Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN basadas en rutas y en políticas con NAT-T

Network Address Translation-Traversal (NAT-T) es un método utilizado para administrar los problemas relacionados con la traducción de direcciones IP que se producen cuando los datos protegidos por IPsec pasan a través de un dispositivo configurado con NAT para la traducción de direcciones.

Descripción de NAT-T

Network Address Translation-Traversal (NAT-T) es un método para evitar los problemas de traducción de direcciones IP que se producen cuando los datos protegidos por IPsec pasan a través de un dispositivo NAT para la traducción de direcciones. Cualquier cambio en el direccionamiento IP, que es la función de NAT, hace que IKE descarte paquetes. Después de detectar uno o más dispositivos NAT a lo largo de la ruta de datos durante los intercambios de fase 1, NAT-T agrega una capa de encapsulación del Protocolo de datagramas de usuario (UDP) a los paquetes IPsec para que no se descarten después de la traducción de direcciones. NAT-T encapsula el tráfico IKE y ESP dentro de UDP con el puerto 4500 utilizado como puerto de origen y destino. Debido a que los dispositivos NAT caducan las traducciones UDP obsoletas, se requieren mensajes keepalive entre los pares.

NAT-T está habilitado de forma predeterminada, por lo tanto, debe utilizar la instrucción en el nivel de jerarquía para deshabilitar el NAT-T.no-nat-traversal[edit security ike gateway gateway-name

Hay dos grandes categorías de NAT:

  • NAT estático, donde existe una relación uno a uno entre las direcciones privadas y públicas. La NAT estática funciona tanto en direcciones entrantes como salientes.

  • NAT dinámico, donde existe una relación varios a uno o varios a muchos entre las direcciones privadas y públicas. La NAT dinámica solo funciona en la dirección de salida.

La ubicación de un dispositivo NAT puede ser tal que:

  • Solo el iniciador IKEv1 o IKEv2 está detrás de un dispositivo NAT. Múltiples iniciadores pueden estar detrás de dispositivos NAT separados. Los iniciadores también pueden conectarse al respondedor a través de varios dispositivos NAT.

  • Solo el respondedor IKEv1 o IKEv2 está detrás de un dispositivo NAT.

  • Tanto el iniciador IKEv1 o IKEv2 como el respondedor están detrás de un dispositivo NAT.

La VPN de punto de conexión dinámica cubre la situación en la que la dirección externa del IKE del iniciador no es fija y, por lo tanto, el respondedor no la conoce. Esto puede ocurrir cuando un ISP asigna dinámicamente la dirección del iniciador o cuando la conexión del iniciador cruza un dispositivo NAT dinámico que asigna direcciones de un grupo de direcciones dinámicas.

Se proporcionan ejemplos de configuración para NAT-T para la topología en la que solo el respondedor está detrás de un dispositivo NAT y la topología en la que tanto el iniciador como el respondedor están detrás de un dispositivo NAT. La configuración de puerta de enlace IKE de sitio a sitio para NAT-T es compatible tanto con el iniciador como con el respondedor. Un ID de IKE remoto se utiliza para validar el ID de IKE local de un par durante la fase 1 de la negociación del túnel de IKE. Tanto el iniciador como el respondedor requieren una y una configuración.local-identityremote-identity

En los dispositivos SRX5400, SRX5600 y SRX5800, los problemas de escalado y mantenimiento del túnel NAT-T de IPsec son los siguientes:

  • Para una dirección IP privada determinada, el dispositivo NAT debe traducir 500 y 4500 puertos privados a la misma dirección IP pública.

  • El número total de túneles de una IP traducida pública determinada no puede superar los 1000 túneles.

A partir de Junos OS versión 19.2R1, PowerMode IPSec (PMI) para NAT-T solo se admite en dispositivos SRX5400, SRX5600 y SRX5800 equipados con la tarjeta de procesamiento de servicios (SPC) SRX5K-SPC3 o con el firewall virtual vSRX.

Ejemplo: Configuración de una VPN basada en rutas con el respondedor enun dispositivo NAT

En este ejemplo se muestra cómo configurar una VPN basada en rutas con un respondedor detrás de un dispositivoNAT entre una sucursal y la oficina corporativa.

Requisitos

Antes de comenzar, lea .Información general sobre IPsec

Descripción general

En este ejemplo, se configura una VPN basada en rutas. Host1 usará la VPN para conectarse a su sede corporativa en SRX2.

Figura 1 muestra un ejemplo de una topología para VPN basada en rutas con solo el respondedor detrás de un dispositivo NAT.

Figura 1: Topología VPN basada en rutas con solo el respondedor behind un dispositivo NATTopología VPN basada en rutas con solo el respondedor behind un dispositivo NAT

En este ejemplo, se configuran interfaces, IPsec y directivas de seguridad para un iniciador en SRX1 y un respondedor en SRX2. A continuación, configure los parámetros IKE fase 1 e IPsec fase 2.

SRX1 envía paquetes con la dirección de destino 1 72.1 6.2 1.1 para establecer la VPN.El dispositivo NATtraduzcala dirección de destino a 10.1.31.1.

Consulte hasta para ver parámetros de configuración específicos utilizados para el iniciador en los ejemplos.Tabla 1Tabla 3

Tabla 1: Interfaz, opciones de enrutamiento y parámetros de seguridad para SRX1

Característica

Nombre

Parámetros de configuración

Interfaces

ge-0/0/1

1 72.16.11.1/24

 

ge-0/0/0

10.1.1 1.1/24

 

st0. 0 (interfaz de túnel)

10.1.100.1/24

Rutas estáticas

10.1.2 1,0/24

El siguiente salto es st0.0.

 

1 72,1 6.2 1.1/32

El siguiente salto es 172.16.11.2.

Zonas de seguridad

no confiar

  • El serviciodel sistema s de IKE y ping.

  • El ge-0/0/1.0 y el st0. 0 interfaces están enlazadas a esta zona.

 

confiar

  • Permitir todos los servicios delsistema.

  • Permitir todoslos protocolos.

  • La interfaz ge-0/0/0.0 está vinculada a esta zona.

