Configurar VPN Administradas

Desde Dimension, puede configurar los túneles de redes privadas virtuales (VPN) administradas entre cualquiera de los Fireboxes administrados por su instancia de Dimension. Cuando selecciona los dispositivos de hub y spoke para la VPN administrada, usted selecciona las interfaces externas que se utilizarán para enviar el tráfico desde cada Firebox. También selecciona una política de firewall para aplicar al tráfico VPN administrado.

Antes de agregar una VPN administrada, asegúrese de que haya agregado todas las interfaces externas que desea utilizar para la VPN a los Fireboxes que seleccione como los dispositivos hub y spoke. Las interfaces externas en el dispositivo hub deben tener direcciones IP estáticas. Para aplicar una política de firewall distinta a la política predeterminada Cualquiera, también debe configurar esa política en cada dispositivo spoke antes de agregar el Firebox como un dispositivo spoke.

Cuando agrega una VPN administrada en Dimension, puede seleccionar si desea utilizar una BOVPN Tradicional o una BOVPN de Interfaz Virtual. Si selecciona una BOVPN de Interfaz Virtual, puede utilizar el enrutamiento dinámico. Los requisitos para utilizar el enrutamiento dinámico incluyen:

  • El dynamic routing solo es compatible cuando se selecciona la opción BOVPN de Interfaz Virtual
  • Los dispositivos hubs pueden utilizar tanto el enrutamiento dinámico como el estático
  • Los dispositivos spoke solo pueden utilizar una opción de enrutamiento
  • Tanto los dispositivos hub como spoke deben utilizar el modo de enrutamiento combinado
  • Las direcciones IP para el enrutamiento dinámico no se deben utilizar para ningún otro fin
  • Las direcciones IP especificadas para el enrutamiento dinámico deben ser direcciones únicas que no se utilizan para otra VPN administrada por la misma instancia de Dimension
  • La configuración de enrutamiento dinámico para cada dispositivo se debe configurar en el archivo de configuración del dispositivo Firebox; Dimension no administra la configuración de enrutamiento dinámico

Para obtener más información acerca de cómo configurar una interfaz externa en su Firebox, consulte Configurar una interfaz externa.

Para obtener más información acerca de cómo configurar el enrutamiento dinámico en su Firebox, consulte Acerca del Dynamic Routing.

Para obtener más información acerca de cómo agregar una política al archivo de configuración de su dispositivo Firebox, consulte Agregar Políticas a Su Configuración.

Para obtener más información sobre los tipos de túneles VPN que puede crear con Dimension, consulte Administrar VPNs para Firebox Conectados.

Agregar una VPN Administrada

Cuando agrega una VPN administrada, se especifica la configuración para el dispositivo hub y luego agrega los dispositivos spoke a la VPN. Los ajustes de VPN que especifique en el asistente se aplican a los dispositivos hub y spoke solo después de completar el Spoke Device wizard.

Agregar un Dispositivo Hub

Para agregar un dispositivo hub:

  1. Seleccione Inicio > VPN.
    Se abre la página VPN.
  2. Haga clic en Agregar.
    Se inicia el Create VPN wizard, con la página Dispositivo Hub seleccionada.

