Definir los Endpoints de la Puerta de Enlace para una Puerta de Enlace BOVPN
Los endpoints de puerta de enlace son puertas de enlace locales y remotas conectadas por una BOVPN. La configuración de endpoints de puerta de enlace le dice a su Firebox cómo identificar y comunicarse con el dispositivo de endpoint remoto cuando negocia la BOVPN. También le dice al dispositivo cómo identificarse en el endpoint remoto al negociar la BOVPN. Debe configurar por lo menos un par de endpoints de puerta de enlace cuando agrega una puerta de enlace BOVPN.
Cualquier interfaz externa puede ser un endpoint de puerta de enlace. Si el endpoint remoto o local tiene más de una interfaz externa, puede configurar pares de endpoints múltiples de puerta de enlace. Esto le permite al dispositivo conmutar por error a una conexión secundaria si la primaria no está disponible. Si configura más de un par de endpoints de puerta de enlace, asegúrese de que los endpoints estén enumerados en el mismo orden en ambos endpoints de los dispositivos. Para más información, consulte Configurar Failover de VPN.
En Fireware v12.4 o superior, puede configurar una VPN de sucursal manual entre dos puertas de enlace IPv6. Para más información, consulte Configurar Puertas de Enlace BOVPN Manuales.
En Fireware v12.2 o superior, puede especificar una dirección IP de interfaz secundaria como endpoint de la puerta de enlace. De forma predeterminada, se utiliza la dirección IP primaria configurada en la interfaz externa que especifique.
En Fireware v12.1.x o inferior, no utilice una dirección IP de interfaz secundaria como un endpoint de puerta de enlace. Si configura un endpoint de puerta de enlace con una dirección IP de interfaz secundaria, la conexión BOVPN podría fallar si el Firebox local inicia la conexión BOVPN. Esto se debe a que Firebox inicia la conexión con la dirección IP de la interfaz principal. Si el endpoint remoto inicia la conexión BOVPN y especifica la dirección IP de la interfaz secundaria, la conexión tiene éxito.
Puerta de enlace local
En la sección Puerta de Enlace Local, configure la interfaz externa y la dirección IP a las cuales se conecta la BOVPN en su Firebox. También puede configurar la ID de la puerta de enlace.
Para la ID de la puerta de enlace, si tiene una dirección IP estática, puede seleccionar Por Dirección IP. Si tiene un dominio que redirige a la dirección IP a la que se conecta la BOVPN en su Firebox, seleccione Por Información de Dominio.
- Crear o editar una Puerta de Enlace de VPN de sucursal. Para más información, consulte Configurar Puertas de Enlace BOVPN Manuales.
- En la página Puerta de Enlace, en la sección Endpoint de Puerta de Enlace, haga clic en Agregar.
Aparece el cuadro de diálogo Configuraciones de Endpoints de la Nueva Puerta de Enlace.
- En la lista desplegable Interfaz externa, seleccione la interfaz que tiene la dirección IP externa (pública) del Firebox del Sitio A. Si configuró el cliente inalámbrico como una interfaz externa, seleccione la interfaz WG-Wireless-Client.
- (Fireware v12.2 o superior) En la lista desplegable Dirección IP de la Interfaz, seleccione la Dirección IP de la Interfaz Primaria o seleccione una dirección IP secundaria que ya esté configurada en la interfaz externa seleccionada. En Fireware v12.4 o superior, las opciones de interfaz primaria son Dirección IPv4 de Interfaz Primaria o Dirección IPv6 de Interfaz Primaria. ¡Consejo!
- Seleccione una opción y especifique el id. de la puerta de enlace:
- Por dirección IP — Ingrese la dirección IP primaria de la interfaz de Firebox.
En Fireware v12.2 o superior, si seleccionó una dirección IP secundaria de la lista desplegable Dirección IP de la Interfaz, esa dirección IP aparece automáticamente en el cuadro de texto Por Dirección IP.
En Fireware v12.4 o superior, debe especificar un tipo de dirección IP que concuerde con el ajuste de Familia de Direcciones que configuró anteriormente. Por ejemplo, si especificó las Direcciones IPv6, debe precisar una dirección IPv6 en el cuadro de texto Por Dirección IP.
En Fireware v12.1.x o inferior, no utilice una dirección IP de interfaz secundaria como la ID de la puerta de enlace. - Por Nombre de Dominio — Introduzca su nombre de dominio. Debe especificar 63 caracteres o menos.
- Por ID de Usuario en Dominio — Introduzca el nombre de usuario y el dominio con el formato NombreUsuario@NombreDominio. Debe especificar 63 caracteres o menos.
