurar el protocolo L2TP para macOS

• Nombre o dirección IP del servidor: Escribe el nombre o la dirección IP del servidor VPN.
  • Cuenta de usuario: Escribe una cuenta de usuario opcional.
  • Selecciona Autenticación con contraseña, Autenticación RSA SecurID, Autenticación Kerberos o Autenticación CryptoCard. El valor predeterminado es Autenticación con contraseña.
    • Secreto compartido: Escribe la clave de secreto compartido de IPsec.
    • Enviar todo el tráfico: Selecciona si quieres enviar todo el tráfico a través de la VPN. El valor predeterminado es Desactivado.

• Configurar el protocolo PPTP para macOS

• Nombre o dirección IP del servidor: Escribe el nombre o la dirección IP del servidor VPN.
• Cuenta de usuario: Escribe una cuenta de usuario opcional.
  • Selecciona Autenticación con contraseña, Autenticación RSA SecurID, Autenticación Kerberos o Autenticación CryptoCard. El valor predeterminado es Autenticación con contraseña.
  • Nivel de cifrado: Selecciona el nivel de cifrado deseado. El valor predeterminado es Ninguno.
    • Ninguno: No usar cifrado.
    • Automático: Usar el nivel de cifrado más seguro compatible con el servidor.
    • Máximo (128 bits): Usar siempre cifrado de 128 bits.

• Enviar todo el tráfico: Selecciona si quieres enviar todo el tráfico a través de la VPN. El valor predeterminado es Desactivado.

   -  ### Configurar el protocolo IPsec para macOS
  

  • Nombre o dirección IP del servidor: Escribe el nombre o la dirección IP del servidor VPN.
    • Cuenta de usuario: Escribe una cuenta de usuario opcional.
    • Tipo de autenticación para la conexión: En la lista, selecciona Secreto compartido o Certificado para el tipo de autenticación de esta conexión. El valor predeterminado es Secreto compartido.
  • Si habilitas la autenticación de Secreto compartido, configura estos ajustes:
    • Nombre de grupo: Escribe un nombre de grupo opcional.
    • Secreto compartido: Escribe una clave de secreto compartido opcional.
    • Usar autenticación híbrida: Selecciona si quieres usar la autenticación híbrida. Con la autenticación híbrida, el servidor se autentica primero con el cliente y, a continuación, el cliente se autentica con el servidor. El valor predeterminado es Desactivado.
    • Solicitar contraseña: Selecciona si quieres solicitar a los usuarios sus contraseñas cuando se conecten a la red. El valor predeterminado es Desactivado.
  • Si habilitas la autenticación de Certificado, configura estos ajustes:
    • Credencial de identidad: En la lista, selecciona la credencial de identidad que quieres usar. El valor predeterminado es Ninguno.
    • Solicitar PIN al conectar: Selecciona si quieres exigir a los usuarios que introduzcan su PIN al conectarse a la red. El valor predeterminado es Desactivado.
    • Habilitar VPN a petición: Selecciona si quieres habilitar la activación de una conexión VPN cuando los usuarios se conecten a la red. El valor predeterminado es Desactivado. Para obtener información sobre cómo configurar los ajustes cuando Habilitar VPN a petición está Activado, consulta Configurar las opciones de Habilitar VPN a petición.

Configurar el protocolo Cisco AnyConnect para macOS

-  **Nombre o dirección IP del servidor:** Escribe el nombre o la dirección IP del servidor VPN.
-  **Cuenta de usuario:** Escribe una cuenta de usuario opcional.
    -  **Grupo:** Escribe un nombre de grupo opcional.
    -  **Tipo de autenticación para la conexión:** En la lista, selecciona **Contraseña** o **Certificado** para el tipo de autenticación de esta conexión. El valor predeterminado es **Contraseña**.
-  Si habilitas **Contraseña**, escribe una contraseña de autenticación opcional en el campo **Contraseña de autenticación**.
-  Si habilitas **Certificado**, configura estos ajustes:
    -  **Credencial de identidad:** En la lista, selecciona la credencial de identidad que quieres usar. El valor predeterminado es **Ninguno**.
    -  **Solicitar PIN al conectar:** Selecciona si quieres solicitar a los usuarios su PIN cuando se conecten a la red. El valor predeterminado es **Desactivado**.
    -  **Habilitar VPN a petición:** Selecciona si quieres habilitar la activación de una conexión VPN cuando los usuarios se conecten a la red. El valor predeterminado es **Desactivado**. Para obtener información sobre cómo configurar los ajustes cuando **Habilitar VPN a petición** está **Activado**, consulta [Configurar las opciones de Habilitar VPN a petición](#configure-enable-vpn-on-demand-options).
    -  **Habilitar VPN por aplicación:** Selecciona si quieres habilitar la VPN por aplicación. El valor predeterminado es **Desactivado**. Si habilitas esta opción, configura estos ajustes:
    -  **Aplicación de coincidencia a petición habilitada:** Selecciona si una conexión VPN por aplicación se activa automáticamente cuando las aplicaciones vinculadas al servicio VPN por aplicación inician la comunicación de red. El valor predeterminado es **Desactivado**.
    -  **Dominios de Safari:** Para cada dominio de Safari que pueda activar una conexión VPN por aplicación que quieras incluir, haz clic en **Agregar** y haz lo siguiente:
        -  **Dominio:** Escribe el dominio que se va a agregar.
        -  Haz clic en **Guardar** para guardar el dominio o haz clic en **Cancelar** para no guardar el dominio.

