Esta guía le guiará a través de la configuración de una VPN Site-to-Site (S2S) entre dos firewalls usando IKEv2 IPSec. Cubriremos tanto la configuración manual como el uso de un asistente incorporado, así como cómo configurar la VPN para manejar múltiples subredes dentro del mismo túnel.
En caso de que esté buscando otros escenarios de VPN, consejos y trucos, consulte los siguientes artículos:
General:
- Configuración y aprovisionamiento de VPN en un firewall USG
- Firewall Zyxel [VPN] - Solución de problemas de VPN Site-to-Site [Modo independiente]
Una oficina desea conectarse de forma segura a su sede central a través de Internet. Ambas oficinas cuentan con un USG / ZyWall / ATP / USG FLEX para acceder a Internet.
Nota: Antes de comenzar a configurar la VPN, asegúrese de que ambos sitios no tengan las mismas subredes. Configurar una VPN entre sitios con la misma subred en ambos lados es técnicamente posible, pero no es fácil y puede llevar a complicaciones debido a direcciones IP superpuestas. Cuando ambos sitios tienen la misma subred, esto puede causar conflictos de enrutamiento porque la VPN no sabrá a qué lado enviar el tráfico cuando vea una dirección IP que existe en ambas ubicaciones.
Configuración de VPN con método asistente
El método más sencillo y conveniente para establecer una conexión Site-to-Site es usando el asistente incorporado. En el primer ejemplo de este artículo, le guiaremos a través del proceso. Además, si ha tenido problemas al configurar manualmente una VPN, puede usar el asistente para configurar la VPN y comparar los ajustes para fines de solución de problemas.
Configuración del sitio central (Asistente)
- Inicie sesión en la interfaz web de su firewall del sitio central y vaya a la sección Asistente de configuración rápida en el menú izquierdo.
- Haga clic en "Configuración de VPN"
Puede elegir entre Express (VPN con valores predeterminados) o Avanzado (configuración manual de criptografía, etc.). Para dar un ejemplo en este artículo, hemos elegido la opción "Avanzado".
- Recomendamos encarecidamente usar IKEv2 en lugar de IKEv1 para mejorar la seguridad, acelerar el establecimiento de la conexión, estabilidad, soportar movilidad y aumentar la eficiencia en el manejo de cambios en la red.
- Asigne un nombre comprensible y elija VPN Site-to-Site.
- Haga clic en "Siguiente"
Configuración de Fase 1
- En el siguiente paso, ingrese “Puerta de enlace segura”. Esta es la dirección WAN de su segundo firewall; en este caso, es la dirección IP del sitio sucursal. (Cuando comience a configurar el segundo firewall, deberá completar la dirección IP WAN de este firewall.)
- Configure las propuestas de Fase 1 según lo desee. Por razones de seguridad, elija una contraseña fuerte y propuestas con buena encriptación/autenticación, como AES256 para encriptación, SHA512 para autenticación y DH14 para el grupo de claves.
Configuración de Fase 2
- Asegúrese de que las configuraciones de fase 2 sean iguales a las de fase 1. (es decir, AES256, SHA512)
-
Política local y política remota - Las políticas local y remota definen qué tráfico se cifra en una VPN site-to-site, garantizando una comunicación segura, eficiente y correctamente enrutada entre redes.
Nota: Por favor, verifique primero que la dirección IP de la subred remota no exista ya en la subred local para evitar configuraciones de direcciones IP duplicadas. Cuando la subred remota es similar a una subred local, solo podrá acceder a la red local.
- Una vez que todos los datos se hayan ingresado correctamente, haga clic en “Siguiente”, revise nuevamente todos los ajustes, haga clic en "Guardar" y proceda a configurar el segundo firewall.
Configuración del sitio sucursal (Asistente)
Debe seguir exactamente el mismo procedimiento para el firewall en la segunda oficina. La principal diferencia está solo en algunos ajustes.
- IP de la puerta de enlace debe especificarse como la IP WAN del dispositivo en el sitio central
-
Política local y política remota también serán diferentes. Ejemplo a continuación:
Sitio central
Política local: 192.168.40.1
Política remota: 192.168.70.1
Sitio sucursal:
Política local: 192.168.70.1
Política remota: 192.168.40.1
- Si todo se ha configurado correctamente y no hay problemas con la conexión u otros ajustes, la conexión VPN se establecerá automáticamente inmediatamente después de guardar la configuración.
Configuración manual de VPN - VPN Gateway - Configuración manual del sitio central
- Inicie sesión en la interfaz web de su firewall del sitio central
Vaya a Configuración -> VPN -> VPN Ge -> Añadir
- Marque la casilla Habilitar
- Asigne un nombre claro
- Seleccione la versión de IKE
Recomendamos encarecidamente usar IKEv2 en lugar de IKEv1 para mejorar la seguridad, acelerar el establecimiento de la conexión, estabilidad, soportar movilidad y aumentar la eficiencia en el manejo de cambios en la red.
- Mi dirección (Interfaz) - establece la dirección IP WAN.
