Configurar Management Tunnel

Si tiene Fireboxes remotos que están detrás de un dispositivo de puerta de enlace NAT, para permitir que sus Fireboxes se conecten a su WSM Management Server, puede configurar un Túnel de Administración.

Antes de Empezar

Asegúrese de seguir atentamente las instrucciones en cada sección para configurar correctamente el Túnel de Administración.

Para utilizar los Túneles de Administración para las conexiones a sus dispositivos remotos, debe:

1. Configurar su Firebox de puerta de enlace como el dispositivo concentrador para el Túnel de Administración antes de habilitar los Túneles de Administración en sus dispositivos remotos.
2. Instalar cada dispositivo remoto y agregarlo a su Management Server como un dispositivo administrado.
3. Asegurarse de que la dirección IP privada del Management Server esté incluida en la lista Dirección IP de Distribución y en el cuadro de diálogo Configuración de Dispositivos Administrados, según lo descrito en la sección Recursos Management Tunnel over SS del tema Acerca de Management Tunnel.
4. Configurar los dispositivos remotos para permitir un Túnel de Administración desde cada dispositivo remoto (spoke) al dispositivo concentrador.

Antes de que comience los procedimientos para configurar un Túnel de Administración, asegúrese de haber leído todo el tema Acerca de Management Tunnel.

Configurar el Firebox de Puerta de Enlace del Túnel de Administración

Cuando configura un Túnel de Administración, su dispositivo Firebox de puerta de enlace debe configurarse antes de ajustar los dispositivos remotos. La dirección IP externa del Firebox de puerta de enlace no debe tener una dirección dinámica. Puede elegir utilizar IPSec, SSL o una combinación de ambas, para asegurar los Túneles de Administración de su Firebox de puerta de enlace. Las opciones de configuración son diferentes para cada opción de seguridad.

Para configurar el Túnel de Administración en su Firebox de puerta de enlace:

1. En WSM, conéctese a su Management Server
2. Expanda el árbol Dispositivos y seleccione el dispositivo que tiene como Firebox de puerta de enlace.
   Aparece la página Dispositivos.
3. En la sección Información del Dispositivo, haga clic en Configurar.
   El cuadro de diálogo Propiedades del Dispositivo aparece con la pestaña Configuraciones de Conexión seleccionada.

4. Asegúrese de que no esté marcada la casilla de selección El dispositivo tiene dirección IP externa dinámica (DHCP, PPPoE).
5. Desde la lista desplegable Túnel de Administración, seleccione Servidor.
   Aparece la pestaña de Configuraciones del Management Tunnel.

6. De la lista desplegable Tipo de Túnel, seleccione una opción de seguridad para el túnel:
   • Sólo IPSec
   • Solo SSL
   • IPSec o SSL
7. Ajuste las configuraciones para el Tipo de Túnel que seleccionó:
   • Solo IPSec

   

   1. En la lista desplegable Recurso VPN, seleccione el recurso VPN para la red de administración donde su Management Server está instalado.
      Por ejemplo, seleccione Red de Confianza.
   2. En la lista desplegable Plantilla de Seguridad, seleccione la plantilla de seguridad que se usará para el Túnel de Administración.
   • Sólo SSL

   

   1. En la lista desplegable Recurso VPN, seleccione el recurso VPN para la red de administración donde su Management Server está instalado.
      Por ejemplo, seleccione Red de Confianza.
   2. En el cuadro de texto Grupo de Administración desde Dirección IP, ingrese la dirección IP de la red que desea usar para el Management Tunnel. ConsejoAsegúrese de que la dirección IP privada del Management Server esté incluida en la lista de Dirección IP de Distribución y en el cuadro de diálogo Configuraciones de Dispositivos Administrados según lo descrito en la sección “Túnel de Administración por Recursos SSL”. Si utiliza una dirección IP de red diferente de la dirección ya especificada para el Grupo de Direcciones IP Virtuales, la nueva dirección IP de la red también será utilizada para la configuración del Mobile VPN with SSL, lo que podría causar problemas con sus conexiones Mobile VPN with SSL.
      Si se ha habilitado Mobile VPN with SSL en la configuración de la Firebox de puerta de enlace, asegúrese de utilizar la misma dirección IP especificada en la configuración del Mobile VPN with SSL para el grupo de direcciones IP virtuales.
   3. En la sección Dirección IP/Nombre del Servidor SSL, ingrese la dirección IP de los servidores SSL (opcionales) Primario y de Respaldo.
   • IPSec o SSL

