Cree y administre VPN de sitio a sitio basada en rutas

Nombre

Introduzca una cadena única de un máximo de 63 caracteres alfanuméricos sin espacios.

La cadena puede contener dos puntos, puntos, guiones y guiones bajos.

Descripción

Ingrese la descripción de VPN que contenga un máximo de 255 caracteres.

Topología de enrutamiento

Seleccione una de las siguientes opciones:

• Selector de tráfico (inserción automática de rutas): un selector de tráfico es un acuerdo entre pares de IKE para permitir el tráfico a través de un túnel si el tráfico coincide con un par especificado de direcciones locales y remotas.

• Enrutamiento estático: genera enrutamiento estático basado en las redes protegidas.

• Enrutamiento dinámico de OSPF: genera la configuración OSPFv2 para IPv4 o la configuración OSPFv3 para IPv6, según la configuración de la dirección de la interfaz del túnel.

• Enrutamiento dinámico RIP: genera una configuración RIP para IPv4 o una configuración RIPng para IPv6 en función de la configuración de la dirección de interfaz del túnel.

• Enrutamiento dinámico de eBGP: genera la configuración de eBGP para IPv4 e IPv6.

La topología de enrutamiento solo se aplica a VPN basadas en rutas.

Para obtener más información sobre la configuración de túnel para estas topologías de enrutamiento, consulte la tabla 4.

Perfil de VPN

Seleccione un perfil de VPN según el escenario de implementación:

• Perfil en línea: aplicable solo a una VPN IPsec en particular.

• Perfil de modo principal: perfil de modo principal predefinido con una propuesta estándar establecida.

• Perfil de modo agresivo: perfil de modo agresivo predefinido con una propuesta estándar establecida.

• Perfil RSA: perfil predefinido para autenticación basada en certificados (RSA SIGNATURE) con el nombre distinguido (DN) como tipo de ID de IKE.

• Perfil de ADVPN: perfil predefinido para ADVPN.

Para ver y editar los detalles de los perfiles de VPN, haga clic en Ver configuración de perfil de VPN en la página Crear VPN.

Método de autenticación

Seleccione un método de autenticación que el dispositivo utilice para autenticar el origen de los mensajes de IKE.

• Basada en precompartida: especifica que una clave previamente compartida, que es una clave secreta compartida entre los dos pares, se utiliza durante la autenticación para identificar a los pares entre sí. Debe configurarse la misma clave para cada par.

• Firmas RSA: especifica que se utiliza un algoritmo de clave pública, que admite el cifrado y las firmas digitales.

• DSA-Signatures: especifica que se utiliza el algoritmo de firma digital (DSA).

• ECDSA-Signatures-256: especifica que se utiliza la curva elíptica DSA (ECDSA) que utiliza la curva elíptica de 256 bits secp256r1, como se especifica en el Estándar de firma digital (DSS) 186-3 del Estándar federal de procesamiento de información (FIPS).

• ECDSA-Signatures-384: especifica que se utiliza la ECDSA que utiliza la curva elíptica de 384 bits secp384r1, como se especifica en FIPS DSS 186-3.

IP de red

Escriba la dirección IPv4 o IPv6 de la interfaz de túnel numerada. Esta es la dirección de subred desde donde se asigna automáticamente la dirección IP para las interfaces de túnel.

Esta opción solo está disponible cuando se seleccionan topologías de enrutamiento dinámico.

Clave precompartida

Establezca una conexión VPN mediante claves precompartidas, que es esencialmente una contraseña que es la misma para ambas partes. Las claves precompartidas suelen desplegarse para VPN IPsec de sitio a sitio, ya sea dentro de una sola organización o entre diferentes organizaciones.

Las claves previamente compartidas solo se aplican si el método de autenticación se basa en datos previamente compartidos.

Seleccione el tipo de clave precompartida que desea utilizar:

• Autogenerar: seleccione esta opción si desea generar automáticamente una clave única por túnel.

• Manual: seleccione esta opción para introducir la clave manualmente. De forma predeterminada, la tecla manual está enmascarada. Para desenmascarar la clave manual, seleccione el icono de desenmascarar.

