Crear una VPN de sitio a sitio
Usted está aquí: RED > VPN > VPN IPsec.
Para crear una VPN de sitio a sitio:
Campo |
Acción |
---|---|
Nombre |
Escriba un nombre para la VPN. |
Descripción |
Escriba una descripción. Esta descripción se utilizará para las propuestas y políticas de ICR e IPsec. Durante la edición, se mostrará y actualizará la descripción de la política de IPsec. |
Modo de enrutamiento |
Seleccione el modo de enrutamiento al que se asociará esta VPN:
Para cada topología, J-Web genera automáticamente las CLIs relevantes. El selector de tráfico es el modo predeterminado. |
Método de autenticación |
Seleccione un método de autenticación de la lista que el dispositivo utiliza para autenticar el origen de los mensajes de intercambio de claves por internet (IKE):
|
Política de creación automática de firewall |
Si selecciona Sí, una política de firewall se encuentra automáticamente entre la zona interna y la zona de interfaz de túnel con redes protegidas locales como dirección de origen y redes protegidas remotas como dirección de destino. Otra política de firewall se creará visa-versa. Si elige No, no tiene una opción de política de firewall. Debe crear manualmente la política de firewall necesaria para que esta VPN funcione.
Nota:
Si no desea crear automáticamente una política de firewall en el flujo de trabajo de VPN, la red protegida se oculta para el enrutamiento dinámico en la puerta de enlace local y remota. |
Puerta de enlace remota |
Muestra el icono de puerta de enlace remota en la topología. Haga clic en el icono para configurar la puerta de enlace remota. La puerta de enlace identifica el par remoto con los pares VPN IPsec y define los parámetros adecuados para esa VPN IPsec. Para obtener información sobre los campos, consulte la tabla 2. |
Puerta de enlace local |
Muestra el icono de puerta de enlace local en la topología. Haga clic en el icono para configurar la puerta de enlace local. Para obtener información sobre los campos, consulte la tabla 4. |
Configuración de ICR e IPsec |
Configure la propuesta de ICR o IPsec personalizada y la propuesta de IPsec personalizada con los algoritmos o valores recomendados. Para obtener más información sobre los campos, consulte la tabla 6.
Nota:
|
Campo |
Acción |
---|---|
La puerta de enlace está detrás de TDR |
Si está habilitada, la dirección IP externa configurada (IPv4 o IPv6) se denomina dirección IP del dispositivo TDR. |
Identidad de ICR |
Seleccione una opción de la lista para configurar la identidad remota. |
Nombre de host |
Escriba un nombre de host remoto. |
Dirección IPv4 |
Ingrese una dirección IPv4 remota. |
Dirección IPv6 |
Ingrese una dirección IPv6 remota. |
ID de clave |
Ingrese un ID de clave. |
Dirección de correo electrónico |
Ingrese una dirección de correo electrónico. |
Dirección IP externa |
Ingrese la dirección IPv4 o IPv6 del par. Puede crear una red par principal con hasta cuatro copias de seguridad. Debe ingresar una dirección IPv4 o IPv6 o puede ingresar hasta cinco direcciones IP separadas por coma. |
Redes protegidas |
Cuando seleccione un modo de enrutamiento, enumera todas las direcciones globales. Seleccione las direcciones en la columna Disponible y, a continuación, haga clic en la flecha derecha para moverla a la columna Seleccionado. Cuando el modo de enrutamiento es:
|
Añadir |
Haga clic en +. Aparecerá la página Crear dirección global. Consulte la Tabla 3 para obtener información de campos. |
Campo |
Acción |
---|---|
Nombre |
Escriba una cadena única que debe comenzar con un carácter alfanumérico y puede incluir puntos, puntos, guiones y guiones bajos; no se permiten espacios; Máximo de 63 caracteres. |
Tipo de IP |
Seleccione IPv4 o IPv6. |
IPv4 |
Dirección IPv4: ingrese una dirección IPv4 válida. Subred: introduzca la subred para la dirección IPv4. |
IPv6 |
Dirección IPv6: ingrese una dirección IPv6 válida. Prefijo de subred : escriba una máscara de subred para el rango de red. Una vez introducido, el valor se valida. |
Campo |
Acción |
---|---|
La puerta de enlace está detrás de TDR |
Active esta opción cuando la puerta de enlace local está detrás de un dispositivo TDR. |
Identidad de ICR |
Seleccione una opción de la lista para configurar la identidad local. Cuando la puerta de enlace está detrás de TDR está habilitada, puede configurar una dirección IPv4 o IPv6 para hacer referencia al dispositivo TDR. |
Nombre de host |
Escriba un nombre de host.
