Léame del cliente VPN de Novell BorderManager 3.8.2

16 de febrero de 2004
1.0 Introducción
2.0 Funciones
2.1 Modo de autenticación con certificado X.509
2.1.1 Recuperación de certificados
2.1.2 Directiva local
2.2 Modo de autenticación NMAS
2.3 Modo de autenticación NMAS LDAP
2.4 Modo de compatibilidad inversa
2.5 Modo de autenticación precompartida
2.6 Cliente VPN integrado con el Cliente Novell
2.7 Todos los clientes VPN para las plataformas Windows utilizan NICI para el cifrado
2.7.1 Versiones de NICI
2.8 Selección de entradas de acceso telefónico
2.9 Creación automática de una entrada de acceso telefónico a VPN de Novell
2.10 Aviso de expiración de contraseña
2.11 Directiva
2.12 Instalación silenciosa
2.13 Distribución de la configuración del cliente
3.0 Problemas solucionados en esta versión
4.0 Limitaciones y problemas conocidos
5.0 Información legal

1.0 Introducción

El software del cliente VPN de BorderManager de Novell permite que una estación de trabajo pueda comunicarse de forma segura con una red protegida mediante un servidor VPN de Novell a través de Internet.


2.0 Funciones

El software del cliente VPN incorpora las funciones descritas a continuación.


2.1 Modo de autenticación con certificado X.509

El cliente VPN de NBM 3.8 tiene que proporcionar un certificado X.509 al usuario y a la raíz de confianza del servidor para efectuar el modo de autenticación principal IKE. Ambos deben copiarse en la estación de trabajo local (<unidad>:\novell\vpnc\certificates\users o <unidad>:\novell\vpnc\certificates\trustedroot) desde la que vaya a ejecutarse la VPN.


2.1.1 Recuperación de certificados

El cliente VPN proporciona una función que permite recuperar el certificado del usuario desde un Directorio eDirectory de Novell. Para ello, es necesario que el cliente sea dependiente de dicho Directorio. Si el Cliente Novell está instalado, la opción estará activada, de modo que el usuario pueda recuperar su certificado. Para recuperar un certificado de usuario deberá proporcionar el nombre de usuario, la contraseña, el contexto, el árbol y la dirección IP (opcional), el nombre de certificado del usuario (sólo el nombre, es decir adminCert). De este modo se recuperará el certificado de usuario y se almacenará en <unidad>:\novell\vpnc\certificates\users como AdminCert.pfx. Si un usuario dispone de varios certificados, éstos se almacenarán como AdminCert(n).pfx (n = 1..n)


2.1.2 Directiva local

En el modo de autenticación IKE, el usuario puede proporcionar los parámetros IKE e IPSEC haciendo clic en el editor de directivas de la pestaña VPN. Esta directiva regirá el servidor VPN si éste no impone ninguna propia.


2.2 Modo de autenticación NMAS

El cliente VPN de Novell se integra con los servicios NMAS (autenticación modular) de Novell. NMAS funciona con el Cliente Novell. Instale el Cliente Novell para beneficiarse de las funciones NMAS.

Seleccione la opción NMAS en la pestaña de configuración y proporcione la información de usuario y las credenciales NMAS en la pestaña eDirectory. En la pestaña VPN, proporcione la secuencia NMAS y la dirección IP del servidor VPN (por ejemplo, NDS/eDirectory, tarjeta inteligente universal, contraseña simple, etc.). Para las credenciales, el método hará que aparezca un recuadro de diálogo emergente si no se han introducido.


2.3 Modo de autenticación NMAS LDAP

Seleccione NMAS y marque la casilla LDAP en la pestaña de configuración. Acceda a la pestaña VPN e introduzca la dirección IP del servidor VPN y el nombre de dominio del usuario LDAP (por ejemplo, CN=Admin,O=Novell). El método LDAP mostrará un recuadro de diálogo para la credencial.


