Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Crear una VPN de sitio a sitio

Usted está aquí: RED > VPN > VPN IPsec.

Para crear una VPN de sitio a sitio:

  1. Haga clic en Crear VPN y seleccione Sitio a sitio en la parte superior derecha de la página VPN IPsec.

    Aparecerá la página Crear VPN de sitio a sitio.

  2. Complete la configuración de acuerdo con las directrices proporcionadas en la tabla 1 a la tabla 6.

    La conectividad VPN cambiará de línea gris a azul en la topología para mostrar que la configuración está completa.

  3. Haga clic en Guardar para guardar los cambios.

    Si desea descartar los cambios, haga clic en Cancelar.

Tabla 1: Campos en la página Create IPsec VPN

Campo

Acción

Nombre

Escriba un nombre para la VPN.

Descripción

Escriba una descripción. Esta descripción se utilizará para las propuestas y políticas de ICR e IPsec. Durante la edición, se mostrará y actualizará la descripción de la política de IPsec.

Modo de enrutamiento

Seleccione el modo de enrutamiento al que se asociará esta VPN:

  • Selector de tráfico (inserción automática de ruta)

  • Enrutamiento estático

  • Enrutamiento dinámico : OSPF

  • Enrutamiento dinámico : BGP

Para cada topología, J-Web genera automáticamente las CLIs relevantes. El selector de tráfico es el modo predeterminado.

Método de autenticación

Seleccione un método de autenticación de la lista que el dispositivo utiliza para autenticar el origen de los mensajes de intercambio de claves por internet (IKE):

  • Basado en certificados: tipos de firmas digitales, que son certificados que confirman la identidad del titular del certificado.

    A continuación, se muestran los métodos de autenticación de un certificado basado en certificados:

    • rsa-signatures: especifica que se utiliza un algoritmo de clave pública que admite el cifrado y las firmas digitales.

    • dsa-signatures: especifica que se utiliza el algoritmo de firma digital (DSA).

    • ecdsa-signatures-256: especifica que se utiliza el DSA de curva elíptica (ECDSA) mediante la curva elíptica de 256 bits secp256r1, tal y como se especifica en el Estándar de firma digital (DSS) 186-3 del Federal Information Processing Standard (FIPS) 186-3.

    • ecdsa-signatures-384: especifica que se utiliza el ECDSA mediante la curva elíptica de 384 bits secp384r1, como se especifica en el FIPS DSS 186-3.

    • ecdsa-signatures-521: especifica que se utiliza el ECDSA mediante la curva elíptica de 521 bits secp521r1.

      Nota:

      ecdsa-signatures-521 solo admite la línea de dispositivos SRX5000 con tarjeta SPC3 y paquete junos-ike instalado.

  • Clave precompartida (método predeterminado): especifica que se utiliza una clave previamente compartida, que es una clave secreta compartida entre los dos pares, durante la autenticación para identificar los pares entre sí. Se debe configurar la misma clave para cada par. Este es el método predeterminado.

Política de creación automática de firewall

Si selecciona , una política de firewall se encuentra automáticamente entre la zona interna y la zona de interfaz de túnel con redes protegidas locales como dirección de origen y redes protegidas remotas como dirección de destino.

Otra política de firewall se creará visa-versa.

Si elige No, no tiene una opción de política de firewall. Debe crear manualmente la política de firewall necesaria para que esta VPN funcione.

Nota:

Si no desea crear automáticamente una política de firewall en el flujo de trabajo de VPN, la red protegida se oculta para el enrutamiento dinámico en la puerta de enlace local y remota.

Puerta de enlace remota

Muestra el icono de puerta de enlace remota en la topología. Haga clic en el icono para configurar la puerta de enlace remota.

La puerta de enlace identifica el par remoto con los pares VPN IPsec y define los parámetros adecuados para esa VPN IPsec.

Para obtener información sobre los campos, consulte la tabla 2.

Puerta de enlace local

Muestra el icono de puerta de enlace local en la topología. Haga clic en el icono para configurar la puerta de enlace local.

Para obtener información sobre los campos, consulte la tabla 4.