Nota:
Esta opción solo está disponible si la puerta de enlace está detrás de TDR está deshabilitada. |
Dirección IPv4 |
Ingrese una dirección IPv4. |
Dirección IPv6 |
Ingrese una dirección IPv6. |
ID de clave |
Ingrese un ID de clave.
Nota:
Esta opción solo está disponible si la puerta de enlace está detrás de TDR está deshabilitada. |
Dirección de correo electrónico |
Ingrese una dirección de correo electrónico.
Nota:
Esta opción solo está disponible si la puerta de enlace está detrás de TDR está deshabilitada. |
Interfaz externa |
Seleccione una interfaz de salida de la lista para las negociaciones de IKE. La lista contiene todas las direcciones IP disponibles si más de una dirección IP está configurada en la interfaz especificada. La dirección IP seleccionada se configurará como la dirección local en la puerta de enlace de IKE. |
Interfaz de túnel |
Seleccione una interfaz de la lista para enlazarla a la interfaz de túnel (VPN basada en rutas). Haga clic en Agregar para agregar una nueva interfaz. Aparecerá la página Crear interfaz de túnel. Véase el cuadro 5. |
ID de enrutador |
Ingrese la dirección IP del dispositivo de enrutamiento.
Nota:
Esta opción está disponible si el modo de enrutamiento es enrutamiento dinámico( OSPF o BGP). |
ID de área |
Ingrese un ID de área dentro del intervalo de 0 a 4.294.967.295, en el que se deben configurar las interfaces de túnel de esta VPN.
Nota:
Esta opción está disponible si el modo de enrutamiento es Enrutamiento dinámico - OSPF. |
Interfaz de túnel pasiva |
Habilite esta opción para omitir el tráfico de las comprobaciones de IP activas habituales.
Nota:
Esta opción está disponible si el modo de enrutamiento es Enrutamiento dinámico - OSPF. |
ASN |
Ingrese el número de AS del dispositivo de enrutamiento. Utilice un número que le asigne la NIC. Rango: de 1 a 4.294.967.295 (232 - 1) en formato de números sin formato para números de AS de 4 bytes.
Nota:
Esta opción está disponible si el modo de enrutamiento es enrutamiento dinámico - BGP. |
ID de vecino |
Ingrese la dirección IP de un enrutador vecino.
Nota:
Esta opción está disponible si el modo de enrutamiento es enrutamiento dinámico - BGP. |
Tipo de grupo BGP |
Seleccione el tipo de grupo par BGP de la lista:
Nota:
Esta opción está disponible si el modo de enrutamiento es enrutamiento dinámico - BGP. |
ASN par |
Ingrese el número de sistema autónomo (AS) vecino (par).
Nota:
Esta opción está disponible si elige externo como tipo de grupo BGP. |
Políticas de importación |
Seleccione una o más políticas de enrutamiento de la lista para las rutas que se importan a la tabla de enrutamiento desde el BGP. Haga clic en Borrar todo para borrar las policías seleccionadas.
Nota:
Esta opción está disponible si el modo de enrutamiento es enrutamiento dinámico - BGP. |
Políticas de exportación |
Seleccione una o más políticas de la lista para las rutas que se exportan desde la tabla de enrutamiento al BGP. Haga clic en Borrar todo para borrar las policías seleccionadas.
Nota:
Esta opción está disponible si el modo de enrutamiento es enrutamiento dinámico - BGP. |
Certificado local |
Seleccione un identificador de certificado local cuando el dispositivo local tenga varios certificados cargados.
