Interfaz BOVPN Virtual con Dynamic Routing

Puede usar una interfaz virtual BOVPN para permitir que el Firebox use el enrutamiento dinámico para encontrar las rutas a las redes privadas en un Firebox par o en un endpoint de tercero a través del túnel VPN. Cuando utilice un enrutamiento dinámico con una interfaz virtual BOVPN, el dispositivo en cada extremo del túnel aprende automáticamente las rutas hacia las redes publicitadas por la otra puerta de enlace.

Ejemplo

Este ejemplo muestra el enrutamiento dinámico entre un Firebox en el Sitio A y otro en el Sitio B. Los sitios utilizan OSPF para actualizar dinámicamente las rutas a través de la interfaz virtual BOVPN.

Para conocer los ejemplos que muestran el enrutamiento dinámico de BGP entre un Firebox y un endpoint de nube de terceros, consulte:

BGP es admisible para las conexiones de la interfaz virtual BOVPN a Microsoft Azure y Amazon AWS. OSPF no está admitido.

Firebox del Sitio A

Para este ejemplo, el Firebox del Sitio A tiene dos interfaces externas, una red de confianza, y cuatro redes opcionales.

Interfaz Tipo Nombre Dirección IP
0 Externas Externas 203.0.113.2/24
1 De Confianza De Confianza 10.0.1.1/24
2 Opcional Optional-1 (Opcional-1) 10.0.2.1/24
3 Opcional Opcional-2 10.0.3.1/24
4 Opcional Opcional-3 10.0.4.1/24
5 Opcional Opcional-4 10.0.5.1/24
6 Externas Externa-2 190.0.2.2/24

El administrador en el Sitio A desea propagar las rutas para la red de Confianza, la red Opcional-1, y la red Opcional-2 a través del túnel BOVPN, pero no desea propagar las rutas para las redes Opcional-3 y Opcional-4.

Firebox del Sitio B

Para este ejemplo, el Firebox del Sitio B tiene dos interfaces externas, una red de confianza, y tres redes opcionales.

Interfaz Tipo Nombre Dirección IP
0 Externas Externas 198.51.100.2/24
1 De Confianza De Confianza 10.50.1.1/24
2 Opcional Optional-1 (Opcional-1) 10.50.2.1/24
3 Opcional Opcional-2 10.50.3.1/24
4 Opcional Opcional-3 10.50.4.1/24

El administrador en el Sitio B desea propagar las rutas para la red de Confianza y la red Opcional-1 a través del túnel BOVPN, pero no desea propagar las rutas para las redes Opcional-2 y Opcional-3.

Configuración de Interfaz Virtual BOVPN

La interfaz virtual BOVPN en cada Firebox se debe ajustar para que utilice la misma configuración. Para este ejemplo, asumimos que el Sitio A y el Sitio B coinciden en utilizar una clave precompartida y utilizar estas direcciones IP para la interfaz virtual BOVPN:

  • Dirección IP local de la interfaz virtual BOVPN del Sitio A — 10.1.1.1
  • Dirección IP local de la interfaz virtual BOVPN del Sitio B — 10.2.2.2

El resto de los ajustes de la interfaz virtual BOVPN permanecerán con sus valores predeterminados.

Configuración de Interfaz Virtual BOVPN del Sitio A

En la pestaña Configuraciones de la Puerta de Enlace de la configuración de la interfaz virtual BOVPN, especifique estos ajustes:

  • En la lista desplegable Tipo de Endpoints Remotos, seleccione Firebox. Esta opción utiliza el protocolo GRE para encapsular el túnel IPSec.
  • El Método de Credencial es la clave precompartida que acuerdan los dos sitios.
  • La lista Endpoints de la Puerta de Enlace incluye dos pares de endpoints de la puerta de enlace, uno para cada interfaz externa en el Sitio A.
    • Primer par de endpoints de puerta de enlace:
      Puerta de Enlace Local — 203.0.113.2 (la dirección IP de la primera interfaz externa en el Firebox del Sitio A)
      Puerta de enlace remota — 198.51.100.2 (la dirección IP de interfaz externa del Firebox del Sitio B)
    • Segundo par de endpoints de puerta de enlace:
      Puerta de enlace local — 190.0.2.2 (la dirección IP de la segunda interfaz externa en el Firebox del Sitio A)
      Puerta de Enlace Local — 198.51.100.2 (la dirección IP de interfaz externa del Firebox del Sitio B)

