Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN IPsec basadas en rutas

Una VPN basada en rutas es una configuración en la que una ruta hace referencia a un túnel VPN IPsec creado entre dos puntos finales que determina qué tráfico se envía a través del túnel según una dirección IP de destino.

Descripción de VPN IPsec basadas en rutas

Con VPN basadas en rutas, puede configurar decenas de políticas de seguridad para regular el tráfico que fluye a través de un solo túnel VPN entre dos sitios, y solo hay un conjunto de SA IKE e IPsec en funcionamiento. A diferencia de las VPN basadas en políticas, para VPN basadas en rutas, una política hace referencia a una dirección de destino, no a un túnel VPN. Cuando Junos OS busca una ruta para encontrar la interfaz que se va a usar para enviar tráfico a la dirección de destino del paquete, encuentra una ruta a través de una interfaz de túnel segura (st0. x). La interfaz de túnel está enlazada a un túnel VPN específico y el tráfico se enruta al túnel si se permite la acción de política.

Una interfaz de túnel seguro (st0) solo admite una dirección IPv4 y una dirección IPv6 al mismo tiempo. Esto se aplica a todas las VPN basadas en rutas. La disable opción no se admite en interfaces st0.

Ejemplos de dónde se pueden utilizar VPN basadas en rutas:

  • Hay subredes superpuestas o direcciones IP entre las dos LAN.

  • Se utiliza una topología VPN radial en la red y se requiere tráfico radial.

  • Se requieren VPN principales y de respaldo.

  • Un protocolo de enrutamiento dinámico (por ejemplo, OSPF, RIP o BGP) se ejecuta a través de la VPN.

    No se admite la configuración de circuitos de demanda RIP a través de interfaces VPN de punto a multipunto.

Le recomendamos que use VPN basada en rutas cuando desee configurar VPN entre varios sitios remotos. La VPN basada en rutas permite el enrutamiento entre los radios entre varios sitios remotos; es más fácil configurar, supervisar y solucionar problemas.

Ejemplo: Configuración de una VPN basada en rutas

En este ejemplo, se muestra cómo configurar una VPN IPsec basada en rutas para permitir que los datos se transfieran de forma segura entre dos sitios.

Requisitos

En este ejemplo, se utiliza el siguiente hardware:

  • Cualquier dispositivo serie SRX

    • Actualizado y revalidado mediante vSRX en Junos OS versión 20.4R1.
Nota:

¿Está interesado en obtener experiencia práctica con los temas y las operaciones que se tratan en esta guía? Visite la demostración de VPN basada en rutas IPsec en Los laboratorios virtuales de Juniper Networks y reserve su sandbox gratuito hoy mismo. Encontrará el entorno limitado basado en rutas VPN IPsec en la categoría Seguridad.

Antes de comenzar, lea Descripción general de IPsec.

Descripción general

En este ejemplo, configure una VPN basada en rutas en SRX1 y SRX2. Host1 y Host2 usan la VPN para enviar tráfico de forma segura a través de Internet entre ambos hosts.

Figura 1 muestra un ejemplo de una topología VPN basada en rutas.

Figura 1: Topología VPN basada en rutas Topología VPN basada en rutas

En este ejemplo, puede configurar interfaces, una ruta predeterminada IPv4 y zonas de seguridad. A continuación, configure IKE, IPsec, política de seguridad y parámetros TCP-MSS. Consulte Tabla 1 a través Tabla 5 para ver los parámetros de configuración específicos que se utilizan en este ejemplo.

Tabla 1: Información de la interfaz, la ruta estática, la zona de seguridad y la política de seguridad para SRX1

Característica

Nombre

Parámetros de configuración

Interfaces

ge-0/0/0.0

10.100.11.1/24

 

ge-0/0/1.0

172.16.13.1/24

 

st0.0 (interfaz de túnel)

10.100.200.1/24

Rutas estáticas

10.100.22.0/24

0.0.0.0/0

El siguiente salto es st0.0.

El siguiente salto es 172.16.13.2.

Zonas de seguridad

Confianza

  • La interfaz ge-0/0/0.0 está enlazada a esta zona.

 

Untrust

  • La interfaz ge-0/0/1.0 está enlazada a esta zona.

 

Vpn

  • La interfaz st0.0 está enlazada a esta zona.

Tabla 2: Parámetros de configuración de ICR

Característica

Nombre

Parámetros de configuración

Propuesta

Estándar

  • Método de autenticación: claves previamente compartidas

Política

ICR-POL

  • Modo: Principal

  • Referencia de propuesta: Estándar

  • Método de autenticación de política ICR: claves previamente compartidas

Gateway

IKE-GW

  • Referencia de política de ICR: ICR-POL

  • Interfaz externa: ge-0/0/1

  • Dirección de puerta de enlace: 172.16.23.1

Tabla 3: Parámetros de configuración IPsec

Característica

Nombre

Parámetros de configuración

Propuesta

Estándar

  • Uso de la configuración predeterminada

Política

IPSEC-POL

  • Referencia de propuesta: Estándar

VPN

VPN-to-Host2

  • Referencia de puerta de enlace ICR: IKE-GW

  • Referencia de política IPsec: IPSEC-POL

  • Enlazar a interfaz: st0.0

  • establecer túneles de inmediato
Tabla 4: Parámetros de configuración de política de seguridad

Propósito

Nombre

Parámetros de configuración

La política de seguridad permite el tráfico desde la zona de confianza hasta la zona VPN.

