Configura la puerta de enlace de VPN de intercambio de tráfico

En esta página, se describen los pasos para completar la configuración de tu VPN.

Para completar tu configuración, establece los siguientes recursos en tu puerta de enlace VPN de intercambio de tráfico:

  • Túneles VPN correspondientes a Cloud VPN
  • Sesiones del protocolo de puerta de enlace fronteriza (BGP) si usas enrutamiento dinámico con Cloud Router
  • Reglas de firewall
  • Configuración del IKE

Si deseas conocer las prácticas recomendadas para configurar tu puerta de enlace de intercambio de tráfico, consulta la documentación o el fabricante de la puerta de enlace de intercambio de tráfico. Para obtener guías que describen algunos servicios y dispositivos VPN de terceros compatibles, consulta Usa VPN de terceros con Cloud VPN.

Para obtener más información sobre Cloud VPN, consulta los siguientes recursos:

Configura recursos de puerta de enlace de VPN de intercambio de tráfico externa para VPN con alta disponibilidad

Para la puerta de enlace de VPN con alta disponibilidad, debes configurar un recurso de puerta de enlace de VPN de intercambio de tráfico externa que represente la puerta de enlace de intercambio de tráfico física en Google Cloud. También puedes crear este recurso como un recurso independiente y usarlo más adelante.

Para crear una puerta de enlace de VPN de intercambio de tráfico externa, necesitas los siguientes valores de la puerta de enlace de intercambio de tráfico física, que también puede ser una puerta de enlace de terceros basada en software. Para que se establezca la VPN, los valores del recurso de puerta de enlace VPN externa de intercambio de tráfico deben coincidir con la configuración de la puerta de enlace de intercambio de tráfico física:

  • La cantidad de interfaces en la puerta de enlace de VPN física
  • Dirección o direcciones IP externas para una o más interfaces o puertas de enlace de intercambio de tráfico
  • Dirección o direcciones IP de extremo de BGP
  • La clave IKE precompartida (secreto compartido)
  • El número de ASN

Para crear un recurso independiente de puerta de enlace de VPN de intercambio de tráfico independiente, completa los siguientes pasos.

Console

  1. En Google Cloud Console, ve a la página VPN.

    Ir a VPN

  2. Haz clic en Crear puerta de enlace de VPN de intercambio de tráfico.

  3. Asigna un Nombre a la puerta de enlace de intercambio de tráfico.

  4. Selecciona la cantidad de interfaces que tiene la puerta de enlace de intercambio de tráfico física: one, two o four.

  5. Agrega la Dirección IP de interfaz para cada interfaz en la puerta de enlace de VPN física.

  6. Haz clic en Crear.

gcloud

Cuando ejecutes el siguiente comando, ingresa el ID de interfaz y la dirección IP para tu puerta de enlace VPN física. Puedes ingresar 1, 2 o 4 interfaces.

gcloud compute external-vpn-gateways create mygateway \
  --interfaces 0=35.254.128.120,1=35.254.128.121

El resultado del comando debería verse como el ejemplo siguiente:

Creating external VPN gateway...done.
NAME       REDUNDANCY_TYPE
mygateway  TWO_IPS_REDUNDANCY

API

Para este comando, puedes usar esta lista de tipos de redundancia de puerta de enlace.

Realiza una solicitud POST con el método externalVpnGateways.insert.

  POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
  {
    "name": "mygateway",
    "interfaces": [
      {
        "id": 0,
        "ipAddress": "35.254.128.120"
      },
      {
        "id": 1,
        "ipAddress": "35.254.128.121"
      },
    ],
    "redundancyType": "TWO_IPS_REDUNDANCY"
  }

Configura túneles VPN

A fin de crear túneles correspondientes para cada túnel de Cloud VPN que hayas creado, consulta la documentación de tu puerta de enlace VPN de intercambio de tráfico.