Unidad máxima de transmisión

Seleccione la unidad máxima de transmisión (UMT) en bytes. UMT define el tamaño máximo de un paquete IP, incluida la sobrecarga de IPsec. Puede especificar el valor de UMT para el punto de conexión del túnel.

El rango es de 68 a 9192 bytes y el valor predeterminado es de 1500 bytes.

Dispositivo

Seleccione un dispositivo.

Interfaz externa

Seleccione la interfaz de salida para las asociaciones de seguridad (SA) de IKE.

Dirección IKE

Ingrese la dirección IPv4 o IPv6 de la puerta de enlace principal del intercambio de claves por red (IKE).

Zona de túnel

Seleccione la zona del túnel.

Las zonas de túnel son áreas lógicas de espacios de direcciones que pueden admitir conjuntos de direcciones IP dinámicas (DIP) para aplicaciones TDR para tráfico IPsec pre y postencapsulado. Las zonas de túnel también ofrecen flexibilidad para combinar interfaces de túnel con túneles VPN.

Las zonas de túnel solo se aplican a VPN de sitio a sitio basada en rutas.

Instancia de enrutamiento

Seleccione la instancia de enrutamiento requerida.

Las instancias de enrutamiento solo se aplican a las VPN de sitio a sitio basadas en rutas.

Iniciador/destinatario

Seleccione una de las siguientes opciones:

• Iniciador

• Destinatario

Esta opción se aplica cuando el perfil VPN es Perfil de modo agresivo.

Certificado

Seleccione un certificado para autenticar al iniciador y al destinatario de VPN.

Los certificados de autenticación son aplicables en uno de los siguientes escenarios:

• El perfil VPN es un perfil RSA o un perfil ADVPN.

• El método de autenticación es RSA-Signatures, DSA-Signatures, ECDSA-Signatures-256 o ECDSA-Signatures-384.

AC/grupo de confianza

Seleccione el perfil de AC de la lista para asociarlo con el certificado local.

Los perfiles de AC se aplican en uno de los siguientes escenarios:

• El perfil VPN es un perfil RSA, un perfil ADVPN o un perfil predeterminado con cualquier tipo de firma.

• El método de autenticación es RSA-Signatures, DSA-Signatures, ECDSA-Signatures-256 o ECDSA-Signatures-384.

Exportar

Seleccione el tipo de rutas que desea exportar.

• Rutas estáticas: exporte rutas estáticas.

  Juniper Security Director Cloud simplifica la administración de direcciones VPN al permitir a los administradores exportar rutas estáticas a un sitio remoto a través de un túnel, lo que permite que las redes de rutas estáticas participen en la VPN.

  Para el enrutamiento dinámico de eBGP, la casilla de verificación Rutas estáticas está activada de forma predeterminada.

• Rutas RIP: exporte rutas RIP para IPv4 o rutas RIPng para IPv6.

  Puede exportar rutas RIP solo cuando la topología de enrutamiento es Enrutamiento dinámico de OSPF.

• Rutas OSPF: exporta rutas OSPFv2 para IPv4 y rutas OSPFv3 para IPv6.

  Puede exportar rutas OSPF solo cuando la topología de enrutamiento es enrutamiento dinámico RIP.

Si selecciona la exportación de OSPF o RIP, las rutas de OSPF o RIP fuera de la red VPN se importan a una red VPN a través de los protocolos de enrutamiento dinámico OSPF o RIP.

Área OSPF

Seleccione un ID de área OSPF dentro del intervalo de 0 a 4.294.967.295, donde se deben configurar las interfaces de túnel de esta VPN.

El ID de área de OSPF se aplica cuando la topología de enrutamiento es Enrutamiento dinámico de OSPF en VPN de sitio a sitio basadas en rutas.

Tiempo máximo de retransmisión

Seleccione el temporizador de retransmisión para limitar el número de veces que el circuito de demanda RIP reenvía mensajes de actualización a un par que no responde.

Si se alcanza el umbral de retransmisión configurado, las rutas del enrutador de salto siguiente se marcan como inalcanzables y se inicia el temporizador de retención. Debe configurar un par de circuitos de demanda RIP para que este temporizador surta efecto. El rango de retransmisión es de 5 a 180 segundos. El valor predeterminado es 50 segundos.