2.4 Modo de compatibilidad inversa

Seleccione el modo de compatibilidad inversa en la pestaña de configuración. Proporcione las credenciales de eDirectory en la pestaña eDirectory. En este modo, el Cliente NBM 3.8 se comunicará con el servidor NBM (BMEE 3.6, NBM 3.7 y NBM 3.8) en el modo SKIP. La autenticación de testigo ActiveCard estará activada si se está instalando NMAS en el cliente. El método de autenticación ActiveCard funcionará si está configurado en eDirectory para el usuario. La pestaña VPN requiere credenciales para el método de testigo ActiveCard.


2.5 Modo de autenticación precompartida

Seleccione el modo de autenticación precompartida en la pestaña de configuración. Acceda a la pestaña VPN y proporcione la contraseña para la clave precompartida configurada en el servidor VPN.


2.6 Cliente VPN integrado con el Cliente Novell

Esta versión del Cliente Novell VPN se integrará con el Cliente Novell para Windows 98, Windows NT, Windows 2000 o Windows XP Home. Reinicie el equipo después de instalar el nuevo cliente VPN. Durante el reinicio, el cliente VPN se integrará con el Cliente Novell. Una vez que el sistema llegue a la pantalla de entrada de Novell, aparecerá una lista desplegable de ubicaciones. La lista contendrá la entrada predeterminada, así como una entrada para las funciones VPN. Puede seleccionar cualquiera de las ubicaciones, en función de la operación que desee realizar.

Existen cuatro nuevas pestañas disponibles que se pueden configurar en una instancia del servicio con sólo seleccionar Propiedades de Client32 de Novell. Las pestañas se utilizan para lo siguiente:


2.7 Todos los clientes VPN para las plataformas Windows utilizan NICI para el cifrado

Esta versión del cliente VPN para Windows 98, Windows Me, Windows NT, Windows 2000 y Windows XP utiliza cifrado NICI (128 bits), ya que con NICI no existen restricciones de exportación.


2.7.1 Versiones de NICI

Si NICI 1.7.0 (versión de 128 bits) no está instalado, el programa de instalación de VPN lo instalará. Esta versión de NICI sobrescribe a NICI 1.5.7 (56 bits) o NICI 1.5.3 (56/128 bits), pero no a NICI 2.6.0. Si está instalado NICI 2.6.0, coexistirán NICI 1.5.7 y 2.6.0.


2.8 Selección de entradas de acceso telefónico

En Windows 98 y Windows Me es posible seleccionar una entrada de acceso telefónico de cualquier tipo de servidor. Anteriormente (con la edición empresarial de BorderManager 3.0 de Novell), sólo era posible seleccionar las entradas de acceso telefónico de tipo VPN de Novell. Todas las entradas deben configurarse para que sólo negocien las conexiones TCP/IP. Si desea ejecutar el cliente VPN desde Acceso telefónico a redes en lugar de hacerlo desde vpnlogin.exe, la entrada de acceso telefónico que seleccione en Acceso telefónico a redes debe ser del tipo de servidor VPN de Novell; en caso contrario, vpnlogin.exe no se iniciará después de establecer la conexión de acceso telefónico.

En Windows NT, se puede seleccionar una entrada de acceso telefónico de cualquier tipo de servidor. En Windows NT, no existe ningún tipo de servidor VPN de Novell cuando selecciona Acceso telefónico a redes.

Hay un requisito de acceso telefónico. Instale el acceso telefónico a redes antes que el cliente VPN.

Cuando seleccione la entrada de acceso telefónico de VPNLogin.exe, elija entradas que no permitan la compresión del protocolo punto a punto (PPP). Si se intentan comprimir los datos cifrados, se producirá una sobrecarga innecesaria de la CPU y no se conseguirá reducir el tamaño de los paquetes que se envían.

Instale el módem y, a continuación, el cliente VPN.


2.9 Creación automática de una entrada de acceso telefónico a VPN de Novell

Durante la instalación del cliente VPN, si selecciona la utilización de Acceso telefónico a redes, la instalación del cliente VPN creará automáticamente una entrada de acceso telefónico de VPN de Novell.