Configurar el protocolo SSL de Juniper para macOS

    -  **Nombre del servidor o dirección IP:** Escribe el nombre del servidor o la dirección IP del servidor VPN.
    -  **Cuenta de usuario:** Escribe una cuenta de usuario opcional.

• Dominio: Escribe un nombre de dominio opcional.
• Rol: Escribe un nombre de rol opcional.
• Tipo de autenticación para la conexión: En la lista, selecciona Contraseña o Certificado para el tipo de autenticación de esta conexión. El valor predeterminado es Contraseña.
  • Si habilitas Contraseña, escribe una contraseña de autenticación opcional en el campo Contraseña de autenticación.
  • Si habilitas Certificado, configura estos ajustes:
    • Credencial de identidad: En la lista, selecciona la credencial de identidad que quieres usar. El valor predeterminado es Ninguno.
    • Solicitar PIN al conectar: Selecciona si quieres solicitar a los usuarios su PIN cuando se conecten a la red. El valor predeterminado es Desactivado.
    • Habilitar VPN bajo demanda: Selecciona si quieres habilitar la activación de una conexión VPN cuando los usuarios se conecten a la red. El valor predeterminado es Desactivado. Para obtener información sobre cómo configurar los ajustes cuando Habilitar VPN bajo demanda está Activado, consulta Configurar los ajustes de Habilitar VPN bajo demanda.
    • Habilitar VPN por aplicación: Selecciona si quieres habilitar la VPN por aplicación. El valor predeterminado es Desactivado. Si habilitas esta opción, configura los siguientes ajustes:
  • Aplicación de coincidencia bajo demanda habilitada: Selecciona si una conexión VPN por aplicación se activa automáticamente cuando las aplicaciones vinculadas al servicio VPN por aplicación inicien la comunicación de red. El valor predeterminado es Desactivado.
    • Dominios de Safari: Para cada dominio de Safari que pueda activar una conexión VPN por aplicación que quieras incluir, haz clic en Agregar y haz lo siguiente:
    • Dominio: Escribe el dominio que quieres agregar.
      • Haz clic en Guardar para guardar el dominio o haz clic en Cancelar para no guardar el dominio.

Configurar el protocolo SSL de F5 para macOS

• Nombre del servidor o dirección IP: Escribe el nombre del servidor o la dirección IP del servidor VPN.
  • Cuenta de usuario: Escribe una cuenta de usuario opcional.
  • Tipo de autenticación para la conexión: En la lista, selecciona Contraseña o Certificado para el tipo de autenticación de esta conexión. El valor predeterminado es Contraseña.
  • Si habilitas Contraseña, escribe una contraseña de autenticación opcional en el campo Contraseña de autenticación.
  • Si habilitas Certificado, configura estos ajustes:
    • Credencial de identidad: En la lista, selecciona la credencial de identidad que quieres usar. El valor predeterminado es Ninguno.
    • Solicitar PIN al conectar: Selecciona si quieres solicitar a los usuarios su PIN cuando se conecten a la red. El valor predeterminado es Desactivado.
    • Habilitar VPN bajo demanda: Selecciona si quieres habilitar la activación de una conexión VPN cuando los usuarios se conecten a la red. El valor predeterminado es Desactivado. Para obtener información sobre cómo configurar los ajustes cuando Habilitar VPN bajo demanda está Activado, consulta Configurar los ajustes de Habilitar VPN bajo demanda.
    • Habilitar VPN por aplicación: Selecciona si quieres habilitar la VPN por aplicación. El valor predeterminado es Desactivado. Si habilitas esta opción, configura estos ajustes:
    • Aplicación de coincidencia bajo demanda habilitada: Selecciona si una conexión VPN por aplicación se activa automáticamente cuando las aplicaciones vinculadas al servicio VPN por aplicación inicien la comunicación de red. El valor predeterminado es Desactivado.
  • Dominios de Safari: Para cada dominio de Safari que pueda activar una conexión VPN por aplicación que quieras incluir, haz clic en Agregar y haz lo siguiente:
    • Dominio: Escribe el dominio que quieres agregar.
    • Haz clic en Guardar para guardar el dominio o haz clic en Cancelar para no guardar el dominio.

Configurar el protocolo SonicWALL Mobile Connect para macOS

    -  **Nombre del servidor o dirección IP:** Escribe el nombre del servidor o la dirección IP del servidor VPN.
    -  **Cuenta de usuario:** Escribe una cuenta de usuario opcional.
    -  **Grupo de inicio de sesión o dominio:** Escribe un grupo de inicio de sesión o dominio opcional.
    -  **Tipo de autenticación para la conexión:** En la lista, selecciona **Contraseña** o **Certificado** para el tipo de autenticación de esta conexión. El valor predeterminado es **Contraseña**.
-  Si habilitas **Contraseña**, escribe una contraseña de autenticación opcional en el campo **Contraseña de autenticación**.
    -  Si habilitas **Certificado**, configura estos ajustes:
    -  **Credencial de identidad:** En la lista, selecciona la credencial de identidad que quieres usar. El valor predeterminado es **Ninguno**.
    -  **Solicitar PIN al conectar:** Selecciona si quieres solicitar a los usuarios su PIN cuando se conecten a la red. El valor predeterminado es **Desactivado**.
    -  **Habilitar VPN bajo demanda:** Selecciona si quieres habilitar la activación de una conexión VPN cuando los usuarios se conecten a la red. El valor predeterminado es **Desactivado**. Para obtener información sobre cómo configurar los ajustes cuando **Habilitar VPN bajo demanda** está **Activado**, consulta [Configurar los ajustes de Habilitar VPN bajo demanda](#configure-enable-vpn-on-demand-options).
    -  **Habilitar VPN por aplicación:** Selecciona si quieres habilitar la VPN por aplicación. El valor predeterminado es **Desactivado**. Si habilitas esta opción, configura estos ajustes:
-  **Aplicación de coincidencia bajo demanda habilitada:** Selecciona si una conexión VPN por aplicación se activa automáticamente cuando las aplicaciones vinculadas al servicio VPN por aplicación inicien la comunicación de red. El valor predeterminado es **Desactivado**.
    -  **Dominios de Safari:** Para cada dominio de Safari que pueda activar una conexión VPN por aplicación que quieras incluir, haz clic en **Agregar** y haz lo siguiente:
    -  **Dominio:** Escribe el dominio que quieres agregar.
    -  Haz clic en **Guardar** para guardar el dominio o haz clic en **Cancelar** para no guardar el dominio.

