Configurar una Red Externa del Firebox

Aplica A: Fireboxes administrados en la nube

Para un Firebox administrado en la nube, una red externa especifica los ajustes para la forma en que el Firebox se conecta a una red que no está protegida por el Firebox, como Internet. Los ajustes de red externa especifican qué interfaces se conectan a la red externa y cómo el Firebox obtiene una dirección IP externa.

Para mantener una conexión a WatchGuard Cloud, la configuración del Firebox debe tener una red externa y un servidor DNS válidos.

WARNING: Si un cambio en la configuración del Firebox o en la red externa causa que el Firebox pierda la conexión con WatchGuard Cloud, puede usar la Web UI en el Firebox para recuperar la conexión. Para más información, vaya a Recuperar la Conexión del Firebox a WatchGuard Cloud.

Una red Externa está en la zona Externa. Es un miembro del alias incorporado Any-External. Para obtener más información acerca de los alias, vaya a Configurar los Alias del Firebox.

Editar o Agregar una Red Externa

De forma predeterminada, un Firebox administrado en la nube tiene una red externa. Puede editar la red externa predeterminada y agregar redes adicionales.

Para abrir la configuración de Redes, en WatchGuard Cloud:

  1. Seleccione Configurar > Dispositivos.
  2. Seleccione el Firebox administrado en la nube.
  3. Haga clic en Configuración del Dispositivo.
  4. Haga clic en el mosaico Redes.
    Se abre la página de configuración de Redes.

Screen shot of the Networks tiles on the Networks configuration page

Para editar una red Externa, en WatchGuard Cloud:

  1. En la página Redes, haga clic en el mosaico de la red externa para editarla.
    Se abre la página de configuración de red.
  2. Configure los ajustes de la red, tal como se describe en la siguiente sección.
  3. Para guardar los cambios de configuración en la nube, haga clic en Guardar.

Para agregar una red Externa, en WatchGuard Cloud:

  1. En la parte superior de la página Redes, haga clic en Agregar Red.
  2. En la lista desplegable, seleccione Agregar Red Externa.
    Aparece la página Agregar Red Externa.

  1. En el cuadro de texto Nombre, ingrese un nombre para la red.
  2. Configure otros ajustes de la red, tal como se describe en la siguiente sección.
  3. Para guardar los cambios de configuración en la nube, haga clic en Guardar.

Configurar los Ajustes de Red (IPv4)

En la pestaña Red, puede configurar la dirección IPv4 de la red, los ajustes de la VLAN y las interfaces asociadas.

Configurar los Ajustes de la Dirección de Red

Para una red Externa, puede asignar una dirección IP estática o puede configurar el Firebox para que use DHCP o PPPoE para obtener una dirección IP.

Para configurar una red externa del Firebox a fin de que use una dirección estática, en WatchGuard Cloud:

  1. Agregue o edite una red Externa.
  2. En la lista desplegable Configuración de Dirección IP, seleccione Dirección IP Estática.

Screen shot of the static IP address settings for an external network

  1. En el cuadro de texto Dirección IP, ingrese la dirección IP y la máscara de red que se utilizarán para esta red.
  2. En el cuadro de texto Gateway, ingrese la dirección IP de la puerta de enlace predeterminada.

Para configurar una red externa del Firebox a fin de que use DHCP para obtener una dirección IP, en WatchGuard Cloud:

  1. Agregue o edite una red Externa.
  2. En la lista desplegable Configuración de Dirección IP, seleccione DHCP.

Screen shot of the DHCP IP address settings for an external network

  1. Seleccione si desea asignar una dirección IP específica.
    • Para configurar el Firebox a fin de que solicite una dirección IP de un servidor DHCP, seleccione Obtener una dirección IP automáticamente.
    • Para asignar manualmente una dirección IP al Firebox, seleccione Utilizar esta dirección IP e ingrese la dirección IP que desea utilizar.
  2. Si su ISP o servidor DHCP externo requiere un identificador de cliente, como una dirección MAC, en el cuadro de texto Nombre del Cliente, ingrese esta información.
  3. Para especificar un nombre de host de identificación, en el cuadro de texto Nombre del Host, ingrese el nombre del host.
  4. Para mostrar los ajustes avanzados de DHCP, haga clic en Ajustes Avanzados de DHCP.

Screen shot of the Advanced DHCP settings

  1. Para cambiar el tiempo de concesión de DHCP, en el cuadro de texto Tiempo de Concesión, ingrese el número de segundos.

