Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configurar una VPN basada en políticas

En este ejemplo se muestra cómo configurar una VPN IPsec basada en políticas para permitir que los datos se transfieran de forma segura entre dos sitios.

Requisitos

En este ejemplo, se utiliza el siguiente hardware:

  • Cualquier firewall de la serie SRX

    • Se actualizó y revalidó mediante el firewall virtual vSRX en Junos OS versión 20.4R1.
Nota:

¿Está interesado en obtener experiencia práctica con los temas y operaciones cubiertos en esta guía? Visite la demostración basada en políticas IPsec en los laboratorios virtuales de Juniper Networks y reserve su sandbox gratis hoy mismo. Encontrará el espacio aislado basado en políticas de VPN IPsec en la categoría Seguridad.

Antes de comenzar, lea Información general sobre IPsec.

Descripción general

En este ejemplo, se configura una VPN basada en políticas en SRX1 y SRX2. Host1 y Host2 usan la VPN para enviar tráfico de forma segura a través de Internet entre ambos hosts.

Figura 1 muestra un ejemplo de una topología VPN basada en políticas.

Figura 1: Topología VPN basada en políticasTopología VPN basada en políticas

La negociación del túnel IPsec de IKE se produce en dos fases. En la fase 1, los participantes establecen un canal seguro en el que negociar la asociación de seguridad (SA) IPsec. En la fase 2, los participantes negocian la SA de IPsec para autenticar el tráfico que fluirá a través del túnel. Así como hay dos fases para la negociación del túnel, hay dos fases para la configuración del túnel.

En este ejemplo, se configuran interfaces, una ruta predeterminada IPv4 y zonas de seguridad. A continuación, configure la fase 1 de IKE, la fase 2 de IPsec, la directiva de seguridad y los parámetros TCP-MSS. Consulte Tabla 1 a través de Tabla 5.

Tabla 1: Información de interfaz, ruta estática y zona de seguridad para SRX1

Característica

Nombre

Parámetros de configuración

Interfaces

ge-0/0/0.0

10.100.11.1/24

 

ge-0/0/1.0

172.16.13.1/24

Zonas de seguridad

confiar

  • La interfaz ge-0/0/0.0 está vinculada a esta zona.

 

no confiar

  • La interfaz ge-0/0/1.0 está vinculada a esta zona.

Rutas estáticas

0.0.0.0/0

  • El siguiente salto es 172.16.13.2.

Tabla 2: Parámetros de configuración de fase 1 de IKE

Característica

Nombre

Parámetros de configuración

Propuesta

estándar

  • Método de autenticación: claves precompartidas

Política

IKE-POL

  • Modo: principal

  • Referencia de propuesta: estándar

  • Método de autenticación de políticas de fase 1 de IKE: ASCII-texto de clave precompartida

Puerta de enlace

IKE-GW

  • Referencia de política ICR: IKE-POL

  • Interfaz externa: ge-0/0/1

  • Dirección de puerta de enlace: 172.16.23.1

Tabla 3: Parámetros de configuración de fase 2 de IPsec

Característica

Nombre

Parámetros de configuración

Propuesta

estándar

  • Uso de la configuración predeterminada

Política

IPSEC-POL

  • Referencia de propuesta: estándar

VPN

VPN a host2

  • Referencia de puerta de enlace ICR: IKE-GW

  • Referencia de política IPsec: IPSEC-POL

  • establecer túneles inmediatamente
Tabla 4: Parámetros de configuración de política de seguridad

Propósito

Nombre

Parámetros de configuración

Esta política de seguridad permite el tráfico desde la zona de confianza a la zona de no confianza.

SALIDA VPN

  • Criterios de coincidencia:

    • dirección de origen Host1-Net

    • dirección de destino Host2-Net

    • application any

  • Acción de permiso: túnel ipsec-vpn vpn a host2

Esta política de seguridad permite el tráfico desde la zona de no confianza a la zona de confianza.

ENTRADA VPN

  • Criterios de coincidencia:

    • dirección de origen Host2-Net

    • dirección de destino Host1-Net

    • application any

  • Acción de permiso: túnel ipsec-vpn vpn a host2

Esta política de seguridad permite todo el tráfico desde la zona de confianza a la zona que no es de confianza.

