Configurar BOVPN por TLS en Modo Cliente

BOVPN over TLS usa un modelo cliente-servidor para la comunicación de túnel VPN. Debe configurar al menos un Firebox como Cliente TLS y al menos un Firebox como Servidor TLS.

De forma predeterminada, el servidor BOVPN over TLS asigna direcciones en el grupo 192.168.113.0/24 a los clientes BOVPN over TLS. Mobile VPN with SSL también usa el grupo 192.168.113.0/24 de forma predeterminada. Si tanto BOVPN over TLS en modo Cliente como Mobile VPN with SSL están habilitados en el mismo Firebox, usted debe especificar un grupo de direcciones IP diferente para una de estas funciones. Si ambas funciones utilizan el mismo grupo de direcciones IP, el tráfico BOVPN over TLS no se envía a través del túnel correctamente.

En Fireware v12.1, debe usar la Web UI para configurar BOVPN over TLS. En la Fireware v12.1.1 y superior, también puede usar Policy Manager.

Para configurar un Firebox en modo Cliente, en Fireware Web UI:

Seleccione VPN > BOVPN over TLS.

Screen shot of BOVPN over TLS Enable page

Haga clic en Habilitar.
Aparece el cuadro de diálogo Modo BOVPN over TLS.

Screen shot of the BOVPN over TLS Mode dialog box

En la lista desplegable Modo Firebox, seleccione Cliente.

Screen shot of the Client mode configuration page

Haga clic en Agregar.
Aparece la página Agregar Servidor.

Screen shot of the Add Server page

En el cuadro de texto Nombre de Túnel, ingrese un nombre para el túnel.
En el cuadro de texto Descripción, ingrese una descripción del túnel.
Mantenga marcada la casilla de selección Habilitado para habilitar este túnel.
En el cuadro de texto Servidor Primario, escriba la dirección IP o el nombre de dominio del servidor TLS.
El servidor TLS es un Firebox remoto configurado en el modo Servidor TLS.
(Opcional) En el cuadro de texto Servidor de Respaldo, escriba la dirección IP o el nombre de dominio del servidor TLS de respaldo.
En el cuadro de texto ID del Túnel, ingrese un nombre para el túnel. Debe especificar la misma ID de Túnel en el servidor TLS.
En la casilla de selección Clave Precompartida, ingrese la clave precompartida.
La clave precompartida debe tener entre 8 y 23 caracteres de extensión.

Screen shot of an example TLS BOVPN tunnel configuration

(Opcional) Para cambiar los ajustes de comunicación predeterminados, haga clic en Editar.
Aparece el cuadro de diálogo Configuración Avanzada.

Screen shot of the Advanced Settings

Configure los Ajustes Avanzados.

Autenticación

Seleccione un método de autenticación para la conexión: SHA-1, SHA-256 o SHA-512. Recomendamos las variantes SHA-2, SHA-256 y SHA-512, que son más fuertes que SHA-1.

Cifrado

Para cifrar el tráfico, seleccione un algoritmo: 3DES, AES (128 bits), AES (192 bits) o AES (256 bits). En Fireware v12.2 o superior, también puede seleccionar AES-GCM (128 bits), AES-GCM (192 bits) o AES-GCM (256 bits). Recomendamos el cifrado AES. Para un mejor rendimiento, elija una variante AES de 128 bits. Para el encryption (cifrado) más fuerte, elija una variante AES de 256 bits.

Si selecciona 3DES, tenga en cuenta un ataque de seguridad potencial, aunque poco probable. Para más información, consulte Vulnerabilidad de Sweet32 en la Base de Conocimiento de WatchGuard.

Canal de Datos

Si el protocolo del canal de datos es TCP, no puede especificar otro número de puerto que no sea 443.

Puede cambiar el protocolo del canal de datos a UDP y especificar un puerto diferente, a menos que el Management Tunnel over SSL esté habilitado en su Management Server. Para obtener información sobre las diferencias entre TCP y UDP, consulte Elegir un Puerto y Protocolo para Mobile VPN with SSL.

Intervalo Keep-Alive

Si no se han enviado paquetes a través del túnel durante el tiempo especificado, el cliente BOVPN over TLS hace ping al servidor BOVPN over TLS.