Esta opción solo se aplica cuando la topología de enrutamiento es enrutamiento dinámico RIP en VPN de sitio a sitio basada en rutas.

Número de AS

Seleccione un número único para asignarlo al sistema autónomo (AS).

El número de AS identifica un sistema autónomo y permite que el sistema intercambie información de enrutamiento exterior con otros sistemas autónomos vecinos. El rango válido es de 0 a 4294967294.

El número de AS solo se aplica cuando la topología de enrutamiento es e-BGP, enrutamiento dinámico en VPN de sitio a sitio basada en rutas.

Redes protegidas

Configure las direcciones o el tipo de interfaz para el dispositivo seleccionado a fin de proteger un área de la red de la otra.

Cuando se selecciona un protocolo de enrutamiento dinámico (DRP), se muestra la opción de interfaz. También puede crear direcciones haciendo clic en el signo +.

Esta opción solo se aplica a las VPN de sitio a sitio basadas en rutas.

Configuración de IKE

Método de autenticación

Seleccione un método de autenticación que el dispositivo utilice para autenticar el origen de los mensajes de IKE.

• Basada en precompartida: especifica que una clave previamente compartida, que es una clave secreta compartida entre los dos pares, se utiliza durante la autenticación para identificar a los pares entre sí. Debe configurarse la misma clave para cada par.

• Firmas RSA: especifica que se utiliza un algoritmo de clave pública, que admite el cifrado y las firmas digitales.

• DSA-Signatures: especifica que se utiliza el algoritmo de firma digital (DSA).

• ECDSA-Signatures-256: especifica que se utiliza la curva elíptica DSA (ECDSA) que utiliza la curva elíptica de 256 bits secp256r1, como se especifica en el Estándar de firma digital (DSS) 186-3 del Estándar federal de procesamiento de información (FIPS).

• ECDSA-Signatures-384: especifica que se utiliza la ECDSA que utiliza la curva elíptica de 384 bits secp384r1, como se especifica en FIPS DSS 186-3.

Versión de IKE

Seleccione la versión de IKE requerida, ya sea V1 o V2, que se usa para negociar asociaciones dinámicas de seguridad (SA) para IPsec.

De forma predeterminada, se utiliza IKE V2.

Modo

Seleccione un modo de política de IKE.

• Principal: utiliza seis mensajes en tres intercambios punto a punto para establecer la SA de IKE. Estos tres pasos incluyen la negociación de SA de IKE, un intercambio Diffie-Hellman y la autenticación del par. Este modo proporciona protección de identidad.

• Agresivo: toma la mitad del número de mensajes del modo principal, tiene menos poder de negociación y no proporciona protección de identidad.

El modo se aplica cuando la versión de IKE es V1.

Algoritmo de cifrado

Seleccione el mecanismo de cifrado adecuado.

Algoritmo de autenticación

Seleccione un algoritmo para el dispositivo a fin de comprobar la autenticidad e integridad de un paquete.

Grupo Deffie Hellman

Seleccione un grupo Diffie-Hellman (DH) para determinar la seguridad de la clave utilizada en el proceso de intercambio de claves.

Segundos de vida útil

Seleccione una duración de una asociación de seguridad (SA) de IKE.

El intervalo válido es de 180 a 86400 segundos.

Detección de pares inactivos

Active esta opción para permitir que las dos puertas de enlace determinen si la puerta de enlace del mismo nivel está activa y responde a los mensajes de detección de pares inactivos (DPD) negociados durante el establecimiento de IPsec.

Modo DPD

Seleccione un modo DPD.

• Optimizado: los mensajes R-U-THERE se activan si no hay tráfico IKE o IPsec entrante dentro de un intervalo configurado después de que el dispositivo envía los paquetes salientes al par. Este es el modo predeterminado.

• Túnel inactivo de sondeo: los mensajes R-U-THERE se activan si no hay tráfico IKE o IPsec entrante o saliente dentro de un intervalo configurado. Los mensajes R-U-THERE se envían periódicamente al par hasta que hay actividad de tráfico.

