Configurar Cambio Manual de Túneles VPN de Sucursal (BOVPN)
Cuando conecte dos o más túneles BOVPN remotos a su red, debe configurar la conmutación de túneles si desea que las computadoras en cada red remota intercambien información. Cuando configura esa función, el Firebox descifra paquetes enviados desde un VPN y envía los paquetes nuevamente a su destino en el otro VPN.
Este documento no presenta información detallada de cada ajuste en los cuadros de diálogo de configuración de BOVPN ni de los efectos que puedan tener en el túnel que es construido. Si desea saber más acerca de una configuración determinada o acerca de los túneles BOVPN manuales en general, consulte Acerca de VPN de Sucursal IPSec Manuales.
Las configuraciones de conmutación de túneles requieren que se entienda cómo crear una Red Privada Virtual de la Sucursal (BOVPN manual).
Situación de Conmutación de Túneles BOVPN
En los siguientes ejercicios, configuraremos la conmutación de túneles para una XTM 530 en la Oficina Central, una XTM 23-W en la Oficina Remota A, y una XTM 21 en la Oficina Remota B. El diagrama a continuación muestra la configuración de conmutación de túneles en este ejemplo:
Oficina Central
Dirección IP de interfaz externa: 203.0.113.2/24
Puerta de Enlace Predeterminada: 203.0.113.1
Dirección IP de interfaz de confianza: 10.10.10.1/24
Dirección IP de red privada: 10.10.10.0/24
Oficina Remota A
Dirección IP de interfaz externa: 198.51.100.2/24
Puerta de Enlace Predeterminada: 198.51.100.1
Dirección IP de interfaz de confianza: 172.16.20.1/24
Dirección IP de red privada: 172.16.20.0/24
Oficina Remota B
Dirección IP de interfaz externa: 192.0.2.2/24
Puerta de Enlace Predeterminada: 192.0.2.1
Dirección IP de interfaz de confianza: 192.168.30.1/24
Dirección IP de red privada: 192.168.30.0/24
Vista General de la Solución
En este ejemplo, mostramos cómo pasar el tráfico desde la red de confianza de la Oficina Remota A a la red de confianza de la Oficina Remota B, sin necesidad de crear un tercer túnel BOVPN entre las dos oficinas remotas. Este escenario resulta útil cuando es necesario el control de la seguridad de red en la oficina central, porque pueden aplicarse políticas de tránsito entre los centros A y B en la oficina central.
Además, definiremos la subred actual de cada red de confianza en las ubicaciones respectivas en vez de crear un túnel de ruta predeterminado entre la oficina central y las oficinas remotas. Esto conserva el túnel dividido de cada ubicación. Por lo tanto, trataremos de no usar la ruta 0.0.0.0/0 en nuestros túneles.
Las direcciones IP externas usadas en todo este ejemplo son dirección IP públicas ficticias. La autenticación y el Encryption (Cifrado) predeterminados de las propuestas de IPSec de la Fase 1 y 2 de los Fireboxes se usan para configurar las puertas de enlace y los túneles BOVPN.
Definir las Puertas de Enlace de BOVPN
Primero, configuramos las puertas de enlace de BOVPN de la Oficina Remota A, la Oficina Central y la Oficina Remota B.
Definir Puerta de Enlace de la Oficina Remota A
En el XTM 23-W de la oficina remota A, use el Policy Manager para configurar la puerta de enlace de BOVPN del túnel A que se conecta con la oficina central.
- Seleccione VPN > Puertas de Enlace de Sucursal.
Aparece el cuadro de diálogo Puertas de enlace. - Haga clic en Agregar.
Aparece el cuadro de diálogo Nueva Puerta de Enlace. - En el cuadro de texto Nombre de la puerta de enlace, ingrese un nombre para identificar esta puerta de enlace en Policy Manager.
- En la sección Método de Credencial de la pestaña de Configuración General, seleccione Usar Llave Precompartida. Ingrese la clave compartida en el cuadro de texto al lado.
- En la sección Endpoints de Puerta de Enlace, haga clic en Agregar.