- Por nombre x500 — Esta opción se selecciona automáticamente si especificó un certificado como método de credencial. En Fireware v12.5.2 o superior, puede especificar un certificado con un nombre x500 de hasta 255 caracteres de longitud. En Fireware v12.5.1 o inferior, debe especificar 63 caracteres o menos.
- Por dirección IP — Ingrese la dirección IP primaria de la interfaz de Firebox.
- Crear o editar una puerta de enlace de VPN de sucursal. Para más información, consulte Configurar Puertas de Enlace BOVPN Manuales.
- En la página Agregar Puerta de Enlace, en la sección Endpoints de la Puerta de Enlace, haga clic en Agregar.
Aparece el cuadro de diálogo Configuraciones de Endpoints de la Nueva Puerta de Enlace.
- En la lista desplegable Interfaz externa, seleccione la interfaz que tiene la dirección IP externa (pública) del Firebox del Sitio A. Si configuró el cliente inalámbrico como una interfaz externa, seleccione la interfaz WG-Wireless-Client.
- (Fireware v12.2 o superior) Para especificar una dirección IP, en la lista desplegable Dirección IP de la Interfaz, seleccione la Dirección IP de la Interfaz Primaria o seleccione una dirección IP secundaria que ya esté configurada en la interfaz externa seleccionada. ¡Consejo!
- Seleccione una opción y especifique el id. de la puerta de enlace:
- Por dirección IP — Ingrese o seleccione la dirección IP primaria de la interfaz de Firebox.
En Fireware v12.2 o superior, si seleccionó una dirección IP secundaria de la lista desplegable Dirección IP de la Interfaz, esa dirección IP aparece automáticamente en el cuadro de texto Por Dirección IP.
En Fireware v12.4 o superior, debe especificar un tipo de dirección IP que concuerde con el ajuste de Familia de Direcciones que configuró anteriormente. Por ejemplo, si especificó las Direcciones IPv6, debe precisar una dirección IPv6 en el cuadro de texto Por Dirección IP.
En Fireware v12.1.x o inferior, no utilice una dirección IP de interfaz secundaria como la ID de la puerta de enlace. - Por Información de Dominio — Haga clic en Configurar y seleccione el método de configuración de dominio. Seleccione Por Nombre de Dominio o Por ID de Usuario en Dominio.
- Por Nombre de Dominio — Introduzca su nombre de dominio y haga clic en Aceptar. En Fireware v12.5.2 o superior, puede especificar hasta 255 caracteres. En Fireware v12.5.1 o inferior, debe especificar 63 caracteres o menos.
- Por ID de Usuario en Dominio — Ingrese el nombre de usuario y dominio con el formato NombreUsuario@NombreDominio y haga clic en Aceptar. En Fireware v12.5.2 o superior, puede especificar hasta 255 caracteres. En Fireware v12.5.1 o inferior, debe especificar 63 caracteres o menos.
- Por dirección IP — Ingrese o seleccione la dirección IP primaria de la interfaz de Firebox.
Puerta de enlace remota
Si el endpoint de la VPN remota obtiene su dirección IP externa de DHCP o PPPoE, defina el tipo de ID de la puerta de enlace remota como Nombre de Dominio. Defina el campo del nombre del punto en nombre de dominio totalmente cualificado del endpoint de la VPN remota. El Firebox usa la dirección IP y el nombre de dominio para encontrar el endpoint de VPN. Asegúrese de que el servidor DNS que usa el dispositivo pueda identificar el nombre.
- En el cuadro de diálogo Ajustes de Endpoint de Puerta de Enlace, seleccione la pestaña Puerta de Enlace Remota.
- Seleccione el tipo de dirección IP de puerta de enlace remota:
- Dirección IP estática — Seleccione esta opción si el dispositivo remoto tiene una dirección IP estática. Ingrese o seleccione la dirección IP.
En Fireware v12.4 o superior, debe especificar un tipo de dirección IP que concuerde con el ajuste de Familia de Direcciones que configuró anteriormente. Por ejemplo, si especificó Direcciones IPv6, debe precisar una dirección IPv6 en el cuadro de texto Dirección IP Estática. - Dirección IP dinámica — Seleccione esta opción si el dispositivo remoto tiene una dirección IP dinámica.
- Dirección IP estática — Seleccione esta opción si el dispositivo remoto tiene una dirección IP estática. Ingrese o seleccione la dirección IP.
- Seleccione una opción y especifique la ID de la puerta de enlace remota:
- Por dirección IP — Introduzca la dirección IP.
