Administrar VPNs para Firebox Conectados
Desde Dimension, puede crear y administrar VPN de hub y spoke entre sus Firebox que son administrados por Dimension. Con una VPN de hub y spoke, un Firebox es el hub, o la ubicación central, del túnel BOVPN, y un Firebox es el spoke, o la ubicación remota, del túnel BOVPN. Para cada VPN, debe agregar un dispositivo hub, pero puede agregar muchos dispositivos spoke que utilizan el mismo dispositivo hub. Un dispositivo spoke también puede ser el dispositivo hub en otro túnel BOVPN, pero un dispositivo no puede ser un hub y un spoke en el mismo túnel BOVPN.
Cuando crea un túnel BOVPN desde Dimension, agrega recursos VPN y especifica las plantillas de seguridad que se deben usar. Un Recurso VPN es el conjunto de direcciones IP que se puede utilizar para enviar tráfico a través del túnel BOVPN. Una Plantilla de Seguridad es el conjunto de parámetros que selecciona para configurar las puertas de enlace y los túneles BOVPN. Dimension incluye una Plantilla de Seguridad integrada que permite la más alta seguridad y la configuración recomendada por WatchGuard. También puede crear una Plantilla de Seguridad personalizada.
Los túneles BOVPN que crea entre dos Firebox administrados por Dimension se pueden configurar para permitir que el tráfico pase en ambas direcciones entre los dispositivos hub y spoke, o para restringir el tráfico a una sola dirección. Puede configurar un túnel BOVPN para permitir el tráfico solo entre el dispositivo hub y cada dispositivo spoke (VPN tradicional de hub y spoke), o también permitir el tráfico entre los dispositivos spoke (VPN de hub y spoke con conmutación de túnel). También puede utilizar una multi-WAN para un failover de VPN, dedicar interfaces externas o para restringir las interfaces externas.
Para obtener instrucciones para configurar una VPN administrada desde Dimension, consulte Configurar VPN Administradas.
VPN Tradicional de Hub y Spoke
Cuando se configura una VPN tradicional de hub y spoke, en cada Firebox, se configura una sola puerta de enlace BOVPN que incluye un solo par de endpoints de puerta de enlace. El endpoint spoke está configurado con una dirección IP o nombre de dominio dinámicos, y el endpoint hub está configurado con una dirección IP estática. También puede especificar una ruta cero (0.0.0.0) para el recurso de VPN en el dispositivo spoke, y el tráfico de Internet se enrutará a través del dispositivo hub.
Por ejemplo, si crea un solo túnel que enruta el tráfico de 192.168.1.0/24 en el dispositivo spoke a 10.0.1.0/24 en el hub, y permite tráfico en ambas direcciones, la configuración del túnel es:
192.168.1.0/24 <-> 10.0.1.0/24
VPN de Hub y Spoke con Conmutación de Túneles
Para una VPN de hub y spoke con conmutación de túneles, en cada Firebox, se configura una sola puerta de enlace BOVPN que incluye un solo par de endpoints de puerta de enlace. Al especificar las rutas del túnel, se configura cada ruta para permitir que los recursos VPN en cada dispositivo spoke se comuniquen con el dispositivo hub y con los otros dispositivos spoke que están conectados al dispositivo hub.
Por ejemplo, si crea un único túnel en cada dispositivo spoke, con rutas del túnel que incluyen los recursos VPN tanto para el dispositivo hub (10.0.1.0/24) como para otros dispositivos spoke (spoke A: 192.168.1.0/24, spoke B: 192.168.2.0/24), y eso permite tráfico en ambas direcciones, las rutas del túnel se ven así:
Túnel A — Túnel entre el spoke A y el dispositivo hub
192.168.1.0/24 <-> 10.0.1.0/24
192.168.1.0/24 <-> 192.168.2.0/24
Túnel B — Túnel entre el spoke B y el dispositivo hub
192.168.2.0/24 <-> 10.0.1.0/24
192.168.2.0/24 <-> 192.168.1.0/24
En este ejemplo, el tráfico se enruta desde el spoke A al spoke B a través del dispositivo hub.
VPN de Hub y Spoke con Multi-WAN
También puede utilizar una multi-WAN en su configuración de VPN de hub y spoke para un failover de VPN, para dedicar interfaces externas o para restringir las interfaces externas.
Failover de VPN
Al configurar una VPN de hub y spoke para un failover de VPN, se configuran dos interfaces externas, tanto en el dispositivo hub como spoke en el túnel. Solo un túnel debe agregarse entre los dispositivos hub y spoke, pero las interfaces externas se deben configurar para un failover de VPN.
En cada dispositivo hub y spoke, se agrega más de un par de endpoints de puerta de enlace en la configuración de la puerta de enlace BOVPN. A continuación, se asocia una plantilla de seguridad con la configuración, que incluye la configuración ya sea IKE Keep-Alive o DPD para determinar las opciones de conmutación por error. Los pares de endpoints de la puerta de enlace se generan en el orden especificado en la configuración de puerta de enlace.
