Temas Relacionados
Mejorar la Disponibilidad del Túnel VPN de Sucursales
Hay instalaciones de VPN para Sucursales (BOVPN) IPSec, en las cuales todos los ajustes son correctos, pero las conexiones de BOVPN no siempre funcionan correctamente. Puede usar la información que figura abajo para ayudarlo a solucionar los problemas de disponibilidad de túneles BOVPN IPSec. Estos procedimientos no mejoran el desempeño general de los túneles BOVPN.
La mayoría de los túneles BOVPN permanecen disponibles para el paso de tráfico en todos los momentos. Los problemas suelen estar asociados a una o más de estas tres condiciones:
- Una o ambos extremos poseen conexiones externas no confiables. La alta latencia, la alta fragmentación de paquetes y la alta pérdida de paquetes pueden convertir una conexión en no confiable. Esos factores tienen un impacto más fuerte en el tráfico de BOVPN que en otro tráfico común, como HTTP y SMTP. Con el tráfico de BOVPN, los paquetes cifrados deben llegar al extremo de destino, ser decodificados y luego rearmados antes de que el tráfico no cifrado sea enrutado a la dirección IP de destino.
- Un extremo no es un Firebox, ni es un Firebox anterior o dispositivo XTM con un software del sistema anterior. Las pruebas de compatibilidad entre los nuevos productos WatchGuard y dispositivos más antiguos se hacen con el software más reciente disponible para dispositivos más antiguos. Con el software más antiguo, podría tener problemas que ya se han resuelto en la versión más reciente del software.
Como están basados en el estándar IPSec, los Firebox y dispositivos XTM son compatibles con la mayoría de los extremos de terceros. No obstante, algunos dispositivos de extremos de terceros no son compatibles con IPSec debido a problemas de software o configuraciones con derechos de autor. -
Es posible instalar el sistema operativo más reciente en todos los Firebox, pero todas las otras condiciones en esa lista están fuera de su control. Sin embargo, puede tomar ciertas medidas para mejorar la disponibilidad de la VPN de sucursal.
Tanto las configuraciones de IKE keep-alive como Dead Peer Detection pueden mostrar cuándo un túnel está desconectado. Cuando encuentran un túnel desconectado, inician una nueva negociación de Fase 1. Si selecciona tanto IKE keep-alive como Dead Peer Detection, la renegociación de Fase 1 que se inicia puede hacer que el otro identifique el túnel como desconectado e inicie una segunda negociación de Fase 1. Cada negociación de Fase 1 detiene todo el tráfico del túnel hasta que éste haya sido negociado. Para mejorar la estabilidad del túnel, seleccione IKE keep-alive o Dead Peer Detection. No seleccione ambas.
Solamente los Firebox utilizan la configuración de IKE keep-alive. No la use si el extremo remoto es un dispositivo IPSec de terceros.
Cuando habilita IKE keep-alive, el Firebox envía un mensaje a un dispositivo de puerta de enlace remota en un intervalo regular y espera una respuesta. El intervalo de mensaje determina con qué frecuencia se envía un mensaje. Fallas máx. indica cuántas veces el dispositivo de puerta de enlace remota puede presentar fallas al responder antes de que el Firebox intente renegociar la conexión de Fase 1.
Dead Peer Detection es un estándar usado por la mayoría de los dispositivos IPSec. Seleccione la Dead Peer Detection si ambos dispositivos extremos la soportan.
Al activar la Dead Peer Detection, el Firebox monitorea el tráfico de túnel para identificar si un túnel está activo. Si no se activó el tráfico desde el punto remoto para el período de tiempo insertado en Tiempo de espera inactivo de tráfico, y se está esperando un paquete para enviarlo al punto, el Firebox envía una consulta. Si no hay respuesta después del número de Máx. reintentos, el Firebox renegocia la conexión de Fase 1. Para más informaciones acerca de Dead Peer Detection, vea http://www.ietf.org/rfc/rfc3706.txt.
