Configurar una BOVPN para un Firebox Administrado Localmente o un Endpoint de VPN de Terceros

Aplica A: Fireboxes administrados en la nube

Puede configurar una VPN de Sucursales (BOVPN) desde un Firebox administrado en la nube a cualquier Firebox, o a cualquier endpoint de VPN de terceros que admita las VPN IKEv2 basadas en rutas con ajustes compatibles. Puede configurar una interfaz virtual de BOVPN para un endpoint de VPN de terceros o un endpoint basado en la nube. Los endpoints admitidos incluyen redes virtuales basadas en la nube, como Microsoft Azure, Amazon AWS y endpoints Cisco VTI.

Para configurar una BOVPN entre dos Fireboxes administrados en la nube en la misma cuenta de WatchGuard Cloud, vaya a Configurar una BOVPN Entre Fireboxes Administrados en la Nube.

Cuando configura la BOVPN, WatchGuard Cloud implementa la configuración en el Firebox administrado en la nube. A continuación, debe configurar el endpoint remoto con los mismos ajustes.

Cuando agrega una BOVPN a un Firebox administrado en la nube, configura lo siguiente:

  • Puertas de Enlace VPN — Las redes externas que los dos dispositivos usan para conectarse.
  • Método de Credencial — Seleccione una de dos opciones:
    • Clave Precompartida — Un secreto compartido que se utiliza para cifrar y descifrar los datos que pasan por el túnel. Use una longitud de llave de 20 o más caracteres.
    • Certificado — Un Certificado del Firebox IPSec utilizado para la autenticación del túnel. Para más información, vaya a Certificados para Autenticación de Túnel VPN de Sucursal (BOVPN) en la Ayuda de Fireware.
  • NAT — (Opcional) Cuando crea un túnel VPN de Sucursales (BOVPN) entre dos redes que usan el mismo rango de direcciones IP privadas, se produce un conflicto de direcciones IP. Para crear un túnel sin este conflicto, puede agregar NAT a la VPN. NAT crea un mapa de una o más direcciones IP en un rango a un segundo rango de direcciones IP del mismo tamaño. Cada dirección IP en el primer rango corresponde a una dirección IP en el segundo rango.
  • Recursos de Red — Las redes que pueden enviar y recibir tráfico a través del túnel.
  • Dirección IP Virtual — (Recomendado) Requerida si desea:
  • Agregar la BOVPN a una acción de SD-WAN.
  • Configurar una BOVPN de ruta cero.
  • Responder al tráfico generado por el Firebox a través del túnel. Por ejemplo, el tráfico DNS y DHCP, Dimension, syslog, SNMP, NTP, autenticación (Active Directory, LDAP y RADIUS) y otras conexiones establecidas por el Firebox a recursos a través del túnel.
  • Habilitar Ajustes de Bit de No Fragmentar (DF) — (Opcional) Controla si el Firebox utiliza el ajuste de Bit de DF original en el encabezado de un paquete.
  • Configurar MTU del Túnel — (opcional) Utilice una unidad de transmisión máxima (MTU) personalizada.
  • Ajustes de Seguridad — Ajustes de autenticación y cifrado para la negociación de la VPN.

BOVPN y Enrutamiento

En la configuración de la BOVPN, usted especifica qué recursos de red son accesibles a través del túnel BOVPN. Los recursos que seleccione para un endpoint se convertirán en rutas estáticas en el otro endpoint, con la BOVPN como puerta de enlace. La distancia (métrica) que especifique para cada recurso aparece en la tabla de enrutamiento. El Firebox utiliza la tabla de enrutamiento para determinar a dónde enviar tráfico a través del túnel BOVPN.

Si desea especificar recursos de red para ambos endpoints en la misma subred, debe utilizar NAT. Si no utiliza NAT, no podrá enrutar el tráfico a través de un túnel BOVPN entre redes privadas que utilicen el mismo rango de direcciones IP.