Aparece el cuadro de diálogo Configuraciones de Endpoints de la Nueva Puerta de Enlace.
- En la sección Puerta de Enlace Local, seleccione Por Dirección IP.
- De la lista desplegable Dirección IP, seleccione dirección IP externa del Firebox en la Oficina Remota A, 198.51.100.2.
- De la lista desplegable Interfaz Externa, seleccione la interfaz primaria externa del Firebox de la Oficina Central.
- En la sección Puerta de Enlace Remota, para Especificar la dirección IP de puerta de enlace remota, seleccione Dirección IP estática. En el cuadro de texto al lado, ingrese la dirección IP externa del dispositivo Firebox de la Oficina Central, 203.0.113.2.
- En la sección Especificar la ID de la puerta de enlace para la autenticación del túnel, seleccione Por Dirección IP. En el cuadro de texto al lado, ingrese la dirección IP externa del dispositivo Firebox de la Oficina Central, 203.0.113.2.
- Haga clic en Aceptar para cerrar el cuadro de diálogo Configuraciones de los Endpoints de la Nueva Puerta de Enlace.
Aparece el cuadro de diálogo Nueva puerta de enlace. Aparece el par de la puerta de enlace definido en la lista de endpoints de la puerta de enlace. - Haga clic en Aceptar dos veces para cerrar los cuadros de diálogos de Nueva Puerta de Enlace y Puertas de Enlace.
Definir Puertas de Enlace de la Oficina Central
En el XTM 530 de la oficina central, use el Policy Manager para configurar la puerta de enlace que se conecta con la oficina remota A.
- Seleccione VPN > Puertas de Enlace de Sucursal.
Aparece el cuadro de diálogo Puertas de enlace. - Haga clic en Agregar.
Aparece el cuadro de diálogo Nueva Puerta de Enlace. - En el cuadro de texto Nombre de la puerta de enlace, ingrese un nombre para identificar esta puerta de enlace en Policy Manager.
- En la sección Método de Credencial de la pestaña de Configuración General, seleccione Usar Llave Precompartida. Ingrese la clave compartida en el cuadro de texto al lado.
- En la sección Endpoints de Puerta de Enlace, haga clic en Agregar.
Aparece el cuadro de diálogo Configuraciones de Endpoints de la Nueva Puerta de Enlace.
- En la sección Puerta de Enlace Local, seleccione Por Dirección IP.
- De la lista desplegable Dirección IP, seleccione dirección IP externa del dispositivo Firebox de la Oficina Central. Para este ejemplo, seleccione 203.0.113.2.
- De la lista desplegable Interfaz Externa, seleccione la interfaz primaria externa del Firebox de la Oficina Central.
- En la sección Puerta de Enlace Remota, para Especificar la dirección IP de puerta de enlace remota, seleccione Dirección IP estática. En el cuadro de texto al lado, ingrese la dirección IP externa del dispositivo en la Oficina Remota A, 198.51.100.2.
- En la sección Especificar la ID de la puerta de enlace para la autenticación del túnel, seleccione Por Dirección IP. En el cuadro de texto al lado, ingrese la dirección IP externa del dispositivo en la Oficina Remota A, 198.51.100.2.
- Haga clic en Aceptar para cerrar el cuadro de diálogo Configuraciones de los Endpoints de la Nueva Puerta de Enlace.
Aparece el cuadro de diálogo Nueva puerta de enlace. Aparece el par de la puerta de enlace definido en la lista de endpoints de la puerta de enlace. - Haga clic en Aceptar para cerrar el cuadro de diálogo de la Nueva Puerta de Enlace.
Se vuelve al cuadro de diálogo de Puertas de enlace.
En el XTM 530 de la oficina central, configure la puerta de enlace que se conecta con la oficina remota B.
- En el cuadro de diálogo Puertas de Enlace, haga clic en Agregar.
Aparece el cuadro de diálogo Nueva Puerta de Enlace. - En el cuadro de texto Nombre de la puerta de enlace, ingrese un nombre para identificar esta puerta de enlace en Policy Manager.
