Configurar una puerta de enlace local

La configuración de una puerta de enlace en ESXi se realiza en dos fases:

• Se descarga una imagen de puerta de enlace (archivo OVA) y se despliega en ESXi.

• Se añade la configuración de la puerta de enlace en Sophos Central para generar un archivo ISO (imagen inicial) que se utiliza para iniciar la puerta de enlace en ESXi.

Puede configurar un clúster de puerta de enlace para garantizar la disponibilidad. Para ello, configure instancias adicionales de la puerta de enlace, como se describe aquí.

Si utiliza un proxy de dos brazos, consulte Configuración de red.

Descargar y desplegar una imagen

1. En Sophos Central, vaya a Dispositivos > Instaladores.

2. Busque Zero Trust Network Access.

   1. Haga clic en el enlace de descarga para obtener una imagen de puerta de enlace.
   2. Acepte el acuerdo de licencia y, si el sistema se lo pide, los formularios de cumplimiento de exportación de software.
   3. Se descarga la imagen de la puerta de enlace. Es una imagen OVA genérica de la puerta de enlace ZTNA para servidores ESXi. Puede volver a utilizarla tantas veces como desee.

   

3. Despliegue la imagen OVA en el host ESXi. En VMware vSphere, haga clic con el botón derecho en el host y seleccione Desplegar plantilla OVA. Esto ejecuta un asistente para guiarle en el proceso de despliegue.

   Aviso

   Desactive la opción de encendido automático (el valor predeterminado en ESXi) o impida que la puerta de enlace ZTNA se inicie una vez que haya terminado. Si no lo hace, la puerta de enlace se iniciará sin los archivos ISO y tendrá que empezar de nuevo.

   

Añadir las opciones de configuración e iniciar la puerta de enlace

1. Inicie sesión en Sophos Central y vaya a Mis productos > ZTNA > Puertas de enlace. Haga clic en Añadir puerta de enlace.

   

2. En Modo de puerta de enlace, seleccione Local.

   

3. En Añadir puerta de enlace, haga lo siguiente:

   1. Especifique el nombre de la puerta de enlace y el FQDN.
   2. Introduzca el dominio para los recursos (aplicaciones).
   3. En Tipo de plataforma, seleccione VMware ESXi.

   4. Seleccione el Modo de despliegue.

      • Un brazo utiliza la interfaz externa para el tráfico entrante y saliente.
      • Dos brazos utiliza interfaces tanto externas como internas.

   5. Introduzca los valores de la Interfaz.

      • Si selecciona DHCP, establezca una reserva en el servidor DHCP.

        Aviso

        La puerta de enlace no puede manejar los cambios en su dirección IP. Debe establecer una reserva para asegurarse de que siempre mantiene la dirección IP inicial asignada por DHCP.

      • Si selecciona IP estática, especifique la configuración de la dirección IP, la subred y el servidor DNS.

      En un despliegue de dos brazos, debe especificar Rutas estáticas si tiene aplicaciones alojadas en varias redes internas.

   6. Cargue los certificados que ha creado antes.

   7. Haga clic en Guardar y generar archivo.

   Nota

   En esta versión solo se admite un único certificado comodín.

   

4. En la página Puertas de enlace, el estado de la puerta de enlace es Esperando despliegue.

   La imagen ISO está lista para descargar. La necesitará para iniciar la puerta de enlace y completar el proceso de registro. La ISO es única para cada puerta de enlace. No la puede reutilizar.

   Nota

   Antes de descargar la imagen, le sugerimos que cree un clúster de puerta de enlace. Si no quiere un clúster, vaya al paso 6.

   .

5. Haga clic en la nueva puerta de enlace para abrir su página de detalles. Haga clic en Añadir/Editar instancias.

   

6. En Añadir/Editar instancias, haga lo siguiente:

   1. Haga clic en Añadir otra instancia. El uso de clústeres se activa automáticamente.

   2. Introduzca una IP virtual de clúster. Esto se usa para la administración de clústeres y el equilibrio de carga. Debe estar en el mismo rango de IP que las instancias de la puerta de enlace.

      En un despliegue de dos brazos, la VIP de clúster externa es solo para el equilibrio de carga. Si utiliza un equilibrador de carga externo, déjelo en blanco.

   3. Introduzca un Nombre de equipo virtual y una IP de interfaz para la nueva instancia.

      En un despliegue de dos brazos, introduzca una IP de interfaz interna y externa.

   4. Repita el proceso para añadir otra instancia.

      Nota

      Debe tener al menos tres instancias para un clúster. Puede tener hasta nueve instancias, pero siempre debe ser un número impar.

