El software del cliente de red privada virtual (VPN) de Novell® BorderManager® permite que una estación de trabajo pueda comunicarse de forma segura con una red protegida mediante un servidor VPN de Novell a través de Internet.
A continuación, figura el listado de las nuevas funciones del cliente VPN de Novell BorderManager 3.9 para Windows*:
Cambios en el cliente: el cliente admite claves híbridas y precompartidas en el modo de autenticación xauth.
Cambios en la interfaz gráfica del cliente: los botones circulares utilizados para seleccionar el modo de autenticación se han sustituido por recuadros desplegables.
El cliente VPN de Novell BorderManager 3.9 proporciona al usuario un certificado X.509 para utilizar el modo principal de autenticación IKE. El certificado se debe copiar en la estación de trabajo local (<unidad>:\novell\vpnc\certificates\users) desde donde se debe ejecutar el software VPN.
El cliente VPN de Novell se integra con los servicios de autenticación modular de Novell (NMASTM). Los servicios NMAS funcionan con el Cliente Novell. Instale el Cliente Novell para beneficiarse de las funciones NMAS.
Seleccione la opción NMAS en la pestaña de configuración y facilite la información de usuario y las credenciales de NMAS en la pestaña eDirectory. En la pestaña VPN incluya la dirección IP del servidor VPN y la secuencia de NMAS (por ejemplo, NDS/eDirectory, Tarjeta inteligente universal, Contraseña simple).
Seleccione NMAS y luego marque la casilla LDAP en la pestaña de configuración. Acceda a la pestaña VPN e introduzca la dirección IP del servidor VPN y el DN de usuario de LDAP (por ejemplo, CN=Admin,O=Novell). El método LDAP mostrará un recuadro de diálogo para la credencial.
Seleccione el modo de compatibilidad inversa en la pestaña de configuración. Proporcione las credenciales de eDirectory en la pestaña eDirectory. En este modo, el cliente de Novell BorderManager 3.9 puede comunicarse con Novell BorderManager 3.8. La autenticación mediante el testigo ActiveCard está habilitada si se ha instalado NMAS en el cliente. El método de autenticación mediante el testigo ActiveCard funcionará si está configurado en eDirectory para el usuario. La pestaña VPN requiere las credenciales para el método de testigo de ActiveCard.
Seleccione el modo de autenticación precompartida en la pestaña de configuración. Acceda a la pestaña VPN e indique la contraseña para la clave precompartida configurada en el servidor VPN.
Proporcione la dirección IP del servidor VPN, el nombre de usuario, la contraseña y la clave precompartida. El nombre de usuario debe estar en el formato de nombre completo (DN). Por ejemplo, usuario3.contextonovl.
La clave precompartida se utiliza para la autenticación IKE en fase 1. También hay que configurar la misma clave precompartida en el servidor.
NOTA: Al conectar con el servidor de Novell BorderManager, utilice el editor de directivas para establecer el modo IKE en modo principal junto con PFS=yes.
Proporcione la dirección IP del servidor VPN, el nombre de usuario y la contraseña. El usuario deberá copiar el certificado de raíz de confianza correspondiente al servidor.
NOTA: Sólo se admite el modo agresivo del modo combinado de XAuth. Este modo debe habilitarse en el editor de directivas.
Esta versión del cliente VPN de Novell se puede integrar con el Cliente Novell para Windows 98, Windows NT, Windows 2000, Windows XP Professional y Windows XP Home. Reinicie el equipo después de instalar el nuevo cliente VPN. Durante el reinicio, el cliente VPN se integra con el Cliente Novell. Cuando el sistema llegue a la pantalla de entrada de Novell, aparecerá una lista desplegable de ubicaciones. La lista contendrá la entrada predeterminada, así como una entrada para las capacidades VPN. Puede seleccionar cualquiera de las ubicaciones, dependiendo de la operación a realizar.
Existen cuatro nuevas pestañas disponibles que se pueden configurar en una instancia del servicio, seleccionando Propiedades de Client32 de Novell. Las cuatro pestañas tienen las siguientes funciones:
La versión 4.91 del Cliente Novell y las versiones posteriores actualizan el cliente NMAS a la versión 3.0. Si el cliente VPN se instala después de la instalación del Cliente Novell y decide instalar el cliente NMAS en ese momento, NMAS no será compatible con la versión 4.91 del Cliente Novell. Para utilizar la versión 4.91 del Cliente Novell, lleve a cabo una de las siguientes acciones:
Esta versión del cliente VPN para Windows 98, Windows NT, Windows 2000 y Windows XP utiliza cifrado NICI (128 bits), ya que NICI no presenta ninguna restricción de exportación.