Por ejemplo, si su dispositivo hub tiene tres interfaces externas (H1, H2, H3) y el dispositivo spoke tiene dos interfaces externas (S1, S2), el orden de los pares de endpoints de la puerta de enlace es:
H1–S1, H2–S1, H3–S1, H1–S2, H2–S2, H2–S2
En este ejemplo, si su túnel tiene más de un conjunto de pares de endpoints de puerta de enlace, está configurado para permitir el tráfico entre su dispositivo hub y el dispositivo spoke (192.168.1.0/24), y permite el tráfico en ambas direcciones, los pares de endpoints de la puerta de enlace serán de la siguiente manera:
Orden de los pares de endpoints de la puerta de enlace del dispositivo hub
Hub Externo-1 <-> Spoke Externo-1
Hub Externo-2 <-> Spoke Externo-1
Hub Externo-1 <-> Spoke Externo-2
Hub Externo-2 <-> Spoke Externo-2
Orden de los pares de endpoints de la puerta de enlace del dispositivo spoke
Las direcciones IP se invierten, pero el orden es el mismo:
Spoke Externo-1 <-> Hub Externo-1
Spoke Externo-1 <-> Hub Externo-2
Spoke Externo-2 <-> Hub Externo-1
Spoke Externo-2 <-> Hub Externo-2
Interfaces Externas Dedicadas
Otra opción es permitir más de una interfaz externa en sus dispositivos spoke. A continuación, puede seleccionar el uso de una interfaz externa específica para enviar tráfico a lugares específicos.
Para este tipo de VPN de hub y spoke, usted configura el dispositivo de una puerta de enlace BOVPN en cada dispositivo spoke para una interfaz local que participa en la VPN. A continuación, configura un túnel BOVPN para cada puerta de enlace y asocia los recursos específicos de VPN con esa puerta de enlace.
Por ejemplo, puede configurar su dispositivo spoke con dos puertas de enlace BOVPN y dos túneles BOVPN, uno para cada interfaz. A continuación, configure su dispositivo hub con más de una interfaz externa y agregue dos puertas de enlace BOVPN y dos túneles BOVPN para el dispositivo hub. Al configurar las puertas de enlace, se especifica a través de qué interfaz se envía tráfico. Esto le permite controlar el destino del tráfico a través del túnel.
Restringir Interfaces Externas
Independientemente del número de interfaces externas configuradas en su Firebox, puede utilizar la configuración de su VPN para restringir el tráfico a través de interfaces específicas. Al configurar los ajustes para los dispositivos hub y spoke, especifique qué interfaces externas se pueden utilizar para enviar tráfico a través del túnel.
Plantillas de seguridad
Una Plantilla de Seguridad define la configuración de la Fase 1 y Fase 2 para el túnel BOVPN, y ajusta esta configuración para todos los Fireboxes incluidos en la VPN de hub y spoke:
- NAT Traversal (Fase 1)
- IKE Keep-Alive (Fase 1)
- DPD (Fase 1)
- Configuraciones de Transformación (Fase 1)
- Autenticación
- Cifrado
- Vida Útil del SA
- Grupo Clave
- Perfect Forward Secrecy (Fase 2)
- Propuesta IPsec (Fase 2)
- Autenticación
- Cifrado
- Forzar el tiempo y tráfico de expiración de la clave
Al configurar una VPN administrada, se ajusta automáticamente la configuración de la Fase 1. Cuando tanto el dispositivo hub como el dispositivo spoke utilizan direcciones IP estáticas para el túnel BOVPN, el modo se puede establecer en Conmutación por recuperación principal a Agresivo. Si más de un dispositivo en el túnel BOVPN tiene una dirección dinámica, el modo se debe establecer en Agresivo. Entonces, la propuesta de Fase 2 siempre se establece en ESP (Carga de Seguridad de Encapsulación).
Recurso de VPN
Un Recurso de VPN especifica las direcciones IP utilizadas en las rutas del túnel BOVPN. Estos son los recursos que se comparten a través del túnel BOVPN. Cada recurso VPN incluye una lista de direcciones IP de host y/o de red que se pueden utilizar en el túnel.
Al configurar una VPN tradicional de hub y spoke, puede especificar la dirección en que el tráfico puede viajar hacia o desde cada dirección IP. También puede optar por configurar direcciones 1:1 NAT para cada dirección IP.
Si agrega un túnel VIF BOVPN, para cada dirección IP, puede configurar los parámetros para las rutas asociadas con cada dispositivo.
Puertas de enlace
Al ejecutar los Hub Device y Spoke Device wizards para configurar una VPN administrada desde Dimension, usted especifica las interfaces externas en un Firebox que se usarán para conectarse a una red específica, y configura una puerta de enlace que se usará en su túnel BOVPN hub y spoke. También configura los recursos de VPN que se usarán en el túnel.