Screen shot of the Create VPN wizard, Hub Device page

  1. Desde la lista desplegable Dispositivo Hub, seleccione el Firebox que será el dispositivo hub en la VPN (ubicación central de la VPN).
    Solo los Fireboxes que son administrados por Dimension aparecen en esta lista.
  2. En la lista desplegable Tipo de BOVPN, seleccione una opción:
    • BOVPN tradicional (Recomendado)
    • Interfaz Virtual BOVPN
  3. Haga clic en Siguiente.
    Se abre la página Ajustes.
  4. En el cuadro de texto Nombre de la VPN, escriba el nombre para la VPN administrada. ¡Consejo!
  5. Haga clic en Siguiente.
    Se abre la página Interfaces Externas.
  6. En la lista Interfaces Externas, seleccione las interfaces externas en el dispositivo hub que se usará para el tráfico a través del túnel BOVPN. La interfaz externa que seleccione debe tener una dirección IP estática.
    Por defecto, la lista incluye todas las interfaces externas configuradas en el Firebox. Puede agregar o eliminar interfaces externas en la lista, o cambiar el orden en que las interfaces aparecen en la lista.
    • Para agregar interfaces externas a la lista, haga clic en el icono Agregar y seleccione las interfaces que desea agregar. Haga clic en Aceptar.
    • Para eliminar interfaces externas de la lista, haga clic en el icono Eliminar y seleccione las interfaces que desea eliminar.
    • Para cambiar el orden de las interfaces externas en la lista, seleccione una interfaz y haga clic en el icono Subir o el icono Bajar.
      Asegúrese de que la primera interfaz de la lista sea la interfaz externa principal.
  7. Haga clic en Siguiente.
    Se abre la página Recursos de VPN.
  8. Si seleccionó una BOVPN de Interfaz Virtual y usa el enrutamiento dinámico para especificar una dirección IP de la interfaz virtual, en el cuadro de texto Dirección de Interfaz Virtual, escriba la dirección IPv4 de la interfaz virtual.
  9. Si no usa el enrutamiento dinámico, o si utiliza el enrutamiento dinámico, pero seleccionó una BOVPN Tradicional, para especificar las direcciones IP en el dispositivo hub al que los dispositivos spoke se pueden conectar, haga clic en el icono Agregar.
    Se abre el cuadro de diálogo Agregar Recurso de VPN.
    1. En el cuadro de texto Dirección IP, escriba la dirección IP de la interfaz externa del dispositivo hub.
    2. En la lista desplegable Dirección, seleccione la dirección en que el tráfico puede viajar a través de esta dirección IP:
      • Hub a Spoke
      • Spoke a Hub
    3. Haga clic en Aceptar.
      La dirección IP aparece en la lista Recursos de VPN.
  10. Haga clic en Finalizar.
    El Create VPN wizard finaliza, y la VPN aparece en la página VPN Hub y Spoke.

Screen shot of the Hub and Spoke VPN page, with only a Hub device

A continuación, puede agregar uno o más dispositivos spoke a su VPN.

Agregar un Dispositivo Spoke

En la página VPN de Hub y Spoke para el dispositivo hub, puede agregar uno o más dispositivos spoke a la VPN administrada. Para obtener más información acerca de las diferentes opciones de configuración de VPN de hub y spoke, consulte Administrar VPNs para Firebox Conectados.

Para agregar un dispositivo spoke a la VPN administrada:

  1. En la sección Spokes, haga clic en Agregar.
    Se abre el asistente Add Spoke Gateway, con la página Dispositivo Spoke seleccionada.

Screen shot of the Add Spoke Gateway wizard, Spoke Device page

  1. En la lista desplegable Seleccionar Dispositivo, seleccione el Firebox administrado para este spoke de la VPN.
    No puede seleccionar el mismo Firebox que seleccionó para el dispositivo Hub.
  2. Haga clic en Siguiente.
    Se abre la página Interfaces Externas.
  3. En la lista Interfaces Externas, seleccione las interfaces externas en el dispositivo spoke que se usará para el tráfico a través del túnel BOVPN.
    Por defecto, la lista incluye todas las interfaces externas configuradas en el Firebox. Puede agregar o eliminar interfaces externas en la lista, o cambiar el orden en que las interfaces aparecen en la lista.
    • Para agregar interfaces externas a la lista, haga clic en el icono Agregar y seleccione las interfaces que desea agregar. Haga clic en Aceptar.
    • Para eliminar interfaces externas de la lista, haga clic en el icono Eliminar y seleccione las interfaces que desea eliminar.
    • Para cambiar el orden de las interfaces externas en la lista, seleccione una interfaz y haga clic en el icono Subir o el icono Bajar.
      Asegúrese de que la primera interfaz de la lista sea la interfaz externa principal.
  4. Haga clic en Siguiente.
    Se abre la página Rutas del Túnel.
  5. En la lista desplegable Modo de Túnel, seleccione un método para enviar tráfico a través de la VPN administrada:
    • Especificar Rutas de Tráfico a través de VPN (Recomendado)
    • Enviar Todo el Tráfico a través de VPN
    • Especificar Dirección de Interfaz Virtual
      (Está disponible solo si el dispositivo hub utiliza una Dirección de Interfaz Virtual)
  6. Si selecciona Especificar Dirección de Interfaz Virtual, en el cuadro de texto Dirección de Interfaz Virtual, escriba la dirección IP de la Interfaz Virtual.
  7. Si selecciona Especificar Rutas de Tráfico a través de la VPN (Recomendado) o Enviar Todo el Tráfico a través de la VPN, para agregar una o más direcciones IP a la lista Enrutar Desde, haga clic en el icono Agregar.
    Se abre el cuadro de diálogo Agregar Recurso de VPN.
    1. En el cuadro de texto Dirección IP, escriba la dirección IP de la interfaz externa del dispositivo spoke.
    2. En la lista desplegable Dirección, seleccione la dirección en que el tráfico puede viajar a través de esta dirección IP:
      • Bi-direccional (Recomendado)
      • Hub a Spoke
      • Spoke a Hub
    3. Para habilitar NAT uno a uno para este recurso, marque la casilla de selección Habilitar NAT 1:1 y escriba la dirección de host o la dirección de red que se utilizará.
    4. Haga clic en Aceptar.
      Aparece la dirección IP en la lista Enrutar Desde.
  8. (Especifique solo las Rutas de Tráfico a través de VPN) en la lista Enrutar A, aparecen las direcciones IP de Recurso VPN del dispositivo hub. Puede cambiar a cuáles direcciones IP en el dispositivo hub el dispositivo spoke se puede conectar:
    • Para eliminar una dirección IP de la lista Enrutar A, seleccione la interfaz y haga clic en el icono Eliminar.
    • Para agregar una dirección IP a la lista Enrutar A, haga clic en el icono Agregar y seleccione la interfaz que agregará. Haga clic en Aceptar.
  9. Haga clic en Siguiente.
    Se abre la página Opciones de VPN.
  10. En la lista desplegable Políticas de Firewall, seleccione la política en el archivo de configuración del dispositivo spoke que se aplicará al tráfico a través de la VPN administrada. Las opciones predeterminadas son:
    • Cualquiera (Recomendado) — Esta opción crea la política Cualquiera en el archivo de configuración de su dispositivo
    • Ninguna — No se aplicará ninguna política al tráfico que pase a través de la VPN administrada
  11. Haga clic en Finalizar.
    Dimension construye el túnel VPN administrado entre los dos Firebox, y el dispositivo spoke aparece en la lista de Spokes y en el Mapa VPN de Spokes y Hubs.

