Configuración de Sitios IPsec IKEv2

Este artículo discute cómo crear y configurar sitios que utilizan el tipo de conexión IPsec IKEv2. Para más información sobre cómo crear un nuevo sitio, consulte Usando la Aplicación de Gestión Cato para Agregar Sitios.

Resumen de Conexiones IPsec IKEv2

Puede utilizar túneles IPsec para conectar sitios y redes internas a la Nube Cato y redes remotas. Los sitios con conexiones IPsec se utilizan para:

  • Sitios que están en una nube pública como AWS o Azure

  • Sitios para sucursales en diferentes ubicaciones que se encuentran detrás de un firewall de terceros

Al configurar un sitio IPsec IKEv2, puede iniciar la conexión utilizando una de las siguientes opciones:

  • Solo Respondedor - Inic. Firewall. El dispositivo del sitio inicia la conexión con el PoP Cato

  • Bidireccional – La conexión puede ser iniciada por su firewall o por Cato

Modo de Conexión Solo Respondedor

La configuración Solo Respondedor de Cato es una solución para dispositivos de borde que tienen una dirección IP dinámica o están ubicados detrás de un dispositivo NAT. (es decir, firewalls o routers) Esta solución permite al dispositivo de borde en el extremo remoto iniciar y gestionar la conexión IKEv2.

Además, al usar Solo Respondedor, puede configurar Cato para usar un FQDN como el identificador de Cato. Al hacerlo, Cato genera un valor hasheado y lo traduce en una dirección IP y puede elegir que Cato asigne la mejor ubicación PoP para cada túnel. También puede configurar manualmente la ubicación PoP para cada túnel.

Por ejemplo, configurar el Modo de Conexión como Solo Respondedor y el Tipo de Destino como FQDN. Cato genera un valor hasheado de somevalue.ipsec.dev.catonetworks.org. Este valor se configura luego en el sitio remoto y actúa como el resolvedor de la solicitud DNS que está utilizando el valor FQDN. El PoP se selecciona automáticamente basado en varios parámetros, como geolocalización, RTT, y más. Además, si sigue las mejores prácticas de Cato y define un túnel primario y uno secundario al usar FQDN, Cato selecciona automáticamente diferentes ubicaciones PoP para la HA ideal.

Alternativamente, algunos proveedores de firewall no soportan el uso de FQDN, en ese caso puede seleccionar IPv4 como el Tipo de Destino. En este caso, debe seleccionar una ubicación PoP estática y si ese PoP no está disponible por alguna razón, el túnel no estará disponible.

Modo de Conexión Bidireccional

En el modo de conexión bidireccional, tanto su dispositivo como Cato pueden iniciar y mantener túneles IPsec desde PoPs seleccionados hacia sus sitios y/o centros de datos en la nube utilizando el protocolo IPsec IKEv2.

Si no hay un túnel disponible, Cato no necesita esperar a que su dispositivo inicie la conexión para restablecer rápidamente el túnel.

Gestión de Ancho de Banda

Puede optar por gestionar el ancho de banda downstream y upstream para un sitio IPsec. Si desea que la Nube Cato limite su ancho de banda downstream, ingrese los límites requeridos en consecuencia. De lo contrario, ingrese los valores tal como están definidos por la velocidad de la conexión real de su ISP. Si no conoce la velocidad de conexión del ISP, configure el ancho de banda downstream de acuerdo con la licencia de este sitio. Para el ancho de banda upstream, la Nube Cato no controla el tráfico upstream, y no es posible limitarlo con un límite fijo. En su lugar, la configuración de ancho de banda upstream es un mejor esfuerzo por parte de la Nube Cato.

Nota

Nota: Si ingresa valores upstream/downstream mayores que la velocidad de conexión real del enlace de su ISP, el motor QoS del Socket es ineficaz.

Para más acerca de QoS en Cato, consulte Cuáles son los Perfiles de Gestión de Ancho de Banda de Cato.

Requisitos Previos

  • Si solo está enviando una parte de su tráfico de red a través de la Nube Cato, configure su equipo de red para incluir las siguientes direcciones IP en su tabla de enrutamiento hacia la Nube Cato:

    • 10.254.254.1

    • 10.254.254.5

    • 10.254.254.253

    • 10.41.0.0/16 a menos que haya configurado el rango de direcciones IP de los Usuarios VPN de su red

  • Para sitios IPsec con ancho de banda mayor a 100Mbps, utilice solo los algoritmos AES 128 GCM-16 o AES 256 GCM-16. Los algoritmos AES CBC solo se utilizan en sitios con ancho de banda menor a 100Mbps.

  • Los sitios IPsec IKEv2 de Cato soportan longitudes de nonce de hasta 256 bits.

  • Para el tráfico FTP, Cato recomienda configurar el servidor FTP con un tiempo de espera de conexión de 30 segundos o más.

  • Puede establecer el secreto compartido de IPSec (PSK) hasta 64 caracteres.

  • Para sitios que se conectan a un entorno de Zscaler, se requiere una licencia Zscaler actualizada para habilitar la selección de cifrado en Fase2.

