Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN IPsec basada en rutas

Una VPN basada en rutas es una configuración en la que una ruta hace referencia a un túnel VPN IPsec creado entre dos puntos de conexión que determinan qué tráfico se envía por un túnel según una dirección IP de destino.

Descripción de VPN de IPsec basadas en rutas

Con las VPN basadas en rutas, puede configurar varias políticas de seguridad para regular el tráfico que fluye a través de un túnel único de VPN entre dos sitios, y solo hay un conjunto funcional de asociaciones de seguridad ICR e IPsec. A diferencia de las VPN basadas en políticas, en las VPN basadas en rutas, una política se refiere a una dirección de destino y no a un túnel VPN. Cuando Junos OS busca una ruta para encontrar la interfaz que se utilizará para enviar tráfico a la dirección de destino del paquete, encuentra una ruta a través de una interfaz de túnel seguro (st0).x La interfaz de túnel está enlazada a un túnel VPN específico y el tráfico se enruta al túnel si se permite la acción de la política.

Una interfaz de túnel seguro (st0) solo admite una dirección IPv4 y una dirección IPv6 al mismo tiempo. Esto se aplica a todas las VPN basadas en rutas. La opción disable no se admite en interfaces st0.

Nota:

Una interfaz de túnel seguro (st0) de st0.16000 a st0.16385 está reservada para la alta disponibilidad de múltiples nodos y para el cifrado de vínculos de control de alta disponibilidad en el clúster de chasis. Estas interfaces no son interfaces configurables por el usuario. Sólo puede utilizar interfaces de st0.0 a st0.15999.

Ejemplos de dónde se pueden utilizar las VPN basadas en rutas:

  • Existen subredes o direcciones IP superpuestas entre las dos LAN.

  • En la red se utiliza una topología VPN radial, y se requiere tráfico de radio a radio.

  • Se requieren VPN principales y de respaldo.

  • Un protocolo de enrutamiento dinámico (por ejemplo, OSPF, RIP o BGP) se ejecuta a través de la VPN.

    No se admite la configuración de circuitos de demanda RIP en interfaces VPN punto a multipunto.

Recomendamos que utilice VPN basada en rutas cuando desee configurar VPN entre varios sitios remotos. VPN basada en rutas permite enrutar entre los radios entre varios sitios remotos; sus procesos de configuración, supervisión y solución de problemas son más sencillos.

Ejemplo: Configurar una VPN basada en rutas

En este ejemplo se muestra cómo configurar una VPN IPsec basada en rutas para permitir que los datos se transfieran de forma segura entre dos sitios.

Requisitos

En este ejemplo, se utiliza el siguiente hardware:

  • Cualquier firewall de la serie SRX

    • Se actualizó y revalidó mediante el firewall virtual vSRX en Junos OS versión 20.4R1.
Nota:

¿Está interesado en obtener experiencia práctica con los temas y operaciones cubiertos en esta guía? Visite la demostración de VPN basada en rutas IPsec en los laboratorios virtuales de Juniper Networks y reserve su sandbox gratis hoy mismo. Encontrará el espacio aislado basado en rutas de VPN IPsec en la categoría Seguridad.

Antes de comenzar, lea Información general sobre IPsec.

Descripción general

En este ejemplo, se configura una VPN basada en rutas en SRX1 y SRX2. Host1 y Host2 usan la VPN para enviar tráfico de forma segura a través de Internet entre ambos hosts.

Figura 1 se muestra un ejemplo de una topología VPN basada en rutas.

Figura 1: Topología VPN basada en rutasTopología VPN basada en rutas

En este ejemplo, se configuran interfaces, una ruta predeterminada IPv4 y zonas de seguridad. Luego, se configuran ICR, IPsec, la política de seguridad y los parámetros TCP-MSS. Consulte del Tabla 1 al Tabla 5 para ver parámetros de configuración específicos que se utilizan en este ejemplo.

Tabla 1: Información de interfaz, ruta estática, zona de seguridad y política de seguridad para SRX1

Característica

Nombre

Parámetros de configuración

Interfaces

ge-0/0/0.0

10.100.11.1/24

 

ge-0/0/1.0

172.16.13.1/24

 

st0.0 (interfaz de túnelización)

10.100.200.1/24

Rutas estáticas

10.100.22.0/24

0.0.0.0/0

El siguiente salto es st0.0.

El siguiente salto es 172.16.13.2.

Zonas de seguridad

confiar

  • La interfaz ge-0/0/0.0 está vinculada a esta zona.

 

no confiar

  • La interfaz ge-0/0/1.0 está vinculada a esta zona.

 

vpn

  • La interfaz st0.0 está vinculada a esta zona.

