El objetivo de este documento es mostrarle cómo configurar los parámetros avanzados de VPN de sitio a sitio y la conmutación por fallas en el RV160 y el RV260.
Una red privada virtual (VPN) es una forma excepcional de conectar a los trabajadores remotos a una red segura. Una VPN permite que un host remoto actúe como si estuviera conectado a la red segura in situ. En una VPN de sitio a sitio, el router local en una ubicación se conecta a un router remoto a través de un túnel VPN. Este túnel encapsula los datos de forma segura mediante técnicas de cifrado y autenticación estándar del sector para proteger los datos enviados. Se debe realizar una configuración idéntica en ambos lados de la conexión para establecer una conexión VPN de sitio a sitio correcta. La configuración avanzada de VPN de sitio a sitio proporciona la flexibilidad necesaria para configurar configuraciones opcionales para el túnel VPN.
La conmutación por fallas es una función potente que asegura una conexión constante entre estos dos sitios. Esto es útil cuando la tolerancia a fallos es importante. Una conmutación por fallas ocurre cuando el router primario está inactivo. En este punto, un router secundario o de respaldo tomará el control y proporcionará una conexión. Esto ayudará a evitar un único punto de fallo.
· RV160
· RV260
·1.0.00.13
Antes de configurar los parámetros avanzados y la conmutación por fallas para VPN de sitio a sitio en el RV160 y el RV260, deberá configurar el perfil IPsec y la VPN de sitio a sitio en su router local y remoto. A continuación se muestra una lista de artículos que pueden ayudarle a configurarlos. Puede utilizar el asistente de configuración de VPN, que le ayudará a configurar tanto el perfil de IPsec como la VPN de sitio a sitio, o bien puede configurarlos por separado y seguir los dos documentos que se proporcionan a continuación.
1. Configuración del Asistente de Configuración de VPN en el RV160 y RV260
O bien
1. Configuración de perfiles IPSec (modo de codificación automática) en el RV160 y el RV260 (opcional)
2. Configuración de VPN de sitio a sitio en RV160 y RV260
Los parámetros avanzados deben configurarse de la misma manera en ambos lados de la conexión VPN.
Paso 1. Inicie sesión en la utilidad de configuración web.
Paso 2. Vaya a VPN > IPSec VPN > Sitio a Sitio.
Paso 3. Active la casilla de verificación de la conexión que desea editar. A continuación, presione el icono lápiz y papel para editar la conexión. En este ejemplo, se selecciona la conexión denominada HomeOffice.
Paso 4. Haga clic en la pestaña Advanced Settings.
Paso 5. Marque la casilla de verificación Compress (Support IP Payload Compression Protocol (IPComp)) para permitir que el router proponga la compresión cuando inicie una conexión. Este protocolo reduce el tamaño de los datagramas IP. Si el respondedor rechaza esta propuesta, entonces el router no implementa la compresión. Cuando el router es el respondedor, acepta la compresión, incluso si la compresión no está habilitada. Si activa esta función para este router, deberá habilitarla en el router remoto (el otro extremo del túnel).
Paso 6. Los mensajes de difusión se utilizan para la resolución de nombres en redes de Windows para identificar recursos como ordenadores, impresoras y servidores de archivos. Estos mensajes son utilizados por algunas aplicaciones de software y funciones de Windows como Entorno de red. El tráfico de broadcast LAN normalmente no se reenvía a través de un túnel VPN. Sin embargo, puede marcar esta casilla para permitir que los broadcasts de NetBIOS desde un extremo del túnel se retransmitan al otro extremo. Marque la casilla de verificación NetBIOS Broadcast para activarla.
Paso 7. Marque la casilla de verificación Mantener activo para permitir que el router intente restablecer la conexión VPN en intervalos regulares de tiempo. Ingrese el número de segundos para establecer el intervalo de monitoreo de mantenimiento activo en el campo Intervalo de monitoreo de mantener activo. El intervalo es de 10-999 segundos.
Paso 8. Marque Dead Peer Detection (DPD) Enabled para activar DPD. Envía mensajes HELLO/ACK periódicos para verificar el estado del túnel VPN. La opción DPD debe estar habilitada en ambos extremos del túnel VPN. Especifique el intervalo entre los mensajes HELLO/ACK en el campo Intervalo introduciendo lo siguiente:
· Tiempo de retraso: introduzca el tiempo de retraso en segundos entre cada mensaje Hello. El intervalo es de 10 a 300 segundos y el valor predeterminado es 10.
· Tiempo de espera de detección: introduzca el tiempo de espera en segundos para declarar que el par está muerto. El intervalo es de 30 a 1800 segundos.
Acción de DPD ·: acción que se debe realizar después del tiempo de espera de DPD. Seleccione Clear o Restart en la lista desplegable.
Paso 9. Verifique Extended Authentication si desea habilitar la autenticación extendida. Esto proporcionará un nivel adicional de autenticación que requerirá que los usuarios remotos introduzcan claves en sus credenciales antes de que se les conceda acceso a la VPN. Para que funcione la autenticación ampliada, el sitio principal debe utilizar la autenticación de grupo y el sitio remoto debe utilizar la autenticación de usuario. En los siguientes pasos, configuraremos el sitio principal para utilizar la autenticación de grupo.
