Configurar Puerto de Transferencia de IPSec Entrante con SNAT

Por defecto, el Firebox está configurado para finalizar todos los túneles VPN IPSec entrante en el Firebox. Puede configurar el Firebox para que desvíe el tráfico entrante de la VPN de IPSec a otro endpoint de VPN, por ejemplo, a un concentrador de VPN en la red de confianza o en la red opcional.

Para configurar el Firebox para que desvíe este tráfico VPN hacia otro endpoint, debe desactivar la política integrada IPSec que envía todo el tráfico entrante al Firebox. Luego, debe crear políticas de IPSec específicas para administrar el tráfico que entra por la VPN que finaliza en el Firebox o en otro dispositivo de su red. Puede utilizar la acción de NAT estática (SNAT) en la política para mapear una dirección IP externa a la dirección IP privada del endpoint de la VPN en su red.

Deshabilitar la Política IPSec Incorporada

Dado que la política de IPSec incorporada es una política oculta, no se la puede editar directamente. Debe deshabilitarla en las configuraciones globales de la VPN.

Para deshabilitar la política IPSec integrada, en Fireware Web UI:

  1. Seleccione VPN > Ajustes Globales.
  2. Desmarque la casilla de selección Habilitar Política IPSec Incorporada.

Para deshabilitar la política IPSec integrada, en Policy Manager:

  1. Seleccione VPN > Ajustes de VPN.
  2. Desmarque la casilla de selección Habilitar Política IPSec Incorporada.

Agregar Políticas IPSec

Una vez que deshabilite la política IPSec incorporada, debe agregar una o más políticas de filtrado de paquetes IPSec para administrar el tráfico IPSec que ingresa por la VPN.

Por ejemplo, si su Firebox tiene una dirección IP externa primaria de 203.0.113.2 y una dirección IP externa secundaria de 203.0.113.10, se puede usar una acción SNAT en una política IPSec para mapear el tráfico de IPSec que ingresa por la dirección IP externa secundaria hacia la dirección IP privada de un concentrador de VPN. Podría crear otra política que defina enviar todo el tráfico de IPSec entrante hacia el Firebox.

Estas dos políticas podrían verse de la siguiente manera:

Política: IPSec_to_VPN_concentrator

Las conexiones IPSec están: Permitidas
Desde: Cualquier Externa
Hacia: 203.0.113.10 --> 10.0.2.10 (agregada como acción SNAT)

Política: IPSec_to_Firebox

Las conexiones IPSec están: Permitidas
Desde: Cualquier Externa
A: Firebox

Si está habilitado el modo ordenar automáticamente, las políticas se clasifican automáticamente en el orden de precedencia correspondiente y la política de IPSec que contiene la acción SNAT tiene mayor prioridad en la lista de políticas que la otra política de IPSec. Esto significa que la segunda política de IPSec administrará todo el tráfico de IPSec entrante con un destino que no coincida con la regla SNAT de la primera política de IPSec.

Screen shot of Policy Manager with two IPSec pass through policies
Ejemplo de configuración con dos políticas IPSec en Policy Manager.

Este ejemplo utiliza una NAT estática para direccionar el tráfico entrante al concentrador interno de la VPN. También puede usar 1-to-1 NAT para este fin.

Ver También

Acerca de las Configuraciones de VPN Global

Configurar NAT Estática (SNAT)

Acerca de 1-to-1 NAT