Configurar el protocolo Ariba VIA para macOS

    -  **Nombre del servidor o dirección IP:** Escribe el nombre del servidor o la dirección IP del servidor VPN.
-  **Cuenta de usuario:** Escribe una cuenta de usuario opcional.
    -  **Tipo de autenticación para la conexión:** En la lista, selecciona **Contraseña** o **Certificado** para el tipo de autenticación de esta conexión. El valor predeterminado es **Contraseña**.
    -  Si habilitas **Contraseña**, escribe una contraseña de autenticación opcional en el campo **Contraseña de autenticación**.
-  Si habilitas **Certificado**, configura estos ajustes:
    -  **Credencial de identidad:** En la lista, selecciona la credencial de identidad que quieres usar. El valor predeterminado es **Ninguno**.
    -  **Solicitar PIN al conectar:** Selecciona si quieres solicitar a los usuarios su PIN cuando se conecten a la red. El valor predeterminado es **Desactivado**.
    -  **Habilitar VPN bajo demanda:** Selecciona si quieres habilitar la activación de una conexión VPN cuando los usuarios se conecten a la red. El valor predeterminado es **Desactivado**. Para obtener información sobre cómo configurar los ajustes cuando **Habilitar VPN bajo demanda** está **Activado**, consulta [Configurar los ajustes de Habilitar VPN bajo demanda](#configure-enable-vpn-on-demand-options).
-  **Habilitar VPN por aplicación:** Selecciona si quieres habilitar la VPN por aplicación. El valor predeterminado es **Desactivado**. Si habilitas esta opción, configura estos ajustes:
    -  **Aplicación de coincidencia bajo demanda habilitada:** Selecciona si una conexión VPN por aplicación se activa automáticamente cuando las aplicaciones vinculadas al servicio VPN por aplicación inicien la comunicación de red. El valor predeterminado es **Desactivado**.
    -  **Dominios de Safari:** Para cada dominio de Safari que pueda activar una conexión VPN por aplicación que quieras incluir, haz clic en **Agregar** y haz lo siguiente:
    -  **Dominio:** Escribe el dominio que quieres agregar.
    -  Haz clic en **Guardar** para guardar el dominio o haz clic en **Cancelar** para no guardar el dominio.

    -  ### Configurar el protocolo SSL personalizado para macOS

-  **Identificador SSL personalizado (formato DNS inverso):** Escribe el identificador SSL en formato DNS inverso. Este campo es obligatorio.
-  **Nombre del servidor o dirección IP:** Escribe el nombre del servidor o la dirección IP del servidor VPN. Este campo es obligatorio.
    -  **Cuenta de usuario:** Escribe una cuenta de usuario opcional.
-  **Tipo de autenticación para la conexión:** En la lista, selecciona **Contraseña** o **Certificado** para el tipo de autenticación de esta conexión. El valor predeterminado es **Contraseña**.
-  Si habilitas **Contraseña**, escribe una contraseña de autenticación opcional en el campo **Contraseña de autenticación**.
    -  Si habilitas **Certificado**, configura estos ajustes:

        -  **Credencial de identidad:** En la lista, selecciona la credencial de identidad que usar. El valor predeterminado es **Ninguno**.
        -  **Solicitar PIN al conectar:** Selecciona si quieres solicitar a los usuarios su PIN cuando se conecten a la red. El valor predeterminado es **Desactivado**.
        -  **Habilitar VPN bajo demanda:** Selecciona si quieres habilitar la activación de una conexión VPN cuando los usuarios se conecten a la red. El valor predeterminado es **Desactivado**. Para obtener información sobre cómo configurar los ajustes cuando **Habilitar VPN bajo demanda** está **Activado**, consulta [Configurar los ajustes de Habilitar VPN bajo demanda](#configure-enable-vpn-on-demand-options).
        -  **VPN por aplicación:** Selecciona si quieres habilitar la VPN por aplicación. El valor predeterminado es **Desactivado**. Si habilitas esta opción, configura estos ajustes:
    -  **Coincidencia de aplicación bajo demanda habilitada:** Selecciona si las conexiones VPN por aplicación se activan automáticamente cuando las aplicaciones vinculadas al servicio VPN por aplicación inician la comunicación de red.
        -  **Dominios de Safari:** Para cada dominio de Safari que pueda activar una conexión VPN por aplicación que quieras incluir, haz clic en **Agregar** y haz lo siguiente:
        -  **Dominio:** Escribe el dominio que quieres agregar.
        -  Haz clic en **Guardar** para guardar el dominio o haz clic en **Cancelar** para no guardar el dominio.