Políticas de seguridad

a-SRX2

Permitir tráfico a partir de 10.1.1 1.0/24 en la zona de confianza a 10.1.2 1.0/24 en la zona de no confianza.

desde-SRX2

Permitir tráfico desde 10.1.2 1.0/24 en la zona de no confianza a 10.1.1 1.0/24 en la zona de confianza.

Tabla 2: Parámetros de configuración de fase 1 de IKE para SRX1

Característica

Nombre

Parámetros de configuración

Propuesta

ike_prop

  • Método de autenticación: claves precompartidas

  • Grupo Diffie-Hellman: group2

  • Algorítmo de autenticación: sha1

  • Algorítmo de cifrado: 3des-cbc

Política

ike_pol

  • Modo: principal

  • Referencia de propuesta: ike_prop

  • Método de autenticación de políticas de fase 1 de IKE: ASCII-texto de clave precompartida

Puerta de enlace

gw1

  • Referencia de política ICR: ike_pol

  • Interfaz externa: ge-0/0/1.0

  • Dirección de puerta de enlace: 172,1 6.2 1.1 Español

  • Par local (iniciador): branch_natt1@example.net

  • Par remoto (respondedor): responder_natt1@example.net

Tabla 3: Parámetros de configuración de fase 2 de IPsec para SRX1

Característica

Nombre

Parámetros de configuración

Propuesta

ipsec_prop

  • Protocolo: esp

  • Algorítmo de autenticación: HMAC-SHA1-96

  • Algorítmo de cifrado: 3des-cbc

Política

ipsec_pol

  • Referencia de propuesta: ipsec_prop

  • Teclas de confidencialidad directa perfecta (PFS): grupo2

VPN

vpn1

  • Referencia de puerta de enlace ICR: GW1

  • Referencia de política IPsec: ipsec_pol

  • Enlazar a interfaz: st0.0

  • Establezca túneles inmediatamente

Consulte hasta para ver parámetros de configuración específicos utilizados para el respondedor en los ejemplos.Tabla 4Tabla 6

Tabla 4: Interfaz, opciones de enrutamiento y parámetros de seguridad para SRX2

Característica

Nombre

Parámetros de configuración

Interfaces

ge-0/0/1

10.1.3 1.1/24

 

ge-0/0/0

10.1.2 1.1/24

 

st0. 0 (interfaz de túnel)

1 0.1.1 00.2/24

Rutas estáticas

172.16.11.1/32

El siguiente salto es 1 0.1.3 1.2.

 

10.1.1 1,0/24

El siguiente salto es st0.0.

Zonas de seguridad

no confiar

  • Permitir IKE y hacer ping a los serviciosdel sistema.

  • El ge-0/0/1.0 y el st0. 0 interfaces están enlazadas a esta zona.

 

confiar

  • Permitir todos los servicios delsistema.

    Permitir todoslos protocolos.

  • La interfaz ge-0/0/0.0 está vinculada a esta zona.

Políticas de seguridad

a-SRX1

Permitir tráfico desde 10.1.2 1.0/24 en la zona de confianza a 10.1.1 1.0/24 en la zona de no confianza.

desde-SRX1

Permitir tráfico desde 10.1.1 1.0/24 en la zona de no confianza a 10.1.2 1.0/24 en la zona de confianza.

Tabla 5: Parámetros de configuración de fase 1 de IKE para SRX2

Característica

Nombre

Parámetros de configuración

Propuesta

ike_prop

  • Método de autenticación: claves precompartidas

  • Grupo Diffie-Hellman: grupo2

  • Algorítmo de autenticación: sha1

  • Algorítmo de cifrado: 3des-cbc

Política

ike_pol

  • Modo: principal

  • Referencia de propuesta: ike_prop

  • Método de autenticación de políticas de fase 1 de IKE: ASCII-texto de clave precompartida

Puerta de enlace

GW1

  • Referencia de política ICR: ike_pol

  • Interfaz externa: ge-0/0/1.0

  • Dirección de puerta de enlace: 1 72.16.11.1 Español

  • Par local (respondedor): responder_natt1@example.net

  • Par remoto (iniciador): branch_natt1@example.net

Tabla 6: Parámetros de configuración de fase 2 de IPsec para SRX2

Característica

Nombre

Parámetros de configuración

Propuesta

ipsec_prop

  • Protocolo: esp

  • Algorítmo de autenticación: HMAC-SHA1-96

  • Algorítmo de cifrado: 3des-cbc

Política

ipsec_pol

  • Referencia de propuesta: ipsec_prop

  • Claves PFS: grupo2

VPN

vpn1

  • Referencia de puerta de enlace ICR: GW1

  • Referencia de política IPsec: ipsec_pol

  • Enlazar a interfaz: st0.0

  • Establezca túneles inmediatamente

Configuración

Configuración de interfaz, opciones de enrutamiento y parámetros de seguridad para SRX1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar interfaces, rutasestáticas y parámetros de seguridad:

  1. Configure las interfacesconectadas a Internet, Host1 y la interfaz utilizada para la VPN.

  2. Configure rutas estáticas para el tráfico que usará la VPN y para que SRX1 llegue al dispositivo NAT.

  3. Configure la zona de seguridad de no confianza.

  4. Configure la zona de seguridad de confianza.

  5. Configure libretas de direcciones para las redes utilizadas en las directivas de seguridad.

  6. Cree políticas de seguridad para permitir el tráfico entre los hosts.

Resultados

Desde el modo de configuración, escriba los comandos , y para confirmar la configuración. show interfacesshow routing-optionsshow security Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de IKE para SRX1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar ICR:

  1. Creeuna propuesta de fase 1 de IKE.

  2. Cree una política de fase 1 de IKE.

  3. Configure los parámetros de puerta de enlace de fase 1 de IKE. La dirección de puerta de enlace debe ser la IP del dispositivo NAT.

