Compartir a través de


Cómo crear perfiles de VPN en Configuration Manager

 

Se aplica a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Nota

La información de este tema sólo se aplica a las versiones System Center 2012 R2 Configuration Manager.

Use los vínculos siguientes para obtener información sobre los pasos para crear perfiles de VPN en System Center 2012 Configuration Manager:

  • Paso 1: Iniciar el Asistente para crear perfil de VPN

  • Paso 2: Proporcionar información general sobre el perfil de VPN

  • Paso 3: Proporcionar información de conexión del perfil de VPN

  • Paso 4: Configurar el método de autenticación del perfil de VPN

  • Paso 5: Establecer la configuración de proxy del perfil de VPN

  • Paso 6: Configurar opciones de DNS adicionales (si es necesario)

  • Paso 7: Configurar plataformas admitidas del perfil de VPN

  • Paso 8: Completar el asistente

Paso 1: Iniciar el Asistente para crear perfil de VPN

  1. En la consola de Configuration Manager, haga clic en Activos y compatibilidad.

  2. En el área de trabajo Activos y compatibilidad de la consola de Configuration Manager, expanda Configuración de cumplimiento, expanda Acceso a los recursos de la empresa y, a continuación, haga clic en Perfiles de VPN.

  3. En la pestaña Inicio, en el grupo Crear, haga clic en Crear perfil de VPN.

Paso 2: Proporcionar información general sobre el perfil de VPN

  1. En la página General del Asistente para crear perfil de VPN, especifique la información siguiente:

    - **Nombre**: escriba un nombre único para el perfil de VPN (hasta 256 caracteres).
    
      <div class="alert">
    
      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/Hh427329.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(TechNet.10).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />Importante</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>No utilice los caracteres \/:*?&lt;&gt;|, o el carácter espacio en el nombre del perfil de VPN, ya que no son compatibles con el perfil de VPN de Windows Server.</p></td>
      </tr>
      </tbody>
      </table>
    
      </div>
    
    - **Descripción**: escriba una descripción para que le resulte más fácil encontrar el perfil en la consola de Configuration Manager (hasta 256 caracteres).
    
    - **Importar un perfil de VPN existente de un archivo**: seleccione esta opción para visualizar la página **Importar perfil de VPN**. En esta página puede importar información de perfil de VPN de los sistemas operativos que se ha exportado previamente a un archivo XML (solo sistemas operativos Windows 8.1 y Windows RT).
    

Paso 3: Proporcionar información de conexión del perfil de VPN

  1. En la página Conexión del asistente, especifique la información siguiente:

    - **tipo de conexión:** en la lista desplegable, seleccione el tipo de conexión de la conexión VPN. Puede elegir entre los tipos de conexión de la tabla siguiente, que muestra las plataformas compatibles.
    
      <div class="alert">
    
      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/Hh427329.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(TechNet.10).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />Importante</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>Para poder usar los perfiles de VPN implementados en un dispositivo, debe asegurarse de que están instaladas las aplicaciones VPN de terceros necesarias. Puede usar la información del tema <a href="gg682159(v=technet.10).md">Cómo crear aplicaciones en Configuration Manager</a> para que le sea más fácil implementar la aplicación con Configuration Manager.</p></td>
      </tr>
      </tbody>
      </table>
    
