Configurar una BOVPN Basada en Políticas para un Firebox Administrado Localmente o un Endpoint de VPN de Terceros

Aplica A: Fireboxes administrados en la nube

Puede configurar una VPN de Sucursales (BOVPN) basada en políticas entre un Firebox administrado en la nube y un Firebox administrado localmente o un endpoint de VPN de terceros que admita VPN IKEv2. Una BOVPN basada en políticas se establece cuando se define un conjunto de pares locales-remotos que especifican el origen y el destino del tráfico que utiliza el túnel. En cada endpoint, se definen los recursos de red accesibles a través de la ruta del túnel. Esto crea una malla de posibles pares local-remoto. Puede habilitar o deshabilitar pares local-remoto específicos desde la página Rutas de Túnel.

Puede usar una BOVPN basada en política cuando no tiene autoridad sobre el endpoint remoto y no puede configurar los ajustes del endpoint para admitir la BOVPN basada en rutas más común. Le recomendamos que use una BOVPN basada en políticas cuando el endpoint remoto no pueda admitir una BOVPN basada en rutas.

Las BOVPN basadas en políticas no admiten endpoints VPN IKEv1.

Cuando configura una BOVPN basada en políticas, WatchGuard Cloud crea un túnel IPSec entre el Firebox administrado en la nube y el endpoint remoto. Utilice esta opción para administrar un túnel BOVPN en WatchGuard Cloud entre un Firebox administrado en la nube y un endpoint remoto que no puede configurar fácilmente con una BOVPN basada en rutas. No puede configurar una BOVPN basada en políticas entre dos Fireboxes administrados en la nube.

En Ayuda de Fireware, una BOVPN basada en políticas se conoce como BOVPN Manual.

Cuando configura una BOVPN basada en políticas, WatchGuard Cloud implementa la configuración en el Firebox administrado en la nube. Desde el Firebox administrado en la nube, se configuran:

  • Puertas de Enlace VPN — Las redes externas que los dos dispositivos usan para conectarse.
  • Método de Credencial — Seleccione una de dos opciones:
    • Clave Precompartida — Un secreto compartido que se utiliza para cifrar y descifrar los datos que pasan por el túnel. Use una longitud de llave de 20 o más caracteres.
    • Certificado — Un Certificado del Firebox IPSec utilizado para la autenticación del túnel. Para más información, vaya a Certificados para Autenticación de Túnel VPN de Sucursal (BOVPN) en la Ayuda de Fireware.
  • NAT — (Opcional) Cuando crea un túnel VPN de Sucursales (BOVPN) entre dos redes que usan el mismo rango de direcciones IP privadas, se produce un conflicto de direcciones IP. Para crear un túnel sin este conflicto, puede agregar NAT a la VPN.
    Seleccione una de estas dos opciones:
    • 1-to-1 NAT — Crea un mapa de una o más direcciones IP en un rango a un segundo rango de direcciones IP del mismo tamaño. Cada dirección IP en el primer rango corresponde a una dirección IP en el segundo rango. Para más información, vaya a Configurar 1-to-1 NAT a través de un Túnel VPN de Sucursal en la Ayuda de Fireware.
    • NAT Dinámica — El tipo de NAT que se utiliza con más frecuencia. La NAT Dinámica cambia la dirección IP de origen de una conexión saliente a cualquier dirección IP o red que especifique. Para más información, vaya a Acerca de NAT Dinámica en la Ayuda de Fireware.
  • Recursos de Red — Las redes que pueden enviar y recibir tráfico a través del túnel.
  • Ajustes de Seguridad — Ajustes de autenticación y cifrado para la negociación de la VPN.
    • Dead Peer Detection (DPD) — El Firebox detecta cuando un túnel se desconecta e inicia automáticamente una nueva negociación de Fase 1. Siempre habilitado y puede ser Basado en el Tráfico o Basado en el Tiempo.
      DPD Basado en el Tráfico — El Firebox envía un mensaje DPD a la puerta de enlace remota solo si el Firebox no recibe tráfico de la puerta de enlace remota durante un período de tiempo específico y hay un paquete esperando para ser enviado a la puerta de enlace remota.
      DPD Basado en el Tiempo — El Firebox inicia un intercambio de DPD con la puerta de enlace remota en un intervalo de mensajes especificado, independientemente de cualquier otro tráfico recibido desde la puerta de enlace remota.
    • Intervalo Keep-Alive de NAT Traversal — Este ajuste controla la frecuencia con la que el Firebox envía tráfico a través del túnel para mantener el túnel activo cuando no existe otro tráfico de túnel. El valor predeterminado es de 20 segundos.
    • Habilitar Ajustes de Bit de No Fragmentar (DF) — (Opcional) Especifica si el Firebox utiliza el ajuste de Bit de DF original en el encabezado de un paquete.
    • Iniciar Túnel de Fase 1 cuando se Inicia el Firebox — Especifica si el endpoint remoto inicia el túnel.

