Configurar Túneles de Administración
Si tiene Fireboxes remotos que están detrás de un dispositivo de puerta de enlace NAT, para permitir que sus Fireboxes se conecten a su WSM Management Server, puede configurar un Management Tunnel.
Antes de Empezar
Asegúrese de seguir atentamente las instrucciones en cada sección para configurar correctamente el Management Tunnel.
Para utilizar los Management Tunnels para las conexiones a sus dispositivos remotos, debe:
- Configurar su Firebox de puerta de enlace como el dispositivo hub para el Management Tunnel antes de habilitar los Management Tunnels en sus dispositivos remotos.
- Instalar cada dispositivo remoto y agregarlo a su Management Server como un dispositivo administrado.
- Asegurarse de que la dirección IP privada del Management Server esté incluida en la lista Dirección IP de Distribución y en el cuadro de diálogo Configuración de Dispositivos Administrados, según lo descrito en la sección Recursos de Management Tunnel por SSL del tema Acerca de Túneles de Administración.
- Configurar los dispositivos remotos para permitir un Management Tunnel desde cada dispositivo remoto (spoke) al dispositivo hub.
Antes de que comience los procedimientos para configurar un Management Tunnel, asegúrese de haber leído todo el tema Acerca de Túneles de Administración.
Configurar el Firebox de Puerta de Enlace del Management Tunnel
Cuando configura un Management Tunnel, su dispositivo Firebox de puerta de enlace debe configurarse antes de ajustar los dispositivos remotos. La dirección IP externa del Firebox de puerta de enlace no debe tener una dirección dinámica. Puede elegir utilizar IPSec, SSL o una combinación de ambas, para asegurar los Túneles de Administración de su Firebox de puerta de enlace. Las opciones de configuración son diferentes para cada opción de seguridad.
Para configurar el Management Tunnel en su Firebox de puerta de enlace:
- En WSM, conéctese a su Management Server.
- Expanda el árbol Dispositivos y seleccione el dispositivo que tiene como Firebox de puerta de enlace.
Aparece la página Dispositivos. - En la sección Información del Dispositivo, haga clic en Configurar.
El cuadro de diálogo Propiedades del Dispositivo aparece con la pestaña Configuraciones de Conexión seleccionada.
- Asegúrese de que no esté marcada la casilla de selección El dispositivo tiene dirección IP externa dinámica (DHCP, PPPoE).
- De la lista desplegable Management Tunnel, seleccione Servidor.
Aparece la pestaña de Configuraciones del Management Tunnel.
- De la lista desplegable Tipo de Túnel, seleccione una opción de seguridad para el túnel:
- Solo IPSec
- Solo SSL
- IPSec o SSL
- Ajuste las configuraciones para el Tipo de Túnel que seleccionó:
- En la lista desplegable Recurso VPN, seleccione el recurso VPN para la red de administración donde su Management Server está instalado.
Por ejemplo, seleccione Red de Confianza. - En la lista desplegable Plantilla de Seguridad, seleccione la plantilla de seguridad que se usará para el Management Tunnel.
- En la lista desplegable Recurso VPN, seleccione el recurso VPN para la red de administración donde su Management Server está instalado.
Por ejemplo, seleccione Red de Confianza. - En el cuadro de texto Grupo de Direcciones IP de Administración, ingrese la dirección IP de la red que desea usar para el Management Tunnel. Consejo
Si se ha habilitado Mobile VPN with SSL en la configuración de la Firebox de puerta de enlace, asegúrese de utilizar la misma dirección IP especificada en la configuración del Mobile VPN with SSL para el grupo de direcciones IP virtuales. - En la sección Dirección IP/Nombre del Servidor SSL, ingrese la dirección IP de los servidores SSL (opcionales) Primario y de Respaldo.
- En la lista desplegable Recurso VPN, seleccione el recurso VPN para la red de administración donde su Management Server está instalado.
Por ejemplo, seleccione Red de Confianza. ¡Consejo! - En la lista desplegable Plantilla de Seguridad, seleccione la plantilla de seguridad que se usará para el Management Tunnel.