   

   1. En la lista desplegable Recurso VPN, seleccione el recurso VPN para la red de administración donde su Management Server está instalado.
      Por ejemplo, seleccione Red de Confianza. ¡Consejo!Recomendamos que no seleccione el recurso VPN de Red de Concentrador. Cuando selecciona el recurso VPN de Red de Concentrador, todo el tráfico a Internet se envía a través del Túnel de Administración, lo que resulta en un Internet más lento para el sitio remoto.
   2. En la lista desplegable Plantilla de Seguridad, seleccione la plantilla de seguridad que se usará para el Túnel de Administración.
   3. En el cuadro de texto Grupo de direcciones IP virtuales, ingrese la dirección IP que desea usar para el Túnel de Administración.
      Asegúrese de especificar una dirección IP desde la subred que seleccionó para la Red de Administración.
   4. En la sección Dirección IP/Nombre del Servidor SSL, ingrese la dirección IP de los servidores SSL (opcionales) Primario y de Respaldo.

8. Para permitir que se envíen mensajes de registro al tráfico a través de este Túnel de Administración, marque la casilla de selección Permitir registro para este túnel.

Ejemplo de las configuraciones completadas del Túnel de Administración para un túnel Solo de SSL.

9. Haga clic en Aceptar para guardar sus cambios.

Cuando la concesión del dispositivo Firebox de puerta de enlace caduque, el Firebox contacta al Management Server para obtener los nuevos detalles de configuración. El Firebox está entonces disponible como la puerta de enlace del Túnel de Administración (el dispositivo concentrador) en el lado de la red de administración del Túnel de Administración. Para un Túnel de Administración con IPSec, si deshabilita el Túnel de Administración en el dispositivo concentrador, el Management Server ejecutará automáticamente una tarea de concesión de caducidad para el dispositivo concentrador.

Implementar Dispositivos Remotos

El proceso de implementación para sus Firebox remotos incluye dos pasos:

1. Configuración inicial del dispositivo remoto.
2. Agregar el dispositivo remoto a la administración.

Paso 1 — Configurar el Dispositivo Remoto

Antes de implementar sus dispositivos remotos detrás de la puerta de enlace NAT del Firewall de terceros, cada dispositivo debe estar configurado correctamente.

1. Inicie el Quick Setup Wizard para un dispositivo con las configuraciones predeterminadas de fábrica.
2. Complete el Quick Setup Wizard:
   • Apunte el nombre y las contraseñas que asigne al dispositivo.
   • Configure la interfaz externa a DHCP o PPPoE.
   • Ajuste las configuraciones del Management Server:
     • Especifique la dirección IP privada del Management Server como aparece en las configuraciones del Management Server.
       Asegúrese de que la dirección IP privada del Management Server sea la primera dirección IP incluida en las configuraciones del Management Server, en la lista Dirección IP de Distribución.
       Para obtener más información, consulte Configurar la Autoridad de Certificación en el Management Server.
     • Anote el secreto compartido

   Por defecto, cuando el Management Server actualiza el dispositivo remoto, la dirección IP que aparece en la lista Dirección IP de Distribución se agrega a las configuraciones del dispositivo. Si la dirección IP privada del Management Server no es la primera dirección IP incluida en la lista, la dirección IP privada del Management Server que especificó en el asistente es eliminada de las configuraciones del dispositivo, y cuando se construye el túnel, el dispositivo no puede comunicarse con el Management Server. Para evitar esto, debe asegurarse de incluir la dirección IP privada del Management Server en la lista Dirección IP de Distribución. Para obtener más información, consulte la sección Túnel de Administración por Recursos SSL en Acerca de Management Tunnel.