Screen shot of the Hub and Spoke VPN map

Para agregar otro dispositivo spoke a la VPN administrada, repita los pasos 1-13.

El dispositivo hub y cada dispositivo radial aparecen en la página VPN de Hub y Spoke en el mapa VPN. El dispositivo hub es un icono redondo y cada dispositivo spoke es un icono cuadrado. Cada dispositivo spoke está conectado al dispositivo hub por una línea.

La línea que conecta los dispositivos hub y spoke indica el estado de la conexión:

  • Sólida — La conexión entre los dispositivos hub y spoke está activa
  • Punteada — La conexión entre los dispositivos hub y spoke está inactiva

El color de cada icono indica el estado del dispositivo:

  • Marco verde — Al menos un túnel activo
  • Sólido verde — Todos los túneles están activos
  • Gris — No hay datos de salud de la VPN
  • Rojo — No hay túneles activos

Editar una VPN Administrada

Después de haber agregado un dispositivo hub para crear una VPN administrada, puede editar la VPN administrada para cambiar la configuración del dispositivo hub o un dispositivo spoke, o agregar otro dispositivo spoke a la VPN administrada.

Los ajustes que especifique al editar una VPN administrada, se aplican a los dispositivos hub y spoke después de completar el Spoke Device wizard. Si solo edita los ajustes para el dispositivo Hub, los cambios de configuración se aplican a los dispositivos Hub y Spoke solo después de ejecutar nuevamente el Spoke Device wizard.

Para editar una VPN administrada:

  1. Seleccione Inicio > VPN.

    Se abre la página VPN.

Screen shot of the VPNs page

  1. En la lista VPN, seleccione una VPN administrada para editar.

    Se abre la página VPN de Hub y Spoke, con el mapa VPN y la lista de dispositivos spoke.

Screen shot of the Hub and Spoke VPN page

  1. Para editar el dispositivo hub, haga clic en Editar Configuración del Hub y siga las instrucciones en la sección Editar un Dispositivo Hub.
  2. Para editar un dispositivo spoke, seleccione el dispositivo spoke que desea editar y siga las instrucciones en la sección Editar un Dispositivo Spoke.
  3. Para eliminar un dispositivo spoke, seleccione el dispositivo spoke que desea eliminar y siga las instrucciones en la sección Eliminar un Dispositivo Spoke.

Editar un Dispositivo Hub

Después de que haya agregado un dispositivo hub a la VPN administrada, puede editar el dispositivo hub para cambiar la configuración de Fase 1, la transformación de Fase 1 y la configuración de Fase 2 especificadas para el dispositivo hub. También modifica cualquier configuración que haya especificado cuando agregó la VPN administrada, salvo el nombre del dispositivo hub y el tipo de BOVPN.

