Configurando sitios con conexiones IPsec

Configurar sitios con conexiones IPsec

Puede usar túneles IPsec para conectar sitios y las redes internas a la nube de Cato y a redes remotas. Generalmente, los sitios con conexiones IPsec se utilizan para:

  • Sitios que están en una nube pública como AWS y Azure
  • Sitios para oficinas que utilizan un firewall de terceros

El Cato Cloud soporta conexiones IPsec para IKEv1 y IKEv2. Recomendamos que use IKEv2, sin embargo, algunas tecnologías solo soportan IKEv1.

Para los dispositivos Cisco ASA, existe una incompatibilidad conocida con los sitios Cato IKEv2, consulte Configurar Sitios IPsec IKEv2.

Para tráfico FTP, Cato recomienda configurar el servidor FTP con un tiempo de espera de conexión de 30 segundos o más.

Selección del tipo de conexión IKEv1 IPsec

El tipo de conexión IPsec IKEv1 es iniciado por Cato. El Cato Cloud es responsable de crear la conexión IPsec con el sitio. Si la conexión se cae, entonces Cato Cloud intenta restablecerla

Configurar el rango nativo

El rango nativo para un sitio es la dirección IPv4 (y CIDR) para la red LAN principal que está detrás del dispositivo firewall o router.

Puedes configurar los ajustes de rango nativo en Red > <sitio> > Configuración del sitio > Redes. También puede usar esta sección para configurar rangos de red adicionales para el sitio.

Configurar los túneles VPN

Los sitios IPsec soportan un túnel VPN primario y un opcional secundario. Puede configurar cada túnel para conectarse a un PoP diferente para proporcionar resiliencia. Sin embargo, a diferencia de los sockets Cato, las conexiones IPsec no se conectan automáticamente a diferentes PoPs si hay un problema. Sólo pueden conectarse a la dirección IP de destino que está configurada para cada túnel.

Nota

IMPORTANTE: 

  • Recomendamos encarecidamente que configures un túnel secundario (con diferentes IP públicas de Cato) para alta disponibilidad. De lo contrario, existe el riesgo de que el sitio pueda perder conectividad con el Cato Cloud.
  • Cato realiza mantenimiento periódico en sus PoPs, lo cual puede resultar en que tanto el túnel VPN primario como el secundario sean inaccesibles durante la misma ventana de mantenimiento. Para evitar este riesgo y asegurar la resiliencia, por favor contacta Soporte para ayudarte a garantizar que los túneles del sitio utilicen PoPs con horarios de mantenimiento separados.

Para sitios que usan IKEv1, hay tipos de servicio preconfigurados para AWS y Azure.

  • IP de Cato (Salida) para los túneles Primario y Secundario - Las direcciones IP de origen son las direcciones IP del PoP que inician el túnel IPsec. Selecciona la dirección IP disponible para el PoP. Si necesitas más direcciones IP, usa la opción Configuración de asignación de IP para definir otras direcciones IP.
  • IP del Sitio para los túneles Primario y Secundario - Las direcciones IP para el sitio que se utilizan para los túneles VPN.
  • Ancho de banda - Puedes usar la Aplicación de Gestión de Cato para controlar el máximo ancho de banda ascendente y descendente desde la nube de Cato a cada sitio. Si no deseas configurar un valor específico de ancho de banda para un sitio, recomendamos que uses el ancho de banda actual del ISP o según tu licencia de Cato Networks.
  • IPs privadas - Las direcciones IP que están dentro del túnel VPN que se utilizan para configurar el enrutamiento dinámico BGP para un sitio.
  • PSK Primario y Secundario - Las claves precompartidas públicas (PSKs) para los túneles VPN.

Nota

Nota: Puede opcionalmente usar la misma dirección IP asignada para uno o más sitios IPsec siempre que la IP del sitio sea diferente para cada sitio. Cato recomienda usar diferentes IPs asignadas para cada sitio.

Configurar enrutamiento para IKEv1

Los sitios IPsec IKEv1 tienen la opción de seleccionar las opciones de Enrutamiento para el túnel VPN Fase II:

  • Implícito - Se utiliza un único túnel para dirigir todo el tráfico interno LAN del sitio a las direcciones IP remotas.
  • Específico - En el campo Rangos de Red, define los rangos IP remotos del otro lado del túnel IPsec. Esto crea una malla completa entre los rangos IP local y remoto.

Configuración de IKEv2

Los sitios IPsec IKEv2 tienen estas configuraciones adicionales que puede configurar:

  • Iniciar Conexión por Cato - Puedes configurar quién inicia la conexión del túnel VPN, la nube de Cato o el firewall. Por defecto, esta característica está habilitada para que la nube de Cato inicie la conexión IPsec y minimice el tiempo de inactividad.
  • Rangos de Red - Para conexiones IPsec con un lado remoto que tiene SA (Asociaciones de Seguridad) definidas para este túnel, en Rangos de Red, ingrese los rangos IP remotos (típicamente redes de otros sitios) para las SA en este formato <etiqueta:Rango de IP>.

Nota

Nota: Recomendamos encarecidamente que use la configuración predeterminada y habilite la función Iniciar Conexión por Cato.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 4 de 7

0 comentarios