Resultados

Desde el modo de configuración, confírmela con el comando show security ike. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de IPsec para SRX1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar IPsec:

  1. Cree una propuesta de fase 2 de IPsec.

  2. Cree la directiva de fase 2 de IPsec.

  3. Configure los parámetros VPN de IPsec.

Resultados

Desde el modo de configuración, confírmela con el comando show security ipsec. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de interfaces, opciones de enrutamiento y parámetros de seguridad para SRX2

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar interfaces, rutasestáticas y parámetros de seguridad:

  1. Configure las interfaces conectadas a Internet, Host2 y la interfaz utilizada para la VPN.

  2. Configure rutas estáticas para el tráfico que usará la VPN y para que SRX2 llegue a SRX1.

  3. Configure la zona de seguridad de no confianza.

  4. Configure la zona de seguridad de confianza.

  5. Configure libretas de direcciones para las redes utilizadas en las directivas de seguridad.

  6. Cree políticas de seguridad para permitir el tráfico entre los hosts.

Resultados

Desde el modo de configuración, escriba los comandos , y para confirmar la configuración. show interfacesshow routing-optionsshow security Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de IKE para SRX2

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar ICR:

  1. Cree una propuesta de fase 1 de IKE.

  2. Cree una política de fase 1 de IKE.

  3. Configure los parámetros de puerta de enlace de fase 1 de IKE. La dirección de puerta de enlace debe ser la IP de SRX1.

Resultados

Desde el modo de configuración, confírmela con el comando show security ike. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de IPsec para SRX2

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar IPsec:

  1. Cree una propuesta de fase 2 de IPsec.

  2. Cree la directiva de fase 2 de IPsec.

  3. Configure los parámetros VPN de IPsec.

Resultados

Desde el modo de configuración, confírmela con el comando show security ipsec. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración del dispositivo NAT

Configuración rápida de CLI

En el ejemplo se utiliza NAT estática. La NAT estática es bidireccional, lo que significa que el tráfico de 10.1.31.1 a 172.16.11.1 también utilizará la misma configuración de NAT.

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Verificación del estado de fase 1 de IKE en SRX1

Propósito

Verifique el estado de la fase 1 de IKE.

Acción

Desde el modo operativo, ingrese el comando show security ike security-associations. Para obtener una salida más detallada, utilice el comando.show security ike security-associations detail

Significado

El comando enumera todas las SA de fase 1 de IKE activas.show security ike security-associations Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.

Si las SA aparecen en la lista, revise la siguiente información:

  • Índice: este valor es único para cada SA de IKE, que puede utilizar en el comando para obtener más información acerca de la SA.show security ike security-associations index detail

  • Dirección remota: compruebe que la dirección IP remota sea correcta y que el puerto 4500 se esté utilizando para la comunicación punto a punto. Recuerde que NAT-T encapsula el tráfico IKE y ESP dentro de UDP con el puerto 4500.

  • Estado del iniciador de roles

    • Arriba: se establece la SA de fase 1.

    • Abajo: hubo un problema al establecer la SA de fase 1.

    • Ambos pares del par SA IPsec usan el puerto 4500.

    • ID de IKE par: compruebe que la dirección remota sea correcta.

    • Identidad local e identidad remota: verifique que sean correctas.

  • Modo: verifica que se esté utilizando el modo correcto.

Compruebe que los siguientes elementos son correctos en su configuración:

  • Interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)

  • Parámetros de política de ICR

  • Información de claves precompartidas

  • Parámetros de propuesta de fase 1 (deben coincidir en ambos pares)

El comando enumera información adicional acerca de las asociaciones de seguridad:show security ike security-associations

  • Algoritmos de autenticación y cifrado utilizados

  • Duración de la fase 1

  • Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)

  • Información de funciones

    La solución de problemas se realiza de mejor manera en el mismo nivel que usa la función de respondedor.

  • Información del iniciador y del respondedor

  • Cantidad de SA de IPsec creadas

  • Número de negociaciones de la Fase 2 en curso

Comprobación de asociaciones de seguridad IPsec en SRX1

Propósito

Verifique el estado de IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ipsec security-associations. Para obtener una salida más detallada, utilice el comando.show security ipsec security-associations detail

Significado

El resultado del comando show security ipsec security-associations muestra la siguiente información:

  • La puerta de enlace remota tiene unadirección nde 1 72.1 6.2 1.1.

  • Ambos pares del par SA IPsec usan el puerto 4500.

  • El SPI, la vida útil (en segundos) y los límites de uso (o tamaño de vida útil en KB) se muestran para ambas direcciones. El valor 2160/ unlim indica que la duración de la fase 2 expira en 2160 segundos y que no se ha especificado ningún tamaño de vida útil, lo que indica que es ilimitada. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.

  • La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna Mon. Si está habilitada la supervisión de VPN, U indica que la supervisión está activa y D indica que la supervisión está inactiva.

  • El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.

Verificación del estado de fase 1 de IKE en SRX2

Propósito

Verifique el estado de la fase 1 de IKE.

Acción

Desde el modo operativo, ingrese el comando show security ike security-associations. Para obtener una salida más detallada, utilice el comando.show security ike security-associations detail

Significado

El comando enumera todas las SA de fase 1 de IKE activas.show security ike security-associations Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.

Si las SA aparecen en la lista, revise la siguiente información:

  • Índice: este valor es único para cada SA de IKE, que puede utilizar en el comando para obtener más información acerca de la SA.show security ike security-associations detail

  • Dirección remota: compruebe que la dirección IP remota sea correcta y que el puerto 4500 se esté utilizando para la comunicación punto a punto.

  • Estado del respondedor de roles

    • Arriba: se estableció la SA de fase 1.

    • Abajo: hubo un problema al establecer la SA de fase 1.

    • ID de IKE par: verifica que la dirección sea correcta.

    • Identidad local e identidad remota: compruebe que estas direcciones sean correctas.

  • Modo: verifica que se esté utilizando el modo correcto.

Compruebe que los siguientes elementos son correctos en su configuración:

  • Interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)

  • Parámetros de política de ICR

  • Información de claves precompartidas

  • Parámetros de propuesta de fase 1 (deben coincidir en ambos pares)

El comando enumera información adicional acerca de las asociaciones de seguridad:show security ike security-associations

  • Algoritmos de autenticación y cifrado utilizados

  • Duración de la fase 1

  • Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)

  • Información de funciones

    La solución de problemas se realiza de mejor manera en el mismo nivel que usa la función de respondedor.