      </div>
    
      <table style="width:100%;">
      <colgroup>
      <col style="width: 14%" />
      <col style="width: 14%" />
      <col style="width: 14%" />
      <col style="width: 14%" />
      <col style="width: 14%" />
      <col style="width: 14%" />
      <col style="width: 14%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><p>Tipo de conexión</p></th>
      <th><p>iOS</p></th>
      <th><p>Android</p></th>
      <th><p>Windows 8.1</p></th>
      <th><p>Windows RT</p></th>
      <th><p>Windows RT 8.1</p></th>
      <th><p>Windows Phone 8,1</p></th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p><strong>Cisco AnyConnect</strong></p></td>
      <td><p>Sí</p></td>
      <td><p>Sí</p></td>
      <td><p>No</p></td>
      <td><p>No</p></td>
      <td><p>No</p></td>
      <td><p>No</p></td>
      </tr>
      <tr class="even">
      <td><p><strong>Pulse Secure</strong></p></td>
      <td><p>Sí</p></td>
      <td><p>Sí</p></td>
      <td><p>Sí</p></td>
      <td><p>No</p></td>
      <td><p>Sí</p></td>
      <td><p>Sí</p></td>
      </tr>
      <tr class="odd">
      <td><p><strong>F5 Edge Client</strong></p></td>
      <td><p>Sí</p></td>
      <td><p>Sí</p></td>
      <td><p>Sí</p></td>
      <td><p>No</p></td>
      <td><p>Sí</p></td>
      <td><p>Sí</p></td>
      </tr>
      <tr class="even">
      <td><p><strong>Dell SonicWALL Mobile Connect</strong></p></td>
      <td><p>Sí</p></td>
      <td><p>Sí</p></td>
      <td><p>Sí</p></td>
      <td><p>No</p></td>
      <td><p>Sí</p></td>
      <td><p>Sí</p></td>
      </tr>
      <tr class="odd">
      <td><p><strong>VPN móvil de punto de comprobación</strong></p></td>
      <td><p>Sí</p></td>
      <td><p>Sí</p></td>
      <td><p>Sí</p></td>
      <td><p>No</p></td>
      <td><p>Sí</p></td>
      <td><p>Sí</p></td>
      </tr>
      <tr class="even">
      <td><p><strong>Microsoft SSL (SSTP)</strong></p></td>
      <td><p>No</p></td>
      <td><p>No</p></td>
      <td><p>Sí</p></td>
      <td><p>Sí</p></td>
      <td><p>Sí</p></td>
      <td><p>No</p></td>
      </tr>
      <tr class="odd">
      <td><p><strong>Microsoft Automatic</strong></p></td>
      <td><p>No</p></td>
      <td><p>No</p></td>
      <td><p>Sí</p></td>
      <td><p>Sí</p></td>
      <td><p>Sí</p></td>
      <td><p>No</p></td>
      </tr>
      <tr class="even">
      <td><p><strong>IKEv2</strong></p></td>
      <td><p>No</p></td>
      <td><p>No</p></td>
      <td><p>Sí</p></td>
      <td><p>Sí</p></td>
      <td><p>Sí</p></td>
      <td><p>Sí</p></td>
      </tr>
      <tr class="odd">
      <td><p><strong>PPTP</strong></p></td>
      <td><p>Sí</p></td>
      <td><p>No</p></td>
      <td><p>Sí</p></td>
      <td><p>Sí</p></td>
      <td><p>Sí</p></td>
      <td><p>No</p></td>
      </tr>
      <tr class="even">
      <td><p><strong>L2TP</strong></p></td>
      <td><p>Sí</p></td>
      <td><p>No</p></td>
      <td><p>Sí</p></td>
      <td><p>Sí</p></td>
      <td><p>Sí</p></td>
      <td><p>No</p></td>
      </tr>
      </tbody>
      </table>
    
      <div class="alert">
    
    
      > [!NOTE]
      > <P>Para tener compatibilidad con Windows Phone&nbsp;8.1, debe instalar la extensión opcional de Windows&nbsp;Phone 8.1. Para más información sobre cómo instalar la extensión, consulte <A href="dn574730(v=technet.10).md">Planear el uso de extensiones en Configuration Manager</A>.A partir de System Center 2012 Configuration Manager SP2, esta extensión se incorpora a Configuration Manager.</P>
    
    
      </div>
    
    - **Lista de servidores:** haga clic en **Agregar** para agregar un nuevo servidor que se usará para la conexión VPN. Según el tipo de conexión, puede agregar uno o varios servidores VPN y especificar el servidor predeterminado.
    
      <div class="alert">
    
    
      > [!NOTE]
      > <P>Los dispositivos que ejecutan iOS no admiten el uso de varios servidores VPN. Si configura varios servidores VPN y, a continuación, implementa el perfil de VPN en un dispositivo iOS, solo se utilizará el servidor predeterminado.</P>
    
    
      </div>
    

    Es posible que se muestren más opciones en la tabla siguiente en función del tipo de conexión seleccionado. Consulte la documentación del servidor VPN para más información.

    Opción

    Más información

    Tipo de conexión

    Dominio Kerberos

    Especifique el nombre de dominio de autenticación que quiere usar. Un dominio de autenticación es una agrupación de recursos de autenticación usada por el tipo de conexión Pulse Secure.

    • Pulse Secure

    Rol

    Especifique el nombre del rol de usuario que tiene acceso a esta conexión.

    • Pulse Secure

    Dominio o grupo de inicio de sesión

    Especifique el nombre del grupo o dominio de inicio de sesión al que quiere conectarse.

