Inicio Rápido — Configurar una VPN entre Dos Fireboxes

Un túnel de red privada virtual de sucursal (BOVPN) es un camino seguro para redes o para un host y una red intercambiar datos por Internet. Este tema resume los pasos que se requieren para configurar un túnel BOVPN entre dos Firebox.

Este tema no brinda descripciones para las configuraciones en los cuadros de diálogo y los efectos que puedan tener en un túnel. Para obtener información más detallada sobre la configuración de VPN de sucursal, consulte:

Para ver ejemplos detallados de la configuración, consulte Ejemplos de Configuración de BOVPN Manual.

Los procedimientos en este tema describen la configuración de una VPN de sucursal entre dos Fireboxes que tienen direcciones IP estáticas externas. Para obtener más información sobre cómo configurar una puerta de enlace BOVPN a un dispositivo que use una dirección IP estática externa, consulte Definir los Endpoints de la Puerta de Enlace para una Puerta de Enlace BOVPN.

Inicio Rápido con Fireware Web UI

Si ambos Fireboxes tienen direcciones IP estáticas públicas, debe contar con la siguiente información antes de comenzar:

  • Dirección IP pública de cada Firebox — esta es la dirección IP a la que se conecta la puerta de enlace de par.
  • Direcciones IP privadas para cada Firebox — esta es la dirección IP que se utiliza para identificar una red local. Estas son las direcciones IP de los equipos en cada extremo que están autorizados a enviar tráfico a través del túnel VPN.
  • Clave precompartida — Esta es una contraseña utilizada para cifrar y descifrar los datos que pasan a través del túnel.

Aquí se presenta una lista de control de la información que debe recopilar:

Dispositivo en el Sitio A

Dirección IP (Pública) Externa en el Sitio A: ______________________________

Direcciones IP Privadas en el Sitio A: _____________________________

Dispositivo en el Sitio B

Dirección IP (Pública) Externa en el Sitio B: ______________________________

Direcciones IP Privadas en el Sitio B: _____________________________

Configuraciones VPN Comunes

Clave precompartida: _____________________________

También debe decidir qué configuraciones utilizará para la Fase 1 y la Fase 2. Para una VPN entre dos Firebox, puede utilizar las configuraciones predeterminadas para la Fase 1 y la Fase 2 en ambos dispositivos. Puede seleccionar IKEv2 en la configuración de Fase 1 para mejorar la confiabilidad del túnel.

Para una lista completa de configuraciones, y un ejemplo detallado sobre cómo realizar configuraciones para una BOVPN entre dos Firebox, consulte Configurar una VPN entre Dos Dispositivos Fireware (Web UI).