Nota:
Esta opción está disponible si el método de autenticación está basado en certificados. Haga clic en Agregar para generar un nuevo certificado. Haga clic en Importar para importar un certificado de dispositivo. Para obtener más información, consulte Administrar certificados de dispositivo. |
Ca/Grupo de confianza |
Seleccione el perfil de entidad de certificación (CA) de la lista para asociarlo con el certificado local.
Nota:
Esta opción está disponible si el método de autenticación está basado en certificados. Haga clic en Agregar para agregar un nuevo perfil de CA. Para obtener más información, consulte Administrar autoridad de certificación de confianza. |
Clave precompartida |
Introduzca el valor de la clave previamente compartida. La clave puede ser una de las siguientes:
Nota:
Esta opción está disponible si el método de autenticación es clave precompartida. |
Redes protegidas |
Haga clic en +. Aparecerá la página Crear redes protegidas. |
Crear redes protegidas | |
Zona |
Seleccione una zona de seguridad de la lista que se utilizará como zona de origen en la política de firewall. |
Dirección global |
Seleccione las direcciones en la columna Disponible y, a continuación, haga clic en la flecha derecha para moverla a la columna Seleccionado. |
Añadir |
Haga clic en Agregar. Aparecerá la página Crear dirección global. Véase el cuadro 3. |
Editar |
Seleccione la red protegida que desea editar y haga clic en el icono de lápiz. La página Editar dirección global aparece con campos editables. |
Eliminar |
Seleccione la red protegida que desea editar y haga clic en el icono eliminar. Aparecerá el mensaje de confirmación. Haga clic en Sí para eliminar. |
Campo |
Acción |
---|---|
Unidad de interfaz |
Escriba el número de unidad lógica. |
Descripción |
Escriba una descripción para la interfaz lógica. |
Zona |
Seleccione una zona para la interfaz lógica de la lista que se utilizará como zona de origen en la política de firewall. Haga clic en Agregar para agregar una nueva zona. Escriba el nombre y la descripción de la zona y haga clic en Aceptar en la página Crear zona de seguridad. |
Instancia de enrutamiento |
Seleccione una instancia de enrutamiento de la lista. |
IPv4
Nota:
Esta opción solo está disponible si selecciona el modo de enrutamiento como enrutamiento dinámico( OSPF o BGP). |
|
Dirección IPv4 |
Ingrese una dirección IPv4 válida. |
Prefijo de subred |
Escriba una máscara de subred para la dirección IPv4. |
IPv6
Nota:
Esta opción solo está disponible si selecciona el modo de enrutamiento como enrutamiento dinámico( OSPF o BGP). |
|
Dirección IPv6 |
Ingrese una dirección IPv6 válida. |
Prefijo de subred |
Escriba una máscara de subred para el rango de red. Una vez introducido, el valor se valida. |
Campo |
Acción |
---|---|
Configuración de IKE | |
Versión de IKE |
Seleccione la versión de IKE necesaria, ya sea v1 o v2 para negociar asociaciones de seguridad dinámicas (SA) para IPsec. El valor predeterminado es v2. |
Modo ICR |
Seleccione el modo de política de ICR de la lista:
|
Algoritmo de cifrado |
Seleccione el mecanismo de cifrado adecuado de la lista. El valor predeterminado es aes-256-gcm. |
Algoritmo de autenticación |
Seleccione el algoritmo de autenticación de la lista. Por ejemplo, hmac-md5-96 (Produce una digestión de 128 bits y hmac-sha1-96) Produce una digestión de 160 bits.
