Temas Relacionados
Definir los Extremos de la Puerta de Enlace para una Puerta de Enlace BOVPN
Los extremos de puerta de enlace son puertas de enlace locales y remotas conectadas por una BOVPN. La configuración de extremos de puerta de enlace le dice a su Firebox cómo identificar y comunicarse con el dispositivo de extremo remoto cuando negocia la BOVPN. También le dice al dispositivo cómo identificarse en el extremo remoto al negociar la BOVPN. Debe configurar por lo menos un par de extremos de puerta de enlace cuando agrega una puerta de enlace BOVPN.
Cualquier interfaz externa puede ser un extremo de puerta de enlace. Si el extremo remoto o local tiene más de una interfaz externa, puede configurar pares de extremos múltiples de puerta de enlace. Esto le permite al dispositivo conmutar por error a una conexión secundaria si la primaria no está disponible. Para obtener más información, consulte Configurar Failover de VPN.
En Fireware v12.2 o posterior, puede especificar una dirección IP de interfaz secundaria como extremo de la puerta de enlace. De forma predeterminada, se utiliza la dirección IP primaria configurada en la interfaz externa que especifique.
En Fireware v12.1.x o anterior, no utilice una dirección IP de interfaz secundaria como un extremo de puerta de enlace.
Si configura un extremo de puerta de enlace con una dirección IP de interfaz secundaria, la conexión BOVPN podría fallar si el Firebox local inicia la conexión BOVPN. Esto se debe a que Firebox inicia la conexión con la dirección IP de la interfaz principal. Si el extremo remoto inicia la conexión BOVPN y especifica la dirección IP de la interfaz secundaria, la conexión tiene éxito.
Si configura más de un par de extremos de puerta de enlace, asegúrese de que los extremos estén enumerados en el mismo orden en ambos extremos de los dispositivos.
Puerta de enlace local
En la sección Puerta de Enlace Local, configure la ID de la puerta de enlace y la interfaz externa a la cual la BOVPN se conecta en su Firebox.
Para la ID de la puerta de enlace, si tiene una dirección IP estática puede seleccionar Por Dirección IP. Si tiene un dominio que redirige a la dirección IP a la que se conecta la BOVPN en su Firebox, seleccione Por Información de Dominio.
- Crear o editar una Puerta de Enlace VPN para sucursal. Para obtener más información, consulte Configurar Puertas de Enlace BOVPN Manuales.
- En la página Puerta de Enlace, en la sección Extremo de Puerta de Enlace, haga clic en Agregar.
Aparece el cuadro de diálogo Configuraciones de Extremos de la nueva Puerta de Enlace.
- En la lista desplegable Interfaz externa, seleccione la interfaz que tiene la dirección IP externa (pública) del Firebox del Sitio A. Si configuró el cliente inalámbrico como una interfaz externa, seleccione la interfaz WG-Wireless-Client.
- (Fireware v12.2 o posterior) En la lista desplegable Dirección IP de la Interfaz, seleccione la Dirección IP de la Interfaz Primaria o seleccione una dirección IP secundaria que ya esté configurada en la interfaz externa seleccionada. ¡Consejo!La Dirección IP de la Interfaz Primaria es la dirección IP primaria que configuró en la interfaz externa seleccionada.
- Seleccione una opción y especifique el id. de la puerta de enlace:
- Por dirección IP — Ingrese la dirección IP primaria de la interfaz del Firebox. En Fireware v12.2 o posterior, si seleccionó una dirección IP secundaria de la lista desplegable Dirección IP de la Interfaz, esa dirección IP aparece automáticamente en el cuadro de texto Por Dirección IP.
En Fireware v12.1.x o anterior, no utilice una dirección IP de interfaz secundaria como la ID de la puerta de enlace. - Por Nombre de Dominio — Introduzca su nombre de dominio.
- Por ID de Usuario en Dominio — Introduzca el nombre de usuario y el dominio con el formato NombreUsuario@NombreDominio.
- Por Nombre x500 — Introduzca el nombre x500.
- Por dirección IP — Ingrese la dirección IP primaria de la interfaz del Firebox. En Fireware v12.2 o posterior, si seleccionó una dirección IP secundaria de la lista desplegable Dirección IP de la Interfaz, esa dirección IP aparece automáticamente en el cuadro de texto Por Dirección IP.
- Crear o editar una puerta de enlace VPN para sucursal. Para obtener más información, consulte Configurar Puertas de Enlace BOVPN Manuales.
- En la página Agregar Puerta de Enlace, en la sección Extremos de la Puerta de Enlace, haga clic en Agregar.
Aparece el cuadro de diálogo Configuraciones de Extremos de la nueva Puerta de Enlace.
- En la lista desplegable Interfaz externa, seleccione la interfaz que tiene la dirección IP externa (pública) del Firebox del Sitio A. Si configuró el cliente inalámbrico como una interfaz externa, seleccione la interfaz WG-Wireless-Client.