Configuración de ICR e IPsec

Configure la propuesta de ICR o IPsec personalizada y la propuesta de IPsec personalizada con los algoritmos o valores recomendados.

Para obtener más información sobre los campos, consulte la tabla 6.

Nota:
  • J-Web solo admite una propuesta de ICR personalizada y no admite el conjunto de propuestas predefinidos. Al editar y guardar, J-Web elimina la propuesta predefinida si está configurada.

  • En la puerta de enlace remota del túnel VPN, debe configurar la misma propuesta y política personalizadas.

  • Tras la edición, J-Web muestra la primera propuesta de ICR e IPsec personalizada cuando se configura más de una propuesta personalizada.

Tabla 2: Campos en la página de puerta de enlace remota

Campo

Acción

La puerta de enlace está detrás de TDR

Si está habilitada, la dirección IP externa configurada (IPv4 o IPv6) se denomina dirección IP del dispositivo TDR.

Identidad de ICR

Seleccione una opción de la lista para configurar la identidad remota.

Nombre de host

Escriba un nombre de host remoto.

Dirección IPv4

Ingrese una dirección IPv4 remota.

Dirección IPv6

Ingrese una dirección IPv6 remota.

ID de clave

Ingrese un ID de clave.

Dirección de correo electrónico

Ingrese una dirección de correo electrónico.

Dirección IP externa

Ingrese la dirección IPv4 o IPv6 del par. Puede crear una red par principal con hasta cuatro copias de seguridad.

Debe ingresar una dirección IPv4 o IPv6 o puede ingresar hasta cinco direcciones IP separadas por coma.

Redes protegidas

Cuando seleccione un modo de enrutamiento, enumera todas las direcciones globales.

Seleccione las direcciones en la columna Disponible y, a continuación, haga clic en la flecha derecha para moverla a la columna Seleccionado.

Cuando el modo de enrutamiento es:

  • Selector de tráfico: las direcciones IP se usarán como IP remota en la configuración del selector de tráfico.

  • Enrutamiento estático:

    • La ruta estática se configurará para las direcciones globales seleccionadas.

    • La interfaz de túnel (st0.x) de la puerta de enlace local se utilizará como el siguiente salto.

  • Enrutamiento dinámico: el valor predeterminado es cualquiera. También puede seleccionar direcciones globales específicas. El valor seleccionado se configura como dirección de destino en la política de firewall.

Añadir

Haga clic en +.

Aparecerá la página Crear dirección global. Consulte la Tabla 3 para obtener información de campos.

Tabla 3: Campos en la página Crear direcciones globales

Campo

Acción

Nombre

Escriba una cadena única que debe comenzar con un carácter alfanumérico y puede incluir puntos, puntos, guiones y guiones bajos; no se permiten espacios; Máximo de 63 caracteres.

Tipo de IP

Seleccione IPv4 o IPv6.

IPv4

Dirección IPv4: ingrese una dirección IPv4 válida.

Subred: introduzca la subred para la dirección IPv4.

IPv6

Dirección IPv6: ingrese una dirección IPv6 válida.

Prefijo de subred : escriba una máscara de subred para el rango de red. Una vez introducido, el valor se valida.

Tabla 4: Campos en la página de puerta de enlace local

Campo

Acción

La puerta de enlace está detrás de TDR

Active esta opción cuando la puerta de enlace local está detrás de un dispositivo TDR.

Identidad de ICR

Seleccione una opción de la lista para configurar la identidad local. Cuando la puerta de enlace está detrás de TDR está habilitada, puede configurar una dirección IPv4 o IPv6 para hacer referencia al dispositivo TDR.

Nombre de host

Escriba un nombre de host.

Nota:

Esta opción solo está disponible si la puerta de enlace está detrás de TDR está deshabilitada.

Dirección IPv4

Ingrese una dirección IPv4.

Dirección IPv6

Ingrese una dirección IPv6.

ID de clave

Ingrese un ID de clave.

Nota:

Esta opción solo está disponible si la puerta de enlace está detrás de TDR está deshabilitada.