  • Información del iniciador y del respondedor

  • Cantidad de SA de IPsec creadas

  • Número de negociaciones de la Fase 2 en curso

Comprobación de asociaciones de seguridad IPsec en SRX2

Propósito

Verifique el estado de IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ipsec security-associations. Para obtener una salida más detallada, utilice el comando.show security ipsec security-associations detail

Significado

El resultado del comando show security ipsec security-associations muestra la siguiente información:

  • La puerta de enlace remota tiene una dirección IP de 172.16.11.1.

  • Ambos pares del par SA IPsec usan el puerto 4500.

  • El SPI, la vida útil (en segundos) y los límites de uso (o tamaño de vida útil en KB) se muestran para ambas direcciones. El valor 1562/ unlim indica que la duración de la fase 2 expira en 1562 segundos y que no se ha especificado ningún tamaño de vida útil, lo que indica que es ilimitada. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.

  • La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna Mon. Si está habilitada la supervisión de VPN, U indica que la supervisión está activa y D indica que la supervisión está inactiva.

  • El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.

El resultado del comando show security ipsec security-associations index index_iddetail muestra la siguiente información:

  • La identidad local y la identidad remota constituyen el ID de proxy para la SA.

    Una discrepancia de ID de proxy es una de las causas más comunes de un error de fase 2. Si no aparece ninguna SA de IPsec, confirme que las propuestas de fase 2, incluida la configuración del ID de proxy, son correctas para ambos pares. Para VPN basadas en rutas, el ID de proxy predeterminado es local=0.0.0.0/0, remote=0.0.0.0/0 y service=any. Pueden producirse problemas con varias VPN basadas en rutas desde el mismo IP de par. En este caso, debe especificarse un ID de proxy único para cada SA de IPsec. Para algunos proveedores de terceros, el ID de proxy se debe especificar manualmente para que coincida.

  • Otra razón común para la falla de fase 2 es no especificar el enlace de la interfaz ST. Si IPsec no puede completarse, compruebe el registro de kmd o establezca opciones de rastreo.

Verificación de la accesibilidad de host a host

Propósito

Compruebe que el host1 puede llegar al host2.

Acción

Desde Host1 ping Host2. Para comprobar que el tráfico utiliza la VPN, utilice el comando en SRX1.show security ipsec statistics Borre las estadísticas con el comando antes de ejecutar el comando ping.clear security ipsec statistics

Significado

Los resultados muestran que Host1 puede hacer ping a Host2 y que el tráfico está usando la VPN.

Ejemplo: Configuración de una VPN basada en políticas con un iniciador y un respondedor detrás de un dispositivo NAT

En este ejemplo se muestra cómo configurar una VPN basada en políticas con un iniciador y un respondedor detrás de un dispositivo NAT para permitir que los datos se transfieran de forma segura entre una sucursal y la oficina corporativa.

Requisitos

Antes de comenzar, lea Información general sobre IPsec.

Descripción general

En este ejemplo, se configura una VPN basada en políticas para una sucursal de Chicago, Illinois, porque desea conservar los recursos del túnel, pero seguir teniendo restricciones granulares en el tráfico de VPN. Los usuarios de la sucursal usarán la VPN para conectarse a su sede corporativa en Sunnyvale, California.

En este ejemplo, se configuran interfaces, opciones de enrutamiento, zonas de seguridad y políticas de seguridad tanto para un iniciador como para un respondedor.

Figura 2 muestra un ejemplo de una topología para una VPN con un iniciador y un respondedor detrás de un dispositivo NAT estático.

Figura 2: Topología VPN basada en políticas con un iniciador y un respondedor detrás de un dispositivo NATTopología VPN basada en políticas con un iniciador y un respondedor detrás de un dispositivo NAT

En este ejemplo, se configuran interfaces, una ruta predeterminada IPv4 y zonas de seguridad. A continuación, configure la fase 1 de IKE, incluidos los pares locales y remotos, la fase 2 de IPsec y la política de seguridad. Tenga en cuenta que en el ejemplo anterior, la dirección IP privada del respondedor 13.168.11.1 está oculta por el dispositivo NAT estático y asignada a la dirección IP pública 1.1.100.1.

Consulte hasta para ver parámetros de configuración específicos utilizados para el iniciador en los ejemplos.Tabla 7Tabla 10

Tabla 7: Interfaz, opciones de enrutamiento y zonas de seguridad para el iniciador

Característica

Nombre

Parámetros de configuración

Interfaces

ge-0/0/0

12.168.99.100/24

 

ge-0/0/1

10.1.99.1/24

Rutas estáticas

10.2.99.0/24 (ruta predeterminada)

El siguiente salto es 12.168.99.100.

 

1.1.100.0/24

12.168.99.100

Zonas de seguridad

confiar

  • Se permiten todos los servicios del sistema.

  • Todos los protocolos están permitidos.

  • La interfaz ge-0/0/1.0 está vinculada a esta zona.

 

no confiar

  • La interfaz ge-0/0/0.0 está vinculada a esta zona.

Tabla 8: Parámetros de configuración de fase 1 de IKE para el iniciador

Característica

Nombre

Parámetros de configuración

Propuesta

ike_prop

  • Método de autenticación: claves precompartidas

  • Grupo Diffie-Hellman: group2

  • Algorítmo de autenticación: MD5

  • Algorítmo de cifrado: 3des-cbc

Política

ike_pol

  • Modo: principal

  • Referencia de propuesta: ike_prop

  • Método de autenticación de políticas de fase 1 de IKE: ASCII-texto de clave precompartida

Puerta de enlace

Puerta

  • Referencia de política ICR: ike_pol

  • Interfaz externa: ge-0/0/1.0

  • Dirección de puerta de enlace: 1.1.100.23

  • El par local es hostname chicago

  • El par remoto es el nombre de host sunnyvale

Tabla 9: Parámetros de configuración de fase 2 de IPsec para el iniciador

Característica

Nombre

Parámetros de configuración

Propuesta

ipsec_prop

  • Protocolo: esp

  • Algorítmo de autenticación: HMAC-MD5-96

  • Algorítmo de cifrado: 3des-cbc

Política

ipsec_pol

  • Referencia de propuesta: ipsec_prop

  • Confidencialidad directa perfecta (PFS): group1

VPN

first_vpn

  • Referencia de puerta de enlace ICR: Puerta

  • Referencia de política IPsec: ipsec_pol

Tabla 10: Parámetros de configuración de la directiva de seguridad para el iniciador

Propósito

Nombre

Parámetros de configuración

La política de seguridad permite el tráfico de túnel desde la zona de confianza a la zona que no es de confianza.

pol1

  • Criterios de coincidencia:

    • dirección de origen cualquiera

    • dirección-destino cualquiera

    • application any

  • Acción: Permitir túnel IPsec-VPN first_vpn

La política de seguridad permite el tráfico de túnel desde la zona de no confianza a la zona de confianza.