    -  **XML personalizado:** Para cada parámetro XML personalizado que quieras agregar, haz clic en **Agregar** y haz lo siguiente:
    -  **Nombre del parámetro:** Escribe el nombre del parámetro que quieres agregar.
-  **Valor:** Escribe el valor asociado a **Nombre del parámetro**.
-  Haz clic en **Guardar** para guardar el dominio o haz clic en **Cancelar** para no guardar el dominio.

-  ### Configurar opciones de VPN bajo demanda

• Dominio bajo demanda: Para cada dominio y la acción asociada que se debe realizar cuando los usuarios se conecten a ellos que quieras agregar, haz clic en Agregar y haz lo siguiente:
  • Dominio: Escribe el dominio que se va a agregar.
  • Acción: En la lista, selecciona una de las acciones posibles:
    • Establecer siempre: El dominio siempre activa una conexión VPN.
    • Nunca establecer: El dominio nunca activa una conexión VPN.
    • Establecer si es necesario: El dominio activa un intento de conexión VPN si la resolución del nombre de dominio falla. El fallo ocurre cuando el servidor DNS no puede resolver el dominio, redirige a un servidor diferente o agota el tiempo de espera.
    • Haz clic en Guardar para guardar el dominio o haz clic en Cancelar para no guardar el dominio.
      • Reglas bajo demanda
      • Acción: En la lista, selecciona la acción que se va a realizar. El valor predeterminado es EvaluateConnection. Las acciones posibles son:
      • Permitir: Permite que la VPN bajo demanda se conecte cuando se active.
      • Conectar: Inicia una conexión VPN incondicionalmente.
    • Desconectar: Quita la conexión VPN y no la vuelve a conectar bajo demanda mientras la regla coincida.
      • EvaluateConnection: Evalúa la matriz ActionParameters para cada conexión.
      • Ignorar: Mantiene cualquier conexión VPN existente activa, pero no la vuelve a conectar bajo demanda mientras la regla coincida.
  • DNSDomainMatch: Para los dominios con los que puede coincidir la lista de dominios de búsqueda de un dispositivo, haz clic en Agregar y haz lo siguiente:
    • Dominio DNS: Escribe el nombre de dominio. Puedes usar el prefijo comodín “*” para que coincida con varios dominios. Por ejemplo, *.example.com coincide con mydomain.example.com, yourdomain.example.com y herdomain.example.com.
    • Haz clic en Guardar para guardar el dominio o haz clic en Cancelar para no guardar el dominio.
  • DNSServerAddressMatch: Para cada dirección IP con la que puede coincidir cualquiera de los servidores DNS especificados de la red que quieras agregar, haz clic en Agregar y haz lo siguiente:
    • Dirección del servidor DNS: Escribe la dirección del servidor DNS que quieras agregar. Puedes usar el sufijo comodín “*” para que coincida con los servidores DNS. Por ejemplo, 17.* coincide con cualquier servidor DNS en la subred de clase A.
    • Haz clic en Guardar para guardar la dirección del servidor DNS o haz clic en Cancelar para no guardar la dirección del servidor DNS.
  • InterfaceTypeMatch: En la lista, haz clic en el tipo de hardware de interfaz de red principal en uso. El valor predeterminado es Unspecified. Los valores posibles son:
    • Sin especificar: Coincide con cualquier hardware de interfaz de red. Esta opción es la predeterminada.
    • Ethernet: Coincide solo con hardware de interfaz de red Ethernet.
    • Wi-Fi: Coincide solo con hardware de interfaz de red Wi-Fi.
    • Móvil: Coincide solo con hardware de interfaz de red móvil.
  • SSIDMatch: Para cada SSID con el que quieras que coincida la red actual, haz clic en Agregar y haz lo siguiente.
    • SSID: Escribe el SSID que se va a agregar. Si la red no es una red Wi-Fi, o si el SSID no aparece, la coincidencia falla. Deja esta lista vacía para que coincida con cualquier SSID.
    • Haz clic en Guardar para guardar el SSID o haz clic en Cancelar para no guardar el SSID.
  • URLStringProbe: Escribe una URL para obtener. Si esta URL se obtiene correctamente sin redirección, esta regla coincide.
  • ActionParameters : Dominios: Para cada dominio que EvaluateConnection comprueba y que quieras agregar, haz clic en Agregar y haz lo siguiente:
    • Dominio: Escribe el dominio que se va a agregar.
    • Haz clic en Guardar para guardar el dominio o haz clic en Cancelar para no guardar el dominio.
  • ActionParameters : Acción de dominio: En la lista, selecciona el comportamiento de la VPN para los dominios ActionParameters : Dominios especificados. El valor predeterminado es ConnectIfNeeded. Las acciones posibles son:
    • Conectar si es necesario: El dominio activa un intento de conexión VPN si la resolución del nombre de dominio falla. El fallo ocurre cuando el servidor DNS no puede resolver el dominio, redirige a un servidor diferente o agota el tiempo de espera.
    • Nunca conectar: El dominio nunca activa una conexión VPN.
  • Parámetros de acción: Servidores DNS obligatorios: Para cada servidor DNS que se va a usar para resolver los dominios especificados, haz clic en Agregar y haz lo siguiente:
    • Servidor DNS: Válido solo cuando ActionParameters : Acción de dominio = ConnectIfNeeded. Escribe la dirección IP del servidor DNS que se va a agregar. Este servidor puede estar fuera de la configuración de red actual del dispositivo. Si no se puede acceder al servidor DNS, se establece una conexión VPN en respuesta. Este servidor DNS debe ser un servidor DNS interno o un servidor DNS externo de confianza.
    • Haz clic en Guardar para guardar el servidor DNS o haz clic en Cancelar para no guardar el servidor DNS.
  • ActionParameters : Sondeo de cadena de URL obligatorio: Opcionalmente, escribe una URL HTTP o HTTPS (preferida) para sondear, usando una solicitud GET. Si el nombre de host de la URL no se puede resolver, el servidor no es accesible o el servidor no responde, se establece una conexión VPN. Válido solo cuando ActionParameters : Acción de dominio = ConnectIfNeeded.
  • OnDemandRules : Contenido XML: Escribe o copia y pega las reglas XML de configuración bajo demanda.
    • Haz clic en Comprobar diccionario para validar el código XML. XML válido aparece debajo del cuadro de texto Contenido XML si el XML es válido. Si no es válido, un mensaje de error describe el error.
• Proxy
  • Configuración del proxy: En la lista, selecciona cómo se enruta la conexión VPN a través de un servidor proxy. El valor predeterminado es Ninguno.
    • Si habilitas Manual, configura estos ajustes:
      • Nombre de host o dirección IP del servidor proxy: Escribe el nombre de host o la dirección IP del servidor proxy. Este campo es obligatorio.
      • Puerto del servidor proxy: Escribe el número de puerto del servidor proxy. Este campo es obligatorio.
      • Nombre de usuario: Escribe un nombre de usuario opcional para el servidor proxy.
      • Contraseña: Escribe una contraseña opcional para el servidor proxy.
    • Si configuras Automático, configura este ajuste:
      • URL del servidor proxy: Escribe la URL del servidor proxy. Este campo es obligatorio.
    • Configuración de la directiva
    • Quitar directiva: Elige un método para programar la eliminación de la directiva. Las opciones disponibles son Seleccionar fecha y Duración hasta la eliminación (en horas)
    • Seleccionar fecha: Haz clic en el calendario para seleccionar la fecha específica de eliminación.
    • Duración hasta la eliminación (en horas): Escribe un número, en horas, hasta que se produzca la eliminación de la directiva.
    • Permitir al usuario quitar la directiva: Puedes seleccionar cuándo los usuarios pueden quitar la directiva de su dispositivo. Selecciona Siempre, Se requiere código de acceso o Nunca en el menú. Si seleccionas Se requiere código de acceso, escribe un código de acceso en el campo Código de acceso de eliminación.
  • Ámbito del perfil: Selecciona si esta directiva se aplica a un Usuario o a un Sistema completo. El valor predeterminado es Usuario. Esta opción solo está disponible en macOS 10.7 y versiones posteriores.