2.10 Aviso de expiración de contraseña

Durante la entrada del cliente VPN, el usuario de eDirectory recibirá una notificación en caso de que su contraseña de eDirectory haya caducado y esté utilizando entradas de gracia. El usuario también tendrá la posibilidad de cambiar la contraseña de eDirectory durante la entrada del cliente VPN. Esta opción también se proporcionará en el icono de la bandeja del sistema del cliente VPN. El usuario sólo tendrá la posibilidad de cambiar la contraseña si está utilizando credenciales de eDirectory para la entrada de VPN/NetWare desde el cliente VPN. El cambio de contraseña no se llevará a cabo con éxito si se intenta una entrada sin contexto. Requiere todas las credenciales de usuario de eDirectory.


2.11 Directiva

La directiva especificada por el administrador en eDirectory se aplicará al cliente. Si una directiva se modifica para un usuario de VPN en concreto durante una sesión de VPN en curso, los cambios no se reflejarán hasta la siguiente sesión.


2.12 Instalación silenciosa

Esta versión de cliente VPN es compatible con la función de instalación silenciosa, que permite completar la instalación sin necesidad de que el usuario intervenga. Si la opción Acceso telefónico está seleccionada, es posible que se requiera la intervención del usuario, si es que la estación de trabajo no tiene ya instalados los componentes RAS o Acceso telefónico a redes.

Para utilizar esta función, ejecute SETUP.EXE con una función de conmutación para crear un archivo de respuestas que contenga las respuestas a todas las preguntas que suelen hacerse durante la instalación. Dado que esto incluye la selección del cliente de acceso telefónico, el cliente LAN, o ambos, será necesario que cree archivos de respuestas múltiples, según las necesidades del usuario.

Después de crear el archivo de respuestas, puede ejecutar SETUP.EXE con una función de conmutación diferente para utilizar el archivo de respuestas de forma que la instalación requiera una intervención mínima por parte del usuario. También existe una función de conmutación para generar un archivo de registro para la instalación silenciosa. Se puede utilizar para verificar que la instalación se ha completado correctamente, o bien para diagnosticar el motivo del fallo de la instalación. A continuación se brindan ejemplos del modo en que se deben usar estas funciones de conmutación.

Es probable que a menudo se requiera una "instalación silenciosa" en las estaciones de trabajo que tienen diferentes versiones de Windows. Si Windows o el Cliente Novell se instaló desde un CD, la instalación del cliente VPN requerirá el uso de los CD correspondientes a dichas instalaciones. En este caso, como las respuestas a los comandos de instalación dependerán de la versión de Windows instalada, lo mejor es crear un archivo de respuestas que le solicitará al usuario los CD de instalación cuando sea necesario.

Para crear este tipo de archivo de respuestas:

  1. Realice una instalación normal del cliente VPN sin crear el archivo de respuestas. Es posible que esta instalación requiera los CD Cliente Novell o Windows. Proceda como de costumbre con la instalación.

  2. Tras el reinicio, ejecute SETUP.EXE nuevamente, esta vez para crear el archivo de respuestas. Esta reinstalación no le pedirá los CD de instalación de Windows ni de Cliente Novell, por lo que el archivo de respuestas generado no sabrá qué responder cuando la instalación del usuario solicite el CD de Windows o de Cliente Novell. Dado que no habrá ninguna respuesta en el archivo, al usuario se le solicitará el CD de Windows o de Cliente Novell, si son necesarios.

    Para verificar que el archivo de respuestas está funcionando correctamente, ejecute la instalación en el modo silencioso en una estación de trabajo que no tenga instalado el cliente VPN. El archivo de registro de la instalación debería mostrar ResultCode=0.

    La función de instalación silenciosa sólo se puede utilizar con el archivo SETUP.EXE correspondiente al directorio disk1. No funciona con el archivo ejecutable de autoextracción.