Para editar la configuración de un dispositivo hub:

  1. En la parte superior derecha de la página VPN de Hub y Spoke, haga clic en Editar Configuración del Hub.
    Se abre el asistente Edit VPN, con la página Dispositivo Hub seleccionada.
  2. Seleccione una pestaña para modificar la Configuración, Interfaces Externas o Recursos VPN especificados para la VPN administrada.
  3. Para cambiar la Configuración de Seguridad de la VPN, seleccione la pestaña Configuración y haga clic en Editar Configuración.
    Aparece el cuadro de diálogo Configuración de Seguridad.
  4. Modifique la Configuración de Seguridad tal como se describe en las secciones siguientes.
  5. Haga clic en Aceptar.
  6. Haga clic en Finalizar.
    Se actualiza la configuración del dispositivo hub.

Ajustes de Seguridad

Puede modificar la configuración de Fase 1, la transformación de Fase 1 y la configuración de Fase 2 especificados para el dispositivo hub.

Configuraciones de la Fase 1

Ajuste la Configuración de Fase 1 para especificar la configuración que los dispositivos utilizan para hacer una conexión autenticada segura para comunicarse.

Screen shot of the Phase 1 Settings

NAT Traversal

Marque esta casilla de selección si utiliza 1:1 NAT para la conexión entre los dispositivos en el túnel. NAT Traversal o Encapsulación de UDP permite que el tráfico llegue a los destinos correctos.

En el cuadro de texto Intervalo Keep-alive (secs), ingrese la cantidad de segundos que deben transcurrir antes de que se envíe el próximo mensaje de keep-alive de NAT.

IKE Keep-alive

Seleccione esta casilla de selección para activar el Firebox para que envíe mensajes a su punto IKE para mantener el túnel VPN abierto.

En el cuadro de texto Intervalo de Mensajes (secs), ingrese la cantidad de segundos que deben transcurrir antes de que se envíe el próximo mensaje de IKE Keep-alive.

En el cuadro de texto Fallas máximas, ingrese el número máximo de veces que el dispositivo Firebox intenta enviar un mensaje de IKE Keep-alive antes de intentar negociar la Fase 1 nuevamente.

Dead Peer Detection

Marque esta casilla de selección para habilitar o deshabilitar Dead Peer Detection basada en el tráfico. Cuando se habilita la dead peer detection, el Firebox se conecta a un punto solo si no se recibe el tráfico del punto por un período determinado de tiempo y si se está esperando que un paquete sea enviado al punto. Ese método es más escalable que los mensajes de IKE keep-alive.

En el cuadro de texto Tiempo de espera inactivo de tráfico, ingrese o seleccione la cantidad de tiempo (en segundos) que transcurre antes de que el Firebox intente conectarse al punto.

En el cuadro de texto Reintentos máximos, ingrese o seleccione la cantidad de veces que el Firebox intenta conectarse antes de que se declare muerto al punto.

No habilite ambos, el IKE Keep-alive y el Dead Peer Detection.

Transformación de Fase 1

Puede configurar los Ajustes de Seguridad para que el túnel configure el conjunto de transformación que el Firebox utiliza para librar el túnel.

Screen shot of the Phase 1 Transform settings

Autenticación

Seleccione un método de autenticación: SHA1, SHA2-256, SHA2-384 o SHA2-512.

Cifrado

Seleccione una opción de cifrado: AES (128-bit), AES (192-bit), AES (256-bit), o 3DES.

Vida útil de SA (horas)

Esta es la vida útil de la asociación de seguridad. Escriba el número de horas de vida útil de la SA. Este debe ser un número menor a 596,523 horas.

Grupo Clave

Seleccione un grupo Diffie-Hellman. Las opciones incluyen los grupos 1, 2, 5, 14, 15, 19 y 20.

Los grupos Diffie-Hellman determinan la fuerza de la clave maestra usada en el proceso de intercambio de claves. Cuanto más alto es el número del grupo, mayor es la seguridad, pero se requiere más tiempo para hacer las claves.

Para más información, consulte Acerca de los Grupos Diffie-Hellman.

Configuraciones de la Fase 2

La configuración de Fase 2 incluye las configuraciones para una asociación de seguridad (SA), que define cómo los paquetes de datos son protegidos cuando pasan entre dos endpoints. La SA mantiene toda la información necesaria para que Firebox sepa qué debería hacer con el tráfico entre los endpoints.

Screen shot of the Phase 2 Settings

Habilitar PFS

Marque esta casilla de selección para habilitar el Perfect Forward Secrecy (PFS).

El Perfect Forward Secrecy ofrece más protección a las claves creadas en una sesión. Las claves hechas con PFS no son hechas a partir de una clave anterior. Si una clave anterior está comprometida después de una sesión, las claves de su nueva sesión quedan protegidas.

