Acerca de Túneles de Administración

Los Management Tunnels le permiten hacer una conexión de administración a sus Firebox remotos que están detrás de un dispositivo de puerta de enlace NAT de terceros, de modo que puede administrar centralmente sus Firebox remotos. Esto es útil cuando no controla los dispositivos de puerta de enlace NAT de terceros detrás de los cuales se encuentran sus Firebox administrados, especialmente si las conexiones a sus Firebox remotos están bloqueadas en la puerta de enlace NAT.

Cuando sus Firebox remotos están atrás de una puerta de enlace NAT de terceros, sus dispositivos remotos pueden iniciar conexiones de administración e IPSec o SSL de salida a su Management Server a través del dispositivo de puerta de enlace NAT y su Firebox de puerta de enlace, pero para que su Management Server pueda hacer conexiones de entrada para administrar sus dispositivos remotos, debe configurar un Management Tunnel. Su Management Server recibe la conexión del dispositivo remoto, y entonces puede enviar información y actualizaciones de regreso a través del Management Tunnel a sus dispositivos remotos.

Puede elegir a partir de dos opciones de Management Tunnels:

  • Management Tunnel por SSL

Para un Management Tunnel por SSL, el Management Tunnel transmite datos a través de un túnel cifrado SSL y utiliza el mismo servidor OpenVPN que usan sus túneles VPN de Mobile VPN with SSL.

Para más información, consulte Recursos de Management Tunnel por SSL.

  • Management Tunnel por IPSec

Si crea un Management Tunnel por IPSec, su puerta de enlace Firebox y Firebox remotos transmitirán datos a través del túnel cifrado IPSec.

Para obtener más información, consulte Recursos Management Tunnel por IPSec .

Después de configurar un Management Tunnel over SSL, algunas de las opciones de configuración para otras funciones de Fireware que comparten el servidor OpenVPN no están disponibles. Esto afecta a las funciones Mobile VPN with SSL, Access Portal y VPN de Sucursal over TLS. Para obtener más información sobre cómo esto afecta a cada función, consulte:
Mobile VPN with SSL — Configurar Manualmente el Firebox para Mobile VPN with SSL
Access Portal — Acerca de Access Portal
VPN de Sucursal over TLS — Acerca de VPN de Sucursal over TLS

Acerca de la Configuración del Management Tunnel

Este diagrama muestra un ejemplo de una configuración de Management Tunnel. La puerta de enlace Firebox se encuentra entre la red de administración WatchGuard, que incluye el WatchGuard Management Server, Log Server y Report Server e Internet. Los Fireboxes remotos en la red privada remota se encuentran detrás de un firewall de terceros (el dispositivo de puerta de enlace NAT). La red privada remota y la dirección IP de administración para los dispositivos remotos están en una red diferente del Firebox de la puerta de enlace y la red de administración.

Diagrama de un Management Tunnel a través de una Puerta de Enlace NAT

Requisitos para los Management Tunnels

Antes de configurar un Management Tunnel, debe asegurarse de que sus Firebox y las configuraciones de red cumplan con estos requisitos:

  • Red de Administración
    • El cliente WSM y el Management Server están instalados
    • (Opcional) La instancia WatchGuard Dimension está instalada, o el WSM Log Server y Report Server están instalados
      Para recolectar los mensajes de registro de los dispositivos del Management Tunnel, debe instalar y configurar al menos una solución de generación de registros y presentación de informes de WatchGuard.
    • El Management Server está detrás de su Firebox de puerta de enlace
    • La subred que seleccione para la red de administración (el grupo de direcciones IP de administración y el grupo de direcciones IP virtuales) es lo suficientemente grande para acomodar las conexiones necesarias
      Debido a que los Fireboxes remotos y los clientes Mobile VPN with SSL obtienen direcciones IP de este grupo, debe asegurarse de que la subred sea bastante grande como para acomodar todas estas conexiones de dispositivos, sin una superposición de ninguna de las direcciones IP para los dispositivos del cliente o de la puerta de enlace Firebox.
  • Puerta de Enlace Firebox
    • Configurado con políticas NAT estáticas para permitir el tráfico entrante al Management Server y el Log Server a través de los puertos 4112, 4113 y 4115
      Management Server genera automáticamente estas políticas.
    • Incluye un recurso VPN para la red de administración
      Usted configura esto en WSM a través de Management Server.
    • Incluye una política para permitir el tráfico sobre el puerto TCP 443
      La política SSLVPN de WatchGuard es agregada automáticamente por el Management Server cuando se añade un Management Tunnel por SSL.
    • Se habilita y se configura el servidor de autentificación Firebox-DB
  • Puerta de Enlace NAT en Firewall de Terceros
    • Debe permitir conexiones salientes de IPSec para un Management Tunnel por IPSec
    • Debe permitir conexiones salientes por el puerto 443 para un Management Tunnel por SSL
  • Firebox Remoto
    • Para un Management Tunnel sobre IPSec, los Fireboxes están configuradas en el Modo de Enrutamiento Combinado
    • Para un Management Tunnel sobre SSL, los Fireboxes se pueden configurar en Modo de Enrutamiento Combinado, Modo de Puente Transparente o Modo Directo
    • Cada Firebox remoto es agregado a la administración como un dispositivo dinámico (la interfaz externa en el Firebox puede tener una dirección IP estática, DHCP o PPPoE)
    • Las interfaces de confianza en todos los Fireboxes remotos pueden tener ya sea las mismas direcciones IP o direcciones IP únicas
    • Incluye una política para permitir el tráfico a través del puerto TCP 443
      La política SSLVPN de WatchGuard es agregada automáticamente por el Management Server cuando se añade un Management Tunnel por SSL.
    • Los Fireboxes deben estar administrados, pero pueden estar en Modo Básico Administrado o Modo Totalmente Administrado