Tabla 2: Parámetros de configuración ICR

Característica

Nombre

Parámetros de configuración

Propuesta

estándar

  • Método de autenticación: claves precompartidas

Política

IKE-POL

  • Modo: principal

  • Referencia de propuesta: estándar

  • Método de autenticación de política de ICR: claves precompartidas

Puerta de enlace

IKE-GW

  • Referencia de política ICR: IKE-POL

  • Interfaz externa: ge-0/0/1

  • Dirección de puerta de enlace: 172.16.23.1

Tabla 3: Parámetros de configuración IPsec

Característica

Nombre

Parámetros de configuración

Propuesta

estándar

  • Uso de la configuración predeterminada

Política

IPSEC-POL

  • Referencia de propuesta: estándar

VPN

VPN a host2

  • Referencia de puerta de enlace ICR: IKE-GW

  • Referencia de política IPsec: IPSEC-POL

  • Enlazar a interfaz: st0.0

  • establecer túneles inmediatamente
Tabla 4: Parámetros de configuración de política de seguridad

Propósito

Nombre

Parámetros de configuración

La política de seguridad permite el tráfico desde la zona de confianza a la zona VPN.

SALIDA VPN

  • Criterios de coincidencia:

    • dirección de origen Host1-Net

    • dirección de destino Host2-Net

    • application any

  • Acción: permitir

La política de seguridad permite el tráfico desde la zona VPN a la zona de confianza.

ENTRADA VPN

  • Criterios de coincidencia:

    • dirección de origen Host2-Net

    • dirección de destino Host1-Net

    • application any

  • Acción: permitir

Tabla 5: Parámetros de configuración TCP-MSS

Propósito

Parámetros de configuración

TCP-MSS se negocia como parte de la negociación de tres vías TCP y limita el tamaño máximo de un segmento TCP para ajustarse mejor a los límites de MTU en una red. Para el tráfico VPN, la sobrecarga de encapsulación de IPsec, junto con la IP y la sobrecarga de trama, puede hacer que el paquete ESP resultante supere la MTU de la interfaz física, lo que provoca fragmentación. La fragmentación aumenta el ancho de banda y los recursos del dispositivo.

Se recomienda un valor 1350 como punto de partida para la mayoría de las redes basadas en Ethernet con una MTU de 1500 o superior. Es posible que deba experimentar con distintos valores de TCP-MSS para obtener un rendimiento óptimo. Por ejemplo, es posible que necesite cambiar el valor si algún dispositivo en la ruta de acceso tiene una MTU baja o si hay alguna sobrecarga adicional, como PPP o Frame Relay.

Valor MSS: 1350

Configuración

Configurar la información básica de red y zona de seguridad

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de CLI.

Para configurar la información de la interfaz, la ruta estática y la zona de seguridad:

  1. Configure las interfaces.

  2. Configure las rutas estáticas.

  3. Asigne la interfaz orientada a Internet a la zona de seguridad que no es de confianza.

  4. Especifique los servicios del sistema permitidos para la zona de seguridad de no confianza.

  5. Asigne la interfaz orientada a Host1 a la zona de seguridad de confianza.

  6. Especifique los servicios del sistema permitidos para la zona de seguridad de confianza.

  7. Asigne la interfaz de túnel seguro a la zona de seguridad VPN.

  8. Especifique los servicios del sistema permitidos para la zona de seguridad VPN.

Resultados

Desde el modo de configuración, escriba los comandos , y show security zones para confirmar la show interfacesconfiguración. show routing-options Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Configurar ICR

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de CLI.

Para configurar ICR:

  1. Cree la propuesta de ICR.

  2. Defina el método de autenticación de la propuesta de ICR.

  3. Cree una política de ICR.

  4. Establezca el modo de política de ICR.

  5. Especifique una referencia a la propuesta de ICR.

  6. Defina el método de autenticación de política de ICR.

  7. Cree una puerta de enlace ICR y defina su interfaz externa.

  8. Defina la referencia de política de ICR.

  9. Defina la dirección de puerta de enlace de ICR.

Resultados

Desde el modo de configuración, confírmela con el comando show security ike. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Configurar IPsec

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de CLI.

Para configurar IPsec:

  1. Cree una propuesta IPsec.

  2. Cree la política de IPsec.

  3. Especifique la referencia de propuesta de IPsec.

  4. Especifique la puerta de enlace de ICR.

  5. Especifique la política de IPsec.

  6. Especifique la interfaz que se va a enlazar.

  7. Configure el túnel para que se establezca inmediatamente.

Resultados

Desde el modo de configuración, confírmela con el comando show security ipsec. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Configuración de políticas de seguridad

Configuración rápida de CLI

Para configurar rápidamente las políticas de seguridad para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de CLI.

Para configurar políticas de seguridad:

  1. Cree entradas de libreta de direcciones para las redes que se usarán en las directivas de seguridad.

  2. Cree una política de seguridad para permitir el tráfico desde la zona de confianza a la zona de no confianza para el tráfico a Internet.

  3. Cree una política de seguridad para permitir el tráfico desde el Host1 en la zona de confianza destinada al Host2 en la zona VPN.

  4. Cree una política de seguridad para permitir el tráfico desde el Host2 en la zona VPN al Host1 en la zona de confianza.

Resultados

Desde el modo de configuración, escriba los comandos show security address-book y show security policies para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Configurar TCP-MSS

Configuración rápida de CLI

Para configurar rápidamente TCP MSS para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de CLI.