Para VPN con alta disponibilidad, configura dos túneles en la puerta de enlace de intercambio de tráfico. Un túnel en la puerta de enlace de intercambio de tráfico debe corresponder al túnel de Cloud VPN en interface 0. Otro túnel en la puerta de enlace de intercambio de tráfico debe corresponder al túnel de Cloud VPN en interface 1.

Cada túnel en tu puerta de enlace de intercambio de tráfico también debe usar una dirección IP externa única para que use tu puerta de enlace de VPN con alta disponibilidad.

Configura sesiones de BGP para el enrutamiento dinámico

Solo con el enrutamiento dinámico, configura la puerta de enlace de VPN de intercambio de tráfico para admitir sesiones de BGP para las subredes de intercambio de tráfico que deseas anunciar en Cloud Router.

Para configurar tu puerta de enlace de intercambio de tráfico, usa los ASN y las direcciones IP de tu Cloud Router y la información de tu puerta de enlace de Cloud VPN. Para obtener el ASN de Google, los ASN configurados de la red de intercambio de tráfico y las direcciones IP de BGP, usa la información de resumen de Cloud Router.

Para VPN con alta disponibilidad, el ASN de Google, que es el ASN de intercambio de tráfico desde la perspectiva de la puerta de enlace de VPN de intercambio de tráfico, es el mismo para ambos túneles.

Configura las reglas de firewall

A fin de obtener instrucciones sobre cómo configurar las reglas de firewall para la red de intercambio de tráfico, consulta la página Configura las reglas de firewall.

Configurar IKE

Puedes configurar IKE en tu puerta de enlace de VPN de intercambio de tráfico para el enrutamiento dinámico, basado en rutas y basado en políticas.

Si quieres configurar la puerta de enlace de VPN de intercambio de tráfico y el túnel para IKE, usa los parámetros de la tabla siguiente.

Para obtener información sobre cómo conectar Cloud VPN a algunas soluciones de VPN de terceros, consulta Usa VPN de terceros con Cloud VPN. Para obtener información acerca de las opciones de configuración de autenticación y encriptación de IPsec, consulta Algoritmos de cifrado IKE admitidos.

Para IKEv1 y, también, IKEv2

Parámetro de configuración Valor
Modo IPsec Modo de túnel de autenticación y ESP (sitio a sitio)
Protocolo de autenticación psk
Secreto compartido También se conoce como una clave IKE precompartida. Elige una contraseña segura mediante estos lineamientos. La clave compartida previamente es sensible porque permite el acceso a tu red.
Iniciar auto (si el dispositivo de intercambio de tráfico falla, debería reiniciar automáticamente la conexión).
PFS (confidencialidad directa total) on
DPD (detección de intercambio de tráfico inactivo) Recomendada: Aggressive. DPD detecta cuándo la VPN se reinicia y utiliza túneles alternativos para enrutar el tráfico.
INITIAL_CONTACT
(a veces llamado uniqueids)
Recomendado: on (a veces llamado restart). Propósito: detectar reinicios más rápido para reducir el tiempo de inactividad percibido.
TSi (Selector de tráfico: iniciador)

Redes de subred: rangos que especifica la marca --local-traffic-selector. Si --local-traffic-selector no se especificó porque la VPN está en una red de VPC de modo automático y solo anuncia la subred de la puerta de enlace, se usa ese rango de subred.

Redes heredadas: El alcance de la red.

TSr (Selector de tráfico: respondedor)

IKEv2: Los rangos de destino de todas las rutas que tienen --next-hop-vpn-tunnel configurado en este túnel.

IKEv1: De manera arbitraria, el rango de destino de una de las rutas que tiene --next-hop-vpn-tunnel configurado en este túnel.

MTU La unidad de transmisión máxima (MTU) del dispositivo VPN de intercambio de tráfico no debe exceder los 1460 bytes. Habilita la prefragmentación en tu dispositivo para que los paquetes se fragmenten primero y, luego, se encapsulen. Para obtener más información, consulta Consideraciones sobre las MTU.

Parámetros adicionales solo para IKEv1

Parámetro de configuración Valor
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
Algoritmo de PFS Grupo 2 (MODP_1024)

¿Qué sigue?