Mejorar la Disponibilidad del Túnel VPN de Sucursal (BOVPN)
- Conexión externa poco fiable — Uno o ambos endpoints de la BOVPN pueden tener conexiones externas con alta latencia, alta fragmentación de paquetes y alta pérdida de paquetes, lo que puede causar que una conexión no sea confiable. Esos factores tienen un impacto más fuerte en el tráfico de BOVPN que en otro tráfico común, como HTTP y SMTP. Con el tráfico de BOVPN, los paquetes cifrados deben llegar al endpoint de destino, ser decodificados y luego rearmados antes de que el tráfico no cifrado sea enrutado a la dirección IP de destino.
- Endpoint y software WatchGuard antiguo — Realizamos pruebas de compatibilidad entre los nuevos productos WatchGuard y los dispositivos más antiguos utilizando el software más reciente disponible para los dispositivos más antiguos. Con software más antiguo, pueden existir problemas que solucionamos en versiones de software más recientes.
- Endpoint de terceros — Debido a que los Fireboxes se basan en el estándar IPSec, son compatibles con la mayoría de los endpoints de terceros. No obstante, algunos dispositivos de endpoints de terceros no son compatibles con IPSec debido a problemas de software o configuraciones con derechos de autor.
- Tráfico bajo o nulo — Si hay un volumen bajo de tráfico a través de un túnel IPSec, o si hay largos períodos de tiempo en los que no pasa tráfico por el túnel, el Firebox y la mayoría de los endpoints de terceros cortan intencionalmente la conexión VPN. Esto se hace para evitar que sucedan ataques de fuerza bruta entre reingresos de clave automáticos. Cuando el tráfico intenta fluir a través del túnel nuevamente, este se reconstruye y cambia de clave.
Si los problemas de disponibilidad de la BOVPN continúan después de Actualizar el Fireware OS, pruebe estas opciones:
En los ajustes de IKEv1, puede habilitar la Dead Peer Detection, un estándar de la industria que utiliza la mayoría de los dispositivos IPSec. Recomendamos que seleccione Dead Peer Detection si ambos dispositivos endpoints lo soportan.
Al activar la Dead Peer Detection, el Firebox monitorea el tráfico de túnel para identificar si un túnel está activo. Si no se ha recibido tráfico desde el punto remoto durante el período de tiempo especificado por el valor Tiempo de espera inactivo de tráfico, y se está esperando un paquete para enviarlo al punto, el Firebox envía una consulta. Si no hay respuesta después de la cantidad de Reintentos máx., el Firebox cierra el túnel y renegocia la conexión de Fase 1. Para más informaciones acerca de Dead Peer Detection, consulte RFC 3706.
Recomendamos que no habilite IKE Keep-Alive, que es una tecnología más antigua y, además, menos confiable y escalable.
Para habilitar Dead Peer Detection, en Fireware Web UI:
- Seleccione VPN > VPN de Sucursal.
- Seleccione la puerta de enlace y haga clic en Editar.
- Seleccione la pestaña Configuración de Fase 1.
- Seleccione Dead Peer Detection (RFC3706).
Para habilitar Dead Peer Detection, en Policy Manager:
- Seleccione VPN > Puertas de Enlace de Sucursal.
- Seleccione la puerta de enlace y haga clic en Editar.
- Seleccione la pestaña Configuración de Fase 1.
- Seleccione Dead Peer Detection (RFC3706).
Los ajustes predeterminados de BOVPN en el Firebox están diseñados para ser compatibles con dispositivos WatchGuard más antiguos y dispositivos de terceros. Si el dispositivo de endpoint del mismo nivel es compatible con IKEv2 y con ajustes de autenticación y cifrado más fuertes, recomendamos que cambie los ajustes predeterminados para lograr mayor seguridad y rendimiento.
Estas tablas muestran los valores predeterminados y recomendados para cada configuración de BOVPN.
| Configuración de BOVPN | Valores Predeterminados (para la compatibilidad) | Valores Recomendados (para el rendimiento y la seguridad) |
|---|---|---|
| Versión | IKEv1 | IKEv2 |
| Modo | Principal (Seleccione Agresivo si uno de los dispositivos posee una dirección IP externa dinámica). |
No aplicable si selecciona IKEv2 como la versión |
| NAT Traversal | Sí | Sí |
| Intervalo de keep-alive de NAT Traversal | 20 segundos | 20 segundos |
| IKE Keep-alive | Deshabilitado | Deshabilitado |
| Intervalo de Mensaje de IKE keep-alive | Ninguno | Ninguno |
| Fallas Máx. de IKE keep-alive | Ninguno | Ninguno |
| Dead Peer Detection (RFC3706) | Habilitado | Habilitado |
| Tiempo de espera inactivo de tráfico para Dead Peer Detection | 20 segundos | 20 segundos |
| Máx. de reintentos de Dead Peer Detection | 5 | 5 |
| Configuración de Transformación de Fase 1 | Valores Predeterminados (para la compatibilidad) | Valores Recomendados (para el rendimiento y la seguridad)1 |
|---|---|---|
| Algoritmo de Autenticación | SHA2-256 | No aplicable si especifica AES-GCM como el algoritmo de cifrado |
| Algoritmo de Cifrado | AES (256 bits) | AES-GCM (256-bit)2 |
| Vencimiento de Negociación o Duración de SA (horas) | 24 | 24 |
| Grupo Diffie-Hellman | 14 | 202 |
1. En los ajustes de la Fase 1, debe seleccionar la opción IKEv2 para ver las opciones de AES-GCM.
2. Debido a que los ajustes de la Fase 1 generalmente no tienen un impacto en el rendimiento de la BOVPN, recomendamos AES-GCM (256 bits) y el Grupo Diffie-Hellman 20 para mayor seguridad.
