Zyxel Firewall [VPN] - Configurar IPSec Site-To-Site VPN en Zyxel Firewall [Stand-alone mode] (Modo autónomo)

Esta guía le guiará a través de la configuración de un sitio a sitio (S2S) VPN entre dos cortafuegos utilizando IKEv2 IPSec. Vamos a cubrir tanto la configuración manual y el uso de un asistente incorporado, así como la forma de configurar la VPN para manejar múltiples subredes dentro del mismo túnel.

En caso de que esté buscando otros escenarios VPN, consejos y trucos, eche un vistazo a los siguientes artículos:

General:

• VPN Guideline - Choosing the right VPN type for your Home Office (+Vínculos útiles y tutoriales)
• Configuración VPN Aprovisionamiento en un cortafuegos USG
• Zyxel Firewall [VPN] - Solución de problemas de VPN de sitio a sitio [modo autónomo]

Nebula:

• Creación de una VPN de sitio a sitio en Nebula entre dos puertas de enlace Nebula (NSG)

Una oficina desea conectarse de forma segura a su sede central a través de Internet. Ambas oficinas tienen un USG / ZyWall / ATP / USG FLEX para acceder a Internet.

Nota: Antes de empezar a configurar la VPN, asegúrese de que ambas sedes no tienen las mismas subredes. Configurar una VPN entre sitios con la misma subred en ambos lados es técnicamente posible, pero no es fácil y puede dar lugar a complicaciones debido al solapamiento de direcciones IP. Cuando ambos sitios tienen la misma subred, esto puede provocar conflictos de enrutamiento porque la VPN no sabrá a qué lado enviar el tráfico cuando vea una dirección IP que existe en ambas ubicaciones.

Método Asistente de Configuración de VPN

El método más sencillo y cómodo para establecer una conexión de sitio a sitio es utilizar el asistente incorporado. En el primer ejemplo de este artículo, le guiaremos a través del proceso. Además, si ha tenido problemas al configurar manualmente una VPN, puede utilizar el asistente para configurar la VPN y comparar la configuración para solucionar problemas.

Configuración de la sede central (Wizzard)

• Inicie sesión en la interfaz gráfica de usuario web de su cortafuegos HQ Site y vaya a la sección Asistente de configuración rápida del menú de la izquierda.
• Haga clic en "Configuración VPN".

Puede elegir entre la opción Express (VPN con valores por defecto) o Advanced (Configuración manual de la criptografía, etc...). Para el ejemplo de este artículo, hemos elegido la opción "Avanzada".

• Recomendamos encarecidamente utilizar IKEv2 en lugar de IKEv1 para mejorar la seguridad, la velocidad de establecimiento de la conexión, la estabilidad, soportar la movilidad y aumentar la eficiencia en el manejo de los cambios en la red.
• Asigne un nombre comprensible y elija VPN de sitio a sitio.
• Haga clic en "Siguiente".

Configuración de la fase 1

• A continuación, introduzca "Secure Gateway". Se trata de la dirección Wan de su segundo cortafuegos; en este caso, es la dirección IP de la sucursal. (Cuando empiece a configurar el segundo cortafuegos, tendrá que rellenar la dirección IP WAN de este cortafuegos. )
• Configure las propuestas de la Fase 1 como desee. Por motivos de seguridad, elija una contraseña segura y propuestas con un buen cifrado/autenticación, como AES256 para el cifrado, SHA512 para la autenticación y DH14 para un grupo de claves.

Configuración de la fase 2

• Asegúrese de que la configuración de la fase 2 es la misma que la de la fase 1. (es decir, AES256, SHA512)
• Política local y política remota - Las políticas local y remota definen qué tráfico se cifra en una VPN de sitio a sitio, garantizando una comunicación segura, eficiente y correctamente enrutada entre redes.
  
  Nota: Compruebe primero si la dirección IP de la subred remota no existe ya en la subred local para evitar una doble configuración de direcciones IP. Si la subred remota es similar a una subred local, sólo podrá acceder a la red local.

• Una vez introducidos todos los datos correctamente, haga clic en "Siguiente", compruebe de nuevo todos los ajustes, haga clic en"Guardar" y proceda a configurar el segundo cortafuegos.

Configuración de la sucursal (Wizzard)

Debe seguir exactamente el mismo procedimiento para el cortafuegos de la segunda oficina. La principal diferencia está sólo en algunos ajustes.

• La IP de la puerta de enlace debe ser especificada como la IP de la WAN del dispositivo en la sede central.
• La Política Local y la Política Remota también serán diferentes. Ejemplo siguiente:
  Sede central
  Política local: 192.168.40.1
  Política remota: 192.168.70.1
  Sucursal:
  Política local: 192.168.70.1
  Política remota: 192.168.40.1

• Si todo se ha configurado correctamente y no hay problemas con la conexión, otros ajustes o la construcción, se establecerá automáticamente una conexión VPN inmediatamente después de guardar los ajustes.

Método manual Configuración VPN

Puerta de enlace VPN - Manual de configuración de la sede central

• Inicie sesión en la interfaz gráfica de usuario web del cortafuegos del sitio HQ

Go to Configuration -> VPN -> VPN Ge -> Add

• Marque la casilla Enable (Activar )
• Asigne un nombreclaro
• Seleccione la versión de IKE

Recomendamos encarecidamente utilizar IKEv2 en lugar de IKEv1 para mejorar la seguridad, la velocidad de establecimiento de la conexión, la estabilidad, soportar la movilidad y aumentar la eficiencia en el manejo de los cambios de red.