Agregando el Sitio IKEv2

Cree un nuevo sitio IPsec IKEv2, y luego configúrelo para los ajustes de IKEv2 y asigne las direcciones IP asignadas por Cato para los túneles primario y secundario. Para más información, consulte Asignación de Direcciones IP para la Cuenta.

Para crear un nuevo sitio IPsec:

  1. Desde el menú de navegación, haz clic en Network > Sites y haz clic en New.

    Se abre el panel Add Site,

  2. Configure los ajustes para el sitio:

    • Name: Nombre para el sitio

    • Type: icono mostrado para el sitio en la página de Topología

    • Connection Type: Seleccione IPsec IKEv2

    • Country: El país en el que se encuentra el sitio.

    • State: Estado donde se encuentra el sitio (donde sea aplicable)

    • License: Seleccione la licencia de ancho de banda apropiada para el sitio

    • Native Range: subred LAN para el sitio IPsec

  3. Haz clic en Guardar.

Configuración de los Ajustes de IPsec IKEv2

Después de crear un nuevo sitio que utiliza IPsec IKEv2 para conectarse a la Nube Cato, edite el sitio y configure los ajustes de IPsec.

Nota

IMPORTANTE: Recomendamos encarecidamente que configure un túnel secundario (con IPs públicas diferentes de Cato) para alta disponibilidad. De lo contrario, existe el riesgo de que el sitio pueda perder conectividad con la Nube Cato.

Utilice los ajustes de Método de Conexión para definir si el PoP Cato solo responde a conexiones desde el sitio remoto, inic. fw (Solo Respondedor), o también puede iniciar conexiones (Bidireccional).

Para sitios que trabajan con IPs dinámicas, la Aplicación de Gestión Cato genera un Local ID para el sitio, que se utiliza para el Authentication Identifier que selecciona. Utilice el Authentication Identifier que es requerido por el dispositivo de terceros: FQDN, correo electrónico o KEY_ID e ingrese el Local ID en la configuración de IKE de su dispositivo de terceros.

Además del Local ID, configure una clave pre-compartida (PSK) para la autenticación. También puede definir túneles IPsec primarios y secundarios con BGP sobre el dispositivo que proporciona alta disponibilidad. Al hacerlo, la Nube Cato ajusta automáticamente las métricas de rutas BGP para priorizar el túnel primario, y si se desconecta, el sitio pasa automáticamente al túnel secundario.

Para configurar los ajustes para un sitio IPsec IKEv2:

  1. Desde el menú de navegación, haz clic en Network > Sites y selecciona el sitio.

  2. Desde el menú de navegación, haz clic en Site Settings > IPsec.

  3. Expanda la sección General y defina cómo se conecta y autentica el sitio con el PoP:

    1. Seleccione el Modo de Conexión para el sitio:

      • Solo Respondedor – Inic. Firewall. El firewall del sitio inicia la conexión y Cato responde

      • Bidireccional - El PoP de Cato responde a las negociaciones para conexiones entrantes e inicia negociaciones salientes.

    2. Seleccione el Identificador de Autenticación.

      El modo Bidireccional solo soporta IPv4 para el Identificador de Autenticación.

      • IPv4 - use la dirección IP estática que configuró en las secciones Primary y Secondary para el sitio

        IPv6 actualmente no es soportado con IPsec sobre el PoP de Cato.

      • FQDN, Email, KEY_ID - genera el Local ID en uno de estos formatos

  4. Expanda la sección Primary, y configure los siguientes ajustes para el túnel principal IPsec:

    • En Destination Type, seleccione ya sea FQDN o IPv4.

      • FQDN - Se genera un valor FQDN hasheado generado por Cato. Este valor es único para el túnel específico. Este es el valor que proporcionará a su firewall o par BGP.

        Cuando se selecciona, también debe definir la PoP Location. Cato recomienda usar Automatic para que se seleccione el mejor PoP para usted. Si selecciona una ubicación específica y también está configurando un sitio secundario, asegúrese de seleccionar ubicaciones diferentes.

      • IPv4 - seleccione una dirección IP estática del menú desplegable de Cato IP (Egress).

    • En Public Site Identifier, ingrese la dirección IP pública del Sitio o el Local ID donde se inicia el túnel IPsec para el sitio remoto.

    • En Private IPs:

      • Cato - ingrese el PoP Cato y la dirección IP que inicia el túnel IPsec

      • Site - ingrese la dirección IP privada del par BGP

    • En Last-mile Bandwidth, configure el ancho de banda máximo Downstream y Upstream (Mbps) disponible para el sitio

    • En Primary PSK, haga clic en Edit Password para ingresar el secreto compartido para el túnel IPsec primario.

      Nota: Puede opcionalmente usar la misma dirección IP asignada para uno o más sitios IPsec siempre que la IP del sitio sea diferente para cada sitio. Cato recomienda usar IPs asignadas diferentes para cada sitio.

  5. Para sitios que usan un túnel IPsec secundario, expanda la sección Secondary y configure los ajustes en el paso anterior y luego haga clic en Guardar.