En Fireware v12.4 o superior, debe especificar un tipo de dirección IP que concuerde con el ajuste de Familia de Direcciones que configuró anteriormente. Por ejemplo, si especificó Direcciones IPv6, debe precisar una dirección IPv6 en el cuadro de texto Por dirección IP. - Por Nombre de Dominio — Introduzca el nombre de dominio. En Fireware v12.5.2 o superior, puede especificar hasta 255 caracteres. En Fireware v12.5.1 o inferior, debe especificar 63 caracteres o menos.
- Por ID de Usuario en Dominio — Introduzca la ID de usuario y el dominio. En Fireware v12.5.2 o superior, puede especificar hasta 255 caracteres. En Fireware v12.5.1 o inferior, debe especificar 63 caracteres o menos.
- Por Nombre x500 — Introduzca el nombre x500. En Fireware v12.5.2 o superior, puede especificar hasta 255 caracteres. En Fireware v12.5.1 o inferior, debe especificar 63 caracteres o menos.
Para un endpoint de puerta de enlace IPv4, si el nombre de dominio del endpoint remoto se puede resolver, marque la casilla de selección Intentar resolver dominio.
Cuando se selecciona esta opción, el dispositivo automáticamente realiza una búsqueda de DNS para encontrar la dirección IP asociada con el nombre de dominio para el endpoint remoto. Las conexiones no se realizan hasta que se pueda resolver el nombre de dominio. Marque esta casilla de verificación para las configuraciones que dependan de un servidor DNS dinámico para mantener una aplicación entre una dirección IP dinámica y un nombre de dominio. - Por dirección IP — Introduzca la dirección IP.
- Haga clic en Aceptar.
Aparece el par de la puerta de enlace definido en la lista de endpoints de la puerta de enlace. - Para configurar la Fase 1 de esta puerta de enlace, siga los pasos en Configurar los Ajustes de Fase 1 IPSec VPN.
- Seleccione el tipo de dirección IP de puerta de enlace remota:
- Dirección IP estática — Seleccione esta opción si el dispositivo remoto tiene una dirección IP estática. Ingrese o seleccione la dirección IP.
En Fireware v12.4 o superior, debe especificar un tipo de dirección IP que concuerde con el ajuste de Familia de Direcciones que configuró anteriormente. Por ejemplo, si especificó Direcciones IPv6, debe precisar una dirección IPv6 en el cuadro de texto Dirección IP Estática. - Dirección IP dinámica — Seleccione esta opción si el dispositivo remoto tiene una dirección IP dinámica.
- Dirección IP estática — Seleccione esta opción si el dispositivo remoto tiene una dirección IP estática. Ingrese o seleccione la dirección IP.
- Seleccione una opción y especifique el id. de la puerta de enlace:
- Por dirección IP — Introduzca la dirección IP o selecciónela de la lista desplegable.
En Fireware v12.4 o superior, debe especificar un tipo de dirección IP que concuerde con el ajuste de Familia de Direcciones que configuró anteriormente. Por ejemplo, si especificó Direcciones IPv6, debe precisar una dirección IPv6 en el cuadro de texto Por dirección IP. - Por Información de Dominio
- Haga clic en Configurar y seleccione el método de configuración de dominio: Nombre de Dominio, ID de Usuario @ Dominio o Nombre X500.
- Introduzca el nombre, la ID de usuario y el dominio o el nombre x500. En Fireware v12.5.2 o superior, puede especificar hasta 255 caracteres. En Fireware v12.5.1 o inferior, debe especificar 63 caracteres o menos.
- Para un endpoint de puerta de enlace IPv4, si el nombre de dominio del endpoint remoto se puede resolver, marque la casilla de selección Intentar resolver.
Cuando se selecciona esta opción, el dispositivo automáticamente realiza una búsqueda de DNS para encontrar la dirección IP asociada con el nombre de dominio para el endpoint remoto. Las conexiones no se realizan hasta que se pueda resolver el nombre de dominio. Marque esta casilla de verificación para las configuraciones que dependan de un servidor DNS dinámico para mantener una aplicación entre una dirección IP dinámica y un nombre de dominio. - Haga clic en Aceptar.
- Por dirección IP — Introduzca la dirección IP o selecciónela de la lista desplegable.
- Haga clic en Aceptar para cerrar el cuadro de diálogo Ajustes de los Endpoints de la Nueva Puerta de Enlace.