Para configurar la información TCP-MSS:

  1. Configure la información de TCP-MSS.

Resultados

Desde el modo de configuración, confírmela con el comando show security flow. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de SRX2

Configuración rápida de CLI

Como referencia, se proporciona la configuración para SRX2.

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Verificación

Realice estas tareas para confirmar que la configuración funciona correctamente:

Verificar el estado de IKE

Propósito

Verifique el estado de ICR.

Acción

Desde el modo operativo, ingrese el comando show security ike security-associations. Después de obtener un número de índice desde el comando, utilice el comando show security ike security-associations index index_number detail.

Significado

El comando show security ike security-associations enumera todas las SA de ICR activas. Si no se enumera ninguna SA, hubo un problema con el establecimiento de ICR. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.

Si las SA aparecen en la lista, revise la siguiente información:

  • Índice: este valor es único para cada SA de IKE, que puede utilizar en el show security ike security-associations index detail comando para obtener más información acerca de la SA.

  • Dirección remota: compruebe que la dirección IP remota sea correcta.

  • Estado

    • UP: se estableció la SA de IKE.

    • DOWN: hubo un problema al establecer la SA de IKE.

  • Modo: verifica que se esté utilizando el modo correcto.

Compruebe que los siguientes elementos son correctos en su configuración:

  • Interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)

  • Parámetros de política de ICR

  • Información de claves precompartidas

  • Parámetros de propuesta (deben coincidir en ambos pares)

El comando show security ike security-associations index 1859340 detail enumera información adicional acerca de la asociación de seguridad con el número de índice 1859340:

  • Algoritmos de autenticación y cifrado utilizados

  • tiempo de vida útil

  • Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)

  • Información de funciones

    La solución de problemas se realiza de mejor manera en el mismo nivel que usa la función de respondedor.

  • Información del iniciador y del respondedor

  • Cantidad de SA de IPsec creadas

  • Cantidad de negociaciones en curso

Comprobar el estado de IPsec

Propósito

Verifique el estado de IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ipsec security-associations. Después de obtener un número de índice desde el comando, utilice el comando show security ipsec security-associations index index_number detail.

Significado

El resultado del comando show security ipsec security-associations muestra la siguiente información:

  • El número de identificación es 131074. Utilice este valor con el comando show security ipsec security-associations index para obtener más información acerca de esta SA en particular.

  • Existe un par SA IPsec que usa el puerto 500, lo que indica que no se implementó ningún recorrido TDR. (El recorrido TDR utiliza el puerto 4500 u otro puerto aleatorio de número alto.)

  • El SPI, la vida útil (en segundos) y los límites de uso (o tamaño de vida útil en KB) se muestran para ambas direcciones. El valor 3403/ unlim indica que la duración caduca en 3403 segundos y que no se ha especificado ningún tamaño de vida útil, lo que indica que es ilimitada. Los valores de vida útil pueden diferir, ya que IPsec no depende de ICR después de que la VPN esté activa.

  • La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna Mon. Si está habilitada la supervisión de VPN, U indica que la supervisión está activa y D indica que la supervisión está inactiva.

  • El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.

El resultado del comando show security ipsec security-associations index 131074 detail muestra la siguiente información:

  • La identidad local y la identidad remota constituyen el ID de proxy para la SA.

    Una de las causas más comunes de una falla de IPsec es una no coincidencia del ID de proxy. Si no aparece ninguna SA de IPsec, confirme que las propuestas de IPsec, incluida la configuración del ID de proxy, son correctas para ambos pares. Para VPN basadas en rutas, el ID de proxy predeterminado es local=0.0.0.0/0, remote=0.0.0.0/0 y service=any. Pueden producirse problemas con varias VPN basadas en rutas desde el mismo IP de par. En este caso, debe especificarse un ID de proxy único para cada SA de IPsec. Para algunos proveedores de terceros, el ID de proxy se debe especificar manualmente para que coincida.

  • Otra causa común de una falla de IPsec es no especificar el enlace de la interfaz ST. Si IPsec no puede completarse, compruebe el registro de kmd o establezca opciones de rastreo.

Probar el flujo de tráfico a través de la VPN

Propósito

Compruebe el flujo de tráfico a través de la VPN.

Acción

Utilice el comando del dispositivo Host1 para probar el ping flujo de tráfico al Host2.

Significado

Si el ping comando falla desde Host1, es posible que haya un problema con el enrutamiento, las políticas de seguridad, el host final o el cifrado y descifrado de los paquetes ESP.

Revisar estadísticas y errores para una asociación de seguridad IPsec

Propósito

Revise errores y contadores de encabezados de autenticación y ESP para una asociación de seguridad IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ipsec statistics index index_number utilizando el número de índice de la VPN cuyas estadísticas desea ver.

También puede utilizar el comando show security ipsec statistics para revisar las estadísticas y los errores de todas las SA.

Para borrar todas las estadísticas de IPsec, utilice el comando clear security ipsec statistics.

Significado

Si ve problemas de pérdida de paquetes en una VPN, ejecute el show security ipsec statistics comando o show security ipsec statistics detail varias veces para confirmar si los contadores de paquetes cifrados y descifrados se incrementan. Busque en la salida del comando cualquier contador de errores incremental.