Este documento le muestra cómo configurar al Asisitente de configuración de VPN en el RV160 y el RV260.
La tecnología se ha desarrollado y el negocio se dirige a menudo fuera de la oficina. Los dispositivos son más móviles y los empleados trabajan a menudo del hogar o mientras que viajan. Esto puede causar algunas vulnerabilidades de seguridad. Un Red privada virtual (VPN) es una gran manera de conectar a los trabajadores remotos con una red segura. Un VPN permite que un host remoto actúe como si fueran conectados con la red segura onsite.
Un VPN establece una conexión encriptada sobre una red menos segura como Internet. Asegura el nivel adecuado de Seguridad a los sistemas conectados. Un túnel se establece como red privada que pueda enviar los datos con seguridad usando las técnicas de encripción y autenticación del estándar de la industria de asegurar los datos enviados. Un VPN de acceso remoto confía generalmente en la seguridad de protocolos en Internet (IPSec) o el Secure Socket Layer (SSL) para asegurar la conexión.
Los VPN proporcionan el acceso de la capa 2 a la red objetivo; éstos requieren un Tunneling Protocol tal como Point-to-Point Tunneling Protocol (PPTP) o protocolo Layer 2 Tunneling Protocol (L2TP) que se ejecuta a través de la base conexión IPSec. El IPSec VPN soporta el VPN de sitio a sitio para un túnel del Gateway al Gateway. Por ejemplo, un usuario puede configurar el túnel VPN en un sitio secundario para conectar con el router en el sitio corporativo, de modo que el sitio secundario pueda acceder con seguridad la red corporativa. El IPSec VPN también soporta el cliente-a-servidor VPN para el túnel del host-a-gateway. El cliente al servidor VPN es útil al conectar de Laptop/PC del hogar con una red corporativa a través del servidor VPN.
Los soportes para router de las RV160 Series 10 túneles y los soportes para router de las RV260 Series 20 túneles. El Asisitente de configuración de VPN dirige al usuario al configurar una conexión segura para IPSec sitio a sitio un túnel. Esto simplifica la configuración evitando el complejo y los parámetros optativos, así que cualquier usuario puede configurar el túnel IPsec en un rápido y una manera eficiente.
· RV160
· RV260
· 1.0.0.13
Paso 1. Registro en la página de configuración de la red en su router local.
Nota: Referiremos al router local como el router A y el router remoto como router B. En este documento, utilizaremos dos RV160 para demostrar al Asisitente de configuración de VPN.
Paso 2. Navegue a VPN > Asisitente de configuración de VPN.
Paso 3. En la sección de la introducción, ingrese un nombre de la conexión en el ingresar un campo de nombre de la conexión. Ingresamos en HomeOffice como nuestro nombre de la conexión.
Paso 4. En el campo de la interfaz, seleccione una interfaz de la lista desplegable si usted está utilizando un RV260. El RV160 tiene solamente un link PÁLIDO así que usted no podrá seleccionar una interfaz de la lista desplegable. El tecleo al lado de procede a la sección de las configuraciones del router remoto.
Paso 5. Seleccione un tipo de conexión remota de la lista desplegable. Seleccione IP estático o FQDN (Nombre de dominio totalmente calificado (FQDN)) y después ingrese el WAN IP Address o el FQDN del gateway que usted desea conectar en el campo de dirección remota. En este ejemplo, IP estático fue seleccionado y el WAN IP Address del router remoto (ingresaron al router B). Entonces haga clic al lado del movimiento a la siguiente sección.
Paso 6. En la sección de la red local y remota, bajo selección del tráfico local, seleccione el IP local (subred, solo, o ninguno) de la lista desplegable. Si usted selecciona la subred, ingrese el IP Address y a la máscara de subred de la subred. Si usted selecciona solo, ingrese un IP Address. Si ninguno fue seleccionado, vaya al siguiente paso a configurar la selección remota del tráfico.
