Configurar una VPN entre Dos Dispositivos Fireware (WSM)

Un túnel de red privada virtual de sucursal (BOVPN) es un camino seguro para redes o para un host y una red intercambiar datos por Internet. Este documento provee información sobre cómo utilizar el Policy Manager para definir un túnel BOVPN manual entre dos Firebox.

Para ver el mismo ejemplo configurado en Fireware Web UI, consulte Configurar una VPN entre Dos Dispositivos Fireware (Web UI).

Para obtener información detallada sobre los ajustes de BOVPN, consulte:

Determinar Dirección IP y Ajustes de Túnel

Antes de crear un túnel BOVPN manual, se recomienda determinar las direcciones IP y los ajustes que se usarán. Este tema incluye una lista de control que lo ayudará a planificar.

En este ejemplo, ambos endpoints deben tener direcciones IP estáticas externas. Para obtener más información sobre túneles BOVPN hacia dispositivos con una dirección IP externa dinámica, consulte Definir los Endpoints de la Puerta de Enlace para una Puerta de Enlace BOVPN.

Asegúrese de configurar los endpoints de la VPN correctamente y que las configuraciones de Fase 1 y Fase 2 sean las mismas en ambos Fireboxes. Si las configuraciones no coinciden, no se compila el túnel VPN.

Si una configuración no figura en esta lista, mantenga el valor predeterminado para este ajuste.

Configuraciones de Túnel BOVPN

Firebox del Sitio A

Dirección IP pública: ______________________________

Dirección IP privada: ______________________________

Firebox del Sitio B

Dirección IP pública: ______________________________

Dirección IP privada: ______________________________

Configuración de Fase1

Ambos Fireboxes deben utilizar exactamente los mismos valores.

Para un túnel BOVPN entre dos Fireboxes, recomendamos que seleccione Dead Peer Detection (RFC3706) y que no seleccione IKE Keep-Alive. No seleccione ambas. Debería siempre seleccionar Dead Peer Detection si ambos dispositivos endpoints la soportan.

Método de credencial: Seleccione Utilizar Clave Precompartida.

Clave precompartida: ______________________________

(Fireware v12.5.4 o superior) Tipo de clave precompartida (basada en cadenas o basada en hexadecimal): ________________

Versión IKE: IKEv1 ____ IKEv2 ____

Modo (elegir uno): Principal ____ Agresivo ____

NAT Traversal: Sí ____ No ____

Intervalo de keep-alive NAT Traversal: ________________

IKE Keep-alive: Sí ____ No ____

Intervalo de mensaje de IKE keep-alive: ________________

Máx. Fallas de IKE keep-alive: ________________

Dead Peer Detection (RFC3706): Sí ____ No ____

Tiempo de espera inactivo de Tráfico para Dead Peer Detection: ________________

Máx. de reintentos de Dead Peer Detection: ________________

Algoritmo de autenticación (elija uno): MD5___SHA1____ SHA2-256____SHA2-384____SHA2-512____
Recomendamos SHA-1 o SHA-2

Algoritmo de cifrado (elija uno): DES____ 3DES____ AES-128____ AES-192____ AES-256____ AES-GCM-128____AES-GCM-192____AES-GCM-256
Recomendamos una variante AES. AES-GCM es compatible con Fireware v12.2 o superior. AES-GCM solamente es compatible para IKEv2.

Duración de las SA ________________

Seleccione Horas como la unidad de duración de SA.

Grupo Diffie-Hellman (elegir uno): 1____ 2____ 5____14____15____19____20____

Configuraciones de la Fase 2

Ambos Fireboxes deben utilizar exactamente los mismos valores.

Perfect Forward Secrecy (grupo Diffie-Hellman): Disable____ Group1____ Group2____ Group5____ Group14____ Group15____ Group19____ Group20____

Algoritmo de autenticación (elija uno): MD5___SHA1____ SHA2-256____SHA2-384____SHA2-512_____ (Se recomienda SHA-1 o SHA-2)

Algoritmo de cifrado (elija uno): DES____ 3DES____AES-128____ AES-192____ AES-256____ AES-GCM-128____AES-GCM-192____AES-GCM-256
Recomendamos una variante AES. AES-GCM es compatible con Fireware v12.2 o superior. AES-GCM solamente es compatible para ESP.