Aparece el par de la puerta de enlace definido en la lista de endpoints de la puerta de enlace. - Para usar la configuración de Fase 1 distinta a los valores predeterminados, siga los pasos en Configurar los Ajustes de Fase 1 IPSec VPN. De lo contrario, haga clic en Aceptar.
Configuraciones Avanzadas
Certificado CA
(Fireware v12.6.2 o superior) Esta opción aparece si selecciona un certificado para la autenticación. Cuando habilita esta opción, debe seleccionar un certificado CA raíz o intermedio de la lista desplegable Certificado CA. El Firebox usa ese certificado CA para verificar el certificado recibido del par VPN. El certificado del par de VPN debe ser parte de la cadena de certificados que incluye el certificado CA raíz o intermedio especificado. Si el certificado de pares no es parte de la cadena, el Firebox rechaza las negociaciones del túnel de la Fase 1.
Diferente clave precompartida
Puede especificar claves precompartidas diferentes para cada endpoint de puerta de enlace. Puede seleccionar esta opción si configura una VPN entre un Firebox y un endpoint de terceros, y el endpoint de terceros requiere que cada endpoint de puerta de enlace tenga una clave precompartida diferente.
(Fireware v12.5.4 o superior) Seleccione Basado en Cadenas o Basado en Hexadecimales. El ajuste predeterminado es Basado en Cadenas. Para obtener información sobre llaves hexadecimales, consulte Claves Precompartidas Basadas en Hexadecimal.
Bit DF
El bit No Fragmentar (DF) es un indicador en el encabezado de un paquete. Puedes seleccionar Copiar, Configurar o Borrar para controlar si el Firebox usa el ajuste original del Bit DF en el encabezado del paquete:
La configuración de DF bit en Fireware Web UI
La configuración de DF bit en Policy Manager
- Copiar — Esta opción aplica el ajuste del Bit DF del marco original al paquete cifrado IPSec.
Si un marco no tiene los bits DF configurados, el Firebox no configura los bits DF y fragmenta el paquete si es necesario. Si un marco está configurado para no ser fragmentado, el Firebox encapsula el marco completo y configura los bits DF del paquete cifrado para que coincida con el marco original. - Configurar — Esta opción le indica al Firebox que no fragmente el marco independientemente del ajuste del bit original.
Si un usuario debe realizar conexiones IPSec a un Firebox desde detrás de un Firebox diferente, debe desmarcar esta casilla de selección para activar la función de puerto de transferencia de IPSec. Por ejemplo, si los empleados móviles se encuentran en una ubicación de cliente que tiene un Firebox, pueden realizar conexiones IPSec a su red con IPSec. Para que su Firebox local permita correctamente la conexión IPSec saliente, también se debe agregar una política IPSec. - Borrar — Esta opción divide el marco en partes que puedan contenerse en un paquete IPSec con el encabezado ESP o AH, independientemente del ajuste del bit original.
En Fireware v12.2 o inferior, solo puede configurar el ajuste del Bit DF en los ajustes de la interfaz externa.
En Fireware v12.2.1 o superior, puede configurar el ajuste del Bit DF en los ajustes del endpoint de la puerta de enlace BOVPN. Este ajuste tiene efecto inmediatamente. El ajuste del Bit DF especificado para el endpoint de la puerta de enlace anula el ajuste del Bit DF especificado para la interfaz externa.
Si no especifica un ajuste del Bit DF para el endpoint de la puerta de enlace, el endpoint de la puerta de enlace utiliza el ajuste del Bit DF especificado en los ajustes de la interfaz externa. Para obtener más información sobre el ajuste del Bit DF en los ajustes de la interfaz externa, consulte
PMTU
La Path Maximum Transmission Unit (PMTU) controla la cantidad de tiempo en que Firebox disminuye la unidad máxima de transmisión (MTU) para un túnel VPN IPSec cuando recibe un paquete de Solicitud de ICMP para Fragmentar desde un enrutador con una configuración de MTU más baja en Internet.
En Fireware v12.2.1 o superior, puede configurar los ajustes de PMTU en los ajustes del endpoint de la puerta de enlace BOVPN. Los ajustes de PMTU especificados para el endpoint de la puerta de enlace anulan los ajustes de PMTU especificados para la interfaz externa. Si no especifica los ajustes de PMTU para el endpoint de la puerta de enlace, el endpoint de la puerta de enlace utiliza los ajustes de PMTU especificados en los ajustes de la interfaz externa.
Recomendamos mantener la configuración predeterminada. Esto puede protegerlo contra un enrutador en Internet con una configuración de MTU muy baja.
La configuración de PMTU en Fireware Web UI
La configuración de PMTU en Policy Manager