Crear una pasarela de VPN clásica mediante enrutamiento estático

En esta página se describe cómo usar el enrutamiento estático para crear una pasarela de VPN clásica y un túnel. Este túnel es un túnel basado en políticas o en rutas.

Con la VPN basada en rutas, solo se especifica el selector de tráfico remoto. Si necesita especificar un selector de tráfico local, cree un túnel VPN de Cloud que use el enrutamiento basado en políticas.

La VPN clásica no admite IPv6.

Para obtener más información sobre Cloud VPN, consulta los siguientes recursos:

• Para consultar las prácticas recomendadas que debes tener en cuenta antes de configurar Cloud VPN, consulta Prácticas recomendadas.

• Para obtener más información sobre Cloud VPN, consulta la información general sobre Cloud VPN.

• Para ver las definiciones de los términos que se usan en esta página, consulta Términos clave.

Opciones de enrutamiento

Cuando usas la Google Cloud consola para crear un túnel basado en políticas, VPN clásica realiza las siguientes tareas:

• Define el selector de tráfico local del túnel en el intervalo de IPs que especifiques.
• Define el selector de tráfico remoto del túnel en los intervalos de direcciones IP que especifiques en el campo Intervalos de direcciones IP de la red remota.
• Por cada intervalo de Intervalos de direcciones IP de la red remota, Google Cloud crea una ruta estática personalizada cuyo destino (prefijo) es el CIDR del intervalo y cuyo siguiente salto es el túnel.

Después de crear un túnel VPN clásico basado en políticas, los intervalos de direcciones IP que hayas introducido en el campo Intervalos de direcciones IP de la red remota aparecerán como Intervalos de direcciones IP anunciados en la página de detalles del túnel VPN.

Cuando usas la Google Cloud consola para crear un túnel basado en rutas, la VPN clásica realiza las siguientes tareas:

• Define los selectores de tráfico local y remoto del túnel en cualquier dirección IP (0.0.0.0/0).
• Por cada intervalo de Intervalos de direcciones IP de la red remota, Google Cloud se crea una ruta estática personalizada cuyo destino (prefijo) es el CIDR del intervalo y cuyo salto siguiente es el túnel.

Cuando usas la CLI de Google Cloud para crear un túnel basado en políticas o un túnel basado en rutas, los selectores de tráfico del túnel se definen de la misma forma. Sin embargo, como las rutas estáticas personalizadas se crean con comandos independientes, tienes más control sobre ellas.

El número de CIDRs que puedes especificar en un selector de tráfico depende de la versión de IKE.

Para obtener información general importante, consulta lo siguiente:

• Opciones de enrutamiento y selectores de tráfico
• Varios CIDRs por selector de tráfico

Antes de empezar

Configura los siguientes elementos en Google Cloud para que sea más fácil configurar Cloud VPN:

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

4. Si usas la CLI de Google Cloud, define el ID de tu proyecto con el siguiente comando. En las gcloudinstrucciones de esta página se da por hecho que ha definido el ID de su proyecto antes de ejecutar los comandos.

       gcloud config set project PROJECT_ID
       

5. También puedes ver un ID de proyecto que ya se haya definido ejecutando el siguiente comando:

       gcloud config list --format='text(core.project)'
       

Permisos que se necesitan para completar esta tarea

Para llevar a cabo esta tarea, debes tener los siguientes permisos o los siguientes roles de gestión de identidades y accesos.

Permisos

• compute.targetVpnGateways.get
• compute.targetVpnGateways.list
• compute.targetVpnGateways.create
• compute.targetVpnGateways.delete
• compute.targetVpnGateways.use
• compute.targetVpnGateways.setLabels

Roles

• roles/compute.networkAdmin

Crear una red VPC y una subred personalizadas

Antes de crear una pasarela y un túnel de VPN clásica, crea una red de nube privada virtual (VPC) y al menos una subred en la Google Cloud región en la que se encuentre la pasarela de VPN clásica.

• Para crear una red de VPC en modo personalizado (opción recomendada), consulta Crear una red de VPC en modo personalizado.
• Para crear subredes, consulta el artículo Trabajar con subredes.