El cliente VPN requiere el "kernel de NICI" (NICI 1.7.0) para cumplir los requisitos de cifrado del módulo de kernel vptunnel.sys y el "usuario de NICI" (NICI 2.6.0) para cumplir los requisitos de cifrado de los módulos de espacio de usuario como, por ejemplo, ikeapp.exe y vpnlogin.exe. Si NICI 1.7.0 (versión de 128 bits) no está instalado, el programa de instalación de VPN lo instalará. Esta versión de NICI sobrescribe a NICI 1.7.0 (56 bits) o NICI 1.5.3 (56/128 bits), pero no a NICI 2.6.0. Si está instalado NICI 2.6.0, coexistirán NICI 1.5.7 y 2.6.0.
En Windows 98 y Windows Me, puede seleccionar una entrada de acceso telefónico de cualquier tipo de servidor. Anteriormente (con la edición empresarial de BorderManager 3.0 de Novell), sólo era posible seleccionar las entradas de acceso telefónico de tipo VPN de Novell. Todas las entradas deben configurarse para que sólo negocien las conexiones TCP/IP. Si desea ejecutar el cliente VPN desde el acceso telefónico a redes en lugar de hacerlo desde vpnlogin.exe, la entrada de acceso telefónico que seleccione en Acceso telefónico a redes debe ser del tipo de servidor VPN de Novell; en caso contrario, vpnlogin.exe no se iniciará después de establecer la conexión de acceso telefónico.
En Windows NT, puede seleccionar una entrada de acceso telefónico de cualquier tipo de servidor. Si selecciona Acceso telefónico a redes en Windows NT, no encontrará ningún tipo de servidor VPN de Novell.
Si hay algún requisito de acceso telefónico, instale el acceso telefónico a redes antes de instalar el cliente VPN.
Cuando seleccione la entrada de acceso telefónico de VPNLogin.exe, elija entradas que no permitan la compresión del protocolo punto a punto (PPP). Si se intentan comprimir los datos cifrados, se producirá una sobrecarga innecesaria de la CPU y no se conseguirá reducir el tamaño de los paquetes enviados.
Instale el módem y, a continuación, el cliente VPN.
Durante la instalación del cliente VPN, si selecciona la utilización de Acceso telefónico a redes, la instalación del cliente VPN creará automáticamente una entrada de acceso telefónico de VPN de Novell.
Durante la entrada del cliente VPN se notificará a los usuarios de eDirectory cuando su contraseña de eDirectory haya caducado y se estén utilizando entradas de gracia. Asimismo, los usuarios recibirán una opción para cambiar la contraseña de eDirectory durante la entrada del cliente VPN. Esta opción también se proporciona en el icono del cliente VPN en la bandeja del sistema. El usuario sólo podrá cambiar la contraseña si utiliza las credenciales de eDirectory para la entrada de VPN/NetWare desde la aplicación del cliente VPN. El cambio de contraseña no se llevará a cabo correctamente si se intenta una entrada sin contexto. Requiere todas las credenciales de usuario de eDirectory.
La directiva (regla de tráfico) especificada por el administrador en eDirectory será aplicable al cliente. Si una directiva se modifica para un usuario de VPN en concreto durante una sesión de VPN en curso, los cambios no se reflejarán hasta la siguiente sesión.
La función de instalación silenciosa permite llevar a cabo la instalación sin la intervención del usuario. Si la opción Acceso telefónico está seleccionada, es posible que se requiera la intervención del usuario, si es que la estación de trabajo no tiene ya instalados los componentes RAS o Acceso telefónico a redes.
Para utilizar esta función, ejecute el archivo setup.exe con un parámetro que cree un archivo con las respuestas a todas las preguntas que se formulan habitualmente durante la instalación. Dado que esto incluye la selección del cliente de acceso telefónico, el cliente LAN, o ambos, será necesario que cree varios archivos de respuestas según las necesidades del usuario.
Después de crear el archivo de respuestas, puede ejecutar setup.exe con un parámetro diferente para utilizar el archivo de respuestas de modo que la instalación requiera de la mínima intervención del usuario. También existe un parámetro para generar un archivo de registro de la instalación silenciosa. Se puede utilizar para verificar que la instalación se ha completado correctamente, o bien para diagnosticar el motivo del error en la instalación. A continuación se ofrecen ejemplos de uso de estos parámetros.
