Configurar los Ajustes de Fase 1 IPSec VPN

Cuando se establece una conexión IPSec, la Fase 1 es donde los dos pares de VPN forman un canal autenticado y seguro que pueden usar para comunicarse. Eso es conocido como Asociación de Seguridad (SA) ISAKMP. Fireware admite dos versiones del protocolo Intercambio de Claves de Internet, IKEv1 e IKEv2. La versión de IKE que seleccione determina la configuración de Fase 1 disponible y define el procedimiento que usa Firebox para negociar la SA de ISAKMP. Ambos endpoints de puerta de enlace VPN deben configurarse para usar la misma versión de IKE y configuración de Fase 1.

IKEv2 requiere Fireware v11.11.2 o superior.

Una transformación de Fase 1 es un conjunto de protocolos de seguridad y algoritmos que se utilizan para proteger los datos de la VPN. Durante la negociación de IKE, los pares deben acordar la transformación que utilizarán. Se puede definir un túnel para que ofrezca un punto más de un conjunto de transformación para negociación. Para más información, consulte Agregar una Transformación de Fase 1.

Cuando utiliza IKEv2, las transformaciones NAT traversal y de Fase 1 son compartidas por todas las puertas de enlace BOVPN y las interfaces virtuales BOVPN que usan IKEv2 y tienen una puerta de enlace remota con una dirección IP dinámica. Para más información acerca de las configuraciones compartidas de IKEv2, consulte Configurar los Ajustes Compartidos de IKEv2.

Editar Configuraciones de la Fase 1

Las configuraciones de Fase 1 disponibles son las mismas para una puerta de enlace BOVPN o una interfaz virtual BOVPN.

  • Para una puerta de enlace BOVPN, puede configurar los ajustes Fase 1 en las configuraciones de la puerta de enlace.
  • Para una interfaz virtual BOVPN, puede configurar los ajustes Fase 1 en las configuraciones de la interfaz virtual BOVPN.

Configurar los Ajustes de Fase 1 para IKEv1

Para una VPN de sucursal que utiliza IKEv1, el intercambio de Fase 1 puede usar el Modo Principal o el Modo Agresivo. El modo determina el tipo y el número de intercambios de mensajes que tienen lugar en esa fase.

En las configuraciones de IKEv1 de Fase 1, puede seleccionar uno de estos modos:

Modo Principal

Este modo es un modo seguro y utiliza tres intercambios de mensajes separados para un total de seis mensajes. Los dos primeros mensajes negocian la política, los dos siguientes intercambian datos de Diffie-Hellman y los últimos dos autentican el intercambio Diffie-Hellman. El Modo Principal soporta grupos Diffie-Hellman 1, 2, 5, 14, 15, 19 y 20. Este modo también le permite utilizar varias transformaciones, tal como se describe en Agregar una Transformación de Fase 1.

Modo Agresivo

Este modo es más rápido ya que usa solo tres mensajes para intercambiar datos e identificar los dos endpoints de VPN. La identificación de los endpoints de VPN hace que el Modo Agresivo sea menos seguro.

Cuando usa un Modo agresivo, el número de intercambios entre dos endpoints es inferior al que se daría si usara el Modo principal, y el intercambio se basa principalmente en los tipos de ID usados en el intercambio de ambos aparatos. El Modo Agresivo no garantiza la identidad del par. El Modo Principal asegura la identidad de ambos pares, pero solo se puede usar si ambos lados tienen una dirección IP estática. Si su dispositivo tiene una dirección IP dinámica, debe usar el Modo Agresivo para la Fase 1.

Recurso de emergencia principal hacia modo agresivo

El Firebox intenta el intercambio de Fase 1 con el Modo Principal. Si falla la negociación, utiliza el Modo Agresivo.

En las configuraciones de IKEv1, puede habilitar Dead Peer Detection o IKE Keep-alive para que el Firebox detecte cuando un túnel se haya desconectado e inicie automáticamente una nueva negociación de Fase 1. Dead Peer Detection es un estándar usado por la mayoría de los dispositivos IPSec. Recomendamos que seleccione Dead Peer Detection si ambos dispositivos endpoints lo soportan.

