Compartir vía

Configuración de una conexión de alta disponibilidad desde el entorno local a cloudSimple VPN Gateway

  • Artículo

Los administradores de red pueden configurar una conexión VPN de sitio a sitio de IPsec de alta disponibilidad desde su entorno local a una puerta de enlace de VPN de CloudSimple.

En esta guía se presentan los pasos para configurar un firewall local para una conexión de alta disponibilidad vpn de sitio a sitio de IPsec. Los pasos detallados son específicos del tipo de firewall local. Como ejemplos, esta guía presenta los pasos para dos tipos de firewalls: Cisco ASA y Palo Alto Networks.

Antes de empezar

Complete las siguientes tareas antes de configurar el firewall local.

  1. Compruebe que la organización ha aprovisionado los nodos necesarios y ha creado al menos una nube privada de CloudSimple.
  2. Configurar una puerta de enlace de VPN de sitio a sitio entre la red local y la nube privada de CloudSimple.

Consulte visión general de las puertas de enlace de VPN para las propuestas admitidas de la fase 1 y la fase 2.

Configuración del firewall de Cisco ASA local

Las instrucciones de esta sección se aplican a Cisco ASA versión 8.4 y posteriores. En el ejemplo de configuración, Cisco Adaptive Security Appliance Software Versión 9.10 se implementa y configura en modo IKEv1.

Para que la VPN de sitio a sitio funcione, debe permitir UDP 500/4500 y ESP (protocolo IP 50) desde la ip pública principal y secundaria de CloudSimple (IP del mismo nivel) en la interfaz externa de la puerta de enlace VPN de Cisco ASA local.

1. Configurar la fase 1 (IKEv1)

Para habilitar la fase 1 (IKEv1) en la interfaz externa, escriba el siguiente comando de la CLI en el firewall de Cisco ASA.

crypto ikev1 enable outside

2. Creación de una directiva IKEv1

Cree una directiva IKEv1 que defina los algoritmos y métodos que se usarán para el hash, la autenticación, el grupo Diffie-Hellman, la duración y el cifrado.

crypto ikev1 policy 1
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 28800

3. Crear un grupo de túneles

Cree un grupo de túneles en los atributos IPsec. Configure la dirección IP del homólogo y la clave precompartida del túnel, que estableció al configurar la puerta de enlace VPN de sitio a sitio.

tunnel-group <primary peer ip> type ipsec-l2l
tunnel-group <primary peer ip> ipsec-attributes
ikev1 pre-shared-key *****

tunnel-group <secondary peer ip> type ipsec-l2l
tunnel-group <secondary peer ip> ipsec-attributes
ikev1 pre-shared-key *****

4. Configuración de la fase 2 (IPsec)

Para configurar la fase 2 (IPsec), cree una lista de control de acceso (ACL) que defina el tráfico que se va a cifrar y tunelizar. En el ejemplo siguiente, el tráfico de interés procede del túnel que se origina desde la subred local (10.16.1.0/24) a la subred remota de la nube privada (192.168.0.0/24). La ACL puede contener varias entradas si hay varias subredes entre los sitios.

En las versiones 8.4 y posteriores de Cisco ASA, se pueden crear objetos o grupos de objetos que sirven como contenedores para las redes, subredes, direcciones IP de host o varios objetos. Cree un objeto para el local y un objeto para las subredes remotas y úselos para la ACL criptográfica y las instrucciones NAT.

Definir una subred local interna como un objeto

object network AZ_inside
subnet 10.16.1.0 255.255.255.0

Definición de la subred remota de CloudSimple como un objeto

object network CS_inside
subnet 192.168.0.0 255.255.255.0

Configurar una lista de acceso para el tráfico de interés

access-list ipsec-acl extended permit ip object AZ_inside object CS_inside

5. Configurar el conjunto de transformaciones

Configure el conjunto de transformaciones (TS), que debe implicar la palabra clave ikev1. Los atributos de cifrado y hash especificados en el TS deben corresponder con los parámetros enumerados en la configuración predeterminada para las gateways VPN de CloudSimple.

