Descargar el archivo de configuración de VPN IPSec de lado remoto

Para configurar IPSec entre dos sitios, debe configurar los dos endpoints de VPN con atributos coincidentes. En este tema explicamos los requisitos para que los atributos del proveedor del dispositivo VPN de IPSec coincidan con los atributos relacionados con la VPN de su sesión local de VPN de IPSec.

Cada proveedor de VPN de IPSec tiene su propio formato de aceptación de configuraciones. En algunos casos, se utilizan valores predeterminados para algunos parámetros. Puede utilizar la función Descargar configuración en la interfaz de usuario de sesiones de VPN de IPSec de NSX, que ofrece todas las configuraciones relacionadas con la VPN que puede usar un administrador para configurar un dispositivo proveedor de VPN del mismo nivel. Se basa en la sesión de VPN de IPSec configurada en NSX. La función presenta todos los atributos predeterminados u ocultos de la sesión de VPN de IPSec para permitir que el administrador configure el dispositivo VPN del mismo nivel, que puede tener valores predeterminados diferentes. Cualquier discrepancia en la configuración puede provocar que el túnel de VPN de IPsec no aparezca correctamente.

Al hacer clic en DESCARGAR CONFIGURACIÓN, como se muestra en la imagen "Botón Descargar configuración de la página Sesiones de VPN de IPSec", se descarga un archivo de texto que contiene los atributos relevantes que pueden ser necesarios para configurar la sesión de VPN de IPSec equivalente en el dispositivo VPN del mismo nivel.

Botón Descargar configuración de la página Sesiones de VPN de IPSec en el extremo izquierdo — Figura 1. Botón Descargar configuración de la página Sesiones de VPN de IPSec

Procedimiento

Antes de continuar, debe tener configurados correctamente un servicio VPN IPSec y una sesión.
Vaya a la pestaña Redes > VPN > Sesiones de IPSec para acceder al botón Descargar configuración.
En la tabla de sesiones de VPN IPSec, expanda la fila de la sesión que desea usar para configurar la sesión de VPN IPSec. Por ejemplo, la fila Sample_Policy_Based está expandida en la imagen del botón Descargar configuración de la página Sesiones de VPN de IPSec.
Haga clic en Descargar configuración y en Sí en el cuadro de diálogo de advertencia descargar un archivo de texto.
Utilice el archivo de configuración descargado para configurar la directiva o los atributos de la sesión de VPN de IPSec basada en rutas en el endpoint de VPN del mismo nivel para asegurarse de que contenga los valores coincidentes necesarios.

El siguiente archivo de texto de ejemplo es similar al archivo que se descarga. El nombre de archivo, Sample_Policy_Based.txt, es una sesión de VPN de IPSec basada en directivas configurada en NSX. El nombre del archivo descargado se basa en el nombre de la sesión. Por ejemplo, <nombre-sesión>.txt.

 # Suggestive peer configuration for Policy IPSec Vpn Session
#
# IPSec VPN session path          : /infra/tier-0s/ServerT0_AS/ipsec-vpn-services/IpsecOnServerT0/sessions/SAMPLE_POLICY_BASED
# IPSec VPN session name          : SAMPLE_POLICY_BASED
# IPSec VPN session description   : 
# Tier 0 path                     : /infra/tier-0s/ServerT0_AS
#
# Enforcement point path    : /infra/sites/default/enforcement-points/default
# Enforcement point type    : NSX
#
# Suggestive peer configuration for IPSec VPN Connection
#
# IPSecVPNSession Id         : e7f34d43-c894-4dbb-b7d2-c899f81b1812
# IPSecVPNSession name       : SAMPLE_POLICY_BASED
# IPSecVPNSession description: 
# IPSecVPNSession enabled    : true
# IPSecVPNSession type       : Policy based VPN
# Logical router Id          : 258b91be-b4cb-448a-856e-501d03128877
# Generated Time             : Mon Apr 29 07:07:43 GMT 2024
#
# Internet Key Exchange Configuration [Phase 1]
# Configure the IKE SA as outlined below
IKE version                  : IKE_V2
Connection initiation mode   : INITIATOR
Authentication method        : PSK
Pre shared key               : nsxtVPN!234
Authentication algorithm     : [SHA2_256]
Encryption algorithm         : [AES_128]
SA life time                 : 86400
Negotiation mode             : Not applicable for ikev2
DH group                     : [GROUP14]
Prf Algorithm                : [SHA2_256]
#
# IPsec_configuration [Phase 2]
# Configure the IPsec SA as outlined below
Transform Protocol              : ESP
Authentication algorithm        : 
Sa life time                    : 3600
Encryption algorithm            : [AES_GCM_128]
Encapsulation mode              : TUNNEL_MODE
Enable perfect forward secrecy  : true
Perfect forward secrecy DH group: [GROUP14]
#
# IPsec Dead Peer Detection (DPD) settings
DPD enabled         : true
DPD probe interval  : 60
#
# IPSec VPN Session Configuration
Peer address    : 1.1.1.10 # Peer gateway public IP.
Peer id         : 1.1.1.10
#
Local address   : 200.200.200.1 # Local gateway public IP.
Local id        : 200.200.200.1
#
# Policy Rules
#Rule1
Sources: [192.168.19.0/24]
Destinations: [172.16.18.0/24]