    La función de instalación silenciosa queda habilitada al ejecutar el archivo SETUP.EXE correspondiente al directorio disk1, con ciertas opciones de línea de comando. Las opciones disponibles para SETUP.EXE son las siguientes:

    -r - Ejecuta la instalación y captura las respuestas.
    -s - Ejecuta la instalación en modo silencioso.

    Dependiendo de cuál de las dos opciones se esté utilizando, las opciones –f1 y –f2 también se pueden utilizar para especificar archivos de nombres.

Para utilizar la función de instalación silenciosa:

  1. Cree un archivo de respuestas enviando el siguiente comando desde el directorio disk1 de los discos del cliente VPN:

    setup.exe -r -f1"<ARCHIVO_DE_RESPUESTAS>"

    donde <ARCHIVO_DE_RESPUESTAS> contiene la vía única y el nombre del archivo de respuestas. La opción -f1"<ARCHIVO_DE_RESPUESTAS>" se puede omitir, en cuyo caso se creará un archivo de respuestas denominado SETUP.ISS en el directorio Windows o WinNT. Por ejemplo,

    setup.exe -r -f1"c:\test\setup.iss" ejecuta la instalación y guarda la información relacionada en C:\TEST\SETUP.ISS.

    NOTA:  al utilizar funciones de conmutación -f1 y -f2, no inserte un espacio antes de la comilla. Por ejemplo: -f1 "nombredearchivo" no funcionará. -f1"nombredearchivo" sí funcionará.

  2. Ejecute la instalación basándose en la información recabada con anterioridad y ejecute el siguiente comando desde el directorio disk1 de los discos del cliente VPN.

    setup.exe -s -f1"<ARCHIVO_DE_RESPUESTAS>" -f2"<ARCHIVO_DE_REGISTRO>"

    donde <ARCHIVO_DE_RESPUESTAS> contiene el nombre y la vía única del archivo de respuestas y <ARCHIVO_DE_REGISTRO> contiene el nombre y la vía única del archivo de registro.

    Por ejemplo, setup.exe -s -f1"c:\winnt\response.txt" -f2".\setup.log" ejecuta la instalación tomando la información del archivo response.txt, que se encuentra en el directorio c:\WinNT, y registra el resultado en el archivo setup.log, en el mismo directorio que setup.exe.

  3. Verifique que la instalación silenciosa se ejecutó correctamente analizando el contenido de setup.log. Debe consultar una sección de resultados que tenga lo siguiente:

    [ResponseResult]

    ResultCode=0

    Un valor 0 para ResultCode indica que la instalación se realizó correctamente. Un valor distinto implica un fallo en la instalación. Los valores de ResultCode posibles son:

    0 Correcta.
    -1 Error general.
    -2 Modo no válido.
    -3 No se hallaron los datos necesarios en el archivo SETUP.ISS.
    -4 Memoria disponible insuficiente.
    -5 El archivo no existe.
    -6 No es posible escribir en el archivo de respuestas.
    -7 No es posible escribir en el archivo de registro.
    -8 Vía para el archivo de respuestas InstallShield Silent no válida.
    -9 Tipo (cadena o número) de lista no válido.
    -10 Tipo de fecha no válido.
    -11 Error desconocido durante la configuración.
    -12 Los cuadros de diálogo no funcionan.
    -51 No es posible crear la carpeta especificada.
    -52 No es posible acceder al archivo o carpeta especificados.
    -53 Opción seleccionada no válida.

    El código de error de instalación más común es -12. Por lo general, las condiciones de error hacen que se muestren cuadros de diálogo con mensajes de error que solicitan la intervención del usuario, por ejemplo, "Haga clic en Aceptar" para acusar recibo del error. Como la respuesta no figurará en el archivo de respuestas, el proceso de instalación silenciosa asume que los cuadros de diálogo del archivo de respuestas no están funcionando y, por ello, genera el error -12.

