En esta página se describen los pasos que debe seguir para completar la configuración de la VPN.
Para completar la configuración, configura los siguientes recursos en tu pasarela de VPN de par:
- Túneles VPN correspondientes a Cloud VPN
- Sesiones del protocolo de pasarela fronteriza (BGP) si usas el enrutamiento dinámico con Cloud Router
- Reglas de cortafuegos
- Ajustes de IKE
Para consultar las prácticas recomendadas al configurar tu pasarela de par, consulta la documentación o el fabricante de la pasarela de par. Para consultar guías que describen algunos dispositivos y servicios de VPN de terceros compatibles, consulta Usar VPNs de terceros. Además, puedes descargar algunas plantillas de configuración de dispositivos de terceros desde la Google Cloud consola. Para obtener más información, consulta Descargar una plantilla de configuración de VPN de par.
Para obtener más información sobre Cloud VPN, consulta los siguientes recursos:
Para consultar las prácticas recomendadas que debes tener en cuenta antes de configurar Cloud VPN, consulta Prácticas recomendadas.
Para obtener más información sobre Cloud VPN, consulta la información general sobre Cloud VPN.
Para ver las definiciones de los términos que se usan en esta página, consulta Términos clave.
Configurar recursos de pasarela de VPN de par externa para VPN de alta disponibilidad
En el caso de la VPN de alta disponibilidad, se configura un recurso de pasarela de VPN de par externa que representa la pasarela de par física en Google Cloud. También puedes crear este recurso como recurso independiente y usarlo más adelante.
Para crear un recurso de pasarela de VPN de par externa, necesitas los siguientes valores de tu pasarela de par física, que también puede ser una pasarela de software de terceros. Para que se establezca la VPN, los valores del recurso de pasarela de VPN de par externa deben coincidir con la configuración de tu pasarela de par física:
- El número de interfaces de tu pasarela VPN física
- Dirección o direcciones IP externas de una o varias pasarelas o interfaces de peer
- Dirección o direcciones IP del endpoint de BGP
- Clave precompartida IKE (secreto compartido)
- El número de ASN
Cuando configuras las sesiones de BGP para la VPN de alta disponibilidad y habilitas IPv6, puedes configurar direcciones IPv6 de salto siguiente. Si no los configura manualmente, Google Cloud le asignará automáticamente estas direcciones IPv6 de salto siguiente.
Para permitir el tráfico IPv4 e IPv6 (de pila dual) en túneles VPN de alta disponibilidad, debes obtener la dirección IPv6 del siguiente salto asignada al peer de BGP. A continuación, debes configurar la dirección del siguiente salto IPv6 al configurar los túneles VPN en tu dispositivo VPN de peer. Aunque configures direcciones IPv6 en las interfaces de túnel de cada dispositivo, estas direcciones solo se utilizan para la configuración del siguiente salto de IPv6. Las rutas IPv6 se anuncian a través de NLRI IPv6 mediante el peering BGP IPv4. Para ver ejemplos de configuraciones de direcciones IPv6 del siguiente salto, consulta Configurar VPNs de terceros para el tráfico IPv4 e IPv6.
Para crear un recurso de pasarela de VPN de par externa independiente, sigue estos pasos.
Consola
En la Google Cloud consola, ve a la página VPN.
Haz clic en Crear pasarela de VPN de par.
Asigna un nombre a la pasarela de par.
Selecciona el número de interfaces que tiene tu pasarela física de mismo nivel:
one,twoofour.Añade la dirección IP de la interfaz de cada interfaz de tu pasarela VPN física.
Haz clic en Crear.
gcloud
Cuando ejecutes el siguiente comando, introduce el ID de la interfaz y la dirección IP de tu pasarela VPN física. Puedes introducir 1, 2 o 4 interfaces.
gcloud compute external-vpn-gateways create mygateway \ --interfaces 0=35.254.128.120,1=35.254.128.121
La salida del comando debería ser similar al siguiente ejemplo:
Creating external VPN gateway...done. NAME REDUNDANCY_TYPE mygateway TWO_IPS_REDUNDANCY
API
Para este comando, puedes usar esta lista de tipos de redundancia de pasarela.
Haz una solicitud POST con el método externalVpnGateways.insert.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
{
"name": "mygateway",
"interfaces": [
{
"id": 0,
"ipAddress": "35.254.128.120"
},
{
"id": 1,
"ipAddress": "35.254.128.121"
},
],
"redundancyType": "TWO_IPS_REDUNDANCY"
}
Configurar túneles VPN
Para crear los túneles correspondientes a cada túnel de Cloud VPN que hayas creado, consulta la documentación de tu pasarela VPN de par.
En el caso de las VPN de alta disponibilidad, configura dos túneles en tu pasarela de par.
Un túnel de la pasarela de la otra VPN debe corresponderse con el túnel de Cloud VPN de interface 0. Otro túnel de la pasarela de emparejamiento debe corresponderse
con el túnel VPN de Cloud de interface 1.
