Definir Endpoints de Puerta de enlace para una Interfaz Virtual BOVPN

Los endpoints de puerta de enlace son las puertas de enlace locales y remotas conectadas por una BOVPN. La configuración de endpoints de puerta de enlace le permite a su Firebox especificar cómo identificar y comunicarse con el dispositivo de endpoint remoto cuando negocia la BOVPN. También le permite al dispositivo especificar cómo identificarse al endpoint remoto al negociar la BOVPN. Debe configurar por lo menos un par de endpoint de puerta de enlace al agregar una interfaz virtual BOVPN.

Puede configurar los endpoints múltiples de puertas de enlace para la conmutación por error de la VPN. Para más información, consulte Configurar Failover de VPN.

Puede especificar las distintas claves precompartidas para cada endpoint de puerta de enlace de una interfaz virtual. Para obtener un ejemplo de una configuración con diferentes claves precompartidas, consulte Interfaz Virtual BOVPN para Enrutamiento Estático a Amazon Web Services (AWS).

En Fireware v12.2 o superior, puede especificar una dirección IP de interfaz secundaria como endpoint de la puerta de enlace. De forma predeterminada, se utiliza la dirección IP primaria configurada en la interfaz externa que especifique.

En Fireware v12.1.x o inferior, no utilice una dirección IP de interfaz secundaria como un endpoint de puerta de enlace. Si configura un endpoint de puerta de enlace con una dirección IP de interfaz secundaria, la conexión BOVPN podría fallar si el Firebox local inicia la conexión BOVPN. Esto se debe a que Firebox inicia la conexión con la dirección IP de la interfaz principal. Si el endpoint remoto inicia la conexión BOVPN y especifica la dirección IP de la interfaz secundaria, la conexión tiene éxito.

Puerta de enlace local

En los ajustes Puerta de Enlace Local, configure la ID de la puerta de enlace y la interfaz a la cual la BOVPN se conecta en su Firebox. Puede configurar una interfaz virtual BOVPN para usar cualquier interfaz externa o interna como la puerta de enlace local.

Para la ID de la puerta de enlace, si tiene una dirección IP estática puede seleccionar Por Dirección IP. Si tiene un dominio que redirige a la dirección IP a la que se conecta la BOVPN en su Firebox, seleccione Por Información de Dominio.

Para configurar el endpoint de la puerta de enlace local, desde el Fireware Web UI:

Seleccione VPN > Interfaz BOVPN Virtual.
Haga clic en Agregar.
En la sección Endpoints de Puerta de Enlace, haga clic en Agregar.
Aparece el cuadro de diálogo Configuraciones de Endpoints de la Puerta de Enlace.

Screen shot of the Gateway Endpoint Settings dialog box, Local Gateway tab

Seleccione la interfaz física o lógica del dispositivo que tenga la dirección IP o el dominio que especificó en la ID de la puerta de enlace.
- Para seleccionar una interfaz física o inalámbrica, en la lista desplegable Física, seleccione una interfaz física o inalámbrica configuradas.
- Para seleccionar una interfaz VLAN, Bridge, Conjunto de Enlaces o PPPoE:
  1. Seleccione Otros.
  2. Haga clic en Seleccionar.
    Aparece el cuadro de diálogo Seleccionar la interfaz para la puerta de enlace local.
  1. Seleccione la interfaz en la lista de interfaces.
  2. Para filtrar la lista de interfaces, seleccione una opción de las listas desplegables Zona y Nombre.
    O bien ingrese el nombre de una interfaz en el cuadro de texto Nombre.
(Fireware v12.2 o superior) En la lista desplegable Dirección IP de la Interfaz, seleccione la Dirección IP de la Interfaz Primaria o seleccione una dirección IP secundaria que ya esté configurada en la interfaz externa seleccionada. ¡Consejo!

Screen shot of the Interface IP Address setting

Seleccione una opción y especifique el id. de la puerta de enlace:
- Por dirección IP — Ingrese la dirección IP de la interfaz de Firebox.
  En Fireware v12.1.1 o inferior, no especifique una dirección IP de interfaz secundaria como la ID de la puerta de enlace.
- Por Nombre de Dominio — Introduzca su nombre de dominio. En Fireware v12.5.2 o superior, puede especificar hasta 255 caracteres. En Fireware v12.5.1 o inferior, debe especificar 63 caracteres o menos.
- Por ID de Usuario en el Dominio — Ingrese el nombre de usuario y del dominio con el formato Nombre de usuario@NombredeDominio. En Fireware v12.5.2 o superior, puede especificar hasta 255 caracteres. En Fireware v12.5.1 o inferior, debe especificar 63 caracteres o menos.
- Por nombre x500 — Esta opción se selecciona automáticamente si especificó un certificado como método de credencial. En Fireware v12.5.2 o superior, puede especificar un certificado con un nombre x500 de hasta 255 caracteres de longitud. En Fireware v12.5.1 o inferior, debe especificar 63 caracteres o menos.