      Nota

      Para mantener el clúster activo, asegúrese de que al menos la mitad de las puertas de enlace en él estén activas.

   

7. Descargue cada archivo ISO y móntelo en el host. A continuación, conéctelo a la puerta de enlace de la siguiente manera:

   1. Vaya a VMware vSphere.
   2. Haga clic con el botón derecho en el equipo virtual de la puerta de enlace y seleccione Editar configuración.
   3. En la ficha Hardware, en Unidad de CD/DVD, asegúrese de que se muestra el archivo ISO y seleccione Conectar.
   4. En Estado, seleccione Conectar al encender.
   5. Haga clic en Guardar.

   Si aparece un dispositivo serie en el hardware virtual, puede quitarlo de forma segura.

   Cuando la puerta de enlace se inicia con el archivo ISO, se pondrá en contacto con Sophos Central para registrarse.

   

8. Vuelva a Sophos Central. En la página Puertas de enlace, el estado de la puerta de enlace cambia a Esperando aprobación.

   Cuando se le solicite, apruebe el registro de la puerta de enlace.

   La aprobación puede tardar hasta diez minutos en surtir efecto. A continuación, el estado de la puerta de enlace cambia a Conectado. Verá una opción para crear una contraseña si lo desea.

   Nota

   Si tiene un clúster de instancias de puerta de enlace, la aprobación de registro de puerta de enlace solo es necesaria para la primera instancia de puerta de enlace. Las instancias posteriores se gestionan sin aprobación explícita.

   Nota

   El archivo ISO debe permanecer conectado a la puerta de enlace. No puede desmontarlo después de haber iniciado la puerta de enlace.

Ha acabado de configurar la puerta de enlace local.

Cuando hay una nueva versión de equipo virtual disponible, aparece una marca de verificación verde en la columna de la versión. Haga clic en el número de versión para iniciar o programar una actualización. Consulte Actualizaciones de puerta de enlace en Puertas de enlace.

Para configurar una puerta de enlace en Microsoft Hyper-V, haga lo siguiente:

• Descargue e implemente la imagen de VM de puerta de enlace.

• Añada la configuración de la puerta de enlace para generar un archivo ISO (“imagen inicial”).

• Descargue el archivo ISO e inicie la puerta de enlace.

Descargar y desplegar una imagen

1. En Sophos Central, vaya a Dispositivos > Instaladores.

2. En Zero Trust Network Access, haga clic en Descargar imagen de equipo virtual de puerta de enlace para Hyper-V.

   Se descarga un archivo ZIP que contiene la imagen de VM.

   

3. Extraiga la imagen base de Hyper-V del archivo ZIP que ha descargado.

   Esto le da el archivo .vhdx que necesita para configurar la puerta de enlace. No puede utilizar este archivo para implementar más de un equipo virtual, pero puede hacer copias y utilizarlas para equipos virtuales adicionales.

4. En Administrador de Hyper-V, en la lista Máquinas virtuales, en Acciones, haga clic en Nuevo.

   

5. Introduzca un nombre para la VM.

   

6. Seleccione la generación. Generación 1 es compatible con sistemas operativos de 32 y 64 bits.

   

7. En Asignar memoria, introduzca al menos 4096 MB de memoria de inicio.

   

8. En Configurar funciones de red, seleccione un adaptador de red.

   

9. En Conectar disco duro virtual, seleccione Usar un disco duro virtual existente y busque el archivo .vhdx que extrajo de la descarga de la imagen de VM.

   

10. Haga clic en Finalizar.

    

11. Vaya a la Configuración del nuevo equipo virtual.

    1. En Hardware > Procesadores, establezca el Número de procesadores virtuales en 2.

    2. Si la puerta de enlace se encuentra en un despliegue de dos brazos, vaya a Adaptador de red y añada otro adaptador a la VM.

    

    Nota

    Si está utilizando redes VLAN, asegúrese de etiquetar las interfaces de red con los ID de VLAN apropiados.

12. Haga clic en Aplicar y Guardar.

Añadir la configuración de la puerta de enlace

1. Inicie sesión en Sophos Central y vaya a Mis productos > ZTNA > Puertas de enlace. Haga clic en Añadir puerta de enlace.

   

2. En Modo de puerta de enlace, seleccione Local.

   

3. En Añadir puerta de enlace, haga lo siguiente:

   1. Especifique el nombre de la puerta de enlace y el FQDN.
   2. Introduzca el dominio para los recursos (aplicaciones).
   3. En Tipo de plataforma, seleccione Hyper-V.

   4. Seleccione el Modo de despliegue.

      • Un brazo utiliza la interfaz externa para el tráfico entrante y saliente.
      • Dos brazos utiliza interfaces tanto externas como internas.