Para una VPN entre un Firebox y un endpoint de VPN administrado localmente o de terceros:

  • Los recursos de red que indica para el endpoint remoto especifican qué tráfico enruta el Firebox a través del túnel. Estas se convierten en rutas estáticas en el Firebox administrado en la nube, con la BOVPN como puerta de enlace.
  • Los recursos de red que especifica para el Firebox son los recursos que desea que el endpoint remoto enrute a través del túnel VPN al Firebox. Los recursos que especifica aquí no limitan el tráfico que el Firebox acepta a través del túnel VPN. Para que el Firebox reciba tráfico de VPN a estos recursos, el endpoint remoto debe estar configurado para enrutar el tráfico a estas direcciones IP a través del túnel.

Direcciones IP Virtuales

Una dirección IP virtual es una dirección IP que no está vinculada a una interfaz física. Para una BOVPN en WatchGuard Cloud, que es una interfaz virtual de BOVPN, una dirección IP virtual funciona como la puerta de enlace (siguiente salto). La dirección IP virtual se utiliza para el tráfico generado por el Firebox y el tráfico de respuesta enviado directamente a la interfaz virtual BOVPN.

Aunque se requiere la dirección IP virtual solo en determinados escenarios, le recomendamos que configure siempre una dirección IP virtual para una BOVPN. Esta configuración asegura que el tráfico se enrute a través del túnel, como se espera.

Puede configurar la dirección IP virtual en estos casos:

SD-WAN

Para que pueda agregar una BOVPN a una acción de SD-WAN, debe configurar la BOVPN con direcciones IP virtuales /32 para ambos endpoints. La monitorización de enlaces BOVPN se habilita implícitamente cuando configura direcciones IP de host /32 como la dirección IP virtual de ambos endpoints. Una BOVPN que no tiene habilitada la monitorización de enlaces (no tiene direcciones IP virtuales /32 válidas para ambos endpoints) no está disponible para seleccionar en una acción de SD-WAN.

Para obtener más información sobre SD-WAN, vaya a Configurar SD-WAN.

Enrutamiento Cero

Si agrega un recurso de red BOVPN de ruta cero (0.0.0.0/0), esto crea una ruta predeterminada que envía todo el tráfico de red (incluido el tráfico a WatchGuard Cloud) a través del túnel VPN. Para un Firebox administrado en la nube, debe ingresar las direcciones IP virtuales en la configuración de la BOVPN de modo que el tráfico de retorno utilice el túnel VPN.

Caution: Si agrega un recurso de red BOVPN de ruta cero, y el endpoint de VPN remoto no puede enrutar el tráfico desde el Firebox administrado en la nube a WatchGuard Cloud, pierde la capacidad de administrar o monitorizar el Firebox.

Tráfico Generado por el Firebox

El Firebox en sí mismo genera tráfico a través del túnel. El tráfico generado por el Firebox también se conoce como tráfico autogenerado o tráfico de origen propio.

Debe ingresar una dirección IP virtual /32 para cada endpoint, de modo que las respuestas al tráfico generado por el Firebox utilicen el túnel VPN. No utilice la dirección IP en otro lugar del Firebox. No tiene que usar una dirección IP desde las rutas de túnel. Algunos ejemplos de tráfico generado por el Firebox son tráfico DNS y DHCP, Dimension, syslog, SNMP, NTP, autenticación (Active Directory, LDAP y RADIUS) y otras conexiones establecidas por el Firebox a recursos a través del túnel.

BOVPN e Implementación Automática

Cuando agrega, edita o elimina una BOVPN, la configuración de la BOVPN se implementa automáticamente para que el Firebox administrado en la nube la descargue. Para asegurarse de que la implementación automática contenga solo cambios de configuración de BOVPN, no puede guardar los cambios de la BOVPN si alguno de los Fireboxes tiene otros cambios de configuración no implementados.

Antes de agregar, editar o eliminar una BOVPN, asegúrese de que el Firebox no tenga cambios sin implementar.

Agregar una BOVPN entre un Firebox Administrado en la Nube y un Firebox Administrado Localmente o un Endpoint de VPN de Terceros

Puede agregar una BOVPN desde la página BOVPN para un Firebox específico, o puede agregarla desde la página VPN, que es una página de configuración compartida. Para más información, vaya a Administrar BOVPN para Fireboxes Administrados en la Nube.