Screen shot of the BOVPN Virtual Interfaces page, Gateway Settings tab
Configuración de la puerta de enlace del Sitio A en Fireware Web UI.

Screen shot of the New BOVPN Virtual Interface dialog box, Gateway Settings tab
Configuración de la puerta de enlace del Sitio A en Policy Manager.

En la pestaña Rutas VPN de la configuración de la interfaz virtual BOVPN, especifique estos ajustes:

  • Asignar direcciones IP virtuales — Habilitado
  • Dirección IP Local — 10.1.1.1
  • Dirección IP Par — 10.2.2.2

Screen shot of the BOVPN Virtual Interfaces page, VPN Routes tab
Rutas VPN del Sitio A en Fireware Web UI.

Screen shot of the New BOVPN Virtual Interface dialog box, VPN Routes tab
Rutas VPN del Sitio A en Policy Manager.

Configuración de Interfaz Virtual BOVPN del Sitio B

La configuración en el Sitio B es exactamente la misma que en el Sitio A, salvo que las direcciones IP local y de la puerta de enlace remota estén invertidas, y que las direcciones IP local y de pares estén invertidas.

En la pestaña Configuraciones de la Puerta de Enlace de la configuración de la interfaz virtual BOVPN, especifique estos ajustes:

  • En la lista desplegable Tipo de Endpoints Remotos, seleccione Firebox. Esta opción utiliza el protocolo GRE para encapsular el túnel IPSec.
  • El Método de Credencial utiliza la clave precompartida que utilizan los dos sitios.
  • La lista Endpoints de la Puerta de Enlace incluye dos pares de endpoints de la puerta de enlace, uno para cada interfaz externa en el Sitio A.
    • Primer par de endpoints de puerta de enlace:
      Puerta de Enlace Local — 198.51.100.2 (la dirección IP de interfaz externa del Firebox del Sitio B)
      Puerta de Enlace Remota — 203.0.113.2 (la dirección IP de la primera interfaz externa en el Firebox del Sitio A)
    • Segundo par de endpoints de puerta de enlace:
      Puerta de Enlace Local — 198.51.100.2 (la dirección IP de interfaz externa del Firebox del Sitio B)
      Puerta de enlace remota — 190.0.2.2 (la dirección IP de la segunda interfaz externa en el Firebox del Sitio A)

Screen shot of the BOVPN Virtual Interfaces page, Gateway Settings tab
Configuración de la puerta de enlace del Sitio B en Fireware Web UI.

Screen shot of the New BOVPN Interface dialog box, Gateway Settings tab
Configuración de la puerta de enlace del Sitio B en Policy Manager.

En la pestaña Rutas VPN de la configuración de la interfaz virtual BOVPN, especifique estos ajustes:

  • Asignar direcciones IP virtuales — Habilitado
  • Dirección IP Local — 10.2.2.2
  • Dirección IP Par — 10.1.1.1

Screen shot of the BOVPN Virtual Interface page, VPN Routes tab
Rutas VPN del Sitio B en Fireware Web UI.

Screen shot of the New BOVPN Virtual Interface, VPN Routes tab
Rutas VPN del Sitio B en Policy Manager.

Configuración de Dynamic Routing

Después de que defina las direcciones IP de la interfaz virtual, puede utilizarlas en la configuración de enrutamiento dinámico.

