Direcciones IP de Interfaz Virtual para una VPN a un Endpoint de Terceros
Puerta de enlace del tercero que admite GRE a través de IPSec
Puede configurar una interfaz virtual BOVPN entre su Firebox y un endpoint de VPN de terceros que admita GRE over IPSec. El endpoint del tercero debe terminar el túnel GRE, no pasar el tráfico GRE a través del túnel IPSec.
Para configurar este tipo de interfaz virtual BOVPN, establezca el Tipo de Endpoint Remoto en Firebox.
Cloud VPN o puerta de enlace de terceros sin GRE
También puede configurar una interfaz virtual BOVPN entre su Firebox y una Cloud VPN o una puerta de enlace VPN de terceros que no use GRE. Fireware admite conexiones a endpoints basados en la nube que admiten selectores de tráfico en la forma de comodines, por ejemplo, Microsoft Azure.
Para configurar este tipo de interfaz virtual BOVPN, configure el Tipo de Endpoint Remoto en Nube o Puerta de Enlace de terceros.
Configure las direcciones IP de la interfaz virtual de la misma manera para cualquier tipo de interfaz virtual BOVPN.
En Fireware v12.4 o superior, si especifica las Direcciones IPv6 como Familia de Direcciones de Puerta de Enlace, debe precisar las direcciones IP de la interfaz virtual IPv6.
Enrutamiento Estático
Para crear rutas de interfaz virtual BOVPN estática entre un Firebox y un dispositivo de tercero:
- Seleccione el tipo de endpoint Firebox para crear un túnel IPSec que use GRE.
- Seleccione Endpoint en la Nube o del tercero para crear un túnel IPSec sin GRE.
Para ver ejemplos de configuración, consulte Interfaz BOVPN Virtual para Enrutamiento Estático a Microsoft Azure, Interfaz BOVPN Virtual para Enrutamiento Estático a Amazon Web Services (AWS), y Guías de Integración de Fireware.
Dynamic Routing
Para utilizar la interfaz virtual BOVPN para Dynamic routing a un endpoint de VPN de un tercero, debe configurar la dirección IP de la interfaz virtual de manera diferente que para el Dynamic routing entre dos Firebox. Para ejemplos de configuración, consulte:
- Interfaz BOVPN Virtual para el Dynamic Routing a Cisco
- Interfaz BOVPN Virtual para el Dynamic Routing a Microsoft Azure
- Interfaz BOVPN Virtual para el Dynamic Routing a Amazon Web Services (AWS)
Para una interfaz virtual BOVPN a un dispositivo de un tercero, usted especifica una dirección IP local y una subnet mask:
- Dirección IP Local — La dirección IP para utilizar en el extremo local del túnel. Debe estar en la misma subred que la dirección IP local configurada para esta VPN en el endpoint de VPN del tercero.
- Dirección IP o máscara de red de pares — La subnet mask de la dirección IP local. Debe estar en la misma máscara de red configurada para esta VPN en el endpoint del tercero. Para el enrutamiento dinámico para una red Microsoft Azure, especifique la dirección IP de la interfaz virtual de Azure en lugar de una máscara de red. Azure define la dirección IP de la interfaz virtual de Azure.
Para asegurarse de que las direcciones que especifique no entren en conflicto con otros dispositivos, recomendamos que seleccione una dirección IP local y la máscara de red en un rango de direcciones IP de red privada que no sea utilizado por ninguna red local o por cualquier red remota conectada a través de una VPN.
Si habilita una interfaz virtual BOVPN para un FireCluster, asegúrese de que la dirección IP Local no entre en conflicto con las direcciones IP de la interfaz del clúster ni con las direcciones IP de la administración del clúster. La interfaz BOVPN virtual de WatchGuard admite BGP y OSPF. Sin embargo, el enrutamiento dinámico con OSPF para Microsoft Azure y Amazon AWS no son admitidos actualmente.
Unidad máxima de transmisión (MTU)
En Fireware v12.5 o superior, puede precisar un valor de Unidad de Transmisión Máxima (“MTU”, por sus siglas en inglés) personalizado para las interfaces virtuales BOVPN. Es probable que deba hacer esto si su Firebox se conecta a un endpoint de VPN de terceros que requiera un valor de MTU personalizado. Por ejemplo, una puerta de enlace de VPN de Microsoft Azure requiere una MTU de 1400. Para determinar si el endpoint de terceros requiere un valor de MTU personalizado, consulte la documentación suministrada por el proveedor correspondiente.
Para más información sobre los ajustes MTU, consulte Acerca de las Interfaces BOVPN Virtuales.
Asignar Direcciones IP Virtuales
- Agregar o editar una interfaz virtual BOVPN.
Para más información, consulte Configurar una Interfaz BOVPN Virtual. - Seleccione la pestaña Rutas VPN.
- En la sección Interfaz, marque la casilla Asignar direcciones IP de interfaz virtual.
- En el cuadro de texto Dirección IP local, escriba la dirección IP para el extremo local del túnel. Esta dirección debe estar en la misma subred que la dirección IP configurada para este túnel VPN en el endpoint de terceros (el par).
- En el cuadro de texto Dirección IP o máscara de red de pares, ingrese la máscara de red.
La máscara de red debe ser la misma configurada para este túnel VPN en el endpoint del tercero.
- Agregar o editar una interfaz virtual BOVPN.
Para más información, consulte Configurar una Interfaz BOVPN Virtual. - Seleccione la pestaña Rutas VPN.
- En la sección Interfaz, marque la casilla Asignar direcciones IP de interfaz virtual.
- En el cuadro de texto Dirección IP local, escriba la dirección IP para el extremo local del túnel.
Esta dirección debe estar en la misma subred que la dirección IP configurada para este túnel VPN en el endpoint de terceros (el par). - En el cuadro de texto Dirección IP o máscara de red de pares, ingrese la máscara de red.
La máscara de red debe ser la misma configurada para este túnel VPN en el endpoint del tercero.
Al configurar el enrutamiento dinámico a través de la interfaz virtual BOVPN, utilice la dirección IP de red de la interfaz virtual, no el nombre del dispositivo en la configuración de Dynamic routing. Por ejemplo, si la dirección IP local de la interfaz virtual BOVPN es 10.10.11.0, y la máscara de red es 255.255.255.0, especifique la dirección 10.10.11.0/24 en la configuración de enrutamiento dinámico.