Definir los Endpoints de la Puerta de Enlace para una Puerta de Enlace BOVPN

Los endpoints de puerta de enlace son puertas de enlace locales y remotas conectadas por una BOVPN. La configuración de endpoints de puerta de enlace le dice a su Firebox cómo identificar y comunicarse con el dispositivo de endpoint remoto cuando negocia la BOVPN. También le dice al dispositivo cómo identificarse en el endpoint remoto al negociar la BOVPN. Debe configurar por lo menos un par de endpoints de puerta de enlace cuando agrega una puerta de enlace BOVPN.

Cualquier interfaz externa puede ser un endpoint de puerta de enlace. Si el endpoint remoto o local tiene más de una interfaz externa, puede configurar pares de endpoints múltiples de puerta de enlace. Esto le permite al dispositivo conmutar por error a una conexión secundaria si la primaria no está disponible. Si configura más de un par de endpoints de puerta de enlace, asegúrese de que los endpoints estén enumerados en el mismo orden en ambos endpoints de los dispositivos. Para más información, consulte Configurar Failover de VPN.

En Fireware v12.4 o superior, puede configurar una VPN de sucursal manual entre dos puertas de enlace IPv6. Para más información, consulte Configurar Puertas de Enlace BOVPN Manuales.

En Fireware v12.2 o superior, puede especificar una dirección IP de interfaz secundaria como endpoint de la puerta de enlace. De forma predeterminada, se utiliza la dirección IP primaria configurada en la interfaz externa que especifique.

En Fireware v12.1.x o inferior, no utilice una dirección IP de interfaz secundaria como un endpoint de puerta de enlace. Si configura un endpoint de puerta de enlace con una dirección IP de interfaz secundaria, la conexión BOVPN podría fallar si el Firebox local inicia la conexión BOVPN. Esto se debe a que Firebox inicia la conexión con la dirección IP de la interfaz principal. Si el endpoint remoto inicia la conexión BOVPN y especifica la dirección IP de la interfaz secundaria, la conexión tiene éxito.

Puerta de enlace local

En la sección Puerta de Enlace Local, configure la interfaz externa y la dirección IP a las cuales se conecta la BOVPN en su Firebox. También puede configurar la ID de la puerta de enlace.

Para la ID de la puerta de enlace, si tiene una dirección IP estática, puede seleccionar Por Dirección IP. Si tiene un dominio que redirige a la dirección IP a la que se conecta la BOVPN en su Firebox, seleccione Por Información de Dominio.

Puerta de enlace remota

Puede configurar la dirección IP de puerta de enlace y la ID de la puerta de enlace para el dispositivo de endpoint remoto al que se conecta el BOVPN. La dirección IP de puerta de enlace puede ser una dirección IP estática o una dinámica. La ID de la puerta de enlace puede ser Por Nombre de Dominio, Por ID de Usuario en Dominio o Por Nombre x500. El administrador del dispositivo de puerta de enlace remota selecciona qué tipo de ID de puerta de enlace utilizar.

Si el endpoint de la VPN remota obtiene su dirección IP externa de DHCP o PPPoE, defina el tipo de ID de la puerta de enlace remota como Nombre de Dominio. Defina el campo del nombre del punto en nombre de dominio totalmente cualificado del endpoint de la VPN remota. El Firebox usa la dirección IP y el nombre de dominio para encontrar el endpoint de VPN. Asegúrese de que el servidor DNS que usa el dispositivo pueda identificar el nombre.

Configuraciones Avanzadas

Puede configurar estas opciones en la pestaña Ajustes Avanzados:

Certificado CA

(Fireware v12.6.2 o superior) Esta opción aparece si selecciona un certificado para la autenticación. Cuando habilita esta opción, debe seleccionar un certificado CA raíz o intermedio de la lista desplegable Certificado CA. El Firebox usa ese certificado CA para verificar el certificado recibido del par VPN. El certificado del par de VPN debe ser parte de la cadena de certificados que incluye el certificado CA raíz o intermedio especificado. Si el certificado de pares no es parte de la cadena, el Firebox rechaza las negociaciones del túnel de la Fase 1.