VPN-OUT

  • Criterios de coincidencia:

    • dirección de origen Host1-Net

    • dirección de destino Host2-Net

    • aplicación a cualquier

  • Acción: Permiso

La política de seguridad permite el tráfico desde la zona VPN hasta la zona de confianza.

VPN-IN

  • Criterios de coincidencia:

    • dirección de origen Host2-Net

    • dirección de destino Host1-Net

    • aplicación a cualquier

  • Acción: Permiso

Tabla 5: Parámetros de configuración TCP-MSS

Propósito

Parámetros de configuración

TCP-MSS se negocia como parte del protocolo de enlace de tres vías TCP y limita el tamaño máximo de un segmento TCP para adaptarse mejor a los límites de MTU en una red. Para el tráfico VPN, la sobrecarga de encapsulación IPsec, junto con la IP y la sobrecarga de trama, puede hacer que el paquete ESP resultante supere la MTU de la interfaz física, lo que causa fragmentación. La fragmentación aumenta el ancho de banda y los recursos del dispositivo.

Recomendamos un valor de 1350 como punto de partida para la mayoría de las redes basadas en Ethernet con una MTU de 1500 o más. Es posible que tenga que experimentar con diferentes valores TCP-MSS para obtener un rendimiento óptimo. Por ejemplo, es posible que deba cambiar el valor si cualquier dispositivo de la ruta tiene una MTU inferior, o si hay alguna sobrecarga adicional, como PPP o Frame Relay.

Valor MSS: 1350

Configuración

Configurar la información básica de la red y la zona de seguridad

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de la CLI.

Para configurar la información de la interfaz, la ruta estática y la zona de seguridad:

  1. Configure las interfaces.

  2. Configure las rutas estáticas.

  3. Asigne la interfaz orientada a Internet a la zona de seguridad de desconfianza.

  4. Especifique los servicios del sistema permitidos para la zona de seguridad de desconfianza.

  5. Asigne la interfaz orientada a Host1 a la zona de seguridad de confianza.

  6. Especifique los servicios del sistema permitidos para la zona de seguridad de confianza.

  7. Asigne la interfaz de túnel seguro a la zona de seguridad VPN.

  8. Especifique los servicios de sistema permitidos para la zona de seguridad VPN.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show routing-optionsy show security zones . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Configuración de IKE

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte guía del usuario de cli.

Para configurar IKE:

  1. Cree la propuesta de ICR.

  2. Defina el método de autenticación de propuesta de ICR.

  3. Cree una política de ICR.

  4. Establezca el modo de política de ICR.

  5. Especifique una referencia a la propuesta de ICR.

  6. Defina el método de autenticación de política ICR.

  7. Cree una puerta de enlace IKE y defina su interfaz externa.

  8. Defina la referencia de política de ICR.

  9. Defina la dirección de puerta de enlace de IKE.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show security ike configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Configuración de IPsec

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de la CLI.

Para configurar IPsec:

  1. Cree una propuesta de IPsec.

  2. Cree la política IPsec.

  3. Especifique la referencia de propuesta de IPsec.

  4. Especifique la puerta de enlace IKE.

  5. Especifique la política IPsec.

  6. Especifique la interfaz que desea enlazar.

  7. Configure el túnel para establecer de inmediato.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show security ipsec configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Configuración de políticas de seguridad

Configuración rápida de CLI

Para configurar rápidamente las políticas de seguridad para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de la CLI.

Para configurar políticas de seguridad:

  1. Cree entradas de libreta de direcciones para las redes que se usarán en las políticas de seguridad.

  2. Cree una política de seguridad para permitir el tráfico desde la zona de confianza hasta la zona de desconfianza para el tráfico a Internet.

  3. Cree una política de seguridad para permitir el tráfico de Host1 en la zona de confianza destinada a Host2 en la zona VPN.

  4. Cree una política de seguridad para permitir el tráfico de Host2 en la zona VPN a Host1 en la zona de confianza.

Resultados

Desde el modo de configuración, escriba los comandos y show security policies para confirmar la show security address-book configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Configuración de TCP-MSS

Configuración rápida de CLI

Para configurar rápidamente el TCP MSS para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de la CLI.

Para configurar la información de TCP-MSS:

  1. Configure la información de TCP-MSS.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show security flow configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de SRX2

Configuración rápida de CLI

Como referencia, se proporciona la configuración del SRX2.

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Verificación

Realice estas tareas para confirmar que la configuración funciona correctamente:

Verifique el estado de IKE

Propósito

Verifique el estado de IKE.

