Configurar una BOVPN para un Firebox Administrado Localmente o un Endpoint de VPN de Terceros

Se aplica A: Fireboxes administrados en la nube Este tema se aplica a los Fireboxes que configura en WatchGuard Cloud.

Puede configurar una VPN desde un Firebox administrado en la nube a cualquier Firebox, o a cualquier endpoint de VPN de terceros que admita las VPN IKEv2 con ajustes compatibles. Puede configurar una interfaz virtual de BOVPN para un endpoint de VPN de terceros o un endpoint basado en la nube. Los endpoints admitidos incluyen redes virtuales basadas en la nube, como Microsoft Azure, Amazon AWS y endpoints Cisco VTI.

Para configurar una BOVPN entre dos Fireboxes administrados en la nube en la misma cuenta de WatchGuard Cloud, vaya a Configurar una BOVPN entre Fireboxes Administrados en la Nube.

Cuando configura la BOVPN, WatchGuard Cloud implementa la configuración en el Firebox administrado en la nube. A continuación, debe configurar el endpoint remoto con los mismos ajustes.

Cuando agrega una BOVPN a un Firebox administrado en la nube, configura lo siguiente:

• Gateways VPN — Las redes externas que los dos dispositivos usan para conectarse.
• Método de credencial — Seleccione una de dos opciones:
  • Clave Precompartida — Un secreto compartido que se utiliza para cifrar y descifrar los datos que pasan por el túnel.
  • Certificado — Un certificado del Firebox IPSec utilizado para la autenticación del túnel. Para más información, vaya a Certificados para Autenticación de Túnel VPN de Sucursal (BOVPN) en la Ayuda de Fireware.
• Recursos de Red — Las redes que pueden enviar y recibir tráfico a través del túnel.
• Dirección IP Virtual — (Opcional) Requerida si desea:
• Agregar la BOVPN a una acción de SD-WAN.
• Configurar una BOVPN de ruta cero.
• Responder al tráfico generado por el Firebox a través del túnel. Por ejemplo, el tráfico DNS y DHCP, Dimension, syslog, SNMP, NTP, autenticación (Active Directory, LDAP y RADIUS) y otras conexiones establecidas por el Firebox a recursos a través del túnel.
• Ajustes de Seguridad — Ajustes de autenticación y cifrado para la negociación de la VPN.

BOVPN y Enrutamiento

En la configuración de la BOVPN, usted especifica qué recursos de red son accesibles a través del túnel BOVPN. Los recursos que seleccione para un endpoint se convertirán en rutas estáticas en el otro endpoint, con la BOVPN como puerta de enlace. La distancia (métrica) que especifique para cada recurso aparece en la tabla de enrutamiento. El Firebox utiliza la tabla de enrutamiento para determinar a dónde enviar tráfico a través del túnel BOVPN.

No puede especificar recursos de red para ambos endpoints en la misma subred. Esto significa que no puede enrutar el tráfico a través de un túnel BOVPN entre redes privadas que usan el mismo rango de direcciones IP.

Para una VPN entre un Firebox y un endpoint de VPN administrado localmente o de terceros:

• Los recursos de red que indica para el endpoint remoto especifican qué tráfico enruta el Firebox a través del túnel. Estas se convierten en rutas estáticas en el Firebox administrado en la nube, con la BOVPN como puerta de enlace.
• Los recursos de red que especifica para el Firebox son los recursos que desea que el endpoint remoto enrute a través del túnel VPN al Firebox. Los recursos que especifica aquí no limitan el tráfico que el Firebox acepta a través del túnel VPN. Para que el Firebox reciba tráfico de VPN a estos recursos, el endpoint remoto debe estar configurado para enrutar el tráfico a estas direcciones IP a través del túnel.

Direcciones IP Virtuales

Una dirección IP virtual es una dirección IP que no está vinculada a una interfaz física. Para una BOVPN en WatchGuard Cloud, que es una interfaz virtual de BOVPN, una dirección IP virtual funciona como la gateway (siguiente salto). La dirección IP virtual se utiliza para el tráfico generado por el Firebox y el tráfico de respuesta enviado directamente a la interfaz virtual BOVPN.

Puede configurar la dirección IP virtual en estos casos:

Dynamic Routing

Puede usar una interfaz virtual BOVPN para permitir que el Firebox use el enrutamiento dinámico para encontrar las rutas a las redes privadas en un Firebox par o en un endpoint de tercero a través del túnel VPN. Para más información, vaya a Interfaz BOVPN Virtual con Dynamic Routing.

SD-WAN

Para que pueda agregar una BOVPN a una acción de SD-WAN, debe configurar la BOVPN con direcciones IP virtuales /32 para ambos endpoints. La monitorización de enlaces BOVPN se habilita implícitamente cuando configura direcciones IP de host /32 como la dirección IP virtual de ambos endpoints. Una BOVPN que no tiene habilitada la monitorización de enlaces (no tiene direcciones IP virtuales /32 válidas para ambos endpoints) no está disponible para seleccionar en una acción de SD-WAN.