- En el cuadro de texto Grupo de direcciones IP de Administración, ingrese la dirección IP que desea usar para el Management Tunnel.
Asegúrese de especificar una dirección IP desde la subred que seleccionó para la Red de Administración. - En la sección Dirección IP/Nombre del Servidor SSL, ingrese la dirección IP de los servidores SSL (opcionales) Primario y de Respaldo.
- En la lista desplegable Recurso VPN, seleccione el recurso VPN para la red de administración donde su Management Server está instalado.
- Para permitir que se envíen mensajes de registro al tráfico a través de este Management Tunnel, marque la casilla de selección Permitir registro para este túnel.
- Haga clic en Aceptar para guardar sus cambios.
Cuando la concesión del dispositivo Firebox de puerta de enlace caduque, el Firebox contacta al Management Server para obtener los nuevos detalles de configuración. El Firebox está entonces disponible como la puerta de enlace del Management Tunnel (el dispositivo hub) en el lado de la red de administración del Management Tunnel. Para un Management Tunnel con IPSec, si deshabilita el Management Tunnel en el dispositivo hub, el Management Server ejecutará automáticamente una tarea de concesión de caducidad para el dispositivo hub.
Implementar Dispositivos Remotos
El proceso de implementación para sus Firebox remotos incluye dos pasos:
- Configuración inicial del dispositivo remoto.
- Agregar el dispositivo remoto a la administración.
Paso 1 — Configurar el Dispositivo Remoto
Antes de implementar sus dispositivos remotos detrás de la puerta de enlace NAT del Firewall de terceros, cada dispositivo debe estar configurado correctamente.
- Inicie el Quick Setup Wizard para un dispositivo con las configuraciones predeterminadas de fábrica.
- Complete el Quick Setup Wizard:
- Apunte el nombre y las contraseñas que asigne al dispositivo.
- Configure la interfaz externa a DHCP o PPPoE.
- Ajuste las configuraciones del Management Server:
- Especifique la dirección IP privada del Management Server como aparece en las configuraciones del Management Server.
Asegúrese de que la dirección IP privada del Management Server sea la primera dirección IP incluida en las configuraciones del Management Server, en la lista Dirección IP de Distribución.
Para más información, consulte Configurar la Autoridad de Certificación en el Management Server. - Anote el secreto compartido
- Especifique la dirección IP privada del Management Server como aparece en las configuraciones del Management Server.
Por defecto, cuando el Management Server actualiza el dispositivo remoto, la dirección IP que aparece en la lista Dirección IP de Distribución se agrega a las configuraciones del dispositivo. Si la dirección IP privada del Management Server no es la primera dirección IP incluida en la lista, la dirección IP privada del Management Server que especificó en el asistente es eliminada de las configuraciones del dispositivo, y cuando se construye el túnel, el dispositivo no puede comunicarse con el Management Server. Para evitar esto, debe asegurarse de incluir la dirección IP privada del Management Server en la lista Dirección IP de Distribución. Para obtener más información, consulte la sección Management Tunnel por Recursos SSL en Acerca de Túneles de Administración.
Para obtener más información sobre los pasos para completar el Quick Setup Wizard, consulte Acerca de los Fireboxes Setup Wizards.
Paso 2 — Agregar el Dispositivo Remoto a la Administración
Después de configurar su dispositivo remoto, debe agregar el dispositivo al Management Server de modo que pueda administrarse después de ser instalado en la ubicación remota.
- En WSM, conéctese a su Management Server.
- Haga clic con el botón derecho en la carpeta Dispositivos y seleccione Insertar Dispositivo.
Aparece el Add Device Wizard. - Haga clic en Siguiente para iniciar el asistente.
Aparece la página Ingresar la dirección IP y la contraseña del dispositivo. - Seleccione No conozco la dirección IP actual del dispositivo asignada dinámicamente (DHCP/PPoE). Haga clic en Siguiente.
