Configuración de Sitios IPsec IKEv2

Este artículo discute cómo crear y configurar sitios que usan el tipo de Conexión IPsec IKEv2. Para más información acerca de la creación de un nuevo sitio, ve Usando la CMA para Agregar Sitios.

Nota: Como parte de las mejoras recientes que introducen múltiples túneles activos para sitios de IPsec, los clientes pueden recibir eventos de desconexión y reconexión falsos positivos, junto con notificaciones relacionadas. Esta es una ocurrencia única durante el proceso de Actualización, y estos Eventos y Notificaciones pueden ser ignorados de manera segura. Nota que los Eventos y Notificaciones pueden incluir marcas temporales incorrectas y no reflejan una interrupción real del Servicio. Los túneles IPsec permanecen totalmente operativos durante este Proceso.

Resumen

Puedes usar túneles IPsec para conectar sitios y redes internas a la Nube de Cato y redes remotas. Los sitios con conexiones IPsec se utilizan para:

  • Sitios que están en una nube pública, como AWS o Azure
  • Sitios para sucursales en diferentes ubicaciones que están detrás de un firewall de un tercero

Al configurar un sitio IPsec IKEv2, puedes iniciar la conexión usando una de las siguientes opciones:

  • Solo Respondedor - Inicialización del Firewall. El dispositivo del sitio inicia la conexión con el PoP de Cato
  • Bidireccional – La conexión puede ser iniciada por tu firewall o por Cato

Modo de Conexión Solo Respondedor

La configuración Solo Respondedor de IKEv2 de Cato es una solución para dispositivos perimetrales que tienen una dirección IP dinámica o se encuentran detrás de un dispositivo NAT. (es decir, firewalls o enrutadores) Esta solución permite que el dispositivo perimetral en el extremo remoto inicie y gestione la conexión IKEv2.

Además, al utilizar Solo Respondedor, puedes configurar Cato para usar un FQDN como el identificador de Cato. Al hacerlo, Cato genera un valor hash y lo traduce en una dirección IP para ofrecerte la mejor ubicación PoP para cada túnel.

Por ejemplo, configuras el Modo de Conexión como Solo Respondedor y el Tipo de Destino como FQDN. Cato genera un valor hash de somevalue.ipsec.dev.catonetworks.org. Este valor se configura luego en el sitio remoto y actúa como el resolver para la solicitud DNS que está usando el valor FQDN. El PoP se selecciona basado en varios parámetros, como la geolocalización, RTT, y más.

En este escenario, el PoP se selecciona dinámicamente, lo que significa que si el PoP original que fue designado para ese FQDN no está disponible, se seleccionará automáticamente un nuevo PoP. Además, si sigues la mejor práctica de Cato y defines un túnel primario y secundario al usar FQDN, Cato selecciona automáticamente diferentes ubicaciones PoP para un HA ideal.

Alternativamente, algunos fabricantes de firewall no admiten el uso de FQDN, en cuyo caso puedes seleccionar IPv4 como Tipo de Destino. En este caso, debes seleccionar una ubicación PoP estática, y si ese PoP no está disponible por alguna razón, el túnel no estará disponible. Para más información sobre la definición de direcciones IP estáticas, consulta Política de Asignación de IP para Usuarios Remotos.

Modo de Conexión Bidireccional

En el modo de conexión Bidireccional, tanto tu dispositivo como Cato pueden iniciar y mantener túneles IPsec desde PoPs seleccionados hacia tus sitios y/o centros de datos en la nube utilizando el protocolo IPsec IKEv2.

Si un túnel no está disponible, Cato no tiene que esperar a que tu dispositivo inicie la conexión para que el túnel se restablezca rápidamente.

