IPsec

La página IPsec contiene dos pestañas (IPsec y L2TP), que permiten instalar y configurar los túneles IPsec y activar la compatibilidad con L2TP, respectivamente.

IPsec

Para activar L2TP en el dispositivo Panda GateDefender, el interruptor junto a la etiqueta Activar L2TP debe estar en verde . Si está en gris , haga clic en él para iniciar el servicio.

La pestaña IPsec contiene dos cuadros. El primero es Configuración de IPsec, que está relacionado con la elección del certificado y diversas opciones, también para fines de depuración. El segundo es Conexiones, que muestra todas las conexiones y permite gestionarlas.

IPsec, L2TP, y XAuth en resumen.

IPsec es una solución genérica VPN estandarizada, en la que las tareas de cifrado y autenticación se llevan a cabo en la capa 3 OSI como una extensión del protocolo IP. Por lo tanto, IPsec debe implementarse en la pila IP del kernel. Aunque IPsec es un protocolo estandarizado y es compatible con la mayor parte de los proveedores que implementan soluciones IPsec, la implementación real puede variar enormemente de un proveedor a otro, lo que a veces causa graves problemas de interoperabilidad.

Asimismo, la configuración y la administración de IPsec suelen resultar bastante difíciles debido a su complejidad y diseño, mientras que algunas situaciones en particular podrían ser imposibles de manejar, por ejemplo, cuando existe la necesidad de lidiar con NAT.

En comparación con IPsec, OpenVPN es más fácil de instalar, configurar y gestionar. Sin embargo, los dispositivos móviles dependen de IPsec, motivo por el que el dispositivo Panda GateDefender implementa una sencilla interfaz de administración para IPsec, compatible con distintos métodos de autenticación y también autenticación de dos factores cuando se utiliza junto con L2TP o XAuth.

De hecho, IPsec se utiliza para autenticar clientes (es decir, túneles) pero no usuarios, de modo que no puede haber más de un usuario utilizando un mismo túnel simultáneamente.

L2TP y XAuth añaden autenticación de usuario a IPsec, por lo que muchos clientes pueden conectarse al servidor mediante el mismo túnel cifrado y cada cliente se autentica por L2TP o XAuth.

Hay una opción adicional disponible cuando se utiliza XAuth que se denomina modo XAuth híbrido, y solo autentica el usuario.

Configuración de IPsec

En este cuadro pueden definirse algunas opciones generales de IPsec, en especial, dos de detección de extremo muerto, además de muchas opciones de depuración. Además, la configuración de los certificados usados en conexiones IPsec tunelizadas también se lleva a cabo aquí.

Conjunto de IP virtuales de Road Warrior

El intervalo de IP desde el cual recibirán su dirección IP todas las conexiones Road Warrior.

Retraso de ping (en segundos)

La cantidad de segundos entre dos pings sucesivos, utilizada para detectar si la conexión sigue activa.

Intervalo de tiempo de espera (en segundos), solo IKEv1

La cantidad máxima de segundos del intervalo de intercambio para el protocolo IKEv1.

Sugerencia:

IKEv2 no necesita un intervalo de tiempo de espera, ya que es capaz de determinar si el otro equipo no responde y las acciones que se llevarán acabo.

Configuración de certificado

La configuración y la gestión de certificados se lleva a cabo exactamente como en el caso del servidor OpenVPN (en Barra de menú ‣ VPN ‣ Servidor OpenVPN), en el que se explican todas las modalidades de administración.

Opciones de depuración

Las opciones de depuración son ajustes bastante avanzados y normalmente no necesarios, ya que solo incrementarán el número de eventos y mensajes registrados en el archivo de registro.

Conexiones

En esta tabla se muestran todas las conexiones IPsec ya configuradas con la información siguiente:

• Nombre. El nombre asignado a la conexión.
• Tipo. El tipo de túnel que se utiliza.
• Nombre común. El nombre del certificado usado para autenticar la conexión.
• Observaciones. Un comentario sobre la conexión.
• Estado. Si la conexión está Cerrada, Conectando o Establecida.
• Acciones. Las operaciones que pueden realizarse en cada túnel:
  • : la conexión está activa o no.
  • : modifica la configuración de la conexión.
  • : reinicia la conexión.
  • : muestra información detallada acerca de la conexión.
  • : elimina la conexión.