Crear una pasarela y un túnel

Consola

Configurar la pasarela

1. En la Google Cloud consola, ve a la página VPN.

   Ir a VPN

2. Si es la primera vez que creas una pasarela, haz clic en Crear conexión VPN.

3. Selecciona el asistente de configuración de VPN.

4. Selecciona el botón de opción VPN clásica.

5. Haz clic en Continuar.

6. En la página Crear una conexión VPN, especifica los siguientes ajustes de la pasarela:

   • Nombre: el nombre de la pasarela de VPN. El nombre no se puede cambiar más adelante.
   • Descripción: añade una descripción (opcional).
   • Red: especifica una red de VPC en la que crear la pasarela y el túnel VPN.
   • Región: las pasarelas y los túneles de Cloud VPN son objetos regionales. Elige una Google Cloud región en la que se ubicará la puerta de enlace. Las instancias y otros recursos de diferentes regiones pueden usar el túnel para el tráfico de salida, sujeto al orden de las rutas. Para obtener el mejor rendimiento, ubica la pasarela y el túnel en la misma región que los recursos pertinentes. Google Cloud
   • Dirección IP: crea o elige una dirección IP externa regional.

Configurar túneles

1. En la sección Tunnels (Túneles) del nuevo túnel, especifica los siguientes ajustes:

   • Nombre: el nombre del túnel VPN. El nombre no se puede cambiar más adelante.
   • Descripción: escribe una descripción (opcional).
   • Dirección IP del par remoto: especifica la dirección IP externa de la pasarela VPN de par.
   • Versión de IKE: elige la versión de IKE adecuada que admita la pasarela VPN de par. Se prefiere IKEv2 si el dispositivo peer lo admite.
   • Clave precompartida IKE: proporciona una clave precompartida (secreto compartido) que se usa para la autenticación. La clave precompartida del túnel de Cloud VPN debe coincidir con la que se usa al configurar el túnel correspondiente en la pasarela VPN de par. Para generar una clave precompartida con una criptografía segura, sigue las instrucciones que se indican en el artículo Generar una clave precompartida segura.

   Túneles basados en políticas

   1. En Opciones de enrutamiento, selecciona Basado en políticas.

   2. En Intervalos de IP de red remota, proporciona una lista separada por espacios de los intervalos de IP que usa la red peer. Este es el selector de tráfico remoto o el lado derecho desde la perspectiva de Cloud VPN.

      Después de crear un túnel de VPN clásica basado en políticas, los intervalos de IP que hayas introducido en el campo Intervalos de IP de la red remota aparecerán como Intervalos de IP anunciados en la página de detalles del túnel de VPN.

   3. En Intervalos de IP locales, selecciona uno de los siguientes métodos:

      • Para elegir un intervalo de IP local que ya tengas, usa el menú Subredes locales.
      • Para introducir una lista de intervalos de IP separados por espacios que se usen en tu red VPC, usa el campo Intervalos de IP locales. Para consultar aspectos importantes, consulta Túneles basados en políticas y selectores de tráfico.

   Túneles basados en rutas

   1. En Opciones de enrutamiento, selecciona Basado en la ruta.
   2. En Intervalos de IP de red remota, proporciona una lista separada por espacios de los intervalos de IP que usa la red peer. Estos intervalos se usan para crear rutas estáticas personalizadas cuyo siguiente salto es este túnel VPN.

2. Si necesitas crear más túneles en la misma pasarela, haz clic en Añadir túnel y repite el paso anterior. También puedes añadir más túneles más adelante.

3. Haz clic en Crear.

gcloud

Para crear una pasarela de Cloud VPN, completa la siguiente secuencia de comandos. En los comandos, sustituye lo siguiente:

• PROJECT_ID: el ID de tu proyecto
• NETWORK: el nombre de tu Google Cloud red
• REGION: la Google Cloudregión en la que creas la puerta de enlace y el túnel
• GW_NAME: el nombre de la pasarela
• GW_IP_NAME: nombre de la dirección IP externa que usa la pasarela
• Opcional: --target-vpn-gateway-region es la región de la pasarela de VPN clásica en la que se va a operar. Su valor debe ser el mismo que el de --region. Si no se especifica, esta opción se define automáticamente. Esta opción anula el valor predeterminado de la propiedad compute/region de esta invocación de comando.

