FortiGateGuías técnicas
VPN IPsec: diferencias entre policy based y route/interface based, y sus valores máximos
En FortiGate, las VPN IPsec pueden estar basadas en políticas o en rutas. Hay poca diferencia entre ambas; en los dos casos se especifican las configuraciones de sus fases 1 y 2. Sin embargo, hay una diferencia en su implementación: una VPN IPsec basada en rutas crea una interfaz de red IPsec virtual que aplica cifrado o descifrado según sea necesario a cualquier tráfico que transporte; por este motivo las VPN basadas en rutas también se conocen como VPN basadas en interfaz. Una VPN IPsec basada en políticas se implementa a través de una política de seguridad especial que aplica el cifrado especificado en las configuraciones de sus fases 1 y 2 (más detalles en este enlace).
Las principales diferencias entre ellas pueden resumirse en:
Características | Policy-based | Route-based |
Disponible en modos NAT y transparente | Sí | Sólo en modo NAT |
Soporte de L2TP-over-IPsec | Sí | Sí |
Soporte de GRE-over-IPsec | No | Sí |
Requisitos de la política de seguridad | Requiere una política de seguridad con acción “IPsec” que especifique el túnel VPN | Requiere únicamente una política de seguridad con una acción “ACCEPT” |
Número de políticas por VPN | Una política controla la conexión en ambos sentidos | Se requieren políticas de seguridad diferentes para permitir las conexiones en cada sentido |
Ambas implementaciones presentan diferentes límites en el número de túneles que pueden establecerse, que se pueden obtener de los datos publicados en la tabla de valores máximos:
Policy-based VPNs
En los datasheets de los equipos FortiGate se especifica un valor denominado “Gateway-to-Gateway IPsec VPN Tunnels” como límite máximo de túneles gw2gwque se pueden definir; este valor está relacionado con las siguientes entradas de la tabla de max-values:
vpn.ipsec.phase1
vpn.ipsec.phase2
Por ejemplo, si un equipo tiene un límite máximo de 2000 fases 1, y 2000 de fases 2, se pueden definir hasta 2000 “Gateway-to-Gateway IPsec VPN Tunnels” en cualquier combinación que se requiera:
- 1 única fase 2 con 2000 fases 2.
- 2000 fases 1, con una única fase 2 cada una.
- Etc.
Route-based VPNs
En este caso, los valores que limitan el número de túneles a definir son:
vpn.ipsec.phase1-interface
vpn.ipsec.phase2-interface
Si estos valores no están definidos (están a 0 en la tabla), el límite total de interfaces del sistema (system.interface ) será el que fije el máximo de túneles (teniendo en cuenta que para este valor suman también el resto de interfaces del equipo). Por ejemplo, si el equipo tiene un valor de system.interface=8192, podrá establecer algo más de 8100 (8192 menos los interfaces del equipo) túneles VPN IPsec del tipo route-based.
Estos límites, sin embargo, no aplican a los túneles de cliente contra el FortiGate; los valores que reflejan los datasheets para “Client-to-Gateway IPsec VPN Tunnels” (así como para “Concurrent SSL-VPN Users” en el caso de los túneles SSL VPN) son orientativos en función del rendimiento de cada equipo (medido sobre una carga de servicios combinados), pero en ningún caso constituyen “límites duros” para estos servicios.