Interfaz BOVPN Virtual para el Enrutamiento Estático a Amazon Web Services (AWS)

Puede configurar una conexión VPN entre su Firebox y Amazon Web Services (AWS). Por ejemplo, podría configurar una VPN para que los hosts de su red local se conecten de manera segura a los recursos de su Nube Privada Virtual (VPC) de Amazon.

Para las conexiones de VPN a AWS, se recomienda configurar una interfaz virtual BOVPN en el Firebox, en lugar de una BOVPN. Puede usar un enrutamiento estático o dinámico.

En este ejemplo, indicamos una configuración de VPN con:

  • Enrutamiento estático
  • Una interfaz física externa de Firebox
  • Una interfaz virtual Firebox BOVPN con dos endpoints de puerta de enlace
  • Una puerta de enlace AWS con dos direcciones IP para la conmutación por error

Configuración de AWS

Una configuración de VPN de AWS incluye una puerta de enlace privada virtual con dos direcciones IP externas para redundancia. AWS determina automáticamente qué dirección IP es la principal.

La conmutación por error entre las direcciones IP externas está habilitada de forma predeterminada. Si la dirección IP externa principal de AWS no está disponible, el tráfico de VPN pasa automáticamente a la otra dirección IP externa de AWS.

Para obtener las instrucciones detalladas sobre cómo configurar los ajustes de VPN de AWS, consulte la Guía de Usuario de la Nube Privada Virtual de Amazon.

Antes de Configurar el Firebox

Antes de configurar el Firebox, descargue el archivo de configuración desde su cuenta de AWS:

  1. Inicie sesión en la AWS Management Console en https://aws.amazon.com/es/console/.
  2. Haga clic para expandir Todos los Servicios.
  3. En la sección Redes y Distribución de Contenido, haga clic en VPC.
  4. Desde el menú de navegación, en la sección Red Privada Virtual, haga clic en Conexiones VPN de Sitio a Sitio.
  5. Haga clic en el nombre de la conexión.
  6. Haga clic en Descargar Configuración.
  7. En la lista desplegable Proveedor, seleccione WatchGuard, Inc.
  8. En la lista desplegable Software, seleccione Fireware OS 11.12.2 +.
  9. Haga clic en Descargar.
    Se descargará un archivo .txt en su escritorio.
  10. Abra el archivo .txt en un editor de texto.

El archivo de configuración .txt contiene las claves precompartidas, las direcciones IP de la puerta de enlace para el Túnel 1 y el Túnel 2 de AWS y las rutas a la red confiable (privada) de su AWS VPC.

También puede encontrar las direcciones IP en la configuración de su AWS:

  • Para las direcciones IP de la puerta de enlace, seleccione Red Privada Virtual > Conexiones VPN de Sitio a Sitio > [name].
  • Para las rutas, seleccione Nube Privada Virtual > Subredes o Nube Privada Virtual > Tablas de Enrutamiento.

Para este ejemplo, la configuración de AWS usa estas direcciones IP:

  • Dirección de la Puerta de Enlace Cliente203.0.113.2 (interfaz externa en el Firebox)
  • Conexiones de VPN:
    • Túnel 1198.51.100.2 (primera dirección IP de la puerta de enlace privada virtual de AWS)
    • Túnel 2192.0.2.2 (segunda dirección IP de la puerta de enlace privada virtual de AWS)
  • Ruta Estática10.0.1.0/24 (red de confianza del Firebox)

Configurar el Firebox

Para este ejemplo, el Firebox tiene una interfaz externa y una red de confianza:

Interfaz Tipo Nombre Dirección IP
0 Externas Externas 203.0.113.2/24
1 De Confianza De Confianza 10.0.1.1/24

Agregar una Interfaz BOVPN Virtual

Para configurar una puerta de enlace redundante que utilice ambas direcciones IP externas de AWS, debe configurar una interfaz virtual BOVPN que incluya dos endpoints de puerta de enlace. Asegúrese de especificar las distintas claves precompartidas para cada endpoint de puerta de enlace en su Firebox.

  1. Seleccione VPN > Interfaces BOVPN Virtuales.
  2. Haga clic en Agregar.
  3. En el cuadro de texto Nombre de Interfaz, ingrese un nombre que describa la interfaz virtual. En este ejemplo, usamos toAWS.
  4. En la lista desplegable Tipo de Endpoint Remoto, seleccione Cloud VPN o Puerta de Enlace de Tercero.
  5. En la lista desplegable Familia de Direcciones de la Puerta de Enlace, seleccione Direcciones IPv4. AWS no admite IPv6 para los túneles VPN.
  6. Para el método de credencial, seleccione Utilizar Clave Precompartida. Por ahora, mantenga en blanco el cuadro de texto de la clave compartida. Más adelante en la configuración, especificará una clave precompartida diferente para cada puerta de enlace.