Configurar los recursos de la pasarela

1. Crea el objeto de pasarela VPN de destino:

   gcloud compute target-vpn-gateways create GW_NAME \
      --network=NETWORK \
      --region=REGION \
      --project=PROJECT_ID
   

2. Reserva una dirección IP externa regional (estática):

   gcloud compute addresses create GW_IP_NAME \
      --region=REGION \
      --project=PROJECT_ID
   

3. Anota la dirección IP para poder usarla al configurar la pasarela VPN de par:

   gcloud compute addresses describe GW_IP_NAME \
      --region=REGION \
      --project=PROJECT_ID \
      --format='flattened(address)'
   

4. Crea tres reglas de reenvío. Estas reglas indican aGoogle Cloud que envíe el tráfico ESP (IPsec), UDP 500 y UDP 4500 a la pasarela:

   gcloud compute forwarding-rules create fr-GW_NAME-esp \
      --load-balancing-scheme=EXTERNAL \
      --network-tier=PREMIUM \
      --ip-protocol=ESP \
      --address=GW_IP_NAME \
      --target-vpn-gateway=GW_NAME \
      --region=REGION \
      --project=PROJECT_ID
   

   gcloud compute forwarding-rules create fr-GW_NAME-udp500 \
      --load-balancing-scheme=EXTERNAL \
      --network-tier=PREMIUM \
      --ip-protocol=UDP \
      --ports=500 \
      --address=GW_IP_NAME \
      --target-vpn-gateway=GW_NAME \
      --region=REGION \
      --project=PROJECT_ID
   

   gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \
      --load-balancing-scheme=EXTERNAL \
      --network-tier=PREMIUM \
      --ip-protocol=UDP \
      --ports=4500 \
      --address=GW_IP_NAME \
      --target-vpn-gateway=GW_NAME \
      --region=REGION \
      --project=PROJECT_ID
   

Crea el túnel de Cloud VPN

1. En los comandos, sustituye lo siguiente:

   • TUNNEL_NAME: nombre del túnel
   • ON_PREM_IP: la dirección IP externa de la pasarela de VPN de par
   • IKE_VERS: 1 para IKEv1 o 2 para IKEv2
   • SHARED_SECRET: tu clave precompartida (secreto compartido). La clave precompartida del túnel de Cloud VPN debe coincidir con la que se usa al configurar el túnel correspondiente en la pasarela VPN de par. Para generar una clave precompartida con una criptografía segura, sigue las instrucciones que se indican en el artículo Generar una clave precompartida segura.
   • PH1_ENCRYPT_ALGRTHS: lista separada por comas de algoritmos de cifrado admitidos para las negociaciones de asociación de seguridad (SA) IKE de la fase 1. Puedes enumerar los algoritmos en el orden que prefieras.
   • PH1_INTEGRITY_ALGRTHS: lista separada por comas de los algoritmos de integridad admitidos para las negociaciones de la fase 1 de la SA IKE. Puedes enumerar los algoritmos por orden de preferencia.
   • PH1_PRF_ALGRTHS: lista separada por comas de algoritmos de función seudoaleatoria (PRF) admitidos en las negociaciones de SA IKE de la fase 1. Puedes enumerar los algoritmos en el orden de preferencia.
   • PH1_DH_GROUP: lista separada por comas de algoritmos Diffie-Hellman (DH) compatibles con las negociaciones de la fase 1 de IKE SA. Puedes enumerar los algoritmos por orden de preferencia.
   • PH2_ENCRYPT_ALGRTHS: lista separada por comas de algoritmos de cifrado compatibles con las negociaciones de la fase 2 de la SA de IKE. Puedes enumerar los algoritmos por orden de preferencia.
   • PH2_INTEGRITY_ALGRTHS: lista separada por comas de los algoritmos de integridad admitidos para las negociaciones de la SA IKE de la fase 2. Puedes enumerar los algoritmos por orden de preferencia.
   • PH2_PFS_ALGRTHS: lista separada por comas de algoritmos PFS admitidos para las negociaciones de la fase 2 de IKE SA. Puedes enumerar los algoritmos por orden de preferencia.

   Para la VPN basada en políticas:

   • LOCAL_IP_RANGES: lista delimitada por comas de los intervalos de IP.Google Cloud Por ejemplo, puedes proporcionar el bloque CIDR de cada subred de una red de VPC. Este es el lado izquierdo desde la perspectiva de Cloud VPN.
   • REMOTE_IP_RANGES: lista delimitada por comas de los intervalos de IPs de la red del mismo nivel. Este es el lado derecho desde la perspectiva de Cloud VPN.