POL1

  • Criterios de coincidencia:

    • application any

  • Acción: Permitir túnel IPsec-VPN first_vpn

Consulte hasta para ver parámetros de configuración específicos utilizados para el respondedor en los ejemplos.Tabla 11Tabla 14

Tabla 11: Interfaz, opciones de enrutamiento y zonas de seguridad para el respondedor

Característica

Nombre

Parámetros de configuración

Interfaces

ge-0/0/0

13.168.11.100/24

 

ge-0/0/1

10.2.99.1/24

Rutas estáticas

10.1.99.0/24 (ruta predeterminada)

El siguiente salto es 13.168.11.100

 

1.1.100.0/24

13.168.11.100

Zonas de seguridad

confiar

  • Se permiten todos los servicios del sistema.

  • Todos los protocolos están permitidos.

  • La interfaz ge-0/0/1.0 está vinculada a esta zona.

 

no confiar

  • La interfaz ge-0/0/0.0 está vinculada a esta zona.

Tabla 12: Parámetros de configuración de fase 1 de IKE para el respondedor

Característica

Nombre

Parámetros de configuración

Propuesta

ike_prop

  • Método de autenticación: claves precompartidas

  • Grupo Diffie-Hellman: grupo2

  • Algorítmo de autenticación: MD5

  • Algorítmo de cifrado: 3des-cbc

Política

ike_pol

  • Modo: principal

  • Referencia de propuesta: ike_prop

  • Método de autenticación de políticas de fase 1 de IKE: ASCII-texto de clave precompartida

Puerta de enlace

Puerta

  • Referencia de política ICR: ike_pol

  • Interfaz externa: ge-0/0/1.0

  • Dirección de puerta de enlace: 1.1.100.22

  • Enviar siempre la detección de pares muertos

  • El par local es el nombre de host sunnyvale

  • El par remoto es el nombre de host chicago

Tabla 13: Parámetros de configuración de fase 2 de IPsec para el respondedor

Característica

Nombre

Parámetros de configuración

Propuesta

ipsec_prop

  • Protocolo: esp

  • Algorítmo de autenticación: HMAC-MD5-96

  • Algorítmo de cifrado: 3des-cbc

Política

ipsec_pol

  • Referencia de propuesta: ipsec_prop

  • Confidencialidad directa perfecta (PFS): grupo1

VPN

first_vpn

  • Referencia de puerta de enlace ICR: Puerta

  • Referencia de política IPsec: ipsec_pol

Tabla 14: Parámetros de configuración de la directiva de seguridad para el respondedor

Propósito

Nombre

Parámetros de configuración

La política de seguridad permite el tráfico de túnel desde la zona de confianza a la zona que no es de confianza.

POL1

  • Criterios de coincidencia:

    • dirección de origen cualquiera

    • dirección-destino cualquiera

    • application any

  • Acción: Permitir túnel IPsec-VPN first_vpn

La política de seguridad permite el tráfico de túnel desde la zona de no confianza a la zona de confianza.

POL1

  • Criterios de coincidencia:

    • application any

  • Acción: Permitir túnel IPsec-VPN first_vpn

Configuración

Configuración de interfaz, opciones de enrutamiento y zonas de seguridad para el iniciador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar interfaces, rutas estáticas y zonas de seguridad:

  1. Configure la información de interfaz Ethernet.

  2. Configure la información de rutas estáticas.

  3. Configure la zona de seguridad de confianza.

  4. Asigne una interfaz a la zona de seguridad de confianza.

  5. Especifique los servicios del sistema para la zona de seguridad de confianza.

  6. Asigne una interfaz a la zona de seguridad de no confianza.

Resultados

Desde el modo de configuración, escriba los comandos , y para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración. show interfacesshow routing-optionsshow security zones

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de IKE para el iniciador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar ICR:

  1. Cree la propuesta de fase 1 de IKE.

  2. Defina el método de autenticación de la propuesta de ICR.

  3. Defina el grupo Diffie-Hellman de la propuesta de ICR.

  4. Defina el algoritmo de autenticación de la propuesta de ICR.

  5. Defina el algoritmo de cifrado de la propuesta de ICR.

  6. Cree una política de fase 1 de IKE.

  7. Establezca el modo de política de fase 1 de IKE.

  8. Especifique una referencia a la propuesta de ICR.

  9. Defina el método de autenticación de políticas de fase 1 de IKE.

  10. Cree una puerta de enlace de fase 1 de IKE y defina su interfaz externa.

  11. Cree una dirección de puerta de enlace de fase 1 de IKE.

  12. Defina la referencia de política de fase 1 de IKE.

  13. Establecer para el par local.local-identity

Resultados

Desde el modo de configuración, confírmela con el comando show security ike. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de IPsec para el iniciador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar IPsec:

  1. Cree una propuesta de fase 2 de IPsec.

  2. Especifique el protocolo de propuesta de fase 2 de IPsec.

  3. Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.

  4. Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.