Para agregar una BOVPN al Firebox administrado en la nube, desde WatchGuard Cloud:

  1. Para abrir la página BOVPN, use uno de estos métodos:
    • Para administrar las BOVPN de todos los Fireboxes en la cuenta actualmente seleccionada, vaya a Configurar > VPN.
    • Para administrar las BOVPN de un Firebox específico, en la página Configuración del Dispositivo, haga clic en el mosaico VPN de Sucursales.
  2. Desde cualquiera de las páginas de BOVPN, haga clic en el mosaico VPN de Sucursales.
    La página BOVPN muestra las BOVPN configuradas actualmente.

Screen shot of the BOVPN page with no BOVPNs added

  1. Haga clic en Agregar BOVPN.
    Se abre la página Agregar BOVPN.
  2. En el cuadro de texto Nombre, ingrese un nombre para esta BOVPN.
  3. En la lista desplegable Tipo de Conexión VPN, seleccione IPSec Basado en Rutas en Firebox Administrado Localmente o de Terceros.
    El contenido de la sección Endpoint B cambia de una lista de Fireboxes a un cuadro de texto de Nombre del Endpoint.

La opción IPSec Basado en Rutas para un Firebox Administrado Localmente o de Terceros se llamaba anteriormente Firebox Administrado Localmente o Endpoint de VPN de Terceros.

  1. En la lista desplegable Familia de Direcciones, seleccione Direcciones IPv4 o Direcciones IPv6.
    Si selecciona Direcciones IPv6, el otro endpoint BOVPN debe configurarse para admitir IPv6.

También puede seleccionar IPSec Basado en Rutas para un Firebox Administrado Localmente o de Terceros para crear una BOVPN entre Fireboxes en distintas cuentas de WatchGuard Cloud.

Screen shot of the Add BOVPN page with Locally-Managed Firebox or third-party VPN endpoint selected

  1. En la sección Endpoint A, seleccione un Firebox administrado en la nube en su cuenta.
    Si agregó la BOVPN desde una página Configuración del Dispositivo, la lista de Endpoint A contiene solo un Firebox.
  2. En la sección Endpoint B, en el cuadro de texto Nombre de Endpoint, escriba un nombre para identificar el endpoint de VPN remoto.
    La configuración de la BOVPN utiliza este nombre para referirse al Endpoint B.

Screenshot of the Define VPN endpoints settings, with a local and remote VPN endpoint specified

  1. Haga clic en Siguiente.
    Se abre la página de ajustes de Puertas de Enlace VPN.

Screen shot of the VPN Gateways and Pre-shared key settings

  1. Para usar un certificado del Firebox IPSec para esta conexión VPN, seleccione Usar Certificado del Firebox IPSec. Para utilizar una clave precompartida, vaya al Paso 11.
    Aparece una lista de certificados.

Screenshot of the IPSec certificate option in the Add a BOVPN Wizard

    1. Seleccione un certificado.
    2. Para el Firebox administrado en la nube, seleccione una red externa.
    3. Para esta red externa, especifique la dirección IP en la lista desplegable. Seleccione el nombre x500, el nombre de dominio o la dirección IP. Las opciones disponibles dependen de la configuración del certificado.
      Para redes con una configuración de dirección IP de DHCP o PPPoE, la dirección IP predeterminada es Cualquiera (Dinámica).
    4. Para el endpoint remoto:
      • En la lista desplegable Dirección IP, seleccione o ingrese una dirección IP.
      • En el cuadro de texto Identificación del Endpoint, ingresa un nombre x500, un nombre de dominio o una dirección IP que se resuelva en la dirección IP del endpoint remoto.
    1. Haga clic en Siguiente.
  1. Para usar una clave precompartida para esta conexión, para el Firebox administrado en la nube, seleccione una red externa.
    1. Especifique la dirección IP o un nombre de dominio que se resuelva en la dirección IP de la red externa del Firebox.
    2. Para el endpoint remoto, en el cuadro de texto IP o Nombre de Dominio, ingrese una dirección IP o un nombre de dominio que se resuelva en la dirección IP del endpoint remoto.
    3. En el cuadro de texto Clave precompartida, escriba una clave precompartida para asegurar este túnel VPN.
    4. Haga clic en Siguiente.