    Para automatizar el proceso de instalación silenciosa, se puede utilizar un archivo por lotes. Por ejemplo, puede crear el siguiente archivo INSTALL.BAT en el subdirectorio DISK1: setup.exe -s -f1"c:\vpninst\disk1\response.txt" -f2"c:\temp\vpninst.log" rem Se da por hecho que el cliente VPN se ha extraído a c:\vpninst. rem Puede tratarse de una unidad de la red o cualquier otra unidad. No incluya ningún espacio entre -f1 y la comilla. Si aparece el icono de entrada de VPN en el escritorio, reinicie el equipo y la instalación del cliente VPN habrá acabado.


2.13 Distribución de la configuración del cliente

Si dispone de un archivo llamado vpnconfig.txt en el directorio Disk1 de la instalación del cliente VPN, el programa de instalación tomará de aquí la siguiente información: direcciones del servidor VPN, modo de autenticación, dirección IP del servidor NetWare, secuencias NMAS, contexto de eDirectory, si se debe habilitar o no la entrada eDirectory, etc. El programa actualizará entonces los datos en el registro de la estación de trabajo.

La plantilla de sintaxis del archivo de texto se incluye en el directorio Disk1. Dicha plantilla se puede modificar según las necesidades corporativas. La plantilla explica su propio contenido.


3.0 Problemas solucionados en esta versión

  1. Lista de métodos u opciones de uso frecuente en la autenticación NMAS.
  2. Compatibilidad con Windows 2003.
  3. La dirección del servidor DNS enviada al cliente VPN se actualizará ahora en el registro DNS.
  4. Cuando el sistema pase al modo de hibernación o suspensión, el cliente VPN se desconectará automáticamente.

4.0 Limitaciones y problemas conocidos

  1. La compatibilidad con IPXTM a través del cliente VPN en Windows 2000 y Windows XP, XP Home y Windows Me no está disponible.
  2. Si está actualizando el equipo y ya tiene instalada la versión 3.7 del cliente VPN (u otra anterior), deberá desinstalar el software del cliente VPN de la estación de trabajo y, a continuación, actualizar al nuevo sistema operativo. Después de la actualización, vuelva a instalar el cliente VPN.
  3. Los usuarios restringidos de Windows 2000 y Windows XP no pueden utilizar el cliente VPN porque no tienen privilegios para actualizar la sección KEY_LOCAL_MACHINE del registro. Los usuarios estándar y los administradores sí pueden utilizar el cliente VPN.
  4. El cliente Gateway IP de Novell no se puede utilizar con el cliente VPN. Inhabilite el cliente para el uso del componente Gateway IP de Novell antes de marcar una VPN con el software del cliente VPN. Puede inhabilitar el componente gateway desde la opción Propiedades de entorno de red.
  5. Si el servidor VPN está detrás de un cortafuegos, debe configurar dicho cortafuegos para permitir que el tráfico (entrante y saliente) que presentamos a continuación circule por:

    - el puerto TCP 353
    - el puerto UDP 353
    - el puerto UDP 2010
    - el puerto UDP 500
    - el puerto UDP 4500
    - el ID de protocolo IP 57
    - el ID de protocolo IP 50
    - el ID de protocolo IP 51

    Si el servidor VPN es su cortafuegos, los filtros de excepciones ya estarán configurados para admitir la circulación del tráfico mencionado. Los filtros deben actualizarse durante la configuración de la VPN.