   5. Introduzca los valores de la Interfaz.

      • Si selecciona DHCP, establezca una reserva en el servidor DHCP.

        Aviso

        La puerta de enlace no puede manejar los cambios en su dirección IP. Debe establecer una reserva para asegurarse de que siempre mantiene la dirección IP inicial asignada por DHCP.

      • Si selecciona IP estática, introduzca la configuración de la dirección IP, la subred y el servidor DNS.

      En un despliegue de dos brazos, debe especificar Rutas estáticas si tiene aplicaciones alojadas en varias redes internas.

   6. Cargue los certificados que ha creado antes.

   7. Haga clic en Guardar y generar archivo.

   Nota

   En esta versión solo se admite un único certificado comodín.

   

4. En la página Puertas de enlace, el estado de la nueva puerta de enlace es Esperando despliegue. Haga clic en la puerta de enlace para ver los detalles.

   

5. En los detalles de la puerta de enlace, puede ver que la imagen ISO está lista para descargar. La necesitará para iniciar la puerta de enlace. La ISO es única para cada puerta de enlace. No la puede reutilizar.

   Antes de descargar la imagen, le sugerimos que cree un clúster de puerta de enlace. Si no desea un clúster, vaya directamente a la sección Descargar archivos ISO e iniciar la puerta de enlace.

   

6. En los detalles de la puerta de enlace, haga clic en Añadir/Editar instancias.

   

7. En Añadir/Editar instancias, haga clic en Añadir otra instancia. El uso de clústeres se activa automáticamente.

   

8. Introduzca los detalles de la nueva instancia de la siguiente manera:

   1. Introduzca una IP virtual de clúster. Esto se usa para la administración de clústeres y el equilibrio de carga. Debe ser una dirección IP que no haya utilizado antes en esta configuración, y debe estar en el mismo rango IP que las instancias de la puerta de enlace.

      Sugerencia

      En un despliegue de dos brazos, la dirección IP de la interfaz externa solo se utiliza para el equilibrio de carga. Si utiliza un equilibrador de carga externo, deje este campo en blanco.

   2. Introduzca un Nombre de equipo virtual y una IP de interfaz para la nueva instancia.

      En un despliegue de dos brazos, introduzca una IP de interfaz interna y externa.

   3. Repita el proceso para añadir otra instancia.

      Nota

      Debe tener al menos tres instancias para un clúster. Puede tener hasta nueve instancias, pero siempre debe ser un número impar.

      Nota

      Para mantener el clúster activo, asegúrese de que al menos la mitad de las puertas de enlace en él estén activas.

   

A continuación, descargue los archivos ISO e inicie la puerta de enlace.

Descargar archivos ISO e iniciar la puerta de enlace

Descargue el archivo ISO para cada instancia, adjúntelos al equipo virtual de la puerta de enlace e inicie la puerta de enlace de la siguiente manera:

1. En los detalles de la puerta de enlace, vaya a cada instancia y haga clic en Descargar imagen.

   

2. En Administrador de Hyper-V, vaya a Configuración de la VM. En Unidad de DVD, haga lo siguiente:

   1. En Controladora, seleccione Controladora IDE 1.
   2. En Medios, seleccione Archivo de imagen e introduzca la ruta al ISO inicial.
   3. Haga clic en Aplicar y Guardar.

   Nota

   El archivo ISO debe permanecer conectado a la puerta de enlace. No puede desmontarlo después de haber iniciado la puerta de enlace.

   

3. Encienda las instancias de la puerta de enlace. Espere unos minutos.

4. En Sophos Central, vaya a Mis productos > ZTNA > Puertas de enlace y haga clic en la nueva puerta de enlace para abrir su página de detalles.

   El estado de la puerta de enlace cambia a En espera de aprobación de la puerta de enlace. Haga clic en Aprobar.

   

   Nota

   Si tiene un clúster de instancias de puerta de enlace, la aprobación de registro de puerta de enlace solo es necesaria para la primera instancia de puerta de enlace. Las instancias posteriores se gestionan sin aprobación explícita.

5. El estado de la puerta de enlace cambia a Activo.

Ha acabado de configurar la puerta de enlace local.

Cuando hay una nueva versión de equipo virtual disponible, aparece una marca de verificación verde en la columna de la versión. Haga clic en el número de versión para iniciar o programar una actualización. Consulte Actualizaciones de puerta de enlace en Puertas de enlace.