Para obtener más información sobre los pasos para completar el Quick Setup Wizard, consulte Acerca de los Asistentes de Configuración (Setup Wizards) de Firebox.

Paso 2 — Agregar el Dispositivo Remoto a la Administración

Después de configurar su dispositivo remoto, debe agregar el dispositivo al Management Server de modo que pueda administrarse después de ser instalado en la ubicación remota.

1. En WSM, conéctese a su Management Server
2. Haga clic con el botón derecho en la carpeta Dispositivos y seleccione Insertar Dispositivo.
   Aparece el Add Device Wizard.
3. Haga clic en Siguiente para iniciar el asistente.
   Aparece la página Ingresar la dirección IP y la contraseña del dispositivo.
4. Seleccione No conozco la dirección IP actual del dispositivo asignada dinámicamente (DHCP/PPoE). Haga clic en Siguiente.
   Aparece la página Ingresar un nombre para el dispositivo.
5. Ingrese el nombre del dispositivo y el secreto compartido que especificó para el dispositivo en el Paso 1. Haga clic en Siguiente.
   Aparece la página Ingrese el estado del dispositivo y las contraseñas de configuración.
6. Ingrese el estado y las contraseñas de configuración que especificó para el dispositivo remoto en el Paso 1. Haga clic en Siguiente.
   Aparece la página Seleccione método de autenticación de túnel.
7. Seleccione Clave compartida autogenerada. Haga clic en Siguiente.
8. Complete el asistente.

Una vez que el asistente finaliza, puede implementar su dispositivo remoto. Cuando conecta el dispositivo a la alimentación eléctrica y a Internet, éste contacta al Management Server para obtener el archivo de configuración final del dispositivo, y cualquier actualización pendiente se aplica al mismo.

Recomendamos que antes de enviar el dispositivo a la ubicación remota, complete los pasos para configurar un Túnel de Administración para el dispositivo. Cuando los Túneles de Administración están habilitados en el dispositivo antes que éste se implemente, todas las opciones de administración están disponibles tan pronto como se implemente el dispositivo.

Si su dispositivo remoto también tiene habilitada la función de Access Portal, asegúrese de que la política WatchGuard SSLVPN generada automáticamente incluya la interfaz para el recurso VPN que seleccionó para el Management Tunnel over SSL (por ejemplo, el alias Cualquiera-Externo) en la lista Desde de la política.

Si no configura los ajustes del Túnel de Administración para el dispositivo antes de instalarlo en una ubicación remota, las opciones de administración están limitadas. Las conexiones directas al dispositivo no están permitidas, pero las siguientes funciones están disponibles:

• Generación de registros y presentación de informes
• Monitoreo de latido
• VPN Arrastrar y Soltar
• Configuración de Policy Manager (sólo Modo Totalmente Administrado)
• Actualizaciones de las Plantillas de Configuración de Dispositivos (sólo Modo Totalmente Administrado)

Configurar un Dispositivo Remoto con Túnel de Administración

Después de habilitar el Firebox de puerta de enlace como el dispositivo concentrador de la puerta de enlace del Túnel de Administración, debe usar la información del Firebox de puerta de enlace para configurar cada Firebox remoto (dispositivo spoke). Los ajustes de la configuración para cada dispositivo remoto son diferentes para un Management Tunnel over IPSec y un Management Tunnel over SSL.

La Identificación del túnel SSL y la contraseña se incluyen en los ajustes de configuración de un Túnel de Administración por SSL. Usted especifica los valores para estos ajustes cuando configura el dispositivo remoto. El Management Server entonces actualiza la configuración del Firebox de puerta de enlace con la identificación del túnel SSL y la contraseña.

Para habilitar un Túnel de Administración para un dispositivo remoto:

1. En WSM, conéctese a su Management Server
2. Expanda el árbol Dispositivos y seleccione uno de sus dispositivos remotos.
   Aparece la página Dispositivos.
3. En la sección Información del Dispositivo, haga clic en Configurar.
   El cuadro de diálogo Propiedades del Dispositivo aparece con la pestaña Configuraciones de Conexión seleccionada.
4. Asegúrese de que la casilla de selección El dispositivo tiene una dirección IP externa dinámica (DHCP, PPPoE) esté marcada.