Para configurar el endpoint de la puerta de enlace local desde el Policy Manager:

Seleccione VPN > Interfaces BOVPN Virtuales.
Aparece el cuadro de diálogo Nueva Interfaz Virtual BOVPN.
En la sección Endpoints de Puerta de Enlace, haga clic en Agregar.
Aparece el cuadro de diálogo Configuraciones de Endpoints de la Nueva Puerta de Enlace.

Screen shot of New Gateway Endpoints Settings dialog box

Seleccione la interfaz física o lógica del dispositivo que tenga la dirección IP o el dominio que especificó en la ID de la puerta de enlace. ¡Consejo!
- Para seleccionar una interfaz física o inalámbrica, en la lista desplegable Física, seleccione una interfaz física o inalámbrica configuradas.
- Para seleccionar una interfaz VLAN, Bridge, Conjunto de Enlaces o PPPoE:
  1. Seleccione Otros.
  2. Haga clic en Seleccionar.
    Aparece el cuadro de diálogo Configurar la Interfaz Local para el Endpoint de la Puerta de Enlace.
  1. Seleccione la interfaz en la lista de interfaces.
  2. Para filtrar la lista de interfaces, seleccione una opción de las listas desplegables Zona y Nombre.
    O bien ingrese el nombre de una interfaz en el cuadro de texto Nombre.
(Fireware v12.2 o superior) En la lista desplegable Dirección IP de la Interfaz, seleccione la Dirección IP de la Interfaz Primaria o seleccione una dirección IP secundaria que ya esté configurada en la interfaz externa seleccionada. ¡Consejo!

Screen shot of the Interface IP Address setting

Seleccione una opción y especifique el id. de la puerta de enlace:
- Por dirección IP — Ingrese o seleccione la dirección IP de la interfaz de Firebox.
  En Fireware v12.1.1 o inferior, no especifique una dirección IP de interfaz secundaria como la ID de la puerta de enlace.
- Por Información de Dominio — Haga clic en Configurar y seleccione el método de configuración de dominio:
  - Por Nombre de Dominio — Introduzca su nombre de dominio y haga clic en Aceptar. En Fireware v12.5.2 o superior, puede especificar hasta 255 caracteres. En Fireware v12.5.1 o inferior, debe especificar 63 caracteres o menos.
  - Por ID de Usuario en Dominio — Ingrese el nombre de usuario y dominio con el formato NombreUsuario@NombreDominio y haga clic en Aceptar. En Fireware v12.5.2 o superior, puede especificar hasta 255 caracteres. En Fireware v12.5.1 o inferior, debe especificar 63 caracteres o menos.

Puerta de enlace remota

Puede configurar la dirección IP de puerta de enlace y la ID de la puerta de enlace para el dispositivo de endpoint remoto al que se conecta el BOVPN. La dirección IP de puerta de enlace puede ser una dirección IP estática o una dinámica. La ID de la puerta de enlace puede ser Por Nombre de Dominio, Por ID de Usuario en Dominio o Por Nombre x500. El administrador del dispositivo de puerta de enlace remota selecciona qué tipo de ID de puerta de enlace utilizar.

Si el endpoint de la VPN remota obtiene su dirección IP externa de DHCP o PPPoE, defina el tipo de ID de la puerta de enlace remota como Nombre de Dominio. Defina el campo del nombre del punto en nombre de dominio totalmente cualificado del endpoint de la VPN remota. El Firebox usa la dirección IP y el nombre de dominio para encontrar el endpoint de VPN. Asegúrese de que el servidor DNS que usa el dispositivo pueda identificar el nombre.

Para configurar el endpoint de la puerta de enlace remota, desde el Fireware Web UI:

En el cuadro de diálogo Ajustes de Endpoint de Puerta de Enlace, seleccione la pestaña Puerta de Enlace Remota.