Forzar Tiempo de Vencimiento de la Clave (Horas): ________________

Forzar Tráfico de Vencimiento de la Clave (kilobytes): ________________

Ejemplo de configuraciones de túnel

Esta sección tiene los mismos campos que la sección anterior e incluye ejemplos de configuraciones. Esas configuraciones corresponden con las que aparecen en las imágenes en este ejemplo.

Firebox del Sitio A

Dirección IP pública — 203.0.113.2

Dirección IP de red privada:10.0.1.0/24

Firebox del Sitio B

Dirección IP pública — 198.51.100.2

Dirección IP de red privada:10.50.1.0/24

Configuraciones de la Fase 1

Ambos extremos deben usar exactamente los mismos valores.

Método de credencial: Seleccione Utilizar Clave Precompartida.

Clave precompartida: [Especifique una clave súpersegura]

Tipo de clave precompartida: Basada en cadenas

Versión: IKEv1

Modo: Principal

NAT Traversal: Habilitar

Intervalo de keep-alive NAT Traversal: 20 segundos

IKE Keep-alive: Deshabilitar

Intervalo de Mensaje de IKE keep-alive: ninguno

Máx. Fallas de IKE keep-alive: ninguno

Dead Peer Detection (RFC3706): Habilitar

Tiempo de espera inactivo de Tráfico para Dead Peer Detection: 20 segundos

Máx. de reintentos de Dead Peer Detection: 5

Algoritmos de Autenticación: SHA256

Algoritmos de cifrado: AES (256 bits)

Duración de la SA: 24 horas

Grupo Diffie-Hellman: 14

Configuraciones de la Fase 2

Ambos extremos deben usar exactamente los mismos valores.

Perfect Forward Secrecy (grupo Diffie-Hellman): 14

Tipo: ESP

Algoritmos de Autenticación: SHA256

Algoritmos de cifrado: AES (256 bits)

Los ajustes en este ejemplo son los ajustes predeterminados de Fase 1 y 2 en Fireware v12.0 y superior. Los ajustes predeterminados de Fase 1 y 2 son diferentes en Fireware v11.12.4 e inferior. Para obtener más información sobre de estos ajustes en Fireware v11.12.4 e inferior, consulte Ayuda de Fireware versión 11.

Configurar el Sitio A

Ahora se utiliza Policy Manager para configurar la puerta de enlace del Firebox en el Sitio A. Una puerta de enlace es un punto de conexión para uno o más túneles. Para configurar una puerta de enlace, debe especificar:

  • Método de credenciales (claves precompartidas o un Firebox Certificate IPSec)
  • Ubicación de los endpoints de puerta de enlace remota y local, sea por dirección IP o por información de dominio
  • Ajustes para la Fase 1 de la negociación de Intercambio de Claves de Internet (IKE)

Agregar una Puerta de enlace de VPN

  1. Seleccione VPN > Puertas de Enlace de Sucursal.
    Aparece el cuadro de diálogo Puertas de Enlace.
  2. Haga clic en Agregar.
    Aparece el cuadro de diálogo Nueva Puerta de Enlace.

Screen shot of the New Gateway dialog box

  1. En el cuadro de texto Nombre de la puerta de enlace, ingrese un nombre para identificar esta puerta de enlace en Policy Manager.
  2. En el área Métodos de Credenciales, seleccione Utilizar Claves Precompartidas.
  3. (Fireware v12.5.4 o superior) Seleccione Basado en Cadenas o Basado en Hexadecimales. El ajuste predeterminado es Basado en Cadenas. Para obtener información sobre llaves hexadecimales, consulte Claves Precompartidas Basadas en Hexadecimal.
  4. Ingrese la clave compartida.
    La clave compartida debe usar solo caracteres ASCII estándar.
  5. En la sección Endpoints de Puerta de Enlace, haga clic en Agregar.
    Aparece el cuadro de diálogo Configuraciones de Endpoints de la Nueva Puerta de Enlace.

