Configurar Puertas de Enlace BOVPN Manuales

Una puerta de enlace de VPN de sucursal (BOVPN) es un punto de conexión para uno o más túneles. Para crear un túnel, debe configurar puertas de enlace tanto en el dispositivo endpoint local como en el remoto. Para configurar esas puertas de enlace, debe especificar:

  • Método de credenciales — Claves precompartidas o un Firebox IPSec certificate.
    Para obtener información sobre cómo usar certificados para la autenticación BOVPN, consulte Certificados para Autenticación de Túnel VPN de Sucursal (BOVPN).
  • Ubicación de los endpoints de la puerta de enlace remota y local, sea por dirección IP o por información de dominio.
  • Configuraciones para Fase 1 de la negociación de Intercambio de Claves de Internet (IKE). Esta fase define la asociación de seguridad, o los protocolos y configuraciones que los endpoints de puerta de enlace usarán para comunicarse, para proteger datos que son transmitidos en la negociación.

IPv6 BOVPN

En Fireware v12.4 o superior, puede configurar una BOVPN entre dos puertas de enlace de IPv6. No se requiere un túnel IPv4.

Antes de configurar una puerta de enlace, debe habilitar IPv6 para la interfaz externa que utiliza la puerta de enlace. Cuando habilita IPv6 para la interfaz, debe configurar una dirección IPv6 estática o seleccionar la opción de cliente DHCPv6. Para más información, consulte Configurar IPv6 para una Interfaz Externa.

Cuando agrega una puerta de enlace, debe especificar una Familia de Direcciones. Las opciones son: Direcciones IPv4 o Direcciones IPv6. En los ajustes de la puerta de enlace y del túnel, la direcciones IP que especifica deben pertenecer a la misma familia. Por ejemplo, si especifica la familia de Direcciones IPv6, solamente puede precisar direcciones IPv6 en los ajustes de la puerta de enlace y del túnel.

No se admiten estas opciones para las BOVPN IPv6:

  • Multicast
  • Conmutación por Error de Módem
  • NAT y dirección
  • Enrutamiento de broadcast
  • Ajuste Intento de resolución del dominio

Agregar una Puerta de Enlace

Configurar las puertas de enlace para cada punto de endpoint de BOVPN.

  1. Seleccione VPN > VPN de Sucursal.

    Aparece la página de configuración VPN de Sucursal.

Screen shot of Branch Office VPN Gateways list

  1. Para agregar una puerta de enlace, en la sección Puerta de Enlace, haga clic en Agregar.
    Aparece la página de configuraciones Puerta de Enlace.

Screen shot of the Gateway General Settings tab

  1. En el cuadro de texto Nombre de la Puerta de Enlace, ingrese un nombre para identificar la puerta de enlace para este Firebox.
  2. (Fireware v12.4 o superior) En la lista desplegable Familia de Direcciones, seleccione Direcciones IPv4 o Direcciones IPv6.
  3. Seleccione Usar Clave Precompartida o Usar IPSec Firebox Certificate para identificar el método de autenticación que usa este túnel.

Usar Clave Precompartida

(Fireware v12.5.4 o superior) Seleccione Basado en Cadenas o Basado en Hexadecimales. El ajuste predeterminado es Basado en Cadenas. Para obtener información sobre llaves hexadecimales, consulte Claves Precompartidas Basadas en Hexadecimal.

Ingrese o pegue la clave compartida. Debe usar la misma clave compartida en el dispositivo remoto. Una clave compartida basada en cadenas debe usar solo caracteres ASCII estándar y puede tener hasta 79 caracteres de largo. Una clave precompartida basada en hexadecimal puede incluir cualquier combinación o cantidad de caracteres hexadecimales.

Usar el IPSec Firebox Certificate

Los certificados actuales en el Firebox aparecen en la lista de certificados. Esto incluye el IP de seguridad IKE intermedio en el identificador Uso de Clave Extendido (EKU) (OID 1.3.6.1.5.5.8.2.2). También puede seleccionar un certificado que no incluya un identificador EKU.