  6. Si utiliza el cliente VPN con el Cliente Novell, debe salir de NetWare antes de desconectarse del servidor VPN, independientemente de si está utilizando una conexión IP solamente o una conexión IPX e IP de VPN. De lo contrario, las conexiones de NetWare no se limpiarán por completo y quizás agote el límite de entradas simultáneas tras varios intentos al utilizar VPN.
  7. No se proporciona compatibilidad con los permisos para la autenticación NMASTM.
  8. NMAS 2.2.4 no funciona con Windows Me. Si necesita NMAS, instale NMAS 2.1 manualmente y continúe.
  9. La compatibilidad con la entrada Novell NDS® en el servidor y el cambio de contraseñas no está disponible dado que Cliente NovellTM no es compatible con Windows Me.
  10. Si el cliente VPN está instalado antes que el Cliente Novell, no se integrará con este último. Si se produce esta situación, ejecute regvpn desde el directorio WINSYS.
  11. Si se produce algún fallo durante la recuperación de certificados, introduzca el nombre de árbol y de servidor preferente en el campo Árbol. Proporcione los detalles utilizando el siguiente formato: <nombre de árbol/contraseña>.
  12. Si la secuencia NMAS del Cliente Novell es diferente de la secuencia NMAS del cliente VPN, no podrá entrar en el servidor NetWare desde el cliente VPN.
  13. La entrada Novell desde el cliente VPN al servidor NetWare sólo tiene lugar si tanto el servidor VPN como el servidor NetWare están en el mismo árbol.
  14. Si el núcleo de NICI 1.7.0 ya está instalado en una estación de trabajo con Windows 98, recomendamos desinstalarlo antes de instalar el cliente VPN.
  15. En NMAS 2.2.4, el método de autenticación USC no funciona. La solución es borrar la entrada local/machine/software/Novell/NMAS/1.0/IDIDDLLPath del registro. Una vez que esta entrada del registro haya sido modificada, el identificador de usuario de la tarjeta no se utilizará, sino que se le solicitará su identificador al propio usuario.
  16. El cliente VPN y el cliente VPN de Nortel Contivity (NOMAD 2.1) no pueden coexistir en una estación de trabajo. Si desea instalar ambos en el mismo equipo, es posible que la estación de trabajo pierda la configuración IP o que algunos de los clientes no se desinstalen correctamente.
  17. Puede que no funcione la instalación silenciosa del cliente VPN desde una unidad asignada o NAL. Copie la carpeta DISK1 en el equipo local y ejecútela localmente. También puede comprimirla usando InstallShield o Winzip y ejecutarla desde una unidad asignada o NAL.
  18. El recuadro de diálogo de la contraseña NMAS se muestra dos veces durante la conexión del cliente VPN desde NWGINA. Este problema se produce en el cliente NMAS 2.3. Instale NMAS 2.3.2 para evitar que el recuadro de diálogo se muestre dos veces.
  19. Es posible que los usuarios con privilegios limitados no puedan usar el cliente VPN, puesto que carecen de derechos para escribir en el registro.
  20. La función de cambio de contraseña del cliente VPN no funciona con las versiones 4.9 o superiores de Cliente Novell.

5.0 Información legal

Novell, Inc. no otorga ninguna garantía respecto al contenido y el uso de esta documentación y, específicamente, renuncia a cualquier garantía explícita o implícita de comercialización o adecuación para un fin determinado. Asimismo, Novell, Inc. se reserva el derecho de revisar esta publicación y realizar cambios en su contenido en cualquier momento, sin obligación de notificar tales cambios a ninguna persona o entidad.

Además, Novell, Inc. no ofrece ninguna garantía con respecto a ningún software y rechaza específicamente cualquier garantía explícita o implícita de comercialización o adecuación para un fin determinado. Por otra parte, Novell, Inc. se reserva el derecho de realizar cambios en cualquiera de las partes o en la totalidad del software de Novell en cualquier momento, sin obligación de notificar tales cambios a ninguna persona ni entidad.

No podrá exportar ni reexportar este producto infringiendo la legislación o las normativas vigentes, incluidas, aunque sin limitarse a ellas, las normativas de exportación de EE.UU. o las del país en el que resida.

Copyright © 1997-2001, 2002, 2003, 2004 Novell, Inc. Reservados todos los derechos. Ninguna parte de esta publicación puede ser reproducida, fotocopiada, almacenada en un sistema de recuperación ni transmitida sin la expresa autorización por escrito del editor.

Novell es una marca comercial registrada de Novell, Inc. en Estados Unidos y en otros países.

Todos los productos de otros fabricantes son propiedad de sus propietarios respectivos.