Screen shot of the New Gateway Endpoints Settings for Site A to Site B

  1. En la lista desplegable Interfaz Externa, seleccione la interfaz que tiene la dirección IP externa (pública) del Firebox del Sitio A.
  2. (Fireware v12.2 o superior) Para especificar una dirección IP, en la lista desplegable Dirección IP de la Interfaz, seleccione la Dirección IP de la Interfaz Primaria o seleccione una dirección IP secundaria que ya esté configurada en la interfaz externa seleccionada. ¡Consejo!
  3. Seleccione Por dirección IP e ingrese la dirección IP primaria de la interfaz de Firebox.
    En Fireware v12.4 o superior, debe especificar un tipo de dirección IP que concuerde con el ajuste de Familia de Direcciones que configuró anteriormente. Por ejemplo, si especificó las Direcciones IPv6, debe precisar una dirección IPv6 en el cuadro de texto Por Dirección IP.
  4. En la sección Puerta de Enlace Remota, seleccione Dirección IP Estática.
  5. En el cuadro de texto adyacente, ingrese la dirección IP externa (pública) del Firebox del Sitio B.
  6. Seleccione Por Dirección IP.
  7. En el cuadro de texto adyacente, ingrese la dirección IP externa (pública) del Firebox del Sitio B.
  8. Haga clic en Aceptar.

Screen shot of the New Gateway dialog box with gateway endpoints defined

Configurar la Fase 1

La Fase 1 del establecimiento de conexión IPSec es donde los dos puntos forman un canal autenticado y seguro que pueden usar para comunicarse. Eso es conocido como Asociación de Seguridad (SA) ISAKMP.

  1. Seleccione la pestaña Configuración de Fase 1.

Screen shot of the New Gateway dialog box - Phase 1 Settings for Site A

  1. Desde la lista desplegable Modo, seleccione Principal.
    El ejemplo usa el Modo Principal porque ambos endpoints tienen direcciones IP estáticas. Si un endpoint tiene una dirección IP dinámica, debe usar el modo Agresivo.
  2. Seleccione NAT Traversal y Dead Peer Detection (RFC3706). Estas son las configuraciones recomendadas para un túnel BOVPN entre dos Firebox.
  3. En el área Configuración de Transformación, seleccione la transformación predeterminada y haga clic en Editar.

Screen shot of the Phase 1 Transform dialog box with default values.

  1. En las listas desplegables Autenticación y Cifrado, seleccione su algoritmo preferido. En nuestro ejemplo, usamos SHA256 y AES (256 bits).
  2. En el cuadro de texto Duración de SA, escriba 24 y seleccione Horas.
  3. En la lista desplegable Grupo Clave, seleccione un grupo Diffie-Hellman. En nuestro ejemplo, seleccionamos Grupo Diffie-Hellman 14.
  4. Haga clic en Aceptar. Deje todas las otras configuraciones de Fase 1 con sus valores predeterminados.
  5. Haga clic en Aceptar.
    La puerta de enlace agregada aparece en la lista Puertas de Enlace.

Screen shot of the Gateways dialog box for Site A

  1. Haga clic en Cerrar para cerrar el cuadro de diálogo Puertas de enlace.

Agregar un Túnel VPN

Después de definir las puertas de enlace, puede establecer túneles entre ellas. El proceso de establecer un túnel incluye:

  • Especificar rutas (endpoints local y remoto para el túnel)
  • Configurar Fase 2 de la negociación de Intercambio de Claves de Internet (IKE)

En el Policy Manager:

  1. Seleccione VPN >Túneles de Sucursal.
    Aparece el cuadro de diálogo Túneles IPSec de Sucursal.
  2. Haga clic en Agregar.
    Aparece el cuadro de diálogo Nuevo Túnel.

Screen shot of the New Tunnel dialog box

  1. En el cuadro de texto Nombre de Túnel, ingrese un nombre para el túnel.
  2. En la lista desplegable Puerta de enlace, seleccione la puerta de enlace recién creada.
  3. Seleccione la casilla de selección Agregar este túnel a las políticas BOVPN-Allow en la parte inferior del cuadro de diálogo si desea agregar el túnel a las políticas BOVPN-Allow.in y BOVPN-Allow.out. Esas políticas permiten todo el tráfico que coincida con las rutas del túnel. Si desea restringir el tráfico a través del túnel, limpie esta casilla de verificación y use el BOVPN Policy Wizard para crear políticas para tipos de tráfico que desea autorizar pasar por el túnel. Para más información, consulte Definir las Políticas del Túnel Personalizadas.
  4. En el área Direcciones, haga clic en Agregar.
    Aparece el cuadro de diálogo Configuraciones de Ruta de Túnel.