Dirección de correo electrónico

Ingrese una dirección de correo electrónico.

Nota:

Esta opción solo está disponible si la puerta de enlace está detrás de TDR está deshabilitada.

Interfaz externa

Seleccione una interfaz de salida de la lista para las negociaciones de IKE.

La lista contiene todas las direcciones IP disponibles si más de una dirección IP está configurada en la interfaz especificada. La dirección IP seleccionada se configurará como la dirección local en la puerta de enlace de IKE.

Interfaz de túnel

Seleccione una interfaz de la lista para enlazarla a la interfaz de túnel (VPN basada en rutas).

Haga clic en Agregar para agregar una nueva interfaz. Aparecerá la página Crear interfaz de túnel. Véase el cuadro 5.

ID de enrutador

Ingrese la dirección IP del dispositivo de enrutamiento.

Nota:

Esta opción está disponible si el modo de enrutamiento es enrutamiento dinámico( OSPF o BGP).

ID de área

Ingrese un ID de área dentro del intervalo de 0 a 4.294.967.295, en el que se deben configurar las interfaces de túnel de esta VPN.

Nota:

Esta opción está disponible si el modo de enrutamiento es Enrutamiento dinámico - OSPF.

Interfaz de túnel pasiva

Habilite esta opción para omitir el tráfico de las comprobaciones de IP activas habituales.

Nota:

Esta opción está disponible si el modo de enrutamiento es Enrutamiento dinámico - OSPF.

ASN

Ingrese el número de AS del dispositivo de enrutamiento.

Utilice un número que le asigne la NIC. Rango: de 1 a 4.294.967.295 (232 - 1) en formato de números sin formato para números de AS de 4 bytes.

Nota:

Esta opción está disponible si el modo de enrutamiento es enrutamiento dinámico - BGP.

ID de vecino

Ingrese la dirección IP de un enrutador vecino.

Nota:

Esta opción está disponible si el modo de enrutamiento es enrutamiento dinámico - BGP.

Tipo de grupo BGP

Seleccione el tipo de grupo par BGP de la lista:

  • external— Grupo externo, que permite el enrutamiento del BGP del inter-AS.

  • internal— Grupo interno, que permite el enrutamiento del BGP intra-AS.

Nota:

Esta opción está disponible si el modo de enrutamiento es enrutamiento dinámico - BGP.

ASN par

Ingrese el número de sistema autónomo (AS) vecino (par).

Nota:

Esta opción está disponible si elige externo como tipo de grupo BGP.

Políticas de importación

Seleccione una o más políticas de enrutamiento de la lista para las rutas que se importan a la tabla de enrutamiento desde el BGP.

Haga clic en Borrar todo para borrar las policías seleccionadas.

Nota:

Esta opción está disponible si el modo de enrutamiento es enrutamiento dinámico - BGP.

Políticas de exportación

Seleccione una o más políticas de la lista para las rutas que se exportan desde la tabla de enrutamiento al BGP.

Haga clic en Borrar todo para borrar las policías seleccionadas.

Nota:

Esta opción está disponible si el modo de enrutamiento es enrutamiento dinámico - BGP.

Certificado local

Seleccione un identificador de certificado local cuando el dispositivo local tenga varios certificados cargados.

Nota:

Esta opción está disponible si el método de autenticación está basado en certificados.

Haga clic en Agregar para generar un nuevo certificado. Haga clic en Importar para importar un certificado de dispositivo. Para obtener más información, consulte Administrar certificados de dispositivo.

Ca/Grupo de confianza

Seleccione el perfil de entidad de certificación (CA) de la lista para asociarlo con el certificado local.

Nota:

Esta opción está disponible si el método de autenticación está basado en certificados.

Haga clic en Agregar para agregar un nuevo perfil de CA. Para obtener más información, consulte Administrar autoridad de certificación de confianza.

Clave precompartida

Introduzca el valor de la clave previamente compartida. La clave puede ser una de las siguientes:

  • ascii-text— clave de texto ASCII.

  • clave hexadecimal: clave hexadecimal.

Nota:

Esta opción está disponible si el método de autenticación es clave precompartida.