Sitios IPsec con Múltiples Túneles Activos

Cato te permite configurar múltiples túneles activos tanto para los roles HA Primario como Secundario. Múltiples túneles activos te permiten hacer lo siguiente:

  • Aprovechar Última Milla - Con múltiples túneles activos, puedes distribuir el tráfico de red a través de diferentes rutas, ayudando a balancear la carga y mejorar el rendimiento de la red.
  • Redundancia - Múltiples túneles activos proporcionan redundancia. Si un túnel falla, el tráfico puede ser redirigido a través de otro túnel activo, asegurando conectividad ininterrumpida.
  • Integración de terceros - Integración con CPEs SD-WAN de terceros para servicios SSE.
  • Segregación de Tráfico - Se pueden usar diferentes túneles para segregar diferentes tipos de tráfico. Por ejemplo, un túnel podría usarse para tráfico de voz, mientras que otro podría usarse para tráfico de datos.
Active-Active IPsec

Puedes configurar hasta 3 túneles activos para cada rol HA, los cuales están conectados al mismo PoP de Cato. Es decir, todos los túneles Primarios están conectados a un PoP, y todos los túneles Secundarios están conectados a un PoP diferente. Cada túnel debe tener un identificador único, por ejemplo, un ID local como FQDN o una dirección IP pública.

HA para Múltiples Túneles Activos

Por defecto, cuando todos los túneles activos de un rol HA bajan, Cato cambia automáticamente al otro rol HA. Es decir, si todos los túneles del rol HA Primario bajan, se activa HA, y Cato utiliza los túneles Secundarios como el siguiente salto de todas las rutas del sitio. Sin embargo, si el rol HA Primario tiene 2 túneles y un túnel permanece activo, no se produce una conmutación por error.

Puede monitorear los túneles a través de historias de Link is down en el Banco de Trabajo de Historias.

Nota: Cato tarda hasta 30 segundos en determinar que un túnel descendió.

Gestión de Ancho de Banda

Puedes elegir gestionar el ancho de banda de bajada y subida para un sitio IPsec. Si deseas que la Nube de Cato limite tu ancho de banda de bajada, ingresa los límites requeridos en consecuencia. De lo contrario, ingresa los valores según lo definido por la velocidad de conexión actual de tu enlace ISP. Si no conoces la velocidad de conexión del ISP, configura el ancho de banda de bajada según la licencia de este sitio. Para el ancho de banda de subida, la Nube de Cato no controla el tráfico de subida y no es posible limitarlo con un límite estricto. En su lugar, la configuración del ancho de banda de subida es un mejor esfuerzo por parte de la Nube de Cato.

Nota: Si ingresas valores de subida/bajada mayores que la velocidad de conexión real del enlace de tu ISP, el motor de QoS del Socket es ineficaz.

Para más información sobre QoS en Cato, consulta Cuáles son los Perfiles de Gestión de Ancho de Banda de Cato.

Para QoS para múltiples túneles activos, consulta a continuación Enrutamiento QoS para Múltiples Túneles Activos.

Requisitos Previos

  • Si estás enviando solo parte de tu tráfico de red a través de la Nube de Cato, configura tu equipo de red para incluir las siguientes direcciones IP en tu tabla de enrutamiento hacia la Nube de Cato:

    • 10.254.254.1
    • 10.254.254.5
    • 10.254.254.253
    • 10.41.0.0/16 a menos que hayas configurado el rango de direcciones IP de tus propios Usuarios de VPN de la red

  • Para sitios IPsec con ancho de banda de 100Mbps o más, utiliza solo los algoritmos AES 128 GCM-16 o AES 256 GCM-16. Los algoritmos AES CBC se utilizan solo en sitios con ancho de banda menor a 100Mbps.

    Estas guías se deben al hecho de que el cifrado GCM es más eficiente y escalable que CBC, permitiendo un mejor rendimiento y fiabilidad para el tráfico cifrado de alto rendimiento en la Nube de Cato.

  • Los sitios Cato IPsec IKEv2 admiten una longitud de nonce de hasta 256 bits.
  • Para tráfico FTP, Cato recomienda configurar el servidor FTP con un tiempo de espera de conexión de 30 segundos o más.
  • Puedes establecer la clave precompartida IPSec (PSK) hasta 64 caracteres.
  • Para sitios que se conectan a un entorno Zscaler, se requiere una licencia Zscaler actualizada para habilitar la selección de encriptación en la Fase 2.