Configuración de Android (DA heredado)

-  ![Device Policies configuration screen](/en-us/citrix-endpoint-management/media/configure-device-policies-vpn-android-example.png)

Configurar el protocolo VPN Cisco AnyConnect para Android

-  **Nombre de la conexión:** Escribe un nombre para la conexión VPN de Cisco AnyConnect. Este campo es obligatorio.
-  **Nombre del servidor o dirección IP:** Escribe el nombre o la dirección IP del servidor VPN. Este campo es obligatorio.

• Credencial de identidad: En la lista, selecciona una credencial de identidad.
  • Servidor VPN de respaldo: Escribe la información del servidor VPN de respaldo.
  • Grupo de usuarios: Escribe la información del grupo de usuarios.
  • Redes de confianza
  • Directiva VPN automática: Habilita o deshabilita esta opción para establecer cómo reacciona la VPN a las redes de confianza y no de confianza. Si está habilitada, configura estos ajustes:
    • Directiva de red de confianza: En la lista, selecciona la directiva deseada. El valor predeterminado es Desconectar. Las opciones posibles son:
  • Desconectar: El cliente finaliza la conexión VPN en la red de confianza. Esta configuración es la predeterminada. - Conectar: El cliente inicia una conexión VPN en la red de confianza. - No hacer nada: El cliente no realiza ninguna acción. - Pausar: Cuando un usuario establece una sesión VPN fuera de la red de confianza y luego entra en una red configurada como de confianza, la sesión VPN se suspende. Cuando el usuario vuelve a salir de la red de confianza, la sesión se reanuda. Esta configuración elimina la necesidad de establecer una nueva sesión VPN después de salir de una red de confianza.
    • Directiva de red no de confianza: En la lista, selecciona la directiva deseada. La predeterminada es Conectar. Las opciones posibles son:
      • Conectar: El cliente inicia una conexión VPN en la red no de confianza.
      • No hacer nada: El cliente inicia una conexión VPN en la red no de confianza. Esta opción deshabilita la VPN siempre activa.
  • Dominios de confianza: Para cada sufijo de dominio que tenga la interfaz de red cuando el cliente esté en la red de confianza, haz clic en Agregar para hacer lo siguiente:
    • Dominio: Escribe el dominio que se va a agregar.
    • Haz clic en Guardar para guardar el dominio o haz clic en Cancelar para no guardar el dominio.
  • Servidores de confianza: Para cada dirección de servidor que tenga una interfaz de red cuando el cliente esté en la red de confianza, haz clic en Agregar y haz lo siguiente:
    • Servidores: Escribe el servidor que se va a agregar.
    • Haz clic en Guardar para guardar el servidor o haz clic en Cancelar para no guardar el servidor.