5. En la lista desplegable Management Tunnel, seleccione Cliente.
   Aparece la pestaña de Configuraciones del Management Tunnel.

6. De la lista desplegable Dispositivo Concentrador, seleccione el nombre del Firebox de puerta de enlace que configuró como dispositivo concentrador del Management Tunnel en la sección anterior.
7. De la lista desplegable Tipo de Túnel, seleccione el mismo tipo de túnel que especificó en el dispositivo concentrador del Túnel de Administración para este Túnel de Administración:
   • IPSec
   • SSL

   Sólo aparecerán las opciones de tipo de túnel que especificó para el Túnel de Administración en el dispositivo concentrador en la lista Tipo de Túnel.

8. Ajuste las configuraciones para el Tipo de Túnel que seleccionó:
   • SSL

   1. En el cuadro de texto Identificación del Túnel SSL, ingrese el Nombre del Dispositivo del dispositivo remoto, u otro nombre único para el Management Tunnel por SSL.
   2. En el cuadro de texto Contraseña del Túnel SSL, ingrese la contraseña que el dispositivo remoto debe usar para el Management Tunnel over SSL.

   

   El Management Server también actualizará la configuración del Firebox de puerta de enlace con estas configuraciones de autenticación.

   • IPSec

   En el cuadro de texto Dirección IP de Administración, ingrese la dirección IP de administración para su red de administración.
   Para obtener más información sobre la dirección IP de administración, consulte los detalles para un Management Tunnel over IPSec.

9. Haga clic en Aceptar.
   Se actualizan las propiedades del dispositivo.

Caducar la Concesión

Si completa la configuración del dispositivo remoto antes de implementar el dispositivo en la ubicación remota, el Túnel de Administración se crea tan pronto como el dispositivo se encienda y se conecte a Internet. Si no completa la configuración del dispositivo remoto hasta después de que el dispositivo haya sido implementado, la nueva configuración toma efecto en el dispositivo remoto cuando la concesión del dispositivo caduca y consulta con el Management Server para obtener la información actualizada. Esto puede tomar hasta una hora. Después de que la configuración inicial está completa, cada vez que el dispositivo remoto contacta al Management Server para solicitar una actualización de configuración, el Management Server modifica el archivo de configuración del dispositivo remoto para agregar o actualizar detalles para el Túnel de Administración.

Las rutas del túnel para el Management Tunnel over IPSec están configuradas para usar estas direcciones IP:

• Local — 1-to-1 NAT de la dirección IP de la interfaz de confianza a la dirección IP de administración
• Remoto — Recurso VPN de dispositivo concentrador

Si hace un cambio a las direcciones IP de confianza u opcionales en un dispositivo remoto, y esta dirección IP es usada por un Management Tunnel over IPSec, éste se desactiva y debe reactivarse. Si el dispositivo está en Modo Totalmente Administrado, se realiza la actualización de configuración del dispositivo remoto de manera automática la siguiente vez que contacta al Management Server para obtener la información más reciente. Recomendamos que configure todos sus dispositivos remotos que se usan en un Management Tunnel over IPSec en Modo Totalmente Administrado.

Para un Túnel de Administración por SSL, las direcciones IP se eligen del grupo de direcciones IP y pueden cambiar cada vez que se activa el túnel.

Si el dispositivo está en Modo Básico Administrado, debe forzar al dispositivo remoto a que contacte al Management Server para obtener la actualización antes que el Túnel de Administración pueda reactivarse. Una vez que los detalles de configuración se han cambiado, pero antes de actualizar el Túnel de Administración, las opciones de administración del dispositivo son limitadas, como se describió en la sección anterior.