  • No habilite ambos, el IKE Keep-alive y el Dead Peer Detection
  • IKE Keep-alive es usado solamente por los Fireboxes. No lo habilite si el par es un endpoint de puerta de enlace IPSec de terceros.
  • Si configura una conmutación por error de VPN, debe habilitar la Dead Peer Detection. Para más información sobre Failover de VPN, vea Configurar Failover de VPN.

Para obtener información acerca de cómo estas configuraciones afectan la disponibilidad de sus túneles VPN, consulte Mejorar la Disponibilidad del Túnel VPN de Sucursal (BOVPN).

  1. Edite la puerta de enlace BOVPN o la Interfaz Virtual BOVPN.
  2. Seleccione la pestaña Configuración de Fase 1.
  3. En la lista desplegable Versión, seleccione IKEv1.

Screen shot of the Branch Office VPN gateway settings page - Phase1 Settings tab

  1. En la lista desplegable Modo, seleccione Principal, Agresivo o Principal con Agresivo como plan alternativo.
  2. Si desea crear un túnel BOVPN entre el Firebox y otro dispositivo que esté detrás de un dispositivo NAT, marque la casilla de selección NAT Traversal. NAT Traversal o Encapsulación de UDP permite que el tráfico llegue a los destinos correctos.
  3. En el cuadro de texto Intervalo Keep-alive, ingrese o seleccione la cantidad de segundos que deben transcurrir antes de que se envíe el próximo mensaje de NAT keep-alive.
  4. Para que el Firebox envíe mensajes a su par de IKE para mantener el túnel VPN abierto, marque la casilla de selección IKE Keep-alive.
  5. En el cuadro de texto Intervalo de Mensajes, ingrese o seleccione la cantidad de segundos que deben transcurrir antes de que se envíe el próximo mensaje IKE Keep-alive.
  6. Para definir un número máximo de veces que el Firebox intenta enviar un mensaje de IKE keep-alive antes de intentar negociar la Fase 1 nuevamente, inserte el número deseado en el cuadro de texto Fallas máx..
  7. Use la casilla de selección Dead Peer Detection para habilitar o deshabilitar Dead Peer Detection basada en el tráfico. Cuando se habilita la dead peer detection, el Firebox se conecta a un punto solo si no se recibe el tráfico del punto por un período determinado de tiempo y si se está esperando que un paquete sea enviado al punto. Ese método es más escalable que los mensajes de IKE keep-alive.
  8. En el cuadro de texto Tiempo de espera inactivo de tráfico, ingrese o seleccione la cantidad de tiempo (en segundos) que transcurre antes de que el Firebox intente conectarse al punto.
  9. En el cuadro de texto Reintentos máximos, ingrese o seleccione la cantidad de veces que el Firebox intenta conectarse antes de que se declare muerto al punto.
  10. El Firebox contiene un conjunto de transformaciones predeterminadas que aparece en la lista Configuraciones de Transformaciones. Esta transformación especifica la autenticación de SHA2, el cifrado AES (256 bits) y el Grupo Diffie-Hellman 14.
    Puede hacer lo siguiente:
    • Use la transformación predeterminada.
    • Elimine la transformación predeterminada y reemplácela por una nueva.
    • Agregar una transformación adicional, tal como se explica en Agregar una Transformación de Fase 1.
  1. Edite la puerta de enlace BOVPN o la Interfaz Virtual BOVPN.
  2. Seleccione la pestaña Configuración de Fase 1.
  3. En la lista desplegable Versión, seleccione IKEv1.