Aparece la página Ingresar un nombre para el dispositivo. - Ingrese el nombre del dispositivo y el secreto compartido que especificó para el dispositivo en el Paso 1. Haga clic en Siguiente.
Aparece la página Ingrese el estado del dispositivo y las contraseñas de configuración. - Ingrese el estado y las contraseñas de configuración que especificó para el dispositivo remoto en el Paso 1. Haga clic en Siguiente.
Aparece la página Seleccione método de autenticación de túnel. - Seleccione Clave compartida autogenerada. Haga clic en Siguiente.
- Complete el asistente.
Una vez que el asistente finaliza, puede implementar su dispositivo remoto. Cuando conecta el dispositivo a la alimentación eléctrica y a Internet, éste contacta al Management Server para obtener el archivo de configuración final del dispositivo, y cualquier actualización pendiente se aplica al mismo.
Recomendamos que antes de enviar el dispositivo a la ubicación remota, complete los pasos para configurar un Management Tunnel para el dispositivo. Cuando los Management Tunnels están habilitados en el dispositivo antes que éste se implemente, todas las opciones de administración están disponibles tan pronto como se implemente el dispositivo.
Si su dispositivo remoto también tiene habilitada la función de Access Portal, asegúrese de que la política WatchGuard SSLVPN generada automáticamente incluya la interfaz para el recurso VPN que seleccionó para el Management Tunnel por SSL (por ejemplo, el alias Cualquiera-Externo) en la lista De de la política.
Si no configura los ajustes del Management Tunnel para el dispositivo antes de instalarlo en una ubicación remota, las opciones de administración están limitadas. Las conexiones directas al dispositivo no están permitidas, pero las siguientes funciones están disponibles:
- Generación de registros y presentación de informes
- Monitoreo de latido
- VPN Arrastrar y Soltar
- Configuración de Policy Manager (solo Modo Totalmente Administrado)
- Actualizaciones de las Plantillas de Configuración de Dispositivos (solo Modo Totalmente Administrado)
Configurar un Dispositivo Remoto con Túnel de Administración
Después de habilitar el Firebox de puerta de enlace como el dispositivo hub de la puerta de enlace del Management Tunnel, debe usar la información del Firebox de puerta de enlace para configurar cada Firebox remoto (dispositivo spoke). Los ajustes de la configuración para cada dispositivo remoto son diferentes para un Management Tunnel por IPSec y un Management Tunnel por SSL.
- La Dirección IP de administración:
- Debe ser una dirección IP virtual
- Debe ser única entre los Fireboxes administrados por el mismo Management Server
- Debe estar en una red diferente del recurso VPN que especificó cuando habilitó la puerta de enlace del Management Tunnel en su Firebox de puerta de enlace
- Se usa como la dirección IP 1-to-1 NAT (dirección IP externa) para el Management Tunnel y para crear el túnel en el lado del dispositivo remoto
- Es una dirección IP simple, no una dirección de red ni una subnet mask
- El tráfico de la red de administración a la dirección IP de administración debe enrutarse a través del Firebox de puerta de enlace
- Antes que el dispositivo remoto pueda usarse en un Management Tunnel por IPSec, debe configurar los Ajustes de Conexión para cada dispositivo remoto y seleccionar la opción El dispositivo tiene una dirección IP externa dinámica
- Este grupo de direcciones IP de administración debe estar en una red diferente del recurso VPN que especificó cuando habilitó la puerta de enlace del Management Tunnel en su Firebox de puerta de enlace.
- El tráfico desde el grupo de direcciones IP de administración de la red de administración debe ser enrutado a través del Firebox de puerta de enlace.
- Las Configuraciones de Dispositivos Administrados para el dispositivo remoto deben especificar la dirección IP (interna) privada del Management Server para la dirección IP del Management Server, no la dirección IP externa del Firebox de puerta de enlace. Si se incluye más de una dirección IP del Management Server en las Configuraciones de Dispositivos Administrados, el dispositivo siempre intentará conectarse con la primer dirección IP en la lista.