• My Address (Interface) - establece su dirección IP wan.
• Peer Gateway Address - Esta es la dirección WAN de su segundo cortafuegos; en este caso, es la dirección IP del sitio Branch. (Cuando empiece a configurar el segundo cortafuegos, tendrá que rellenar la dirección IP WAN de este cortafuegos.
• Clave precompartida: cree una contraseña segura (también utilizará esta clave en el dispositivo remoto).
• Configuración de la fase 1- Configure las propuestas de la fase 1 como desee. Por motivos de seguridad, elija una contraseña segura y propuestas con un buen cifrado/autenticación, como AES256 para el cifrado, SHA512 para la autenticación y DH14 para un grupo de claves.

Túnel VPN - Manual de configuración de la sede central

Configuration > VPN > IPSec VPN > VPN Connection > Add

Lo primero que debe hacer es crear un Objeto para "Remote Policy" haciendo clic en "Create New Object" y seleccionando "IPV4 Address".

• Nombre - introduzca un nombre claro
• Tipo de dirección - "SUBNET"
• Red - la dirección de red local del sitio remoto
• Máscara de red - máscara de subred del sitio remoto
• A continuación, haga clic en "Aceptar".

Ahora, podemos seguir rellenando los demás campos.

• Marque la casilla Habilitar
• Asigne un nombreclaro
• Seleccione VPN de sitio a sitio
• VPN Gateway - Seleccione el VPN Gateway creado en el paso anterior
• La Política Local y la Política Remota serán diferentes.
• Configuración de la Fase 2 - Configure las propuestas de la Fase 2 como desee. Por motivos de seguridad, elija una contraseña segura y propuestas con un buen cifrado/autenticación, como AES256 para el cifrado, SHA512 para la autenticación y DH14 para un grupo de claves.
• Haz clic en "Aceptar".

Ahora, podemos empezar a configurar el sitio de la Sucursal. Para ello, siga los mismos pasos que para la sede central, pero con algunos cambios en los datos.

Puerta de enlace VPN - Manual de configuración de la sucursal

Configuration > VPN > IPSec VPN > VPN Gateway

Repita los pasos de la sede central para configurar la puerta de enlace VPN

• Cuando configuró la puerta de enlace VPN en el cortafuegos de la sede central, especificó la IP WAN de su sucursal en el campo "Peer Gateway Address Static Address". Ahora, al configurar la sucursal, debe especificar la IP WAN de la sede central en el campo "Peer Gateway Address Static Address".
• Pre-Shared Key - debe ser la misma para ambos sitios.

Túnel VPN - Manual de Configuración de la Sucursal

Configuration > VPN > IPSec VPN > VPN Connection

Repita los pasos de la sede central para configurar el túnel VPN

• Salvo algunas diferencias, cuando configuró la sede central, especificó la red de la sucursal en la directiva remota. Ahora, cuando configure la sucursal, deberá especificar la red de la sede central en el campo Remote Policy (Política remota).

Marque la opción "Nailed-Up" para establecer el túnel VPN y conectarse automáticamente.

Pruebe el resultado

• Conecte el túnel VPN manualmente la primera vez. Después, debería volver a escanear la conectividad y reconectarse automáticamente.
• Podrá ver que el túnel VPN está conectado cuando el símbolo de tierra esté verde

Nota: Compruebe las reglas de su cortafuegos para asegurarse de que existen las reglas predeterminadas IPSec-a-Dispositivo e IPSec-a-Cualquier.
De lo contrario, el tráfico entre los túneles podría bloquearse.

Limitación - Utilizar varias subredes

En los cortafuegos Zyxel, existe una limitación por la que no se pueden seleccionar varias subredes en un túnel VPN. La política local (subred) y la política remota (subred) sólo se pueden configurar con una subred cada una.

Configure -> VPN -> IPSec VPN -> VPN Connection -> Policy

Para evitar este problema, puede configurar una ruta de política para enrutar manualmente otras subredes en el túnel.

Cree esta ruta de política:

Nota Podría ser necesario enrutar los paquetes de respuesta de vuelta a través del túnel en el sitio remoto.

Solución de problemas

Problemas comunes y soluciones:

• Clave precompartida incorrecta: Compruebe dos veces la clave precompartida en ambos dispositivos.
• Configuración de subred incorrecta: Asegúrese de que las subredes locales y remotas correctas están configuradas en los ajustes VPN.
• Ajustes de Fase 1 y Fase 2:

Ajustes de clave que deben comprobarse para asegurarse de que son los mismos en ambos sitios.

• Método de autenticación: Normalmente, se utiliza una clave precompartida.
• Algoritmo de cifrado: Las opciones comunes incluyen AES (128/256 bits), 3DES.
• Algoritmo hash: Normalmente SHA-256 o SHA-512 o SHA-1.
• Grupo DH (Grupo Diffie-Hellman): Garantiza un intercambio de claves seguro (por ejemplo, Grupo 2, Grupo 14).
• Vida útil:

Para obtener instrucciones más detalladas sobre la solución de problemas, consulte el enlace:

Zyxel Firewall [VPN] - Solución de problemas de VPN de sitio a sitio [modo autónomo].