En la lista desplegable, seleccione un grupo Diffie-Hellman. Las opciones incluyen los grupos 1, 2, 5, 14, 15, 19 y 20.

Para más información, consulte Acerca de los Grupos Diffie-Hellman.

Autenticación

Seleccione un método de autenticación:

  • SHA1
  • SHA2-256
  • SHA2-384
  • SHA2-512

Cifrado

Seleccione el método de encryption (cifrado):

  • 3DES
  • AES (128 bits)
  • AES (192 bits)
  • AES (256 bits)

Las opciones se enumeran en orden de menos seguro a más seguro.

Forzar caducidad de clave

Marque la casilla de selección para la opción que se usará para forzar que los endpoints de la puerta de enlace generen e intercambien nuevas claves después de que pase un período de tiempo o cantidad de tráfico determinado:

  • Por Tiempo — Escriba el número de horas después de las cuales las claves expiran.
  • Por Tráfico — Escriba la cantidad de tráfico en kilobytes después de las cuales las claves expiran.

Editar un Dispositivo Spoke

Desde la página VPN de Hub y Spoke, puede editar la configuración de un dispositivo spoke. Puede seleccionar un dispositivo spoke de la lista Spokes o del mapa VPN.

No puede cambiar el Firebox que se especifica como el dispositivo spoke. Para utilizar un Firebox diferente como el dispositivo spoke, debe eliminar el dispositivo spoke y agregar un nuevo dispositivo spoke con el Firebox correcto.

En la lista Spokes:

  1. Seleccione un dispositivo spoke y haga clic en Editar.
    Aparece el cuadro de diálogo Editar Puerta de Enlace de Spoke.
  2. Seleccione una pestaña para cambiar los ajustes de configuración:
    • Interfaces externas
    • Rutas de Túnel
    • Opciones VPN
  3. Haga clic en Guardar.
    Se actualiza la configuración para el dispositivo spoke.

En el mapa VPN:

  1. En el mapa VPN de Hub y Spoke, haga clic en un dispositivo spoke.
    Se abre el cuadro de diálogo dispositivo spoke.

Screen shot of the spoke device informational dialog box

  1. Para cambiar la configuración de la VPN del dispositivo spoke, haga clic en Editar configuración de spoke.
    Se abre el cuadro de diálogo Editar Puerta de Enlace de Spoke.
  2. Seleccione una pestaña para cambiar los ajustes de configuración:
    • Interfaces externas
    • Rutas de Túnel
    • Opciones VPN
  3. Haga clic en Guardar.
    Se actualiza la configuración para el dispositivo spoke.

También puede abrir Fireware Web UI para cambiar el archivo de configuración del dispositivo para el dispositivo spoke.

  1. En el mapa VPN de Hub y Spoke, haga clic en un dispositivo spoke.
    Se abre el cuadro de diálogo dispositivo spoke.

Screen shot of the spoke device informational dialog box

  1. A un lado de Abrir en Fireware Web UI, haga clic en Estadísticas VPN.
    Fireware Web UI se abre para el dispositivo spoke con la página Estado del Sistema> Estadísticas VPN seleccionada.
  2. Modifique la configuración según sea necesario y guarde los cambios.

Eliminar un Dispositivo Spoke

Puede eliminar un dispositivo radial de la lista Spokes. Antes de poder eliminar una VPN administrada, debe eliminar todos los dispositivos spoke de la página VPN de Hub y Spoke.

En la lista Spokes:

  1. Seleccione un dispositivo spoke y haga clic en Eliminar.
    Aparece el mensaje de confirmación.
  2. Haga clic en Aceptar.
    El dispositivo radial se elimina de la VPN administrada, y todas las configuraciones relacionadas con la VPN administrada se eliminan del dispositivo spoke.

Eliminar una VPN Administrada

Antes de poder eliminar una VPN administrada, debe eliminar primero todos los dispositivos spoke de la VPN.

Para eliminar una VPN administrada:

  1. Seleccione Inicio > VPN.
    Se abre la página VPN.
  2. En la lista VPN, seleccione la fila de la VPN administrada que desea eliminar.
  3. Haga clic en Eliminar.
    Aparece un mensaje de confirmación.
  4. Haga clic en Aceptar.
    Se elimina la VPN administrada y todas las configuraciones relacionadas con la VPN administrada se eliminan del dispositivo hub.

Ver También

Administrar VPNs para Firebox Conectados

Acerca de las Páginas de Inicio