Las configuraciones de IKE keep-alive y Dead Peer Detection forman parte de las configuraciones de Fase 1.
Para editar las configuraciones de Fase 1 desde Fireware Web UI:
- Seleccione VPN > BOVPN.
- Seleccione la puerta de enlace y haga clic en Editar.
- Seleccione la pestaña Configuraciones de Fase 1.
Para editar las configuraciones de Fase 1 desde Policy Manager:
- Seleccione VPN > Puertas de Enlace de Sucursal.
- Seleccione la puerta de enlace y haga clic en Editar.
- Seleccione la pestaña Configuraciones de Fase 1.
Los ajustes predeterminados para una VPN para sucursal IPSec proporcionan la mejor combinación de seguridad y velocidad. Use las configuraciones predeterminadas siempre que sea posible. Si un dispositivo extremo remoto no admite una de las configuraciones predeterminadas de WatchGuard, configure el Firebox para que utilice la configuración predeterminada del extremo remoto. Estos son los ajustes predeterminados para Fireware v12.0 o posterior:
Si un ajuste no aparece en las configuraciones de VPN, no podrá modificarlo.
| Configuración General | |
|---|---|
| Versión | IKEv1 |
| Modo | Principal (Seleccionar Agresivo si uno de los dispositivos posee una dirección IP externa dinámica). |
| NAT Traversal | Sí |
| Intervalo de keep-alive de NAT Traversal | 20 segundos |
| IKE Keep-alive | Deshabilitado |
| Intervalo de mensaje de IKE keep-alive | Ninguno |
| Fallas Máx. de IKE keep-alive | Ninguno |
| Dead Peer Detection (RFC3706) | Habilitado |
| Tiempo de espera inactivo de tráfico para Dead Peer Detection | 20 segundos |
| Máx. de reintentos de Dead Peer Detection | 5 |
| Configuraciones de Transformación de FASE 1 | |
|---|---|
| Algoritmo de autenticación | SHA2-256 |
| Algoritmo de cifrado | AES(256-bit) |
| Caducidad de negociación o duración de SA (horas) | 24 |
| Caducidad de negociación o duración de SA (kilobytes) | 0 |
| Grupo Diffie-Hellman | 14 |
| Configuraciones de Propuesta de FASE 2 | |
|---|---|
| Tipo | ESP |
| Algoritmo de autenticación | SHA2-256 |
| Algoritmo de cifrado | AES (256 bits) |
| Forzar caducidad de clave | Habilitar |
| Caducidad de Clave Fase 2 (horas) | 8 |
| Caducidad de Clave Fase 2 (kilobytes) | 128000 |
| Perfect Forward Secrecy (PFS) | Habilitado |
| Grupo Diffie-Hellman | 14 |
Si no hay tráfico a través del túnel durante un tiempo, un extremo de la puerta de enlace puede decidir que el otro no está disponible y no intentará renegociar el túnel VPN inmediatamente. Una forma de asegurar que el tráfico no deje de pasar por el túnel es configurar el Firebox para que envíe tráfico de mensaje de registro a través del túnel. No necesita que un Log Server reciba y mantenga los registros de tráfico. En este caso, se configura intencionalmente el Firebox para que envíe el tráfico de mensaje de registro a un Log Server que no existe. Esto crea un volumen de tráfico pequeño pero consistente enviado a través del túnel, lo cual puede ayudar a mantenerlo más estable.
Hay dos tipos de datos de registro: registro WatchGuard y registro syslog. Si el dispositivo está configurado para enviar datos de registro tanto al WatchGuard Log Server como al servidor de syslog, no se puede usar ese método para enviar el tráfico por el túnel.
Debe elegir una dirección IP del Log Server a la cual enviar los datos de registro. Para elegir la dirección IP, siga estas directrices:
- La dirección IP del Log Server que especifique debe ser una dirección IP que esté incluida en las configuraciones de ruta de túnel remoto.
Para obtener más información, consulte Agregar Rutas para un Túnel. - La dirección IP del Log Server no debería ser una dirección IP asignada a un dispositivo real.