Screen shot of the Traffic settings

  1. Seleccione las redes internas y de invitados del Firebox a las que desea que se pueda acceder a través del túnel VPN.
  2. (Opcional) Para evitar conflictos cuando ambas redes usan el mismo rango de direcciones IP privadas, agregue NAT a un endpoint:
    1. Junto al endpoint administrado en la nube al que desea agregar NAT, haga clic en Agregar NAT.
      Se abre el cuadro de diálogo Agregar NAT.
    2. En el cuadro de texto NAT, ingrese una dirección IP y una máscara de red para la NAT.

    3. Haga clic en Agregar.
      La información de NAT se muestra junto a la entrada del endpoint de la red.

    Para eliminar una dirección IP de NAT, edite el cuadro de texto NAT para que esté vacío y haga clic en Guardar.

  3. Para agregar un recurso de red que no sea una red interna o de invitados:
    1. En la sección de recursos del Firebox, haga clic en Agregar Recurso de Red.
      Se abre el cuadro de diálogo Agregar Recurso de Red.
      Screen shot of the Add Network Resource dialog box
    1. En el cuadro de texto Recurso de Red, ingrese la dirección IP de la red y la máscara de red.¡Consejo!
    2. En el cuadro de texto Distancia, ingrese un valor entre 1 y 254. Las rutas con las métricas más bajas tienen mayor prioridad. El valor predeterminado es 1. En Fireware v12.9 o superior, el ajuste Distancia reemplaza el ajuste Métrica.
    3. (Opcional) Para agregar NAT a un recurso de red:
      1. Haga clic en Agregar NAT.
      2. En el cuadro de texto NAT, ingrese una dirección IP y una máscara de red para la NAT.
        La máscara de red que se utiliza en el cuadro de texto NAT debe coincidir con la máscara de red del recurso de red.

    4. Haga clic en Agregar.
      El recurso de red se agrega a los ajustes de Tráfico para el endpoint.
  4. Agregue un recurso de red para el endpoint remoto:
    1. En la sección del segundo endpoint, haga clic en Agregar Recurso de Red.
    1. En el cuadro de texto Recurso de Red, ingrese la dirección IP de la red y la máscara de red.
    2. En el cuadro de texto Distancia, ingrese un valor entre 1 y 254. Las rutas con las métricas más bajas tienen mayor prioridad. El valor predeterminado es 1. En Fireware v12.9 o superior, el ajuste Distancia reemplaza el ajuste Métrica.
    3. Haga clic en Agregar.
      El recurso de red se agrega a los ajustes de Tráfico para el endpoint.
  5. Repita el paso anterior para agregar otros recursos de red.
  6. (Recomendado) Para cada endpoint, en el cuadro de texto Dirección IP Virtual, ingrese una dirección IP. Una dirección IP virtual es una dirección IP que no está vinculada a una interfaz física. Para una BOVPN en WatchGuard Cloud, que es una interfaz virtual de BOVPN, una dirección IP virtual funciona como la puerta de enlace (siguiente salto). La dirección IP virtual se utiliza para el tráfico de respuesta enviado directamente a la interfaz virtual BOVPN.

Se requieren direcciones IP virtuales en algunos casos:

  • Debe especificar direcciones IP virtuales con una máscara de red /32 para poder agregar esta BOVPN a una acción de SD-WAN.
  • Si configura una BOVPN de ruta cero, debe ingresar las direcciones IP virtuales de modo que el tráfico de retorno utilice el túnel VPN. Si agrega un recurso de red BOVPN de ruta cero, y el endpoint de VPN remoto no puede enrutar el tráfico desde el Firebox administrado en la nube a WatchGuard Cloud, pierde la capacidad de administrar o monitorizar el Firebox.
  • Para tráfico generado por el Firebox, se requieren direcciones IP virtuales para que ese tráfico de respuesta utilice el túnel VPN. Algunos ejemplos de tráfico generado por el Firebox son tráfico DNS y DHCP, Dimension, syslog, SNMP, NTP, autenticación (Active Directory, LDAP y RADIUS) y otras conexiones establecidas por el Firebox a recursos a través del túnel.

