Zyxel Firewall H-Serie – Tailscale VPN

Los cortafuegos de la serie USG FLEX H de Zyxel ahora admiten la integración con Tailscale, una solución VPN de terceros que permite conexiones seguras, cifradas y entre pares entre dispositivos y redes. Esto proporciona a los usuarios una opción VPN flexible y escalable, además de las capacidades VPN integradas de Zyxel.

Tenga en cuenta que, aunque la serie USG FLEX H es compatible con Tailscale, no incluye una licencia de Tailscale. Los usuarios que deseen utilizar los servicios de Tailscale deben obtener una licencia directamente de Tailscale.

¿Qué es Tailscale VPN?

Tailscale es una solución VPN moderna y segura, diseñada para hacer que la conexión entre dispositivos sea sencilla y fluida. A diferencia de las VPN tradicionales, que dependen de servidores centralizados y configuraciones complicadas, Tailscale utiliza una arquitectura de red en malla para conectar sus dispositivos de forma directa y segura, sin necesidad de IPS estáticos, reenvío de puertos o reglas de firewall complejas.

En esencia, Tailscale funciona con el protocolo WireGuard, lo que garantiza una comunicación rápida, cifrada y de extremo a extremo entre dispositivos, incluso si se encuentran detrás de routers NAT.

Introducción a Tailscale en un firewall

1. Crear una cuenta
   Visite la base de conocimientos de Tailscale para registrarse y empezar a utilizar su cuenta de Tailscale.
2. Genere una clave de autenticación
   Una vez que haya iniciado sesión, vaya a Configuración → Configuración personal → Claves y haga clic en Generar clave de autenticación. Esta clave se utiliza para autenticar su firewall u otros dispositivos cuando se unen a su red Tailscale.

3. Asigne un nombre descriptivo que desee y desactive «Reutilizable» por motivos de seguridad, luego haga clic en «Generar clave».

Copie la clave.

4. Inicie sesión en el cortafuegos y vaya a «VPN -> Tailscale», péguela en «Claves de autenticación».

• Cuando desee cambiar la clave, haga clic en Cerrar sesión.
• Puede elegir la zona usted mismo. Recomendamos utilizar la zona Tailscale para algunas reglas predefinidas.

5. Vuelva a la página de administración de Tailscale. Verá el dispositivo Firewall.

Haga clic en «Desactivar caducidad de la clave» para todos los clientes a fin de evitar la pérdida de conexión cuando caduque.

Escenario

Tenemos dos subredes, 192.168.168.0/24 y 192.168.160.0/24, que se encuentran detrás de cortafuegos. Tanto los cortafuegos como el cliente A forman parte de la red VPN de Tailscale. Los objetivos son los siguientes:

Caso 1: Permitir al cliente A acceder a las subredes 192.168.168.0/24 y 192.168.160.0/24
1. Anunciar 192.168.168.0/24 en el cortafuegos A.

2. Anunciar 192.168.160.0/24 en el cortafuegos B.

3. Asegúrese de que ambas subredes hayan sido aprobadas desde el portal Tailscale.

Prueba del resultado
Ahora, el cliente A sabe cómo enrutar el tráfico y puede acceder a 192.168.168.1 y 192.168.160.1.

Caso 2: Permitir al cliente A acceder a Internet a través del firewall

1. Tomemos como ejemplo el firewall A. Habilite «Exit Node» y «Default SNAT».

2. Asegúrese de que el nodo de salida se ha habilitado desde el portal Tailscale.

3. El cliente A debe seleccionar el firewall A como nodo de salida.

Pruebe el resultado
El tráfico de Internet se enviará al cortafuegos A.

Caso 3: Los dispositivos dentro de las subredes 192.168.168.0/24 y 192.168.160.0/24 pueden comunicarse entre sí
Una vez completadas las redes anunciadas, podrán comunicarse entre sí.
Pruebe el resultado
Prueba de ping desde el cortafuegos A

Prueba de ping desde el cortafuegos B