Paso 7. En la selección remota del tráfico, seleccione el IP remoto (subred, solo, o ninguno) de la lista desplegable. Si usted selecciona la subred, ingrese el IP Address de la subred y a la máscara de subred del router remoto (router B). Si usted selecciona solo, ingrese el IP Address. Entonces haga clic al lado de la configuración la sección del perfil.
Nota: Si usted ha seleccionado ningunos para la selección del tráfico local, después usted debe seleccionar la subred o escoger para la selección remota del tráfico.
Paso 8. En la sección del perfil, seleccione un nombre para el perfil de ipsec de la lista desplegable. Para esta demostración, el nuevo-perfil fue seleccionado como el perfil de ipsec.
Paso 9. Elija IKEv1 (versión del intercambio de claves de Internet 1) o IKEv2 (versión del intercambio de claves de Internet 2) como su versión IKE. El IKE es un protocolo híbrido que implementa el intercambio de claves del Oakley y el intercambio de claves de Skeme dentro del marco del Internet Security Association and Key Management Protocol (ISAKMP). El IKE proporciona la autenticación de los peeres IPSec, negocia las claves del IPSec, y negocia las asociaciones de seguridad IPSec. IKEv2 es más eficiente porque toma menos paquetes para hacer el intercambio de claves y soporta más opciones de autenticación, mientras que IKEv1 hace solamente la clave compartida y la autenticación basada certificado. En este ejemplo, IKEv1 fue seleccionado como nuestra versión IKE.
Nota: Si sus soportes de dispositivo IKEv2 entonces él se recomiendan para utilizar IKEv2. Si sus dispositivos no soportan IKEv2 después utilizan IKEv1. Ambo Routers (local y remoto) necesita utilizar la misma versión y los ajustes de seguridad IKE.
Paso 10. En la fase 1 las opciones seccionan, seleccionan un grupo DH (Diffie Hellman) (group2 – 1024 mordieron o agrupan 5 - 1536 mordidos) de la lista desplegable. El DH es un Key Exchange Protocol, con dos grupos de diversas longitudes de clave primeras: El group2 tiene hasta 1,024 bits, y el grupo 5 tiene hasta 1,536 bits. Utilizaremos el group2 – 1024 mordidos para esta demostración.
Nota: Para una velocidad más rápida y una Seguridad más baja, elija el group2. Para más despacio y la mayor seguridad, elija el grupo 5. que el group2 se selecciona por abandono.
Paso 11 Seleccione una opción de encripción (3DES, AES-128, AES-192, o AES-256) de la lista desplegable. Este método determina el algoritmo usado para cifrar o para desencriptar los paquetes de la asociación de seguridad y del Key Management Protocol del Encapsulating Security Payload (ESP) /Internet (ISAKMP). La encripción de DES de las aplicaciones del Estándar de triple cifrado de datos (3DES) tres veces pero ahora es un algoritmo de la herencia. Esto significa que debe ser utilizada solamente cuando no hay mejores alternativas puesto que todavía proporciona un nivel de seguridad marginal pero aceptable. Los usuarios deben utilizarlo solamente si ha requerido para la compatibilidad hacia atrás pues es vulnerable a algunos “ataques de la colisión del bloque”. El Advanced Encryption Standard (AES) es un algoritmo criptográfico que se diseña para ser más seguro que el DES. El AES utiliza un tamaño de clave más grande que se asegure de que el único acercamiento sabido para desencriptar un mensaje esté para que un intruso intente cada clave posible. Se recomienda para utilizar el AES en vez del 3DES. En este ejemplo, utilizaremos el AES-192 como nuestra opción de encripción.
Nota: Aquí están algunos recursos adicionales que pueden ayudar: Configurar directivo de seguridad para los VPN con el IPSec y el cifrado de la última generación.