Screen shot of the virtual IP address settings

  1. (Opcional) Para el endpoint administrado en la nube, puede seleccionar Habilitar Ajustes de Bit de No Fragmentar (DF). El bit de DF es una marca en el encabezado de un paquete. Este ajuste controla si el Firebox utiliza el ajuste de bit de DF original en el encabezado de un paquete.

Screenshot of the Don't Fragment (DF) Bit Settings UI.

En la lista desplegable Habilitar Ajustes de Bit de No Fragmentar (DF), seleccione una de las siguientes opciones:

Copiar

Copia el ajuste del bit de DF original del paquete IPSec al encabezado encapsulador.
Si un marco no tiene los bits de DF configurados, el Firebox no configura los bits de DF y fragmenta el paquete según sea necesario. Si un marco está configurado para no fragmentarse, el Firebox encapsula todo el marco y configura los bits de DF del paquete cifrado para que sean los mismos que los del marco original.

Configurar

El Firebox no puede fragmentar los paquetes IPSec independientemente de la configuración del bit original
Debe crear conexiones IPSec a un Firebox desde detrás de un Firebox diferente, no seleccione esta opción si desea habilitar la función de punto de transferencia de IPSec.

Despejar

El Firebox puede fragmentar los paquetes IPSec independientemente de la configuración del bit original
Esta opción divide el marco en partes que puedan contenerse en un paquete IPSec independientemente del ajuste del bit original.

Si no especifica una configuración del bit de DF para el endpoint, este utilizará el ajuste del bit de DF especificado en los ajustes de la interfaz externa.

  1. (Opcional) Para el Firebox administrado en la nube, ingrese un valor personalizado para la Unidad Máxima de Transmisión (MTU) en el cuadro de texto Configurar MTU del Túnel. El valor MTU predeterminado de la opción es 1400 bytes. La MTU especifica el paquete de datos más grande, medido en bytes, que una red puede transmitir. Podría ser conveniente especificar un valor personalizado para la MTU si el endpoint se conecta a un endpoint de VPN de terceros que descarta los paquetes que superan un tamaño determinado.

    2. Screenshot of the Configure Tunnel MTU UI.

  1. Haga clic en Siguiente.
    Se abre la página Ajustes de seguridad.

Screen shot of the default security settings

  1. Acepte los ajustes de seguridad predeterminados o edítelos para que coincidan con los ajustes admitidos por el endpoint de VPN remoto. Para información, vaya a Configurar los Ajustes de Seguridad de BOVPN. Para más información sobre la capacidad de procesamiento de la BOVPN, vaya a Optimizar la Capacidad de Procesamiento de la BOVPN.
  2. Haga clic en Agregar.
    Se agrega la implementación de la BOVPN y se abre la página Guía de BOVPN.

Screen shot of the last page of the Add BOVPN wizard, with the View Guide link

  1. Para abrir la Guía de BOVPN en una nueva pestaña del navegador, haga clic en Ver Guía.
    La Guía de BOVPN se abre en una nueva pestaña del navegador. Puede imprimir esta página o guardarla en un PDF.
  2. Para volver a la lista de BOVPN, haga clic en Finalizar.

Ver la Guía de BOVPN

Para cada BOVPN, WatchGuard Cloud genera una Guía de VPN que resume los ajustes de configuración de las VPN requeridos en el endpoint de VPN remoto. Puede ver la Guía de BOVPN desde la página Editar BOVPN. Para más información, vaya a Ver la Guía de BOVPN.

Configurar el Endpoint de VPN Remoto

En el endpoint de VPN remoto, agregue una VPN IKEv2 basado en rutas con ajustes que coincidan con los ajustes de VPN en el Firebox administrado en la nube. Para más información, vaya a Configurar los Ajustes de Endpoint de VPN Remoto en un Firebox Administrado Localmente o un Endpoint de VPN de Terceros.

Editar o Eliminar una BOVPN

Puede editar o eliminar una BOVPN desde la página BOVPN. Para información, vaya a Administrar BOVPN para Fireboxes Administrados en la Nube.

Temas Relacionados

Administrar la Implementación de la Configuración del Dispositivo

Configurar una Red Interna o de Invitados del Firebox

Administrar Certificados