• Envío constante: los mensajes R-U-THERE se envían a intervalos configurados, independientemente de la actividad del tráfico entre los pares.

Intervalo DPD

Seleccione un intervalo en segundos para enviar mensajes de detección de pares inactivos.

El intervalo predeterminado es de 10 segundos con un rango válido de 2 a 60 segundos.

Umbral de DPD

Seleccione el valor de umbral DPD de error.

Esto especifica el número máximo de veces que se deben enviar los mensajes DPD cuando no hay respuesta del par. El número predeterminado de transmisiones es 5 veces con un rango válido de 1 a 5.

Configuración avanzada

General IKE ID

Active esta opción para aceptar el ID de IKE del par.

Esta opción está deshabilitada de forma predeterminada. Si el ID de IKE general está habilitado, la opción ID de IKE se deshabilita automáticamente.

Reautenticación IKEv2

Seleccione una frecuencia de reautenticación.

La reautenticación se puede deshabilitar estableciendo la frecuencia de reautenticación en 0. El rango válido es de 0 a 100.

Compatibilidad con la fragmentación de IKEv2 re

Active esta opción para dividir un mensaje IKEv2 grande en un conjunto de mensajes más pequeños para que no haya fragmentación en el nivel IP.

Tamaño de refragmento de IKEv2

Seleccione el tamaño del paquete en el que se fragmentan los mensajes.

De forma predeterminada, el tamaño es de 576 bytes para IPv4 y el intervalo válido es de 570 a 1320 bytes.

IKE ID

Seleccione una de las siguientes opciones:

• Ninguno

• Nombre distinguido

• Nombre de host

• Dirección IPv4

• Dirección de correo electrónico

El ID de IKE solo se aplica cuando el ID de IKE general está deshabilitado.

TDR-T

Habilite la traducción de direcciones de red-recorrido (TDR-T) si el punto de conexión dinámico está detrás de un dispositivo TDR.

Mantente vivo

Seleccione un período de tiempo, en segundos, para mantener viva la conexión.

Las señales de mantenimiento de TDR son necesarias para mantener la traducción de TDR durante la conexión entre los pares VPN. El intervalo válido es de 1 a 300 segundos.

Configuración de IPsec

Protocolo

Seleccione el protocolo necesario para establecer la VPN.

• ESP: el protocolo de carga de seguridad encapsuladora (ESP) proporciona cifrado y autenticación.

• AH: el protocolo de encabezado de autenticación (AH) proporciona integridad y autenticación de datos.

Algoritmo de cifrado

Seleccione el método de cifrado.

Esta opción es aplicable si el Protocolo es ESP.

Algoritmo de autenticación

Seleccione un algoritmo para el dispositivo a fin de comprobar la autenticidad e integridad de un paquete.

Confidencialidad directa perfecta

Seleccione Perfect Forward Secrecy (PFS) como el método que utiliza el dispositivo para generar la clave de cifrado.

El PFS genera cada nueva clave de cifrado independientemente de la clave anterior. Los grupos con números más altos proporcionan más seguridad, pero requieren más tiempo de procesamiento.

Establecer túnel

Especifique cuándo activar IKE:

• Inmediatamente: IKE se activa inmediatamente después de que se confirman los cambios de configuración de VPN.

• En tráfico: la IKE se activa solo cuando fluye el tráfico de datos y debe negociarse con la puerta de enlace par. Este es el comportamiento predeterminado.

Configuración avanzada

Supervisión de VPN

Active esta opción para enviar el Protocolo de mensajes de control de Internet (ICMP) para determinar si la VPN está activa.

Optimizado

Active esta opción para optimizar la supervisión de VPN y configurar los firewalls de la serie SRX para enviar solicitudes de eco ICMP, también denominadas pings, solo cuando haya tráfico saliente y no haya tráfico entrante del par configurado a través del túnel VPN.

Si hay tráfico entrante a través del túnel VPN, los firewalls de la serie SRX consideran que el túnel está activo y no envían pings al par.

Anti reproducción

Active esta opción para el mecanismo IPsec para proteger contra un ataque VPN que utilice una secuencia de números integrados en el paquete IPsec.