Screen shot of the CA Certificate setting in Fireware Web UI

Diferente clave precompartida

Puede especificar claves precompartidas diferentes para cada endpoint de puerta de enlace. Puede seleccionar esta opción si configura una VPN entre un Firebox y un endpoint de terceros, y el endpoint de terceros requiere que cada endpoint de puerta de enlace tenga una clave precompartida diferente.

(Fireware v12.5.4 o superior) Seleccione Basado en Cadenas o Basado en Hexadecimales. El ajuste predeterminado es Basado en Cadenas. Para obtener información sobre llaves hexadecimales, consulte Claves Precompartidas Basadas en Hexadecimal.

Bit DF

El bit No Fragmentar (DF) es un indicador en el encabezado de un paquete. Puedes seleccionar Copiar, Configurar o Borrar para controlar si el Firebox usa el ajuste original del Bit DF en el encabezado del paquete:


La configuración de DF bit en Fireware Web UI


La configuración de DF bit en Policy Manager

  • Copiar — Esta opción aplica el ajuste del Bit DF del marco original al paquete cifrado IPSec.
    Si un marco no tiene los bits DF configurados, el Firebox no configura los bits DF y fragmenta el paquete si es necesario. Si un marco está configurado para no ser fragmentado, el Firebox encapsula el marco completo y configura los bits DF del paquete cifrado para que coincida con el marco original.
  • Configurar — Esta opción le indica al Firebox que no fragmente el marco independientemente del ajuste del bit original.
    Si un usuario debe realizar conexiones IPSec a un Firebox desde detrás de un Firebox diferente, debe desmarcar esta casilla de selección para activar la función de puerto de transferencia de IPSec. Por ejemplo, si los empleados móviles se encuentran en una ubicación de cliente que tiene un Firebox, pueden realizar conexiones IPSec a su red con IPSec. Para que su Firebox local permita correctamente la conexión IPSec saliente, también se debe agregar una política IPSec.
  • Borrar — Esta opción divide el marco en partes que puedan contenerse en un paquete IPSec con el encabezado ESP o AH, independientemente del ajuste del bit original.

En Fireware v12.2 o inferior, solo puede configurar el ajuste del Bit DF en los ajustes de la interfaz externa.

En Fireware v12.2.1 o superior, puede configurar el ajuste del Bit DF en los ajustes del endpoint de la puerta de enlace BOVPN. Este ajuste tiene efecto inmediatamente. El ajuste del Bit DF especificado para el endpoint de la puerta de enlace anula el ajuste del Bit DF especificado para la interfaz externa.

Si no especifica un ajuste del Bit DF para el endpoint de la puerta de enlace, el endpoint de la puerta de enlace utiliza el ajuste del Bit DF especificado en los ajustes de la interfaz externa. Para obtener más información sobre el ajuste del Bit DF en los ajustes de la interfaz externa, consulte

PMTU

La Path Maximum Transmission Unit (PMTU) controla la cantidad de tiempo en que Firebox disminuye la unidad máxima de transmisión (MTU) para un túnel VPN IPSec cuando recibe un paquete de Solicitud de ICMP para Fragmentar desde un enrutador con una configuración de MTU más baja en Internet.

En Fireware v12.2.1 o superior, puede configurar los ajustes de PMTU en los ajustes del endpoint de la puerta de enlace BOVPN. Los ajustes de PMTU especificados para el endpoint de la puerta de enlace anulan los ajustes de PMTU especificados para la interfaz externa. Si no especifica los ajustes de PMTU para el endpoint de la puerta de enlace, el endpoint de la puerta de enlace utiliza los ajustes de PMTU especificados en los ajustes de la interfaz externa.

Recomendamos mantener la configuración predeterminada. Esto puede protegerlo contra un enrutador en Internet con una configuración de MTU muy baja.


La configuración de PMTU en Fireware Web UI


La configuración de PMTU en Policy Manager

Ver También

Configurar Puertas de Enlace BOVPN Manuales

Configurar Túneles BOVPN Manuales