Sugerencia:

cuando se restablece una conexión desde el dispositivo Panda GateDefender, es necesario que el cliente vuelva a conectarse para establecer la conexión.

Tras hacer clic en Añadir nueva conexión, aparecerá un panel que contiene todas las opciones necesarias para configurar una nueva conexión de IPsec.

Nombre

El nombre de la conexión.

Observaciones

Un comentario sobre la conexión.

Tipo de conexión

Existen cuatro modalidades diferentes de conexión que se pueden elegir para el túnel IPsec:

• Host a red. El cliente que está conectándose al servidor IPsec a través el dispositivo Panda GateDefender es una única estación de trabajo remota, un único servidor remoto o un único recurso remoto.
• Red a red. El cliente es una subred entera. En otras palabras, la conexión IPsec se establece entre subredes remotas.
• Host a red L2TP. El cliente es un único dispositivo que también utiliza L2TP.
• Host a red XAuth. El cliente es un único dispositivo y la autenticación se lleva a cabo por XAuth.

Sugerencia:

los usuarios de Linux pueden obtener más información sobre XAuth leyendo la página del manual Xsecurity(7), también disponible públicamente en línea.

Las opciones disponibles para cada uno de ellos son básicamente las mismas, con solo una opción más disponible para las conexiones de red a red.

Tipo de autenticación

La opción seleccionada en el menú desplegable determina cómo se lleva a cabo la autenticación del cliente. Los valores disponibles son:

• Contraseña (PSK). El cliente proporcionará la contraseña especificada en el campo de texto Utilizar una clave compartida previamente situado a la derecha.
• El extremo es identificado por IPV4_ADDR, FQDN, USER_FQDN o DER_ASN1_DN en el campo ID remoto. El cliente se autentica con su dirección IP, con su nombre de dominio o con otra información exclusiva del túnel IPsec.
• Usar un certificado existente. Se utilizará el certificado seleccionado en el menú desplegable de la derecha.
• Generar un certificado nuevo. Se mostrarán opciones adicionales para crear un certificado nuevo.
• Cargar un certificado. Seleccione desde la estación de trabajo local un certificado para utilizarlo.
• Cargar una petición de certificado. Seleccione desde la estación de trabajo local una solicitud de certificado para obtener un certificado nuevo.
• XAuth híbrido. Disponible únicamente para conexiones Host a red XAuth. El usuario debe autenticarse, pero el túnel de cifrado, no.

ID local

Una cadena que identifica el cliente en la red local.

Interfaz

La interfaz a través de la cual se conecta el host.

Subredes locales

Las subredes locales a las que se podrá acceder desde el cliente.

Nota:

los dispositivos móviles con iOS no pueden conectarse correctamente mediante XAuth al dispositivo Panda GateDefender si este valor no está establecido. Por tanto, la subred especial 0.0.0.0/0 se añade automáticamente cuando el tipo de conexión es XAuth.

Sugerencia:

solo cuando se utiliza IKEv2 es posible añadir más de una subred, una por línea, dado que IKEv1 solo admite una subred.

ID remoto

El ID que identifica el host remoto de esta conexión.

Subred remota

Solamente está disponible para conexiones de red a red y especifica la subred remota.

Sugerencia:

si se utiliza IKEv2, se puede añadir más de una subred.

Dirección IP o host remoto

La dirección IP o FQDN del host remoto.

Nota:

cuando se indica un nombre de host en esta opción, debe coincidir con el ID local del lado remoto.

IP virtual de Road Warrior

La dirección IP especificada en el campo de texto se asignará al cliente remoto.

Sugerencia:

esta dirección IP debe pertenecer al grupo definido en la Configuración de IPsec más adelante.

Nota:

esta opción no está disponible ni para conexiones host a red L2TP, ya que L2TP se encarga de la asignación de direcciones IP a los clientes, ni para conexiones red a red.

Acción de detección de extremo muerto

La acción que se realizará si un extremo se desconecta. Las opciones disponibles en el menú desplegable son Limpiar, Mantener o Reiniciar el extremo.

Al hacer clic en la etiqueta Avanzado, estarán disponibles opciones adicionales para seleccionar y configurar diferentes tipos de algoritmo de cifrado. Para cada opción se pueden elegir muchos tipos de algoritmo.

Nota:

solo es necesario cambiar de algoritmo en caso que algún cliente remoto utilice un algoritmo dado y no pueda cambiarlo.