    • Dell SonicWALL Mobile Connect

    Huella digital

    Especifique una cadena, por ejemplo "Código de huella digital de Contoso" que se utilizará para comprobar que se puede confiar en el servidor VPN.

    Una huella digital se puede:

    • Enviar al cliente para que sepa que puede confiar en cualquier servidor que presente esa misma huella digital al conectarse.

    • Si el dispositivo todavía no tiene la huella digital, pedirá al usuario que confíe en el servidor VPN al que se está conectando mientras muestra la huella digital (el usuario comprueba la huella digital manualmente y hace clic en Confiar para conectar).

    VPN móvil de punto de comprobación

    Enviar todo el tráfico de red a través de la conexión VPN

    Si no se selecciona esta opción, puede especificar rutas adicionales para la conexión (para los tipos de conexión Microsoft SSL [SSTP], Microsoft Automatic, IKEv2, PPTP y L2TP), lo que se conoce como túnel dividido o VPN.

    Solo las conexiones con la red de la empresa se envían a través de un túnel VPN. El túnel de VPN no se utiliza al conectarse a recursos de Internet.

    • Todos

    Sufijo DNS específico de la conexión

    Opcionalmente, especifique el sufijo del sistema de nombres de dominio (DNS) de la conexión.

    • Microsoft SSL (SSTP)

    • Microsoft Automatic

    • IKEv2

    • PPTP

    • L2TP

    Omitir VPN al conectarse a la red Wi-Fi de empresa

    Especifica que la conexión VPN no se utilizará cuando el dispositivo se conecte a la red Wi-Fi de la empresa.

    • Cisco AnyConnect

    • Pulse Secure

    • F5 Edge Client

    • Dell SonicWALL Mobile Connect

    • VPN móvil de punto de comprobación

    • Microsoft SSL (SSTP)

    • Microsoft Automatic

    • IKEv2

    • L2TP

    Omitir VPN al conectarse a la red Wi-Fi doméstica

    Especifica que la conexión VPN no se utilizará cuando el dispositivo se conecte a la red Wi-Fi doméstica.

    • Todos

    VPN por aplicación (iOS 7 y versiones posteriores, Mac OS X 10.9 y versiones posteriores)

    Seleccione esta opción si quiere asociar esta conexión VPN con una aplicación iOS para que la conexión se abra cuando se ejecute la aplicación. Puede asociar el perfil de VPN con una aplicación al implementarla.

    • Cisco AnyConnect

    • Pulse Secure

    • F5 Edge Client

    • Dell SonicWALL Mobile Connect

    • VPN móvil de punto de comprobación

    XML personalizado (opcional)

    Permite especificar los comandos XML personalizados que configuran la conexión VPN.

    Ejemplos:

    • Para Pulse Secure:

      <pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>

    • Para VPN móvil de punto de comprobación:

      <CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />

    • Para Dell SonicWALL Mobile Connect:

      <MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>

    • Para F5 Edge Client:

      <f5-vpn-conf><single-sign-on-credential /></f5-vpn-conf>

    Consulte la documentación de VPN de cada fabricante para más información sobre cómo escribir comandos XML personalizados.

    • Cisco AnyConnect

    • Pulse Secure

    • F5 Edge Client

    • Dell SonicWALL Mobile Connect

    • VPN móvil de punto de comprobación

Paso 4: Configurar el método de autenticación del perfil de VPN

  1. En la página Método de autenticación del asistente, especifique la información siguiente:

    - **Método de autenticación:** en la lista desplegable, seleccione el método de autenticación que la conexión VPN usará. Los elementos de la lista desplegable podrían variar en función del tipo de conexión seleccionado previamente. Los métodos de autenticación disponibles y los tipos de conexión admitidos se indican en la tabla siguiente.
    