Screen shot of the Tunnel Route Settings dialog box for Site A configuration

  1. En las secciones Local y Remoto, configure una de estas opciones para especificar qué dispositivos anteriores al Firebox local se comunicarán a través del túnel.
  • (Fireware v12.3.1 o inferior) Ingrese una dirección IPv4 en el cuadro de texto.
  • (Fireware v12.4 o superior) Ingrese una dirección IPv4 o IPv6 en el cuadro de texto.
    La dirección IP que especifique debe pertenecer a la misma familia de direcciones (IPv4 o IPv6) que la puerta de enlace.
  • Haga clic en el botón al lado de la lista desplegable Local para especificar una dirección IP del host, direcciones de red, un rango de direcciones IP del host o nombre del host.
    Para IPv6, si selecciona Nombre de Host, su computadora local debe poder resolver el nombre de host para una dirección IPv6.
  • (Fireware v12.4 o superior) Seleccione la casilla Cualquier IPv4 o Cualquier IPv6 para especificar una ruta cero (0.0.0.0/0 o ::/0).
  1. En la lista desplegable Dirección, seleccione la dirección del túnel. La dirección del túnel determina qué endpoint del túnel VPN puede iniciar una conexión VPN a través del túnel.
  2. Haga clic en Aceptar.
    La ruta del túnel aparece en la pestaña Direcciones del diálogo Nuevo Túnel.

Screen shot of the New Tunnel dialog box for tunnel to Site B

Configurar la Fase 2

La configuración de Fase 2 incluye las configuraciones para una asociación de seguridad (SA), que define cómo los paquetes de datos son protegidos cuando pasan entre dos endpoints. La SA mantiene toda la información necesaria para que Firebox sepa qué debería hacer con el tráfico entre los endpoints.

  1. En el cuadro de diálogo Nuevo Túnel, seleccione la pestaña Configuraciones de Fase 2.

Screen shot of the New Tunnel, Phase 2 Settings for Site A

  1. Seleccione la casilla de selección PFS para habilitar Perfect Forward Secrecy (PFS).
  2. Seleccione un Grupo Diffie-Hellman desde la lista desplegable. En nuestro ejemplo, seleccionamos Grupo Diffie-Hellman 14.
  3. El Firebox contiene una propuesta predeterminada, que aparece en la lista Propuestas de IPSec. Esta propuesta especifica el método de protección de datos de ESP, cifrado AES de 256 bits y la autenticación SHA256. Para este ejemplo, usamos la propuesta predeterminada. Puede:
    • Utilizar la propuesta predeterminada.
    • Remover la propuesta predeterminada. Después, seleccione una propuesta diferente en la lista desplegable y haga clic en Agregar.
    • Agregue una propuesta adicional, tal como se describe en Agregar una Propuesta de Fase 2.
  4. Haga clic en Aceptar para volver al cuadro de diálogo Túnel IPSec de Sucursal.
    El túnel agregado aparece en la lista Túneles IPSec para Sucursales.

Screen shot of the Branch Office IPSec Tunnels dialog box with new tunnel added

  1. Haga clic en Cerrar y guarde los cambios en el Firebox.

El Firebox en Sitio A ahora está configurado.

Configurar el Sitio B

Ahora se utiliza Policy Manager para configurar la puerta de enlace del Sitio B que tiene un Firebox con Fireware v11.x o superior.

Agregar una Puerta de enlace de VPN

  1. Seleccione VPN > Puertas de Enlace de Sucursal.
    Aparece el cuadro de diálogo Puertas de Enlace.
  2. Haga clic en Agregar.
    Aparece el cuadro de diálogo Nueva Puerta de Enlace.
  3. En el cuadro de texto Nombre de la puerta de enlace, ingrese un nombre para identificar esta puerta de enlace en Policy Manager.
  4. Haga clic en la pestaña Configuración general.
  5. En el área Métodos de Credenciales, seleccione Utilizar Claves Precompartidas.
  6. (Fireware v12.5.4 o superior) Seleccione Basado en Cadenas o Basado en Hexadecimales. El ajuste predeterminado es Basado en Cadenas. Para obtener información sobre llaves hexadecimales, consulte Claves Precompartidas Basadas en Hexadecimal.
  7. Ingrese la clave compartida.
    Esa clave compartida debe usar sólo caracteres ASCII estándares.
  8. En la sección Endpoints de Puerta de Enlace, haga clic en Agregar.
    Aparece el cuadro de diálogo Configuraciones de Endpoints de la Nueva Puerta de Enlace.

