Nota de Soporte:

`Configuracin de un tnel IPSec entre cliente SSH y

dispositivo ZyWALL'
Pg. 1/10

Este manual le guiar en el proceso de configuracin de una conexin VPN entre un
cliente software VPN Sentinel y un router ZyWALL.

Como se muestra en la siguiente figura, el tnel entre el PC2, con el software Sentinel
instalado, y el ZyWALL asegura un intercambio de paquetes seguro entre ellos. Dado
que los paquetes que van a travs del tnel lo hacen de forma encriptada. En los
siguientes puntos se muestra la configuracin de ambos terminales como son el Sentinel
y el ZyWALL.




Las direcciones IP que utilizaremos en este ejemplo se indican a continuacin:


LAN1 ZyWALL PC2
192.168.1.0/24
LAN : 192.168.1.1
WAN : 172.21.1.252
<IP Dinmica>


1.- Configuracin VPN en ZyWALL:

1. Utilizar el navegador web y acceder al configurador web del dispositivo
tecleando la direccin IP de la LAN del ZyWALL en la URL. La IP de la
LAN por defecto es 192.168.1.1, y el password por defecto para acceder al
configurador web es 1234.
2. Ir a la opcin Advanced VPN.
3. Marcar el campo Active para habilitar esta regla. Marcar la opcin Keep Alive
para hacer que la conexin VPN permanezca siempre levantada.
4. Seleccionar Main en el campo Negotiation Mode, como tambin
configuraremos en el Sentinel.
5. En Local IP, el campo Address Type se tiene que configurar como Subnet,
donde Address Start es 192.168.1.0 y End/Subnet Mask es 255.255.255.0.
6. En Remote IP, dejarlo con la configuracin por defecto. 0.0.0.0/0.0.0.0.
7. El campo My IP Addr ser la direccin IP de la WAN del ZyWALL
(172.21.1.252).
8. Secure Gateway IP Addr se configura con 0.0.0.0
9. Seleccionar Encapsulation Mode como Tunnel.


Nota de Soporte:
`Configuracin de un tnel IPSec entre cliente SSH y
dispositivo ZyWALL'
Pg. 2/10

10. Seleccionar el protocolo ESP.
11. Seleccionar DES como Encryption Algorithm y MD5 como Authentication
Algorithm.
12. Introducir la cadena 12345678 en el campo Preshared Key, y haga clic en
Apply.
13. Presionar el botn Advanced para configurar los parmetros IKE de la fase 1
y fase 2.

Captura de pantalla de la regla VPN :













Nota de Soporte:
`Configuracin de un tnel IPSec entre cliente SSH y
dispositivo ZyWALL'
Pg. 3/10

Configuracin parmetros IKE fase 1 y fase 2:




Por ltimo, habr que asegurarse que en la regla WAN-to-WAN/ZyWALL est creada
la regla de acceso para permitir la aceptacin de los paquetes IKE para el
establecimiento del tnel.

2.- Configuracin VPN en cliente SSH

En el cliente VPN instalado en el ordenador habr que llevar a cabo una configuracin
acorde con los parmetros configurados en el dispositivo ZyWALL.

Para ello, iremos al icono correspondiente del cliente SSH Sentinel en la barra de inicio
rpido y haremos clic con el botn derecho del ratn sobre l y seleccionaremos la
opcin Run Policy Editor.





Nota de Soporte:
`Configuracin de un tnel IPSec entre cliente SSH y
dispositivo ZyWALL'
Pg. 4/10



A continuacin iremos a la pestaa de Key Management para configurar la Pre-Shared
Key que utilizaremos en nuestro tnel. El valor de la misma tendr que coincidir con el
configurado en la parte del ZyWALL.

Una vez en esta pestaa, haremos clic en el botn Add para definir la Pre-Shared
Key.



A continuacin seleccionaremos la opcin de Create a pre-shared key y pulsaremos
Siguiente.


Nota de Soporte:
`Configuracin de un tnel IPSec entre cliente SSH y
dispositivo ZyWALL'
Pg. 5/10


Introduciremos un nombre identificativo para esta clave e introduciremos la clave que
se desea configurar (12345678 para nuestro caso) y se volver a teclear en el siguiente
campo para asegurar que se ha introducido correctamente. Y hacer clic en Finalizar.



