Citrix ADC

Interoperabilidad del conector CloudBridge: StrongSwan

StrongSwan es una implementación IPSec de código abierto para plataformas Linux. Puede configurar un túnel de CloudBridge Connector entre un dispositivo Citrix ADC y un dispositivo StrongSwan para conectar dos centros de datos o ampliar la red a un proveedor de nube. El dispositivo Citrix ADC y el dispositivo StrongSwan forman los puntos finales del túnel CloudBridge Connector y se denominan pares.

Ejemplo de configuración de túnel de CloudBridge Connector

Como ilustración del flujo de tráfico en un túnel de CloudBridge Connector, considere un ejemplo en el que se configura un túnel de CloudBridge Connector entre los siguientes dispositivos:

  • Dispositivo Citrix ADC NS_Appliance-1 en un centro de datos designado como Datacenter-1
  • Dispositivo StrongSwan StrongSwan-Appliance-1 en un centro de datos designado como Datacenter-2

NS_Appliance-1 y StrongSwan-Appliance-1 permiten la comunicación entre redes privadas en Datacenter-1 y Datacenter-2 a través del túnel CloudBridge Connector. En el ejemplo, NS_Appliance-1 y StrongSwan-Appliance-1 permiten la comunicación entre el cliente CL1 en Datacenter-1 y el servidor S1 en Datacenter-2 a través del túnel CloudBridge Connector. El cliente CL1 y el servidor S1 están en diferentes redes privadas.

En NS_Appliance-1, la configuración del túnel del conector de CloudBridge incluye la entidad de perfil IPSec NS_StrongSwan_IPSEC_Profile, la entidad del túnel del conector de CloudBridge NS_StrongSwan_Tunnel y la entidad de enrutamiento basado en directivas (PBR) NS_StrongSwan_PBR.

Imagen localizada

En la tabla siguiente se enumeran los parámetros utilizados en este ejemplo.

Configuración principal de la configuración del túnel de CloudBridge Connector

Entidad Detalles
Dirección IP del punto final del túnel CloudBridge Connector (NS_Appliance-1) en Datacenter-1 198.51.100.100
Dirección IP del punto final del túnel CloudBridge Connector (StrongSwan-Appliance-1) en Datacenter-2 203.0.113.200
Datacenter: Subred de 1 cuyo tráfico debe protegerse sobre el túnel de CloudBridge Connector 10.102.147.0/24
Datacenter: Subred de 2 cuyo tráfico debe protegerse sobre el túnel de CloudBridge Connector 10.20.20.0/24

Configuración del dispositivo Citrix ADC NS_Appliance-1 en Datacenter-1

SNIP1 (solo para fines de referencia) 198.51.100.100  
IPSec profile NS_StrongSwan_IPSec_Profile IKE version: V1, Encryption algorithm: AES, Hash algorithm: HMAC_SHA1
psk = examplepresharedkey (Nota: Este es un ejemplo de una clave precompartida. Citrix no recomienda usar esta cadena en la configuración de su CloudBridge Connector.)    
CloudBridge Connector tunnel NS_StrongSwan_Tunnel Remote IP = 203.0.113.200, Local IP= 198.51.100.100, Tunnel protocol = IPSEC, IPSec profile= NS_StrongSwan_IPSec_Profile
Policy based route NS_StrongSwan_Pbr Source IP range = Subnet in the Datacenter-1=10.102.147.0-10.102.147.255, Destination IP range =Subnet in Datacenter-2=10.20.20.0-10.20.20.255, IP Tunnel = NS_StrongSwan_Tunnel

Puntos a tener en cuenta para una configuración de túnel de CloudBridge Connector

Antes de comenzar a configurar el túnel del conector de CloudBridge, asegúrese de que:

  • Usted tiene un conocimiento básico sobre las configuraciones de Linux.
  • Tiene conocimientos básicos sobre el conjunto de protocolos IPSec.
  • El dispositivo StrongSwan está en funcionamiento, está conectado a Internet y también está conectado a las subredes privadas cuyo tráfico se va a proteger a través del túnel CloudBridge Connector.
  • El dispositivo Citrix ADC está en funcionamiento, está conectado a Internet y también está conectado a las subredes privadas cuyo tráfico se va a proteger a través del túnel CloudBridge Connector.
  • La siguiente configuración de IPSec se admite para un túnel de CloudBridge Connector entre un dispositivo Citrix ADC y un dispositivo StrongSwan.
    • Modo IPSec: Modo túnel
    • Versión IKE: Versión 1
    • Método de autenticación IKE: Clave previamente compartida
    • Algoritmo de cifrado IKE: AES
    • Algoritmo hash IKE: HMAC SHA1
    • Algoritmo de cifrado ESP: AES
    • Algoritmo hash ESP: HMAC SHA1
  • Debe especificar la misma configuración IPSec en el dispositivo Citrix ADC y en el dispositivo StrongSwan en los dos extremos del túnel CloudBridge Connector.
  • Citrix ADC proporciona un parámetro común (en perfiles IPSec) para especificar un algoritmo hash IKE y un algoritmo hash ESP. También proporciona otro parámetro común para especificar un algoritmo de cifrado IKE y un algoritmo de cifrado ESP. Por lo tanto, en el dispositivo StrongSwan, debe especificar el mismo algoritmo hash y el mismo algoritmo de cifrado en los parámetros IKE y ESP en el archivo IPsec.conf.
  • Debe configurar el firewall en el extremo Citrix ADC y en el extremo StrongSwan para permitir lo siguiente.
    • Cualquier paquete UDP para el puerto 500
    • Cualquier paquete UDP para el puerto 4500
    • Cualquier paquete ESP (protocolo IP número 50)

Configurar StrongSwan para el túnel CloudBridge Connector

Para configurar un túnel de conector CloudBridge entre un dispositivo Citrix ADC y un dispositivo StrongSwan, realice las siguientes tareas en el dispositivo StrongSwan:

  • Especifique la información de conexión IPSec en el archivo ipsec.conf. El archivoipsec.conf define toda la información de control y configuración para las conexiones IPSec en el dispositivo StrongSwan.
  • Especifique clave previamente compartida en el archivo ipsec.secrets. El archivoipsec.secrets define secretos para la autenticación IKE/IPSec para conexiones IPSec en el dispositivo StrongSwan.

Los procedimientos para configurar IPSec VPN (túnel de conector de CloudBridge) en un dispositivo StrongSwan pueden cambiar con el tiempo, dependiendo del ciclo de lanzamiento de StrongSwan. Citrix recomienda seguir la documentación oficial de StrongSwan paraConfiguración de túneles VPN IPSec.

El siguiente extracto de ejemplo del archivo ipsec.conf especifica la información IPSec para configurar el túnel VPN IPSec, que se describe en el tema Ejemplo de una configuración de conector CloudBridge. Para obtener más información, consulte el PDF Configuración de CloudBridge Connector.

El siguiente extracto de ejemplo del archivo ipsec.secrets especifica la clave previamente compartida de autenticación IKE para configurar el túnel VPN IPSec, que se describe en el tema Ejemplo de una configuración de conector de CloudBridge.

/etc/ipsec.secrets

PSK ‘examplepresharedkey’ #pre -clave compartida para la autenticación IKE IPSec”

Configuración del dispositivo Citrix ADC para el túnel de CloudBridge Connector

Para configurar un túnel de CloudBridge Connector entre un dispositivo Citrix ADC y un dispositivo StrongSwan, realice las siguientes tareas en el dispositivo Citrix ADC. Puede utilizar la línea de comandos de Citrix ADC o la interfaz gráfica de usuario (GUI) de Citrix ADC:

  • Cree un perfil IPSec. Una entidad de perfil IPSec especifica los parámetros del protocolo IPSec, como la versión IKE, el algoritmo de cifrado, el algoritmo hash y el método de autenticación que utilizará el protocolo IPSec en el túnel de CloudBridge Connector.
  • Cree un túnel IP que utilice el protocolo IPSec y asocie el perfil IPSec con él. Un túnel IP especifica la dirección IP local (dirección IP del extremo del túnel de CloudBridge Connector (de tipo SNIP) configurada en el dispositivo Citrix ADC), la dirección IP remota (dirección IP del extremo del túnel de CloudBridge Connector configurada en el dispositivo StrongSwan), el protocolo (IPSec) utilizado para configurar CloudBridge Túnel de conector y una entidad de perfil IPSec. La entidad de túnel IP creada también se denomina entidad de túnel CloudBridge Connector.
  • Cree una regla PBR y asociarla con el túnel IP. Una entidad PBR especifica un conjunto de reglas y una entidad de túnel IP (túnel CloudBridge Connector). El intervalo de direcciones IP de origen y el intervalo de direcciones IP de destino son las condiciones para la entidad PBR. Establezca el rango de direcciones IP de origen para especificar la subred del lado de Citrix ADC cuyo tráfico se va a proteger sobre el túnel, y establezca el rango de direcciones IP de destino para especificar la subred del lado StrongSwan cuyo tráfico se va a proteger sobre el túnel.