  6. (Opcional) Expanda la sección Init Message Parameters, y configure los ajustes. Consulta Parámetros de Inicio y Autenticación a continuación para ver los parámetros válidos.

    Dado que la mayoría de las soluciones que admiten IKEv2 de IPsec implementan la negociación automática de los siguientes parámetros de Inicio y Autenticación, recomendamos que los configures en Automático, a menos que tu proveedor de firewall te indique lo contrario.

  7. (Opcional) Expande la sección de Parámetros de Autenticación y configura los ajustes. Consulta Parámetros de Inicio y Autenticación a continuación para ver los parámetros válidos.

  8. Expande la sección de Enrutamiento y define las opciones de enrutamiento para el site:

    IPsec_IKEv2_Routing.png

    • Para conexiones IPsec con un lado remoto que tiene SAs (Asociaciones de Seguridad) definidas para este túnel, en la sección Network Ranges, introduce los rangos de IP locales para las SAs en este formato <etiqueta:rango de IP> y haz clic en Add.

      Las configuraciones de rangos de IP remotos para las SAs se configuran en la pantalla Site Configuration > Networks.

    • Para permitir que Cato Cloud intente de manera proactiva restablecer una conexión que está caída, sin esperar del otro lado, selecciona Initiate connection by Cato. De lo contrario, el firewall intenta restablecer la conexión.

    Nota: Si no se configuran Network Ranges para el site, se considera como VPN basada en rutas (implícito: 0.0.0.0 <> 0.0.0.0).

  9. Haz clic en Guardar.

    Espera al menos 3 minutos antes de ingresar los valores FQDN primarios y secundarios en tu firewall para que se puedan determinar las ubicaciones PoP óptimas para estas configuraciones.

  10. Para mostrar tus detalles de conexión y el estado del túnel IPsec para este site, haz clic en Connection Status.

Parámetros de Inicio y Autenticación

Los siguientes parámetros están disponibles al definir los parámetros de Inicio y Autenticación. Cato recomienda que configures estos parámetros en Automático a menos que tu proveedor de firewall indique lo contrario.

Parámetro

Valores válidos

Algoritmo de Cifrado

  • Automático

  • AES-CBC-128

  • AES-CBC-256

  • AES-GCM-128

  • AES-GCM-256

Pseudo Aleatorio

  • Automático

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

Algoritmo de Integridad

  • Automático

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

Grupo Diffie-Hellman

  • 2 (1024-bit)

  • 5 (1536-bit)

  • 14 (2048-bit)

  • 15 (3072-bit)

  • 16 (4096-bit)

  • 19 (256-bit aleatorio)

  • 20 (384-bit aleatorio)

Parámetros IKEv2 Predeterminados para el Site

Esta es la lista de los valores predeterminados para los siguientes parámetros IKEv2. Si necesitas un valor personalizado, por favor contacta con Soporte.

Parámetro

Valor

Revisión keep-alive (envía solicitudes de información vacías). Número de segundos después de que el site no recibe ningún dato en el túnel.

10 segundos

Intervalo de retransmisión (en segundos).

No es posible configurar un valor personalizado para este parámetro.

10 segundos

Número máximo de retransmisiones.

No es posible configurar un valor personalizado para este parámetro.

5 retransmisiones

Tiempo máximo que el site no recibe ningún dato o respuesta a las revisiones keep-alive. Después de este tiempo, el site derrumba el túnel e intenta reconstruirlo.

60 segundos

Intervalo de tiempo durante el cual el site intenta reconstruir un túnel que está caído y no puede levantarse.

cada 90 segundos

Duración de IKE SA (fase 1 de IPsec). Puedes configurar el valor para este parámetro usando configuraciones avanzadas para un site.

19.800 segundos (aproximadamente 5,5 horas)

Duración de SA hijo (fase 2 de IPsec).

3.600 segundos (1 hora)

Enviar un Selector de Tráfico Único para Sites IKEv2

Al crear un SA hijo, Cato envía múltiples selectores de tráfico (TS) en el mismo payload de TS de acuerdo con RFC 7295. Algunas soluciones de terceros, como las Cisco ASAs, solo admiten un único TS en cada SA hijo. Una Cisco ASA enviará un mensaje de TS_UNACCEPTABLE en respuesta a una propuesta de Cato para crear un SA hijo con múltiples TS.

Puedes configurar tu cuenta o un site IKEv2 de IPsec específico para enviar cada TS en un paquete separado para admitir la interoperabilidad con estas soluciones de terceros habilitando esta configuración bajo Site Configuration > Advanced Configuration.

Conectar Dos Túneles a un VPC de AWS para HA

Cato te permite conectar tu VPC de AWS a Cato Cloud usando BGP a través de dos túneles de IPsec para una configuración de alta disponibilidad (HA). Los túneles duales de AWS solo son compatibles cuando defines dos gateways de cliente y cada uno representa una dirección IP pública de Cato diferente. Estos son los requisitos:

  • Dos direcciones IP públicas de Cato

  • Dos gateways de cliente en el mismo VPC y cada uno asignado a una dirección IP pública de Cato

  • En AWS, dos conexiones de site a site

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 2 de 4

0 comentarios