- (Fireware v12.2 o posterior) Para especificar una dirección IP, en la lista desplegable Dirección IP de la Interfaz, seleccione la Dirección IP de la Interfaz Primaria o seleccione una dirección IP secundaria que ya esté configurada en la interfaz externa seleccionada. ¡Consejo!La Dirección IP de la Interfaz es la dirección IP primaria que configuró en la interfaz externa seleccionada.
- Seleccione una opción y especifique el id. de la puerta de enlace:
- Por dirección IP — Ingrese o seleccione la dirección IP primaria de la interfaz de Firebox. En Fireware v12.2 o posterior, si seleccionó una dirección IP secundaria de la lista desplegable Dirección IP de la Interfaz, esa dirección IP aparece automáticamente en el cuadro de texto Por Dirección IP.
En Fireware v12.1.x o anterior, no utilice una dirección IP de interfaz secundaria como la ID de la puerta de enlace. - Por Información de Dominio — Haga clic en Configurar y seleccione el método de configuración de dominio. Seleccione Por Nombre de Dominio o Por ID de Usuario en Dominio.
- Por Nombre de Dominio — Introduzca su nombre de dominio y haga clic en Aceptar.
- Por ID de Usuario en Dominio — Ingrese el nombre de usuario y dominio con el formato NombreUsuario@NombreDominio y haga clic en Aceptar.
- Por dirección IP — Ingrese o seleccione la dirección IP primaria de la interfaz de Firebox. En Fireware v12.2 o posterior, si seleccionó una dirección IP secundaria de la lista desplegable Dirección IP de la Interfaz, esa dirección IP aparece automáticamente en el cuadro de texto Por Dirección IP.
Puerta de enlace remota
Puede configurar la dirección IP de puerta de enlace y la ID de la puerta de enlace para el dispositivo de extremo remoto al que se conecta el BOVPN. La dirección IP de puerta de enlace puede ser una dirección IP estática o una dinámica. La ID de la puerta de enlace puede ser Por Nombre de Dominio, Por ID de Usuario en Dominio o Por Nombre x500. El administrador del dispositivo de puerta de enlace remota selecciona qué tipo de ID de puerta de enlace utilizar.
Si el extremo de la VPN remota obtiene su dirección IP externa de DHCP o PPPoE, defina el tipo de ID de la puerta de enlace remota como Nombre de Dominio. Defina el campo del nombre del punto en nombre de dominio totalmente cualificado del extremo de la VPN remota. El Firebox usa la dirección IP y el nombre de dominio para encontrar el extremo de VPN. Asegúrese de que el servidor DNS que usa el dispositivo pueda identificar el nombre.
- En el cuadro de diálogo Ajustes de Extremo de Puerta de Enlace, seleccione la pestaña Puerta de Enlace Remota.
- Seleccione el tipo de dirección IP de puerta de enlace remota:
- Dirección IP estática — Seleccione esta opción si el dispositivo remoto tiene una dirección IP estática. Ingrese o seleccione la dirección IP.
- Dirección IP dinámica — Seleccione esta opción si el dispositivo remoto tiene una dirección IP dinámica.
- Seleccione una opción y especifique la ID de la puerta de enlace remota:
- Por dirección IP — Introduzca la dirección IP.
- Por Nombre de Dominio — Introduzca el nombre de dominio.
- Por ID de Usuario en Dominio — Introduzca la ID de usuario y el dominio.
- Por Nombre x500 — Introduzca el nombre x500.
- Si el nombre de dominio del extremo remoto se puede resolver, marque la casilla de selección Intentar resolver dominio.
Cuando se selecciona esta opción, el dispositivo automáticamente realiza una búsqueda de DNS para encontrar la dirección IP asociada con el nombre de dominio para el extremo remoto. Las conexiones no se realizan hasta que se pueda resolver el nombre de dominio. Marque esta casilla de verificación para las configuraciones que dependan de un servidor DNS dinámico para mantener una aplicación entre una dirección IP dinámica y un nombre de dominio.
- Haga clic en Aceptar.
Aparece el par de la puerta de enlace definido en la lista de extremos de la puerta de enlace. - Para configurar la Fase 1 de esta puerta de enlace, siga los pasos en Configurar los Ajustes de Fase 1 IPSec VPN.
- Seleccione el tipo de dirección IP de puerta de enlace remota:
- Dirección IP estática — Seleccione esta opción si el dispositivo remoto tiene una dirección IP estática. Ingrese o seleccione la dirección IP.
- Dirección IP dinámica — Seleccione esta opción si el dispositivo remoto tiene una dirección IP dinámica.
- Seleccione una opción y especifique el id. de la puerta de enlace:
- Por dirección IP — Introduzca la dirección IP o selecciónela de la lista desplegable.