Screen shot of the Gateway Settings

Agregar los Puntos de Endpoints de la Puerta de Enlace

Para agregar el primer punto de endpoint de la puerta de enlace:

  1. En la sección Endpoints de Puerta de Enlace, haga clic en Agregar.
    Aparece el cuadro de diálogo Configuraciones de Endpoints de la Puerta de Enlace.
  2. En la lista desplegable Física, seleccione Externa.
  3. En la lista desplegable Dirección IP de Interfaz, seleccione Dirección Principal de la Interfaz de IPv4.
  4. Seleccione Por Dirección IP.
  5. En el cuadro de texto adyacente, ingrese la dirección IP para la interfaz externa del Firebox. En este ejemplo, usamos 203.0.113.2.

Screen shot of the Local Gateway settings

  1. Seleccione la pestaña Puerta de Enlace Remota.
  2. Seleccione Dirección IP Estática.
  3. En el cuadro de texto adyacente, ingrese la primera dirección IP de la puerta de enlace privada virtual de AWS. En este ejemplo, usamos 198.51.100.2.
  4. Seleccione Por Dirección IP.
  5. En el cuadro de texto adyacente, ingrese la primera dirección IP de la puerta de enlace privada virtual de AWS. En este ejemplo, usamos 198.51.100.2.

Screen shot of the Remote Gateway settings

  1. En la pestaña Avanzado, seleccione Especifique una clave precompartida diferente para cada endpoint de puerta de enlace.
  2. Pegue la clave que se incluye en el archivo de configuración .txt de AWS. Dicho archivo incluye dos claves precompartidas, una para cada endpoint de la puerta de enlace.

Screen shot of the Advanced tab

  1. Haga clic en Aceptar.
  1. En la sección Endpoints de Puerta de Enlace, haga clic en Agregar.
    Aparece el cuadro de diálogo Configuraciones de Endpoints de la Puerta de Enlace.
  2. En la lista desplegable Física, seleccione Externa.
  3. En la lista desplegable Dirección IP de Interfaz, seleccione Dirección Principal de la Interfaz de IPv4.
  4. Seleccione Por Dirección IP.
  5. En el cuadro de texto adyacente, ingrese la dirección IP para la interfaz externa del Firebox. En este ejemplo, usamos 203.0.113.2.
  6. Seleccione la pestaña Puerta de Enlace Remota.
  7. Seleccione Dirección IP Estática.
  8. En el cuadro de texto adyacente, ingrese la primera dirección IP de la puerta de enlace privada virtual de AWS. En este ejemplo, usamos 192.0.2.2.
  9. Seleccione Por Dirección IP.
  10. En el cuadro de texto adyacente, ingrese la primera dirección IP de la puerta de enlace privada virtual de AWS. En este ejemplo, usamos 192.0.2.2.
  11. En la pestaña Avanzado, seleccione Especifique una clave precompartida diferente para cada endpoint de puerta de enlace.
  12. Pegue la otra clave que se incluye en el archivo de configuración .txt de AWS.
  13. Haga clic en Aceptar.

Screen shot of the BOVPN virtual interface Gateway Settings tab

Configurar Rutas VPN

A continuación, agregue una ruta a la red de confianza (privada) de su AWS VPC.

  1. En la pestaña Rutas VPN, haga clic en Agregar.
    Aparece el cuadro de diálogo Configuraciones de Ruta VPN.
  2. En la lista desplegable Elegir Tipo, seleccione Red IPv4.
  3. En el campo Enrutar a, escriba 10.0.100.0/24. ¡Consejo!
  4. Haga clic en Aceptar.

Screen shot of BOVPN VIF routes

Configurar los Ajustes de la Fase 1 y la Fase 2

Finalmente, debe configurar los ajustes de la Fase 1 y la Fase 2.

Durante las negociaciones de VPN, AWS identifica la configuración del algoritmo de autenticación y cifrado del Firebox. Si AWS admite los ajustes, automáticamente utiliza la misma configuración. AWS admite propuestas específicas. No puede editar la configuración de AWS para precisar las distintas propuestas.

Screen shot of the Phase 1 settings for a BOVPN virtual interface

  1. Seleccione Habilitar Perfect Forward Secrecy.
  2. En la lista desplegable, seleccione Grupo Diffie-Hellman 14.
    También se admiten los grupos 1, 2, 5, 15, 19 y 20.
  3. En la lista desplegable Propuestas IPSec, seleccione ESP-AES256-SHA256.
    También se admiten SHA1 y AES128.

Screen shot of Phase 2 settings

Ver También

Interfaz BOVPN Virtual para el Dynamic Routing a Amazon Web Services (AWS)