Screen shot of the New Gateway Endpoints Settings - SiteA

  1. En la lista desplegable Interfaz Externa, seleccione la interfaz que tiene la dirección IP externa (pública) del Firebox del Sitio B.
  2. (Fireware v12.2 o superior) Para especificar una dirección IP, en la lista desplegable Dirección IP de la Interfaz, seleccione la Dirección IP de la Interfaz Primaria o seleccione una dirección IP secundaria que ya esté configurada en la interfaz externa seleccionada. ¡Consejo!
  3. Seleccione Por Dirección IP e ingrese la dirección IP primaria de la interfaz de Firebox.
    En Fireware v12.4 o superior, debe especificar un tipo de dirección IP que concuerde con el ajuste de Familia de Direcciones que configuró anteriormente. Por ejemplo, si especificó las Direcciones IPv6, debe precisar una dirección IPv6 en el cuadro de texto Por Dirección IP.
  4. En la sección Puerta de Enlace Remota, seleccione Dirección IP Estática.
  5. En el cuadro de texto adyacente, ingrese la dirección IP externa (pública) del Firebox del Sitio A.
  6. Seleccione Por Dirección IP.
  7. En el cuadro de texto adyacente, ingrese la dirección IP externa (pública) del Firebox del Sitio A.
  8. Haga clic en Aceptar.
    Aparece el par de la puerta de enlace definido en la lista de endpoints de la puerta de enlace.

Screen shot of the New Gateway dialog box for gateway to SiteA

Configurar la Fase 1

La Fase 1 del establecimiento de conexión IPSec es donde los dos puntos forman un canal autenticado y seguro que pueden usar para comunicarse. Eso es conocido como Asociación de Seguridad (SA) ISAKMP.

  1. Seleccione la pestaña Configuración de Fase 1.

Screen shot of the New Gateway dialog box - Phase 1 Settings tab

  1. Desde la lista desplegable Modo, seleccione Principal.
    El ejemplo usa el Modo Principal porque ambos endpoints tienen direcciones IP estáticas. Si un endpoint tiene una dirección IP dinámica, debe usar el modo Agresivo.
  2. Seleccione NAT Traversal y Dead Peer Detection (RFC3706).
  3. En la sección Transformar Configuraciones, seleccione la transformación predeterminada y haga clic en Editar.

Screen shot of the Phase 1 Transform dialog box with default values

  1. En las listas desplegables Autenticación y Cifrado, seleccione SHA2-256 y AES (256 bits).
  2. En el cuadro de texto Duración de SA, escriba 24. En la lista desplegable, seleccione Horas.
  3. En la lista desplegable Grupo Clave, seleccione un Grupo Diffie-Hellman. En nuestro ejemplo, seleccionamos Grupo Diffie-Hellman 14.
  4. Haga clic en Aceptar. Mantenga los valores predeterminados para otras configuraciones de Fase 1.
  5. Haga clic en Cerrar para cerrar el cuadro de diálogo Puertas de enlace.
    La puerta de enlace agregada aparece en la página VPN de Sucursal en la lista Puertas de Enlace.

