Crear una VPN de sitio a sitio

Nombre

Escriba un nombre para la VPN.

Descripción

Introduzca una descripción. Esta descripción se utilizará para las propuestas y políticas de IKE e IPsec. Durante la edición, se mostrará y actualizará la descripción de la directiva IPsec.

Modo de enrutamiento

Seleccione el modo de enrutamiento al que se asociará esta VPN:

• Selector de tráfico (inserción automática de rutas)

• Enrutamiento estático

• Enrutamiento dinámico – OSPF

• Enrutamiento dinámico – BGP

Para cada topología, J-Web genera automáticamente las CLI relevantes. El selector de tráfico es el modo predeterminado.

Método de autenticación

Seleccione un método de autenticación de la lista que el dispositivo utiliza para autenticar el origen de los mensajes de Intercambio de claves por Internet (IKE):

• Basado en certificados: tipos de firmas digitales, que son certificados que confirman la identidad del titular del certificado.

  Los siguientes son los métodos de autenticación para un certificado basado:

  • rsa-signatures: especifica que se utiliza un algoritmo de clave pública que admite el cifrado y las firmas digitales.

  • dsa-signatures: especifica que se utiliza el algoritmo de firma digital (DSA).

  • ecdsa-signatures-256: especifica que se utiliza la curva elíptica DSA (ECDSA) que utiliza la curva elíptica de 256 bits secp256r1, tal como se especifica en la Norma de firma digital (DSS) 186-3 de la Norma federal de procesamiento de información (FIPS).

  • ecdsa-signatures-384: especifica que se usa la ECDSA que usa la curva elíptica de 384 bits secp384r1, como se especifica en FIPS DSS 186-3.

  • ecdsa-signatures-521: especifica que se utiliza la ECDSA que utiliza la curva elíptica secp521r1 de 521 bits.

    Nota:

    ecdsa-signatures-521 solo admite SRX5000 línea de dispositivos con tarjeta SPC3 y paquete junos-ike instalados.

• Clave previamente compartida (método predeterminado): especifica que una clave previamente compartida, que es una clave secreta compartida entre los dos pares, se utiliza durante la autenticación para identificar a los pares entre sí. Se debe configurar la misma clave para cada par. Este es el método predeterminado.

Creación automática de políticas de firewall

Si selecciona Sí, una política de firewall se encuentra automáticamente entre la zona interna y la zona de interfaz de túnel con redes locales protegidas como dirección de origen y redes protegidas remotas como dirección de destino.

Se creará otra política de firewall viceversa.

Si elige No, no tiene una opción de directiva de firewall. Debe crear manualmente la directiva de firewall necesaria para que esta VPN funcione.

Puerta de enlace remota

Muestra el icono de puerta de enlace remota en la topología. Haga clic en el icono para configurar la puerta de enlace remota.

La puerta de enlace identifica el par remoto con los pares VPN IPsec y define los parámetros adecuados para esa VPN IPsec.

Para obtener información sobre los campos, consulte la tabla 2.

Puerta de enlace local

Muestra el icono de puerta de enlace local en la topología. Haga clic en el icono para configurar la puerta de enlace local.

Para obtener información sobre los campos, consulte la tabla 4.

Configuración de IKE e IPsec

Configure la propuesta de IKE o IPsec personalizada y la propuesta de IPsec personalizada con algoritmos o valores recomendados.

Para obtener información sobre los campos, consulte la tabla 6.

La puerta de enlace está detrás de NAT

Si está habilitada, la dirección IP externa configurada (IPv4 o IPv6) se denomina dirección IP del dispositivo NAT.

Identidad IKE

Seleccione una opción de la lista para configurar la identidad remota.

Nombre de host

Escriba un nombre de host remoto.

Dirección IPv4

Introduzca una dirección IPv4 remota.

Dirección IPv6

Introduzca una dirección IPv6 remota.

ID de clave

Introduzca un ID de clave.