- En la sección Método de Credencial de la pestaña de Configuración General, seleccione Usar Llave Precompartida. Ingrese la clave compartida en el cuadro de texto al lado.
- En la sección Endpoints de Puerta de Enlace, haga clic en Agregar.
Aparece el cuadro de diálogo Configuraciones de Endpoints de la Nueva Puerta de Enlace.
- En la sección Puerta de Enlace Local, seleccione Por Dirección IP.
- De la lista desplegable Dirección IP, seleccione la dirección.
- De la lista desplegable Interfaz Externa, seleccione la interfaz primaria externa de su dispositivo Firebox.
- En la sección Puerta de Enlace Remota, para Especificar la dirección IP de puerta de enlace remota, seleccione Dirección IP estática. Ingrese la dirección IP externa del dispositivo en la Oficina Remota B en el cuadro de texto al lado.
- En la sección Especificar la ID de la puerta de enlace para la autenticación del túnel, seleccione Por Dirección IP. Ingrese la dirección IP externa del dispositivo en la Oficina Remota B en el cuadro de texto al lado.
- Haga clic en Aceptar para cerrar el cuadro de diálogo Configuraciones de los Endpoints de la Nueva Puerta de Enlace.
Aparece el cuadro de diálogo Nueva puerta de enlace. Aparece el par de la puerta de enlace definido en la lista de endpoints de la puerta de enlace. - Haga clic en Aceptar dos veces para cerrar los cuadros de diálogos de Nueva Puerta de Enlace y Puertas de Enlace.
Definir Puerta de Enlace de la Oficina Remota B
En el XTM 21 en la Oficina Remota B, use el Policy Manager para configurar la puerta de enlace de BOVPN del Túnel B que se conecta a la Oficina Central.
- Seleccione VPN > Puertas de Enlace de Sucursal.
Aparece el cuadro de diálogo Puertas de enlace. - Haga clic en Agregar.
Aparece el cuadro de diálogo Nueva Puerta de Enlace. - En el cuadro de texto Nombre de la puerta de enlace, ingrese un nombre para identificar esta puerta de enlace en Policy Manager.
- En la sección Método de Credencial de la pestaña de Configuración General, seleccione Usar Llave Precompartida. Ingrese la clave compartida en el cuadro de texto al lado.
- En la sección Endpoints de Puerta de Enlace, haga clic en Agregar.
Aparece el cuadro de diálogo Configuraciones de Endpoints de la Nueva Puerta de Enlace.
- En la sección Puerta de Enlace Local, seleccione Por Dirección IP.
- De la lista desplegable Dirección IP, seleccione la dirección IP externa del Firebox en la Oficina Remota B, 192.0.2.2.
- De la lista desplegable Interfaz Externa, seleccione la interfaz primaria externa del Firebox de la Oficina Central.
- En la sección Puerta de Enlace Remota, para Especificar la dirección IP de puerta de enlace remota, seleccione Dirección IP estática. En el cuadro de texto al lado, ingrese la dirección IP externa del dispositivo Firebox de la Oficina Central, 203.0.113.2.
- En la sección Especificar la ID de la puerta de enlace para la autenticación del túnel, seleccione Por Dirección IP. En el cuadro de texto al lado, ingrese la dirección IP externa del dispositivo Firebox de la Oficina Central, 203.0.113.2 .
- Haga clic en Aceptar para cerrar el cuadro de diálogo Configuraciones de los Endpoints de la Nueva Puerta de Enlace.
Aparece el cuadro de diálogo Nueva puerta de enlace. Aparece el par de la puerta de enlace definido en la lista de endpoints de la puerta de enlace. - Haga clic en Aceptar dos veces para cerrar los cuadros de diálogos de Nueva Puerta de Enlace y Puertas de Enlace.
Definir las Rutas de túnel
Antes de definir los recursos del túnel BOVPN, tenga en mente que el objetivo es pasar el tráfico BOVPN de la red de confianza de la Oficina Remota A a las redes de confianza de la Oficina Central y, más importante aún, a la red de confianza de la Oficina Remota B. Eso se puede lograr aunque no haya un túnel BOVPN directo entre las Oficinas Remotas A y B.