Para obtener más información acerca de los puertos requeridos para los servicios de WatchGuard, consulte Instalar Servidores de WatchGuard en Equipos con Firewalls de Escritorio.

Acerca de los Recursos de VPN

Cuando agrega un Firebox al Management Server, el Management Server crea automáticamente estos recursos VPN predeterminados para el Firebox:

  • Un recurso de Red del Hub
  • Una Red de Interfaz para cada interfaz configurada en el Firebox que no es una Interfaz Externa (por ejemplo, Red de Confianza o Red Opcional)

Cuando configura un Management Tunnel, selecciona qué recursos VPN usar para el tráfico a través del túnel. El recurso VPN que seleccione especifica qué interfaz de red en el dispositivo remoto envía tráfico a través del túnel. Puede seleccionar cualquiera de los recursos VPN predeterminados o agregar otros recursos VPN. Antes de seleccionar un recurso de VPN, es importante comprender cómo el recurso de VPN que selecciona afecta el tráfico a través del Management Tunnel.

Red del Hub

Si configura su puerta de enlace del Management Tunnel de Firebox para usar el recurso de la red del hub, además del tráfico de administración, sus dispositivos remotos envían todo el tráfico de Internet a través del Management Tunnel. Esto puede disminuir la velocidad de conexión a Internet y reducir el rendimiento del túnel.

Red de Confianza

Si configura su puerta de enlace del Management Tunnel de Firebox para usar el recurso de la Red de Confianza, sus dispositivos remotos solo enviarán tráfico desde sus interfaces de Red de confianza a través del Management Tunnel.

Red Opcional

Si configura su puerta de enlace del Management Tunnel de Firebox para utilizar el recurso de Red Opcional, sus dispositivos remotos solo enviarán tráfico desde sus interfaces de Red opcionales a través del Management Tunnel.

Seleccionar un tipo de Management Tunnel

Antes de que pueda seleccionar el tipo de Management Tunnel que desea configurar, debe tomar en consideración todos los recursos que cada tipo del túnel utiliza.

Recursos de Management Tunnel por SSL

Cada Management Tunnel over SSL utiliza una de sus licencias de cliente Mobile VPN with SSL y comparte el mismo servidor OpenVPN con las funciones VPN de Sucursal over TLS en Modo Servidor, Mobile VPN with SSL y Access Portal. Debido a que los Management Tunnels por SSL usan el puerto 443, que normalmente está abierto en la mayoría de los dispositivos de terceros, un Management Tunnel por SSL tiene menos probabilidades de ser bloqueado por el dispositivo de puerta de enlace NAT de terceros.