Dirección de correo electrónico

Introduzca una dirección de correo electrónico.

Dirección IP externa

Introduzca la dirección IPv4 o IPv6 del mismo nivel. Puede crear una red par principal con hasta cuatro copias de seguridad.

Debe introducir una dirección IPv4 o IPv6 o puede introducir hasta cinco direcciones IP separadas por comas.

Redes protegidas

Cuando selecciona un modo de enrutamiento, enumera todas las direcciones globales.

Seleccione las direcciones de la columna Disponible y, a continuación, haga clic en la flecha derecha para moverla a la columna Seleccionada.

Cuando el modo de enrutamiento es:

• Selector de tráfico: las direcciones IP se utilizarán como IP remotas en la configuración del selector de tráfico.

• Enrutamiento estático:

  • La ruta estática se configurará para las direcciones globales seleccionadas.

  • La interfaz de túnel (st0.x) de la puerta de enlace local se utilizará como el próximo salto.

• Enrutamiento dinámico: el valor predeterminado es cualquiera. También puede seleccionar direcciones globales específicas. El valor seleccionado se configura como dirección de destino en la directiva de firewall.

Añadir

Haga clic en +.

Aparecerá la página Crear dirección global. Consulte la Tabla 3 para obtener información sobre los campos.

Nombre

Escriba una cadena única que debe comenzar con un carácter alfanumérico y que puede incluir dos puntos, puntos, guiones y guiones bajos; no se permiten espacios; Máximo de 63 caracteres.

Tipo de IP

Seleccione IPv4 o IPv6.

IPv4

Dirección IPv4: introduzca una dirección IPv4 válida.

Subred: introduzca la subred para la dirección IPv4.

IPv6

Dirección IPv6: introduzca una dirección IPv6 válida.

Prefijo de subred: introduzca una máscara de subred para el intervalo de red. Una vez introducido, se valida el valor.

La puerta de enlace está detrás de NAT

Active esta opción cuando la puerta de enlace local esté detrás de un dispositivo NAT.

Identidad IKE

Seleccione una opción de la lista para configurar la identidad local. Cuando la puerta de enlace está atrasada NAT está habilitada, puede configurar una dirección IPv4 o IPv6 para hacer referencia al dispositivo NAT.

Nombre de host

Introduzca un nombre de host.

Dirección IPv4

Introduzca una dirección IPv4.

Dirección IPv6

Introduzca una dirección IPv6.

ID de clave

Introduzca un ID de clave.

Dirección de correo electrónico

Introduzca una dirección de correo electrónico.

Interfaz externa

Seleccione una interfaz saliente de la lista para las negociaciones de IKE.

La lista contiene todas las direcciones IP disponibles si hay más de una dirección IP configurada en la interfaz especificada. La dirección IP seleccionada se configurará como la dirección local en la puerta de enlace de IKE.

Interfaz de túnel

Seleccione una interfaz de la lista para enlazarla a la interfaz de túnel (VPN basada en rutas).

Haga clic en Agregar para agregar una nueva interfaz. Aparecerá la página Crear interfaz de túnel. Véase el cuadro 5.

ID del enrutador

Introduzca la dirección IP del dispositivo de enrutamiento.

ID de área

Introduzca un ID de área dentro del intervalo de 0 a 4.294.967.295, donde es necesario configurar las interfaces de túnel de esta VPN.

Interfaz de túnel pasiva

Active esta opción para omitir el tráfico de las comprobaciones de IP activas habituales.

ASN

Introduzca el número de AS del dispositivo de enrutamiento.

Use un número que le asigne la NIC. Intervalo: de 1 a 4.294.967.295 (232 – 1) en formato de número sin formato para números de AS de 4 bytes.

ID de vecino

Introduzca la dirección IP de un enrutador vecino.

Tipo de grupo BGP

Seleccione el tipo de grupo par BGP de la lista:

• externo: grupo externo, que permite el enrutamiento interAS BGP.

• interna: grupo interno, que permite el enrutamiento intra-AS BGP.