Redes protegidas

Haga clic en +. Aparecerá la página Crear redes protegidas.

Crear redes protegidas

Zona

Seleccione una zona de seguridad de la lista que se utilizará como zona de origen en la política de firewall.

Dirección global

Seleccione las direcciones en la columna Disponible y, a continuación, haga clic en la flecha derecha para moverla a la columna Seleccionado.

Añadir

Haga clic en Agregar.

Aparecerá la página Crear dirección global. Véase el cuadro 3.

Editar

Seleccione la red protegida que desea editar y haga clic en el icono de lápiz.

La página Editar dirección global aparece con campos editables.

Eliminar

Seleccione la red protegida que desea editar y haga clic en el icono eliminar.

Aparecerá el mensaje de confirmación.

Haga clic en para eliminar.

Tabla 5: Campos en la página Crear interfaz de túnel

Campo

Acción

Unidad de interfaz

Escriba el número de unidad lógica.

Descripción

Escriba una descripción para la interfaz lógica.

Zona

Seleccione una zona para la interfaz lógica de la lista que se utilizará como zona de origen en la política de firewall.

Haga clic en Agregar para agregar una nueva zona. Escriba el nombre y la descripción de la zona y haga clic en Aceptar en la página Crear zona de seguridad.

Instancia de enrutamiento

Seleccione una instancia de enrutamiento de la lista.

IPv4
Nota:

Esta opción solo está disponible si selecciona el modo de enrutamiento como enrutamiento dinámico( OSPF o BGP).

Dirección IPv4

Ingrese una dirección IPv4 válida.

Prefijo de subred

Escriba una máscara de subred para la dirección IPv4.

IPv6
Nota:

Esta opción solo está disponible si selecciona el modo de enrutamiento como enrutamiento dinámico( OSPF o BGP).

Dirección IPv6

Ingrese una dirección IPv6 válida.

Prefijo de subred

Escriba una máscara de subred para el rango de red. Una vez introducido, el valor se valida.

Tabla 6: Configuración de ICR e IPsec

Campo

Acción

Configuración de IKE

Versión de IKE

Seleccione la versión de IKE necesaria, ya sea v1 o v2 para negociar asociaciones de seguridad dinámicas (SA) para IPsec.

El valor predeterminado es v2.

Modo ICR

Seleccione el modo de política de ICR de la lista:

  • agresivo: toma la mitad del número de mensajes del modo principal, tiene menos poder de negociación y no proporciona protección de identidad.

  • main: utilice seis mensajes, en tres intercambios par a par, para establecer la SA de IKE. Estos tres pasos incluyen la negociación de SA de IKE, un intercambio Diffie-Hellman y la autenticación del par. También proporciona protección de identidad.

Algoritmo de cifrado

Seleccione el mecanismo de cifrado adecuado de la lista.

El valor predeterminado es aes-256-gcm.

Algoritmo de autenticación

Seleccione el algoritmo de autenticación de la lista. Por ejemplo, hmac-md5-96 (Produce una digestión de 128 bits y hmac-sha1-96) Produce una digestión de 160 bits.

Nota:

Esta opción está disponible cuando el algoritmo de cifrado no es gcm.

Grupo DH

Un intercambio Diffie-Hellman (DH) permite a los participantes generar un valor secreto compartido. Seleccione el grupo DH adecuado de la lista. El valor predeterminado es group19.

Segundos de vida útil

Seleccione una vida útil de una asociación de seguridad (SA) de ICR. Valor predeterminado: 28 800 segundos. Rango: de 180 a 86 400 segundos.

Detección de pares muertos

Habilite esta opción para enviar solicitudes de detección de pares inactivos independientemente de si hay tráfico IPsec saliente al par.

Modo DPD

Seleccione una de las opciones de la lista:

  • optimizado: envía sondeos solo cuando hay tráfico de salida y no hay tráfico de datos entrante - RFC3706 (modo predeterminado).

  • probe-idle-tunnel: envía sondas igual que en el modo optimizado y también cuando no hay tráfico de datos saliente y entrante.

