Acceso a Web-IO desde el teléfono móvil vía VPN

Acceso independiente de la ubicación, conexión segura, fácil configuración: este tutorial le guía paso a paso por la configuración de un teléfono smartphone para acceder a un Web-IO.

Requisitos

• Ya se ha completado la puesta en servicio de Microwall y Web-IO en la red LAN del cliente o en la isla del Web-IO con las direcciones indicadas en el gráfico.

• La gestión de Microwall basada en la web está accesible en la empresa del cliente.

• En el teléfono móvil Android ya está instalada la app WireGuard (esta app está disponible en Google Play Store buscando "wireguard" y para los dispositivos de Apple también en App Store).

En el ejemplo descrito aquí, y en aras de la simplicidad, el Microwall ejecuta la configuración del cliente VPN. Esto incluye también la sensible clave privada (Private Key) que autentica al cliente. Para entornos con mayores exigencias de seguridad se debería generar las claves en el cliente mismo y solo transmitir al Microwall la clave pública (Public Key) no crítica.

Pasos a seguir

1. Configuración de Microwall y del teléfono móvil para VPN
2. Autorización de la conexión VPN en el router perimetral
3. Regla cortafuegos en Microwall
4. Prueba de la conexión VPN

1. Configuración de Microwall y del teléfono móvil para VPN

• Abra un navegador en la red LAN del cliente, inicie una conexión con Microwall vía https e inicie sesión.

• Navegue a la página "Home" a "Servidor VPN" y a "Entorno VPN".

• El "IP virtual" del servidor para VPN o el rango de IP del túnel para VPN puede ser elegido con amplia libertad. Se podrá aceptar la especificación de Microwall siempre que no exista ningún conflicto con los rangos IP de la red de la empresa o de la isla del Web-IO.

  

• En el puerto de escucha UDP indicado, el servidor de VPN espera las conexiones entrantes del cliente de VPN. Para el número de puerto utilizado aquí es necesario configurar en el router perimetral un redireccionamiento de puerto o dirección (Adress/Port Forwarding) en la dirección IP del Microwall.

• Guarde los cambios y navegue a través de "Home" y "Cliente VPN" hasta "Inventario de clientes".

• Para crear un nuevo cliente de la VPN, pulse en primer lugar el símbolo de más. Para realizar la puesta en servicio simplificada, descrita aquí, en la que el Microwall del servidor genera el archivo de configuración para el cliente, tiene que activar la opción "Configuración avanzada" 1.

  

• Adjudique la dirección IP del cliente de VPN dentro del rango del túnel VPN 2 e introduzca un nombre para el cliente.

• Pulse "GENERAR CLAVES" 3. Microwall genera una pareja de claves pública y privada para el cliente de la VPN. Microwall utiliza la sensible clave privada exclusivamente para generar el archivo de configuración del cliente de VPN y esta solo se muestra en este diálogo. Esa clave no se guarda.

• En Introduzca en "Punto final (servidor VPN)" 4 la dirección IP y el número de puerto en los que está accesible el servidor VPN desde Internet. Si el router perimetral de la red LAN del cliente dispone de una dirección IP estática pública, se utilizará esa aquí. En caso contrario hay que indicar el nombre del host reservado a través de un proveedor de DNS dinámico.
  En esta rápida puesta en servicio, Microwall rellena el resto de los parámetros y no es necesario modificarlos.

• Con un clic en la opción "Mostrar código QR" 5 se muestra en la pantalla el archivo de configuración del cliente de la VPN en forma de código QR.

• Abra la app WireGuard en el teléfono móvil, pulse la opción de más y seleccione "ESCANEAR CÓDIGO QR". Una vez leído el código QR, adjudique un nombre para la conexión y pulse "Generar túnel".

• Cierre el código QR en el Microwall y pulse "Agregar" 6 para finalizar la creación del cliente de VPN. Para guardar, pulse en el resumen siguiente del cliente de la VPN "Guardar".

  

2. Autorización de la conexión VPN en el router perimetral

• Para redirigir la conexión VPN entrante del teléfono móvil al Microwall es necesario configurar la correspondiente regla de autorización en el router DSL o perimetral. Para ello se redirigen los paquetes UDP que llegan de Internet al puerto 4444 utilizado aquí a la dirección de Intranet 192.168.10.200 del Mircrowall.

• Ejemplo con FritzBox 7590:
  En "Internet", "Autorizaciones" y "Autorizaciones puertos" pulse "Agregar dispositivo para autorización". Seleccione el Microwall con la dirección IP 192.168.10.200 y pulse "Nueva autorización". Pulse "OK" y luego "Aceptar" para guardar la nueva autorización en FritzBox.

  

3. Regla cortafuegos en Microwall

• Navegue a través de la página Home y "Servidor VPN" hasta "Reglas VPN". Para crear una nueva regla de autorización pulse en primer lugar el símbolo de más.

• Introduzca un nombre arbitrario para la regla.

  

• Al pulsar la flecha de dirección define que se trata de una conexión entrante en la isla del Web-IO.

• En "IP origen" seleccione el teléfono móvil. Seleccione en puerto de origen "any", pues el sistema lo determina dinámicamente en el lado del cliente y no puede ser definido.

• En "IP destino" introduzca la dirección IP del Web-IO (10.110.10.2). Introduzca 80 como "Puerto destino" por defecto para la página web del Web-IO.

• En este ejemplo mantenemos el resto de los parámetros con los valores estándar. Para finalizar este diálogo pulse "Agregar" y luego en la lista de intervalos pulse "Guardar".

4. Prueba de la conexión VPN

• Pulse dentro de la app WireGuard de su teléfono móvil en el nuevo túnel VPN creado y active la conexión con el botón deslizante. En la barra de "Transfer" se muestra la cantidad de datos recibidos y enviados.

• Inicie un navegador en el teléfono móvil. En la dirección http://10.110.10.2 accede a la página web del Web-IO.