Es posible que deba realizar con frecuencia una instalación silenciosa en estaciones de trabajo que cuenten con diferentes versiones de Windows. Si Windows o el Cliente Novell se han instalado desde el CD, el programa de instalación del cliente VPN solicitará que se introduzcan los CD correspondientes. En tal caso, como las respuestas a las peticiones de instalación dependerán de la versión de Windows instalada, se recomienda crear un archivo de respuestas que solicite al usuario los CD de instalación en caso necesario.
Para crear este tipo de archivo de respuestas:
Realice una instalación ordinaria del cliente VPN sin crear el archivo de respuestas. Es posible que el programa de instalación solicite el CD de Windows o del Cliente Novell. Proceda como de costumbre con la instalación.
Después de reiniciar, vuelva a ejecutar setup.exe y esta vez cree el archivo de respuestas. Esta reinstalación no solicitará los CD de instalación de Windows ni del Cliente Novell, por lo que el archivo de respuestas generado no sabrá qué responder cuando durante la instalación efectuada por el usuario se solicite el CD de Windows o del Cliente Novell. Como no hay respuesta alguna en el archivo de respuestas, se solicitará al usuario que utilice el CD de Windows o Cliente Novell, si son necesarios.
Para verificar que el archivo de respuestas funciona correctamente, ejecute la instalación en el modo silencioso en una estación de trabajo que no tenga instalado el cliente VPN. El archivo de registro de la instalación debe mostrar ResultCode=0.
La función de instalación silenciosa sólo funciona con el archivo setup.exe correspondiente al directorio disk1. No funciona con el archivo ejecutable de autoextracción. La función de instalación silenciosa se habilita ejecutando setup.exe en el directorio disk1 con determinadas opciones de línea de comando. Las opciones disponibles para setup.exe son las siguientes:
En función de la opción que utilice, también podrá utilizar las opciones -f1 y -f2 para especificar nombres de archivos.
Para utilizar la función de instalación silenciosa:
Cree un archivo de respuestas enviando el siguiente comando desde disco 1 de los discos del cliente VPN:
setup.exe -r -f1"<ARCHIVO_DE_RESPUESTA>"
donde <ARCHIVO_DE_RESPUESTA> contiene la vía única y el nombre del archivo de respuesta. La opción -f1"<ARCHIVO_DE_RESPUESTA> se puede omitir, en cuyo caso se creará un archivo de respuestas denominado setup.iss en el directorio Windows o WinNT.
Por ejemplo,
setup.exe -r -f1"c:\temp\setup.iss" ejecuta la instalación y guarda la entrada en c:\temp\setup.iss
Al utilizar los conmutadores -f1 y -f2, no inserte un espacio antes de las comillas. Por ejemplo, -f1 "nombre_archivo" no funcionará. -f1"nombre_archivo" sí que funcionará.
Ejecute la instalación basándose en la información recabada con anterioridad, ejecutando el siguiente comando desde el disco 1 de los discos del cliente VPN.
setup.exe -s -f1"<ARCHIVO_DE_RESPUESTAS>" -f2"<ARCHIVO_DE_REGISTRO>"
donde <ARCHIVO_DE_RESPUESTA> contiene el nombre y la vía única del archivo de respuestas y <ARCHIVO_DE_REGISTRO> contiene el nombre y la vía única del archivo de registro.
Por ejemplo, setup.exe -s -f1"c:\temp\setup.iss" -f2".\setup.log" ejecuta la instalación, tomando la entrada de setup.iss del directorio c:\temp, y registra el resultado en el archivo setup.log, en el mismo directorio que setup.exe.
Verifique que la instalación silenciosa se ejecutó correctamente analizando el contenido de setup.log. Debe consultar una sección de resultado que tenga lo siguiente:
[ResponseResult]
ResultCode=0
Un valor 0 para ResultCode indica que la instalación se realizó correctamente. Un valor distinto implica un fallo en la instalación. Los valores posibles para ResultCode son los siguientes:
El código de error que aparece con mayor frecuencia es el -12. La condición de error muestra, por lo general, un recuadro de diálogo con un mensaje de error que requiere una intervención por parte del usuario como, por ejemplo, hacer clic en Aceptar para reconocer el error. Como la respuesta no figurará en el archivo de respuestas, el proceso de instalación silenciosa presupondrá que los recuadros de diálogo del archivo de respuestas no funcionan y, por ello, generará el error -12.