crypto ipsec ikev1 transform-set devtest39 esp-aes-256 esp-sha-hmac

6. Configurar el mapa criptográfico

Configure el mapa criptográfico, que contiene estos componentes:

  • Dirección IP del par
  • ACL definida que contiene el tráfico de interés
  • Conjunto de transformación
crypto map mymap 1 set peer <primary peer ip> <secondary peer ip>
crypto map mymap 1 match address ipsec-acl
crypto map mymap 1 set ikev1 transform-set devtest39

7. Aplicar el mapa criptográfico

Aplique el mapa criptográfico en la interfaz externa:

crypto map mymap interface outside

8. Confirmar las reglas NAT aplicables

A continuación se muestra la regla NAT que se usa. Asegúrese de que el tráfico VPN no está sujeto a ninguna otra regla NAT.

nat (inside,outside) source static AZ_inside AZ_inside destination static CS_inside CS_inside

Salida de ejemplo establecida de VPN de sitio a sitio IPsec de Cisco ASA

Salida de la fase 1:

salida de la fase 1 para el firewall de Cisco ASA

Salida de la Fase 2

salida de fase 2 para el firewall de Cisco ASA

Configuración del firewall local de Palo Alto Networks

Las instrucciones de esta sección se aplican a Palo Alto Networks versión 7.1 y posteriores. En este ejemplo de configuración, Palo Alto Networks VM-Series Software Versión 8.1.0 se implementa y configura en modo IKEv1.

Para que la VPN entre sitios funcione, debe permitir UDP 500/4500 y ESP (protocolo IP 50) desde la dirección IP pública principal y secundaria de CloudSimple (IP par) en la interfaz externa de la puerta de enlace local de Palo Alto Networks.

1. Creación de interfaces de túnel principal y secundaria

Inicie sesión en el firewall de Palo Alto, seleccione Network>Interfaces>Tunnel>Agregar, configure los campos siguientes y haga clic en Aceptar.

  • Nombre de la interfaz. El primer campo se rellena automáticamente con la palabra clave "tunnel". En el campo adyacente, escriba cualquier número entre 1 y 9999. Esta interfaz se usará como interfaz de túnel principal para llevar el tráfico de sitio a sitio entre el centro de datos local y la nube privada.
  • Comentario. Escriba comentarios para facilitar la identificación del propósito del túnel.
  • Perfil de Netflow. Deje el valor predeterminado.
  • Configuración. Asignar interfaz a: Enrutador virtual: seleccione predeterminado. Zona de seguridad: seleccione la zona para el tráfico LAN de confianza. En este ejemplo, el nombre de la zona para el tráfico LAN es "Trust".
  • IPv4. Haga clic en Agregar y agregue cualquier dirección IP /32 no superpuesta en su entorno, que se asignará a la interfaz del túnel principal y se usará para supervisar los túneles (se explica más adelante).

Dado que esta configuración es para una VPN de alta disponibilidad, se requieren dos interfaces de túnel: una principal y otra secundaria. Repita los pasos anteriores para crear la interfaz del túnel secundario. Seleccione un identificador de túnel diferente y otra dirección IP /32 sin usar.

2. Configurar rutas estáticas para que las subredes de la nube privada sean alcanzadas a través de la VPN de sitio a sitio

Las rutas son necesarias para que las subredes locales lleguen a las subredes de nube privada de CloudSimple.

Seleccione Network>Virtual Routers>predeterminado>rutas estáticas>Agregar, configure los campos siguientes y haga clic en Aceptar.

  • Nombre. Escriba cualquier nombre para facilitar la identificación del propósito de la ruta.
  • Destino. Especifique las subredes de nube privada de CloudSimple a las que se va a acceder a través de interfaces de túnel S2S desde el entorno local.
  • Interfaz. Seleccione la interfaz de túnel principal creada en el paso 1(Sección-2) en la lista desplegable. En este ejemplo, es tunnel.20.
  • Next Hop (Próximo salto). Seleccione Ninguno.
  • Distancia de administrador. Deje el valor predeterminado.
  • Métrica Escriba cualquier valor de 1 a 65535. La clave consiste en especificar una métrica inferior para la ruta correspondiente a la interfaz de túnel principal en comparación con la interfaz de túnel secundaria correspondiente a la ruta que hace que se prefiera la ruta anterior. Si tunnel.20 tiene un valor de métrica de 20 en lugar de un valor de métrica de 30 para tunnel.30, se prefiere tunnel.20.
  • Tabla de rutas. Deje el valor predeterminado.
  • Perfil BFD. Deje el valor predeterminado.
  • Supervisión de rutas de acceso. Deje la opción desactivada.

