PDF de programación - HOWTO: Cómo configurar redes VPN IPSec de oficina remota (gateway) a oficina remota (gateway)

HOWTO: Cómo configurar redes VPN IPSec de oficina

remota (gateway) a oficina remota (gateway)



Casos de uso para configurar VPN con GateDefender Integra

Panda Security desea que obtenga el máximo beneficio de sus unidades GateDefender Integra. Para ello,
le ofrece la información que necesite sobre las características y configuración del producto. Consulte
http://www.pandasecurity.com/ y http://www.pandasecurity.com/spain/enterprise/support/ para más
información.

El software descrito en este documento se entrega bajo un Acuerdo de Licencia y únicamente puede ser utilizado una vez aceptados
los términos del citado Acuerdo.

La tecnología antispam incluida en este producto pertenece a Mailshell. La tecnología de filtrado web incluida en este producto
pertenece a Cobión.

Aviso de Copyright

© Panda 2007. Todos los derechos reservados. Ni la documentación, ni los programas a los que en su caso acceda,
pueden copiarse, reproducirse, traducirse o reducirse a cualquier medio o soporte electrónico o legible sin el permiso
previo por escrito de Panda, C/ Buenos Aires 12, 48001 Bilbao (Vizcaya) ESPAÑA.

Marca Registrada

Panda Security™. TruPrevent es una marca registrada en la Oficina de Patentes y Marcas de EEUU. Windows Vista
y el logo de Windows son marcas o marcas registradas de Microsoft Corporation en los EEUU y/o otros países.
Otros nombres de productos son marcas registradas de sus respectivos propietarios.
© Panda 2007. Todos los derechos reservados.


Panda GateDefender Integra Página 1 de 23







ÍNDICE



1

1.1
1.2

IPSEC DE GATEWAY A GATEWAY .............................................................................. 3
ESCENARIO................................................................................................................3
CONFIGURACIÓN DEL GATEWAY A.....................................................................................5
1.2.1 Configuración de grupos de direcciones IP.............................................................5
1.2.2 Certificados CA y certificados locales de servidor.....................................................5
1.2.3 Políticas IKE.........................................................................................................8
1.2.4 Configuración de VPN IPSec en el gateway A..........................................................9
CONFIGURACIÓN DEL GATEWAY B................................................................................... 14
1.3.1 Configuración de grupos de direcciones IP...........................................................14
1.3.2 Certificados CA y certificados locales de servidor...................................................14
1.3.3 Configuración de VPN IPSec en el gateway B........................................................17
ESTABLECIMIENTO DE UNA CONEXIÓN VPN ....................................................................... 21
CONSIDERACIONES ADICIONALES ................................................................................... 22
COMPROBACIÓN DE LA CONFIGURACIÓN ........................................................................... 23

1.3

1.4
1.5
1.6



Convenciones utilizadas en este documento:

Iconos utilizados en esta documentación:



Nota. Aclaración que completa la información y aporta algún conocimiento de interés.

Aviso. Destaca la importancia de un concepto.

Consejo. Ideas que le ayudarán a sacar el máximo rendimiento a su programa.

Referencia. Otros puntos donde se ofrece más información que puede resultar de su interés.

Tipos de letra utilizados en esta documentación:



Negrita: Nombres de menús, opciones, botones, ventanas o cuadros de diálogo.

Código: Nombres de archivos, extensiones, carpetas, información de la línea de comandos
o archivos de configuración como, por ejemplo, scripts.

Cursiva: Nombres de opciones relacionadas con el sistema operativo y programas o
archivos que tienen nombre propio.



Panda GateDefender Integra Página 2 de 23





1



IPSec de gateway a gateway

(IP Secure) Protocolo de seguridad que permite el intercambio seguro de paquetes en la capa IP,
siendo una forma garantizada de proteger el enlace entre un dispositivo y la red. Ofrece integridad,
autenticación, control de acceso y confidencialidad para el envío de paquetes IP por Internet.

Panda GateDefender Integra incluye el sistema VPN para la creación de sus propias redes privadas
virtuales, ampliando el alcance de su red y asegurando la confidencialidad de sus conexiones.

El propósito de esta guía es detallar los pasos necesarios para la creación de una red privada virtual
(VPN) IPsec con Panda GateDefender Integra, utilizando para ello datos reales.

Nota: Se da por hecho que la unidad Panda GateDefender Integra se encuentra configurada, al menos
de forma básica, y funcionando. Si desea obtener información acerca de cómo instalar y configurar Panda
GateDefender Integra, consulte la Guía de Instalación.