  • always-send: envía sondeos periódicamente independientemente del tráfico de datos entrante y saliente.

Intervalo DPD

Seleccione un intervalo en segundos para enviar mensajes de detección de pares inactivos. El intervalo predeterminado es de 10 segundos. El rango es de 2 a 60 segundos.

Umbral DPD

Seleccione un número del 1 al 5 para establecer el umbral DPD de falla.

Esto especifica la cantidad máxima de veces que se deben enviar los mensajes DPD cuando no hay respuesta del par. El número predeterminado de transmisiones es 5 veces.

Configuración avanzada (opcional)

ID de ICR general

Habilite esta opción para aceptar ID de IKE par.

Autenticación IKEv2

Configure la frecuencia de reautenticación para activar una nueva reautenticación IKEv2.

Fragmentación de IKEv2

Esta opción está habilitada de forma predeterminada.

Tamaño de re-fragmentación IKEv2

Seleccione el tamaño máximo, en bytes, de un mensaje IKEv2 antes de dividirlo en fragmentos.

El tamaño se aplica a los mensajes IPv4 e IPv6. Rango: 570 a 1320 bytes.

Los valores predeterminados son:

  • Mensajes IPv4: 576 bytes.

  • Mensajes IPv6: 1280 bytes.

TDR-T

Habilite esta opción para que el tráfico IPsec pase a través de un dispositivo TDR.

TDR-T es un algoritmo de fase 1 de ICR que se utiliza cuando se intenta establecer una conexión VPN entre dos dispositivos de puerta de enlace, donde hay un dispositivo TDR delante de uno de los dispositivos de la serie SRX.

TDR manténgase vivo

Seleccione el intervalo de mantenimiento adecuado en segundos. Rango: 1 a 300.

Si se espera que la VPN tenga grandes períodos de inactividad, puede configurar valores de conservación para generar tráfico artificial para mantener la sesión activa en los dispositivos TDR.

Configuración de IPsec

Protocolo

Seleccione protocolo de seguridad de encapsulación (ESP) o protocolo de encabezado de autenticación (AH) de la lista para establecer VPN. El valor predeterminado es ESP.

Algoritmo de cifrado

Seleccione el método de cifrado. El valor predeterminado es aes-256-gcm.

Nota:

Esta opción solo está disponible para el protocolo ESP.

Algoritmo de autenticación

Seleccione el algoritmo de autenticación IPsec de la lista. Por ejemplo, hmac-md5-96 (Produce una digestión de 128 bits y hmac-sha1-96) Produce una digestión de 160 bits.

Nota:

Esta opción está disponible cuando el algoritmo de cifrado no es gcm.

Confidencialidad directa perfecta

Seleccione Perfect Forward Secrecy (PFS) de la lista. El dispositivo usa este método para generar la clave de cifrado. El valor predeterminado es group19.

PFS genera cada nueva clave de cifrado independientemente de la clave anterior. Los grupos con mayor número proporcionan más seguridad, pero requieren más tiempo de procesamiento.

Nota:

group15, group16 y group21 solo admiten la línea SRX5000 de dispositivos con una tarjeta SPC3 y un paquete junos-ike instalados.

Segundos de vida útil

Seleccione la vida útil (en segundos) de una asociación de seguridad (SA) de IPsec. Cuando caduca la SA, se sustituye por una nueva SA y un índice de parámetros de seguridad (SPI) o se termina. El valor predeterminado es de 3.600 segundos. Rango: de 180 a 86 400 segundos.

Kilobytes de por vida

Seleccione la vida útil (en kilobytes) de una SA IPsec. El valor predeterminado es 128kb. Rango: de 64 a 4294967294.

Establecer túnel

Habilite esta opción para establecer el túnel IPsec. IKE se activa de inmediato (valor predeterminado) después de configurar una VPN y los cambios de configuración se confirma.

Configuración avanzada

VPN Monitor

Habilite esta opción para usarla en una dirección IP de destino.

Nota:

Esta opción no está disponible para el modo de enrutamiento de selectores de tráfico.

IP de destino

Escriba el destino de los pings del Protocolo de mensajes de control de Internet (ICMP). El dispositivo usa la dirección de puerta de enlace del par de forma predeterminada.