Considere este diagrama:
En este ejemplo, la Oficina Central y la Oficina Remota B están agrupadas y denominadas Grupo B. Ese grupo representa los Recursos de Túnel de la Oficina Central cuando las rutas del túnel están definidas entre la Oficina Remota A y la Oficina Central. De la Oficina Remota A, el túnel conecta tanto a la red de confianza de la Oficina Central (10.10.10.0/.24) como a la red de confianza de la Oficina Remota B (192.168.30.0/24).
Configurar las Rutas de Túnel de Oficina Remota A que se Conecta a la Oficina Central
En el XTM 23-W de la oficina remota A, use el Policy Manager para crear dos rutas de túnel que van al Firebox de la oficina central. Una es para la red privada de la Oficina Central y la otra es para la red privada de la Oficina Remota A.
- Seleccione VPN >Túneles de Sucursal.
Aparece el cuadro de diálogo Túneles IPSec de Sucursal. - Haga clic en Agregar.
Aparece el cuadro de diálogo Nuevo Túnel.
- En el cuadro de texto Nombre de Túnel, ingrese un nombre para el túnel.
- De la lista desplegable Puerta de Enlace, seleccione la puerta de enlace definida para la Oficina Remota A.
- Haga clic en Agregar para agregar una ruta de túnel con esta configuración:
- Local: la dirección de la red de confianza para este dispositivo Firebox, 172.16.20.0/24
- Remota: la dirección de la red de confianza del dispositivo Firebox de la Oficina Central, 10.10.10.0/24
- Dirección: <===>
- Haga clic en Agregar para agregar una ruta de túnel con esta configuración:
- Local: la dirección de la red de confianza para este dispositivo Firebox, 172.16.20.0/24
- Remota: la dirección de la red de confianza del dispositivo Firebox de la Oficina Remota B, 192.168.30.0/24
- Dirección: <===>
Configurar las Rutas de Túnel de Oficina Central que se Conectan a la Oficina Remota A
En el XTM 530 de Oficina Central, también debe usar el Policy Manager para configurar dos rutas de túnel que vayan a la Oficina Remota A. Esto permite que la Oficina Central use la red privada de la Oficina Remota B como si fuera su propia red local, cuando se conecta a la Oficina Remota A.
- Seleccione VPN >Túneles de Sucursal.
Aparece el cuadro de diálogo Túneles IPSec de Sucursal. - Haga clic en Agregar.
Aparece el cuadro de diálogo Nuevo Túnel.
- En el cuadro de texto Nombre de Túnel, ingrese un nombre para el túnel.
- De la lista desplegable Puerta de Enlace, seleccione la puerta de enlace definida para la Oficina Remota A.
- Haga clic en Agregar para agregar una ruta de túnel con esta configuración:
- Local: la dirección de la red de confianza del dispositivo Firebox de la Oficina Central, 10.10.10.0/24
- Remota: la dirección de la red de confianza del dispositivo Firebox de la Oficina Remota A, 172.16.20.0/24
- Dirección: <===>
- Haga clic en Agregar para agregar una ruta de túnel con esta configuración:
- Remota: la dirección de la red de confianza del dispositivo Firebox de la Oficina Remota B, 192.168.30.0/24
- Remota: la dirección de la red de confianza del dispositivo Firebox de la Oficina Remota A, 172.16.20.0/24
- Dirección: <===>
Definir las rutas de túnel entre la Oficina Central y la Oficina Remota B
Para concluir la configuración de Conmutación de Túneles, debe hacer una configuración similar, pero opuesta, para el túnel BOVPN entre la Oficina Central y la Oficina Remota B. En este ejemplo, agrupamos la Oficina Remota A y la Oficina Central y lo denominamos Grupo A. Las rutas de túnel entre la Oficina Central y la Oficina Remota B se configurarán más adelante.
De la Oficina Remota B, el túnel conecta tanto a la red de confianza de la Oficina Central (10.10.10.0/.24) como a la red de confianza de la Oficina Remota A (172.16.20.0/24).