Cuando habilita un Management Tunnel over SSL, el Management Server bloquea los ajustes compartidos por las funciones VPN de Sucursal over TLS en Modo Servidor, Mobile VPN with SSL y Access Portal, por lo que no se pueden modificar. Estas configuraciones incluyen:

  • El número de puerto (443)
  • La dirección IP del Servidor OpenVPN (la dirección IP de su dispositivo hub del Management Tunnel)
  • El grupo de direcciones IP de administración (este es el grupo de direcciones IP virtuales en las configuraciones del túnel de Mobile VPN with SSL)

Debido a que los Management Tunnels over SSL usan el mismo servidor OpenVPN que las funciones VPN de Sucursal over TLS en Modo Servidor, Mobile VPN with SSL y Access Portal en su Firebox también usan, su Management Tunnel comparte el mismo grupo de direcciones IP con estas funciones. Esto significa que debe asegurarse de que el grupo de direcciones IP sea lo bastante grande como para acomodar todas las conexiones necesarias. También debe asegurarse de utilizar la misma dirección de red cuando especifique el ajuste del Grupo de Direcciones IP de Administración en los ajustes del Management Tunnel para el Firebox de la puerta de enlace que se especifica en los ajustes del Grupo de Direcciones IP Virtuales en las otras funciones.

El Management Tunnel over SSL y los clientes Mobile VPN with SSL también comparten una licencia, de modo que el Firebox de puerta de enlace y cada dispositivo remoto del cliente utiliza una de las conexiones permitidas en su licencia. Asegúrese de que su licencia pueda acomodar todas las conexiones necesarias para su Management Tunnel.

Cuando agrega un Management Tunnel por SSL, se actualizan los detalles del grupo de direcciones IP virtuales y del servidor, y sus túneles de Mobile VPN with SSL que utilizan el mismo servidor OpenVPN que sus Management Tunnels restablecen.

Para obtener más información sobre Mobile VPN with SSL, consulte Configurar Manualmente el Firebox para Mobile VPN with SSL.

Antes de que cree un Management Tunnel over SSL, asegúrese de que la dirección IP privada para su Management Server sea la primera dirección IP incluida en la lista Dirección IP de Distribución para el Management Server y en los ajustes de Dispositivos Administrados para los dispositivos remotos (spoke). Esto permite que el túnel sea reconstruido con éxito después de que se haya interrumpido.

Screen shot of the Management Server Certificates page
La dirección IP privada es la primera dirección IP en la lista de Direcciones IP de Distribución del Management Server

Screen shot of the Managed Device Settings dialog box

El cuadro de diálogo Ajustes de Dispositivo Administrado para un dispositivo spoke (Policy Manager).

 

Screen shot of the Management Server IP Addresses in Fireware Web UI

La página Dispositivo Administrado para un dispositivo spoke (Fireware Web UI).

Si actualiza las configuraciones del cliente de un dispositivo administrado en cualquier extremo del Management Tunnel por SSL para caducar la concesión o para restablecer la Management Server configuration, y la dirección IP privada no es la primera dirección IP incluida en la lista Dirección IP de Distribución y en el cuadro de diálogo Configuraciones de Dispositivos Administrados, la dirección IP privada es reemplazada en la configuración del túnel por la dirección IP pública del Management Server, y el Management Tunnel por SSL deja de funcionar.

Para obtener más información sobre cómo agregar la dirección IP privada del Management Server a la lista Dirección IP de Distribución, consulte Configurar la Autoridad de Certificación en el Management Server.

Para obtener más información sobre cómo agregar la dirección IP privada del Management Server a la lista Dirección IP del Management Server en Configuraciones de Dispositivos Administrados, consulte Configurar un Firebox como un Dispositivo Administrado.

Recursos Management Tunnel por IPSec

Un Management Tunnel por IPSec utiliza su Mobile VPN con la licencia de IPSec, y cada dispositivo remoto en el extremo de un Management Tunnel utiliza una ruta disponible del túnel en su licencia.

Debido a que un Management Tunnel por IPSec no comparte ningún recurso con su configuración de Mobile VPN with IPSec, tiene más flexibilidad en su configuración Mobile VPN with SSL si utiliza un Management Tunnel por IPSec.

Cuando tiene Management Tunnels por IPSec activos:

  • Cada dispositivo remoto en un Management Tunnel usa una ruta de túnel.
  • La dirección IP de administración del Firebox remoto se usa para establecer el túnel y para conectarse con el dispositivo. Esta dirección IP se usa como la dirección 1-to-1 NAT para el Management Tunnel.
  • El Firebox de la puerta de enlace usa una ruta de túnel para cada dispositivo remoto en el extremo de un Management Tunnel.

Ver También

Configurar Túneles de Administración

Agregar Recursos de VPN

Túneles de VPN de Sucursal Administrados (WSM)

Establecer Túneles Administrados entre Dispositivos

Configurar Propiedades de Administración del Dispositivo

Acerca de los Modos de Centralized Management