Nota:

Esta opción no está disponible para el modo de enrutamiento de selectores de tráfico.

Optimizado

Habilite esta opción para el objeto VPN. Si está habilitado, el dispositivo serie SRX solo envía solicitudes de eco (pings) ICMP cuando hay tráfico de salida y no hay tráfico entrante del par configurado a través del túnel VPN. Si hay tráfico entrante a través del túnel VPN, el dispositivo serie SRX considera que el túnel está activo y no envía pings al par.

Esta opción está deshabilitada de forma predeterminada.

Nota:

Esta opción no está disponible para el modo de enrutamiento de selectores de tráfico.

Interfaz de origen

Seleccione la interfaz de origen para solicitudes ICMP de la lista. Si no se especifica ninguna interfaz de origen, el dispositivo usa automáticamente la interfaz de punto de conexión de túnel local.

Nota:

Esta opción no está disponible para el modo de enrutamiento de selectores de tráfico.

Verificar ruta

Habilite esta opción para comprobar la ruta de datos IPsec antes de que se active la interfaz de túnel seguro (st0) y que las rutas asociadas con la interfaz se instalen en la tabla de reenvío de Junos OS.

Esta opción está deshabilitada de forma predeterminada.

Nota:

Esta opción no está disponible para el modo de enrutamiento de selectores de tráfico.

IP de destino

Ingrese la dirección IP de destino. Dirección IP original y no traducida del punto de conexión de túnel par que está detrás de un dispositivo TDR. Esta dirección IP no debe ser la dirección IP traducida TDR. Esta opción es necesaria si el punto de conexión de túnel par se encuentra detrás de un dispositivo TDR. La solicitud ICMP de ruta de verificación se envía a esta dirección IP para que el par pueda generar una respuesta ICMP.

Nota:

Esta opción no está disponible para el modo de enrutamiento de selectores de tráfico.

Tamaño del paquete

Escriba el tamaño del paquete que se utiliza para comprobar una ruta de datos IPsec antes de que aparezca la interfaz st0. Rango: 64 a 1350 bytes. El valor predeterminado es 64 bytes.

Nota:

Esta opción no está disponible para el modo de enrutamiento de selectores de tráfico.

Anti repetición

IPsec protege contra ataques VPN mediante el uso de una secuencia de números integrados en el paquete IPsec: el sistema no acepta un paquete con el mismo número de secuencia.

Esta opción está habilitada de forma predeterminada. El Anti-Replay comprueba los números de secuencia y aplica la comprobación, en lugar de simplemente ignorar los números de secuencia.

Desactive la anti-reproducción si hay un error con el mecanismo IPsec que da como resultado paquetes fuera de orden, lo que impide la funcionalidad adecuada.

Intervalo de instalación

Seleccione el número máximo de segundos para permitir la instalación de una asociación de seguridad saliente (SA) de clave reclavada en el dispositivo. Seleccione un valor del 1 al 10.

Tiempo de inactividad

Seleccione el intervalo de tiempo de inactividad. Las sesiones y el tiempo de las traducciones correspondientes han transcurrido un cierto período de tiempo si no se recibe tráfico. El rango es de 60 a 999999 segundos.

DF Bit

Seleccione cómo el dispositivo maneja el bit Don't Fragment (DF) en el encabezado externo:

  • clear—Borrar (deshabilitar) el bit DF del encabezado externo. Este es el valor predeterminado.

  • copy (copy): permite copiar el bit DF en el encabezado externo.

  • set—Establecer (habilitar) el bit DF en el encabezado externo.

Copiar DSCP externo

Esta opción está habilitada de forma predeterminada. Esto permite copiar el punto de código de servicios diferenciados (DSCP) (DSCP+ ECN externo) desde el paquete cifrado del encabezado IP externo al mensaje de texto sin formato del encabezado IP interno en la ruta de descifrado. Al habilitar esta función, tras el descifrado de IPsec, los paquetes de texto sin formato pueden seguir las reglas internas de CoS (DSCP+ECN).