Debe colocar la política de VPN-OUT antes de la directiva de seguridad de permisos predeterminados. Junos OS realiza una búsqueda de políticas de seguridad comenzando en la parte superior de la lista. Si la directiva de permisos predeterminados precede a la directiva de VPN-Out, todo el tráfico de la zona de confianza coincide con la directiva de permisos predeterminados y se permite. Por lo tanto, ningún tráfico coincidirá con la política de VPN-OUT.

default-permit

  • Criterios de coincidencia:

    • dirección de origen cualquiera

    • origen-destino cualquiera

    • application any

  • Acción: permitir

Tabla 5: Parámetros de configuración TCP-MSS

Propósito

Parámetros de configuración

TCP-MSS se negocia como parte del protocolo de enlace de tres vías TCP y limita el tamaño máximo de un segmento TCP para ajustarse mejor a los límites de la unidad máxima de transmisión (MTU) en una red. Esto es especialmente importante para el tráfico VPN, ya que la sobrecarga de encapsulación de IPsec, junto con la sobrecarga de IP y trama, puede hacer que el paquete de carga de seguridad de encapsulación (ESP) resultante supere la MTU de la interfaz física, lo que provoca fragmentación. La fragmentación da como resultado un mayor uso del ancho de banda y de los recursos del dispositivo.

Se recomienda un valor 1350 como punto de partida para la mayoría de las redes basadas en Ethernet con una MTU de 1500 o superior. Es posible que deba experimentar con distintos valores de TCP-MSS para obtener un rendimiento óptimo. Por ejemplo, es posible que necesite cambiar el valor si algún dispositivo en la ruta de acceso tiene una MTU baja o si hay alguna sobrecarga adicional, como PPP o Frame Relay.

Valor MSS: 1350

Configuración

Configuración de información básica de red y zonas de seguridad

Configuración rápida de CLI

Para configurar rápidamente este ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de CLI.

Para configurar la información de la interfaz, la ruta estática y la zona de seguridad:

  1. Configure las interfaces.

  2. Configure las rutas estáticas.

  3. Asigne la interfaz orientada a Internet a la zona de seguridad que no es de confianza.

  4. Especifique los servicios del sistema permitidos para la zona de seguridad de no confianza.

  5. Asigne la interfaz orientada a Host1 a la zona de seguridad de confianza.

  6. Especifique los servicios del sistema permitidos para la zona de seguridad de confianza.

Resultados

Desde el modo de configuración, escriba los comandos , y show security zones para confirmar la show interfacesconfiguración. show routing-options Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Configurar ICR

Configuración rápida de CLI

Para configurar rápidamente este ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de CLI.

Para configurar ICR:

  1. Cree la propuesta de ICR.

  2. Defina el método de autenticación de la propuesta de ICR.

  3. Cree la política de IKE.

  4. Establezca el modo de política de ICR.

  5. Especifique una referencia a la propuesta de ICR.

  6. Defina el método de autenticación de política de ICR.

  7. Cree la puerta de enlace IKE y defina su interfaz externa.

  8. Defina la dirección de puerta de enlace de ICR.

  9. Defina la referencia de política de ICR.

Resultados

Desde el modo de configuración, confírmela con el comando show security ike. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Configurar IPsec

Configuración rápida de CLI

Para configurar rápidamente este ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de CLI.

Para configurar IPsec:

  1. Cree la propuesta IPsec.

  2. Cree la política de IPsec.

  3. Especifique la referencia de propuesta de IPsec.

  4. Especifique la puerta de enlace de ICR.

  5. Especifique la política de IPsec.

  6. Configure el túnel para que se establezca inmediatamente.

Resultados

Desde el modo de configuración, confírmela con el comando show security ipsec. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Configuración de políticas de seguridad

Configuración rápida de CLI

Para configurar rápidamente este ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de CLI.

Para configurar políticas de seguridad:

  1. Cree entradas de libreta de direcciones para las redes que se usarán en las directivas de seguridad.

  2. Cree la política de seguridad para que coincida con el tráfico del Host1 en la zona de confianza al Host2 en la zona de no confianza.

  3. Cree la política de seguridad para permitir el resto del tráfico a Internet desde la zona de confianza a la zona que no es de confianza.

  4. Cree una política de seguridad para permitir el tráfico desde el Host2 en la zona que no es de confianza hasta el Host1 en la zona de confianza.

Resultados

Desde el modo de configuración, confírmela con el comando show security policies. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Configurar TCP-MSS

Configuración rápida de CLI

Para configurar rápidamente este ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

Para configurar la información TCP-MSS:

  1. Configure la información de TCP-MSS.

Resultados

Desde el modo de configuración, confírmela con el comando show security flow. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de SRX2

Configuración rápida de CLI

Como referencia, se proporciona la configuración de SRX2.