Repita los pasos anteriores para crear otra ruta para que las subredes de la nube privada se usen como ruta secundaria o de copia de seguridad a través de la interfaz del túnel secundario. Esta vez, seleccione un identificador de túnel diferente y una métrica mayor que para la ruta principal.

3. Definir el perfil criptográfico

Defina un perfil criptográfico que especifique los protocolos y algoritmos para la identificación, la autenticación y el cifrado que se usarán para configurar túneles VPN en la fase 1 de IKEv1.

Seleccione Network>Expand Network Profiles>IKE Crypto>Add, configure los campos siguientes y haga clic en OK.

  • Nombre. Escriba cualquier nombre del perfil criptográfico de IKE.
  • Grupo DH. Haga clic en Agregar y seleccione el grupo DH adecuado.
  • Encriptación. Haga clic en Agregar y seleccione el método de cifrado adecuado.
  • Autenticación. Haga clic en Agregar y seleccione el método de autenticación adecuado.
  • Duración de la clave. Deje el valor predeterminado.
  • Autenticación múltiple de IKEv2. Deje el valor predeterminado.

4. Definir puertas de enlace de IKE

Definir las puertas de enlace de IKE para establecer comunicación entre los pares a través de cada extremo del túnel de VPN.

Seleccione Red>Expandir Perfiles de Red>Puertas de Enlace IKE>Agregar, configure los siguientes campos y haga clic en Aceptar.

Pestaña General:

  • Nombre. Escriba el nombre de la puerta de enlace IKE que debe emparejarse con el par principal de CloudSimple VPN.
  • Versión. Seleccione modo solo IKEv1.
  • Tipo de dirección. Seleccione IPv4.
  • Interfaz. Seleccione la interfaz pública o externa.
  • Dirección IP local. Deje el valor predeterminado.
  • Tipo de dirección IP del mismo nivel. Seleccione IP.
  • Dirección de par. Introduzca la dirección IP principal del par de VPN de CloudSimple.
  • Autenticación. Seleccione clave previamente compartida.
  • Clave precompartida/Confirmar clave precompartida. Escriba la clave precompartida para que coincida con la clave de puerta de enlace de VPN de CloudSimple.
  • Identificación local. Escriba la dirección IP pública del firewall local de Palo Alto.
  • Identificación de pares. Introduzca la dirección IP principal del compañero de VPN de CloudSimple.

Pestaña Opciones avanzadas:

  • Habilite el modo pasivo. Deje la opción desactivada.
  • Habilite NAT Traversal. Deje desactivado si el firewall local de Palo Alto no está detrás de ningún dispositivo NAT. De lo contrario, active la casilla.

IKEv1:

  • Modo de intercambio. Seleccione main (principal).
  • Perfil criptográfico de IKE. Seleccione el perfil criptográfico de IKE que creó anteriormente. Deje desactivada la casilla Habilitar fragmentación.
  • Detección de pares muertos. Deje la casilla desactivada.

Repita los pasos anteriores para crear la puerta de enlace de IKE secundaria.

5. Definir perfiles criptográficos de IPSEC

Seleccione Network>Expandir perfiles de red>IPSEC Crypto>Agregar, configure los campos siguientes y haga clic en Aceptar.

  • Nombre. Escriba un nombre para el perfil criptográfico de IPsec.
  • Protocolo IPsec. Seleccione ESP.
  • Encriptación. Haga clic en Agregar y seleccione el método de cifrado adecuado.
  • Autenticación. Haga clic en Agregar y seleccione el método de autenticación adecuado.
  • Grupo DH. Seleccione no-pfs.
  • Toda la vida. Configurar a 30 minutos.
  • Habilitar. Deje la casilla desactivada.

