En esta página se proporcionan guías de interoperabilidad probadas por Google y notas específicas de proveedores para dispositivos o servicios VPN de terceros que puedes usar para conectarte a Cloud VPN.
Cada guía de interoperabilidad ofrece instrucciones específicas para conectar la solución VPN de terceros a Cloud VPN. Si la solución de terceros admite el enrutamiento dinámico (BGP), la guía incluye instrucciones de configuración para Cloud Router.
La mayoría de los dispositivos VPN de los pares deberían ser compatibles con Cloud VPN. Para obtener información general sobre cómo configurar dispositivos VPN de par, consulta Configurar la pasarela de VPN de par.
Cualquier dispositivo o servicio de terceros que admita las versiones 1 o 2 de IPsec e IKE debería ser compatible con Cloud VPN. Para ver una lista de los cifrados IKE y otros parámetros de configuración que usa Cloud VPN, consulta Cifrados IKE admitidos.
Algunas plantillas de configuración de dispositivos de terceros se pueden descargar desde la consola Google Cloud . Para obtener más información, consulta Descargar una plantilla de configuración de VPN de par.
IPv6 solo se admite en configuraciones de VPN de alta disponibilidad. La VPN clásica no admite IPv6.
Para obtener más información sobre Cloud VPN, consulta la información general sobre Cloud VPN.
Para ver las definiciones de los términos que se usan en esta página, consulta Términos clave.
Guías de interoperabilidad por proveedor
En esta sección se enumeran las guías de interoperabilidad por proveedor. En cada guía se explica cómo usar la solución de pasarela de VPN de ese proveedor con Cloud VPN.
Para consultar notas detalladas sobre los proveedores que se indican en esta sección, consulta la sección de notas específicas de los proveedores.
A-L
| Guía | Notas |
|---|---|
| Pasarela VPN de Alibaba Cloud sin redundancia | Solo admite rutas estáticas. |
| Pasarela VPN de Alibaba Cloud con redundancia | Solo admite rutas estáticas. |
| Amazon Web Services con VPN de alta disponibilidad | Solo admite el enrutamiento dinámico con Cloud Router. Problema conocido: cuando se configuran túneles VPN en AWS, es obligatorio usar IKEv2 y configurar menos conjuntos de transformación IKE en AWS. |
| Amazon Web Services con VPN clásica | Admite rutas estáticas o enrutamiento dinámico con Cloud Router. |
| Cisco ASA 5506H con VPN de alta disponibilidad | Solo admite el enrutamiento dinámico con Cloud Router. |
| Cisco ASA 5505 con VPN clásica | Solo admite rutas estáticas. |
| Cisco ASR | Admite rutas estáticas o enrutamiento dinámico con Cloud Router. |
| Pasarela de seguridad de Check Point | Admite rutas estáticas o enrutamiento dinámico con Cloud Router. |
| FortiGate de Fortinet con VPN de alta disponibilidad | Solo admite el enrutamiento dinámico con Cloud Router. |
| FortiGate 300C de Fortinet con VPN clásica | Admite rutas estáticas o enrutamiento dinámico con Cloud Router. |
| Juniper SRX | Admite rutas estáticas o enrutamiento dinámico con Cloud Router. |
M-Z
| Guía | Notas |
|---|---|
| Microsoft Azure con VPN de alta disponibilidad | Solo admite el enrutamiento dinámico con Cloud Router. |
| Palo Alto Networks PA-3020 | Admite rutas estáticas o enrutamiento dinámico con Cloud Router. |
| strongSwan | Admite el enrutamiento dinámico con Cloud Router y BIRD. |
Notas específicas del proveedor
Las siguientes directrices específicas de cada proveedor te ayudarán a configurar tus dispositivos VPN de terceros para que funcionen con Cloud VPN.
Check Point
La VPN de Check Point implementa IKEv2 creando varias asociaciones de seguridad secundarias (SAs) cuando se especifica más de un CIDR por selector de tráfico. Esta implementación no es compatible con Cloud VPN, que requiere que todos los CIDRs del selector de tráfico local y todos los CIDRs del selector de tráfico remoto se encuentren en una única SA secundaria. Para obtener sugerencias sobre cómo crear una configuración compatible, consulta Estrategias de selector de tráfico.
Cisco
Si tu gateway de VPN usa Cisco IOS XE, asegúrate de que estás usando la versión 16.6.3 (Everest) o una posterior. Las versiones anteriores tienen problemas conocidos con los eventos de cambio de clave de la fase 2, lo que provoca que los túneles se inactiven durante unos minutos cada pocas horas.
Cisco ASA admite VPN basada en rutas con interfaz de túnel virtual (VTI) en IOS versión 9.7(x) y posteriores. Para obtener más información, consulta las siguientes secciones:
Cuando se usan dispositivos Cisco ASA con un túnel de Cloud VPN, no se puede configurar más de un intervalo de direcciones IP (bloque CIDR) para cada uno de los selectores de tráfico local y remoto. Esto se debe a que los dispositivos Cisco ASA usan un SA único para cada intervalo de direcciones IP de un selector de tráfico, mientras que Cloud VPN usa un solo SA para todos los intervalos de IP de un selector de tráfico. Para obtener más información, consulta Túneles basados en políticas y selectores de tráfico.
Siguientes pasos
- Para configurar tu VPN de terceros para el tráfico de doble pila (IPv4 e IPv6) o solo IPv6, consulta Configurar VPNs de terceros para el tráfico IPv4 e IPv6.
- Para configurar reglas de cortafuegos en tu red entre iguales, consulta Configurar reglas de cortafuegos.
- Para usar escenarios de alta disponibilidad y alto rendimiento o escenarios de varias subredes, consulta las configuraciones avanzadas.
- Para ayudarte a resolver los problemas habituales que pueden surgir al usar Cloud VPN, consulta la sección Solución de problemas.