Paso 12. El método de autentificación determina cómo se validan los paquetes de la encabezado del protocolo del Encapsulating Security Payload (ESP). El MD5 es un algoritmo de troceo unidireccional que presenta una publicación del 128-bit. El SHA1 es un algoritmo de troceo unidireccional que presenta una publicación del 160-bit mientras que SHA2-256 presenta una publicación del 256-bit. Se recomienda SHA2-256 porque es más seguro. Aseegurese que los ambos extremos del túnel VPN utilizan el mismo método de autentificación. Seleccione una autenticación (MD5, SHA1, o SHA2-256). SHA2-256 fue seleccionado para este ejemplo.
Paso 13. El curso de la vida SA (Sec) le dice que la cantidad de tiempo, en los segundos, IKE SA es activa en esta fase. Negocian a una nueva asociación de seguridad (SA) antes de que el curso de la vida expire para asegurarse de que un nuevo SA está listo para ser utilizado cuando expira el viejo. El valor por defecto es 28800 y el rango es a partir el 120 a 86400. Utilizaremos el valor predeterminado de 28800 segundos como nuestro curso de la vida SA para la fase I.
Nota: Se recomienda que su curso de la vida SA en la fase I es más largo que su curso de la vida de la fase II SA. Si usted hace su fase I más corta que la fase II, después usted tendrá que renegociar el túnel hacia adelante y hacia atrás con frecuencia en comparación con el túnel de los datos. El túnel de los datos es qué necesita más Seguridad así que es mejor tener el curso de la vida en la fase II a ser más corto que la fase I.
Paso 14. Ingrese en la clave previamente compartida para utilizar para autenticar al par alejado IKE. Usted puede ingresar hasta 30 caracteres o valores hexadecimales del teclado, tales como My_@123 o 4d795f40313233. Los ambos extremos del túnel VPN deben utilizar la misma clave previamente compartida.
Nota: Recomendamos que usted cambia la clave previamente compartida periódicamente para maximizar la seguridad VPN.
Paso 15. En las opciones de la fase II seccione, seleccione un protocolo de la lista desplegable.
· ESP – Seleccione el ESP para la encripción de datos y ingrese el cifrado.
· AH – Seleccione esto para la integridad de los datos en las situaciones donde no están secretos los datos pero debe ser autenticado.
Paso 16. Seleccione una opción de encripción (3DES, AES-128, AES-192, o AES-256) de la lista desplegable. Este método determina el algoritmo usado para cifrar o para desencriptar los paquetes de la asociación de seguridad y del Key Management Protocol del Encapsulating Security Payload (ESP) /Internet (ISAKMP). La encripción de DES de las aplicaciones del Estándar de triple cifrado de datos (3DES) tres veces pero ahora es un algoritmo de la herencia. Esto significa que debe ser utilizada solamente cuando no hay mejores alternativas puesto que todavía proporciona un nivel de seguridad marginal pero aceptable. Los usuarios deben utilizarlo solamente si ha requerido para la compatibilidad hacia atrás pues es vulnerable a algunos “ataques de la colisión del bloque”. El Advanced Encryption Standard (AES) es un algoritmo criptográfico que se diseña para ser más seguro que el DES. El AES utiliza un tamaño de clave más grande que se asegure de que el único acercamiento sabido para desencriptar un mensaje esté para que un intruso intente cada clave posible. Se recomienda para utilizar el AES en vez del 3DES. En este ejemplo, utilizaremos el AES-192 como nuestra opción de encripción.
Nota: Aquí están algunos recursos adicionales que pueden ayudar: Configurar directivo de seguridad para los VPN con el IPSec y el cifrado de la última generación.
Paso 17. El método de autentificación determina cómo se validan los paquetes de la encabezado del protocolo del Encapsulating Security Payload (ESP). El MD5 es un algoritmo de troceo unidireccional que presenta una publicación del 128-bit. El SHA1 es un algoritmo de troceo unidireccional que presenta una publicación del 160-bit mientras que SHA2-256 presenta una publicación del 256-bit. Se recomienda SHA2-256 porque es más seguro. Aseegurese que los ambos extremos del túnel VPN utilizan el mismo método de autentificación. Seleccione una autenticación (MD5, SHA1, o SHA2-256). SHA2-256 fue seleccionado para este ejemplo.
