Firewall Zyxel VPN - Configurar VPN IPSec Site-To-Site en Firewall Zyxel Modo independiente

Esta guía te guiará en la configuración de una VPN Site-to-Site (S2S) entre dos firewalls usando IKEv2 IPSec. Cubriremos tanto la configuración manual como el uso de un asistente incorporado, así como cómo configurar la VPN para manejar múltiples subredes dentro del mismo túnel.

En caso de que busques otros escenarios de VPN, consejos y trucos, echa un vistazo a los siguientes artículos:

General:

• Guía VPN - Elegir el tipo de VPN adecuado para tu Oficina en Casa (+Enlaces útiles y tutoriales)
• Provisionamiento de Configuración VPN en un Firewall USG
• Firewall Zyxel [VPN] - Solución de problemas de VPN Site-to-Site [Modo independiente]

Nebula:

• Configurando una VPN Site-to-Site en Nebula entre dos Gateways Nebula (NSG)

Una oficina quiere conectarse de forma segura a su sede a través de Internet. Ambas oficinas tienen un USG / ZyWall / ATP / USG FLEX para acceder a Internet.

Nota: Antes de comenzar a configurar la VPN, asegúrate de que ambos sitios no tengan las mismas subredes. Configurar una VPN entre sitios con la misma subred en ambos lados es técnicamente posible, pero no es fácil y puede provocar complicaciones debido a direcciones IP superpuestas. Cuando ambos sitios tienen la misma subred, esto puede causar conflictos de enrutamiento porque la VPN no sabrá a qué lado enviar el tráfico cuando vea una dirección IP que existe en ambas ubicaciones.

Método del Asistente para Configurar VPN

El método más sencillo y conveniente para establecer una conexión Site-to-Site es usando el asistente incorporado. En el primer ejemplo de este artículo, te guiaremos a través del proceso. Además, si has tenido problemas configurando una VPN manualmente, puedes usar el asistente para configurar la VPN y comparar las configuraciones para propósitos de solución de problemas.

Configuración del Sitio Central (Asistente)

• Inicia sesión en la interfaz Web GUI del firewall de tu sitio central y ve a la sección de Asistente de Configuración Rápida en el menú izquierdo.
• Haz clic en "Configuración VPN"

Puedes elegir entre Express (VPN con valores predeterminados) o Avanzado (Configuración manual de criptografía, etc.). Para darte un ejemplo en este artículo, hemos elegido la opción "Avanzado".

• Recomendamos encarecidamente usar IKEv2 en lugar de IKEv1 para mejorar la seguridad, acelerar el establecimiento de conexión, estabilidad, soporte de movilidad y aumentar la eficiencia al manejar cambios en la red.
• Asigna un nombre comprensible y elige VPN Site-to-Site.
• Haz clic en "Siguiente"

Configuración de la Fase 1

• En la siguiente pantalla, ingresa “Secure Gateway”. Esta es la dirección WAN de tu segundo firewall; en este caso, es la dirección IP del sitio sucursal. (Cuando comiences a configurar el segundo firewall, necesitarás ingresar la dirección IP WAN de este firewall.)
• Configura las propuestas de la Fase 1 según lo desees. Por razones de seguridad, elige una contraseña fuerte y propuestas con buena Encriptación/Autenticación, como AES256 para encriptación, SHA512 para autenticación y DH14 para el grupo de claves.

Configuración de la Fase 2

• Asegúrate de que la configuración de la fase 2 sea la misma que la de la fase 1. (Es decir, AES256, SHA512)
• Política Local y Política Remota - Las políticas local y remota definen qué tráfico se cifra en una VPN site-to-site, asegurando una comunicación segura, eficiente y correctamente enrutada entre redes.
  
  Nota: Por favor verifica primero que la dirección IP de la subred remota no exista ya en la subred local para evitar configuración doble de direcciones IP. Cuando la subred remota es similar a una subred local, solo podrás acceder a la red local.

• Una vez que todos los datos estén ingresados correctamente, haz clic en “Siguiente”, revisa todas las configuraciones nuevamente, haz clic en "Guardar" y procede a configurar el segundo firewall.

Configuración del Sitio Sucursal (Asistente)

Debes seguir exactamente el mismo procedimiento para el firewall en la segunda oficina. La principal diferencia está solo en algunas configuraciones.

• IP del Gateway debe ser especificada como la IP WAN del dispositivo en el sitio central.
• Política Local y Política Remota también serán diferentes. Ejemplo a continuación:
  Sitio Central
  Política Local: 192.168.40.1
  Política Remota: 192.168.70.1
  Sitio Sucursal:
  Política Local: 192.168.70.1
  Política Remota: 192.168.40.1

• Si todo ha sido configurado correctamente y no hay problemas con la conexión, otras configuraciones o construcción, una conexión VPN se establecerá automáticamente inmediatamente después de guardar la configuración.

Método Manual para Configurar VPN

VPN Gateway - Configuración Manual del Sitio Central

• Inicia sesión en la interfaz Web GUI del firewall de tu sitio central

Ve a Configuración -> VPN -> VPN Ge -> Añadir

• Marca la casilla Habilitar
• Asigna un nombre claro
• Selecciona la versión IKE

Recomendamos encarecidamente usar IKEv2 en lugar de IKEv1 para mejorar la seguridad, acelerar el establecimiento de conexión, estabilidad, soporte de movilidad y aumentar la eficiencia al manejar cambios en la red.