Cifrado IKE

Los métodos de cifrado que debería admitir IKE.

Integridad IKE

Los algoritmos que deberían admitirse para verificar la integridad de los paquetes.

Tipo de grupo IKE

El tipo de grupo IKE.

Duración de IKE

La cantidad de horas que son válidos los paquetes IKE.

Cifrado ESP

Los métodos de cifrado que debería admitir ESP.

Integridad ESP

Los algoritmos que deberían admitirse para verificar la integridad de los paquetes.

Tipo de grupo ESP

El tipo de grupo ESP.

Duración de ESP

La cantidad de horas que debería ser válida una clave ESP.

Negociación de compresión para la carga de red

Marque la casilla para permitir la compresión de la carga.

Véase también:

IKE se define en el RFC 5996, que también sustituye el RFC 2409 (IKEv1) y el RFC 4306 (IKEv2), más antiguos.

ESP se describe en el RFC 4303 (ESP) y el RFC 4305 (algoritmos de cifrado para ESP).

Cómo crear una VPN de red a red con IPsec utilizando la autenticación por certificado.

Situación:

• Firewall CoreFW - REDIP: 100.100.100.100, GREENIP: 10.10.10.1/24
• Firewall LocalFW - REDIP: 200.200.200.200, GREENIP: 192.168.0.1/24

Problema: conectar LocalFW a CoreFW utilizando IPsec.

Solución:

• Deben realizarse los siguientes pasos en CoreFW:

1. Vaya a Barra de menú ‣ VPN ‣ IPsec. Active IPsec y especifique 100.100.100.100 como nombre de host/IP de la VPN local.
2. Después de guardar, haga clic en el botón Crear certificado de host/root, salvo que ya se hayan generado, y compile el formulario.
3. Descargue el certificado de host y guárdelo como fw_a_cert.pem.
4. En el cuadro Estado y control de conexión, haga clic en el botón Añadir y, a continuación, seleccione Red a red. Se abre una página en la que aparecen dos cuadros.
5. En Configuración de la conexión escriba 200.200.200.200 en el campo Dirección IP o host remoto, 10.10.10.0/24 como Subred local y 192.168.0.0/24 como Subred remota.
6. Seleccione Crear un certificado en el cuadro Autenticación y compile el formulario. Asegúrese de establecer una contraseña.
7. Después de guardar, descargue el archivo PKCS12 y guárdelo como fw_a.p12.

• Deben realizarse los siguientes pasos en LocalFW:

1. Vaya a Barra de menú ‣ VPN ‣ IPsec. Active IPsec y especifique 200.200.200.200 como nombre de host/IP de la VPN local.
2. Después de guardar haga clic en el botón Crear certificado de host/root. Si ya se han generado, haga clic en Reiniciar para reiniciar los certificados anteriores.
3. En Crear certificado de host/root, no rellene ningún campo de la primera sección. En su lugar, cargue el archivo fw_a.p12 que ha guardado de CoreFW, introduzca la contraseña y haga clic en Subir archivo PKCS12.
4. En el cuadro Estado y control de conexión, haga clic en el botón Añadir y, a continuación, seleccione Red a red. Se abre una página en la que aparecen dos cuadros.
5. En Configuración de la conexión escriba 100.100.100.100 en el campo Dirección IP o host remoto, 192.168.0.0/24 como Subred local y 10.10.10.0/24 como Subred remota.
6. En el cuadro Autenticación, seleccione Cargar un certificado y cargue el archivo fw_a_cert.pem que ha creado en MainFW.

L2TP

L2TP, siglas de protocolo de túnel de capa dos, se describe en el RFC 2661.

Para activar L2TP en el dispositivo Panda GateDefender, el interruptor junto a la etiqueta Activar L2TP debe estar en verde. Si está en gris, haga clic en él para iniciar el servicio.

Las siguientes opciones se encuentran disponibles para configurar L2TP.

Zona

La zona hacia la que se dirigen las conexiones L2TP. En el menú desplegable solamente pueden elegirse las zonas activadas.

Dirección de inicio del conjunto de IP L2TP, Dirección final del conjunto de IP L2TP

El rango de IP del que los usuarios L2TP recibirán una dirección IP al conectarse al dispositivo Panda GateDefender.

Activar depuración

Marque esta casilla para permitir que L2TP genere registros más detallados.