Configurar la puerta de enlace de VPN de par

En esta página, se describen los pasos para completar la configuración de tu VPN.

Para completar tu configuración, establece los siguientes recursos en tu puerta de enlace VPN de intercambio de tráfico:

  • Túneles VPN correspondientes a Cloud VPN
  • Sesiones del Protocolo de puerta de enlace fronteriza (BGP) si usas el enrutamiento dinámico con Cloud Router
  • Reglas de firewall
  • Configuración del IKE

Para conocer las prácticas recomendadas cuando configures la puerta de enlace de intercambio de tráfico, consulta la documentación o el fabricante de la puerta de enlace de intercambio de tráfico. Para obtener guías que describen algunos servicios y dispositivos VPN de terceros compatibles, consulta Usa VPN de terceros. Además, hay algunas plantillas de configuración de dispositivos de terceros disponibles para descargar desde la consola de Google Cloud. Para obtener más información, consulta Descarga una plantilla de configuración de VPN de intercambio de tráfico.

Para obtener más información sobre Cloud VPN, consulta los siguientes recursos:

Configura recursos de puerta de enlace de VPN de intercambio de tráfico externa para VPN con alta disponibilidad

Para la puerta de enlace de VPN con alta disponibilidad, debes configurar un recurso de puerta de enlace de VPN de intercambio de tráfico externa que represente la puerta de enlace de intercambio de tráfico física en Google Cloud. También puedes crear este recurso como un recurso independiente y usarlo más adelante.

Para crear una puerta de enlace de VPN de intercambio de tráfico externa, necesitas los siguientes valores de la puerta de enlace de intercambio de tráfico física, que también puede ser una puerta de enlace de terceros basada en software. Para que se establezca la VPN, los valores del recurso de puerta de enlace de VPN de intercambio de tráfico externa deben coincidir con la configuración de la puerta de enlace de intercambio de tráfico física:

  • La cantidad de interfaces en la puerta de enlace de VPN física
  • Dirección o direcciones IP externas para una o más interfaces o puertas de enlace de intercambio de tráfico
  • Dirección o direcciones IP de extremo de BGP
  • La clave IKE precompartida (secreto compartido)
  • El número de ASN

Cuando configuras las sesiones de BGP para VPN con alta disponibilidad y habilitas IPv6, tienes la opción de configurar direcciones de siguiente salto IPv6. Si no las configuras de forma manual, Google Cloud asigna estas direcciones de siguiente salto IPv6 de forma automática.

Para permitir el tráfico de IPv4 e IPv6 (pila doble) en túneles VPN con alta disponibilidad, debes obtener la dirección de siguiente salto IPv6 asignada al par de BGP. Luego, debes configurar la dirección IPv6 de siguiente salto cuando configures los túneles VPN en el dispositivo VPN de intercambio de tráfico. Aunque configuras direcciones IPv6 en las interfaces de túnel de cada dispositivo, las direcciones IPv6 solo se usan para la configuración de siguiente salto IPv6. Las rutas IPv6 se anuncian a través de IPv6 NLRI a través del intercambio de tráfico de BGP IPv4. Para ver ejemplos de configuraciones de direcciones de siguiente salto IPv6, consulta Configura VPN de terceros para el tráfico IPv4 e IPv6.

Para crear un recurso independiente de puerta de enlace de VPN de intercambio de tráfico independiente, completa los siguientes pasos.

Console

  1. En la consola de Google Cloud, ve a la página VPN.

    Ir a VPN

  2. Haz clic en Crear la puerta de enlace de VPN de intercambio de tráfico.

  3. Asigna un Nombre a la puerta de enlace de intercambio de tráfico.

  4. Selecciona la cantidad de interfaces que tiene la puerta de enlace de intercambio de tráfico física: one, two o four.

  5. Agrega la Dirección IP de interfaz para cada interfaz en la puerta de enlace de VPN física.

  6. Haz clic en Crear.

gcloud

Cuando ejecutes el siguiente comando, ingresa el ID de la interfaz y la dirección IP de la puerta de enlace de VPN física. Puedes ingresar 1, 2 o 4 interfaces.

gcloud compute external-vpn-gateways create mygateway \
  --interfaces 0=35.254.128.120,1=35.254.128.121

El resultado del comando debería verse como el ejemplo siguiente:

Creating external VPN gateway...done.
NAME       REDUNDANCY_TYPE
mygateway  TWO_IPS_REDUNDANCY

API

Para este comando, puedes usar esta lista de tipos de redundancia de puerta de enlace.

Realiza una solicitud POST mediante el método externalVpnGateways.insert:

  POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
  {
    "name": "mygateway",
    "interfaces": [
      {
        "id": 0,
        "ipAddress": "35.254.128.120"
      },
      {
        "id": 1,
        "ipAddress": "35.254.128.121"
      },
    ],
    "redundancyType": "TWO_IPS_REDUNDANCY"
  }

Configura túneles VPN

A fin de crear túneles correspondientes para cada túnel de Cloud VPN que hayas creado, consulta la documentación de tu puerta de enlace VPN de intercambio de tráfico.

