Zyxel H Series Firewall [next-hop in Policy Routes] Por qué la VPN basada en rutas sustituye a la VPN basada en políticas, y por qué es algo bueno

Con la introducción del sistema operativo Zyxel UOS y el lanzamiento de la nueva serie H, Zyxel ha modernizado la forma en que se manejan las conexiones VPN. A diferencia de los dispositivos de generaciones anteriores, como las series USG y ATP, la serie H ya no admite el uso de túneles VPN como siguiente salto en las rutas de políticas.

No se trata de una limitación, sino de un cambio hacia una arquitectura VPN moderna basada en interfaces que utiliza VPN basada en rutas con VTI (interfaz de túnel virtual). Este artículo explica la diferencia entre VPN basada en políticas y VPN basada en rutas, y por qué este nuevo enfoque se considera más fiable, escalable y fácil de gestionar.

Ventajas de la VPN basada en rutas con VTI en Zyxel USG FLEX H

• Los túneles VPN se crean como interfaces virtuales (VTI) y participan en el enrutamiento igual que los puertos físicos.
• No es necesario definir la VPN como siguiente salto en las rutas de políticas, lo que reduce la complejidad de la configuración y el riesgo de errores de configuración.
• Mejor integración con el modelo de seguridad basado en zonas de Zyxel.

Escenario:

• La sede central utiliza múltiples subredes internas:
  • 192.168.10.0/24 - Administración
  • 192.168.20.0/24 - Contabilidad
  • 192.168.30.0/24 - Almacén
• La sucursal necesita acceder a todas ellas a través de una VPN.

Problemas con la VPN basada en políticas:

• Requería crear un túnel o política independiente para cada subred.
• Cualquier cambio en la red (por ejemplo, una nueva subred) implicaba la reconfiguración manual de políticas y túneles.

Uso de VTI en USG FLEX H:

• Se crea un único túnel VPN entre las sedes.
• Configure rutas estáticas estándar:

dst: 192.168.10.0/24 → vía VTI-Oficina dst: 192.168.20.0/24 → vía VTI-Oficina dst: 192.168.30.0/24 → vía VTI-Oficina.  

• Cuando se añade una nueva subred (por ejemplo, 192.168.40.0/24), basta con añadir una ruta, sin necesidad de reconfigurar la VPN.
• El control de acceso se gestiona a través de políticas de seguridad en lugar de la lógica de rutas estáticas.

Configuración de un túnel VPN IPSec para uOS

Este ejemplo muestra cómo utilizar el asistente de configuración de VPN para configurar un túnel VPN de sitio a sitio basado en rutas con un dispositivo ZLD como pasarela de pares, lo que permite el acceso seguro entre los dos sitios una vez que se establece el túnel.

Vaya aVPN > IPSec VPN > Site to Site VPN > Add. y siga todos los pasos del asistente y rellene los campos correspondientes:

• Nombre:
• Versión de IKE: IKEv2
• En el campo My Address (Mi dirección ), seleccione la interfaz WAN necesaria.
• En el campo Peer Gateway Address, introduzca la dirección IP pública del dispositivo remoto (sucursal).
• Zona: IPSec_VPN
• En Método de autenticación, seleccione Clave precompartida (PSK).

En Tipo, seleccione Route-Based.

1. En Subred remota, introduzca manualmente 192.168.88.0/27.
2. En Interfaz VTI, introduzca: 169.254.63.164/255.255.255.255.
3. Compruebe que el diagrama muestra la conexión desde la interfaz local ge1 a la IP remota 93.159.250.211

En Configuración Fase 1 y Configuración Fase 2:

• Propuesta: AES128 / SHA1
• Grupo DH: DH2 / DH14

Haga clic en OK.

• Configurar la interfaz VTI

Configuración > Red > Interfaz > VTI

Configurar un túnel VPN IPSec para ZLD

Vaya a Configuración > VPN > VPN IPSec > Puerta de enlace VPN.

• Haga clic en Add (Añadir) y marque Enable (Habilitar).
• Introduzca el nombre de la puerta de enlace VPN:
• Seleccione IKE Version: IKEv2
• En Mi dirección: Seleccione Interface: ge1 (con su IP pública).
• En Peer Gateway Address: introduzca la dirección IP pública del dispositivo remoto (HQ).
• En Autenticación: Elija Pre-Shared Key e introduzca la misma clave utilizada en el dispositivo Flex.

• Configuración de la interfaz VTI

Configuración > Red > Interfaz > VTI