Opcionalmente, puede habilitar la opción Renovación Forzada de DHCP. Esta característica permite que el Firebox maneje un mensaje FORCERENEW de su ISP o proveedor de DHCP. El servidor DHCP envía un mensaje FORCERENEW para solicitar que el cliente DHCP renueve la dirección IP concesionada más pronto que lo usual, en base al tiempo de concesión configurado. Si su proveedor de ISP o de DHCP le solicita que active esta opción, también podría especificar una clave compartida. La clave compartida es opcional, pero recomendada. Si especifica una clave compartida, debe coincidir con la clave compartida en el mensaje FORCERENEW. Si no especifica una clave compartida, el Firebox responde a cualquier mensaje FORCERENEW, ya sea que esté presente o no una clave compartida.

Para permitir que Firebox administre una solicitud DHCP FORCERENEW, en WatchGuard Cloud:

  1. En los Ajustes Avanzados de DHCP, marque la casilla de selección Renovación Forzada de DHCP.
    Aparece el cuadro de texto Clave Compartida.
  2. (Opcional) En el cuadro de texto Clave Compartida, ingrese la clave compartida. La clave compartida se encuentra cifrada y almacenada en la configuración del Firebox.

Screen shot of the DHCP Force Renew settings

Algunos ISP asignan sus direcciones IP a través de Protocolo Punto a Punto a través de Ethernet (PPPoE). Si su ISP usa PPPoE, debe ingresar la información del PPPoE a su Firebox antes de que este pueda enviar tráfico a través de la interfaz externa.

Acerca de las Conexiones PPPoE Sin Numeración

En el caso de las conexiones PPPoE sin numeración de ISP compatibles en las que suministra una dirección IP de red, debe ingresar una dirección IP específica desde esta red en la configuración de su PPPoE de interfaz externa en el Firebox. El Firebox no es compatible con el IP de red o difusión de una subred como dirección IP obtenida de forma dinámica. En las Propiedades Avanzadas de PPPoE, también debe seleccionar la opción Enviar e imponer una dirección IP estática del cliente PPPoE durante la negociación PPPoE que configura el dispositivo para que envíe la dirección IP de cliente PPPoE al servidor PPPoE, y para que use la dirección IP configurada incluso si se obtiene otra dirección IP del servidor PPPoE.

Para configurar una red externa a fin de que use PPPoE para obtener una dirección IP, en WatchGuard Cloud:

  1. Agregue o edite una red Externa.
  2. En la lista desplegable Configuración de Dirección IP, seleccione PPPoE.

Screen shot of the PPPoE settings for an external network

  1. Seleccione si desea asignar una dirección IP específica.
    • Para configurar el Firebox a fin de que solicite una dirección IP de un servidor PPPoE, seleccione Obtener una dirección IP automáticamente.
    • Para asignar manualmente una dirección IP al Firebox, seleccione Utilizar esta dirección IP e ingrese la dirección IP que desea utilizar.
  2. En el cuadro de texto Nombre del Usuario, ingrese el nombre de usuario para la autenticación PPPoE. ¡Consejo!
  3. En Contraseña, ingrese la contraseña para la autenticación PPPoE. Para ver la contraseña mientras la escribe, haga clic en .

Después de guardar los ajustes, no podrá ver la contraseña guardada anteriormente. Solo puede configurar una nueva.

  1. Para ver los ajustes avanzados PPPoE, haga clic en Ajustes Avanzados de PPPoE.

En los ajustes avanzados de PPPoE, puede configurar lo siguiente:

  • Ajustes de Conexión
  • Ajustes de Reintentos
  • Ajustes de Autenticación

En los Ajustes de Conexión de PPoE, seleccione una de estas opciones para configurar cuándo el Firebox se conecta al servidor PPPoE:

Siempre activo

Seleccione esta opción si desea que Firebox mantenga una conexión PPPoE constante. No es necesario para el tráfico de red atravesar la red externa.

Si selecciona esta opción, en el cuadro de texto Intervalo de reintentos de inicialización de PPPoE, ingrese la cantidad de segundos que PPPoE intentará inicializarse antes de que se agote el tiempo de espera. El valor predeterminado es de 60 segundos.

