Configurar una BOVPN para un Firebox Administrado Localmente o un Endpoint de VPN de Terceros
Se aplica a: Fireboxes administrados en la nube
Puede configurar una VPN desde un Firebox administrado en la nube a cualquier Firebox, o a cualquier endpoint de VPN de terceros que admita las VPN IKEv2 con ajustes compatibles. Puede configurar una interfaz virtual de BOVPN para un endpoint de VPN de terceros o un endpoint basado en la nube. Los endpoints admitidos incluyen redes virtuales basadas en la nube, como endpoints de Microsoft Azure, Amazon AWS y Cisco VTI.
Para configurar una BOVPN entre dos Fireboxes administrados en la nube en la misma cuenta de WatchGuard Cloud, consulte Configurar una BOVPN entre Fireboxes Administrados en la Nube.
Cuando configura la BOVPN, WatchGuard Cloud implementa la configuración en el Firebox administrado en la nube. A continuación, debe configurar el endpoint remoto con los mismos ajustes.
Cuando agrega una BOVPN a un Firebox administrado en la nube, configura lo siguiente:
- Gateways VPN — Las redes externas que los dos dispositivos usan para conectarse.
- Clave precompartida — Un secreto compartido que se utiliza para cifrar y descifrar los datos que pasan por el túnel.
- Recursos de Red — Las redes que pueden enviar y recibir tráfico a través del túnel.
- Dirección IP Virtual — (opcional) Obligatoria si desea agregar la BOVPN a una acción SD-WAN.
- Ajustes de Seguridad — Ajustes de autenticación y cifrado para la negociación de la VPN.
BOVPN y Enrutamiento
En la configuración de la BOVPN, usted especifica qué recursos de red son accesibles a través del túnel. Los recursos que seleccione para un endpoint se convertirán en rutas estáticas en el otro endpoint de VPN, con la BOVPN como puerta de enlace. La métrica que especifique para cada recurso aparece en la tabla de enrutamiento. El Firebox utiliza la tabla de enrutamiento para determinar a dónde enviar tráfico a través del túnel BOVPN.
No puede especificar recursos de red para ambos endpoints en la misma subred. Esto significa que no puede enrutar el tráfico a través de un túnel BOVPN entre redes privadas que usan el mismo rango de direcciones IP.
Si agrega un recurso de red BOVPN de ruta cero (0.0.0.0/0), esto crea una ruta predeterminada que envía todo el tráfico de red (incluido el tráfico a WatchGuard Cloud) a través del túnel VPN.
Si agrega un recurso de red BOVPN de ruta cero, y el endpoint de VPN remoto no puede enrutar el tráfico desde el Firebox administrado en la nube a WatchGuard Cloud, pierde la capacidad de administrar o monitorizar el Firebox.
Para una VPN entre un Firebox y un endpoint de VPN administrado localmente o de terceros
- Los recursos de red que indica para el endpoint remoto especifican qué tráfico enruta el Firebox a través del túnel. Estas se convierten en rutas estáticas en el Firebox administrado en la nube, con la BOVPN como puerta de enlace.
- Los recursos de red que especifica para el Firebox son los recursos que desea que el endpoint remoto enrute a través del túnel VPN al Firebox. Los recursos que especifica aquí no limitan el tráfico que el Firebox acepta a través del túnel VPN. Para que el Firebox reciba tráfico VPN a estos recursos, el endpoint remoto debe estar configurado para enrutar el tráfico a estas direcciones IP a través del túnel.
BOVPN e Implementación Automática
Cuando agrega, edita o elimina una BOVPN, la configuración de la BOVPN se implementa automáticamente para que el Firebox administrado en la nube la descargue. Para asegurarse de que la implementación automática contenga solo cambios de configuración de BOVPN, no puede guardar los cambios de la BOVPN si alguno de los Fireboxes tiene otros cambios de configuración no implementados.
Antes de agregar, editar o eliminar una BOVPN, asegúrese de que el Firebox no tenga cambios sin implementar.
Agregar una BOVPN
Para agregar una BOVPN al Firebox administrado en la nube, desde WatchGuard Cloud:
- Para abrir la página BOVPN, use uno de estos métodos:
- Para administrar las BOVPN de todos los Fireboxes en la cuenta actualmente seleccionada, vaya a Configurar > VPN
- Para administrar las BOVPN de un Firebox específico, en la página Configuración del Dispositivo, haga clic en el mosaico VPN de Sucursales.
- Desde cualquiera de las páginas de BOVPN, haga clic en el mosaico VPN de Sucursales.
La página BOVPN muestra las BOVPN configuradas actualmente.
- Haga clic en Agregar BOVPN.
