VPN

Utilice los valores de VPN para configurar VPN tradicionales en todo el sistema basándose en L2TP, PPTP e IPSec. Estos ajustes no se aplican a los ajustes VPN por aplicación.

La tabla siguiente describe los parámetros de conexión necesarios para imponer una conexión VPN segura en dispositivos macOS:
Valor de política Descripción
Tipo de conexión El tipo de conexión VPN. MaaS360® da soporte a los siguientes tipos de conexión:
  • L2TP
  • PPTP
  • Cisco (IPsec)
  • Cisco AnyConnect
  • Juniper SSL
  • F5 SSL
  • SonicWall Mobile Connect
  • Aruba VIA ®
  • SSL personalizado
  • IKEv2
Nombre de conexión de VPN El nombre exclusivo de la conexión VPN que se visualiza en el dispositivo.
Nombre de host del servidor VPN El nombre de host del servidor VPN.
Identificador remoto El identificador remoto que identifica el servidor IKEv2. Los formatos admitidos son FQDN, FQDN de usuario, Dirección o ASN1DN.
Identificador local El identificador local que utiliza el dispositivo móvil. Los formatos admitidos son FQDN, FQDN de usuario, Dirección o ASN1DN.
Cuenta de usuario de VPN El nombre de usuario de la cuenta VPN. Puede especificar comodines, como %domain%%username%, o utilizar %username%.
Tipo de autenticación de usuario El tipo de autenticación que se utiliza para conectarse con el servidor VPN:
  • Contraseña: debe proporcionar una contraseña si utiliza L2TP o PPTP.
  • RSA SecurID: Para la autenticación L2TP, los usuarios pueden utilizar una tarjeta de señal RSA SecurID para conectarse a la red.
  • Certificado
    • Certificado de identidad
    • VPN on demand: establecer siempre para los URL: especifique los URL separados por coma. Por ejemplo, .com, .example.com. Una conexión VPN se inicia siempre para dominios o nombres de host que coinciden con los URL.
    • VPN on demand: no establecer nunca para los URL: especifique los URL separados por coma. Por ejemplo, .com, .example.com. La conexión VPN no se inicia para la dirección que coincide con estos dominios o nombres de host. La conexión VPN existente continúa.
    • VPN on demand: establecer si es necesario para los URL: especifique los URL separados por coma. Por ejemplo, .com, .example.com. La conexión VPN no se inicia para la dirección que coincide con estos dominios o nombres de host solo si falla la búsqueda de DNS.
Tipo de autenticación de la máquina La máquina utiliza un secreto compartido, autenticación CSE o un certificado de identidad para la autenticación.
Habilitar EAP La autenticación solo EAP se habilita para el dispositivo. Este valor se utiliza para IKEv2.
Versión mínima de TLS La versión de TLS mínima que utiliza la autenticación EAP-TLS. Los valores admitidos son 1.0, 1.1 o 1.2. Si no se especifica ningún valor, el mínimo predeterminado es 1.0.
Versión máxima de TLS La versión de TLS máxima que utiliza la autenticación EAP-TLS. Los valores admitidos son 1.0, 1.1 o 1.2. Si no se especifica ningún valor, el mínimo predeterminado es 1.2.
Velocidad de detección de homólogo apagado El intervalo de detección para la conexión.
Inhabilitar redirecciones La redirección IKEv2 está inhabilitada para el dispositivo. De lo contrario, la conexión se redirige si se recibe una solicitud redirigida del servidor. El valor predeterminado es off.
Desactivar movilidad y multiubicación IKEv2 Mobility and Multihoming (MOBIKE) se inhabilita para el dispositivo.
Habilitar comprobación de revocación de certificados La comprobación de revocación de certificados está habilitada para las conexiones IKEv2. Se trata de una comprobación de revocación de mejor esfuerzo; los tiempos de espera de respuesta del servidor no provocan que falle la comprobación de certificado.
Utilizar los atributos de subred interna IPv4 / IPv5 Las negociaciones utilizan la configuración IKEv2.
Activar Perfect Forward Secrecy Perfect Forward Secrecy (PFS) está habilitado para las conexiones IKEv2.
Algoritmo de cifrado El algoritmo de cifrado que se necesita para la asociación de seguridad hijo.
Algoritmo de integridad El algoritmo de integridad que se necesita para la asociación de seguridad hijo.
Grupo Diffie-Hellman El número de grupo Diffie-Hellman.
Tiempo de vida en minutos El tiempo de vida de SA (intervalo de regeneración de clave) en minutos. Los valores válidos van de 10 a 1440.
VPN siempre activa (solo supervisada)
  • Permitir al usuario deshabilitar la conexión automática: los usuarios pueden inhabilitar una conexión automática a VPN.
  • Habilitar estado activo de NAT mientras el dispositivo está inactivo: la descarga del estado activo de NAT está habilitada para conexiones de IKEv2 de VPN siempre activa. El dispositivo envía los paquetes de estado activo para mantener las correlaciones NAT para conexiones IKEv2 que tienen un NAT en la vía de acceso. Los paquetes de estado activo se envían a intervalos regulares cuando el dispositivo está en modalidad de actividad. Los paquetes de estado activo de descargan al hardware cuando un dispositivo está en modalidad de inactividad. Las descargas de estado activo de NAT afectan a la duración de la batería ya que se añade una carga de trabajo extra cuando un dispositivo está en modalidad de inactividad.
  • Intervalo de estado activo de NAT para interfaces de teléfono móvil (en segundos): el intervalo de estado activo de NAT para conexiones de IKEv2 de VPN siempre activa. Este valor controla el intervalo para paquetes de descarga de estado activo que envía el dispositivo. El valor mínimo es 20 segundos. Si no se especifica ninguna clave, el valor predeterminado es de 20 segundo para Wi-Fi y 110 segundos para una interfaz de teléfono móvil.
  • Intervalo de estado activo de NAT para interfaces de Wi-Fi (en segundos)
  • Excepción para correo de voz: El servicio del sistema de correo de voz está exento de Always-on VPN.
  • Excepción para AirPrint: El servicio del sistema AirPrint está exento de Always-on VPN.
  • Permitir tráfico desde la hoja web local fuera del túnel VPN: se permite el tráfico de red desde la hoja web propia fuera del túnel VPN.
  • Permitir tráfico desde todas las aplicaciones de redes propias fuera del túnel VPN: se permite el tráfico de red desde las aplicaciones de redes propias fuera del túnel VPN.
  • Identificadores de paquetes de aplicaciones de redes propias: se permite el tráfico de red desde esas aplicaciones fuera del túnel VPN. Especifique los ID de paquete de aplicaciones separados por coma.
Secreto compartido El secreto compartido (contraseña) que se utiliza para la autenticación. Este valor se utiliza para L2TP o Cisco IPsec.
Enviar todo el tráfico Todo el tráfico de red se envía a través de la VPN.
Tipo de proxy Si elige el tipo de proxy de forma manual, debe proporcionar la dirección del servidor proxy incluido el puerto del servidor proxy y, opcionalmente, un nombre de usuario y una contraseña. Si elige el tipo de proxy automático, especifique un URL de proxy (PAC).
Nivel de cifrado El cifrado está habilitado en la conexión.