  5. Especifique la referencia de propuesta de fase 2 de IPsec.

  6. Especifique IPsec fase 2 para usar el grupo de confidencialidad directa perfecta (PFS)1.

  7. Especifique la puerta de enlace de ICR.

  8. Especifique la directiva de fase 2 de IPsec.

Resultados

Desde el modo de configuración, confírmela con el comando show security ipsec. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de directivas de seguridad para el iniciador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar políticas de seguridad:

  1. Cree la política de seguridad para permitir el tráfico desde la zona de confianza a la zona que no es de confianza.

  2. Cree la política de seguridad para permitir el tráfico desde la zona que no es de confianza a la zona de confianza.

Resultados

Desde el modo de configuración, confírmela con el comando show security policies. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de NAT para el iniciador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar el iniciador que proporciona NAT:

  1. Configurar interfaces.

  2. Configurar zonas.

  3. Configurar NAT.

  4. Configure la directiva de seguridad predeterminada.

  5. Configure la opción de enrutamiento.

Resultados

Desde el modo de configuración, confírmela con el comando show security nat. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de interfaz, opciones de enrutamiento y zonas de seguridad para el respondedor

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar interfaces, rutas estáticas, zonas de seguridad y políticas de seguridad:

  1. Configure la información de interfaz Ethernet.

  2. Configure la información de rutas estáticas.

  3. Asigne una interfaz a la zona de seguridad de no confianza.

  4. Configure la zona de seguridad de confianza.

  5. Asigne una interfaz a la zona de seguridad de confianza.

  6. Especifique los servicios del sistema permitidos para la zona de seguridad de confianza.

Resultados

Desde el modo de configuración, escriba los comandos , y para confirmar la configuración. show interfacesshow routing-optionsshow security zones Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de IKE para el respondedor

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar ICR:

  1. Defina el método de autenticación de la propuesta de ICR.

  2. Defina el grupo Diffie-Hellman de la propuesta de ICR.

  3. Defina el algoritmo de autenticación de la propuesta de ICR.

  4. Defina el algoritmo de cifrado de la propuesta de ICR.

  5. Cree una política de fase 1 de IKE.

  6. Establezca el modo de política de fase 1 de IKE.

  7. Especifique una referencia a la propuesta de ICR.

  8. Defina el método de autenticación de políticas de fase 1 de IKE.

  9. Cree una puerta de enlace de fase 1 de IKE y defina su nombre de host dinámico.

  10. Cree una puerta de enlace de fase 1 de IKE y defina su interfaz externa.

  11. Defina la referencia de política de fase 1 de IKE.

Resultados

Desde el modo de configuración, confírmela con el comando show security ike. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de IPsec para el respondedor

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar IPsec:

  1. Cree una propuesta de fase 2 de IPsec.

  2. Especifique el protocolo de propuesta de fase 2 de IPsec.

  3. Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.

  4. Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.

  5. Cree la directiva de fase 2 de IPsec.

  6. Establezca IPsec fase 2 para usar el grupo de confidencialidad directa perfecta (PFS)1.

  7. Especifique la referencia de propuesta de fase 2 de IPsec.

  8. Especifique la puerta de enlace de ICR.

  9. Especifique la directiva de fase 2 de IPsec.

Resultados

Desde el modo de configuración, confírmela con el comando show security ipsec. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de directivas de seguridad para el respondedor

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar políticas de seguridad:

  1. Cree la política de seguridad para permitir el tráfico desde la zona de confianza a la zona que no es de confianza.

  2. Cree la política de seguridad para permitir el tráfico desde la zona que no es de confianza a la zona de confianza.

Resultados

Desde el modo de configuración, confírmela con el comando show security policies. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de NAT para el respondedor

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar el respondedor que proporciona NAT:

  1. Configurar interfaces.

  2. Configurar zonas.

  3. Configurar NAT.

  4. Configure la directiva de seguridad predeterminada.

  5. Configure la opción de enrutamiento.

Resultados

Desde el modo de configuración, confírmela con el comando show security nat. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Verificación del estado de fase 1 de IKE para el iniciador

Propósito

Verifique el estado de la fase 1 de IKE.

Acción

Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host en la red 10.1.99.0 a un host en la red 10.2.99.0. En el caso de las VPN basadas en rutas, el firewall de la serie SRX puede iniciar el tráfico a través del túnel. Se recomienda que, cuando se prueben los túneles de IPsec, el tráfico de prueba se envíe desde un dispositivo independiente en un extremo de la VPN hacia un segundo dispositivo al otro extremo de la VPN. Por ejemplo, inicie una operación ping de 10.1.99.2 a 10.2.99.2.

Desde el modo operativo, ingrese el comando show security ike security-associations. Después de obtener un número de índice desde el comando, utilice el comando show security ike security-associations index index_number detail.

Significado

El comando enumera todas las SA de fase 1 de IKE activas.show security ike security-associations Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.

Si las SA aparecen en la lista, revise la siguiente información:

  • Índice: este valor es único para cada SA de IKE, que puede utilizar en el comando para obtener más información acerca de la SA.show security ike security-associations index detail

  • Dirección remota: compruebe que la dirección IP remota sea correcta y que el puerto 4500 se esté utilizando para la comunicación punto a punto.

  • Estado del iniciador de roles

    • Arriba: se estableció la SA de fase 1.

    • Abajo: hubo un problema al establecer la SA de fase 1.

    • Ambos pares del par SA IPsec usan el puerto 4500, que indica que se implementó NAT-T. (NAT-T utiliza el puerto 4500 u otro puerto aleatorio con numeración alta).

    • ID de IKE del mismo nivel: compruebe que el ID remoto (respondedor) sea correcto. En este ejemplo, el nombre de host es sunnyvale.

    • Identidad local e identidad remota: verifique que sean correctas.

  • Modo: verifica que se esté utilizando el modo correcto.

Compruebe que los siguientes elementos son correctos en su configuración:

  • Interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)

  • Parámetros de política de ICR

  • Información de claves precompartidas

  • Parámetros de propuesta de fase 1 (deben coincidir en ambos pares)

El comando enumera información adicional acerca de las asociaciones de seguridad:show security ike security-associations

  • Algoritmos de autenticación y cifrado utilizados

  • Duración de la fase 1

  • Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)

  • Información de funciones

    La solución de problemas se realiza de mejor manera en el mismo nivel que usa la función de respondedor.