   Para configurar un túnel VPN basado en políticas, ejecuta el siguiente comando:

   gcloud compute vpn-tunnels create TUNNEL_NAME \
       --peer-address=ON_PREM_IP \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --local-traffic-selector=LOCAL_IP_RANGES \
       --remote-traffic-selector=REMOTE_IP_RANGES \
       --target-vpn-gateway=GW_NAME \
       --region=REGION \
       --project=PROJECT_ID
   

   En las VPN basadas en rutas, los selectores de tráfico local y remoto son 0.0.0.0/0, tal como se define en las opciones de enrutamiento y los selectores de tráfico.

   Para configurar un túnel VPN basado en rutas, ejecuta el siguiente comando:

   gcloud compute vpn-tunnels create TUNNEL_NAME \
       --peer-address=ON_PREM_IP \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --local-traffic-selector=0.0.0.0/0 \
       --remote-traffic-selector=0.0.0.0/0 \
       --target-vpn-gateway=GW_NAME \
       --region=REGION \
       --project=PROJECT_ID
   

   También puedes configurar algoritmos de cifrado para túneles basados en políticas y en rutas. Por ejemplo, para configurar algoritmos de cifrado para un túnel basado en políticas, ejecuta el siguiente comando:

   gcloud beta compute vpn-tunnels create TUNNEL_NAME \
       --peer-address=ON_PREM_IP \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --local-traffic-selector=LOCAL_IP_RANGES \
       --remote-traffic-selector=REMOTE_IP_RANGES \
       --target-vpn-gateway=GW_NAME \
       --region=REGION \
       --project=PROJECT_ID \
       --phase1-encryption=PH1_ENCRYPT_ALGRTHS \
       --phase1-integrity=PH1_INTEGRITY_ALGRTHS \
       --phase1-prf=PH1_PRF_ALGRTHS \
       --phase1-dh=PH1_DH_GROUP \
       --phase2-encryption=PH2_ENCRYPT_ALGRTHS \
       --phase2-integrity=PH2_INTEGRITY_ALGRTHS \
       --phase2-pfs=PH2_PFS_ALGRTHS
   

   Para obtener más información sobre los algoritmos de cifrado compatibles con Cloud VPN, consulta Algoritmos de cifrado IKE compatibles.

2. Crea una ruta estática para cada intervalo de IPs remotas que hayas especificado en la opción --remote-traffic-selector del paso anterior. Repite este comando para cada intervalo de IPs remotas. Sustituye ROUTE_NAME por un nombre único para la ruta y REMOTE_IP_RANGE por el intervalo de IPs remotas adecuado.

   gcloud compute routes create ROUTE_NAME \
       --destination-range=REMOTE_IP_RANGE \
       --next-hop-vpn-tunnel=TUNNEL_NAME \
       --network=NETWORK \
       --next-hop-vpn-tunnel-region=REGION \
       --project=PROJECT_ID
   

Completar la configuración

Antes de poder usar una nueva pasarela de Cloud VPN y su túnel VPN asociado, debes completar los siguientes pasos:

1. Configura la pasarela de VPN de par y el túnel correspondiente. Para obtener instrucciones, consulta lo siguiente:
   • Para obtener instrucciones de configuración específicas para determinados dispositivos de VPN de par, consulta Usar VPNs de terceros.
   • Para ver los parámetros de configuración generales, consulta Configurar la pasarela de VPN de par.
2. Configura las reglas de cortafuegos en Google Cloud y tu red de peer según sea necesario.
3. Comprueba el estado de tu túnel VPN y de las reglas de reenvío.

4. Para ver tus rutas de VPN, ve a la tabla de enrutamiento del proyecto y filtra por Next hop type:VPN tunnel:

   Ir a Rutas

Siguientes pasos

• Para controlar qué direcciones IP se permiten en las pasarelas VPN de otro punto, consulta Restringir direcciones IP para pasarelas VPN de otro punto.
• Para usar escenarios de alta disponibilidad y alto rendimiento o escenarios de varias subredes, consulta las configuraciones avanzadas.
• Para ayudarte a resolver los problemas habituales que pueden surgir al usar Cloud VPN, consulta la sección Solución de problemas.