No puede configurar la conmutación por error de VPN para endpoints de terceros de BOVPN basadas en políticas.

BOVPN Basada en Políticas y Enrutamiento

En la configuración de BOVPN, se especifican los recursos de red a los que se puede acceder a través del túnel BOVPN. De forma predeterminada, el Firebox utiliza políticas del sistema para especificar cómo el tráfico debe usar el túnel.

Puede crear su propia política para tener más control sobre el tráfico en la BOVPN basada en políticas que las políticas del sistema BOVPN-Allow-Any-in y BOVPN-Allow-Any-out proporcionan.

Si desea especificar recursos de red para ambos endpoints en la misma subred, debe utilizar NAT. Si no utiliza NAT, no podrá enrutar el tráfico a través de un túnel BOVPN entre redes privadas que utilicen el mismo rango de direcciones IP.

Para una BOVPN basada en políticas entre un Firebox administrado en la nube y un Firebox administrado localmente o un endpoint de VPN de terceros:

  • Los recursos de red que indica para el endpoint remoto especifican qué tráfico enruta el Firebox a través del túnel.
  • Los recursos de red que especifica para el Firebox son los recursos que desea que el endpoint remoto enrute a través del túnel VPN al Firebox. Para que el Firebox reciba tráfico de VPN a estos recursos, el endpoint remoto debe estar configurado para enrutar el tráfico a estas direcciones IP a través del túnel.
  • El tráfico de red que sale del Firebox debe originarse a partir de un recurso de red que usted especifique para el Firebox y tener un destino de un recurso de red en el endpoint remoto.
  • El tráfico de red que sale del endpoint remoto debe originarse a partir de un recurso de red que usted especifique en el endpoint remoto y tener un destino de un recurso de red en el Firebox.
  • Las BOVPN basadas en políticas no crean rutas del sistema. El Firebox controla lo que pasa por el túnel BOVPN en función del origen y destino del tráfico que coincide con los recursos de red que usted proporciona en cada endpoint.

BOVPN e Implementación Automática

Cuando agrega, edita o elimina una BOVPN basada en políticas, la configuración de la BOVPN se implementa automáticamente para que el Firebox administrado en la nube la descargue. Para asegurarse de que la implementación automática contenga solo cambios de configuración de BOVPN, no puede guardar los cambios de la BOVPN si alguno de los Fireboxes tiene otros cambios de configuración no implementados.

Agregar una BOVPN entre un Firebox Administrado en la Nube y un Firebox Administrado Localmente o un Endpoint de VPN de Terceros

Puede agregar una BOVPN basada en políticas desde la página de BOVPN de un Firebox específico, o puede agregar la BOVPN desde la página VPN de WatchGuard Cloud, que es una página de configuración compartida. Para más información, vaya a Administrar BOVPN para Fireboxes Administrados en la Nube.

Para agregar una BOVPN basada en políticas a un Firebox administrado en la nube, en WatchGuard Cloud:

  1. Para abrir la página BOVPN, use uno de estos métodos:
    • Para administrar las BOVPN de todos los Fireboxes en la cuenta actualmente seleccionada, vaya a Configurar > VPN.
      La página BOVPN muestra las BOVPN configuradas actualmente.
    • Para administrar las BOVPN de un Firebox específico, en la página Configuración del Dispositivo, haga clic en el mosaico VPN de Sucursales.
      La página BOVPN muestra las BOVPN configuradas actualmente.