Repita los pasos anteriores para crear otro perfil criptográfico de IPsec, que se usará como el par secundario de VPN de CloudSimple. El mismo perfil criptográfico ipSEC también se puede usar para los túneles IPsec principal y secundario (consulte el procedimiento siguiente).

6. Definir perfiles de supervisión para la supervisión del túnel

Seleccione Red>Expandir perfiles de red>Monitor>Agregar, configure los campos siguientes y haga clic en Aceptar.

  • Nombre. Escriba cualquier nombre para el perfil de supervisión que se usará en la supervisión de túneles para una reacción proactiva en caso de falla.
  • Acción Seleccione el modo de conmutación por error .
  • Intervalo. Escriba el valor 3.
  • Umbral. Escriba el valor 7.

7. Configurar túneles IPsec principales y secundarios.

Seleccione Network>túneles IPsec>Agregar, configure los siguientes campos y haga clic en Aceptar.

Pestaña General:

  • Nombre. Escriba cualquier nombre para el túnel IPSEC principal que se conectará con el par VPN principal de CloudSimple.
  • Interfaz de túnel. Seleccione la interfaz del túnel principal.
  • Tipo. Deje el valor predeterminado.
  • Tipo de dirección. Seleccione IPv4.
  • Puerta de enlace de IKE. Seleccione la puerta de enlace IKE principal.
  • Perfil criptográfico de IPsec. Seleccione el perfil IPsec principal. Seleccione Mostrar opciones avanzadas.
  • Habilite la protección contra reproducciones repetidas. Deje el valor predeterminado.
  • Copie el encabezado TOS. Deje la casilla sin marcar.
  • Monitor de túnel. Marque la casilla.
  • Dirección IP de destino. Escriba cualquier dirección IP que pertenezca a la subred de nube privada de CloudSimple que esté permitida a través de la conexión de sitio a sitio. Asegúrese de que las interfaces de túnel (como tunnel.20 - 10.64.5.2/32 y tunnel.30 - 10.64.6.2/32) en Palo Alto pueden acceder a la dirección IP de la nube privada de CloudSimple a través de la VPN de sitio a sitio. Consulte la siguiente configuración para los identificadores de proxy.
  • Perfil. Seleccione el perfil de supervisión.

pestaña Identificadores de proxy: haga clic en IPv4>Agregar y configure lo siguiente:

  • Identificador de proxy. Escriba cualquier nombre para el tráfico de interés. Podría haber varios identificadores de proxy llevados dentro de un túnel IPsec.
  • Local. Especifique las subredes locales locales que pueden comunicarse con subredes de nube privada a través de la VPN de sitio a sitio.
  • Remoto. Especifique las subredes remotas de la nube privada que pueden comunicarse con las subredes locales.
  • Protocolo. Seleccione cualquier.

Repita los pasos anteriores para crear otro túnel IPsec que se usará para la pareja secundaria de la VPN de CloudSimple.

Referencias

Configuración de NAT en Cisco ASA:

Guía de Configuración de la Serie Cisco ASA 5500

Atributos IKEv1 y IKEv2 admitidos en Cisco ASA:

Guía de configuración de la CLI de la serie Cisco ASA

Configuración de VPN IPsec de sitio a sitio en Cisco ASA con la versión 8.4 y posteriores:

Configurar túneles sitio a sitio IKEv1 IPsec con el ASDM o la CLI en la ASA

Configuración del appliance de seguridad adaptable virtual de Cisco (ASAv) en Azure:

Guía de inicio rápido de Cisco Adaptive Security Virtual Appliance (ASAv)

Configuración de VPN de sitio a sitio con identificadores de proxy en Palo Alto:

Configurar VPN de sitio a sitio

Configuración del monitor de túnel:

Configurar la supervisión de túneles

Operaciones de puerta de enlace IKE o de túnel IPsec.

habilitar o deshabilitar, actualizar o reiniciar una puerta de enlace de IKE o un túnel IPsec