Configurar el protocolo Citrix SSO para Android

• Nombre de conexión: Escribe un nombre para la conexión VPN. Este campo es obligatorio.

• Nombre del servidor o dirección IP: Escribe el FQDN o la dirección IP de NetScaler Gateway.

• Tipo de autenticación para la conexión: Elige un tipo de autenticación y completa los campos que aparezcan para ese tipo:

  • Nombre de usuario y Contraseña: Escribe tus credenciales de VPN para los tipos de autenticación de Contraseña o Contraseña y certificado. Opcional. Si no proporcionas las credenciales de VPN, la aplicación Citrix VPN te pedirá un nombre de usuario y una contraseña.

  • Credencial de identidad: Aparece para los tipos de autenticación de Certificado o Contraseña y certificado. En la lista, selecciona una credencial de identidad.

• Habilitar VPN por aplicación: Selecciona si quieres habilitar la VPN por aplicación. Si no habilitas una VPN por aplicación, todo el tráfico pasará por el túnel VPN de Citrix. Si habilitas una VPN por aplicación, especifica la siguiente configuración. El valor predeterminado es Desactivado.

  • Lista de permitidos o Lista de bloqueados: Si es Lista de permitidos, todas las aplicaciones de la lista de permitidos se tunelizan a través de esta VPN. Si es Lista de bloqueados, todas las aplicaciones, excepto las de la lista de bloqueados, se tunelizan a través de esta VPN.
  • Lista de aplicaciones: Las aplicaciones de una lista de permitidos o de una lista de bloqueados. Haz clic en Agregar y, a continuación, escribe una lista de nombres de paquetes de aplicaciones separados por comas.

• XML personalizado: Haz clic en Agregar y, a continuación, escribe los parámetros personalizados. Citrix Endpoint Management admite estos parámetros para Citrix VPN:

  • DisableUserProfiles: Opcional. Para habilitar este parámetro, escribe Sí en Valor. Si está habilitado, Citrix Endpoint Management no muestra las conexiones VPN añadidas por el usuario y este no puede añadir una conexión. Esta configuración es una restricción global y se aplica a todos los perfiles VPN.
  • userAgent: Un valor de cadena. Puedes especificar una cadena de agente de usuario personalizada para enviar en cada solicitud HTTP. La cadena de agente de usuario especificada se añade al agente de usuario VPN de Citrix existente.
  • IsAlwaysOnVpn: Opcional. Esta propiedad determina si el perfil VPN es un perfil VPN Always On o no. Establece Sí para indicar que el perfil VPN es un perfil VPN Always On; el valor predeterminado es No. Solo un perfil VPN puede tener esta propiedad establecida en Sí para que Always On VPN funcione de forma fiable.

Configurar VPN para admitir NAC

1. Usa el tipo de conexión SSL personalizado para configurar el filtro NAC.
2. Especifica un nombre de conexión de VPN.
3. Para XML personalizado, haz clic en Agregar y haz lo siguiente:
   • Nombre del parámetro: Escribe XenMobileDeviceId. Este campo es el ID del dispositivo que se utilizará para la comprobación NAC basada en la inscripción del dispositivo en Citrix Endpoint Management. Si Citrix Endpoint Management inscribe y administra el dispositivo, se permite la conexión VPN. De lo contrario, la autenticación se deniega en el momento del establecimiento de la VPN.
   • Valor: Escribe DeviceID_${device.id}, que es el valor del parámetro XenMobileDeviceId.
   • Haz clic en Guardar para guardar el parámetro.

Configurar VPN para Android Enterprise

Para configurar VPN para dispositivos Android Enterprise, crea una directiva de dispositivo de configuración administrada de Android Enterprise para la aplicación Citrix SSO. Consulta Configurar perfiles VPN para Android Enterprise.

Ajustes de Android Enterprise

• Habilitar VPN siempre activa: Selecciona si la VPN está siempre activa. El valor predeterminado es Desactivado. Cuando está habilitada, la conexión VPN permanece activa hasta que el usuario la desconecta manualmente.
• Paquete VPN: Escribe el nombre del paquete de la aplicación VPN que usan los dispositivos.
• Habilitar bloqueo: Si está deshabilitado, ninguna aplicación puede acceder a la red si no existe una conexión VPN. Si está habilitado, las aplicaciones que configures en los siguientes ajustes pueden acceder a la red, incluso si no existe una conexión VPN. Disponible para dispositivos Android 10 y posteriores.
  • Aplicaciones excluidas del bloqueo: Haz clic en Agregar para escribir los nombres de los paquetes de las aplicaciones que quieres que omitan la configuración de bloqueo.

Ajustes de Windows Desktop/Tablet

-  **Nombre de conexión:** Introduce un nombre para la conexión. Este campo es obligatorio.