Es posible utilizar un archivo por lotes para automatizar aún más el proceso de instalación silenciosa. Por ejemplo, puede crear el siguiente archivo install.bat en el subdirectorio DISK1: setup.exe -s -f1"c:\vpninst\disk1\response.txt" -f2"c:\temp\vpninst.log" rem. Esto supone que el cliente VPN se ha extraído a c:\vpninst. rem. Podría encontrarse en una unidad de la red o en alguna otra ubicación. No inserte un espacio entre -f1 y la comilla. Si el icono de entrada de VPN aparece en el escritorio, reinicie el equipo, con lo que la instalación del cliente VPN habrá terminado.
Si el directorio Disk1 de instalación del cliente VPN contiene un archivo denominado vpnconfig.txt, el programa de instalación tomará la información siguiente de este archivo: direcciones de servidores VPN, modo de autenticación, dirección IP del servidor NetWare, secuencias NMAS, contexto de eDirectory, habilitación o no de la entrada de eDirectory, etc. A continuación, actualizará los datos en el Registro de la estación de trabajo.
El disco 1 incluye un archivo vpnconfig.txt de muestra. Puede modificar este archivo para que se ajuste a las necesidades de su empresa.
Si el servidor VPN es su cortafuegos, los filtros de excepciones ya estarán configurados para admitir la circulación del tráfico mencionado. Los filtros deben actualizarse durante la configuración de la VPN.
Consulte los siguientes documentos para obtener información detallada acerca de Novell BorderManager 3.9 en el sitio Web de documentación de Novell:
En la presente documentación, para marcar una división entre las acciones dentro de un paso y entre los elementos de una vía para una referencia cruzada, se utiliza el símbolo mayor que (>).
Para obtener la documentación más reciente y el archivo README (LÉAME) del cliente VPN de Novell BorderManager 3.9 para Linux, consulte el sitio Web de documentación de Novell.
Novell, Inc. no otorga ninguna garantía respecto al contenido y el uso de esta documentación y, específicamente, renuncia a cualquier garantía explícita o implícita de comercialización o adecuación para un fin determinado. Asimismo, Novell, Inc. se reserva el derecho de revisar esta publicación y realizar cambios en su contenido en cualquier momento, sin obligación de notificar tales cambios a ninguna persona o entidad.
Además, Novell, Inc. no ofrece ninguna garantía con respecto a ningún software y rechaza específicamente cualquier garantía explícita o implícita de comercialización o adecuación para un fin determinado. Por otra parte, Novell, Inc. se reserva el derecho de realizar cambios en cualquiera de las partes o en la totalidad del software de Novell en cualquier momento, sin obligación de notificar tales cambios a ninguna persona ni entidad.
Los productos o la información técnica que se proporcionan bajo este Acuerdo pueden están sujetos a los controles de exportación de Estados Unidos o a la legislación sobre comercio de otros países. Usted se compromete a cumplir todas las regulaciones de control de las exportaciones, así como a obtener las licencias o clasificaciones oportunas para exportar, reexportar o importar mercancías. También se compromete a no exportar ni reexportar el producto a entidades que figuren en las listas de exclusión de exportación de Estados Unidos, ni a países embargados o sospechosos de albergar terroristas, tal y como se especifica en las leyes de exportación de Estados Unidos. Asimismo, se compromete a no usar el producto para fines prohibidos, como la creación de misiles o armas nucleares, químicas o biológicas. Consulte la página Web de International Trade Services de Novell para obtener más información sobre la exportación del software de Novell. Novell no se responsabiliza de la posibilidad de que el usuario no pueda obtener los permisos de exportación necesarios.
Copyright © 1997-2007 Novell, Inc. Reservados todos los derechos. Ninguna parte de esta publicación puede ser reproducida, fotocopiada, almacenada en un sistema de recuperación o transmitida sin la expresa autorización por escrito del editor. Novell, Inc. posee derechos de propiedad intelectual relacionados con las tecnologías incorporadas al producto descrito en este documento. En concreto, y sin limitación, estos derechos de propiedad intelectual pueden incluir una o más de las patentes de EE.UU. que aparecen en la página Web de Novell sobre patentes legales, y una o más patentes adicionales o solicitudes de patentes pendientes en EE.UU. y en otros países.
Para obtener información sobre las marcas comerciales de Novell, consulte la lista de marcas registradas y marcas de servicio de Novell.
Todas las marcas comerciales de otros fabricantes son propiedad de sus propietarios respectivos.