      <table>
      <colgroup>
      <col style="width: 50%" />
      <col style="width: 50%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><p>Método de autenticación</p></th>
      <th><p>Tipos de conexión admitidos</p></th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p><strong>Certificados</strong></p>
      <div class="alert">
      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/Gg696049.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-tip(SC.12).jpeg" title="System_CAPS_tip" alt="System_CAPS_tip" />Sugerencia</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>Si el certificado de cliente se usa para autenticar un servidor RADIUS como, por ejemplo, un Servidor de directivas de redes, el nombre alternativo del sujeto en el certificado debe configurarse como el nombre principal de usuario.</p></td>
      </tr>
      </tbody>
      </table>
      </div></td>
      <td><ul>
      <li><p>Cisco AnyConnect</p></li>
      <li><p>Pulse Secure</p></li>
      <li><p>F5 Edge Client</p></li>
      <li><p>Dell SonicWALL Mobile Connect</p></li>
      <li><p>VPN móvil de punto de comprobación</p></li>
      </ul></td>
      </tr>
      <tr class="even">
      <td><p><strong>Nombre de usuario y contraseña</strong></p></td>
      <td><ul>
      <li><p>Pulse Secure</p></li>
      <li><p>F5 Edge Client</p></li>
      <li><p>Dell SonicWALL Mobile Connect</p></li>
      <li><p>VPN móvil de punto de comprobación</p></li>
      </ul></td>
      </tr>
      <tr class="odd">
      <td><p><strong>Microsoft EAP-TTLS</strong></p></td>
      <td><ul>
      <li><p>Microsoft SSL (SSTP)</p></li>
      <li><p>Microsoft Automatic</p></li>
      <li><p>IKEv2</p></li>
      <li><p>PPTP</p></li>
      <li><p>L2TP</p></li>
      </ul></td>
      </tr>
      <tr class="even">
      <td><p><strong>EAP (PEAP) protegido de Microsoft</strong></p></td>
      <td><ul>
      <li><p>Microsoft SSL (SSTP)</p></li>
      <li><p>Microsoft Automatic</p></li>
      <li><p>IKEv2</p></li>
      <li><p>PPTP</p></li>
      <li><p>L2TP</p></li>
      </ul></td>
      </tr>
      <tr class="odd">
      <td><p><strong>Contraseña segura de Microsoft (EAP-MSCHAP v2)</strong></p></td>
      <td><ul>
      <li><p>Microsoft SSL (SSTP)</p></li>
      <li><p>Microsoft Automatic</p></li>
      <li><p>IKEv2</p></li>
      <li><p>PPTP</p></li>
      <li><p>L2TP</p></li>
      </ul></td>
      </tr>
      <tr class="even">
      <td><p><strong>Tarjeta inteligente u otro certificado</strong></p></td>
      <td><ul>
      <li><p>Microsoft SSL (SSTP)</p></li>
      <li><p>Microsoft Automatic</p></li>
      <li><p>IKEv2</p></li>
      <li><p>PPTP</p></li>
      <li><p>L2TP</p></li>
      </ul></td>
      </tr>
      <tr class="odd">
      <td><p><strong>MSCHAP v2</strong></p></td>
      <td><ul>
      <li><p>Microsoft SSL (SSTP)</p></li>
      <li><p>Microsoft Automatic</p></li>
      <li><p>IKEv2</p></li>
      <li><p>PPTP</p></li>
      <li><p>L2TP</p></li>
      </ul></td>
      </tr>
      <tr class="even">
      <td><p><strong>RSA SecurID</strong> (solo iOS)</p></td>
      <td><ul>
      <li><p>Microsoft SSL (SSTP)</p></li>
      <li><p>Microsoft Automatic</p></li>
      <li><p>PPTP</p></li>
      <li><p>L2TP</p></li>
      </ul></td>
      </tr>
      <tr class="odd">
      <td><p><strong>Usar certificados de equipo</strong></p></td>
      <td><ul>
      <li><p>IKEv2</p></li>
      </ul></td>
      </tr>
      </tbody>
      </table>
    
      En función de las opciones que seleccione, se le podría solicitar que especifique más información, como la siguiente:
    
        - **Recordar las credenciales de usuario en cada inicio de sesión**: Seleccione esta opción para asegurarse de que se recuerdan las credenciales de usuario para que el usuario no tenga que escribirlas cada vez que se establezca una conexión.
    
        - **Seleccionar un certificado de cliente para la autenticación de cliente**: seleccione el certificado SCEP de cliente que creó previamente y que se usará para autenticar la conexión VPN. Para obtener más información acerca de cómo utilizar perfiles de certificado en Configuration Manager, consulte [Perfiles de certificado en Configuration Manager](dn261202\(v=technet.10\).md).
    
          <div class="alert">
    
    
          > [!NOTE]
          > <P>Para dispositivos iOS, el perfil SCEP que seleccione se incrustará en el perfil de VPN. Para otras plataformas, se agrega una regla de aplicabilidad para garantizar que el perfil de VPN no se instala si el certificado no está presente o no es conforme.</P>
          > <P>Si el certificado SCEP que especifique no es compatible o no se implementó, el perfil de VPN no se instalará en el dispositivo.</P>
    
    
          </div>
    
        - Para algunos métodos de autenticación, puede hacer clic en **Configurar** para abrir el cuadro de diálogo de propiedades de Windows (si la versión de Windows en la que ejecuta la consola de Configuration Manager es compatible con este método de autenticación), donde puede configurar las propiedades del método de autenticación.
    