Para configurar una puerta de enlace ZTNA en Amazon Web Services (AWS), haga lo siguiente:

1. En Sophos Central, vaya a Mis productos > ZTNA > Puertas de enlace.

   

2. En la página Puertas de enlace, haga clic en Añadir puerta de enlace.

   

3. En Modo de puerta de enlace, seleccione Local.

   

4. En el cuadro de diálogo Añadir puerta de enlace, especifique las opciones siguientes:

   1. Especifique el nombre de la puerta de enlace y el FQDN.
   2. Introduzca el dominio para los recursos (aplicaciones).
   3. En Tipo de plataforma, seleccione Amazon Web Services.
   4. En Proveedor de identidad, seleccione el proveedor de identidad que ha configurado anteriormente.
   5. Cargue los certificados que ha creado antes.
   6. Haga clic en Guardar.

   

5. En la página Puertas de enlace, ahora verá la nueva puerta de enlace. Haga clic en el enlace Iniciar pila junto a ella.

   

Crear una pila en AWS

En AWS, en CloudFormation, verá la plantilla Quick create stack. La hemos configurado en parte. Siga los pasos que se indican a continuación para completarla.

1. En la página Quick create stack, haga lo siguiente:

   1. Seleccione una región AWS (parte superior derecha de la pantalla).
   2. En Stack name, personalice el nombre de la pila.

   

2. En Basic configuration, seleccione dos o tres zonas de disponibilidad para garantizar la disponibilidad de la puerta de enlace.

   

3. En VPC network configuration, haga lo siguiente:

   1. Defina el número de zonas de disponibilidad. Debe coincidir con el número de zonas que ha seleccionado en el paso anterior.
   2. Asegúrese de que las subredes no entran en conflicto con los recursos existentes.
   3. En MaxNumberOfNodes, establezca el número máximo de nodos. Por defecto es tres.
   4. En NodeInstanceType, seleccione el tipo de instancia de EC2 que desea utilizar.
   5. En NumberOfNodes, indique el número de nodos que desee. El valor predeterminado es uno para cada zona de disponibilidad.

   Actualmente, el escalado automático no está disponible para ZTNA.

   

4. Haga clic en Create stack y espere a que finalice el proceso. Puede tardar hasta 1 hora. Cuando haya terminado, la nueva pila se mostrará en la lista de pilas de AWS y tendrá este aspecto:

   

5. En Sophos Central, vaya a la nueva puerta de enlace. Haga clic en Aprobar.

   La aprobación puede tardar hasta diez minutos en surtir efecto. A continuación, el estado de la puerta de enlace cambia a Conectado.

   

   Nota

   Si tiene un clúster de instancias de puerta de enlace, la aprobación de registro de puerta de enlace solo es necesaria para la primera instancia de puerta de enlace. Las instancias posteriores se gestionan sin aprobación explícita.

Configurar su nueva VPC

Configure la nube privada virtual (VPC) de la siguiente manera:

1. En AWS, vaya a Virtual Private Cloud > Your VPCs.

   

2. Vaya a su nueva VPC y busque el ID de VPC. Puede utilizar este ID para buscar los demás componentes que ha creado.

   

3. Vaya a sus instancias de EC2 y busque instancias con el ID de la nueva VPC. Esto busca las instancias que componen el clúster de la puerta de enlace ZTNA. Cámbieles el nombre.

   

   Nota

   Para mantener el clúster activo, asegúrese de que al menos la mitad de las puertas de enlace en él estén activas.

4. En Load balancing, utilice el ID de VPC para encontrar el equilibrador de carga para ZTNA. Abra sus detalles y copie el DNS name. Lo necesita para crear un registro DNS público (CNAME) para la puerta de enlace, que apunta al equilibrador de carga.

   

Crear una interconexión

La puerta de enlace siempre se encuentra en una nueva VPC, por lo que debe utilizar una interconexión para conectarla a la VPC donde se encuentran sus aplicaciones.

1. Vaya a VPC > Peering connections. Haga clic en Create peering connection y haga lo siguiente:

   1. En VPC ID (Requester), seleccione el ID de la puerta de enlace ZTNA.
   2. En VPC ID (Accepter), seleccione la VPC en la que se encuentran los recursos.
   3. Haga clic en Create peering connection.

   

2. Vaya a Subnets y añada la subred de los recursos y las subredes privadas de la puerta de enlace a las tablas de rutas. Esto permite a ZTNA utilizar la interconexión para conectarse a los recursos.

   

Ha acabado de configurar la puerta de enlace local.

Cuando hay una nueva versión de equipo virtual disponible, aparece una marca de verificación verde en la columna de la versión. Haga clic en el número de versión para iniciar o programar una actualización. Consulte Actualizaciones de puerta de enlace en Puertas de enlace.