Para obtener más información sobre SD-WAN, vaya a Configurar SD-WAN.

Enrutamiento Cero

Si agrega un recurso de red BOVPN de ruta cero (0.0.0.0/0), esto crea una ruta predeterminada que envía todo el tráfico de red (incluido el tráfico a WatchGuard Cloud) a través del túnel VPN. Para un Firebox administrado en la nube, debe ingresar las direcciones IP virtuales en la configuración de la BOVPN de modo que el tráfico de retorno utilice el túnel VPN.

Si agrega un recurso de red BOVPN de ruta cero, y el endpoint de VPN remoto no puede enrutar el tráfico desde el Firebox administrado en la nube a WatchGuard Cloud, pierde la capacidad de administrar o monitorizar el Firebox.

Tráfico Generado por el Firebox

El Firebox en sí mismo genera tráfico a través del túnel. El tráfico generado por el Firebox también se conoce como tráfico autogenerado o tráfico de origen propio.

Debe ingresar una dirección IP virtual /32 para cada endpoint, de modo que las respuestas al tráfico generado por el Firebox utilicen el túnel VPN. Algunos ejemplos de tráfico generado por el Firebox son tráfico DNS y DHCP, Dimension, syslog, SNMP, NTP, autenticación (Active Directory, LDAP y RADIUS) y otras conexiones establecidas por el Firebox a recursos a través del túnel.

BOVPN e Implementación Automática

Cuando agrega, edita o elimina una BOVPN, la configuración de la BOVPN se implementa automáticamente para que el Firebox administrado en la nube la descargue. Para asegurarse de que la implementación automática contenga solo cambios de configuración de BOVPN, no puede guardar los cambios de la BOVPN si alguno de los Fireboxes tiene otros cambios de configuración no implementados.

Antes de agregar, editar o eliminar una BOVPN, asegúrese de que el Firebox no tenga cambios sin implementar.

Agregar una BOVPN

Para agregar una BOVPN al Firebox administrado en la nube, desde WatchGuard Cloud:

1. Para abrir la página BOVPN, use uno de estos métodos:
   • Para administrar las BOVPN de todos los Fireboxes en la cuenta actualmente seleccionada, vaya a Configurar > VPN.
   • Para administrar las BOVPN de un Firebox específico, en la página Configuración del Dispositivo, haga clic en el mosaico VPN de Sucursales.
2. Desde cualquiera de las páginas de BOVPN, haga clic en el mosaico VPN de Sucursales.
   La página BOVPN muestra las BOVPN configuradas actualmente.

3. Haga clic en Agregar BOVPN.
   Se abre la página Agregar BOVPN.
4. En el cuadro de texto Nombre, ingrese un nombre para esta BOVPN.
5. En la lista desplegable Familia de Direcciones, seleccione Direcciones IPv4 o Direcciones IPv6.
   Si selecciona Direcciones IPv6, el otro endpoint BOVPN debe configurarse para admitir IPv6.
6. Seleccione Firebox Administrado Localmente o endpoint de VPN de terceros.
   El contenido de la sección Endpoint B cambia de una lista de Fireboxes a un cuadro de texto de Nombre del Endpoint.

7. En la sección Endpoint A, seleccione un Firebox administrado en la nube en su cuenta.
   Si agregó la BOVPN desde una página Configuración del Dispositivo, la lista de Endpoint A contiene solo un Firebox.
8. En la sección Endpoint B, en el cuadro de texto Nombre de Endpoint, escriba un nombre para identificar el endpoint de VPN remoto.
   La configuración de la BOVPN utiliza este nombre para referirse al Endpoint B.

9. Haga clic en Siguiente.
   Se abre la página de ajustes de Gateways VPN.

10. Para usar un certificado del Firebox IPSec para esta conexión VPN, seleccione Usar Certificado del Firebox IPSec. Para utilizar una clave precompartida, vaya al Paso 11.
    Aparece una lista de certificados.

1. Seleccione un certificado.
2. Para el Firebox administrado en la nube, seleccione una red externa.
3. Para esta red externa, especifique la dirección IP en la lista desplegable. Seleccione el nombre x500, el nombre de dominio o la dirección IP. Las opciones disponibles dependen de la configuración del certificado.
   Para redes con una configuración de dirección IP de DHCP o PPPoE, la dirección IP predeterminada es Cualquiera (Dinámica).
4. Para el endpoint remoto:
   • En la lista desplegable Dirección IP, seleccione o ingrese una dirección IP.
   • En el cuadro de texto Identificación del Endpoint, ingresa un nombre x500, un nombre de dominio o una dirección IP que se resuelva en la dirección IP del endpoint remoto.
5. Haga clic en Siguiente.
   
11. Para usar una clave precompartida para esta conexión, para el Firebox administrado en la nube, seleccione una red externa.
    1. Especifique la dirección IP o un nombre de dominio que se resuelva en la dirección IP de la red externa del Firebox.
    2. Para el endpoint remoto, en el cuadro de texto IP o Nombre de Dominio, ingrese una dirección IP o un nombre de dominio que se resuelva en la dirección IP del endpoint remoto.
    3. En el cuadro de texto Clave precompartida, escriba una clave precompartida para asegurar este túnel VPN.
    4. Haga clic en Siguiente.