Para crear un perfil IPSEC mediante la línea de comandos de Citrix ADC

En el símbolo del sistema, escriba:

  • add ipsec profile <name> -psk <string> -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1
  • show ipsec profile <name>

Para crear un túnel IPSEC y enlazar el perfil IPSEC con él mediante la línea de comandos de Citrix ADC

En el símbolo del sistema, escriba:

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • show ipTunnel <name>

Para crear una regla PBR y enlazar el túnel IPSEC con ella mediante la línea de comandos de Citrix ADC

En el símbolo del sistema, escriba:

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> -ipTunnel <tunnelName>
  • apply pbrs
  • show pbr <pbrName>

Para crear un perfil IPSEC mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > CloudBridge Connector > IPSec Perfil.
  2. En el panel de detalles, haga clic en Agregar.
  3. En la página Agregar perfil IPSec, establezca los siguientes parámetros:
    • Nombre
    • Algoritmo de cifrado
    • Algoritmo hash
    • Versión del protocolo IKE
  4. Configure el método de autenticación IPSec que utilizarán los dos pares del túnel de CloudBridge Connector para autenticarse mutuamente: Seleccione el método de autenticación de clave previamente compartida y establezca el parámetro Claves previamente compartidas.
  5. Haga clic en Crear y, a continuación, en Cerrar.

Para crear un túnel IP y enlazar el perfil IPSEC con él mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Conector de CloudBridge > Túneles IP.
  2. En la ficha Túneles IPv4, haga clic en Agregar.
  3. En la página Agregar túnel IP, establezca los siguientes parámetros:
    • Nombre
    • IP remota
    • Máscara remota
    • Tipo de IP local (en la lista desplegable Tipo de IP local, seleccione IP de subred).
    • IP local (todas las direcciones IP configuradas del tipo IP seleccionado se encuentran en la lista desplegable IP local. Seleccione la IP deseada de la lista.)
    • Protocolo
    • Perfil IPSec
  4. Haga clic en Crear y, a continuación, en Cerrar.

Para crear una regla PBR y enlazar el túnel IPSEC con ella mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Red > PBR.
  2. En la ficha PBR, haga clic en Agregar.
  3. En la página Crear PBR, defina los siguientes parámetros:
    • Nombre
    • Action
    • Tipo de salto siguiente (Seleccionar túnel IP)
    • Nombre del túnel IP
    • IP de origen bajo
    • IP de origen alto
    • IP de destino bajo
    • IP de destino alto
  4. Haga clic en Crear y, a continuación, en Cerrar.

La nueva configuración de túnel de CloudBridge Connector correspondiente en el dispositivo Citrix ADC aparece en la GUI. El estado actual del túnel del conector de CloudBridge se muestra en el panel Connector configurado de CloudBridge. Un punto verde indica que el túnel está arriba. Un punto rojo indica que el túnel está caído. Los siguientes comandos crean la configuración del dispositivo Citrix ADC NS_Appliance-1 en “Ejemplo de una configuración de conector de CloudBridge:

    > add ipsec profile NS_StrongSwan_IPSec_Profile -psk examplepresharedkey -ikeVersion v1 –encAlgo AES –hashalgo HMAC_SHA1


    Done

    > add iptunnel NS_StrongSwan_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_StrongSwan_IPSec_Profile


    Done

    > add pbr NS_StrongSwan_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_StrongSwan_Tunnel


    Done

    > apply pbrs


    Done

Supervisión del túnel de CloudBridge Connector

Puede supervisar el rendimiento de los túneles de CloudBridge Connector en un dispositivo Citrix ADC mediante contadores estadísticos del túnel de CloudBridge Connector. Para obtener más información sobre cómo mostrar las estadísticas del túnel de CloudBridge Connector en un dispositivo Citrix ADC, consulte Supervisión de túneles de conectores de CloudBridge.