Screen shot of the BOVPN page with one BOVPN added

  1. Haga clic en Agregar BOVPN.
    Se abre la página Agregar BOVPN.
  2. En el cuadro de texto Nombre, ingrese un nombre para la BOVPN.
  3. En la lista desplegable Tipo de Conexión VPN, seleccione IPSec Basado en Políticas en Firebox Administrado Localmente / Terceros.
  4. En la lista desplegable Familia de Direcciones, seleccione Direcciones IPv4 o Direcciones IPv6.

Si selecciona Direcciones IPv6, el otro endpoint BOVPN debe configurarse para admitir IPv6.

Screen shot of the Add BOVPN page with Endpoint A and Endpoint B

  1. En la sección Endpoint A, seleccione un Firebox administrado en la nube desde su cuenta. Solo puede seleccionar un Firebox.
    Si agrega la BOVPN desde una página Configuración del Dispositivo, la lista de Endpoint A contiene solo un Firebox.
  2. En la sección Endpoint B, en el cuadro de texto Nombre de Endpoint, escriba un nombre para identificar el endpoint de VPN remoto.
    La configuración de la BOVPN utiliza este nombre para referirse al Endpoint B.

Screenshot of the Define VPN endpoints settings, with a local and remote VPN endpoint specified

  1. Haga clic en Siguiente.
    Se abre la página de ajustes de Puertas de Enlace VPN.

Screen shot of the VPN Gateways and Pre-shared key settings

  1. Para usar un certificado del Firebox IPSec para esta conexión VPN, seleccione Usar Certificado del Firebox IPSec. Para utilizar una clave precompartida, vaya al Paso 10.
    Se abre una lista de certificados.

Screenshot of the IPSec certificate option in the Add BOVPN Wizard

    1. Seleccione un certificado. Para más información, vaya a Acerca de los Certificados del Dispositivo.
    2. Para el Firebox administrado en la nube, seleccione una red externa.
    3. Para esta red externa, especifique la dirección IP en la lista desplegable Dirección IP. Seleccione el nombre x500, el nombre de dominio o la dirección IP. Las opciones disponibles dependen de la configuración del certificado.
      Para redes con una configuración de dirección IP de DHCP o PPPoE, la dirección IP predeterminada es Cualquiera (Dinámica).
    4. Para el endpoint remoto:
      • En la lista desplegable Dirección IP, seleccione o ingrese una dirección IP.
      • En el cuadro de texto Identificación del Endpoint, ingresa un nombre x500, un nombre de dominio o una dirección IP que se resuelva en la dirección IP del endpoint remoto.
    1. Haga clic en Siguiente.
      Se abre la página Tráfico.
  1. A fin de usar una clave precompartida para la conexión de esta VPN, para el Firebox administrado en la nube, seleccione una red externa.
    1. En el cuadro de texto IP o Nombre de Dominio o Usuario en el Dominio, seleccione una dirección IP, nombre de dominio o usuario en el dominio que se resuelva a la dirección IP de red externa del Firebox. Por ejemplo, un usuario en el dominio podría ser [email protected].
    2. Para el endpoint remoto, en el cuadro de texto IP o Nombre de Dominio o Usuario en el Dominio, ingrese una dirección IP, un nombre de dominio o usuario en el dominio que resuelva a la dirección IP en el endpoint remoto. Por ejemplo, un usuario en el dominio podría ser [email protected].
    3. En el cuadro de texto Clave precompartida, escriba una clave precompartida para asegurar el túnel VPN.
    4. Haga clic en Siguiente.
      Se abre la página Tráfico.

Screen shot of the Add BOVPN and network resources page

  1. Seleccione la red del Firebox que desee que sea accesible a través del túnel VPN.
  2. (Opcional) Para evitar conflictos cuando ambas redes usan el mismo rango de direcciones IP privadas, agregue NAT a un endpoint.

    No puede establecer la dirección del tráfico a través del túnel cuando habilita la NAT dinámica. La dirección predeterminada es saliente.