Para ver una lista de certificados disponibles que no incluyan un identificador EKU, seleccione la casilla de selección Mostrar todos los Certificados.

(Fireware v12.6.2 o ulterior) Cuando selecciona un certificado para la autenticación, puede especificar un certificado CA para la verificación de pares de VPN en la configuración del punto final de la puerta de enlace.

Para más información, consulte Certificados para Autenticación de Túnel VPN de Sucursal (BOVPN).

Ya puede definir los endpoints de la puerta de enlace. Para más información, consulte Definir los Endpoints de la Puerta de Enlace para una Puerta de Enlace BOVPN.

  1. Seleccione VPN > Puertas de Enlace de Sucursal.
    Aparece el cuadro de diálogo Puertas de enlace.

Screen shot of the Gateways dialog box

  1. Para agregar una puerta de enlace, haga clic en Agregar.
    Aparece el cuadro de diálogo Nueva Puerta de Enlace.

Screen shot of the New Gateway dialog box

  1. En el cuadro de texto Nombre de la Puerta de Enlace, ingrese un nombre para identificar la puerta de enlace para este Firebox.
  2. (Fireware v12.4 o superior) En la lista desplegable Familia de Direcciones, seleccione Direcciones IPv4 o Direcciones IPv6.
  3. En el cuadro de diálogo Nueva Puerta de Enlace, seleccione Usar Clave Precompartida o Usar IPSec Firebox Certificate para identificar el método de autenticación para este túnel.

Usar Clave Precompartida

(Fireware v12.5.4 o superior) Seleccione Basado en Cadenas o Basado en Hexadecimales. El ajuste predeterminado es Basado en Cadenas. Para obtener información sobre llaves hexadecimales, consulte Claves Precompartidas Basadas en Hexadecimal.

Ingrese o pegue la clave compartida. Debe usar la misma clave compartida en el dispositivo remoto. Una clave compartida basada en cadenas debe usar solo caracteres ASCII estándar y puede tener hasta 79 caracteres de largo. Una clave precompartida basada en hexadecimal puede incluir cualquier combinación o cantidad de caracteres hexadecimales.

Usar el IPSec Firebox Certificate

Los certificados actuales en el Firebox aparecen en la lista de certificados. Esto incluye el IP de seguridad IKE intermedio en el identificador Uso de Clave Extendido (EKU) (OID 1.3.6.1.5.5.8.2.2). También puede seleccionar un certificado que no incluya un identificador EKU.

Para ver una lista de certificados disponibles que no incluyan un identificador EKU, seleccione la casilla de selección Mostrar todos los Certificados.

(Fireware v12.6.2 o ulterior) Cuando selecciona un certificado para la autenticación, puede especificar un certificado CA para la verificación de pares de VPN en la configuración del punto final de la puerta de enlace.

Para más información, consulte Certificados para Autenticación de Túnel VPN de Sucursal (BOVPN).

Ahora puede definir endpoints de puerta de enlace y configurar los ajustes de fase 1. Para obtener más información, consulte:

Generar el Informe de Configuración de la Puerta de Enlace BOVPN

Después de que agrega una puerta de enlace, puede generar un informe para ver un resumen de todas las configuraciones de las puertas de enlace. Este informe le puede ser útil si necesita resolver problemas de la VPN. También puede facilitar la comparación entre las configuraciones hechas y las del dispositivo remoto de endpoint de VPN.

Para generar el informe desde Fireware Web UI o Policy Manager:

  1. En el cuadro de diálogo Puertas de Enlace, seleccione una puerta de enlace configurada.
  2. Haga clic en Informe.
  3. Marque la casilla de selección Mostrar Detalles del Túnel para agregar detalles acerca de los túneles que usa esta puerta de enlace.

Para obtener más información sobre este informe, vea Utilizar los Informes de Configuración de BOVPN.

Ver También

Editar y Eliminar Puertas de Enlace

Agregar una Transformación de Fase 1

Configurar los Ajustes de Fase 1 IPSec VPN