  • Información del iniciador y del respondedor

  • Cantidad de SA de IPsec creadas

  • Número de negociaciones de la Fase 2 en curso

Comprobación de asociaciones de seguridad IPsec para el iniciador

Propósito

Verifique el estado de IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ipsec security-associations. Después de obtener un número de índice desde el comando, utilice el comando show security ipsec security-associations index index_number detail.

Significado

El resultado del comando show security ipsec security-associations muestra la siguiente información:

  • La puerta de enlace remota tiene una dirección NAT de 13.168.11.100.

  • Ambos pares del par SA IPsec usan el puerto 4500, que indica que se implementó NAT-T. (NAT-T utiliza el puerto 4500 u otro puerto aleatorio numerado alto).

  • El SPI, la vida útil (en segundos) y los límites de uso (o tamaño de vida útil en KB) se muestran para ambas direcciones. El valor 3390/ unlimited indica que la duración de la fase 2 expira en 3390 segundos y que no se ha especificado ningún tamaño de vida útil, lo que indica que es ilimitada. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.

  • La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna Mon. Si está habilitada la supervisión de VPN, U indica que la supervisión está activa y D indica que la supervisión está inactiva.

  • El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.

Verificación del estado de fase 1 de IKE para el respondedor

Propósito

Verifique el estado de la fase 1 de IKE.

Acción

Desde el modo operativo, ingrese el comando show security ike security-associations. Después de obtener un número de índice desde el comando, utilice el comando show security ike security-associations index index_number detail.

Significado

El comando enumera todas las SA de fase 1 de IKE activas.show security ike security-associations Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.

Si las SA aparecen en la lista, revise la siguiente información:

  • Índice: este valor es único para cada SA de IKE, que puede utilizar en el comando para obtener más información acerca de la SA.show security ike security-associations index detail

  • Dirección remota: compruebe que la dirección IP remota sea correcta y que el puerto 4500 se esté utilizando para la comunicación punto a punto.

  • Estado del respondedor de roles

    • Arriba: se estableció la SA de fase 1.

    • Abajo: hubo un problema al establecer la SA de fase 1.

    • ID de IKE par: compruebe que el ID local del par sea correcto. En este ejemplo, el nombre de host es chicago.

    • Identidad local e identidad remota: verifique que sean correctas.

  • Modo: verifica que se esté utilizando el modo correcto.

Compruebe que los siguientes elementos son correctos en su configuración:

  • Interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)

  • Parámetros de política de ICR

  • Información de claves precompartidas

  • Parámetros de propuesta de fase 1 (deben coincidir en ambos pares)

El comando enumera información adicional acerca de las asociaciones de seguridad:show security ike security-associations

  • Algoritmos de autenticación y cifrado utilizados

  • Duración de la fase 1

  • Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)

  • Información de funciones

    La solución de problemas se realiza de mejor manera en el mismo nivel que usa la función de respondedor.

  • Información del iniciador y del respondedor

  • Cantidad de SA de IPsec creadas

  • Número de negociaciones de la Fase 2 en curso

Comprobación de asociaciones de seguridad IPsec para el respondedor

Propósito

Verifique el estado de IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ipsec security-associations. Después de obtener un número de índice desde el comando, utilice el comando show security ipsec security-associations index index_number detail.

Significado

El resultado del comando show security ipsec security-associations muestra la siguiente información:

  • La puerta de enlace remota tiene una dirección NAT de 1.1.100.23.

  • Ambos pares del par SA IPsec usan el puerto 4500, que indica que se implementó NAT-T. (NAT-T utiliza el puerto 4500 u otro puerto aleatorio con numeración alta).

  • El SPI, la vida útil (en segundos) y los límites de uso (o tamaño de vida útil en KB) se muestran para ambas direcciones. El valor 3571/ unlim indica que la duración de la fase 2 caduca en 3571 segundos y que no se ha especificado ningún tamaño de vida útil, lo que indica que es ilimitada. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.

  • La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna Mon. Si está habilitada la supervisión de VPN, U indica que la supervisión está activa y D indica que la supervisión está inactiva.

  • El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.

Ejemplo: Configuración de NAT-T con VPN de punto de conexión dinámico

En este ejemplo se muestra cómo configurar una VPN basada en rutas en la que el iniciador IKEv2 es un extremo dinámico detrás de un dispositivo NAT.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Dos firewalls serie SRX configurados en un clúster de chasis

  • Un firewall serie SRX que proporciona TDR

  • Un firewall serie SRX que proporciona acceso a la red de la sucursal

  • Junos OS versión 12.1X46-D10 o posterior para compatibilidad con IKEv2 NAT-T

Descripción general

En este ejemplo, se configura una VPN IPsec entre la sucursal (iniciador IKEv2) y la sede central (respondedor IKEv2) para proteger el tráfico de red entre las dos ubicaciones. La sucursal se encuentra detrás del dispositivo NAT. La dirección de la sucursal se asigna dinámicamente y es desconocida para el respondedor. El iniciador se configura con la identidad remota del respondedor para la negociación del túnel. Esta configuración establece una VPN de punto final dinámico entre los pares en todo el dispositivo NAT.

Figura 3 muestra un ejemplo de una topología con NAT-Traversal (NAT-T) y VPN de punto de conexión dinámico.

Figura 3: NAT-T con VPN de punto final dinámicoNAT-T con VPN de punto final dinámico

En este ejemplo, la dirección IP del iniciador, 192.179.100.50, que se ha asignado dinámicamente al dispositivo, está oculta por el dispositivo NAT y se traduce a 100.10.1.253.

En este ejemplo, se aplican las siguientes opciones de configuración:

  • La identidad local configurada en el iniciador debe coincidir con la identidad de puerta de enlace remota configurada en el respondedor.

  • Las opciones de fase 1 y fase 2 deben coincidir entre el iniciador y el respondedor.

