Configurando sitios con conexiones IPsec

Configurando sitios con conexiones IPsec

Puede usar túneles IPsec para conectar sitios y las redes internas a la nube de Cato y a redes remotas. Generalmente, los sitios con conexiones IPsec se utilizan para:

  • Sitios que están en una nube pública como AWS y Azure

  • Sitios para oficinas que utilizan un firewall de terceros

El Cato Cloud soporta conexiones IPsec para IKEv1 y IKEv2. Recomendamos que use IKEv2, sin embargo, algunas tecnologías solo soportan IKEv1.

Para dispositivos Cisco ASA, hay una incompatibilidad conocida con sitios Cato IKEv2, consulte Configurando sitios IPsec IKEv2.

Para tráfico FTP, Cato recomienda configurar el servidor FTP con un tiempo de espera de conexión de 30 segundos o más.

Seleccionando el tipo de conexión IPsec IKEv1

El tipo de conexión IPsec IKEv1 es iniciado por Cato. El Cato Cloud es responsable de crear la conexión IPsec con el sitio. Si la conexión se cae, entonces Cato Cloud intenta restablecerla

Configurando el rango nativo

El rango nativo para un sitio es la dirección IPv4 (y CIDR) para la red LAN principal que está detrás del dispositivo firewall o router.

Puede configurar los ajustes del rango nativo en Red > <sitio> > Configuración del sitio > Redes. También puede usar esta sección para configurar rangos de red adicionales para el sitio.

Configurando los túneles VPN

Los sitios IPsec soportan un túnel VPN primario y un opcional secundario. Puede configurar cada túnel para conectarse a un PoP diferente para proporcionar resiliencia. Sin embargo, a diferencia de los sockets Cato, las conexiones IPsec no se conectan automáticamente a diferentes PoPs si hay un problema. Sólo pueden conectarse a la dirección IP de destino que está configurada para cada túnel.

Nota

IMPORTANTE: Recomendamos encarecidamente que configure un túnel secundario (con IPs públicas de Cato diferentes) para alta disponibilidad. De lo contrario, existe el riesgo de que el sitio pueda perder conectividad con el Cato Cloud.

Para sitios que usan IKEv1, hay tipos de servicio preconfigurados para AWS y Azure.

  • Cato IP (Egress) para los túneles primario y secundario - Las direcciones IP de origen son las direcciones IP del PoP que inician el túnel IPsec. Seleccione la dirección IP disponible para el PoP. Si necesita más direcciones IP, use la opción Ajustes de asignación IP para definir otras direcciones IP.

  • IP del sitio para los túneles primario y secundario - Las direcciones IP para el sitio que se usan para los túneles VPN.

  • Anchura de banda - Puede usar la aplicación de gestión de Cato para controlar la anchura máxima de banda de subida y bajada desde el Cato Cloud a cada sitio. Si no desea configurar un valor de anchura de banda específico para un sitio, recomendamos que use la anchura de banda actual del ISP o según su licencia de Cato Networks.

  • IPs privadas - Las direcciones IP que están dentro del túnel VPN que se usan para configurar el enrutamiento dinámico BGP para un sitio.

  • PSK primario y secundario - Las claves pre-compartidas públicas (PSKs) para los túneles VPN.

Nota

Nota: Puede opcionalmente usar la misma dirección IP asignada para uno o más sitios IPsec siempre que la IP del sitio sea diferente para cada sitio. Cato recomienda usar diferentes IPs asignadas para cada sitio.

Configurando el enrutamiento para IKEv1

Los sitios IPsec IKEv1 tienen la opción de seleccionar las opciones de Enrutamiento para el túnel VPN Fase II:

  • Implícito - Un único túnel se usa para enrutar todo el tráfico de LAN interno para el sitio a las direcciones IP remotas.

  • Específico - En el campo Rangos de red, defina los rangos de IP de origen para el tráfico WAN que es transmitido sobre la conexión IPsec en un túnel Fase II. Defina los rangos de IP remotas en el otro lado del túnel IPsec. Luego, hay una malla completa entre los rangos de IP locales y remotas.

Configurando los ajustes de IKEv2

Los sitios IPsec IKEv2 tienen estas configuraciones adicionales que puede configurar:

  • Iniciar conexión por Cato - Puede configurar quién inicia la conexión del túnel VPN, la nube de Cato o el firewall. Por defecto, esta característica está habilitada para que Cato Cloud inicie la conexión IPsec y minimice el tiempo de inactividad.

  • Rangos de red - Para implementaciones donde hay SAs (asociaciones de seguridad) que se definen para la red remota, ingrese el rango de direcciones IP para estas SAs.

Nota

Nota: Recomendamos encarecidamente que use la configuración predeterminada y habilite la función Iniciar Conexión por Cato.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 2 de 5

0 comentarios