La tabla Atributos del archivo de configuración de sesiones de VPN de IPSec contiene los atributos del archivo de configuración de la sesión de VPN Sample_Policy_Based.txt que se usarán al configurar la VPN de IPSec en el dispositivo VPN del mismo nivel.

Tabla 1. Atributos del archivo de configuración de sesiones de VPN de IPSec
Categoría	Nombre del atributo	Significado y valor del atributo que se configurará en el dispositivo VPN del mismo nivel	Capacidad de configuración del dispositivo del mismo nivel
Parámetros ISAKMP de fase 1	IKE version	Versión de protocolo IKE	Obligatorio
	Connection initiation mode	Si el dispositivo inicia la conexión IKE	Opcional. Obligatorio si NSX IPSec está configurado con Connection Initiation Mode = "Respond Only".
	Authentication method	Modo de autenticación para IKE: certificado o clave precompartida	Obligatorio
	Pre shared key	Valor de clave compartida si el modo de autenticación es PSK	Obligatorio
	Authentication algorithm	Algoritmo de autenticación que se utilizará para IKE	Obligatorio
	Encryption algorithm	Algoritmo de cifrado que se utilizará para IKE	Obligatorio
	SA life time	Duración de la asociación de seguridad (SA) de IKE en segundos	Opcional
	Negotiation mode	Modo del protocolo IKEv1: solo se admite el modo principal. No es relevante para IKEv2	Obligatorio
	DH group	Grupo Diffie-Hellman que se utilizará para la negociación de la SA de IKE	Obligatorio
	Prf Algorithm	Función de pseudoaleatoriedad que se utilizará para la negociación de SA de IKE	Obligatorio
	Peer address	Dirección IP del endpoint de VPN en el lado de NSX	Obligatorio
	Peer id	Identidad del endpoint de VPN en el lado de NSX	Obligatorio
	Local Address	Dirección del endpoint de VPN en el lado del endpoint del mismo nivel (en la configuración realizada en el lado de NSX)	Obligatorio
	Local ID	Identidad del endpoint de VPN que se configurará en el lado del endpoint del mismo nivel	Obligatorio
Parámetros ISAKMP de fase 2	Transform Protocol	Protocolo de transformación	Protocolo de transformación
	Authentication algorithm	Algoritmo de protección de integridad para paquetes de IPSec	Obligatorio
	SA Lifetime	Duración de SA de IPSec en segundos. Las claves se actualizan a medida que se agota la duración de SA.	Opcional
	Encryption algorithm	Protección de cifrado para paquetes de IPSec	Obligatorio
	Encapsulation mode	Modo de túnel de IPSec (túnel o transporte)	Obligatorio. Solo se admite el modo de túnel.
	Enable perfect forward secrecy	PFS (habilitado o inactivo)	Obligatorio
	Perfect forward secrecy DH group	Grupo DH que se utilizará para PFS	Obligatorio
	Sources	Se aplica a VPN basadas en directivas. Esta es la subred o las subredes detrás del endpoint de VPN del mismo nivel.	Obligatorio para VPN basadas en directivas
	Destinations	Se aplica a VPN basadas en directivas. Esta es la subred o las subredes detrás del endpoint de VPN de NSX para el que se debe tunelizar el tráfico a través de IPSec.	Obligatorio para VPN basadas en directivas
Otros parámetros	DPD enabled	Si Dead Peer Detection está habilitado	Opcional
		Frecuencia con la que se realiza DPD (en segundos)	Opcional