Acerca de VPN de Sucursal IPSec Manuales

Una Red Privada Virtual (VPN) establece conexiones seguras entre equipos o redes en diferentes ubicaciones. Cada conexión es conocida como un túnel. Cuando se crea un túnel VPN, las dos extremidades del túnel autentican una a la otra. Los datos en el túnel están cifrados de tal manera que solo el remitente y el destinatario del tráfico pueden leerlos.

Una red privada virtual de sucursal (BOVPN) permite a las organizaciones ofrecer conectividad segura y cifrada entre oficinas separadas geográficamente. Las redes y los hosts en un túnel BOVPN pueden ser sedes corporativas, sucursales, endpoints basados en la nube como Microsoft Azure o Amazon AWS, usuarios remotos o trabajadores a distancia. Las comunicaciones de BOVPN suelen contener tipos de datos críticos intercambiados dentro de un firewall corporativo. En ese panorama, una BOVPN ofrece conexiones confidenciales entre esas oficinas. Eso optimiza la comunicación, reduce el costo de líneas exclusivas y mantiene la seguridad en cada extremidad.

Los Túneles BOVPN Manuales ofrecen varias opciones adicionales de túneles. Otro tipo de túnel es un túnel BOVPN administrado, que es un túnel BOVPN que puede crear entre sus dispositivos administrados centralmente con el procedimiento de arrastrar y soltar o un asistente. Para obtener información sobre este tipo de túnel, vea Túneles de VPN de Sucursal Administrados (WSM).

Las VPN de sucursal de WatchGuard usan IPSec o TLS para proteger el túnel BOVPN. El túnel VPN de sucursal debe conectarse a una interfaz externa del dispositivo en cada extremo del túnel.

Para obtener información general sobre cómo funcionan las VPN IPSec, consulte Cómo funcionan las VPN de IPSec. Para obtener información sobre las VPN TLS, consulte Acerca de VPN de Sucursal over TLS.

Requisitos y Planificación de BOVPN

Para crear una VPN de sucursal IPSec entre un Firebox y otra puerta de enlace VPN IPSec:

  • Debe tener dos Firebox, o un Firebox y una puerta de enlace IPSec VPN de un tercero.
  • Las dos puertas de enlace deben tener una interfaz externa con una conexión a Internet.
  • Debe saber si la dirección IP asignada al otro dispositivo VPN es estática o dinámica. Si el otro dispositivo VPN tiene una dirección IP dinámica y usa DNS dinámico, puede especificar el nombre de dominio de ese dispositivo. Si el otro dispositivo no usa DNS dinámico, ese dispositivo puede enviar cualquier cadena de dominio que no se pueda resolver si es el iniciador. Para los endpoints dinámicos, debe usar el Modo Agresivo IKEv1 o IKEv2 (recomendado).
  • El ISP para cada dispositivo VPN debe permitir el tráfico IPSec en sus redes.
    Algunos ISPs no permiten la creación de túneles VPN en sus redes salvo que actualice su servicio de Internet a un nivel que soporte túneles VPN. Para que la VPN funcione correctamente, asegúrese de que estos puertos y protocolos estén permitidos:
    • Puerto UDP 500 (Intercambio de Clave de Red o IKE)
    • Puerto UDP 4500 (NAT Traversal)
    • Protocolo IP 50 (Carga de seguridad de encapsulación o ESP)

Antes de configurar una VPN de sucursal, debe acordar los ajustes de la puerta de enlace VPN y del túnel que se usarán, y debe conocer las direcciones IP de las redes privadas a las que desea enviar y recibir el tráfico a través del túnel:

  • Para usar una clave precompartida como método de credencial, debe saber la clave compartida (contraseña) del túnel. La misma clave compartida debe ser usada por cada dispositivo. La clave compartida puede ser de hasta 79 caracteres de largo. En Fireware v12.5.4 o superior, puede especificar una clave precompartida basada en hexadecimal. Para obtener información sobre llaves hexadecimales, consulte Claves Precompartidas Basadas en Hexadecimal.
  • Para usar un certificado como método de credencial, el mismo certificado debe estar instalado en ambos endpoints.
  • (Fireware v12.6.2 o superior) Si selecciona Especificar un certificado CA para la verificación de endpoint remoto, el certificado del par de VPN debe ser parte de la cadena de certificados que incluye el certificado CA raíz o intermedio especificado. Si el certificado de pares no es parte de la cadena, el Firebox rechaza las negociaciones del túnel de la Fase 1.
  • Se debe conocer el método de cifrado usado en el túnel (3DES, AES 128 bits, AES 192 bits o AES 256 bits). En Fireware v12.2 o superior, también puede especificar AES-GCM (128 bits), AES-GCM (192 bits) o AES-GCM (256 bits). Los dos dispositivos de VPN deben usar el mismo método de cifrado. Para lograr un mejor desempeño y mayor seguridad, se le recomienda usar AES o un mejor cifrado en todas las VPN de sucursal que contienen dispositivos Firebox admitidos.
  • Debe conocer el método de autenticación para cada extremo del túnel (MD5, SHA-1, SHA2-256, SHA2-384, SHA2-512). Los dos dispositivos de VPN deben usar el mismo método de autenticación.
  • Debe conocer las direcciones de red de las redes privadas (de confianza) detrás de su Firebox y de la red detrás del otro dispositivo VPN, así como sus subnet masks.
  • Si cualquiera de las direcciones IP privadas de los equipos detrás de su Firebox son las mismas que las direcciones IP de los equipos en el otro lado del túnel VPN, puede utilizar la 1-to-1 NAT para enmascarar las direcciones IP para evitar un conflicto. Para más información, consulte Configurar 1-to-1 NAT a través de un Túnel VPN de Sucursal.