ASN par

Introduzca el número del sistema autónomo (AS) vecino (par).

Políticas de importación

Seleccione una o más políticas de enrutamiento de la lista para las rutas que se importan a la tabla de enrutamiento desde BGP.

Haga clic en Borrar todo para borrar las directivas seleccionadas.

Políticas de exportación

Seleccione una o más políticas de la lista para las rutas que se exportan desde la tabla de enrutamiento al BGP.

Haga clic en Borrar todo para borrar las directivas seleccionadas.

Certificado local

Seleccione un identificador de certificado local cuando el dispositivo local tenga varios certificados cargados.

Haga clic en Agregar para generar un nuevo certificado. Haga clic en Importar para importar un certificado de dispositivo. Para obtener más información, consulte Administrar certificados de dispositivos.

CA/grupo de confianza

Seleccione el perfil de entidad de certificación (CA) de la lista para asociarlo con el certificado local.

Haga clic en Agregar para agregar un nuevo perfil de CA. Para obtener más información, consulte Administrar una entidad emisora de certificados de confianza.

Clave precompartida

Introduzca el valor de la clave previamente compartida. La clave puede ser una de las siguientes:

• ascii-text: clave de texto ASCII.

• hexadecimal: clave hexadecimal.

Redes protegidas

Haga clic en +. Aparecerá la página Crear redes protegidas.

Zona

Seleccione una zona de seguridad de la lista que se usará como zona de origen en la directiva de firewall.

Dirección global

Seleccione las direcciones de la columna Disponible y, a continuación, haga clic en la flecha derecha para moverla a la columna Seleccionada.

Añadir

Haga clic en Agregar.

Aparecerá la página Crear dirección global. Véase el cuadro 3.

Editar

Seleccione la red protegida que desea editar y haga clic en el icono del lápiz.

Aparecerá la página Editar dirección global con campos editables.

Eliminar

Seleccione la red protegida que desea editar y haga clic en el icono de eliminar.

Aparece el mensaje de confirmación.

Haga clic en Sí para eliminar.

Unidad de interfaz

Introduzca el número de unidad lógica.

Descripción

Escriba una descripción para la interfaz lógica.

Zona

Seleccione una zona de la lista para la interfaz lógica que se utilizará como zona de origen en la directiva de firewall.

Haga clic en Agregar para agregar una nueva zona. Escriba el nombre y la descripción de la zona y haga clic en Aceptar en la página Crear zona de seguridad.

Instancia de enrutamiento

Seleccione una instancia de enrutamiento de la lista.

Dirección IPv4

Introduzca una dirección IPv4 válida.

Prefijo de subred

Introduzca una máscara de subred para la dirección IPv4.

Dirección IPv6

Introduzca una dirección IPv6 válida.

Prefijo de subred

Introduzca una máscara de subred para el intervalo de red. Una vez introducido, se valida el valor.

Versión de IKE

Seleccione la versión de IKE necesaria, ya sea v1 o v2, para negociar asociaciones de seguridad dinámica (SA) para IPsec.

El valor predeterminado es v2.

Modo IKE

Seleccione el modo de política de IKE en la lista:

• agresivo: toma la mitad del número de mensajes del modo principal, tiene menos poder de negociación y no proporciona protección de identidad.

• main: utilice seis mensajes, en tres intercambios punto a punto, para establecer la SA de IKE. Estos tres pasos incluyen la negociación IKE SA, un intercambio Diffie-Hellman y la autenticación del par. También proporciona protección de identidad.

Algoritmo de cifrado

Seleccione el mecanismo de cifrado adecuado de la lista.

El valor predeterminado es aes-256-gcm.

Algoritmo de autenticación

Seleccione el algoritmo de autenticación de la lista. Por ejemplo, hmac-md5-96—Produce un resumen de 128 bits y hmac-sha1-96—Produce un resumen de 160 bits.