Tiempo de espera de Keep-alive

Si el servidor BOVPN over TLS no envía una respuesta u otro paquete antes de que transcurra el Tiempo de Espera Keep-Alive, la conexión del túnel se cierra y se reinicia.

Renegociar el canal de datos

Si una conexión de BOVPN over TLS ha estado activa por el tiempo especificado en el cuadro de texto Renegociar Canal de Datos, el cliente BOVPN over TLS debe crear un nuevo túnel. El valor mínimo es 1 hora.

La opción Importar un archivo de configuración es para propósitos de prueba interna y no es compatible.

Para configurar un Firebox en modo Cliente, en Policy Manager:

Seleccione VPN > BOVPN over TLS.
Seleccione Activar BOVPN over TLS.
En la lista desplegable Modo Firebox, seleccione Cliente.
Haga clic en Agregar.
Aparece el cuadro de diálogo Agregar Servidor.

Screen shot of the Add Server dialog box

En el cuadro de texto Nombre de Túnel, ingrese un nombre para el túnel.
En el cuadro de texto Descripción, ingrese una descripción del túnel.
Mantenga marcada la casilla de selección Habilitado para habilitar este túnel.
En el cuadro de texto Servidor Primario, escriba la dirección IP o el nombre de dominio del servidor TLS.
El servidor TLS es un Firebox remoto configurado en el modo Servidor TLS.
(Opcional) En el cuadro de texto Servidor de Respaldo, escriba la dirección IP o el nombre de dominio del servidor TLS de respaldo.
En el cuadro de texto ID del Túnel, ingrese un nombre para el túnel. Debe especificar la misma ID de Túnel en el servidor TLS.
En la casilla de selección Clave Precompartida, ingrese la clave precompartida.
La clave precompartida debe tener entre 8 y 23 caracteres de extensión.

Screen shot of the Add Server dialog box with values

(Opcional) Para cambiar los ajustes de comunicación predeterminados, haga clic en Editar.
Aparece el cuadro de diálogo Configuración Avanzada.

Screen shot of the Advanced Settings for BOVPN over TLS in Client mode

Establezca las configuraciones avanzadas:

Autenticación

Seleccione un método de autenticación para la conexión: SHA-1, SHA-256 o SHA-512. Recomendamos las variantes SHA-2, SHA-256 y SHA-512, que son más fuertes que SHA-1.

Cifrado

Seleccione un algoritmo para cifrar el tráfico: 3DES, AES (128 bits), AES (192 bits) o AES (256 bits). En Fireware v12.2 o superior, también puede seleccionar AES-GCM (128 bits), AES-GCM (192 bits) o AES-GCM (256 bits). Recomendamos el cifrado AES. Para un mejor rendimiento, elija una variante AES de 128 bits. Para el encryption (cifrado) más fuerte, elija una variante AES de 256 bits.

Si selecciona 3DES, tenga en cuenta un ataque de seguridad potencial, aunque poco probable. Para más información, consulte Vulnerabilidad de Sweet32 en la Base de Conocimiento de WatchGuard.

Canal de Datos

Si el protocolo del canal de datos es TCP, no puede especificar otro número de puerto que no sea 443.

Puede cambiar el protocolo del canal de datos a UDP y especificar un puerto diferente. Para obtener información sobre las diferencias entre TCP y UDP, consulte Elegir un Puerto y Protocolo para Mobile VPN with SSL.

Intervalo Keep-Alive

Si no se han enviado paquetes a través del túnel durante el tiempo especificado, el cliente BOVPN over TLS hace ping al servidor BOVPN over TLS.

Tiempo de espera de Keep-alive

Si el servidor BOVPN over TLS no envía una respuesta u otro paquete antes de que transcurra el valor del Tiempo de Espera Keep-Alive, la conexión del túnel se cierra y se reinicia.

Renegociar el canal de datos

Si una conexión de BOVPN over TLS ha estado activa por el tiempo especificado en el cuadro de texto Renegociar Canal de Datos, el cliente BOVPN over TLS crea un nuevo túnel. El valor mínimo es 1 hora.

Ver También

Acerca de VPN de Sucursal over TLS

Configurar BOVPN por TLS en Modo Servidor

© 2023 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Todos los demás nombres comerciales son propiedad de sus respectivos dueños.