Para VPN con alta disponibilidad, configura dos túneles en la puerta de enlace de intercambio de tráfico. Un túnel en la puerta de enlace de intercambio de tráfico debe corresponder al túnel de Cloud VPN en interface 0. Otro túnel en la puerta de enlace de intercambio de tráfico debe corresponder al túnel de Cloud VPN en interface 1.

Cada túnel en tu puerta de enlace de intercambio de tráfico también debe usar una dirección IP externa única para que use tu puerta de enlace de VPN con alta disponibilidad.

Configura sesiones de BGP para enrutamiento dinámico

Solo con el enrutamiento dinámico, configura la puerta de enlace de VPN de intercambio de tráfico para admitir sesiones de BGP para las subredes de intercambio de tráfico que deseas anunciar en Cloud Router.

Para configurar la puerta de enlace de intercambio de tráfico, usa los ASN y las direcciones IP de Cloud Router y la información de la puerta de enlace de Cloud VPN. Para obtener el ASN de Google, los ASN configurados de la red de intercambio de tráfico y las direcciones IP de BGP, usa la información de resumen de Cloud Router.

Si configuras la VPN con alta disponibilidad para permitir el tráfico IPv4 e IPv6 (pila doble), debes configurar la puerta de enlace de intercambio de tráfico con la dirección de siguiente salto IPv6 asignada al par de BGP.

Para VPN con alta disponibilidad, el ASN de Google, que es el ASN de intercambio de tráfico desde la perspectiva de la puerta de enlace de VPN de intercambio de tráfico, es el mismo para ambos túneles.

De manera opcional, puedes configurar tus sesiones de BGP para que usen la autenticación MD5.

Configura reglas de firewall

Para las conexiones de VPN con alta disponibilidad que usan IPv6, debes configurar los firewalls a fin de permitir el tráfico de IPv6.

A fin de obtener instrucciones sobre cómo configurar las reglas de firewall para la red de intercambio de tráfico, consulta la página Configura las reglas de firewall.

Configura IKE

Puedes configurar IKE en tu puerta de enlace de VPN de intercambio de tráfico para el enrutamiento dinámico, basado en rutas y basado en políticas.

Los túneles VPN con alta disponibilidad deben usar IKE v2 para admitir el tráfico IPv6.

Si quieres configurar la puerta de enlace de VPN de intercambio de tráfico y el túnel para IKE, usa los parámetros de la tabla siguiente.

Para obtener información sobre cómo conectar Cloud VPN a algunas soluciones de VPN de terceros, consulta Usa VPN de terceros con Cloud VPN. Para obtener información acerca de las opciones de configuración de autenticación y encriptación de IPsec, consulta Algoritmos de cifrado IKE admitidos.

Para IKEv1 y, también, IKEv2

Configuración Valor
Modo IPsec Modo de túnel de autenticación y ESP (sitio a sitio)
Protocolo de autenticación psk
Secreto compartido También se conoce como una clave IKE precompartida. Elige una contraseña segura mediante estos lineamientos. La clave precompartida es sensible porque permite el acceso a tu red.
Iniciar auto (si el dispositivo de intercambio de tráfico se interrumpe, debería reiniciar automáticamente la conexión)
PFS (confidencialidad directa total) on
DPD (detección de intercambio de tráfico inactivo) Recomendada: Aggressive. La DPD detecta cuando la VPN se reinicia y usa túneles alternativos para enrutar el tráfico.
INITIAL_CONTACT
(a veces llamado uniqueids)		 Recomendado: on (a veces llamado restart). Propósito: Detectar reinicios más rápido para reducir el tiempo de inactividad percibido.
TSi (Selector de tráfico: iniciador)

Redes de subred: rangos que especifica la marca --local-traffic-selector. Si --local-traffic-selector no se especificó porque la VPN está en una red de VPC de modo automático y solo anuncia la subred de la puerta de enlace, se usa ese rango de subred.

Redes heredadas: El alcance de la red.
TSr (Selector de tráfico: respondedor)

IKEv2: Los rangos de destino de todas las rutas que tienen --next-hop-vpn-tunnel configurado en este túnel.

IKEv1: De manera arbitraria, el rango de destino de una de las rutas que tiene --next-hop-vpn-tunnel configurado en este túnel.
MTU La unidad de transmisión máxima (MTU) del dispositivo VPN de intercambio de tráfico no debe exceder los 1,460 bytes. Habilita la prefragmentación en tu dispositivo para que los paquetes se fragmenten primero y, luego, se encapsulen. Para obtener más información, consulta las consideraciones de MTU.

Parámetros adicionales solo para IKEv1

Configuración Valor
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
Algoritmo de PFS Grupo 2 (MODP_1024)

Configura selectores de tráfico

Para admitir el tráfico IPv4 y, también, IPv6, configura los selectores de tráfico en tu puerta de enlace de VPN de intercambio de tráfico como 0.0.0.0/0,::/0.

Para admitir solo el tráfico IPv4, establece los selectores de tráfico en tu puerta de enlace de VPN de intercambio de tráfico en 0.0.0.0/0.

¿Qué sigue?