Nota: Se recomienda configurar cliente a sitio para la autenticación de usuario en lugar de la autenticación extendida.
Si aún no ha creado un grupo de usuarios para su sitio principal, haga clic en el enlace para obtener información sobre cómo crear un grupo de usuarios situado en este artículo: Creación del Grupo de Usuarios para la Autenticación Extendida.
Si desea obtener información sobre cómo crear cuentas de usuario, haga clic en el enlace que se redirigirá a la sección: Creación de una Cuenta de Usuario para la Autenticación Extendida.
Paso 10. Seleccione Group como la autenticación extendida y presione el icono más para agregar un nuevo grupo. En la lista desplegable, elija el grupo que desea utilizar para la autenticación. Asegúrese de que los usuarios que desea estén en ese grupo.
Paso 11. En los siguientes pasos, configuraremos el router remoto para utilizar la autenticación de usuario. En el router remoto, marque la casilla de verificación Autenticación extendida para habilitar la autenticación extendida.
Paso 12. Seleccione User como la autenticación extendida. Ingrese el Nombre de Usuario y la Contraseña del Usuario en el grupo que fue seleccionado en el router principal. En este ejemplo, VPNuser y CiscoTest123! se ha introducido.
Paso 13. Marque Dividir DNS para activarlo. Esto divide el servidor DNS (sistema de nombres de dominio) y otras solicitudes DNS en otro servidor DNS, en función de los nombres de dominio especificados. Cuando el router recibe una solicitud de resolución de dirección, inspecciona el nombre de dominio. Si el nombre de dominio coincide con un nombre de dominio en la configuración de DNS dividido, pasa la solicitud al servidor DNS especificado dentro de la red del servidor VPN. De lo contrario, la solicitud se pasa al servidor DNS especificado en la configuración de la interfaz WAN (es decir, el servidor DNS ISP).
El DNS dividido se divide en dos zonas para el mismo dominio. Uno para ser utilizado por la red interna y el otro para la red externa. El DNS dividido dirige los hosts internos a un DNS interno para la resolución de nombres y los hosts externos se dirigen a un DNS externo para la resolución de nombres.
Si ha activado Dividir DNS, introduzca la dirección IP del servidor DNS que se utilizará para los dominios especificados. Opcionalmente, especifique un servidor DNS secundario en el campo Servidor DNS 2. En el Nombre de Dominio 1-6, ingrese los nombres de dominio para los servidores DNS. Las solicitudes de los dominios se pasan al servidor DNS especificado.
Paso 14. Haga clic en Apply (Aplicar).
Paso 1. Vaya a Configuración del sistema > Grupos de usuarios.
Paso 2. Haga clic en el icono más para agregar un nuevo grupo de usuarios.
Paso 3. Ingrese un nombre en el campo Group Name y luego presione Apply. En este ejemplo, se ingresó SiteGroupTest como nombre de grupo.
Nota importante: Deje la cuenta de administrador predeterminada en el grupo de administradores y cree una nueva cuenta de usuario y un nuevo grupo de usuarios para Shrew Soft. Si mueve la cuenta de administrador a un grupo diferente, evitará iniciar sesión en el router.
Paso 1. Vaya a Configuración del sistema > Cuentas de usuario.
Paso 2. Desplácese hacia abajo en la página hasta Usuarios locales. Haga clic en el icono más para agregar un nuevo usuario local.
Paso 3. Se abre la página Agregar cuenta de usuario. Ingrese un nombre de usuario en el campo Nombre de usuario. En este ejemplo, se ingresó VPNuser como nombre de usuario.
Paso 4. Ingrese una contraseña en el campo New Password y Confirm Password. En este ejemplo, CiscoTest123! se ha introducido.
Nota: Esta contraseña se utilizó como ejemplo, pero se recomienda una contraseña más compleja.
Paso 5. Seleccione un grupo y, a continuación, pulse Aplicar para crear su nueva cuenta de usuario. En este ejemplo, se seleccionó SiteGroupTest como el grupo.
Para habilitar la conmutación por fallas de sitio a sitio, la función de mantenimiento debe estar habilitada en la pestaña Advanced Settings.
Paso 1. Haga clic en la pestaña Failover para configurar el failover.
Paso 2. Marque Tunnel Backup para activarla. Cuando el túnel principal está inactivo, esta función permite al router restablecer el túnel VPN mediante una dirección IP alternativa para el par remoto o una WAN local alternativa. Esta función sólo está disponible si está activada la función DPD.
Paso 3. En el campo Remote Backup IP Address (Dirección IP de copia de seguridad remota), introduzca la dirección IP del par remoto o vuelva a introducir la dirección IP de WAN que ya estaba configurada para el gateway remoto. A continuación, seleccione la interfaz local (WAN1, WAN2, USB1 o USB2) en la lista desplegable.
Paso 4. Haga clic en Apply (Aplicar).
Ahora debería haber configurado correctamente los parámetros avanzados y la conmutación por fallas para su VPN de sitio a sitio en el RV160 y el RV260. La VPN de sitio a sitio debe estar conectada.