12. Seleccione las redes internas y de invitados del Firebox a las que desea que se pueda acceder a través del túnel VPN.
13. Para agregar un recurso de red que no sea una red interna o de invitados:
    1. En la sección de recursos Firebox, haga clic en Agregar Recurso de Red.

    

    2. En el cuadro de texto Recurso de Red, ingrese la dirección IP de la red y la máscara de red.¡Consejo! Para agregar una dirección IP de host, agregue la máscara de red /32.
    3. En el cuadro de texto Distancia, ingrese un valor entre 1 y 254. Las rutas con las métricas más bajas tienen mayor prioridad. El valor predeterminado es 1. En Fireware v12.9 o posterior, el ajuste Distancia reemplaza el ajuste Métrica.
    4. Haga clic en Agregar.
       El recurso de red se agrega a los ajustes de Tráfico para el endpoint.
14. Agregue un recurso de red para el endpoint remoto:
    1. En la sección del segundo endpoint, haga clic en Agregar Recurso de Red.
    2. En el cuadro de texto Recurso de Red, ingrese la dirección IP de la red y la máscara de red.
    3. En el cuadro de texto Distancia, ingrese un valor entre 1 y 254. Las rutas con las métricas más bajas tienen mayor prioridad. El valor predeterminado es 1.En Fireware v12.9 o posterior, el ajuste Distancia reemplaza el ajuste Métrica.
    4. Haga clic en Agregar.
       El recurso de red se agrega a los ajustes de Tráfico para el endpoint.
15. Repita el paso anterior para agregar otros recursos de red.
16. (Opcional) Para cada endpoint, en el cuadro de texto Dirección IP Virtual, ingrese una dirección IP. Una dirección IP virtual es una dirección IP que no está vinculada a una interfaz física. Para una BOVPN en WatchGuard Cloud, que es una interfaz virtual de BOVPN, una dirección IP virtual funciona como la gateway (siguiente salto). La dirección IP virtual se utiliza para el tráfico de respuesta enviado directamente a la interfaz virtual BOVPN.

Se requieren direcciones IP virtuales en algunos casos:

• Debe utilizar direcciones IP de interfaz virtual BOVPN cuando utilice Dynamic Routing.
• Debe especificar direcciones IP virtuales con una máscara de red /32 para poder agregar esta BOVPN a una acción de SD-WAN.
• Si configura una BOVPN de ruta cero, debe ingresar las direcciones IP virtuales de modo que el tráfico de retorno utilice el túnel VPN.Si agrega un recurso de red BOVPN de ruta cero, y el endpoint de VPN remoto no puede enrutar el tráfico desde el Firebox administrado en la nube a WatchGuard Cloud, pierde la capacidad de administrar o monitorizar el Firebox.
• Para tráfico generado por el Firebox, se requieren direcciones IP virtuales para que ese tráfico de respuesta utilice el túnel VPN. Algunos ejemplos de tráfico generado por el Firebox son tráfico DNS y DHCP, Dimension, syslog, SNMP, NTP, autenticación (Active Directory, LDAP y RADIUS), así como otras conexiones establecidas por el Firebox a recursos a través del túnel.

17. Haga clic en Siguiente.
    Se abre la página Ajustes de seguridad.

18. Acepte los ajustes de seguridad predeterminados o edítelos para que coincidan con los ajustes admitidos por el endpoint de VPN remoto. Para información, vaya a Configurar los Ajustes de Seguridad de BOVPN.
19. Haga clic en Agregar.
    Se agrega la implementación de la BOVPN y se abre la página Guía de BOVPN.

20. Para abrir la Guía de BOVPN en una nueva pestaña del explorador, haga clic en Ver Guía.
    La Guía de BOVPN se abre en una nueva pestaña del explorador. Puede imprimir esta página o guardarla en un PDF.
21. Para volver a la lista de las BOVPN, haga clic en Finalizar.

Ver la Guía de BOVPN

Para cada BOVPN, WatchGuard Cloud genera una Guía de VPN que resume los ajustes de configuración de las VPN requeridos en el endpoint de VPN remoto. Puede ver la Guía de BOVPN desde la página Editar BOVPN. Para más información, vaya a Ver la Guía de BOVPN.

Configurar el Endpoint de VPN Remoto

En el endpoint de VPN remoto, agregue una VPN IKEv2 con ajustes que coincidan con los ajustes de VPN en el Firebox administrado en la nube. Para más información, vaya a Configurar los Ajustes de Endpoint de VPN Remoto en un Firebox Administrado Localmente o un Endpoint de VPN de Terceros.

Editar o Eliminar una BOVPN

Puede editar o eliminar una BOVPN desde la página BOVPN. Para información, vaya a Administrar BOVPN para Fireboxes Administrados en la Nube.

Temas Relacionados

Administrar la Implementación de la Configuración del Dispositivo

Configurar una Red Interna o de Invitados del Firebox

Administrar Certificados