Screen shot of the Advanced PPPoE Connection Settings

Marcado a petición

Seleccione esta opción si desea que el Firebox se conecte al servidor PPPoE solo cuando reciba una solicitud para enviar tráfico a una dirección IP en la red externa. Si el ISP restablece la conexión en forma regular, seleccione esta opción.

Si selecciona esta opción, en el cuadro de texto Tiempo de Espera Inactivo, ingrese la cantidad de segundos que un cliente puede permanecer conectado cuando no se envía tráfico.

Screen shot of the PPPoE Dial on Demand settings

En los Ajustes de Reintentos de PPPoE, configure los ajustes para los reintentos de conexión PPPoE.

Screen shot of the Advanced PPPoE Retry Settings

Para configurar los ajustes de reintentos PPPoE, en WatchGuard Cloud:

  1. Si su ISP requiere la etiqueta de Host Único para paquetes de descubrimiento de PPPoE, marque la casilla de selección Usar etiqueta de Host Único para paquetes de descubrimiento PPPoE.
  2. Para utilizar solicitudes de eco LCP para detectar conexiones PPPoE perdidas, marque la casilla de selección Usar las solicitudes de eco LCP para detectar las conexiones PPPoE perdidas.
    Esto está habilitado de forma predeterminada.
  3. En el cuadro de texto Intentos de eco LCP antes de fallar, ingrese o seleccione la cantidad de solicitudes de eco LCP fallidas permitidas antes de que la conexión PPPoE se considere inactiva y cerrada. El valor predeterminado es de 6 reintentos.
  4. En el cuadro de texto Tiempo de espera de eco LCP, ingrese o seleccione la duración de tiempo, en segundos, en el cual se debe recibir la respuesta a cada tiempo de espera de eco. El valor predeterminado es de 10 segundos.
  5. Para configurar el Firebox para que reinicie automáticamente la conexión PPPoE, marque la casilla de selección Hora programada de reinicio automático.
    Aparecen las casillas de selección Día y Hora de Reinicio.
  6. En la lista desplegable Día, seleccione un día de la semana para realizar un reinicio semanalmente.
  7. Seleccione la Hora de Reinicio para especificar la hora y los minutos del día (en formato de 24 horas) para reiniciar automáticamente la conexión PPPoE.

Screen shot of the scheduled restart settings

En los Ajustes de Autenticación PPPoE, configure los ajustes para que el Firebox se autentique en el servidor PPPoE.

Screen shot of the Advanced PPPoE Authentication Settings

Para configurar los ajustes de autenticación de PPPoE, en WatchGuard Cloud:

  1. En el cuadro de texto Nombre de Servicio, ingrese un nombre de servicio PPPoE.
    Las opciones son el nombre del ISP o una clase de servicio que esté configurada en el servidor PPPoE. En general, esta opción no se usa. Selecciónela sólo si hay más de un concentrador de acceso o si sabe que debe utilizar un nombre de servicio específico.
  2. En el cuadro de texto Nombre de Concentrador de Acceso, ingrese el nombre del concentrador de acceso PPPoE, también conocido como un servidor PPPoE. En general, esta opción no se usa. Seleccione esta opción solo si sabe que hay más de un concentrador de acceso.
  3. En el cuadro de texto Reintentos de autenticación, ingrese o seleccione el número de veces que Firebox puede intentar lograr una conexión.
    El valor predeterminado es de tres intentos de conexión.
  4. En el cuadro de texto Tiempo de espera de autenticación, ingrese la cantidad de segundos entre reintentos de conexión.
    El valor predeterminado es de 20 segundos.

Los ajustes de Autenticación también incluyen los ajustes de la dirección IP PPPoE y la negociación DNS.

Screen shot of the Advanced PPPoE negotiation settings

Para configurar los ajustes de negociación PPPoE, en WatchGuard Cloud:

  1. Si configura los ajustes PPPoE para usar una dirección IP estática, seleccione una de estas opciones para la negociación de dirección IP PPPoE:
    • Enviar dirección de IP estática del cliente PPPoE durante la negociación PPPoE — Esta opción configura el dispositivo para que envíe la dirección IP de cliente PPPoE al servidor PPPoE durante la negociación PPPoE. Este es el ajuste predeterminado.
    • No enviar dirección IP estática de cliente PPPoE durante negociación PPPoE — Esta opción configura el dispositivo para no enviar la dirección IP de cliente PPPoE al servidor PPPoE.
    • Enviar e imponer dirección IP estática del cliente PPPoE durante la negociación PPPoE — Esta opción configura el dispositivo para que envíe la dirección IP de cliente PPPoE al servidor PPPoE, y para que use la dirección IP configurada incluso si se obtiene otra dirección IP del servidor PPPoE.
  2. Para configurar el Firebox para que negocie el DNS con el servidor PPPoE, marque la casilla de selección Negociar DNS con el Servidor PPPoE. Esto está habilitado de forma predeterminada. Si no desea que el dispositivo negocie el DNS, desactive esta casilla de selección. ¡Consejo!