- Dirección de puerta de enlace del par - Esta es la dirección WAN de su segundo firewall; en este caso, es la dirección IP del sitio sucursal. (Cuando comience a configurar el segundo firewall, deberá completar la dirección IP WAN de este firewall.)
- Clave precompartida - Cree una contraseña fuerte (también usará esta clave en el dispositivo remoto).
- Configuración de fase 1 - Configure las propuestas de fase 1 según lo desee. Por razones de seguridad, elija una contraseña fuerte y propuestas con buena encriptación/autenticación, como AES256 para encriptación, SHA512 para autenticación y DH14 para el grupo de claves.
Túnel VPN - Configuración manual del sitio central
Configuración > VPN > IPSec VPN > Conexión VPN > Añadir
Lo primero que debe hacer es crear un objeto para “Política remota” haciendo clic en “Crear nuevo objeto” y seleccionando “Dirección IPV4”.
- Nombre - ingrese un nombre claro
- Tipo de dirección - “SUBRED”
- Red - la dirección de la red local del sitio remoto
- Máscara de red - máscara de subred del sitio remoto
- Luego haga clic en “OK”
Ahora, podemos continuar completando los otros campos.
- Marque la casilla Habilitar
- Asigne un nombre claro
- Seleccione VPN Site-To-Site
- VPN Gateway - Seleccione la puerta de enlace VPN creada en el paso anterior
- Política local y política remota serán diferentes.
- Configuración de fase 2 - Configure las propuestas de fase 2 según lo desee. Por razones de seguridad, elija una contraseña fuerte y propuestas con buena encriptación/autenticación, como AES256 para encriptación, SHA512 para autenticación y DH14 para el grupo de claves.
- Haga clic en "Ok"
Ahora, podemos comenzar a configurar el sitio sucursal. Para hacerlo, siga los mismos pasos que realizó para el sitio central, pero con algunos cambios en los datos.
VPN Gateway - Configuración manual del sitio sucursal
Configuración > VPN > IPSec VPN > VPN Gateway
Repita los pasos del sitio central para configurar la puerta de enlace VPN
- Cuando configuró la VPN Gateway en el firewall del sitio central, especificó la IP WAN de su sitio sucursal en el campo "Dirección de puerta de enlace del par Dirección estática”. Ahora, al configurar el sitio sucursal, debe especificar la IP WAN de su sitio central en el campo "Dirección de puerta de enlace del par Dirección estática”.
- Clave precompartida - debe ser la misma para ambos sitios.
Túnel VPN - Configuración manual del sitio sucursal
Configuración > VPN > IPSec VPN > Conexión VPN
Repita los pasos del sitio central para configurar el túnel VPN
- Excepto por algunas diferencias, cuando configuró el sitio central, especificó la red del sitio sucursal en Política remota. Ahora, al configurar el sitio sucursal, debe especificar la red del sitio central en el campo Política remota.
Marque la opción "Siempre activo" para establecer el túnel VPN y conectarse automáticamente.
Pruebe el resultado
- Conecte el túnel VPN manualmente la primera vez. Después, debería volver a escanear la conectividad y reconectarse automáticamente.
- Podrá ver que el túnel VPN está conectado cuando el símbolo de la tierra esté verde
Nota: Por favor, revise las reglas de su firewall para asegurarse de que existan las reglas predeterminadas IPSec-to-Device e IPSec-to-Any.
De lo contrario, el tráfico entre los túneles podría ser bloqueado.
Limitación - Uso de varias subredes
En los firewalls Zyxel, existe una limitación donde no puede seleccionar varias subredes en un túnel VPN. La política local (subred) y la política remota (subred) solo pueden configurarse con una subred cada una.
Configuración -> VPN -> IPSec VPN -> Conexión VPN -> Política
Para evitar este problema, puede configurar una ruta de política para enrutar manualmente otras subredes dentro del túnel.
Crear esta ruta de política:
¡Nota! Puede ser necesario enrutar los paquetes de respuesta de vuelta a través del túnel en el sitio remoto.
Solución de problemas
Problemas comunes y soluciones:
- Clave precompartida incorrecta: Verifique dos veces la clave precompartida en ambos dispositivos.
- Configuración incorrecta de subred: Asegúrese de que las subredes locales y remotas estén configuradas correctamente en los ajustes de la VPN.
- Configuraciones de fase 1 y fase 2:
Ajustes clave que deben verificarse para asegurarse de que sean iguales en ambos sitios
- Método de autenticación: Normalmente se usa una clave precompartida.
- Algoritmo de cifrado: Opciones comunes incluyen AES (128/256 bits), 3DES.
- Algoritmo hash: Normalmente SHA-256, SHA-512 o SHA-1.
- Grupo DH (Diffie-Hellman): Garantiza un intercambio seguro de claves (por ejemplo, Grupo 2, Grupo 14).
- Tiempo de vida:
Para instrucciones más detalladas sobre solución de problemas, consulte el enlace:
Firewall Zyxel [VPN] - Solución de problemas de VPN Site-to-Site [Modo independiente]

Comentarios
0 comentariosInicie sesión para dejar un comentario.