| Configuración de Propuesta de FASE 2 | Valores Predeterminados (para la compatibilidad) | Valores Recomendados (para el rendimiento y la seguridad) |
|---|---|---|
| Tipo | ESP | ESP |
| Algoritmo de Autenticación | SHA2-256 | No aplicable si especifica AES-GCM como el algoritmo de cifrado |
| Algoritmo de Cifrado | AES (256 bits) | AES-GCM (128 bits) |
| Forzar caducidad de clave | Habilitar | Habilitar |
| Tiempo de Vencimiento de la Clave de Fase 2 (horas) | 8 | 8 |
| Perfect Forward Secrecy (PFS) | Habilitado | Habilitado |
| Grupo Diffie-Hellman | 14 | 19 |
No habilite el ajuste de Tráfico de Vencimiento de la Clave de la Fase 2 (kilobytes), que es una configuración predeterminada en Fireware v11.9.1 o inferior. Este ajuste puede causar reingresos de clave excesivos, alta carga de la CPU y paquetes descartados, lo que puede desestabilizar su VPN. El ajuste del Tráfico de Vencimiento de la Clave de la Fase 2 (kilobytes) no es compatible con la mayoría de los dispositivos de terceros.
Si no pasa tráfico por un túnel IPSec durante un período de tiempo, un endpoint de la puerta de enlace puede decidir que el otro endpoint no está disponible y cerrar el túnel. El endpoint de la puerta de enlace no renegociará el túnel VPN hasta que el tráfico se envíe nuevamente a través del túnel. En los ajustes de la Fase 1, si especifica IKEv2, este proceso se produce rápidamente y es posible que no se note.
Si observa paquetes perdidos, verifique la versión especificada en los ajustes de la Fase 1. Si especificó IKEv1 y usa los otros ajustes predeterminados de Fase 1 y 2, especialmente, los ajustes predeterminados de Fireware v11.x o inferior, es posible que observe paquetes descartados con las claves nuevas.
Si usa IKEv1 y los ajustes predeterminados heredados y notó paquetes descartados con las claves nuevas, asegúrese de que el tráfico pase por el túnel en todo momento.
Por ejemplo, podría enviar estos tipos de tráfico a través del túnel:
- Ping continuo
- Mensajes de registro
- SNMP
- Otro software de monitorización
Ping Continuo
Para una solución simple, puede configurar un ping continuo para enviar tráfico a través del túnel a un dispositivo confiable, como un servidor.
Mensajes de Registro
Puede configurar el Firebox para enviar mensajes de registro a través del túnel VPN a un Log server.
Si no tiene un servidor log server, puede configurar intencionalmente el Firebox para enviar el tráfico de mensajes de registro a un servidor de registro que no existe. Esto crea una cantidad constante pero pequeña de tráfico que se envía a través del túnel, lo que puede ayudar a reducir la cantidad de reconstrucciones y cambios de claves del túnel.
Cuando especifique una dirección IP para el log server, independientemente de si el log server existe o no, siga estas pautas:
- La dirección IP del log server que especifique debe ser una dirección IP que esté incluida en las configuraciones de ruta de túnel remoto.
Para obtener más información, consulte Agregar Rutas para un Túnel. - La dirección IP del log server no debería ser una dirección IP asignada a un dispositivo real.
También debe determinar qué tipo de generación de registro utilizar. Diferentes tipos de generación de registros generan diferentes volúmenes de tráfico:
WatchGuard Dimension
No se envía ningún dato de registro hasta que el Firebox se haya conectado a Dimension. Los únicos tipos de tráfico que se envían a través del túnel son los intentos de conectarse a Dimension. Esto puede ser un volumen de tráfico suficiente para ayudar en la estabilidad del túnel con un mínimo impacto sobre otro tráfico de BOVPN.
Syslog
Los datos de registro se envían inmediatamente a la dirección IP del servidor de syslog. El volumen de datos de registro depende del tráfico que maneja el dispositivo. La generación de registros syslog suele generar bastante tráfico para que siempre estén pasando paquetes por el túnel. El volumen de tráfico ocasionalmente puede hacer que el tráfico normal de BOVPN sea más lento, pero esto no es común.
Para mejorar la estabilidad y tener el menor impacto en el tráfico BOVPN, pruebe Dimension primero. Si eso no mejora la estabilidad del túnel BOVPN, intente el registro de syslog.
A continuación, se brindan algunas de las opciones que puede intentar:
- Configurar un endpoint para enviar tráfico de registro de Dimension a través del túnel.
- Configurar el otro endpoint para enviar tráfico de registro de Dimension a través del túnel.
- Configurar ambos endpoints para enviar tráfico de registro de Dimension a través del túnel.
- Configurar un endpoint para enviar tráfico de registro de syslog a través del túnel.
- Configurar sólo el otro endpoint para enviar tráfico de registro de syslog a través del túnel.
- Configurar ambos endpoints para enviar tráfico de registro de syslog a través del túnel.
Para configurar que su Firebox envíe datos de registro al servidor WatchGuard Dimension Server a través del túnel, consulte Agregar un Log Server para Dimension o WSM.
Para configurar que su Firebox envíe datos de syslog a través del túnel, consulte Ajustar la Configuración del Servidor Syslog.
Mensajes SNMP
Puede configurar su Firebox para enviar información a un servidor SNMP. Para más información, consulte Acerca del SNMP.