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Verificación del estado de ICR

Propósito

Verifique el estado de ICR.

Acción

Desde el modo operativo, ingrese el comando show security ike security-associations. Después de obtener un número de índice desde el comando, utilice el comando show security ike security-associations index index_number detail.

Significado

El show security ike security-associations comando enumera todas las asociaciones de seguridad (SA) de fase 1 de IKE activas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.

Si las SA aparecen en la lista, revise la siguiente información:

  • Índice: este valor es único para cada SA de IKE, que puede utilizar en el show security ike security-associations index detail comando para obtener más información acerca de la SA.

  • Dirección remota: compruebe que la dirección IP remota sea correcta.

  • Estado

    • UP: se estableció la SA de fase 1.

    • DOWN: hubo un problema al establecer la SA de fase 1.

  • Modo: verifica que se esté utilizando el modo correcto.

Compruebe que los siguientes elementos son correctos en su configuración:

  • Interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)

  • Parámetros de política de ICR

  • Información de claves precompartidas

  • Parámetros de propuesta de fase 1 (deben coincidir en ambos pares)

El comando show security ike security-associations index 1859361 detail enumera información adicional acerca de la asociación de seguridad con el número de índice 1859361:

  • Algoritmos de autenticación y cifrado utilizados

  • Duración de la fase 1

  • Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)

  • Información de la función del iniciador y del respondedor

    La solución de problemas se realiza de mejor manera en el mismo nivel que usa la función de respondedor.

  • Cantidad de SA de IPsec creadas

  • Número de negociaciones de la Fase 2 en curso

Comprobación del estado de fase 2 de IPsec

Propósito

Compruebe el estado de fase 2 de IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ipsec security-associations. Después de obtener un número de índice desde el comando, utilice el comando show security ipsec security-associations index index_number detail.

Significado

El resultado del comando show security ipsec security-associations muestra la siguiente información:

  • El número de identificación es 2. Utilice este valor con el comando para obtener más información acerca de show security ipsec security-associations index esta SA en particular.

  • Existe un par SA IPsec que usa el puerto 500, lo que indica que no se implementó ningún recorrido TDR. (El recorrido TDR utiliza el puerto 4500 u otro puerto aleatorio de número alto.)

  • El SPI, la vida útil (en segundos) y los límites de uso (o tamaño de vida útil en KB) se muestran para ambas direcciones. El valor 921/ unlim indica que la duración de la fase 2 expira en 921 segundos y que no se ha especificado ningún tamaño de vida útil, lo que indica que es ilimitada. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.

  • La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna Mon. Si la supervisión de VPN está habilitada, aparece U (arriba) o D (abajo).

  • El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.

El resultado del comando show security ipsec security-associations index 2 detail muestra la siguiente información:

  • La identidad local y la identidad remota constituyen el ID de proxy para la SA.

    Una discrepancia de ID de proxy es una de las razones más comunes de un error de fase 2. Para las VPN basadas en políticas, el ID de proxy se deriva de la política de seguridad. La dirección local y la dirección remota se derivan de las entradas de la libreta de direcciones, y el servicio se deriva de la aplicación configurada para la directiva. Si se produce un error en la fase 2 debido a una discrepancia de ID de proxy, puede utilizar la directiva para confirmar qué entradas de la libreta de direcciones están configuradas. Verifique que las direcciones coincidan con la información que se envía. Compruebe el servicio para asegurarse de que los puertos coinciden con la información que se envía.

Probar el flujo de tráfico a través de la VPN

Propósito

Compruebe el flujo de tráfico a través de la VPN.

Acción

Utilice el comando del dispositivo Host1 para probar el ping flujo de tráfico al Host2.

Significado

Si el ping comando falla desde Host1, es posible que haya un problema con el enrutamiento, las políticas de seguridad, el host final o el cifrado y descifrado de los paquetes ESP.

Revisar estadísticas y errores para una asociación de seguridad IPsec

Propósito

Revise errores y contadores de encabezados de autenticación y ESP para una asociación de seguridad IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ipsec statistics index index_number utilizando el número de índice de la VPN cuyas estadísticas desea ver.

También puede utilizar el comando show security ipsec statistics para revisar las estadísticas y los errores de todas las SA.

Para borrar todas las estadísticas de IPsec, utilice el comando clear security ipsec statistics.

Significado

Si ve problemas de pérdida de paquetes en una VPN, puede ejecutar el show security ipsec statistics comando varias veces para confirmar que los contadores de paquetes cifrados y descifrados se incrementan. También debe comprobar si los otros contadores de errores se incrementan.