Los dos tipos de registro generan diferentes volúmenes de tráfico.
Registro de WatchGuard
No se envía ningún dato de registro hasta que el Firebox se haya conectado a un Log Server. Los únicos tipos de tráfico enviados a través del túnel son intentos de conectase al Log Server, enviados a cada tres minutos. Esto puede ser un volumen de tráfico suficiente para ayudar en la estabilidad del túnel con un mínimo impacto sobre otro tráfico de BOVPN.
Registro de syslog
Los datos de registro se envían inmediatamente a la dirección IP del servidor de syslog. El volumen de datos de registro depende del tráfico que maneja el dispositivo. La generación de registros syslog suele generar bastante tráfico para que siempre estén pasando paquetes por el túnel. El volumen de tráfico ocasionalmente puede hacer que el tráfico normal de BOVPN sea más lento, pero esto no es común.
Para mejorar la estabilidad y generar el menor impacto sobre el tráfico de BOVPN, intente primero la opción de registro de WatchGuard. Si eso no mejora la estabilidad del túnel BOVPN, intente el registro de syslog. Los procedimientos en este tema suponen que ambos dispositivos extremos son dispositivos WatchGuard y que ningún extremo está configurado para enviar datos de registro ni al WatchGuard Log Server ni a un servidor de syslog. Si el extremo ya está configurado para enviar datos de registro que son recogidos por un servidor, no cambie esas configuraciones de registro.
A continuación, se brindan algunas de las opciones que puede intentar:
- Configurar un extremo para enviar tráfico de registro WatchGuard a través del túnel.
- Configurar el otro extremo para enviar tráfico de registro de WatchGuard a través del túnel.
- Configurar ambos extremos para enviar tráfico de registro de WatchGuard a través del túnel.
- Configurar un extremo para enviar tráfico de registro de syslog a través del túnel.
- Configurar sólo el otro extremo para enviar tráfico de registro de syslog a través del túnel.
- Configurar ambos extremos para enviar tráfico de registro de syslog a través del túnel.
Para configurar que su Firebox envíe datos de registro al WatchGuard Log Server a través del túnel, desde Fireware Web UI:
- Seleccione Sistema > Generación de Registros.
Aparece la página Generación de registros. - Marque la casilla de selección Enviar mensajes de registro a estos Log Servers Dimension o WSM.
- En la pestaña Log Servers 1, haga clic en Agregar.
Aparece el cuadro de diálogo WatchGuard Log Server. - En el cuadro de texto Dirección del Log Server, ingrese la dirección IP o nombre de dominio totalmente calificado (FQDN) del Log Server.
DNS debe estar habilitado para usar un FQDN para una dirección. - En los cuadros de texto Clave de Autenticación y Confirmar, ingrese la clave de autenticación para su instancia de Dimension o WSM Log Server. ¡Consejo!El rango permitido para la Clave de Autenticación de generación de registros es de 8 a 32 caracteres. Puede usar todos los caracteres, excepto los espacios o barras diagonales o invertidas (/ o \).
- Haga clic en Aceptar.
La dirección IP del servidor aparece en la lista Log Servers 1. - Haga clic en Guardar.
Para configurar que su Firebox envíe datos de syslog a través del túnel, desde Fireware Web UI:
- Seleccione Configurar > Generación de Registros.
Se muestra el cuadro de diálogo Configuración de Generación de Registros con la pestaña WatchGuard Log Server seleccionada. - Seleccione la pestaña Servidor Syslog.
- Marque la casilla de selección Enviar mensajes de registro al servidor syslog en esta dirección IP.
- En el cuadro de texto Dirección IP, ingrese la dirección IP del syslog.
- En el cuadro de texto Puerto, aparece el puerto del servidor syslog predeterminado (514). Para cambiar el puerto del servidor, ingrese o seleccione un puerto diferente para su servidor.
- En la lista desplegable Formato de Registro, seleccione Syslog o IBM LEEF.