      <div class="alert">
    
    
      > [!NOTE]
      > <P>Los dispositivos que ejecutan&nbsp;iOS solo admiten <STRONG>RSA SecurID</STRONG> y <STRONG>MSCHAP&nbsp;v2</STRONG> como métodos de autenticación cuando el tipo de conexión es <STRONG>PPTP</STRONG>. Para evitar errores, implemente un perfil de VPN PPTP independiente en los dispositivos que ejecutan iOS.</P>
    
    
      </div>
    

Paso 5: Establecer la configuración de proxy del perfil de VPN

Para establecer la configuración de proxy del perfil de VPN

  1. En la página Configuración de proxy del Asistente para crear perfil de VPN, active la casilla Configurar configuración de proxy para este perfil de VPN si su conexión VPN usa un servidor proxy.

  2. Especifique los detalles sobre el servidor proxy y su configuración. Para obtener más información, consulte la documentación de Windows Server.

Paso 6: Configurar opciones de DNS adicionales (si es necesario)

En la página Configurar una conexión VPN automática del asistente, puede configurar las opciones siguientes:

  • Habilitar VPN a petición: seleccione esta opción si desea configurar opciones de DNS adicionales en esta página del asistente para dispositivos Windows Phone 8.1.

  • Lista de sufijos DNS (solo para dispositivos Windows Phone 8.1): configura los dominios que establecerán una conexión VPN. Para cada dominio que especifique, debe agregar el sufijo DNS, la dirección del servidor DNS y una de las siguientes acciones a petición:

    • No establecer nunca: no se abre nunca una conexión VPN

    • Establecer si es necesario: solo se abre una conexión VPN si el dispositivo necesita conectarse a recursos

    • Establecer siempre: siempre se abre la conexión VPN

  • Combinar: copia todos los sufijos DNS que configuró en la Lista de redes de confianza.

  • Lista de redes de confianza (solo para dispositivos Windows Phone 8.1): especifique un sufijo DNS en cada línea. Si el dispositivo se encuentra en una red de confianza, no se abrirá la conexión VPN.

  • Lista de búsqueda de sufijos (solo para dispositivos Windows Phone 8.1): especifique un sufijo DNS en cada línea. Al conectarse a un sitio web mediante un nombre corto, se buscará cada sufijo DNS que especifique.

    Por ejemplo, especifica los sufijos DNS domain1.contoso.com y domain2.contoso.com y, después, visita la dirección URL http://mywebsite. Se buscarán las siguientes direcciones:

Nota

Solo para dispositivos Windows Phone 8.1

Si se selecciona la opción Enviar todo el tráfico de red a través de la conexión VPN y la conexión VPN usa el túnel completo, la conexión VPN se abrirá automáticamente para el primer perfil aprovisionado en el dispositivo. Si desea que otro perfil abra automáticamente una conexión, debe convertirlo en el perfil predeterminado del dispositivo.

Si no se selecciona la opción Enviar todo el tráfico de red a través de la conexión VPN y la conexión VPN usa el túnel dividido, puede abrirse automáticamente una conexión VPN si se configuran las rutas o un sufijo DNS específico de la conexión.

Paso 7: Configurar plataformas admitidas del perfil de VPN

Utilice el procedimiento siguiente para especificar las plataformas admitidas del perfil de VPN.

Las plataformas admitidas son los sistemas operativos en los que se instalará el perfil de VPN.

Para especificar las plataformas admitidas del perfil de VPN

  1. En la página Plataformas admitidas del Asistente para crear perfil de VPN, seleccione los sistemas operativos en los que se instalará el perfil de VPN o haga clic en Seleccionar todo para instalar el perfil de VPN en todos los sistemas operativos disponibles.

Paso 8: Completar el asistente

En la página Resumen del asistente, revise las acciones que se realizarán y, a continuación, complete el asistente. El nuevo perfil de VPN se muestra en el nodo Perfiles de VPN en el área de trabajo Activos y compatibilidad.

Para obtener información sobre cómo implementar el perfil de VPN, consulte Cómo implementar perfiles de VPN en Configuration Manager.