Nota:
Esta opción está disponible cuando el algoritmo de cifrado no es gcm. |
Grupo DH |
Un intercambio Diffie-Hellman (DH) permite a los participantes generar un valor secreto compartido. Seleccione el grupo DH adecuado de la lista. El valor predeterminado es group19. |
Segundos de vida útil |
Seleccione una vida útil de una asociación de seguridad (SA) de ICR. Valor predeterminado: 28 800 segundos. Rango: de 180 a 86 400 segundos. |
Detección de pares muertos |
Habilite esta opción para enviar solicitudes de detección de pares inactivos independientemente de si hay tráfico IPsec saliente al par. |
Modo DPD |
Seleccione una de las opciones de la lista:
|
Intervalo DPD |
Seleccione un intervalo en segundos para enviar mensajes de detección de pares inactivos. El intervalo predeterminado es de 10 segundos. El rango es de 2 a 60 segundos. |
Umbral DPD |
Seleccione un número del 1 al 5 para establecer el umbral DPD de falla. Esto especifica la cantidad máxima de veces que se deben enviar los mensajes DPD cuando no hay respuesta del par. El número predeterminado de transmisiones es 5 veces. |
Configuración avanzada (opcional) | |
ID de ICR general |
Habilite esta opción para aceptar ID de IKE par. |
Autenticación IKEv2 |
Configure la frecuencia de reautenticación para activar una nueva reautenticación IKEv2. |
Fragmentación de IKEv2 |
Esta opción está habilitada de forma predeterminada. |
Tamaño de re-fragmentación IKEv2 |
Seleccione el tamaño máximo, en bytes, de un mensaje IKEv2 antes de dividirlo en fragmentos. El tamaño se aplica a los mensajes IPv4 e IPv6. Rango: 570 a 1320 bytes. Los valores predeterminados son:
|
TDR-T |
Habilite esta opción para que el tráfico IPsec pase a través de un dispositivo TDR. TDR-T es un algoritmo de fase 1 de ICR que se utiliza cuando se intenta establecer una conexión VPN entre dos dispositivos de puerta de enlace, donde hay un dispositivo TDR delante de uno de los dispositivos de la serie SRX. |
TDR manténgase vivo |
Seleccione el intervalo de mantenimiento adecuado en segundos. Rango: 1 a 300. Si se espera que la VPN tenga grandes períodos de inactividad, puede configurar valores de conservación para generar tráfico artificial para mantener la sesión activa en los dispositivos TDR. |
Configuración de IPsec | |
Protocolo |
Seleccione protocolo de seguridad de encapsulación (ESP) o protocolo de encabezado de autenticación (AH) de la lista para establecer VPN. El valor predeterminado es ESP. |
Algoritmo de cifrado |
Seleccione el método de cifrado. El valor predeterminado es aes-256-gcm.
Nota:
Esta opción solo está disponible para el protocolo ESP. |
Algoritmo de autenticación |
Seleccione el algoritmo de autenticación IPsec de la lista. Por ejemplo, hmac-md5-96 (Produce una digestión de 128 bits y hmac-sha1-96) Produce una digestión de 160 bits.
Nota:
Esta opción está disponible cuando el algoritmo de cifrado no es gcm. |
Confidencialidad directa perfecta |
Seleccione Perfect Forward Secrecy (PFS) de la lista. El dispositivo usa este método para generar la clave de cifrado. El valor predeterminado es group19. PFS genera cada nueva clave de cifrado independientemente de la clave anterior. Los grupos con mayor número proporcionan más seguridad, pero requieren más tiempo de procesamiento.
Nota:
group15, group16 y group21 solo admiten la línea SRX5000 de dispositivos con una tarjeta SPC3 y un paquete junos-ike instalados. |
Segundos de vida útil |
Seleccione la vida útil (en segundos) de una asociación de seguridad (SA) de IPsec. Cuando caduca la SA, se sustituye por una nueva SA y un índice de parámetros de seguridad (SPI) o se termina. El valor predeterminado es de 3.600 segundos. Rango: de 180 a 86 400 segundos. |
Kilobytes de por vida |
Seleccione la vida útil (en kilobytes) de una SA IPsec. El valor predeterminado es 128kb. Rango: de 64 a 4294967294. |
Establecer túnel |
Habilite esta opción para establecer el túnel IPsec. IKE se activa de inmediato (valor predeterminado) después de configurar una VPN y los cambios de configuración se confirma. |
Configuración avanzada | |
VPN Monitor |
Habilite esta opción para usarla en una dirección IP de destino.
