Acerca de VPN Manuales para Sucursales IPSec

Una VPN (Red Privada Virtual) establece conexiones seguras entre equipos o redes en diferentes ubicaciones. Cada conexión es conocida como un túnel. Cuando se crea un túnel VPN, las dos extremidades del túnel autentican una a la otra. Los datos en el túnel están cifrados de tal manera que solo el remitente y el destinatario del tráfico pueden leerlos.

Una Red Privada Virtual de Sucursal (BOVPN) permite a las organizaciones ofrecer conectividad segura y cifrada entre oficinas separadas geográficamente. Las redes y los hosts en un túnel BOVPN pueden ser sedes corporativas, sucursales, extremos basados en la nube como Microsoft Azure o Amazon AWS, usuarios remotos o trabajadores a distancia. Las comunicaciones de BOVPN suelen contener tipos de datos críticos intercambiados dentro de un firewall corporativo. En ese panorama, una BOVPN ofrece conexiones confidenciales entre esas oficinas. Eso optimiza la comunicación, reduce el costo de líneas exclusivas y mantiene la seguridad en cada extremidad.

Los Túneles BOVPN Manuales ofrecen varias opciones adicionales de túneles. Otro tipo de túnel es un túnel BOVPN administrado, que es un túnel BOVPN que puede crear entre sus dispositivos administrados centralmente con el procedimiento de arrastrar y soltar o un asistente. Para obtener información sobre este tipo de túnel, vea Túneles VPN de Sucursales (WSM) Administrados.

Las VPN de sucursal de WatchGuard usan IPSec o TLS para proteger el túnel BOVPN. El túnel BOVPN debe conectarse a una interfaz externa del dispositivo en cada extremo del túnel.

Para obtener información general sobre cómo funcionan las VPN IPSec, consulte Cómo funcionan las VPN de IPSec. Para obtener información sobre las VPN TLS, consulte Acerca de VPN para Sucursales over TLS.

Requisitos y Planificación de BOVPN

Para crear una VPN de sucursal IPSec entre un Firebox y otra puerta de enlace VPN IPSec:

• Debe tener dos Firebox, o un Firebox y una puerta de enlace IPSec VPN de un tercero.
• Las dos puertas de enlace deben tener una interfaz externa con una conexión a Internet.
• Debe saber si la dirección IP asignada al otro dispositivo VPN es estática o dinámica. Si el otro dispositivo VPN tiene una dirección IP dinámica, su Firebox debe identificar al otro dispositivo por el nombre de dominio y el otro dispositivo debe usar DNS Dinámico para asociar el nombre de dominio con una dirección IP.
• El ISP para cada dispositivo VPN debe permitir el tráfico IPSec en sus redes.
  Algunos ISPs no permiten la creación de túneles VPN en sus redes salvo que actualice su servicio de Internet a un nivel que soporte túneles VPN. Para que la VPN funcione correctamente, asegúrese de que estos puertos y protocolos estén permitidos:
  • Puerto UDP 500 (Intercambio de Clave de Red o IKE)
  • Puerto UDP 4500 (NAT Traversal)
  • Protocolo IP 50 (Carga de seguridad de encapsulación o ESP)

Antes de configurar una VPN de sucursal, debe acordar los ajustes de la puerta de enlace VPN y del túnel que se usarán, y debe conocer las direcciones IP de las redes privadas a las que desea enviar y recibir el tráfico a través del túnel:

• Para usar IKEv2 entre dos Firebox, ambos Firebox deben usar Fireware v11.11.2 o superior.
• Para usar una clave precompartida como método de credencial, debe saber la clave compartida (contraseña) del túnel. La misma clave compartida debe ser usada por cada dispositivo. La clave compartida puede ser de hasta 79 caracteres de largo.
• Para usar un certificado como método de credencial, el mismo certificado debe estar instalado en ambos extremos.
• Se debe conocer el método de cifrado usado en el túnel (3DES, AES 128 bits, AES 192 bits o AES 256 bits). En Fireware v12.2 o posterior, también puede especificar AES-GCM (128 bits), AES-GCM (192 bits) o AES-GCM (256 bits). Los dos dispositivos de VPN deben usar el mismo método de cifrado.
• Debe conocer el método de autenticación para cada extremo del túnel (MD5, SHA-1, SHA2-256, SHA2-384, SHA2-512). Los dos dispositivos de VPN deben usar el mismo método de autenticación.
• Debe conocer las direcciones de red de las redes privadas (de confianza) detrás de su Firebox y de la red detrás del otro dispositivo VPN, así como sus subnet masks.
• Si cualquiera de las direcciones IP privadas de los equipos detrás de su Firebox son las mismas que las direcciones IP de los equipos en el otro lado del túnel VPN, puede utilizar la 1-to-1 NAT para enmascarar las direcciones IP para evitar un conflicto. Para obtener más información, consulte Configurar 1-to-1 NAT a través de un Túnel VPN de Sucursal.

Recomendamos que registre la información sobre la configuración del Firebox local y la información sobre la puerta de enlace VPN remota a la que desea conectarse. Vea Muestra de Cuadro de Información de Dirección de VPN para obtener una lista de la información para recolectar. También puede guardar o imprimir la configuración BOVPN para comparar los ajustes fácilmente. Para obtener más información, consulte Usar los Informes de Configuración de BOVPN.