Aviso: Panda GateDefender Integra ha de encontrarse funcionando en modo Router. De lo contrario, no

podrá utilizar el sistema VPN.



1.1 Escenario

La ilustración siguiente muestra un escenario típico de red VPN IPSec gateway-a-gateway (de
oficina remota-a-oficina remota):



Figure 6.1 VPN IPSec gateway-a-gateway

Panda GateDefender Integra Página 3 de 23







La IP local externa del gateway A será 62.14.249.65, mientras que el gateway B tendrá la IP
62.14.10.163

En la figura se aprecia que los interfaces eth0/WAN de ambos gateways tienen asignada una
dirección IP pública. Habitualmente, en las configuraciones reales más comunes, los interfaces
eth0/WAN tienen asignados una dirección IP privada, y es otro dispositivo con la opción NAT
habilitada situado entre el gateway VPN y la conexión ISP (por exemplo módem/router ADSL,
cable Módem, etc), el que dispone de una dirección IP pública (dinámica o estática).
Esta aproximación se ha llevado a cabo para simplificar este documento y centrar la atención en la
configuración de la VPN.
Para más detalles, se recomienda consultar howtos de configuración de SNAT, DNAT, mapeo de
puertos, etc…

Los hosts que pertenezcan a la subred local A (identificada como 192.168.10.0/24 en esta guía)
deben tener configurada la IP 192.168.10.1 de la LAN A de Integra como gateway a la subred
local B (identificada como 192.168.20.0/24 en esta guía). Lo mismo es válido para los hosts en
la subred local B; su gateway para la subred local A debe ser 192.168.20.1. La ruta puede
definirse como un gateway por defecto o una ruta implícita. Para el siguiente ejemplo supondremos
que la IP de la LAN de Integra es el gateway por defecto para los hosts correspondientes de las
subredes locales de Integra.

Para autenticar cada gateway pueden utilizarse claves estáticas o certificados (TLS).



Índice



Panda GateDefender Integra Página 4 de 23





1.2 Configuración del gateway A


1.2.1 Configuración de grupos de direcciones IP

El primer paso a la hora de configurar este tipo de VPN IPSec es definir un grupo de direcciones IP
que correspondan a la subred local IPSec (situada detrás de este gateway) y la subred remota
IPSec (situada detrás del gateway B). Los hosts de estas dos subredes podrán acceder a los hosts
del otro lado por medio del túnel IPSec creado entre los dos gateways.

Para definir las subredes local y remota IPSec, siga los pasos siguientes:

1. Acceda a la sección Definiciones del menú principal de Panda GateDefender Integra.
2. Seleccione Direcciones IP.
3. En la sección Grupos, haga clic en Añadir.

Deberá introducir un nombre descriptivo para el grupo (en este ejemplo usaremos ipsec
gwA subnet) en el campo Nombre, y un rango IP (192.168.10.0/24 en este ejemplo)
en el campo que aparece junto al botón de selección IP/Máscara.

4. Haga clic en Añadir IP y a continuación en Añadir para guardar los cambios.
5. Vuelva a hacer clic en Añadir. Esta vez, el nombre descriptivo para el grupo será ipsec
gwB subnet en este ejemplo y se utilizará el rango de direcciones IP 192.168.20.0/24.

6. Haga clic en Añadir IP y a continuación en Añadir para guardar los cambios.

IMPORTANTE: Recuerde que la subred local IPSec debe ser distinta de las subredes remotas IPSec o
de cualquier otra subred que esté ya en uso en cualquier otra configuración VPN (incluyendo otros tipos de
protocolo). En caso contrario sería imposible lograr el enrutamiento de la subred local A a la subred local B.



1.2.2 Certificados CA y certificados locales de servidor

Si se van a emplear certificados para la autenticación, necesitará importar el certificado CA público
que firmó el certificado del par remoto. También deberá importar el certificado local del gateway A
VPN de Integra.

Para importar el certificado CA, siga el procedimiento que se indica a continuación:

1. Vaya al apartado VPN del menú principal de la consola de Panda GateDefender Integra.
2. Seleccione Gestión de certificados digitales.
3. En el apartado Certificados CA, haga clic en Importar.



o
Introduzca el Nombre de certificado (en este ejemplo utilizaremos ca).
o Haga clic en Examinar… para seleccionar el certificado que quiere importar.
o Haga clic en Importar cuando haya elegido un certificado para importar.

Panda GateDefender Integra