Los detalles disponibles a incluir en los mensajes de registro dependen del formato del registro que seleccione. - Para incluir en los detalles de mensajes de registro la fecha y hora en que ocurre el evento en su Firebox, marque la casilla de selección Marca horaria.
- Para incluir el número de serie del Firebox en los detalles del mensaje de registro, marque la casilla de selección El número de serie del dispositivo.
- En la sección Configuración de Syslog, para cada tipo de mensaje de registro, seleccione una instalación de syslog de la lista desplegable.
Si selecciona el formato de registro IBM LEEF, debe marcar la casilla de selección Encabezado de syslog antes de poder seleccionar la instalación de syslog para los tipos de mensajes de registro.- Para mensajes de syslog de alta prioridad, como alarmas, seleccione Local0.
- Seleccione Local1–Local7 para asignar prioridades a otros tipos de mensajes de registro (los números inferiores tienen mayor prioridad).
- Para no enviar detalles para un tipo de mensaje, seleccione NINGUNO.
- Haga clic en Guardar.
Para configurar que su Firebox envíe datos de registro al WatchGuard Log Server a través del túnel, desde Policy Manager:
- Seleccione Configurar > Generación de Registros.
Aparece el cuadro de diálogo Configuración de Registros. - Marque la casilla de selección Enviar mensajes de registro a estos Log Servers Dimension o WSM.
- Haga clic en Configurar.
Aparece el cuadro de diálogo Configuración de Log Servers con la pestaña Log Servers 1 seleccionada. - En la pestaña Log Servers 1, haga clic en Agregar.
Aparece el cuadro de diálogo Agregar Procesador de Eventos. - En el cuadro de texto Dirección del Log Server, ingrese la dirección IP o nombre de dominio totalmente calificado (FQDN) del Log Server.
DNS debe estar habilitado para usar un FQDN para una dirección. - En los cuadros de texto Clave de Autenticación y Confirmar Clave, ingrese la clave de autenticación para su instancia de Dimension o WSM Log Server. ¡Consejo!El rango permitido para la Clave de Autenticación de generación de registros es de 8 a 32 caracteres. Puede usar todos los caracteres, excepto los espacios o barras diagonales o invertidas (/ o \).
- Haga clic en Aceptar.
El cuadro de diálogo Agregar Procesador de Evento se cierra y aparece la dirección IP del servidor en la lista Log Servers 1.
Para configurar que su Firebox envíe datos de syslog a través del túnel, desde Policy Manager:
-
Seleccione Configurar > Generación de Registros.
Aparece el cuadro de diálogo Configuración de Registros. - Marque la casilla de selección Enviar mensajes de registro a este servidor syslog.
- En el cuadro de texto de dirección IP, ingrese la dirección IP del syslog.
- Para cambiar el puerto del servidor, en el cuadro de texto Puerto, ingrese o seleccione el nuevo número de puerto.
El puerto predeterminado es el 514. - En la lista desplegable Formato de Registro, seleccione Syslog.
- Haga clic en Configurar.
Aparece el cuadro de diálogo "Configurar Syslog". Las opciones incluidas en el cuadro de diálogo dependen del formato de registro que haya seleccionado. - Para incluir la marca horaria de su Firebox en los detalles de mensajes de registro, marque la casilla de selección Marca horaria.
- Para incluir el número de serie del Firebox en los detalles del mensaje de registro, marque la casilla de selección El número de serie del dispositivo.
- Para cada tipo de mensaje de registro, seleccione un recurso de syslog:
- Para mensajes de syslog de alta prioridad, como alarmas, seleccione Local0.
- Seleccione Local1–Local7 para asignar prioridades a otros tipos de mensajes de registro (los números inferiores tienen mayor prioridad).
- Para no enviar detalles para un tipo de mensaje de registro, seleccione NINGUNO.
- Haga clic en Aceptar para cerrar el cuadro de diálogo Configuración de Syslog.
- Haga clic en Aceptar para cerrar el cuadro de diálogo Configuración de Generación de registros.
- Guardar el Archivo de Configuración.