- Por información de dominio
- Haga clic en Configurar y seleccione el método de configuración del dominio: Nombre de dominio, ID de Usuario @ Dominio o Nombre x500.
- Introduzca el nombre, la ID de usuario y el dominio o el nombre x500.
- Si el nombre de dominio del extremo remoto se puede resolver, marque la casilla de selección Intentar resolver.
Cuando se selecciona esta opción, el dispositivo automáticamente realiza una búsqueda de DNS para encontrar la dirección IP asociada con el nombre de dominio para el extremo remoto. Las conexiones no se realizan hasta que se pueda resolver el nombre de dominio. Marque esta casilla de verificación para las configuraciones que dependan de un servidor DNS dinámico para mantener una aplicación entre una dirección IP dinámica y un nombre de dominio. - Haga clic en Aceptar.
- Haga clic en Aceptar para cerrar el cuadro de diálogo Ajustes de los Extremos de la Nueva Puerta de Enlace.
Aparece el par de la puerta de enlace definido en la lista de extremos de la puerta de enlace. - Para usar la configuración de Fase 1 distinta a los valores predeterminados, siga los pasos en Configurar los Ajustes de Fase 1 IPSec VPN. De lo contrario, haga clic en Aceptar.
Configuraciones Avanzadas
Puede configurar estas opciones en la pestaña Ajustes Avanzados:
Diferente clave precompartida
En Fireware v11.12.2 o posterior, puede especificar diferentes claves precompartidas para cada extremo de puerta de enlace. Puede seleccionar esta opción si configura una VPN entre un Firebox y un extremo de terceros, y el extremo de terceros requiere que cada extremo de puerta de enlace tenga una clave precompartida diferente.
Bit DF
El bit Don't Fragment (DF) es un indicador en el encabezado de un paquete. Puedes seleccionar Copiar, Configurar o Borrar para controlar si el Firebox usa el ajuste original del Bit DF en el encabezado del paquete:
La configuración de DF bit en Fireware Web UI
La configuración de DF bit en Policy Manager
- Copiar — Esta opción aplica el ajuste del Bit DF del marco original al paquete cifrado IPSec.
Si un marco no tiene configurados bits DF, el Firebox no configura los bits DF y fragmenta el paquete si es necesario. Si un marco está configurado para no ser fragmentado, el Firebox encapsula el marco completo y configura los bits DF del paquete cifrado para que coincida con el marco original. - Configurar — Esta opción le indica al Firebox que no fragmente el marco independientemente del ajuste del bit original.
Si un usuario debe realizar conexiones IPSec a un Firebox desde detrás de un Firebox diferente, debe desmarcar esta casilla de selección para activar la función de puerto de transferencia de IPSec. Por ejemplo, si los empleados móviles se encuentran en una ubicación de cliente que tiene un Firebox, pueden realizar conexiones IPSec a su red con IPSec. Para que su Firebox local permita correctamente la conexión IPSec saliente, también se debe agregar una política IPSec. - Borrar — Esta opción divide el marco en partes que puedan contenerse en un paquete IPSec con el encabezado ESP o AH, independientemente del ajuste del bit original.
En Fireware v.12.2 o anterior, solo puede configurar el ajuste del Bit DF en los ajustes de la interfaz externa.
En Fireware v12.2.1 o posterior, puede configurar el ajuste del Bit DF en los ajustes del extremo de la puerta de enlace BOVPN. Este ajuste tiene efecto inmediatamente. El ajuste del Bit DF especificado para el extremo de la puerta de enlace anula el ajuste del Bit DF especificado para la interfaz externa.
Si no especifica un ajuste del Bit DF para el extremo de la puerta de enlace, el extremo de la puerta de enlace utiliza el ajuste del Bit DF especificado en los ajustes de la interfaz externa. Para obtener más información sobre el ajuste del Bit DF en los ajustes de la interfaz externa, consulte
PMTU
La Path Maximum Transmission Unit (PMTU) controla la cantidad de tiempo en que Firebox disminuye la unidad máxima de transmisión (MTU) para un túnel VPN IPSec cuando recibe un paquete de Solicitud de ICMP para Fragmentar desde un enrutador con una configuración de MTU más baja en Internet.
En Fireware v12.2.1 o posterior, puede configurar los ajustes de PMTU en los ajustes del extremo de la puerta de enlace BOVPN. Los ajustes de PMTU especificados para el extremo de la puerta de enlace anulan los ajustes de PMTU especificados para la interfaz externa. Si no especifica los ajustes de PMTU para el extremo de la puerta de enlace, el extremo de la puerta de enlace utiliza los ajustes de PMTU especificados en los ajustes de la interfaz externa.
Recomendamos mantener la configuración predeterminada. Esto puede protegerlo contra un enrutador en Internet con una configuración de MTU muy baja.
La configuración de PMTU en la Fireware Web UI
La configuración de PMTU en Policy Manager