Agregando el Sitio IKEv2

Crea un nuevo sitio IPsec IKEv2, y luego configúralo para los ajustes de IKEv2 y asigna las direcciones IP asignadas por Cato para los túneles primarios y secundarios. Para más información, consulte Asignación de Direcciones IP para la Cuenta.

Para crear un nuevo sitio IPsec:

  1. Desde el menú de navegación, haz clic en Network > Sites y haz clic en New.

    Se abre el panel Add Site,

  2. Configure los ajustes para el sitio:

    • Nombre: Nombre para el sitio
    • Tipo: icono mostrado para el sitio en la página de topología
    • Tipo de Conexión: Selecciona IPsec IKEv2
    • País: El país en el que está ubicado el sitio.
    • Estado/Provincia: Estado donde se encuentra el sitio (donde sea aplicable)
    • Licencia: Selecciona la licencia de ancho de banda adecuada para el sitio
    • Rango Nativo: subred LAN para el sitio IPsec
  3. Haz clic en Nuevo.

Configurando la Configuración IPsec IKEv2

Después de crear un nuevo sitio que utiliza IPsec IKEv2 para conectarse a la Nube Cato, edite el sitio y configure los ajustes de IPsec.

Nota

IMPORTANTE: Recomendamos encarecidamente que configure un túnel secundario (con IPs públicas diferentes de Cato) para alta disponibilidad. De lo contrario, existe el riesgo de que el sitio pueda perder conectividad con la Nube Cato.

Utilice los ajustes de Método de Conexión para definir si el PoP Cato solo responde a conexiones desde el sitio remoto, inic. fw (Solo Respondedor), o también puede iniciar conexiones (Bidireccional).

Para sitios que trabajan con IPs dinámicas, la Aplicación de Gestión Cato genera un Local ID para el sitio, que se utiliza para el Authentication Identifier que selecciona. Usa el Identificador de Autenticación que requiere el dispositivo de terceros: FQDN, correo electrónico, o KEY_ID, e ingresa el ID Local en los ajustes IKE de tu dispositivo de terceros.

Además del Local ID, configure una clave pre-compartida (PSK) para la autenticación. También puedes definir túneles IPsec primarios y secundarios con BGP sobre el dispositivo, lo cual proporciona alta disponibilidad. Al hacerlo, la Nube Cato ajusta automáticamente las métricas de rutas BGP para priorizar el túnel primario, y si se desconecta, el sitio pasa automáticamente al túnel secundario.

Para configurar la configuración para un sitio IPsec IKEv2:

  1. Desde el menú de navegación, haz clic en Red > Sitios y selecciona el sitio.
  2. Desde el menú de navegación, haz clic en Configuraciones del Sitio > IPsec.

  3. Expanda la sección General y defina cómo se conecta y autentica el sitio con el PoP:

    1. Seleccione el Modo de Conexión para el sitio:

      • Solo Respondedor – Inicio de Firewall. El firewall del sitio inicia la conexión y Cato responde
      • Bidireccional - El PoP de Cato responde a las negociaciones para conexiones entrantes e inicia negociaciones salientes.

    2. Seleccione el Identificador de Autenticación.

      • IPv4 - use la dirección IP estática que configuró en las secciones Primary y Secondary para el sitio

        IPv6 actualmente no es soportado con IPsec sobre el PoP de Cato.

      • FQDN, Correo electrónico, KEY_ID - genera el ID Local en uno de estos formatos

  4. Expanda la sección Primary, y configure los siguientes ajustes para el túnel principal IPsec:

    • En Destination Type, seleccione ya sea FQDN o IPv4. El destino debe ser el mismo para todos los túneles activos para el rol de HA (Primario o Secundario).

      • FQDN - Se genera un valor FQDN hasheado generado por Cato. Este valor es único para el túnel específico. Este es el valor que proporcionarás a tu firewall.

        Cuando se selecciona, también debe definir la PoP Location. Cato recomienda usar Automatic para que se seleccione el mejor PoP para usted. Si selecciona una ubicación específica y también está configurando un sitio secundario, asegúrese de seleccionar ubicaciones diferentes.