Acción

Desde el modo operativo, ingrese el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice el show security ike security-associations index index_number detail comando.

Significado

El show security ike security-associations comando enumera todas las SA de IKE activas. Si no se enumera ninguna SA, hubo un problema con el establecimiento de IKE. Compruebe los parámetros de política de IKE y la configuración de interfaz externa en su configuración.

Si se enumeran las SA, revise la siguiente información:

  • Índice: este valor es único para cada SA de IKE, que puede usar en el show security ike security-associations index detail comando para obtener más información sobre la SA.

  • Dirección remota: compruebe que la dirección IP remota sea correcta.

  • Estado

    • UP: se ha establecido la SA de IKE.

    • ABAJO: hubo un problema al establecer la SA de IKE.

  • Modo: compruebe que se está utilizando el modo correcto.

Compruebe que los siguientes elementos sean correctos en su configuración:

  • Interfaces externas (la interfaz debe ser la que recibe paquetes IKE)

  • Parámetros de política de ICR

  • Información de clave previamente compartida

  • Parámetros de propuesta (deben coincidir en ambos pares)

El show security ike security-associations index 1859340 detail comando enumera información adicional acerca de la asociación de seguridad con un número de índice de 1859340:

  • Algoritmos de autenticación y cifrado utilizados

  • Vida

  • Estadísticas de tráfico (se pueden utilizar para comprobar que el tráfico fluye correctamente en ambas direcciones)

  • Información de funciones

    La solución de problemas se realiza mejor en el par mediante el rol de respondedor.

  • Información del iniciador y del respondedor

  • Número de SA IPsec creadas

  • Número de negociaciones en curso

Verifique el estado de IPsec

Propósito

Verifique el estado de IPsec.

Acción

Desde el modo operativo, ingrese el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice el show security ipsec security-associations index index_number detail comando.

Significado

El resultado del show security ipsec security-associations comando enumera la siguiente información:

  • El número de ID está 131074. Utilice este valor con el show security ipsec security-associations index comando para obtener más información acerca de esta SA en particular.

  • Hay un par SA IPsec que usa el puerto 500, lo que indica que no se implementa ningún recorrido TDR. (El recorrido TDR utiliza el puerto 4500 u otro puerto aleatorio de número alto.)

  • Las SPI, la vida útil (en segundos) y los límites de uso (o tamaño de vida útil en KB) se muestran para ambas direcciones. El valor 3403/unlim indica que la vida útil caduca en 3403 segundos y que no se ha especificado ningún tamaño de vida útil, lo que indica que es ilimitado. La duración puede diferir de la vida útil, ya que IPsec no depende de IKE después de que la VPN esté activa.

  • La supervisión de VPN no está habilitada para esta SA, como indica un guión en la columna Mon. Si la supervisión de VPN está habilitada, U indica que la supervisión está activa y D indica que la supervisión está inactiva.

  • El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.

El resultado del show security ipsec security-associations index 131074 detail comando enumera la siguiente información:

  • La identidad local y la identidad remota conforman el ID de proxy para la SA.

    Una discordancia de ID de proxy es una de las causas más comunes de una falla de IPsec. Si no aparece ninguna SA de IPsec, confirme que las propuestas de IPsec, incluida la configuración de ID de proxy, son correctas para ambos pares. Para VPN basadas en rutas, el ID de proxy predeterminado es local=0.0.0.0/0, remote=0.0.0.0/0 y service=any. Pueden producirse problemas con varias VPN basadas en rutas desde el mismo IP par. En este caso, se debe especificar un ID de proxy único para cada SA de IPsec. Para algunos proveedores de terceros, el ID de proxy se debe especificar manualmente para que coincida.

  • Otra razón común para la falla de IPsec no es especificar el enlace de interfaz ST. Si IPsec no puede completarse, compruebe el registro kmd o establezca opciones de seguimiento.

Pruebe el flujo de tráfico a través de la VPN

Propósito

Verifique el flujo de tráfico a través de la VPN.

Acción

Utilice el ping comando del dispositivo Host1 para probar el flujo de tráfico a Host2.

Significado

Si el ping comando falla desde Host1, puede haber un problema con el enrutamiento, las políticas de seguridad, el host final o el cifrado y descifrado de paquetes ESP.

Revise estadísticas y errores para una asociación de seguridad IPsec

Propósito

Revise los contadores y errores del encabezado de autenticación y ESP para una asociación de seguridad IPsec.

Acción

Desde el modo operativo, ingrese el show security ipsec statistics index index_number comando mediante el número de índice de la VPN para la que desea ver estadísticas.

También puede usar el show security ipsec statistics comando para revisar estadísticas y errores de todas las SA.

Para borrar todas las estadísticas de IPsec, use el clear security ipsec statistics comando.

Significado

Si ve problemas de pérdida de paquetes en una VPN, ejecute el show security ipsec statistics comando o show security ipsec statistics detail varias veces para confirmar si los contadores de paquetes cifrados y descifrados se incrementan. Busque en el resultado del comando cualquier contador de errores de incremento.