Para más información, consulte Configurar un Firebox como un Dispositivo Administrado.
La Identificación del túnel SSL y la contraseña se incluyen en los ajustes de configuración de un Management Tunnel por SSL. Usted especifica los valores para estos ajustes cuando configura el dispositivo remoto. El Management Server entonces actualiza la configuración del Firebox de puerta de enlace con la identificación del túnel SSL y la contraseña.
Para habilitar un Management Tunnel para un dispositivo remoto:
- En WSM, conéctese a su Management Server.
- Expanda el árbol Dispositivos y seleccione uno de sus dispositivos remotos.
Aparece la página Dispositivos. - En la sección Información del Dispositivo, haga clic en Configurar.
El cuadro de diálogo Propiedades del Dispositivo aparece con la pestaña Configuraciones de Conexión seleccionada. - Asegúrese de que la casilla de selección El dispositivo tiene una dirección IP externa dinámica (DHCP, PPPoE) esté marcada.
- En la lista desplegable Management Tunnel, seleccione Cliente.
Aparece la pestaña de Configuraciones del Management Tunnel.
- De la lista desplegable Dispositivo Hub, seleccione el nombre del Firebox de puerta de enlace que configuró como dispositivo hub del Management Tunnel en la sección anterior.
- De la lista desplegable Tipo de Túnel, seleccione el mismo tipo de túnel que especificó en el dispositivo hub para este Management Tunnel:
- IPSec
- SSL
Sólo aparecerán las opciones de tipo de túnel que especificó para el Management Tunnel en el dispositivo hub en la lista Tipo de Túnel.
- Ajuste las configuraciones para el Tipo de Túnel que seleccionó:
- En el cuadro de texto Identificación del Túnel SSL, ingrese el Nombre del Dispositivo del dispositivo remoto, u otro nombre único para el Management Tunnel por SSL.
- En el cuadro de texto Contraseña del Túnel SSL, ingrese la contraseña que el dispositivo remoto debe usar para el Management Tunnel por SSL.
El Management Server también actualizará la configuración del Firebox de puerta de enlace con estas configuraciones de autenticación.
En el cuadro de texto Dirección IP de Administración, ingrese la dirección IP de administración para su red de administración.
Para obtener más información sobre la dirección IP de administración, consulte los detalles para un Management Tunnel por IPSec. - Haga clic en Aceptar.
Se actualizan las propiedades del dispositivo.
Caducar la Concesión
Si completa la configuración del dispositivo remoto antes de implementar el dispositivo en la ubicación remota, el Management Tunnel se crea tan pronto como el dispositivo se encienda y se conecte a Internet. Si no completa la configuración del dispositivo remoto hasta después de que el dispositivo haya sido implementado, la nueva configuración toma efecto en el dispositivo remoto cuando la concesión del dispositivo caduca y consulta con el Management Server para obtener la información actualizada. Esto puede tomar hasta una hora. Después de que la configuración inicial está completa, cada vez que el dispositivo remoto contacta al Management Server para solicitar una actualización de configuración, el Management Server modifica el archivo de configuración del dispositivo remoto para agregar o actualizar detalles para el Management Tunnel.
Las rutas del túnel para el Management Tunnel por IPSec están configuradas para usar estas direcciones IP:
- Local — 1-to-1 NAT de la dirección IP de la interfaz de confianza a la dirección IP de administración
- Remoto — Recurso VPN de dispositivo hub
Si hace un cambio a las direcciones IP de confianza u opcionales en un dispositivo remoto, y esta dirección IP es usada por un Management Tunnel por IPSec, éste se desactiva y debe reactivarse. Si el dispositivo está en Modo Totalmente Administrado, se realiza la actualización de configuración del dispositivo remoto de manera automática la siguiente vez que contacta al Management Server para obtener la información más reciente. Recomendamos que configure todos sus dispositivos remotos que se usan en un Management Tunnel por IPSec en Modo Totalmente Administrado.
Para un Management Tunnel por SSL, las direcciones IP se eligen del grupo de direcciones IP y pueden cambiar cada vez que se activa el túnel.