Screen shot of the Gateway Endpoint Settings dialog box, Remote Gateway tab

Seleccione el tipo de dirección IP de puerta de enlace remota:
- Dirección IP estática — Seleccione esta opción si el dispositivo remoto tiene una dirección IP estática. Ingrese o seleccione la dirección IP.
  En Fireware v12.4 o superior, debe especificar un tipo de dirección IP que concuerde con el ajuste de Familia de Direcciones que configuró anteriormente. Por ejemplo, si especificó Direcciones IPv6, debe precisar una dirección IPv6 en el cuadro de texto Dirección IP Estática.
- Dirección IP dinámica — Seleccione esta opción si el dispositivo remoto tiene una dirección IP dinámica.
Seleccione una opción y especifique la ID de la puerta de enlace remota:
- Por dirección IP — Introduzca la dirección IP.
  En Fireware v12.4 o superior, debe especificar un tipo de dirección IP que concuerde con el ajuste de Familia de Direcciones que configuró anteriormente. Por ejemplo, si especificó Direcciones IPv6, debe precisar una dirección IPv6 en el cuadro de texto Por dirección IP.
- Por Nombre de Dominio — Introduzca el nombre de dominio. En Fireware v12.5.2 o superior, puede especificar hasta 255 caracteres. En Fireware v12.5.1 o inferior, debe especificar 63 caracteres o menos.
- Por ID de Usuario en Dominio — Introduzca la ID de usuario y el dominio. En Fireware v12.5.2 o superior, puede especificar hasta 255 caracteres. En Fireware v12.5.1 o inferior, debe especificar 63 caracteres o menos.
- Por Nombre x500 — Introduzca el nombre x500. En Fireware v12.5.2 o superior, puede especificar hasta 255 caracteres. En Fireware v12.5.1 o inferior, debe especificar 63 caracteres o menos.
Para un endpoint de puerta de enlace IPv4, si el nombre de dominio del endpoint remoto se puede resolver, marque la casilla de selección Intentar resolver dominio.
Cuando se selecciona esta opción, el dispositivo automáticamente realiza una búsqueda de DNS para encontrar la dirección IP asociada con el nombre de dominio para el endpoint remoto. Las conexiones no se realizan hasta que se pueda resolver el nombre de dominio. Marque esta casilla de verificación para las configuraciones que dependan de un servidor DNS dinámico para mantener una aplicación entre una dirección IP dinámica y un nombre de dominio.
Haga clic en Aceptar.
Aparece el par de la puerta de enlace definido en la lista de endpoints de la puerta de enlace.
Para configurar la Fase 1 de esta puerta de enlace, siga los pasos en Configurar los Ajustes de Fase 1 IPSec VPN.

Para configurar el endpoint de la puerta de enlace remota desde el Policy Manager:

Seleccione el tipo de dirección IP de puerta de enlace remota:
- Dirección IP estática — Seleccione esta opción si el dispositivo remoto tiene una dirección IP estática. Ingrese o seleccione la dirección IP.
  En Fireware v12.4 o superior, debe especificar un tipo de dirección IP que concuerde con el ajuste de Familia de Direcciones que configuró anteriormente. Por ejemplo, si especificó Direcciones IPv6, debe precisar una dirección IPv6 en el cuadro de texto Dirección IP Estática.
- Dirección IP dinámica — Seleccione esta opción si el dispositivo remoto tiene una dirección IP dinámica.
Seleccione una opción y especifique el id. de la puerta de enlace:
- Por dirección IP — Introduzca la dirección IP o selecciónela de la lista desplegable.
  En Fireware v12.4 o superior, debe especificar un tipo de dirección IP que concuerde con el ajuste de Familia de Direcciones que configuró anteriormente. Por ejemplo, si especificó Direcciones IPv6, debe precisar una dirección IPv6 en el cuadro de texto Por dirección IP.
- Por Información de Dominio
  1. Haga clic en Configurar y seleccione el método de configuración de dominio: Nombre de Dominio, ID de Usuario @ Dominio o Nombre X500.
  2. Introduzca el nombre, la ID de usuario y el dominio o el nombre x500. En Fireware v12.5.2 o superior, puede especificar hasta 255 caracteres. En Fireware v12.5.1 o inferior, debe especificar 63 caracteres o menos.
  3. Para un endpoint de puerta de enlace IPv4, si el nombre de dominio del endpoint remoto se puede resolver, marque la casilla de selección Intentar resolver.
    Cuando se selecciona esta opción, el dispositivo automáticamente realiza una búsqueda de DNS para encontrar la dirección IP asociada con el nombre de dominio para el endpoint remoto. Las conexiones no se realizan hasta que se pueda resolver el nombre de dominio. Marque esta casilla de verificación para las configuraciones que dependan de un servidor DNS dinámico para mantener una aplicación entre una dirección IP dinámica y un nombre de dominio.
  4. Haga clic en Aceptar.

Screen shot of Configure Domain for Gateway ID dialog box

Haga clic en Aceptar para cerrar el cuadro de diálogo Ajustes de los Endpoints de la Nueva Puerta de Enlace.
Aparece el par de la puerta de enlace definido en la lista de endpoints de la puerta de enlace.
Para usar la configuración de Fase 1 distinta a los valores predeterminados, siga los pasos en Configurar los Ajustes de Fase 1 IPSec VPN. De lo contrario, haga clic en Aceptar.