Configurar las Rutas de Túnel de Oficina Central que se Conectan a la Oficina Remota B
En el XTM 530 de la Oficina Central, use el Policy Manager para configurar dos rutas de túnel que vayan a la Oficina Remota B. Esto permite que la Oficina Central use la red privada de la Oficina Remota A como si fuera su propia red local cuando se conecta a la Oficina Remota B.
- Seleccione VPN >Túneles de Sucursal.
Aparece el cuadro de diálogo Túneles IPSec de Sucursal. - Haga clic en Agregar.
Aparece el cuadro de diálogo Nuevo Túnel.
- En el cuadro de texto Nombre de Túnel, ingrese un nombre para el túnel.
- De la lista desplegable Puerta de Enlace, seleccione la puerta de enlace definida para la Oficina Remota B.
- Haga clic en Agregar para agregar una ruta de túnel con esta configuración:
- Local: la dirección de la red de confianza del dispositivo Firebox de la Oficina Central, 10.10.10.0/24
- Remota: la dirección de la red de confianza del dispositivo Firebox de la Oficina Remota B, 192.168.30.0/24
- Dirección: <===>
- Haga clic en Agregar para agregar una ruta de túnel con esta configuración:
- Local: la dirección de la red de confianza del dispositivo Firebox de la Oficina Remota A, 172.16.20.0/24
- Remota: la dirección de la red de confianza del dispositivo Firebox de la Oficina Remota B, 192.168.30.0/24
- Dirección: <===>
Configurar las Rutas de Túnel de Oficina Remota A que se Conectan a la Oficina Central
Para concluir la configuración, se debe definir dos rutas de túnel en el Edge X10e en la Oficina Remota B que vayan a la Oficina Central. Una es para la red privada de la Oficina Central y la otra es para la red privada de la Oficina Remota A.
- Seleccione VPN >Túneles de Sucursal.
Aparece el cuadro de diálogo Túneles IPSec de Sucursal. - Haga clic en Agregar.
Aparece el cuadro de diálogo Nuevo Túnel.
- En el cuadro de texto Nombre de Túnel, ingrese un nombre para el túnel.
- De la lista desplegable Puerta de Enlace, seleccione la puerta de enlace definida para la Oficina Remota B.
- Haga clic en Agregar para agregar una ruta de túnel con esta configuración:
- Local: la red de confianza para este dispositivo Firebox, 192.168.30.0/24
- Remota: la dirección de la red de confianza del dispositivo Firebox de la Oficina Central, 10.10.10.0/24
- Dirección: <===>
- Haga clic en Agregar para agregar una ruta de túnel con esta configuración:
- Local: la dirección de la red de confianza para este dispositivo Firebox, 192.168.30.0/24
- Remota: la dirección de la red de confianza del dispositivo Firebox de la Oficina Remota B, 172.16.20.0/24
- Dirección: <===>
- Guarde los cambios de configuración en los Fireboxes de las tres ubicaciones.
Verificar la Configuración de cambio del túnel
Para ver si la Conmutación de Túnel funciona, intente enviar un ping a un equipo en la red de confianza de la Oficina Remota B desde la red de confianza de la Oficina Remota A. También debe asegurarse de que el Firebox de Oficina Central no esté configurado para negar los intentos de ping. Si el ping tiene éxito, el conmutación de túneles fue configurado correctamente.
Para verificar que los túneles estén activos, también puede mirar el Firebox System Manager para el Firebox en la Oficina Central. En el Firebox System Manager, expanda la sección de túneles de VPN de Sucursal en el panel delantero para ver las puertas de enlace y los túneles entre cada sitio. Puede necesitar esperar un momento para que el Firebox System Manager se conecte al Firebox y entonces podrá ver la información de estado. Si el Firebox System Manager en el XTM 530 en la Oficina Central muestra que hay dos puertas de enlace de BOVPN, cada una con dos túneles activos, la Conmutación de Túnel está configurada correctamente.
Los túneles de BOVPN activos para el XTM 530 de la Oficina Central aparecen en el Firebox System Manager.