En este ejemplo, la directiva de seguridad predeterminada que permite todo el tráfico se usa para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para los entornos de producción. Consulte Descripción general de las políticas de seguridad.Security Policies Overview

A partir de Junos OS versión 12.1X46-D10 y Junos OS versión 17.3R1, el valor predeterminado de la opción configurada en el nivel de jerarquía se ha cambiado de 5 segundos a 20 segundos.nat-keepalive[edit security ike gateway gateway-name]

En los dispositivos SRX1400, SRX3400, SRX3600, SRX5600 y SRX5800, las negociaciones de IKE que implican un recorrido NAT no funcionan si el par IKE está detrás de un dispositivo NAT que cambiará la dirección IP de origen de los paquetes IKE durante la negociación. Por ejemplo, si el dispositivo NAT está configurado con DIP, cambia la IP de origen porque el protocolo IKE cambia el puerto UDP de 500 a 4500. (La compatibilidad de plataforma depende de la versión de Junos OS en su instalación).

Configuración

Configuración del dispositivo de sucursal (iniciador IKEv2)

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar el dispositivo de la sucursal:

  1. Configurar interfaces.

  2. Configure las opciones de enrutamiento.

  3. Configurar zonas.

  4. Configure las opciones de la fase 1.

  5. Configure las opciones de la fase 2.

  6. Configure la directiva de seguridad.

Resultados

Desde el modo de configuración, escriba los comandos , , , , y para confirmar la configuración.show interfacesshow routing-optionsshow security zonesshow security ikeshow security ipsecshow security policies Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración del dispositivo NAT

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar el enrutador intermedio que proporciona NAT:

  1. Configurar interfaces.

  2. Configurar zonas.

  3. Configurar NAT.

  4. Configure la directiva de seguridad predeterminada.

Resultados

Desde el modo de configuración, ingrese los comandos show interfaces, show security zones, show security nat source y show security policies para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración del dispositivo de la sede (respondedor IKEv2)

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

  1. Configure dos nodos como clúster de chasis.

  2. Configurar interfaces.

  3. Configure las opciones de enrutamiento.

  4. Configurar zonas.

  5. Configure las opciones de la fase 1.

  6. Configure las opciones de la fase 2.

  7. Configure la directiva de seguridad predeterminada.

Resultados

Desde el modo de configuración, escriba los comandos , , , , y para confirmar la configuración.show chassis clustershow interfacesshow routing-optionsshow security zonesshow security ikeshow security ipsecshow security policies Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Verificación

Confirme que la configuración funcione correctamente.

Verificación del estado de fase 1 de IKE para el respondedor

Propósito

Verifique el estado de la fase 1 de IKE.

Acción

Desde el modo operativo en el nodo 0, ingrese el comando.show security ike security-associations Después de obtener un número de índice desde el comando, utilice el comando show security ike security-associations detail .

Significado

El comando enumera todas las SA de fase 1 de IKE activas.show security ike security-associations Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.

Si las SA aparecen en la lista, revise la siguiente información:

  • Índice: este valor es único para cada SA de IKE, que puede utilizar en el comando para obtener más información acerca de la SA.show security ike security-associations index index_id detail

  • Dirección remota: compruebe que la dirección IP local sea correcta y que el puerto 4500 se esté utilizando para la comunicación punto a punto.

  • Estado del respondedor de roles

    • Arriba: se estableció la SA de fase 1.

    • Abajo: hubo un problema al establecer la SA de fase 1.

    • ID de IKE par: verifica que la dirección sea correcta.

    • Identidad local e identidad remota: compruebe que estas direcciones sean correctas.

  • Modo: verifica que se esté utilizando el modo correcto.

Compruebe que los siguientes elementos son correctos en su configuración:

  • Interfaces externas (la interfaz debe ser la que envía los paquetes IKE)

  • Parámetros de política de ICR

  • Información de claves precompartidas

  • Parámetros de propuesta de fase 1 (deben coincidir en ambos pares)

El comando enumera información adicional acerca de las asociaciones de seguridad:show security ike security-associations

  • Algoritmos de autenticación y cifrado utilizados

  • Duración de la fase 1

  • Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)

  • Información de funciones

    La solución de problemas se realiza de mejor manera en el mismo nivel que usa la función de respondedor.

  • Información del iniciador y del respondedor

  • Cantidad de SA de IPsec creadas

  • Número de negociaciones de la Fase 2 en curso

Comprobación de asociaciones de seguridad IPsec para el respondedor

Propósito

Verifique el estado de IPsec.

Acción

Desde el modo operativo en el nodo 0, ingrese el comando.show security ipsec security-associations Después de obtener un número de índice desde el comando, utilice el comando show security ipsec security-associations detail.

Significado

El resultado del comando show security ipsec security-associations muestra la siguiente información:

  • La puerta de enlace remota tiene una dirección IP de 100.10.1.253.

  • El SPI, la vida útil (en segundos) y los límites de uso (o tamaño de vida útil en KB) se muestran para ambas direcciones. El valor de duración indica que la duración de la fase 2 expira en 7186 segundos y que no se especificó ningún tamaño de vida útil, lo que indica que es ilimitada. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.

  • El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.

El resultado del comando show security ipsec security-associations index index_id detail muestra la siguiente información:

  • La identidad local y la identidad remota constituyen el ID de proxy para la SA.

    Una discrepancia de ID de proxy es una de las causas más comunes de un error de fase 2. Si no aparece ninguna SA de IPsec, confirme que las propuestas de fase 2, incluida la configuración del ID de proxy, coincidan con ambos pares. Para VPN basadas en rutas, el ID de proxy predeterminado es local=0.0.0.0/0, remote=0.0.0.0/0 y service=any. Pueden producirse problemas con varias VPN basadas en rutas desde el mismo IP de par. En este caso, debe especificarse un ID de proxy único para cada SA de IPsec. Para algunos proveedores de terceros, el ID de proxy se debe especificar manualmente para que coincida.

  • Otra razón común para la falla de fase 2 es no especificar el enlace de la interfaz ST. Si IPsec no puede completarse, compruebe el registro de kmd o establezca opciones de rastreo.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
12.1X46-D10
A partir de Junos OS versión 12.1X46-D10 y Junos OS versión 17.3R1, el valor predeterminado de la opción configurada en el nivel de jerarquía se ha cambiado de 5 segundos a 20 segundos.nat-keepalive[edit security ike gateway gateway-name]