  1. Seleccione VPN > VPN de Sucursal.
  2. Debajo de la lista Puertas de Enlace, haga clic en Agregar.
  3. En el cuadro de texto Nombre de la puerta de enlace, ingrese un nombre para identificar esta puerta de enlace.
  4. (Fireware v12.4 o superior) En la lista desplegable Familia de Direcciones, seleccione Direcciones IPv4 o Direcciones IPv6.
  5. En la sección Métodos de Credenciales, seleccione Utilizar Claves Precompartidas.
  6. (Fireware v12.5.4 o superior) Seleccione Basado en Cadenas o Basado en Hexadecimales. El ajuste predeterminado es Basado en Cadenas. Para obtener información sobre llaves hexadecimales, consulte Claves Precompartidas Basadas en Hexadecimal.
  7. Ingrese la clave compartida.
  8. Debajo de la lista Endpoint de Puerta de Enlace, haga clic en Agregar.
  9. En la lista desplegable Interfaz externa, seleccione la interfaz que tiene la dirección IP externa.
  10. En la lista desplegable Dirección IP de Interfaz, seleccione Dirección Principal de la Interfaz de IPv4 o Dirección Principal de la Interfaz de IPv6.
  11. Seleccione Por Dirección IP.
  12. En el cuadro de texto Por Dirección IP, ingrese la dirección IP externa (pública) del Firebox del Sitio A.
  13. Seleccione la pestaña Puerta de Enlace Remota.
  14. Seleccione Dirección IP Estática.
  15. En el cuadro de texto Dirección IP Estática, ingrese la dirección IP externa (pública) del Firebox del Sitio B.
  16. Seleccione Por Dirección IP. En el cuadro de texto Por Dirección IP, ingrese la dirección IP externa del Firebox del Sitio B.
  17. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuraciones del Endpoint de la Puerta de Enlace.
  18. Haga clic en Guardar para registrar las configuraciones de la puerta de enlace.
  1. En la página VPN de Sucursal, debajo de la lista Túneles, haga clic en Agregar.
  2. En el cuadro de texto Nombre, ingrese un nombre para el túnel.
  3. En la lista desplegable Puerta de enlace, seleccione la puerta de enlace creada.
  4. Debajo de la lista Direcciones, haga clic en Agregar.
  5. En la sección IP Local, seleccione el tipo de dirección local en la lista desplegable Elegir Tipo. Por ejemplo, seleccione Red IPv4 para agregar una subnet IPv4.
  6. En el cuadro de texto adyacente, ingrese la dirección de red privada en el Sitio A.
  7. En la sección IP Remota, seleccione el tipo de dirección remota en la lista desplegable Elegir Tipo. Por ejemplo, seleccione Red IPv4 para agregar una subnet IPv4.
  8. En el cuadro de texto adyacente, ingrese la dirección de red privada en el Sitio B.
  9. En la lista desplegable Dirección, seleccione la dirección del túnel. La dirección del túnel determina qué endpoint del túnel VPN puede iniciar una conexión VPN a través del túnel.
  10. Haga clic en Aceptar.
  11. Haga clic en Guardar para registrar las configuraciones del túnel.
  1. Seleccione VPN > VPN de Sucursal.
  2. Debajo de la lista Puertas de Enlace, haga clic en Agregar.
  3. En el cuadro de texto Nombre de la puerta de enlace, ingrese un nombre para identificar esta puerta de enlace.
  4. (Fireware v12.4 o superior) En la lista desplegable Familia de Direcciones, seleccione Direcciones IPv4 o Direcciones IPv6.
  5. En la sección Métodos de Credenciales, seleccione Utilizar Claves Precompartidas.
  6. (Fireware v12.5.4 o superior) Seleccione Basado en Cadenas o Basado en Hexadecimales. El ajuste predeterminado es Basado en Cadenas. Para obtener información sobre llaves hexadecimales, consulte Claves Precompartidas Basadas en Hexadecimal.
  7. Ingrese la clave compartida.
  8. Debajo de la lista Endpoint de Puerta de Enlace, haga clic en Agregar.
  9. En la lista desplegable Interfaz externa, seleccione la interfaz que tiene la dirección IP externa.
  10. Seleccione Por Dirección IP.
  11. En el cuadro de texto Por Dirección IP, ingrese la dirección IP externa (pública) del Firebox del Sitio B.
  12. Seleccione la pestaña Puerta de Enlace Remota.
  13. Seleccione Dirección IP Estática.
  14. En el cuadro de texto Dirección IP Estática, ingrese la dirección IP externa (pública) del Firebox del Sitio A.
  15. Seleccione Por Dirección IP. En el cuadro de texto Por Dirección IP, ingrese la dirección IP externa del Firebox del Sitio A.
  16. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuraciones del Endpoint de la Puerta de Enlace.
  17. Haga clic en Guardar para registrar las configuraciones de la puerta de enlace.
  1. En la página VPN de Sucursal, debajo de la lista Túneles, haga clic en Agregar.
  2. En el cuadro de texto Nombre, ingrese un nombre para el túnel.
  3. En la lista desplegable Puerta de enlace, seleccione la puerta de enlace creada.
  4. Debajo de la lista Direcciones, haga clic en Agregar.
  5. En la sección IP Local, seleccione el tipo de dirección local en la lista desplegable Elegir Tipo. Por ejemplo, seleccione Red IPv4 para agregar una subnet IPv4.
  6. En el cuadro de texto adyacente, ingrese la dirección de red privada en el Sitio B.
  7. En la sección IP Remota, seleccione el tipo de dirección remota en la lista desplegable Elegir Tipo. Por ejemplo, seleccione Red IPv4 para agregar una subnet IPv4.
  8. En el cuadro de texto adyacente, ingrese la dirección de red privada en el Sitio A.
  9. En la lista desplegable Dirección, seleccione la dirección del túnel. La dirección del túnel determina qué endpoint del túnel VPN puede iniciar una conexión VPN a través del túnel.
  10. Haga clic en Aceptar.
  11. Haga clic en Guardar para registrar las configuraciones del túnel.