Si el dispositivo está en Modo Básico Administrado, debe forzar al dispositivo remoto a que contacte al Management Server para obtener la actualización antes de que el Management Tunnel pueda reactivarse. Una vez que los detalles de configuración se han cambiado, pero antes de actualizar el Management Tunnel, las opciones de administración del dispositivo son limitadas, como se describió en la sección anterior.
Para forzar a un dispositivo remoto en Modo Básico Administrado a que contacte al Management Server:
- En WSM, en la página Dispositivo para su dispositivo remoto, haga clic en Configurar.
Aparece el cuadro de diálogo Propiedades del Dispositivo. - No haga ningún cambio en la configuración. Haga clic en Aceptar.
- En la página Dispositivo para el dispositivo remoto, haga clic en Caducar Concesión para avisar al dispositivo que debe contactar al Management Server para obtener información actualizada.
Cuando el dispositivo remoto contacta al Management Server, recibe la información actualizada del Management Tunnel y éste se reactiva.
Configurar un Dispositivo Remoto para un Management Tunnel por SSL
Si su Firebox remoto ya está implementado en una ubicación remota detrás de un dispositivo NAT de terceros y desea habilitar un Management Tunnel por SSL para el dispositivo remoto, puede conectarse directamente a éste para ajustar manualmente las Configuraciones de Dispositivos Administrados para el dispositivo remoto. Esta opción es útil cuando el dispositivo remoto no puede entrar en contacto con el Management Server a través del Management Tunnel por SSL porque la conexión está bloqueada por el dispositivo NAT de terceros.
Antes de que complete los pasos en este procedimiento para configurar su dispositivo remoto para un Management Tunnel por SSL, debe completar los pasos en la sección Paso 2 — Agregar el Dispositivo Remoto a la Administración para agregar su dispositivo al Management Server.
Para configurar el Firebox remoto para un Management Tunnel por SSL, en Policy Manager:
- Inicie el Policy Manager para el dispositivo remoto.
- Seleccione Ajustes > Configuración del Dispositivo Administrado.
- Asegúrese de que la casilla de selección Habilitar Centralized Management esté seleccionada.
- Seleccione la pestaña Management Tunnel.
- Marque la casilla de selección Usar un túnel SSL para la administración remota.
- En el cuadro de texto Servidor SSL, ingrese la dirección IP del Servidor OpenVPN.
Esta es la dirección IP del Management Tunnel de su Firebox de puerta de enlace (dispositivo hub). - En el cuadro de texto Identificación del Túnel SSL, ingrese el Nombre del Dispositivo del dispositivo remoto, u otro nombre único para el Management Tunnel por SSL.
- En el cuadro de texto Contraseña del Túnel SSL, ingrese la contraseña que debe utilizar para el Management Tunnel por SSL.
- Haga clic en Aceptar.
- Guarde la configuración en el dispositivo remoto.
- Conéctese al Fireware Web UI para el dispositivo remoto.
- Seleccione Sistema > Dispositivo Administrado.
- Asegúrese de que la casilla de selección Habilitar Centralized Management esté seleccionada.
- Seleccione la pestaña Management Tunnel.
- Marque la casilla de selección Usar un túnel SSL para la administración remota.
- En el cuadro de texto Servidor SSL, ingrese la dirección IP del Servidor OpenVPN.
Esta es la dirección IP del Management Tunnel de su Firebox de puerta de enlace (dispositivo hub). - En el cuadro de texto Identificación del Túnel SSL, ingrese el Nombre del Dispositivo del dispositivo remoto, u otro nombre único para el Management Tunnel por SSL.
- En el cuadro de texto Contraseña del Túnel SSL, ingrese la contraseña que debe utilizar para el Management Tunnel por SSL.
- Haga clic en Guardar.
También puede utilizar Fireware Web UI o la Command Line Interface de WatchGuard para configurar el dispositivo remoto para un Management Tunnel por SSL. Para obtener más información, consulte la Ayuda de Fireware Web UI o la Referencia de la Command Line Interface.