Recomendamos que registre la información sobre la configuración del Firebox local y la información sobre la puerta de enlace VPN remota a la que desea conectarse. Consulte Ejemplo de Tabla Informativa sobre VPN para conocer la lista de la información que se reunirá. También puede guardar o imprimir la configuración BOVPN para comparar los ajustes fácilmente. Para más información, consulte Utilizar los Informes de Configuración de BOVPN.

Opciones de Configuración de Túnel BOVPN

Hay dos maneras de configurar un túnel BOVPN manual. El método que escoja determina cómo Firebox decide si debe enviar tráfico a través del túnel.

Configurar una Puerta de Enlace BOVPN y agregar Túneles BOVPN

Puede configurar una puerta de enlace BOVPN y agregar uno o más túneles BOVPN que usen esa puerta de enlace. Esta opción le permite establecer un túnel BOVPN entre dos Firebox, o entre un Firebox y otro dispositivo que use las mismas configuraciones de puerta de enlace y de túnel. Cuando use este método de configuración, el Firebox siempre enruta un paquete a través del túnel BOVPN si el origen y el destino del paquete coinciden con un túnel BOVPN configurado.

Para ver una demostración de cómo configurar puertas de enlace BOVPN y túneles en Policy Manager, vea el tutorial en video VPN de Sucursal (12 minutos).

Para más información sobre cómo configurar la puerta de enlace y el túnel, vea

Configurar una Interfaz Virtual BOVPN

Puede también configurar una BOVPN como una interfaz virtual BOVPN y luego agregar rutas a través de la interfaz virtual. Cuando usa este método de configuración, el Firebox enruta un paquete a través del túnel basado en la interfaz saliente para el paquete. Puede seleccionar una interfaz virtual BOVPN como destino cuando configura las políticas. La decisión sobre si Firebox envía tráfico a través del túnel VPN se ve afectada por rutas estáticas y dinámicas, y por enrutamiento basado en la política.

Para más información, consulte Acerca de las Interfaces BOVPN Virtuales.

Personalizar Políticas del Túnel

Cuando configura un túnel BOVPN, Firebox automáticamente agrega túneles VPN nuevos a las políticas BOVPN-Allow.in y BOVPN-Allow.out. Estas políticas permiten que todo el tráfico use el túnel. Puede elegir no usar esa política y, en lugar de eso, crear políticas de VPN personalizadas para permitir sólo tráfico de tipos específicos a través del túnel. Para más información, consulte Definir las Políticas del Túnel Personalizadas.

Túneles de una Dirección

Si desea crear un túnel VPN que permita que el tráfico fluya en una sola dirección, puede configurar el túnel para que utilice una NAT dinámica de salida. Eso puede ser útil cuando establece un túnel para un sitio remoto donde todo el tráfico de VPN viene desde una dirección IP pública. Para más información, consulte Configurar una NAT Dinámica Saliente a través de un Túnel VPN de Sucursal .

Failover de VPN

Los túneles VPN automáticamente hacen la conmutación por error para la interfaz WAN de resguardo durante la conmutación por error de WAN. Puede configurar túneles BOVPN para hacer conmutación por error a un endpoint de punto de resguardo si el endpoint principal deja de estar disponible. Para configurar los ajustes de conmutación por error, debe definir, como mínimo, un endpoint de respaldo, tal como se describe en Configurar Failover de VPN.

Configuraciones de VPN Global

Las configuraciones de VPN globales en su Firebox se aplican a todos los túneles BOVPN manuales, interfaces virtuales BOVPN, túneles administrados BOVPN y túneles de Mobile VPN. Puede usar esas configuraciones para:

  • Activar puerto de transferencia IPSec
  • Limpiar o mantener las configuraciones de paquetes con conjunto de bits de Tipo de Servicio (TOS)
  • Habilitar el uso de rutas no predeterminadas para determinar si se usa IPSec
  • Deshabilitar o Habilitar la política IPSec incorporada
  • Usar un servidor de LDAP para verificar los certificados
  • Configurar el Firebox para que envíe una notificación cuando un túnel BOVPN esté inactivo (sólo túneles BOVPN)

Para cambiar estos ajustes, en Policy Manager, seleccione VPN > Configuración de VPN. Para cambiar esta configuración, desde Fireware Web UI, seleccione VPN > Configuración global. Para obtener más información sobre estas configuraciones, vea Acerca de las Configuraciones de VPN Global.

Estado del Túnel BOVPN

Puede ver el estado actual de los túneles BOVPN en la pestaña Panel Delantero del Firebox System Manager o en la pestaña Estado del Dispositivo del WatchGuard System Manager cuando está conectado a su dispositivo. Para más información, consulte Servicios de Suscripción y Estado del Túnel VPN.

Para ver el estado actual de los túneles BOVPN, en Fireware Web UI, seleccione Estado del Sistema > Estadísticas de VPN. Para más información, consulte Estadísticas VPN.

Reingresar Clave de Túneles BOVPN

Si no desea esperar a que sus claves del túnel BOVPN caduquen, puede utilizar el Firebox System Manager para generar inmediatamente nuevas claves para sus túneles BOVPN. Para más información, consulte Forzar la Regeneración de Clave de un Túnel VPN de Sucursal .

Ver También

Configurar 1-to-1 NAT a través de un Túnel VPN de Sucursal

VPN de Sucursal (Video)

Acerca de VPN de Sucursal over TLS