Inicio Rápido con Policy Manager

Si ambos dispositivos tienen direcciones IP estáticas públicas, debe conocer la siguiente información antes de continuar:

  • Direcciones IP públicas de cada dispositivo — Esta es la dirección IP a la que se conecta el punto de puerta de enlace.
  • Direcciones IP privadas para cada dispositivo — Esta es la dirección que se utiliza para identificar una red local. Estas son las direcciones IP de los equipos en cada extremo que están autorizados a enviar tráfico a través del túnel VPN.
  • Clave precompartida — Esta es una contraseña utilizada para cifrar y descifrar los datos que pasan a través del túnel.

Aquí se presenta una lista de control de la información que debe recopilar:

Dispositivo en el Sitio A

Dirección IP (Pública) Externa en el Sitio A: ______________________________

Direcciones IP Privadas en el Sitio A: _____________________________

Dispositivo en el Sitio B

Dirección IP (Pública) Externa en el Sitio B: ______________________________

Direcciones IP Privadas en el Sitio B: _____________________________

Configuraciones VPN Comunes

Clave precompartida: _____________________________

También debe decidir qué configuraciones utilizará para la Fase 1 y la Fase 2. Para una VPN entre dos Firebox, puede utilizar las configuraciones predeterminadas para la Fase 1 y la Fase 2 en ambos dispositivos.

Para una lista completa de configuraciones, y un ejemplo detallado sobre cómo realizar configuraciones para una BOVPN entre dos Firebox, consulte Configurar una VPN entre Dos Dispositivos Fireware (WSM).