Para obtener información sobre los servidores DNS en el Firebox, vaya a Configurar los Ajustes de DNS del Firebox.

Configurar los Ajustes de la VLAN

Puede configurar cualquier red del Firebox como una red de área local virtual (VLAN). Cuando habilita la VLAN para una red externa, de forma predeterminada todas las interfaces asociadas con la red están configuradas para manejar el tráfico VLAN etiquetada. Puede editar cada interfaz para cambiar si maneja el tráfico VLAN etiquetado o no etiquetado para esta red.

Para más información, vaya a Configurar VLAN del Firebox.

Configurar las Interfaces de Red

En los ajustes de red, usted selecciona qué interfaces del Firebox están asociadas con la red.

Cuando agrega una red Externa, la interfaz disponible con el número más bajo se asocia automáticamente con la red.

En los ajustes de una red, la sección Interfaces muestra cuáles interfaces están actualmente asociadas con la red y cuáles están disponibles.

Screen shot of the Interfaces settings for a network

El color del icono de la interfaz indica el estado de la interfaz en relación con esta red.

Icono de interfaz blancoLa interfaz está asociada con otra red
Icono de interfaz azulLa interfaz está asociada con esta red
Icono de interfaz grisLa interfaz está disponible para asociarse con esta red

Para ver las redes asociadas a una interfaz, apunte a Ver Redes de la interfaz.

De forma predeterminada, todas las interfaces están asociadas a una red. Antes de poder asociar una interfaz con una red diferente, debe eliminar esa interfaz de la red con la que estaba asociada anteriormente.

Si asocia más de una interfaz con una red, el tráfico de red se puentea entre todas las interfaces asociadas.

Para configurar los ajustes de la interfaz de una red, en WatchGuard Cloud:

  1. En el mosaico de una interfaz asociada o disponible, haga clic en .

  1. Seleccione una de estas opciones:
  • Sin Tráfico — Elimine la interfaz de esta red.
  • Agregar Tráfico de Red — Agregue la interfaz como la primera interfaz asociada con esta red.
  • Tráfico de Red Puenteada — Agregue esta interfaz a una red que ya tenga otra interfaz o SSID asociados.

Para una VLAN, las opciones de interfaz son VLAN No Etiquetada o VLAN Etiquetada. Para más información, consulte Configurar VLAN del Firebox.

Configurar IPv6

En la pestaña IPv6, puede habilitar IPv6 para la red, agregar una o más direcciones IPv6 a la configuración, y configurar otros ajustes IPv6.

En Fireware v12.9.2 o superior, puede usar una dirección IPv6 estática para configurar una interfaz cuando tiene una dirección de enlace local como puerta de enlace predeterminada.

Para obtener información acerca de los formatos de direcciones IPv6, vaya a Acerca de IPv6.

Para habilitar IPv6, en WatchGuard Cloud:

  1. Seleccione la pestaña IPv6.
  2. Seleccione Habilitar IPv6.
  3. Haga clic en Agregar Dirección IPv6 Estática.
    Se abre el cuadro de diálogo Agregar Dirección IPv6 estática.
  4. En el cuadro de texto Dirección IP, ingrese una dirección IPv6 y la longitud del prefijo.
  5. Haga clic en Agregar.
  6. Para agregar más direcciones IPv6, repita los Pasos 3 a 5.
  7. Para editar una dirección IPv6, haga clic en ella.
  8. (Opcional) Para asignar automáticamente una dirección de enlace local IPv6 a esta interfaz, seleccione Configuración Automática de Dirección IP.
  9. (Opcional) Para permitir que los clientes DHCPv6 soliciten una dirección IPv6, seleccione Cliente DHCPv6. De forma predeterminada, los clientes DHCPv6 utilizan un intercambio de cuatro mensajes (solicitud, anuncio, petición, respuesta).
  10. (Opcional) Para permitir que los clientes DHCPv6 utilicen un intercambio de dos mensajes (solicitud, respuesta) para solicitar una dirección IPv6, seleccione Confirmación Rápida.
  11. (Opcional) Para permitir que los clientes DHCPv6 soliciten un prefijo IPv6, seleccione Habilitar Delegación de Prefijo de Cliente DHCPv6.
  12. (Opcional) Para permitir que los clientes DHCPv6 utilicen un intercambio de dos mensajes (solicitud, respuesta) para solicitar un prefijo, seleccione Confirmación Rápida.
  13. Ingrese la Gateway Predeterminada.
  14. Ingrese el Límite de Salto, que es la cantidad de segmentos de red por los que puede viajar un paquete antes de que un enrutador lo descarte. El valor predeterminado es 64.
  15. Ingrese las Transmisiones DAD, que es el número de transmisiones de detección de direcciones duplicadas para este enlace. El valor predeterminado es 1.