En estos momentos ya tenemos la pre-shared key definida.

Ahora habr que configurar el resto de parmetros del tnel. Para ello, iremos de nuevo
a la pestaa Security Pociy y nos situaremos sobre el campo VPN Connections.



Nota de Soporte:
`Configuracin de un tnel IPSec entre cliente SSH y
dispositivo ZyWALL'
Pg. 6/10



En este punto, haremos clic en el botn Add para aadir una nueva regla VPN.




Una vez en esta pantalla tendremos que introducir bien la direccin IP o el nombre
asignado al gateway remoto, es decir, habr que colocar la direccin o nombre de
dominio pblico del otro extremo al que apunta el tnel. En nuestro caso, suponemos la
direccin IP de la WAN del ZyWALL como direccin pblica de manera que en
Gateway IP address introduciremos 172.21.1.252.

Ahora tendremos que definir la red remota a la que nos conectaremos. Para ello
haremos clic en el botn situado a la derecha del campo Remote network y nos
aparecer una pantalla donde introduciremos una nueva red que se corresponda con la
red remota que se tiene detrs del ZyWALL. De manera que haremos clic en el botn


Nota de Soporte:
`Configuracin de un tnel IPSec entre cliente SSH y
dispositivo ZyWALL'
Pg. 7/10

New y daremos un nombre a esta red e introduciremos la direccin de esa red (en el
ejemplo que nos ocupa, la direccin ser 192.168.1.0 y la mscara de subred
255.255.255.0). Por ltimo, haremos clic en el botn OK.



Tener en cuenta que si el cliente SSH Sentinel se encuentra instalado en un PC con una
direccin privada habr que configurar el adaptador de red de este PC con una direccin
IP en un rango distinto a la de la red remota.

En el campo Authentication Key seleccionaremos de la lista desplegable la pre-shared
key definida con anterioridad.



Una vez aqu, tendremos que configurar los algoritmos a utilizar en las fases de tnel.
Para ello, en esta misma pantalla haremos clic en el botn Properties



Nota de Soporte:
`Configuracin de un tnel IPSec entre cliente SSH y
dispositivo ZyWALL'
Pg. 8/10



En esta pantalla de propiedades de la regla VPN, aseguraremos que las casillas de
Acquire virtual IP address y Extended authentication no estn selecciondas. A
continuacin haremos clic en el botn Settings. situado en el apartado de IPSec/IKE
proporsal.




Nota de Soporte:
`Configuracin de un tnel IPSec entre cliente SSH y
dispositivo ZyWALL'
Pg. 9/10



En esta pantalla aseguraremos que los campos estn configurados de forma idntica a
como se hizo en el ZyWALL. De manera que para los parmetros IKE Proporsal:

Encryption algorith : DES
Integrity function : MD5
IKE mode : main
IKE group : group 1

Y en los parmetros correspondientes a la fase IPSec proporsal.

Encryption algorith : DES
Integrity function : MD5
PFS group : None

Por ltimo haremos clic en el botn OK. Volveremos a la pantalla de las propiedades de
la regla donde volveremos a pulsar OK. Y al aparecer la pantalla de la conexin VPN
creada, haremos clic nuevamente en el botn OK.

Por ltimo, en la primera pantalla donde nos aparecer la regla creada tendremos que
hacer clic en Apply para que los cambios y asociaciones realizadas tengan efecto.





Nota de Soporte:
`Configuracin de un tnel IPSec entre cliente SSH y
dispositivo ZyWALL'
Pg. 10/10

Antes de finalizar se podra pulsar sobre el botn Diagnostics para hacer un
diagnstico de la VPN seleccionada y comprobar si va a existir algn problema en el
establecimiento del tnel. En los detalles que se generan de este diagnstico se puede
comprobar las distintas fases del proceso de establecimiento del tnel y si todo se
establece correctamente o si por el contrario existe algn problema, detectar cul es el
punto donde se produce ese fallo para corregirlo.

Como ltima apreciacin, cabe resaltar que habr que tener en cuenta los programas
software instalados en el PC donde se encuentra instalado el cliente SSH Sentinel
puesto que programas antivirus o firewall pueden hacer que la sesin VPN no se ejecute
correctamente.