      • IPv4 - selecciona una dirección IP estática desde el menú desplegable IP de Cato (Salida).

  5. Haga clic en Nuevo. Aparece la página Agregar Túnel.

    1. En Rol, selecciona cuál de las interfaces WAN lógicas usar para este túnel. El Rol WAN se utiliza para el enrutamiento basado en prioridades en la política de Reglas de Red.
    2. En Nombre, introduce un nombre descriptivo
    3. En IP pública, introduce la dirección IP pública para este túnel. Cada túnel debe usar una dirección IP pública diferente

    4. Para sitios que usan BGP, configura las IPs Privadas:

      • Cato - introduce el PoP de Cato y la dirección IP que inicia el túnel IPsec
      • Sitio - introduce la dirección IP privada del par BGP
    5. En Ancho de banda de última milla, configura el ancho de banda máximo Bajada y Tráfico ascendente (Mbps) disponible para el sitio
    6. En Clave precompartida, haz clic en Editar contraseña para ingresar la clave compartida para el túnel IPsec primario.

  6. Haz clic en Aplicar. El túnel se agrega a la tabla primaria.

    primary-ipsec-tunnel.png
  7. Para sitios que usan un túnel IPsec secundario, amplía la sección Secundario y configura los ajustes en el paso anterior, y luego haz clic en Guardar.
  8. Para sitios que usan múltiples túneles activo/activo, repite los pasos 5-7.

  9. (Opcional) Expande la sección Parámetros del Mensaje de Inicio y configura los ajustes. Consulta más abajo los Parámetros de Inicio y Autenticación para los parámetros válidos.

    Dado que la mayoría de las soluciones que soportan IPsec IKEv2 implementan la negociación automática de los siguientes parámetros Init y Auth, recomendamos que los configures en Automático, a menos que tu proveedor de firewall te indique específicamente lo contrario.

  10. (Opcional) Expande la sección Parámetros de Autenticación y configura los ajustes. Ver Parámetros de Inicio y Autenticación abajo para parámetros válidos.

  11. Expande la sección de Enrutamiento y define las opciones de enrutamiento para el site:

    IPsec_IKEv2_Routing.png
    • Para conexiones IPsec con un lado remoto que tiene SA (Asociaciones de Seguridad) definidas para este túnel, en Rangos de Red, ingresa los rangos IP remotos (generalmente redes de otros sitios) para las SA en este formato y haz clic en Agregar.

    • Los rangos de IP Local para las SAs se configuran en la Configuración del Sitio > Redes incluyendo los Selectores de Tráfico Local y los Selectores de Tráfico de Par.

      IPsec IKEv2 Nativo
      Verifica que las redes locales coincidan con lo que configuraste para el par IPsec.

    • Para permitir que Cato Cloud intente de manera proactiva restablecer una conexión que está caída, sin esperar del otro lado, selecciona Initiate connection by Cato. De lo contrario, el firewall intenta restablecer la conexión.

      Nota: Si no se configuran Network Ranges para el site, se considera como VPN basada en rutas (implícito: 0.0.0.0 <> 0.0.0.0).

  12. Haz clic en Guardar.

    Espera al menos 3 minutos antes de ingresar los valores FQDN primarios y secundarios en tu firewall para que se puedan determinar las ubicaciones PoP óptimas para estas configuraciones.

  13. Para mostrar tus detalles de conexión y el estado del túnel IPsec para este sitio, haz clic en Estado de la Conexión.

Enrutamiento QoS para Múltiples Túneles Activos

Por defecto, Cato solo puede controlar el tráfico descendente. El tráfico se distribuye a través de los túneles (enlaces WAN) basado en métricas de salud, preferencia de enlace y la proporción proporcional de los anchos de banda configurados para cada enlace. Las métricas de salud se recalculan cada segundo, y el tráfico se redistribuye al enlace con mejor rendimiento cada 10 segundos.

El tráfico ascendente es controlado por el par IPsec remoto, y de acuerdo con el enrutamiento basado en políticas que utiliza el par.