Paso 18. Ingrese en el curso de la vida SA (Sec) que es la cantidad de tiempo, en los segundos, que un túnel VPN (IPSec SA) es activo en esta fase. El valor predeterminado para la fase 2 es 3600 segundos.
Paso 19. Cuando se habilita el Confidencialidad directa perfecta (PFS), la negociación de la fase 2 IKE genera el nuevo material clave para el cifrado y la autenticación del tráfico IPSec. La perfecta reserva hacia adelante se utiliza para mejorar la Seguridad de las comunicaciones transmitidas a través de Internet usando el Cifrado de clave pública. Marque el cuadro para habilitar esta característica, o desmarque el cuadro para inhabilitar esta característica. Se recomienda esta característica. Si está marcado, seleccione a un grupo DH. En este group2 del ejemplo – se utiliza el bit 1024.
Paso 20. En la salvaguardia como nuevo perfil, ingrese un nombre para el nuevo perfil que usted acaba de crear. El tecleo al lado de considera el resumen de su configuración VPN.
Paso 21. Verifique la información y después haga clic someten.
En el router remoto, usted necesitaría configurar los mismos ajustes de seguridad que su router local sino utilizar la dirección IP del router local como el tráfico remoto.
Paso 1. Registro en la página de configuración de la red en su router remoto (el router B) y navega a VPN > Asisitente de configuración de VPN.
Paso 2. Ingrese un nombre de la conexión y elija la interfaz que será utilizada para el VPN si usted está utilizando un RV260. El RV160 tiene solamente un link PÁLIDO así que usted no podrá seleccionar una interfaz del descenso-abajo. Entonces haga clic al lado de continúan.
Paso 3. En las configuraciones del router remoto, seleccione el tipo de conexión remota y después ingrese el WAN IP Address del router A. Entonces haga clic al lado de continúan a la siguiente sección.
Paso 4. Seleccione el tráfico local y remoto. Si usted ha seleccionado la subred en el campo alejado de la selección del tráfico, ingrese en la subred del router A. del IP Address privado. Entonces haga clic al lado de la configuración la sección del perfil.
Paso 5. En la sección del perfil, seleccione los mismos ajustes de seguridad que el router A. También hemos ingresado la misma clave previamente compartida que el router A. Entonces haga clic después para ir a la página de resumen.
Organice las opciones I:
Opciones de la fase II:
Paso 6. En la página de resumen, verifique que la información que usted acaba de configurar esté correcta. Entonces haga clic someten para crear su VPN de sitio a sitio.
Nota: Todas las configuraciones que el router está utilizando actualmente están en el archivo de configuración corriente que es volátil y no se conserva entre las reinicializaciones. Para conservar la configuración entre las reinicializaciones, aseegurese le copiar el archivo de configuración corriente al archivo de configuración de inicio después de que usted haya completado todos sus cambios. Para hacer esto, haga clic el botón Save Button que aparece en la cima de su página o navegue a la administración > a la administración de la configuración. Entonces, aseegurese su fuente es configuración corriente y el destino es configuración de inicio. Haga clic en Apply (Aplicar).
Usted debe haber configurado con éxito un VPN de sitio a sitio usando el Asisitente de configuración de VPN. Siga los pasos abajo para verificar que su VPN de sitio a sitio está conectado.
Paso 1. Para verificar que se haya establecido su conexión, usted debe ver un estatus conectado cuando usted navega a VPN > IPSec VPN > sitio a localizar.
Paso 2. Navegue al estatus y a las estadísticas > al estado del VPN y aseegurese que el túnel del sitio a localizar está habilitado y SUBA.