  1. En Policy Manager, seleccione VPN > Puerta de Enlace de Sucursal. Haga clic en Agregar.
  2. En el cuadro de texto Nombre de la puerta de enlace, ingrese un nombre para identificar esta puerta de enlace en Policy Manager.
  3. En la sección Métodos de Credenciales, seleccione Utilizar Claves Precompartidas.
  4. (Fireware v12.5.4 o superior) Seleccione Basado en Cadenas o Basado en Hexadecimales. El ajuste predeterminado es Basado en Cadenas. Para obtener información sobre llaves hexadecimales, consulte Claves Precompartidas Basadas en Hexadecimal.
  5. Ingrese la clave compartida.
  6. En la sección Endpoints de Puerta de Enlace, haga clic en Agregar.
  7. En la lista desplegable Interfaz externa, seleccione la interfaz que tiene la dirección IP externa.
  8. Seleccione Por Dirección IP.
  9. De la lista desplegable Dirección IP, seleccione la dirección IP externa del dispositivo en el Sitio A.
  10. En la sección Puerta de Enlace Remota, seleccione Dirección IP Estática.
  11. En el cuadro de texto Dirección de IP, ingrese la dirección IP (pública) externa del dispositivo en el Sitio B.
  12. En la sección Especificar la ID de la puerta de enlace para la autenticación de túnel, seleccione Por Dirección IP.
  13. En el cuadro de texto Dirección IP, ingrese la dirección IP (pública) externa del dispositivo en el Sitio B.
  14. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuraciones de los Endpoints de la Nueva Puerta de Enlace.
  15. Haga clic en Cerrar para cerrar el cuadro de diálogo Puertas de enlace.
  1. En Policy Manager, seleccione VPN > Túneles de Sucursal. Haga clic en Agregar.
  2. En el cuadro de texto Nombre de Túnel, ingrese un nombre para el túnel.
  3. En la lista desplegable Puerta de enlace, seleccione la puerta de enlace creada.
  4. En la sección Direcciones, haga clic en Agregar.
  5. En el cuadro de texto Local, ingrese la dirección de red privada para la red local de Sitio A. También puede hacer clic en el botón al lado de la lista desplegable Local para insertar una dirección IP del host, direcciones de red, un rango de direcciones IP del host o nombre DNS.
  6. En el cuadro de texto Remoto, ingrese la dirección de red privada en el Sitio B. También puede hacer clic en el botón de al lado para insertar la dirección IP del host, direcciones de red, un rango de direcciones IP del host o nombre DNS.
  7. En la lista desplegable Dirección, seleccione la dirección del túnel. La dirección del túnel determina qué endpoint del túnel VPN puede iniciar una conexión VPN a través del túnel.
  8. Haga clic en Aceptar.
  9. Haga clic en Cerrar y guarde los cambios en el dispositivo en el Sitio A.
  1. En Policy Manager, seleccione VPN > Puerta de Enlace de Sucursal. Haga clic en Agregar.
  2. En el cuadro de texto Nombre de la puerta de enlace, ingrese un nombre para identificar esta puerta de enlace en Policy Manager.
  3. En la sección Métodos de Credenciales, seleccione Utilizar Claves Precompartidas.
  4. (Fireware v12.5.4 o superior) Seleccione Basado en Cadenas o Basado en Hexadecimales. El ajuste predeterminado es Basado en Cadenas. Para obtener información sobre llaves hexadecimales, consulte Claves Precompartidas Basadas en Hexadecimal.
  5. Ingrese la clave compartida.
  6. En la sección Endpoints de Puerta de Enlace, haga clic en Agregar.
  7. En la lista desplegable Interfaz externa, seleccione la interfaz que tiene la dirección IP externa.
  8. Seleccione Por Dirección IP.
  9. De la lista desplegable Dirección IP, seleccione la dirección IP externa estática primaria del dispositivo en el Sitio B.
  10. En la sección Puerta de Enlace Remota, seleccione Dirección IP Estática.
  11. En el cuadro de texto Dirección IP, ingrese la dirección IP externa (pública) del dispositivo en el Sitio A.
  12. En la sección Especificar la ID de la puerta de enlace para la autenticación de túnel, seleccione Por Dirección IP.
  13. En el cuadro de texto Dirección IP, ingrese la dirección IP externa (pública) del dispositivo en el Sitio A.
  14. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuraciones de los Endpoints de la Nueva Puerta de Enlace.
  1. En Policy Manager, seleccione VPN > Túneles de Sucursal. Haga clic en Agregar.
  2. En el cuadro de texto Nombre de Túnel, ingrese un nombre para el túnel.
  3. En la lista desplegable Puerta de enlace, seleccione la puerta de enlace creada.
  4. En la sección Direcciones, haga clic en Agregar.
  5. En el cuadro de texto Local, ingrese la dirección de la red local (privada) para la red local en el Sitio B. También puede hacer clic en el botón al lado de la lista desplegable Local para insertar una dirección IP del host, direcciones de red, un rango de direcciones IP del host o nombre DNS.
  6. En el cuadro de texto Remoto, ingrese la dirección de red privada en el Sitio A. También puede hacer clic en el botón de al lado para ingresar la dirección IP del host, direcciones de red, un rango de direcciones IP del host o nombre DNS.
  7. En la lista desplegable Dirección, seleccione la dirección del túnel. La dirección del túnel determina qué endpoint del túnel VPN puede iniciar una conexión VPN a través del túnel.
  8. Haga clic en Aceptar.
  9. Haga clic en Cerrar y guarde los cambios en el dispositivo de Sitio B.

Después de haber completado y guardado la configuración de VPN en ambos dispositivos, estos automáticamente negociarán el túnel.

Si los dispositivos no pueden establecer el túnel, examine los archivos de registro en ambos Firebox por el período de tiempo que intentó iniciar el túnel. Se aconseja analizar los mensajes de registro que indiquen dónde ocurrió la falla y qué configuraciones forman parte del problema. También puede averiguar los mensajes de registro en tiempo real con el Firebox System Manager.

Ver También

Monitorizar y Resolver Problemas de Túneles BOVPN