Para forzar a un dispositivo remoto en Modo Básico Administrado a que contacte al Management Server:

1. En WSM, en la página Dispositivo para su dispositivo remoto, haga clic en Configurar.
   Aparece el cuadro de diálogo Propiedades del Dispositivo.
2. No haga ningún cambio en la configuración. Haga clic en Aceptar.
3. En la página Dispositivo para el dispositivo remoto, haga clic en Caducar Concesión para avisar al dispositivo que debe contactar al Management Server para obtener información actualizada.

Cuando el dispositivo remoto contacta al Management Server, recibe la información actualizada del Túnel de Administración y éste se reactiva.

Configurar un Dispositivo Remoto para un Management Tunnel over SSL

Si su Firebox remoto ya está implementado en una ubicación remota detrás de un dispositivo NAT de terceros y desea habilitar un Management Tunnel over SSL para el dispositivo remoto, puede conectarse directamente a éste para ajustar manualmente las Configuraciones de Dispositivos Administrados para el dispositivo remoto. Esta opción es útil cuando el dispositivo remoto no puede entrar en contacto con el Management Server a través del Management Tunnel over SSL porque la conexión está bloqueada por el dispositivo NAT de terceros.

Antes de que complete los pasos en este procedimiento para configurar su dispositivo remoto para un Management Tunnel over SSL, debe completar los pasos en la sección Paso 2 — Agregar el Dispositivo Remoto a la Administración para agregar su dispositivo al Management Server.

Para configurar el Firebox remoto para un Management Tunnel over SSL, en Policy Manager:

1. Inicie el Policy Manager para el dispositivo remoto.
2. Seleccione Ajustes > Configuración del Dispositivo Administrado.
3. Asegúrese de que la casilla de selección Habilitar Centralized Management esté seleccionada.
4. Seleccione la pestaña Management Tunnel.
5. Marque la casilla de selección Usar un túnel SSL para la administración remota.

6. En el cuadro de texto Servidor SSL , ingrese la dirección IP del Servidor OpenVPN.
   Esta es la dirección IP de su Túnel de Administración del Firebox de puerta de enlace (dispositivo concentrador).
7. En el cuadro de texto Identificación del Túnel SSL, ingrese el Nombre del Dispositivo del dispositivo remoto, u otro nombre único para el Management Tunnel over SSL.
8. En el cuadro de texto Contraseña del Túnel SSL, ingrese la contraseña que debe utilizar para el Management Tunnel over SSL.
9. Haga clic en Aceptar.
10. Guarde la configuración en el dispositivo remoto.

Para configurar el Firebox remoto para un Management Tunnel over SSL, en la Fireware Web UI:

1. Conéctese al Fireware Web UI para el dispositivo remoto.
2. Seleccione Sistema > Dispositivo Administrado.
3. Asegúrese de que la casilla de selección Habilitar Centralized Management esté seleccionada.
4. Seleccione la pestaña Management Tunnel.
5. Marque la casilla de selección Usar un túnel SSL para la administración remota.
6. En el cuadro de texto Servidor SSL , ingrese la dirección IP del Servidor OpenVPN.
   Esta es la dirección IP de su Túnel de Administración del Firebox de puerta de enlace (dispositivo concentrador).
7. En el cuadro de texto Identificación del Túnel SSL, ingrese el Nombre del Dispositivo del dispositivo remoto, u otro nombre único para el Management Tunnel por SSL.
8. En el cuadro de texto Contraseña del Túnel SSL, ingrese la contraseña que debe utilizar para el Túnel de Administración por SSL.

9. Haga clic en Guardar.

También puede utilizar la Fireware Web UI o la Command Line Interface de WatchGuard para configurar el dispositivo remoto para un Túnel de Administración por SSL. Para obtener más información, consulte la Ayuda de Fireware Web UI o la Referencia de la Command Line Interface.

Verificar el Estado del Túnel de Administración

Después de que el Túnel de Administración se active entre el Túnel de Administración del Firebox (concentrador) de puerta de enlace y el Firebox remoto (spoke), podrá ver el estado del Túnel de Administración en la pestaña Panel Delantero del Firebox System Manager para el dispositivo concentrador o spoke.