Nota:
Esta opción no está disponible para el modo de enrutamiento de selectores de tráfico. |
IP de destino |
Escriba el destino de los pings del Protocolo de mensajes de control de Internet (ICMP). El dispositivo usa la dirección de puerta de enlace del par de forma predeterminada.
Nota:
Esta opción no está disponible para el modo de enrutamiento de selectores de tráfico. |
Optimizado |
Habilite esta opción para el objeto VPN. Si está habilitado, el dispositivo serie SRX solo envía solicitudes de eco (pings) ICMP cuando hay tráfico de salida y no hay tráfico entrante del par configurado a través del túnel VPN. Si hay tráfico entrante a través del túnel VPN, el dispositivo serie SRX considera que el túnel está activo y no envía pings al par. Esta opción está deshabilitada de forma predeterminada.
Nota:
Esta opción no está disponible para el modo de enrutamiento de selectores de tráfico. |
Interfaz de origen |
Seleccione la interfaz de origen para solicitudes ICMP de la lista. Si no se especifica ninguna interfaz de origen, el dispositivo usa automáticamente la interfaz de punto de conexión de túnel local.
Nota:
Esta opción no está disponible para el modo de enrutamiento de selectores de tráfico. |
Verificar ruta |
Habilite esta opción para comprobar la ruta de datos IPsec antes de que se active la interfaz de túnel seguro (st0) y que las rutas asociadas con la interfaz se instalen en la tabla de reenvío de Junos OS. Esta opción está deshabilitada de forma predeterminada.
Nota:
Esta opción no está disponible para el modo de enrutamiento de selectores de tráfico. |
IP de destino |
Ingrese la dirección IP de destino. Dirección IP original y no traducida del punto de conexión de túnel par que está detrás de un dispositivo TDR. Esta dirección IP no debe ser la dirección IP traducida TDR. Esta opción es necesaria si el punto de conexión de túnel par se encuentra detrás de un dispositivo TDR. La solicitud ICMP de ruta de verificación se envía a esta dirección IP para que el par pueda generar una respuesta ICMP.
Nota:
Esta opción no está disponible para el modo de enrutamiento de selectores de tráfico. |
Tamaño del paquete |
Escriba el tamaño del paquete que se utiliza para comprobar una ruta de datos IPsec antes de que aparezca la interfaz st0. Rango: 64 a 1350 bytes. El valor predeterminado es 64 bytes.
Nota:
Esta opción no está disponible para el modo de enrutamiento de selectores de tráfico. |
Anti repetición |
IPsec protege contra ataques VPN mediante el uso de una secuencia de números integrados en el paquete IPsec: el sistema no acepta un paquete con el mismo número de secuencia. Esta opción está habilitada de forma predeterminada. El Anti-Replay comprueba los números de secuencia y aplica la comprobación, en lugar de simplemente ignorar los números de secuencia. Desactive la anti-reproducción si hay un error con el mecanismo IPsec que da como resultado paquetes fuera de orden, lo que impide la funcionalidad adecuada. |
Intervalo de instalación |
Seleccione el número máximo de segundos para permitir la instalación de una asociación de seguridad saliente (SA) de clave reclavada en el dispositivo. Seleccione un valor del 1 al 10. |
Tiempo de inactividad |
Seleccione el intervalo de tiempo de inactividad. Las sesiones y el tiempo de las traducciones correspondientes han transcurrido un cierto período de tiempo si no se recibe tráfico. El rango es de 60 a 999999 segundos. |
DF Bit |
Seleccione cómo el dispositivo maneja el bit Don't Fragment (DF) en el encabezado externo:
|
Copiar DSCP externo |
Esta opción está habilitada de forma predeterminada. Esto permite copiar el punto de código de servicios diferenciados (DSCP) (DSCP+ ECN externo) desde el paquete cifrado del encabezado IP externo al mensaje de texto sin formato del encabezado IP interno en la ruta de descifrado. Al habilitar esta función, tras el descifrado de IPsec, los paquetes de texto sin formato pueden seguir las reglas internas de CoS (DSCP+ECN). |