Screen shot of the IPv6 configuration for an external network

Configurar la Monitorización de Enlaces

En la pestaña Monitorización de Enlaces, puede habilitar la monitorización de enlaces. Cuando la monitorización de enlaces está habilitada, el Firebox envía tráfico a un monitor de enlaces objetivo para probar la conectividad de la red.

Para más información, vaya a Configurar la Monitorización de Enlaces de Red del Firebox.

Configurar DNS Dinámico

En la pestaña DNS Dinámico, puede habilitar el DNS dinámico (DDNS) y configurar una conexión a un proveedor de servicios DDNS. WatchGuard Cloud admite varios proveedores de servicios DDNS.

Para más información, vaya a Configurar DNS Dinámico.

Configurar los Ajustes Avanzados

En la pestaña Avanzado, puede configurar estos ajustes de red:

  • Acceso a la Web UI
  • Ping
  • Control de acceso MAC
  • Redes Secundarias

Para más información, vaya a Configurar los Ajustes de Red Avanzados.

Configurar el Conjunto de Enlaces

Un grupo de conjuntos de enlaces (link aggregation group, LAG) es un grupo de interfaces físicas que usted configura para que funcionen juntas como una sola interfaz lógica. Puede utilizar una interfaz LAG para aumentar la capacidad de procesamiento más allá de la capacidad de una sola interfaz física, y para proporcionar redundancia si existe una falla del vínculo físico. Para más información, vaya a Acerca del Conjunto de Enlaces en WatchGuard Cloud.

Para agregar un LAG a una red externa existente o nueva:

  1. Agregue o edite una red Externa como se describe en Editar o Agregar una Red Externa.
  2. En la sección Interfaces, puede eliminar la interfaz de red actualmente asociada con la red de la configuración para que esta interfaz esté disponible para el conjunto de enlaces. Configure la interfaz como Sin Tráfico para eliminar la interfaz de la red.

    Cuando agrega una red Externa, la interfaz disponible con el número más bajo se asocia automáticamente con la red.

    Cuando elimina la única interfaz seleccionada para una red, aparece un mensaje de advertencia "Necesita al menos una interfaz asociada a esta red" . Puede continuar por agregar un LAG y sus interfaces de LAG seleccionadas para la red en los siguientes pasos.

  1. En la sección Grupos de Conjuntos de Enlaces (LAG), haga clic en Agregar LAG.
  2. En el cuadro de texto Nombre, ingrese un nombre para la configuración LAG. Puede utilizar este nombre en las políticas del Firebox como lo haría con cualquier otro nombre de interfaz.
  3. De la lista desplegable Modo, seleccione el modo de conjunto de enlaces que se utilizarán. Puede seleccionar Estático, Dinámico (802.3ad) o Copia de seguridad-Activa. Para más información sobre los modos de conjunto de enlaces, consulte la sección Modos de Conjunto de Enlaces de Acerca del Conjunto de Enlaces en WatchGuard Cloud.
  4. Haga clic en Siguiente.
    Se abre la página de selección de interfaces.
  5. Seleccione las interfaces que desea agregar al LAG para esta red.

La lista de interfaces contiene solo interfaces que están disponibles y no son utilizadas por otra red.

  1. Haga clic en Realizado.
    La configuración del LAG aparece en la sección Grupos de Conjuntos de Enlaces (LAG) para la red.

Para más información, vaya a Configurar el Conjunto de Enlaces en WatchGuard Cloud.

Temas Relacionados

Acerca de los Ajustes de Red del Firebox