Para obtener más información acerca de cómo utilizar la pestaña Panel Delantero, consulte Estado del Dispositivo Básico y de la Red (Panel Delantero).

Cuando se conecta con el Management Server en WSM y selecciona uno de los dispositivos administrados en cualquier extremo del Túnel de Administración, la página dispositivo aparece con la sección Información del Túnel de Administración, que incluye la siguiente información sobre las configuraciones del Túnel de Administración:

• Tipo — Solo IPSec, Solo SSL, o IPSec o SSL
• Dispositivo Concentrador — El nombre del dispositivo concentrador
• Identificación del Túnel — El nombre del Management Tunnel

Para obtener más información acerca de la página dispositivo, consulte Acerca de la Página Administración del Dispositivo.

Revisar la Lista de Miembros del Cliente

En las propiedades del dispositivo para el dispositivo concentrador (Firebox de puerta de enlace), puede ver una lista de todos los dispositivos del cliente (dispositivos remotos) configurados para los Túneles de Administración hacia el dispositivo concentrador. El cuadro de diálogo Propiedades del Dispositivo del dispositivo concentrador incluye dispositivos que utilizan tanto SSL como IPSec para activar un Túnel de Administración.

Si Mobile VPN with SSL está activado para su dispositivo concentrador, y ha configurado los Túneles de Administración por SSL para su dispositivo concentrador, también puede ver la lista de los dispositivos del cliente que se conectan al dispositivo concentrador con un Túnel de Administración por SSL.

Ver Todos los Miembros del Cliente

Para revisar la lista de los miembros del cliente para los Túneles de Administración hacia el dispositivo concentrador (Firebox de puerta de enlace):

1. En WSM, en la página Dispositivo para su dispositivo concentrador, haga clic en Configurar.
   Aparece el cuadro de diálogo Propiedades del Dispositivo.
2. Seleccione la pestaña Configuraciones del Túnel de Administración.
   Las configuraciones del Túnel de Administración aparecen.

3. Haga clic en Miembros del Cliente.
   Aparece el cuadro de diálogo miembros del Cliente.

4. Revisar la lista de dispositivos del cliente.
5. Haga clic en Cerrar.

Ver Miembros del cliente del Management Tunnel over SSL

Si su dispositivo concentrador está configurado para un Túnel de Administración por SSL, en la parte superior del cuadro de diálogo Configuración de Mobile VPN with SSL, aparece un mensaje que indica que la función Túnel de Administración está habilitada, con el botón Miembros del Cliente.

Para revisar la lista de los miembros del cliente para el Management Tunnel over SSL hacia el dispositivo concentrador (Firebox de puerta de enlace):

1. Haga clic en Miembros del Cliente.
   Aparece el cuadro de diálogo Miembros del Cliente.

2. Revisar la lista de dispositivos del cliente.
3. Haga clic en Aceptar.

Administrar un Dispositivo Remoto

Después de que haya configurado un Túnel de Administración para su Firebox remoto, puede utilizar WSM en el equipo de administración de su red de administración (donde están instalados su Management Server y el cliente de WSM), para conectarse con el dispositivo remoto y realizar cambios en la configuración del dispositivo remoto.

Para realizar cambios en la configuración de un dispositivo remoto desde un equipo que no sea el equipo de administración dentro de su red de administración (como desde una ubicación remota o desde un equipo en una subred distinta), debe hacer una conexión RDP al equipo de administración, o utilizar otra herramienta de acceso remoto (como Terminal Services), para conectarse con el equipo de administración. Entonces podrá usar el WSM en el equipo de administración para administrar su dispositivo remoto.

Ver también

Acerca de Management Tunnel

Agregar Recursos de VPN

Túneles VPN de Sucursales (WSM) Administrados

Establecer Túneles Administrados entre Dispositivos

Configurar Propiedades de Administración del Dispositivo

Acerca de los Modos de Centralized Management

Danos tu Opinión  •   Obtener Soporte  •   Toda la Documentación del Producto  •   Búsqueda Técnica

© 2019 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.