Screen shot of the Branch Office VPN Phase 1 settings

  1. En la lista desplegable Modo, seleccione Principal, Agresivo o Principal con Agresivo como plan alternativo.
  2. Si desea crear un túnel BOVPN entre el Firebox y otro dispositivo que esté detrás de un dispositivo NAT, marque la casilla de selección NAT Traversal. NAT Traversal o Encapsulación de UDP permite que el tráfico llegue a los destinos correctos.
  3. En el cuadro de texto Intervalo Keep-alive, ingrese o seleccione la cantidad de segundos que deben transcurrir antes de que se envíe el próximo mensaje de NAT keep-alive.
  4. Para que el Firebox envíe mensajes a su par de IKE para mantener el túnel VPN abierto, marque la casilla de selección IKE Keep-alive.
  5. En el cuadro de texto Intervalo de Mensajes, ingrese o seleccione la cantidad de segundos que deben transcurrir antes de que se envíe el próximo mensaje IKE Keep-alive.
  6. Para definir un número máximo de veces que el Firebox intenta enviar un mensaje de IKE keep-alive antes de intentar negociar la Fase 1 nuevamente, inserte el número deseado en el cuadro de texto Fallas máx..
  7. Use la casilla de selección Dead Peer Detection para habilitar o deshabilitar Dead Peer Detection basada en el tráfico. Cuando se habilita la dead peer detection, el Firebox se conecta a un punto solo si no se recibe el tráfico del punto por un período determinado de tiempo y si se está esperando que un paquete sea enviado al punto. Ese método es más escalable que los mensajes de IKE keep-alive.
  8. En el cuadro de texto Tiempo de espera inactivo de tráfico, ingrese o seleccione la cantidad de tiempo (en segundos) que transcurre antes de que el Firebox intente conectarse al punto.
  9. En el cuadro de texto Reintentos máximos, ingrese o seleccione la cantidad de veces que el Firebox intenta conectarse antes de que se declare muerto al punto.
  10. El Firebox contiene un conjunto de transformaciones predeterminadas que aparece en la lista Configuraciones de Transformaciones. Esta transformación especifica la autenticación de SHA2, el cifrado AES (256 bits) y el Grupo Diffie-Hellman 14.
    Puede hacer lo siguiente:
    • Use la transformación predeterminada.
    • Elimine la transformación predeterminada y reemplácela por una nueva.
    • Agregar una transformación adicional, tal como se explica en Agregar una Transformación de Fase 1.

Configurar los Ajustes de Fase 1 para IKEv2

El protocolo IKEv2 es diferente de IKEv1. A continuación, se presenta un resumen de las diferencias entre las configuraciones IKEv1 e IKEv2 en el Firebox:

  • IKEv2 no tiene modos múltiples.
  • IKEv2 no admite la configuración IKE Keep-alive.
  • NAT Traversal siempre está habilitado.
  • Dead Peer Detection (DPD) siempre está habilitada.
  • Dead Peer Detection puede Basarse en el Tráfico o Basarse en el Temporizador, como se describe en IETF RFC 3706.
  • DPD Basado en el Tráfico — el Firebox envía un mensaje DPD a la puerta de enlace remota solo si no se recibe tráfico de la puerta de enlace remota durante un período de tiempo específico y hay un paquete esperando para ser enviado a la puerta de enlace remota.
  • DPD Basado en el Temporizador — el Firebox inicia un intercambio de DPD con la puerta de enlace remota en un intervalo de mensajes especificado, independientemente de cualquier otro tráfico recibido desde la puerta de enlace remota.
  • IKEv2 utiliza la configuración de Fase 1 compartida para todas las puertas de enlace BOVPN que tienen un par con una dirección IP dinámica.
  1. En la lista desplegable Versión, seleccione IKEv2.

Screen shot of Phase 1 settings for IKEv2

En Fireware Web UI, si la puerta de enlace tiene un par con una dirección IP dinámica, usa los ajustes de IKEv2 compartidos, y los Ajustes de NAT Traversal y de Transformación no son visibles en la configuración de la puerta de enlace. Después de agregar la puerta de enlace, puede seleccionar VPN > Ajustes Compartidos de IKEv2 para visualizar y editar dichos ajustes.

Screen shot of Phase 1 Settings

  1. Para una puerta de enlace que no usa configuraciones compartidas de IKEv2, para cambiar el intervalo keep-alive del NAT Traversal, en el cuadro de texto Intervalo Keep-alive, ingrese o seleccione la cantidad de segundos antes de que el Firebox envíe mensajes de NAT keep-alive.
  2. En los ajustes de Dead Peer Detection, desde la lista desplegable Tipo, seleccione Basado en el Tráfico o Basado en el Temporizador.
  3. Configurar los ajustes DPD. Los ajustes recomendados se seleccionan por defecto.

Para DPD Basado en el Tráfico:

  • En el cuadro de texto Tiempo de espera inactivo del tráfico, especifique la cantidad de tiempo (en segundos) que transcurre sin recibir tráfico del interlocutor antes de que el Firebox envíe un mensaje DPD al par.
  • En el cuadro de texto Reintentos máx., especifique la cantidad de veces que el Firebox intenta reenviar el mensaje de solicitud DPD antes de considerar que el par está muerto.