Configuraciones Avanzadas

Puede configurar estas opciones en la pestaña Ajustes Avanzados:

Certificado CA

(Fireware v12.6.2 o superior) Esta opción aparece si selecciona un certificado para la autenticación. Cuando habilita esta opción, debe seleccionar un certificado CA raíz o intermedio de la lista desplegable Certificado CA. El Firebox usa ese certificado CA para verificar el certificado recibido del par VPN. El certificado del par de VPN debe ser parte de la cadena de certificados que incluye el certificado CA raíz o intermedio especificado. Si el certificado de pares no es parte de la cadena, el Firebox rechaza las negociaciones del túnel de la Fase 1.

Screen shot of the CA Certificate setting in Fireware Web UI

Diferente clave precompartida

Puede especificar claves precompartidas diferentes para cada endpoint de puerta de enlace. Puede seleccionar esta opción si configura una VPN entre un Firebox y un endpoint de terceros, y el endpoint de terceros requiere que cada endpoint de puerta de enlace tenga una clave precompartida diferente.

(Fireware v12.5.4 o superior) Seleccione Basado en Cadenas o Basado en Hexadecimales. El ajuste predeterminado es Basado en Cadenas. Para obtener información sobre llaves hexadecimales, consulte Claves Precompartidas Basadas en Hexadecimal.

Bit DF

El bit No Fragmentar (DF) es un indicador en el encabezado de un paquete. Puedes seleccionar Copiar, Configurar o Borrar para controlar si el Firebox usa el ajuste original del Bit DF en el encabezado del paquete:

La configuración de DF bit en Fireware Web UI

La configuración de DF bit en Policy Manager

Copiar — Esta opción aplica el ajuste del Bit DF del marco original al paquete cifrado IPSec.
Si un marco no tiene los bits DF configurados, el Firebox no configura los bits DF y fragmenta el paquete si es necesario. Si un marco está configurado para no ser fragmentado, el Firebox encapsula el marco completo y configura los bits DF del paquete cifrado para que coincida con el marco original.
Configurar — Esta opción le indica al Firebox que no fragmente el marco independientemente del ajuste del bit original.
Si un usuario debe realizar conexiones IPSec a un Firebox desde detrás de un Firebox diferente, debe desmarcar esta casilla de selección para activar la función de puerto de transferencia de IPSec. Por ejemplo, si los empleados móviles se encuentran en una ubicación de cliente que tiene un Firebox, pueden realizar conexiones IPSec a su red con IPSec. Para que su Firebox local permita correctamente la conexión IPSec saliente, también se debe agregar una política IPSec.
Borrar — Esta opción divide el marco en partes que puedan contenerse en un paquete IPSec con el encabezado ESP o AH, independientemente del ajuste del bit original.

En Fireware v12.2 o inferior, solo puede configurar el ajuste del Bit DF en los ajustes de la interfaz externa.

En Fireware v12.2.1 o superior, puede configurar el ajuste del Bit DF en los ajustes del endpoint de la puerta de enlace BOVPN. Este ajuste tiene efecto inmediatamente. El ajuste del Bit DF especificado para el endpoint de la puerta de enlace anula el ajuste del Bit DF especificado para la interfaz externa.

Si no especifica un ajuste del Bit DF para el endpoint de la puerta de enlace, el endpoint de la puerta de enlace utiliza el ajuste del Bit DF especificado en los ajustes de la interfaz externa. Para obtener más información sobre el ajuste del Bit DF en los ajustes de la interfaz externa, consulte

PMTU

La Path Maximum Transmission Unit (PMTU) controla la cantidad de tiempo en que Firebox disminuye la unidad máxima de transmisión (MTU) para un túnel VPN IPSec cuando recibe un paquete de Solicitud de ICMP para Fragmentar desde un enrutador con una configuración de MTU más baja en Internet.

En Fireware v12.2.1 o superior, puede configurar los ajustes de PMTU en los ajustes del endpoint de la puerta de enlace BOVPN. Los ajustes de PMTU especificados para el endpoint de la puerta de enlace anulan los ajustes de PMTU especificados para la interfaz externa. Si no especifica los ajustes de PMTU para el endpoint de la puerta de enlace, el endpoint de la puerta de enlace utiliza los ajustes de PMTU especificados en los ajustes de la interfaz externa.

Recomendamos mantener la configuración predeterminada. Esto puede protegerlo contra un enrutador en Internet con una configuración de MTU muy baja.

La configuración de PMTU en Fireware Web UI

La configuración de PMTU en Policy Manager

Ver También

Configurar Puertas de Enlace BOVPN Manuales

Configurar Túneles BOVPN Manuales

© 2023 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Todos los demás nombres comerciales son propiedad de sus respectivos dueños.