• Tipo de perfil: En la lista, selecciona Nativo o Complemento. El valor predeterminado es Nativo.
• Configurar tipo de perfil nativo: Estos ajustes se aplican a la VPN integrada en los dispositivos Windows de los usuarios.
  • Dirección del servidor: Escribe el FQDN o la dirección IP del servidor VPN. Este campo es obligatorio.
  • Recordar credencial: Selecciona si quieres almacenar en caché la credencial. El valor predeterminado es Desactivado. Cuando está habilitado, las credenciales se almacenan en caché siempre que sea posible.
  • Sufijo DNS: Escribe el sufijo DNS.
  • Tipo de túnel: En la lista, selecciona el tipo de túnel VPN que quieres usar. El valor predeterminado es L2TP. Las opciones posibles son:
    • L2TP: Protocolo de tunelización de capa 2 con autenticación de clave precompartida.
    • PPTP: Tunelización punto a punto.
    • IKEv2: Intercambio de claves de Internet versión 2.
  • Método de autenticación: En la lista, selecciona el método de autenticación que quieres usar. El valor predeterminado es EAP. Las opciones posibles son:
    • EAP: Protocolo de autenticación extensible.
    • MSChapV2: Usa el Protocolo de autenticación de desafío-respuesta de Microsoft para la autenticación mutua. Esta opción no está disponible cuando seleccionas IKEv2 como tipo de túnel.
  • Método EAP: En la lista, selecciona el método EAP que quieres usar. El valor predeterminado es TLS. Este campo no está disponible cuando la autenticación MSChapV2 está habilitada. Las opciones posibles son:
    • TLS: Seguridad de la capa de transporte
    • PEAP: Protocolo de autenticación extensible protegido
  • Redes de confianza: Escribe una lista de redes separadas por comas que no requieren una conexión VPN para el acceso. Por ejemplo, cuando los usuarios están en la red inalámbrica de tu empresa, pueden acceder directamente a los recursos protegidos.
  • Requerir certificado de tarjeta inteligente: Selecciona si quieres requerir un certificado de tarjeta inteligente. El valor predeterminado es Desactivado.
  • Seleccionar automáticamente certificado de cliente: Selecciona si quieres elegir automáticamente el certificado de cliente que se usará para la autenticación. El valor predeterminado es Desactivado. Esta opción no está disponible cuando habilitas Requerir certificado de tarjeta inteligente.
  • VPN siempre activa: Selecciona si la VPN está siempre activa. El valor predeterminado es Desactivado. Cuando está habilitada, la conexión VPN permanece activa hasta que el usuario la desconecta manualmente.
  • Omitir para local: Escribe la dirección y el número de puerto para permitir que los recursos locales omitan el servidor proxy.
  • Configurar tipo de perfil de complemento: Estos ajustes se aplican a los complementos VPN obtenidos de la Tienda Windows e instalados en los dispositivos de los usuarios.
  • Dirección del servidor: Escribe el FQDN o la dirección IP del servidor VPN. Este campo es obligatorio.
  • Recordar credencial: Selecciona si quieres almacenar en caché la credencial. El valor predeterminado es Desactivado. Cuando está habilitado, las credenciales se almacenan en caché siempre que sea posible.
  • Sufijo DNS: Escribe el sufijo DNS.
  • ID de aplicación cliente: Escribe el nombre de la familia del paquete para el complemento VPN.
  • XML de perfil de complemento: Selecciona el perfil de complemento VPN personalizado que quieres usar haciendo clic en Explorar y navegando a la ubicación del archivo. Contacta con el proveedor del complemento para obtener el formato y los detalles.
  • Redes de confianza: Escribe una lista de redes separadas por comas que no requieren una conexión VPN para el acceso. Por ejemplo, cuando los usuarios están en la red inalámbrica de tu empresa, pueden acceder directamente a los recursos protegidos.
  • VPN siempre activa: Selecciona si la VPN está siempre activa. El valor predeterminado es Desactivado. Cuando está habilitada, la conexión VPN permanece activa hasta que el usuario la desconecta manualmente.
  • Omitir para local: Escribe la dirección y el número de puerto para permitir que los recursos locales omitan el servidor proxy.

Ajustes de Amazon

-  **Nombre de conexión:** Introduce un nombre para la conexión.
-  **Tipo de VPN:** Selecciona el tipo de conexión. Las opciones posibles son:
-  **L2TP PSK:** Protocolo de tunelización de capa 2 con autenticación de clave precompartida. Este ajuste es el predeterminado.
-  **L2TP RSA:** Protocolo de tunelización de capa 2 con autenticación RSA.
-  **IPSEC XAUTH PSK:** Seguridad de protocolo de Internet con clave precompartida y autenticación extendida.
-  **IPSEC HYBRID RSA:** Seguridad de protocolo de Internet con autenticación RSA híbrida.
-  **PPTP:** Tunelización punto a punto.

Las siguientes secciones enumeran las opciones de configuración para cada uno de los tipos de conexión anteriores.

Configurar ajustes de L2TP PSK para Amazon

Configurar los ajustes de L2TP PSK para Amazon

• Dirección del servidor: Escribe la dirección IP del servidor VPN.
• Nombre de usuario: Escribe un nombre de usuario opcional.
  • Contraseña: Escribe una contraseña opcional.
  • Secreto L2TP: Escribe la clave secreta compartida.
• Identificador IPSec: Escribe el nombre de la conexión VPN que los usuarios ven en sus dispositivos al conectarse.
• Clave precompartida IPSec: Escribe la clave secreta.
• Dominios de búsqueda DNS: Escribe los dominios con los que puede coincidir la lista de dominios de búsqueda de un dispositivo de usuario.
• Servidores DNS: Escribe las direcciones IP de los servidores DNS que se usarán para resolver los dominios especificados.
• Rutas de reenvío: Si tu servidor VPN corporativo admite rutas de reenvío, para cada ruta de reenvío que quieras usar, haz clic en Agregar y haz lo siguiente:
  • Ruta de reenvío: Escribe la dirección IP de la ruta de reenvío.
  • Haz clic en Guardar para guardar la ruta o haz clic en Cancelar para no guardarla.