Opciones de Configuración de Túnel BOVPN

Hay dos maneras de configurar un túnel BOVPN manual. El método que escoja determina cómo Firebox decide si debe enviar tráfico a través del túnel.

Configurar una Puerta de Enlace BOVPN y agregar Túneles BOVPN

Puede configurar una puerta de enlace BOVPN y agregar uno o más túneles BOVPN que usen esa puerta de enlace. Esta opción le permite establecer un túnel BOVPN entre dos Firebox, o entre un Firebox y otro dispositivo que use las mismas configuraciones de puerta de enlace y de túnel. Cuando use este método de configuración, el Firebox siempre enruta un paquete a través del túnel BOVPN si el origen y el destino del paquete coinciden con un túnel BOVPN configurado.

Para ver una demostración de cómo configurar puertas de enlace BOVPN y túneles en Policy Manager, vea el tutorial en video VPN para Sucursales (12 minutos).

Para más información sobre cómo configurar la puerta de enlace y el túnel, vea

• Configurar Puertas de Enlace BOVPN Manuales — Configurar los puntos de conexión tanto en el extremo local como en el extremo remoto del túnel.
• Definir un Túnel — Configurar las rutas de túneles y los ajustes de seguridad.

Configurar una Interfaz Virtual BOVPN

Para dispositivos WatchGuard que usen Fireware v11.8 o superior, puede configurar una BOVPN como una interfaz virtual BOVPN y luego agregar rutas a través de la interfaz virtual. Cuando usa este método de configuración, el Firebox enruta un paquete a través del túnel basado en la interfaz saliente para el paquete. Puede seleccionar una interfaz virtual BOVPN como destino cuando configura las políticas. La decisión sobre si Firebox envía tráfico a través del túnel VPN se ve afectada por rutas estáticas y dinámicas, y por enrutamiento basado en la política.

Para obtener más información, consulte Acerca de las Interfaces BOVPN Virtuales.

Personalizar Políticas del Túnel

Cuando configura un túnel BOVPN, Firebox automáticamente agrega túneles VPN nuevos a las políticas BOVPN-Allow.in y BOVPN-Allow.out. Estas políticas permiten que todo el tráfico use el túnel. Puede elegir no usar esa política y, en lugar de eso, crear políticas de VPN personalizadas para permitir sólo tráfico de tipos específicos a través del túnel. Para obtener más información, consulte Definir las Políticas del Túnel Personalizadas.

Túneles de una Dirección

Si desea crear un túnel VPN que permita que el tráfico fluya en una sola dirección, puede configurar el túnel para que utilice una NAT dinámica de salida. Eso puede ser útil cuando establece un túnel para un sitio remoto donde todo el tráfico de VPN viene desde una dirección IP pública. Para obtener más información, consulte Configurar una NAT Dinámica Saliente a través de un Túnel VPN para Sucursales.

Failover de VPN

Los túneles VPN automáticamente hacen la conmutación por error para la interfaz WAN de resguardo durante la conmutación por error de WAN. Puede configurar túneles BOVPN para hacer conmutación por error a un extremo de punto de resguardo si el extremo principal deja de estar disponible. Para configurar los ajustes de conmutación por error, debe definir, como mínimo, un extremo de respaldo, tal como se describe en Configurar Failover de VPN.

Configuraciones de VPN Global

Las configuraciones de VPN globales en su Firebox se aplican a todos los túneles BOVPN manuales, interfaces virtuales BOVPN, túneles administrados BOVPN y túneles de Mobile VPN. Puede usar esas configuraciones para:

• Activar puerto de transferencia IPSec
• Limpiar o mantener las configuraciones de paquetes con conjunto de bits de Tipo de Servicio (TOS)
• Habilitar el uso de rutas no predeterminadas para determinar si se usa IPSec
• Deshabilitar o Habilitar la política IPSec incorporada
• Usar un servidor de LDAP para verificar los certificados
• Configurar el Firebox para que envíe una notificación cuando un túnel BOVPN esté inactivo (sólo túneles BOVPN)

Para cambiar esas configuraciones, en el Policy Manager, seleccione VPN > Configuraciones de VPN. Para cambiar estas configuraciones, en Fireware Web UI, seleccione VPN > Configuraciones Globales. Para obtener más información sobre estas configuraciones, vea Acerca de los Ajustes de VPN Global.

Estado del Túnel BOVPN

Puede ver el estado actual de los túneles BOVPN en la pestaña Panel Delantero del Firebox System Manager o en la pestaña Estado del Dispositivo del WatchGuard System Manager cuando está conectado a su dispositivo. Para obtener más información, consulte Servicios de Suscripción y Estado del Túnel VPN.

Para ver el estado actual de los túneles BOVPN, en Fireware Web UI, seleccione Estado del Sistema > Estadísticas de VPN. Para obtener más información, consulte Estadísticas VPN.

Reingresar Clave de Túneles BOVPN

Si no desea esperar a que sus claves del túnel BOVPN caduquen, puede utilizar el Firebox System Manager para generar inmediatamente nuevas claves para sus túneles BOVPN. Para obtener más información, consulte Forzar la Regeneración de Clave de un Túnel VPN de Sucursales.

Ver también

Configurar 1-to-1 NAT a través de un Túnel VPN de Sucursal

VPN de Sucursal (Video)

Acerca de VPN para Sucursales over TLS

Danos tu Opinión  •   Obtener Soporte  •   Toda la Documentación del Producto  •   Búsqueda Técnica

© 2019 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.