Grupo DH

Un intercambio Diffie-Hellman (DH) permite a los participantes generar un valor secreto compartido. Seleccione el grupo DH adecuado de la lista. El valor predeterminado es group19.

Segundos de por vida

Seleccione una duración de una asociación de seguridad (SA) IKE. Valor predeterminado: 28.800 segundos. Rango: 180 a 86,400 segundos.

Detección de pares muertos

Active esta opción para enviar solicitudes de detección de pares inactivos, independientemente de si hay tráfico IPsec saliente al par.

Modo DPD

Seleccione una de las opciones de la lista:

• optimizado: envía sondeos solo cuando hay tráfico saliente y no hay tráfico de datos entrante - RFC3706 (modo predeterminado).

• sondeo-idle-tunnel: envía sondeos igual que en modo optimizado y también cuando no hay tráfico de datos entrante y saliente.

• always-send: envía sondeos periódicamente independientemente del tráfico de datos entrante y saliente.

Intervalo DPD

Seleccione un intervalo en segundos para enviar mensajes de detección de pares muertos. El intervalo predeterminado es de 10 segundos. El rango es de 2 a 60 segundos.

Umbral DPD

Seleccione un número del 1 al 5 para establecer el umbral de DPD de error.

Esto especifica el número máximo de veces que se deben enviar los mensajes DPD cuando no hay respuesta del par. El número predeterminado de transmisiones es 5 veces.

General IKE ID

Active esta opción para aceptar el ID de IKE par.

Reautenticación IKEv2

Configure la frecuencia de reautenticación para activar una nueva reautenticación IKEv2.

Refragmentación de IKEv2

Esta opción está habilitada de forma predeterminada.

Tamaño de refragmentación de IKEv2

Seleccione el tamaño máximo, en bytes, de un mensaje IKEv2 antes de dividirlo en fragmentos.

El tamaño se aplica a los mensajes IPv4 e IPv6. Rango: 570 a 1320 bytes.

Los valores predeterminados son:

• Mensajes IPv4: 576 bytes.

• Mensajes IPv6: 1280 bytes.

NAT-T

Active esta opción para que el tráfico IPsec pase a través de un dispositivo NAT.

NAT-T es un algoritmo IKE fase 1 que se utiliza cuando se intenta establecer una conexión VPN entre dos dispositivos de puerta de enlace, donde hay un dispositivo NAT delante de uno de los dispositivos de la serie SRX.

NAT Keep Alive

Seleccione el intervalo keepalive adecuado en segundos. Rango: 1 a 300.

Si se espera que la VPN tenga largos períodos de inactividad, puede configurar valores keepalive para generar tráfico artificial para mantener la sesión activa en los dispositivos NAT.

Protocolo

Seleccione Protocolo de seguridad de encapsulación (ESP) o Protocolo de encabezado de autenticación (AH) de la lista para establecer VPN. El valor predeterminado es ESP.

Algoritmo de cifrado

Seleccione el método de cifrado. El valor predeterminado es aes-256-gcm.

Algoritmo de autenticación

Seleccione el algoritmo de autenticación IPsec de la lista. Por ejemplo, hmac-md5-96—Produce un resumen de 128 bits y hmac-sha1-96—Produce un resumen de 160 bits.

Confidencialidad directa perfecta

Seleccione Confidencialidad directa perfecta (PFS) en la lista. El dispositivo utiliza este método para generar la clave de cifrado. El valor predeterminado es group19.

PFS genera cada nueva clave de cifrado independientemente de la clave anterior. Los grupos numerados más altos proporcionan más seguridad, pero requieren más tiempo de procesamiento.

Segundos de por vida

Seleccione la duración (en segundos) de una asociación de seguridad (SA) IPsec. Cuando la SA expira, se reemplaza por una nueva SA e índice de parámetros de seguridad (SPI) o se termina. El valor predeterminado es de 3.600 segundos. Rango: 180 a 86,400 segundos.

Kilobytes de por vida

Seleccione la duración (en kilobytes) de una SA IPsec. El valor predeterminado es 128kb. Rango: 64 a 4294967294.