Puede anular la selección de enlace WAN para tráfico descendente utilizando Reglas de Red. Puedes configurar una regla para determinar qué enlace WAN se utiliza para tuplas de tráfico específicas, en cuyo caso, el tráfico se enviará por el enlace WAN configurado en la regla, y no por el túnel por el que llegó.

active-active-rule.png

Parámetros de Inicio y Autenticación

Los siguientes parámetros están disponibles al definir los parámetros de Inicio y Autenticación. Cato recomienda que configures estos parámetros en Automático a menos que tu proveedor de firewall indique lo contrario.

Parámetro

Valores Válidos

Algoritmo de Cifrado

  • Automático

  • AES-CBC-128

  • AES-CBC-256

  • AES-GCM-128

  • AES-GCM-256

Pseudo Aleatorio

  • Automático

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

Algoritmo de Integridad

  • Automático

  • SHA1

  • SHA2 256

  • SHA2 384

  • SHA2 512

Grupo Diffie-Hellman

  • 2 (1024-bit)

  • 5 (1536-bit)

  • 14 (2048-bit)

  • 15 (3072-bit)

  • 16 (4096-bit)

  • 19 (256-bit aleatorio)

  • 20 (384-bit aleatorio)

Parámetros IKEv2 de Predeterminado para el Sitio

Esta es la lista de los valores predeterminados para los siguientes parámetros IKEv2. Si necesitas un valor personalizado, por favor contacta con Soporte.

Parámetro

Valor

Chequeo de keep-alive (envía solicitudes de información vacías). Número de segundos después de que el sitio no recibe ningún dato en el túnel.

10 segundos

Intervalo de retransmisión (en segundos).

No es posible configurar un valor personalizado para este parámetro.

10 segundos

Número máximo de retransmisiones.

No es posible configurar un valor personalizado para este parámetro.

5 retransmisiones

Intervalo de tiempo máximo que el sitio no recibe datos o respuestas a los chequeos de keep-alive. Después de este tiempo, el sitio desmonta el túnel e intenta reconstruirlo.

60 segundos

Intervalo de tiempo que el sitio intenta reconstruir un túnel que está desconectado y falla en conectarse.

cada 90 segundos

Duración de IKE SA (fase 1 de IPsec). Puedes configurar el valor para este parámetro usando configuraciones avanzadas para un site.

19,800 segundos (aproximadamente 5.5 horas)

Duración de vida de Child SA (IPsec Fase 2).

3,600 segundos (1 Hora)

Enviar un único Selector de Tráfico para sitios IKEv2

Al crear un SA hijo, Cato envía múltiples selectores de tráfico (TS) en el mismo payload de TS de acuerdo con RFC 7295. Algunas soluciones de terceros, como las Cisco ASAs, solo admiten un único TS en cada SA hijo. Una Cisco ASA enviará un mensaje de TS_UNACCEPTABLE en respuesta a una propuesta de Cato para crear un SA hijo con múltiples TS.

Puede configurar su cuenta o un sitio IPsec IKEv2 específico para enviar cada TS en un paquete separado para soportar la interoperabilidad con estas soluciones de terceros habilitando esta configuración en Configuración de Sitio > Configuración Avanzada.

Conectar Dos Túneles a un VPC de AWS para HA

Cato te permite conectar tu VPC de AWS a Cato Cloud usando BGP a través de dos túneles de IPsec para una configuración de alta disponibilidad (HA). Los túneles duales de AWS solo son compatibles cuando defines dos gateways de cliente y cada uno representa una dirección IP pública de Cato diferente. Estos son los requisitos:

  • Dos direcciones IP públicas de Cato
  • Dos puertas de enlace de cliente en el mismo VPC y cada una está asignada a una dirección IP pública de Cato
  • En AWS, dos conexiones de sitio a sitio

Limitaciones conocidas

  • Para cuentas multiarrendatario (como socios de Cato), asegúrate de que cada cuenta utilice direcciones IP asignadas desde una ubicación PoP diferente para los túneles IPsec. Por ejemplo, cuenta1 usa una IP asignada por el PoP de Frankfurt y cuenta2 debería usar una IP asignada por la ubicación del PoP de Múnich.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 3 de 5

0 comentarios