    1. Junto al endpoint administrado en la nube al que desea agregar NAT, haga clic en Agregar NAT.
      Se abre el cuadro de diálogo Agregar NAT.
    2. Seleccione 1-to-1 NAT o NAT Dinámica.
    3. En el cuadro de texto Dirección NAT, ingrese una dirección IP y una máscara de red para 1-to-1 NAT o, en el cuadro de texto Dirección IP de Origen, ingrese una dirección IP para NAT Dinámica.

      Screen shot of the1-to-1 NAT dialog box

      Screen shot of the Dynamic NAT dialog box
    4. Haga clic en Agregar.
      La información de NAT se muestra junto a la entrada del endpoint de la red.

    Para eliminar una dirección IP de NAT, despeje el cuadro de texto NAT y haga clic en Guardar.

  3. Para agregar un recurso de red que no sea una red interna o de invitados:
    1. En la sección de recursos del Firebox, haga clic en Agregar Recurso de Red.
      Se abre el cuadro de diálogo Agregar Recurso de Red.
      Screen shot of the Add Network Resource dialog box
    2. En el cuadro de texto Recurso de Red, ingrese la dirección IP de la red y la máscara de red.¡Consejo!
    3. (Opcional) Para agregar NAT a un recurso de red, haga clic en Agregar NAT.
  4. Agregue un recurso de red para el endpoint remoto:
    1. En la sección del segundo endpoint, haga clic en Agregar Recurso de Red.
    1. En el cuadro de texto Recurso de Red, ingrese la dirección IP de la red y la máscara de red.
    2. Haga clic en Agregar.
      El recurso de red se agrega a los ajustes de tráfico para el endpoint.
  5. Repita el paso anterior para agregar otros recursos de red.
  6. Haga clic en Siguiente.
    Se abre la página Rutas de Túnel.

Screen shot of the Tunnel Routes list

  1. En la lista desplegable Dirección de Tráfico, seleccione la dirección del tráfico para la ruta de BOVPN.

La dirección de tráfico predeterminada es Bidireccional. Puede configurar la dirección de tráfico para que vaya del Endpoint A al Endpoint B, del Endpoint B al Endpoint A o para que sea Bidireccional entre los endpoints.

  1. (Opcional) Puede utilizar los interruptores para habilitar o deshabilitar las rutas de túnel desde la página Rutas de Túnel. Cuando deshabilita una ruta de túnel, el Firebox no intenta establecer esa ruta de túnel específica entre los dos endpoints.

Screen shot of the Tunnel Routes endpoints

  1. Haga clic en Siguiente.
    Se abre la página Ajustes de seguridad.

Screen shot of the default security settings

  1. Acepte los ajustes de seguridad predeterminados o edítelos para que coincidan con los ajustes que admite el endpoint de VPN remoto. Para más información, vaya a Configurar los Ajustes de Seguridad de BOVPN. Para más información sobre la capacidad de procesamiento de la BOVPN, vaya a Optimizar la Capacidad de Procesamiento de la BOVPN.
  2. Haga clic en Agregar.
    Se agrega la implementación de la BOVPN y se abre la página Guía de BOVPN.

Screen shot of the final page of the Add BOVPN wizard, with the View Guide link

  1. (Opcional) Para abrir la Guía de BOVPN en una nueva pestaña del navegador, haga clic en Ver Guía.
    El Resumen de Configuración de VPN se abre en una nueva pestaña del navegador.

Screen shot of the VPN Configuration Summary

  1. Para volver a la lista de BOVPN, haga clic en Finalizar.

Puede editar o eliminar una BOVPN desde la página BOVPN. Para información, vaya a Administrar BOVPN para Fireboxes Administrados en la Nube.

Ver la Guía de BOVPN

Para cada BOVPN, WatchGuard Cloud genera una Guía de VPN que resume los ajustes de configuración de las VPN requeridos en el endpoint de VPN remoto. Puede ver la Guía de BOVPN desde la página Editar BOVPN. Para más información, vaya a Ver la Guía de BOVPN.

Temas Relacionados

Administrar la Implementación de la Configuración del Dispositivo

Configurar una Red Interna o de Invitados del Firebox

Administrar Certificados