Configurar los ajustes de L2TP RSA para Amazon

• Dirección del servidor: Escribe la dirección IP del servidor VPN.
• Nombre de usuario: Escribe un nombre de usuario opcional.
• Contraseña: Escribe una contraseña opcional.
• Secreto L2TP: Escribe la clave secreta compartida.
• Dominios de búsqueda DNS: Escribe los dominios con los que puede coincidir la lista de dominios de búsqueda de un dispositivo de usuario.
• Servidores DNS: Escribe las direcciones IP de los servidores DNS que se usarán para resolver los dominios especificados.
• Certificado del servidor: En la lista, selecciona el certificado del servidor que quieras usar.
• Certificado de CA: En la lista, selecciona el certificado de CA que quieras usar.
• Credencial de identidad: En la lista, selecciona la credencial de identidad que quieras usar.
• Rutas de reenvío: Si tu servidor VPN corporativo admite rutas de reenvío, para cada ruta de reenvío que quieras usar, haz clic en Agregar y haz lo siguiente:
  • Ruta de reenvío: Escribe la dirección IP de la ruta de reenvío.
  • Haz clic en Guardar para guardar la ruta o haz clic en Cancelar para no guardarla.

Configurar los ajustes de IPSEC XAUTH PSK para Amazon

• Dirección del servidor: Escribe la dirección IP del servidor VPN.
• Nombre de usuario: Escribe un nombre de usuario opcional.
• Contraseña: Escribe una contraseña opcional.
• Identificador IPSec: Escribe el nombre de la conexión VPN que los usuarios ven en sus dispositivos al conectarse.
• Clave precompartida IPSec: Escribe la clave secreta compartida.
• Dominios de búsqueda DNS: Escribe los dominios con los que puede coincidir la lista de dominios de búsqueda de un dispositivo de usuario.
• Servidores DNS: Escribe las direcciones IP de los servidores DNS que se usarán para resolver los dominios especificados.
• Rutas de reenvío: Si tu servidor VPN corporativo admite rutas de reenvío, para cada ruta de reenvío que quieras usar, haz clic en Agregar y haz lo siguiente:
  • Ruta de reenvío: Escribe la dirección IP de la ruta de reenvío.
  • Haz clic en Guardar para guardar la ruta o haz clic en Cancelar para no guardarla.

Configurar los ajustes de IPSEC AUTH RSA para Amazon

• Dirección del servidor: Escribe la dirección IP del servidor VPN.
• Nombre de usuario: Escribe un nombre de usuario opcional.
• Contraseña: Escribe una contraseña opcional.
• Dominios de búsqueda DNS: Escribe los dominios con los que puede coincidir la lista de dominios de búsqueda de un dispositivo de usuario.
• Servidores DNS: Escribe las direcciones IP de los servidores DNS que se usarán para resolver los dominios especificados.
• Certificado del servidor: En la lista, selecciona el certificado del servidor que quieras usar.
• Certificado de CA: En la lista, selecciona el certificado de CA que quieras usar.
• Credencial de identidad: En la lista, selecciona la credencial de identidad que quieras usar.
• Rutas de reenvío: Si tu servidor VPN corporativo admite rutas de reenvío, para cada ruta de reenvío que quieras usar, haz clic en Agregar y haz lo siguiente:
  • Ruta de reenvío: Escribe la dirección IP de la ruta de reenvío.
  • Haz clic en Guardar para guardar la ruta o haz clic en Cancelar para no guardarla.

Configurar los ajustes de IPSEC HYBRID RSA para Amazon

• Dirección del servidor: Escribe la dirección IP del servidor VPN.
• Nombre de usuario: Escribe un nombre de usuario opcional.
• Contraseña: Escribe una contraseña opcional.
• Dominios de búsqueda DNS: Escribe los dominios con los que puede coincidir la lista de dominios de búsqueda de un dispositivo de usuario.
• Servidores DNS: Escribe las direcciones IP de los servidores DNS que se usarán para resolver los dominios especificados.
• Certificado del servidor: En la lista, selecciona el certificado del servidor que quieras usar.
• Certificado de CA: En la lista, selecciona el certificado de CA que quieras usar.
• Rutas de reenvío: Si tu servidor VPN corporativo admite rutas de reenvío, para cada ruta de reenvío que quieras usar, haz clic en Agregar y haz lo siguiente:
  • Ruta de reenvío: Escribe la dirección IP de la ruta de reenvío.
  • Haz clic en Guardar para guardar la ruta o haz clic en Cancelar para no guardarla.

Configurar los ajustes de PPTP para Amazon

• Dirección del servidor: Escribe la dirección IP del servidor VPN.
• Nombre de usuario: Escribe un nombre de usuario opcional.
• Contraseña: Escribe una contraseña opcional.
• Dominios de búsqueda DNS: Escribe los dominios con los que puede coincidir la lista de dominios de búsqueda de un dispositivo de usuario.
• Servidores DNS: Escribe las direcciones IP de los servidores DNS que se usarán para resolver los dominios especificados.
• Cifrado PPP (MPPE): Selecciona si quieres habilitar el cifrado de datos con Microsoft Point-to-Point Encryption (MPPE). El valor predeterminado es Desactivado.
• Rutas de reenvío: Si tu servidor VPN corporativo admite rutas de reenvío, para cada ruta de reenvío que quieras usar, haz clic en Agregar y haz lo siguiente:
  • Ruta de reenvío: Escribe la dirección IP de la ruta de reenvío.
  • Haz clic en Guardar para guardar la ruta o haz clic en Cancelar para no guardarla.