IPsec no acepta un paquete para el que ya haya visto el mismo número de secuencia. Comprueba los números de secuencia y aplica la comprobación en lugar de simplemente ignorar los números de secuencia.

Deshabilite esta opción si hay un error con el mecanismo IPsec que da como resultado paquetes fuera de orden, lo que impide una funcionalidad adecuada.

De forma predeterminada, la detección antireproducción está habilitada.

Intervalo de instalación

Seleccione el tiempo máximo, en segundos, permitido para la instalación de una asociación de seguridad de salida (SA) con nueva clave en el dispositivo.

Tiempo de inactividad

Seleccione el intervalo de tiempo de inactividad adecuado, después del cual se agotará el tiempo de espera de las sesiones y sus traducciones correspondientes si no se recibe tráfico.

Bit DF

Seleccione una opción para procesar el bit No fragmentar (DF) en los mensajes IP.

• Borrar: deshabilite el bit DF de los mensajes IP. Esta es la opción predeterminada.

• Copiar: copie el bit DF a los mensajes IP.

• Establecer: habilite el bit DF en los mensajes IP.

Copiar DSCP externo

Active esta opción para copiar el campo Punto de código de servicios diferenciados (DSCP) del paquete cifrado de encabezado IP externo al mensaje de texto sin formato de encabezado IP interno durante el descifrado.

La ventaja de habilitar esta característica es que, después del descifrado de IPsec, los paquetes de texto sin formato cumplen con las reglas internas de clase de servicio (CoS).

Segundos de vida útil

Seleccione la duración de una asociación de seguridad (SA) de IKE, en segundos.

El rango es de 180 a 86,400 segundos.

Kilobytes de por vida

Seleccione la duración de una asociación de seguridad (SA) IPsec en kilobytes.

El rango es de 64 a 4294967294 kilobytes.

Clave precompartida

Ingrese la clave precompartida del intercambio de claves por red (IKE) utilizada por la puerta de enlace de red privada virtual (VPN) para autenticar al usuario de acceso remoto.

Interfaz de túnel

Ingrese la interfaz de túnel para la VPN basada en rutas.

Unidad máxima de transmisión

Introduzca el tamaño máximo de paquete de transmisión para túneles IPsec.

La opción Unidad máxima de transmisión (UMT) solo está disponible cuando se selecciona Selector de tráfico o Enrutamiento estático como topología de enrutamiento en VPN de sitio a sitio basadas en rutas.

Nombre de VPN

Escriba un nombre para la conexión de acceso remoto.

Identidad de IKE

Seleccione una de las siguientes opciones:

• Nombre de host

• Dirección IPv4/IPv6

• Dirección de correo electrónico

Nombre de host

Escriba el nombre de host (FQDN) que se utilizará como ID de IKE para la identificación del par.

Dirección IPv4/IPv6

Introduzca una dirección IPv4 o IPv6 para utilizarla como ID de IKE para la identificación del par.

Dirección de correo electrónico

Escriba la dirección de correo electrónico que desea utilizar como ID de IKE para la identificación de pares.

Dirección de túnel

Escriba la dirección de interfaz de túnel (IPv4 o IPv6) para que el cliente se conecte.

La opción Dirección de túnel solo está disponible cuando la topología de enrutamiento es Enrutamiento dinámico OSPF, Enrutamiento dinámico RIP o Enrutamiento dinámico eBGP en VPN de sitio a sitio basadas en rutas.

Local Proxy ID

Ingrese la dirección IP local o el prefijo.

La opción ID de proxy local solo está disponible cuando la topología de enrutamiento es Enrutamiento estático, Enrutamiento dinámico de OSPF, Enrutamiento dinámico de RIP o Enrutamiento dinámico de eBGP en VPN de sitio a sitio basadas en rutas.

ID de proxy remoto

Ingrese la dirección IP remota o el prefijo.

La opción ID de proxy remoto solo está disponible cuando la topología de enrutamiento es enrutamiento dinámico de OSPF, enrutamiento dinámico de RIP o enrutamiento dinámico de eBGP en VPN de sitio a sitio basadas en rutas.