Agregar un Túnel VPN

Después de definir las puertas de enlace, puede establecer túneles entre ellas. Al establecer un túnel, debe especificar:

  • Rutas (endpoints local y remoto para el túnel)
  • Ajustes de la Fase 2 de la negociación de Intercambio de Claves de Internet (IKE)

Para agregar un túnel VPN:

  1. Seleccione VPN >Túneles de Sucursal.
    Aparece el cuadro de diálogo Túneles IPSec de Sucursal.
  2. Haga clic en Agregar.
    Aparece el cuadro de diálogo Nuevo Túnel.
  3. En el cuadro de texto Nombre de Túnel, ingrese un nombre para el túnel.
  4. En la lista desplegable Puerta de enlace, seleccione la puerta de enlace creada.
  5. Para agregar el túnel a las políticas BOVPN-Allow.in y BOVPN-Allow.out, seleccione la casilla de selección Agregar este túnel a las políticas BOVPN-Allow. Esas políticas permiten todo el tráfico que coincida con las rutas del túnel. Si desea restringir el tráfico a través del túnel, limpie esta casilla de verificación y use el BOVPN Policy Wizard para crear políticas para tipos de tráfico que desea autorizar pasar por el túnel.
  6. En el área Direcciones, haga clic en Agregar.
    Aparece el cuadro de diálogo Configuraciones de Ruta de Túnel.

Screen shot of the Tunnel Route Settings dialog box

  1. En las secciones Local y Remoto, configure una de estas opciones para especificar qué dispositivos anteriores al Firebox local se comunicarán a través del túnel.
  • (Fireware v12.3.1 o inferior) Ingrese una dirección IPv4 en el cuadro de texto.
  • (Fireware v12.4 o superior) Ingrese una dirección IPv4 o IPv6 en el cuadro de texto.

    La dirección IP que especifique debe pertenecer a la misma familia de direcciones (IPv4 o IPv6) que la puerta de enlace.
  • Haga clic en el botón al lado de la lista desplegable Local para especificar una dirección IP del host, direcciones de red, un rango de direcciones IP del host o nombre del host.

    Para IPv6, si selecciona Nombre de Host, su computadora local debe poder resolver el nombre de host para una dirección IPv6.
  • (Fireware v12.4 o superior) Seleccione la casilla Cualquier IPv4 o Cualquier IPv6 para especificar una ruta cero (0.0.0.0/0 o ::/0).
  1. Haga clic en Aceptar.
    La ruta del túnel aparece en la pestaña Direcciones del diálogo Nuevo Túnel.

Screen shot of the New Tunnel dialog box for Tunnel to SiteA

Configurar la Fase 2

La configuración de Fase 2 incluye las configuraciones para una asociación de seguridad (SA), que define cómo los paquetes de datos son protegidos cuando pasan entre dos endpoints. La SA mantiene toda la información necesaria para que Firebox sepa qué debería hacer con el tráfico entre los endpoints.

  1. En el cuadro de diálogo Nuevo Túnel, haga clic en la pestaña Ajustes de Fase 2.

Screen shot of the New Tunnel dialog box - Phase 2 Settings

  1. Seleccione la casilla de selección PFS para habilitar Perfect Forward Secrecy (PFS).
  2. Si habilita PFS, en la lista desplegable Habilitar Perfect Forward Secrecy, seleccione un grupo Diffie-Hellman. En nuestro ejemplo, seleccionamos Grupo Diffie-Hellman 14.
  3. El Firebox contiene una propuesta predeterminada, que aparece en la lista Propuestas de IPSec. Esta propuesta especifica el método de protección de datos de ESP, cifrado AES de 256 bits y la autenticación SHA256. Para este ejemplo, usamos la propuesta predeterminada. Puede:
    • Utilizar la propuesta predeterminada.
    • Remover la propuesta predeterminada. Después, seleccione una propuesta diferente en la lista desplegable y haga clic en Agregar.
    • Agregue una propuesta adicional, tal como se describe en Agregar una Propuesta de Fase 2.
  4. Haga clic en Aceptar para volver al cuadro de diálogo Túnel IPSec de Sucursal.
    El túnel agregado aparece en la lista Túneles IPSec para Sucursales.

Screen shot of the Branch Office IPSec Tunnels dialog box for Site B

  1. Haga clic en Cerrar y guarde los cambios en su Firebox.

El Firebox en Sitio B ahora está configurado.

Después de configurar los dos extremos del túnel, éste se abre y el tráfico pasa por él. Si el túnel no funciona, examine los archivos de registro en ambos Firebox por el período de tiempo que intentó iniciar el túnel. Los mensajes de registro aparecen en el archivo de registro para señalar donde la falla está ubicada en la configuración y cuáles configuraciones pueden formar parte del problema. También puede revisar los mensajes de registro en tiempo real con el Firebox System Manager.