Verificar el Estado del Management Tunnel
Después de que el Management Tunnel se active entre el Firebox (hub) de puerta de enlace y el Firebox remoto (spoke), podrá ver el estado del Management Tunnel en la pestaña Panel Delantero del Firebox System Manager para el dispositivo hub o spoke.
Para obtener más información acerca de cómo utilizar la pestaña Panel Delantero, consulte Estado del Dispositivo Básico y de la Red (Panel delantero).
Cuando se conecta con el Management Server en WSM y selecciona uno de los dispositivos administrados en cualquier extremo del Management Tunnel, la página dispositivo aparece con la sección Información del Management Tunnel, que incluye la siguiente información sobre sus configuraciones:
- Tipo — Solo IPSec, Solo SSL, o IPSec o SSL
- Dispositivo Hub — El nombre del dispositivo hub
- Identificación del Túnel — El nombre del Management Tunnel
Para obtener más información acerca de la página dispositivo, consulte Acerca de la Página Administración del Dispositivo.
Revisar la Lista de Miembros del Cliente
En las propiedades del dispositivo para el dispositivo hub (Firebox de puerta de enlace), puede ver una lista de todos los dispositivos del cliente (dispositivos remotos) configurados para los Túneles de Administración hacia el dispositivo hub. El cuadro de diálogo Propiedades del Dispositivo del dispositivo hub incluye dispositivos que utilizan tanto SSL como IPSec para activar un Management Tunnel.
Si Mobile VPN with SSL está activado para su dispositivo hub, y ha configurado los Management Tunnels por SSL para su dispositivo hub, también puede ver la lista de los dispositivos del cliente que se conectan al dispositivo hub con un Management Tunnel por SSL.
Ver Todos los Miembros del Cliente
Para revisar la lista de los miembros del cliente para los Management Tunnels hacia el dispositivo hub (Firebox de puerta de enlace):
- En WSM, en la página Dispositivo para su dispositivo hub, haga clic en Configurar.
Aparece el cuadro de diálogo Propiedades del Dispositivo. - Seleccione la pestaña Configuraciones del Management Tunnel.
Aparecen las configuraciones del Management Tunnel.
- Haga clic en Miembros del Cliente.
Aparece el cuadro de diálogo miembros del Cliente.
- Revisar la lista de dispositivos del cliente.
- Haga clic en Cerrar.
Ver Miembros del Cliente del Management Tunnel por SSL
Si su dispositivo hub está configurado para un Management Tunnel por SSL, en la parte superior del cuadro de diálogo Configuración de Mobile VPN with SSL, aparece un mensaje que indica que la función Management Tunnel está habilitada, con el botón Miembros del Cliente.
Para revisar la lista de los miembros del cliente para el Management Tunnel por SSL hacia el dispositivo hub (Firebox de puerta de enlace):
- Haga clic en Miembros del Cliente.
Aparece el cuadro de diálogo Miembros del Cliente.
- Revisar la lista de dispositivos del cliente.
- Haga clic en Aceptar.
Administrar un Dispositivo Remoto
Después de que haya configurado un Management Tunnel para su Firebox remoto, puede utilizar WSM en el equipo de administración de su red de administración (donde están instalados su Management Server y el cliente de WSM), para conectarse con el dispositivo remoto y realizar cambios en la configuración del dispositivo remoto.
Para realizar cambios en la configuración de un dispositivo remoto desde un equipo que no sea el equipo de administración dentro de su red de administración (como desde una ubicación remota o desde un equipo en una subred distinta), debe hacer una conexión RDP al equipo de administración, o utilizar otra herramienta de acceso remoto (como Terminal Services), para conectarse con el equipo de administración. Entonces podrá usar el WSM en el equipo de administración para administrar su dispositivo remoto.
Ver También
Acerca de Túneles de Administración
Túneles de VPN de Sucursal Administrados (WSM)
Establecer Túneles Administrados entre Dispositivos