• Mi Dirección (Interfaz) - establece tu dirección IP WAN.
• Dirección del Gateway Remoto - Esta es la dirección WAN de tu segundo firewall; en este caso, es la dirección IP del sitio sucursal. (Cuando comiences a configurar el segundo firewall, necesitarás ingresar la dirección IP WAN de este firewall.)
• Clave Precompartida - Crea una contraseña fuerte (también usarás esta clave en el dispositivo remoto).
• Configuración de la Fase 1 - Configura las propuestas de la Fase 1 según lo desees. Por razones de seguridad, elige una contraseña fuerte y propuestas con buena Encriptación/Autenticación, como AES256 para encriptación, SHA512 para autenticación y DH14 para el grupo de claves.

Túnel VPN - Configuración Manual del Sitio Central

Configuración > VPN > IPSec VPN > Conexión VPN > Añadir

Lo primero que necesitas hacer es crear un objeto para “Política Remota” haciendo clic en “Crear Nuevo Objeto” y seleccionando “Dirección IPV4.”

• Nombre - ingresa un nombre claro
• Tipo de Dirección - “SUBRED”
• Red - la dirección de la red local del sitio remoto
• Máscara de Red - máscara de subred del sitio remoto
• Luego haz clic en “OK”

Ahora, podemos continuar llenando los otros campos.

• Marca la casilla Habilitar
• Asigna un nombre claro
• Selecciona VPN Site-To-Site
• Gateway VPN - Selecciona el Gateway VPN creado en el paso anterior
• Política Local y Política Remota serán diferentes.
• Configuración de la Fase 2 - Configura las propuestas de la Fase 2 según lo desees. Por razones de seguridad, elige una contraseña fuerte y propuestas con buena Encriptación/Autenticación, como AES256 para encriptación, SHA512 para autenticación y DH14 para el grupo de claves.
• Haz clic en "Ok"

Ahora, podemos comenzar a configurar el sitio Sucursal. Para ello, sigue los mismos pasos que hiciste para el sitio central, pero con algunos cambios en los datos.

VPN Gateway - Configuración Manual del Sitio Sucursal

Configuración > VPN > IPSec VPN > Gateway VPN

Repite los pasos del Sitio Central para configurar el Gateway VPN

• Cuando configuraste el Gateway VPN en el firewall del sitio central, especificaste la IP WAN de tu sitio sucursal en el campo "Dirección del Gateway Remoto Dirección Estática”. Ahora, al configurar el sitio sucursal, debes especificar la IP WAN de tu sitio central en el campo "Dirección del Gateway Remoto Dirección Estática”.
• Clave Precompartida - debe ser la misma para ambos sitios.

Túnel VPN - Configuración Manual del Sitio Sucursal

Configuración > VPN > IPSec VPN > Conexión VPN

Repite los pasos del Sitio Central para configurar el Túnel VPN

• Excepto por algunas diferencias, cuando configuraste el sitio central, especificaste la red en el sitio sucursal en la Política Remota. Ahora, al configurar el sitio sucursal, debes especificar la red del sitio central en el campo Política Remota.

Marca la opción "Nailed-Up" para establecer el túnel VPN y conectar automáticamente.

Prueba el resultado

• Conecta el túnel VPN manualmente la primera vez. Después, debería volver a escanear la conectividad y reconectarse automáticamente.
• Puedes ver que el túnel VPN está conectado cuando el símbolo de la tierra está verde

Nota: Por favor, revisa las reglas de tu firewall para asegurarte de que existan las reglas predeterminadas IPSec-to-Device e IPSec-to-Any.
De lo contrario, el tráfico entre los túneles podría bloquearse.

Limitación - Uso de varias subredes

En los firewalls Zyxel, existe una limitación donde no puedes seleccionar varias subredes en un túnel VPN. La política local (subred) y la política remota (subred) solo pueden configurarse con una subred cada una.

Configuración -> VPN -> IPSec VPN -> Conexión VPN -> Política

Para evitar este problema, puedes configurar una ruta de política para enrutar otras subredes manualmente dentro del túnel.

Crea esta ruta de política:

¡Nota! Puede ser necesario enrutar los paquetes de respuesta de vuelta a través del túnel en el sitio remoto.

Solución de problemas

Problemas comunes y soluciones:

• Clave precompartida incorrecta: Verifica dos veces la clave precompartida en ambos dispositivos.
• Configuración incorrecta de subred: Asegúrate de que las subredes local y remota estén configuradas correctamente en los ajustes de la VPN.
• Configuraciones de Fase 1 y Fase 2:

Configuraciones clave que deben verificarse para asegurarse de que sean iguales en ambos sitios

• Método de autenticación: Normalmente se usa una clave precompartida.
• Algoritmo de cifrado: Opciones comunes incluyen AES (128/256 bits), 3DES.
• Algoritmo de hash: Normalmente SHA-256 o SHA-512 o SHA-1.
• Grupo DH (Diffie-Hellman): Asegura el intercambio seguro de claves (por ejemplo, Grupo 2, Grupo 14).
• Tiempo de vida:

Para instrucciones más detalladas sobre solución de problemas, consulta el enlace:

Firewall Zyxel [VPN] - Solución de problemas de VPN Site-to-Site [Modo independiente]