Establecer túnel

Active esta opción para establecer el túnel IPsec. IKE se activa inmediatamente (valor predeterminado) después de configurar una VPN y confirmar los cambios de configuración.

VPN Monitor

Active esta opción para usarla en una dirección IP de destino.

IP de destino

Introduzca el destino de los pings del Protocolo de mensajes de control de Internet (ICMP). El dispositivo utiliza la dirección de puerta de enlace del mismo nivel de forma predeterminada.

Optimizado

Habilite esta opción para el objeto VPN. Si está habilitado, el dispositivo de la serie SRX solo envía solicitudes de eco ICMP (pings) cuando hay tráfico saliente y no hay tráfico entrante desde el par configurado a través del túnel VPN. Si hay tráfico entrante a través del túnel VPN, el dispositivo de la serie SRX considera que el túnel está activo y no envía pings al par.

Esta opción está desactivada de forma predeterminada.

Interfaz de origen

Seleccione la interfaz de origen para las solicitudes ICMP de la lista. Si no se especifica ninguna interfaz de origen, el dispositivo utiliza automáticamente la interfaz de punto de conexión del túnel local.

Ruta de verificación

Active esta opción para comprobar la ruta de datos IPsec antes de activar la interfaz de túnel seguro (st0) e instalar las rutas asociadas a la interfaz en la tabla de reenvío de Junos OS.

Esta opción está desactivada de forma predeterminada.

IP de destino

Introduzca la dirección IP de destino. Dirección IP original y sin traducir del extremo del túnel par que está detrás de un dispositivo NAT. Esta dirección IP no debe ser la dirección IP traducida al NAT. Esta opción es necesaria si el extremo del túnel del mismo nivel está detrás de un dispositivo NAT. La solicitud ICMP de ruta de verificación se envía a esta dirección IP para que el par pueda generar una respuesta ICMP.

Tamaño del paquete

Escriba el tamaño del paquete que se usa para comprobar una ruta de datos IPsec antes de que se abra la interfaz st0. Rango: 64 a 1350 bytes. El valor predeterminado es 64 bytes.

Anti Repetición

IPsec protege contra ataques VPN mediante una secuencia de números integrada en el paquete IPsec; el sistema no acepta un paquete con el mismo número de secuencia.

Esta opción está habilitada de forma predeterminada. El Anti-Replay comprueba los números de secuencia y aplica la comprobación, en lugar de simplemente ignorar los números de secuencia.

Deshabilite Anti-Replay si hay un error con el mecanismo IPsec que da como resultado paquetes fuera de orden, lo que impide su correcto funcionamiento.

Intervalo de instalación

Seleccione el número máximo de segundos que desea permitir la instalación de una asociación de seguridad de salida (SA) con nueva clave en el dispositivo. Seleccione un valor del 1 al 10.

Tiempo de inactividad

Seleccione el intervalo de tiempo de inactividad. Las sesiones y sus traducciones correspondientes agotan el tiempo de espera después de un cierto período de tiempo si no se recibe tráfico. El rango es de 60 a 999999 segundos.

DF Bit

Seleccione cómo maneja el dispositivo el bit No fragmentar (DF) en el encabezado exterior:

• clear: borra (desactiva) el bit DF del encabezado exterior. Este es el valor predeterminado.

• copiar: copia el bit DF en el encabezado exterior.

• set: permite definir (habilitar) el bit DF en el encabezado exterior.

Copiar DSCP externo

Esta opción está habilitada de forma predeterminada. Esto permite copiar el punto de código de servicios diferenciados (DSCP) (DSCP+ECN externo) desde el paquete cifrado con encabezado IP externo al mensaje de texto sin formato del encabezado IP interno en la ruta de descifrado. Al habilitar esta característica, después del descifrado de IPsec, los paquetes de texto sin cifrar pueden seguir las reglas internas de CoS (DSCP+ECN).