Cada túnel de tu pasarela de otro proveedor también debe usar una dirección IP externa única para que la use tu pasarela VPN de alta disponibilidad.
Configurar sesiones de BGP para el enrutamiento dinámico
Solo para el enrutamiento dinámico, configura tu pasarela de VPN de par para que admita sesiones de BGP para las subredes de par que quieras anunciar a Cloud Router.
Para configurar tu pasarela de par, usa los ASNs y las direcciones IP de tu Cloud Router, así como la información de tu pasarela de VPN de Cloud. Para obtener el ASN de Google, los ASNs de la red del peer configurados y las direcciones IP de BGP, usa la información de resumen de Cloud Router.
Si vas a configurar una VPN de alta disponibilidad para permitir el tráfico IPv4 e IPv6 (de pila dual), debes configurar la puerta de enlace del peer con la dirección del siguiente salto IPv6 asignada al peer de BGP.
En el caso de las VPNs de alta disponibilidad, el ASN de Google (que es el ASN de la red de otro proveedor desde la perspectiva de tu pasarela de VPN de par) es el mismo para ambos túneles.
También puedes configurar tus sesiones de BGP para que usen la autenticación MD5.
Configurar reglas de cortafuegos
En las conexiones de VPN de alta disponibilidad que usan IPv6, debes configurar los cortafuegos para permitir el tráfico IPv6.
Para obtener instrucciones sobre cómo configurar reglas de cortafuegos para tu red entre iguales, consulta Configurar reglas de cortafuegos.
Configurar IKE
Puedes configurar IKE en tu pasarela de VPN de par para el enrutamiento dinámico, basado en rutas y basado en políticas.
Los túneles de VPN de alta disponibilidad deben usar IKE versión 2 para admitir el tráfico IPv6.
Para configurar la pasarela y el túnel de VPN de par para IKE, usa los parámetros de la siguiente tabla.
Para obtener información sobre cómo conectar Cloud VPN a algunas soluciones de VPN de terceros, consulta el artículo Usar redes VPN de terceros con Cloud VPN. Para obtener información sobre la configuración de cifrado y autenticación de IPsec, consulta Cifrados IKE admitidos.
Para IKEv1 e IKEv2
| Ajuste | Valor |
|---|---|
| Modo IPsec | Modo Túnel ESP+Auth (de sitio a sitio) |
| Protocolo de autenticación | psk |
| Secreto compartido | También se conoce como clave precompartida IKE. Elige una contraseña segura siguiendo estas directrices. La clave precompartida es información sensible porque permite acceder a tu red. |
| Iniciar | auto (si el dispositivo emparejado se desconecta, debería reiniciar automáticamente la conexión) |
| PFS (confidencialidad directa perfecta) | on |
| DPD (detección de entidad par inactiva) | Recomendación: Aggressive. DPD detecta cuándo se reinicia la VPN y usa túneles alternativos para enrutar el tráfico. |
| INITIAL_CONTACT (a veces se llama uniqueids) |
Recomendado: on (a veces llamado restart).
Propósito: detectar los reinicios más rápido para reducir el tiempo de inactividad percibido. |
| TSi (Traffic Selector - Initiator) | Redes de subred: los intervalos especificados por la marca Redes antiguas: el intervalo de la red. |
| TSr (selector de tráfico - respuesta) | IKEv2: los intervalos de destino de todas las rutas que tengan IKEv1: de forma arbitraria, el intervalo de destino de una de las rutas que tiene |
| MTU | La unidad máxima de transmisión (MTU) del dispositivo VPN del mismo nivel no debe superar los 1460 bytes. Habilita la prefragmentación en tu dispositivo para que los paquetes se fragmenten primero y, después, se encapsulen. Para obtener más información, consulta Consideraciones sobre la MTU. |
Parámetros adicionales solo para IKEv1
| Ajuste | Valor |
|---|---|
| IKE/ISAKMP | aes128-sha1-modp1024 |
| ESP | aes128-sha1 |
| Algoritmo PFS | Grupo 2 (MODP_1024) |
Configurar selectores de tráfico
Para admitir el tráfico IPv4 e IPv6, define los selectores de tráfico de tu pasarela VPN de otro proveedor como 0.0.0.0/0,::/0.
Para admitir solo el tráfico IPv4, define los selectores de tráfico de tu pasarela de VPN de otro proveedor como 0.0.0.0/0.
Siguientes pasos
- Para descargar una plantilla de configuración de tu dispositivo VPN de par, consulta Descargar una plantilla de configuración de VPN de par.
- Para configurar reglas de cortafuegos en tu red entre iguales, consulta Configurar reglas de cortafuegos.
- Para usar escenarios de alta disponibilidad y alto rendimiento o escenarios de varias subredes, consulta las configuraciones avanzadas.
- Para ayudarte a resolver los problemas habituales que pueden surgir al usar Cloud VPN, consulta la sección Solución de problemas.