Para DPD Basado en el Temporizador:

  • En el cuadro de texto Intervalo de Mensaje, especifique la cantidad de segundos entre los mensajes DPD que Firebox envía al par.
  • En el cuadro de texto Errores máximos, especifique la cantidad de veces que el par no puede responder antes de que el Firebox considere que el par está inactivo.

En Fireware Web UI, si la puerta de enlace tiene un par con una dirección IP dinámica, usa los ajustes de IKEv2 compartidos, y los Ajustes de NAT Traversal y de Transformación no aparecen en la configuración de la puerta de enlace. Después de agregar la puerta de enlace, puede seleccionar VPN > Ajustes Compartidos de IKEv2 para visualizar y editar dichos ajustes. Para más información, consulte Configurar los Ajustes Compartidos de IKEv2.

  1. Para una puerta de enlace que no usa la configuración compartida IKEv2, puede editar los ajustes de transformación en la configuración de la puerta de enlace. El Firebox contiene un conjunto de transformaciones predeterminadas que aparece en la lista Configuraciones de Transformaciones. Esta transformación especifica la autenticación de SHA2, el cifrado AES (256 bits) y el Grupo Diffie-Hellman 14.
    Puede hacer lo siguiente:
    • Use la transformación predeterminada.
    • Elimine la transformación predeterminada y reemplácela por una nueva.
    • Agregar una transformación adicional, tal como se explica en Agregar una Transformación de Fase 1.
  1. En la lista desplegable Versión, seleccione IKEv2.

Screen shot of the IKEv2 settings

Si un par con una puerta de enlace remoto tiene una dirección IP dinámica, algunas de las configuraciones de IKEv2 son compartidas. Los ajustes que no se comparten aparecen en la pestaña Ajustes de la Puerta de Enlace. Los ajustes compartidos aparecen en la pestaña Ajustes Compartidos.

Screen shot of the IKEv2 settings, Gateway Settings tab

  1. En los ajustes de Dead Peer Detection, desde la lista desplegable Tipo, seleccione Basado en el Tráfico o Basado en el Temporizador.
  2. Configurar los ajustes DPD. Los ajustes recomendados se seleccionan por defecto.

Para DPD Basado en el Tráfico:

  • En el cuadro de texto Tiempo de espera inactivo del tráfico, especifique la cantidad de tiempo (en segundos) que transcurre sin recibir tráfico del interlocutor antes de que el Firebox envíe un mensaje DPD al par.
  • En el cuadro de texto Reintentos máx., especifique la cantidad de veces que el Firebox intenta reenviar el mensaje de solicitud DPD antes de considerar que el par está muerto.

Para DPD Basado en el Temporizador:

  • En el cuadro de texto Intervalo de Mensaje, especifique la cantidad de segundos entre los mensajes DPD que Firebox envía al par.
  • En el cuadro de texto Errores máximos, especifique la cantidad de veces que el par no puede responder antes de que el Firebox considere que el par está inactivo.
  1. Si la puerta de enlace usa la configuración compartida, seleccione la pestaña Configuración compartida.

Screen shot of the IKEv2 settings, Shared Settings tab

  1. Para cambiar el intervalo keep-alive del NAT Traversal, en el cuadro de texto Intervalo Keep-alive, ingrese o seleccione la cantidad de segundos los mensajes de NAT keep-alive enviados por el Firebox.
  2. El Firebox contiene un conjunto de transformaciones predeterminadas que aparece en la lista Configuraciones de Transformaciones. Esta transformación especifica la autenticación de SHA2, el cifrado AES (256 bits) y el Grupo Diffie-Hellman 14.
    Puede hacer lo siguiente:
    • Use la transformación predeterminada.
    • Elimine la transformación predeterminada y reemplácela por una nueva.
    • Agregar una transformación adicional, tal como se explica en Agregar una Transformación de Fase 1.

Cualquier cambio en las configuraciones compartidas de transformación de IKEv2 NAT Traversal y Fase 1 se aplica a todas las puertas de enlace que tienen un par remoto con una dirección IP dinámica. Para más información acerca de las configuraciones compartidas de IKEv2, consulte Configurar los Ajustes Compartidos de IKEv2.

Ver También

Configurar Puertas de Enlace BOVPN Manuales

Definir los Endpoints de la Puerta de Enlace para una Puerta de Enlace BOVPN