En la configuración OSPF:

  • Seleccione la Dirección IP Par en la configuración de la interfaz virtual BOVPN para referirse a la red punto a punto.
  • Seleccione el Nombre del Dispositivo (bvpn1) en la configuración de la interfaz virtual BOVPN para referirse a la interfaz BOVPN.

En este ejemplo de configuración, el Sitio A propaga rutas para la red de Confianza, la red Opcional-1, y la red Opcional-2. El Sitio B propaga rutas para las redes local de Confianza y la red Opcional-1.

Este ejemplo muestra dos opciones para configurar OSPF en cada Firebox.

Después de que los archivos de configuración se guardan en los Fireboxes en el Sitio A y el Sitio B, el túnel BOVPN se activa y las rutas dinámicas se propagan a través del túnel.

Ver Rutas de Red Dinámicas

Después de que el túnel BOVPN se haya establecido, cada Firebox utiliza OSPF para encontrar las rutas hacia las redes conectadas propagadas por el dispositivo par.

Puede ver estas rutas en WatchGuard System Manager y en Firebox System Manager al expandir la interfaz virtual BOVPN para cada Firebox.

Para el Firebox en el Sitio A, Firebox System Manager muestra dos entradas en la sección Ruta hacia. Estas corresponden a las dos redes privadas que se especificaron en la configuración OSPF del Sitio B.

10.50.1.0/24 metric 20
10.50.2.0/24 metric 20

Screen shot of Firebox System Manager front panel tab Branch Office VPN tunnels at Site A

Para el Firebox en el Sitio B, Firebox System Manager muestra tres entradas en la sección Ruta hacia. Estas corresponden a las tres redes privadas que fueron especificadas en la configuración OSPF del Sitio A.

10.0.1.0/24 metric 20
10.0.2.0/24 metric 20
10.0.3.0/24 metric 20

Screen shot of Firebox System Manager front panel tab Branch Office VPN tunnels at Site B

En la pestaña Informe de Estado de Firebox System Manager, las rutas de red dinámicas aparecerán en la sección Rutas IPv4. Para obtener más información sobre la tabla de enrutamiento, consulte Leer las Tablas de Enrutamiento de Firebox.

En Fireware Web UI, las rutas de red aprendidas aparecerán en la tabla de enrutamiento para cada Firebox. Para ver las rutas, seleccione Estado del Sistema > Rutas. Para obtener más información sobre la tabla de enrutamiento en Fireware Web UI, consulte Rutas.

El nombre de la interfaz para las rutas que utilizan la interfaz virtual BOVPN es el Nombre del Dispositivo que se asigna automáticamente al crear la interfaz virtual BOVPN. El nombre de la primera interfaz virtual BOVPN es bvpn1.

Para este ejemplo, las rutas que utilizan la interfaz bvpn1 en el Sitio A son:

Destino Interfaz Puerta de enlace Descripción
10.2.2.2 bvpn1 0.0.0.0 La dirección IP de par de la interfaz BOVPN virtual
10.50.1.0 bvpn1 10.2.2.2 Ruta aprendida del Sitio B
10.50.2.0 bvpn1 10.2.2.2 Ruta aprendida del Sitio B

Para este ejemplo, las rutas que utilizan la interfaz bvpn1 en el Sitio B son:

Destino Interfaz Puerta de enlace Descripción
10.1.1.1 bvpn1 0.0.0.0 La dirección IP de par de la interfaz BOVPN virtual
10.0.1.0 bvpn1 10.1.1.1 Ruta aprendida del Sitio A
10.0.2.0 bvpn1 10.1.1.1 Ruta aprendida del Sitio A
10.0.3.0 bvpn1 10.1.1.1 Ruta aprendida del Sitio A

Ver También

Configurar una Interfaz BOVPN Virtual

Configurar Enrutamiento IPv4 con OSPF

Ejemplos de Interfaz BOVPN Virtual

Interfaz BOVPN Virtual para el Dynamic Routing a Microsoft Azure

Interfaz BOVPN Virtual para el Dynamic Routing a Amazon Web Services (AWS)