Se abre la página Agregar BOVPN. - En el cuadro de texto Nombre, ingrese un nombre para esta BOVPN.
- Seleccione Firebox Administrado Localmente o endpoint de VPN de terceros.
El contenido de la sección Endpoint B cambia de una lista de Fireboxes a un cuadro de texto de Nombre del Endpoint.
- En la sección Endpoint A, seleccione un Firebox administrado en la nube en su cuenta.
Si agregó la BOVPN desde una página de Configuración del Dispositivo, la lista de Endpoint A contiene solo un Firebox. - En la sección Endpoint B, en el cuadro de texto Nombre de Endpoint, escriba un nombre para identificar el endpoint de VPN remoto.
La configuración de la BOVPN utiliza este nombre para referirse al Endpoint B.
- Haga clic en Siguiente.
Se abre la página de ajustes de Gateways VPN.
- Para el Firebox administrado en la nube, seleccione una red externa a fin de usarla para esta conexión VPN.
- Especifique la dirección IP o un nombre de dominio que se resuelva en la dirección IP de la red externa del Firebox.
- Para el endpoint remoto, en el cuadro de texto IP o Nombre de Dominio, ingrese una dirección IP o un nombre de dominio que se resuelva en la dirección IP del endpoint remoto.
- En el cuadro de texto Clave precompartida, escriba una clave precompartida para asegurar este túnel VPN.
- Haga clic en Siguiente.
- Seleccione las redes internas y de invitados del Firebox a las que desea que se pueda acceder a través del túnel VPN.
- Para agregar un recurso de red que no sea una red interna o de invitados:
- En la sección de recursos Firebox, haga clic en Agregar Recurso de Red.
- En el cuadro de texto Recurso de Red, ingrese la dirección IP de la red y la máscara de red.¡Consejo!
- En el cuadro de texto Métrica, puede editar la métrica. El valor predeterminado es 1.
- Haga clic en Agregar.
El recurso de red se agrega a los ajustes de Tráfico para el endpoint.
- Agregue un recurso de red para el endpoint remoto:
- En la sección del segundo endpoint, haga clic en Agregar Recurso de Red.
- En el cuadro de texto Recurso de Red, ingrese la dirección IP de la red y la máscara de red.
- En el cuadro de texto Métrica, puede editar la métrica. El valor predeterminado es 1.
- Haga clic en Agregar.
El recurso de red se agrega a los ajustes de Tráfico para el endpoint.
- Repita el paso anterior para agregar otros recursos de red.
- (Opcional) Para cada endpoint, en el cuadro de texto Dirección IP Virtual, ingrese una dirección IP.
Le recomendamos que especifique una dirección IP en un rango de direcciones IP de red privada que no se utilice para el enrutamiento en ningún endpoint.
Debe especificar direcciones IP virtuales para poder agregar esta BOVPN a una acción de SD-WAN. Para usar esto en una acción de SD-WAN, especifique una dirección IP de host con una máscara de red /32.
- Haga clic en Siguiente.
Se abre la página Ajustes de seguridad.
- Acepte los ajustes de seguridad predeterminados o edítelos para que coincidan con los ajustes admitidos por el endpoint de VPN remoto. Para más información, consulte Configurar los Ajustes de Seguridad de BOVPN.
- Haga clic en Agregar.
Se agrega la implementación de la BOVPN y se abre la página Guía de BOVPN.
- Para abrir la Guía de BOVPN en una nueva pestaña del explorador, haga clic en Ver Guía.
La Guía de BOVPN se abre en una nueva pestaña del explorador. Puede imprimir esta página o guardarla en un PDF. - Para volver a la lista de las BOVPN, haga clic en Finalizar.
Ver la Guía de BOVPN
Para cada BOVPN, WatchGuard Cloud genera una Guía de VPN que resume los ajustes de configuración de las VPN requeridos en el endpoint de VPN remoto. Puede ver la Guía de BOVPN desde la página Editar BOVPN. Para obtener más información, consulte Ver la Guía de BOVPN.
Configurar el Endpoint de VPN Remoto
En el endpoint de VPN remoto, agregue una VPN IKEv2 con ajustes que coincidan con los ajustes de VPN en el Firebox administrado en la nube. Para obtener más información, consulte Configurar los Ajustes de Endpoint de VPN Remoto en un Firebox Administrado Localmente o un Endpoint de VPN de Terceros.
Editar o Eliminar una BOVPN
Puede editar o eliminar una BOVPN desde la página BOVPN. Para más información, consulte Administrar BOVPN para Fireboxes Administrados en la Nube.
Ver También
Administrar la Implementación de la Configuración de Firebox