Configura la puerta de enlace de VPN de par

Para completar tu configuración de VPN, debes configurar los siguientes recursos en la puerta de enlace de VPN de intercambio de tráfico:

  • Túneles VPN correspondientes a Cloud VPN
  • Sesiones de BGP si usas enrutamiento dinámico con Cloud Router
    Siempre debes configurar las sesiones de BGP para las puertas de enlace de VPN con alta disponibilidad y para las puertas de enlace de VPN clásica con túneles que usen el enrutamiento dinámico.
  • Reglas de firewall
  • Configuración del IKE

Todos estos recursos se describen en este documento.

Consulta la documentación o al fabricante de la puerta de enlace de intercambio de tráfico para conocer las prácticas recomendadas cuando configures la puerta de enlace de intercambio de tráfico. Consulta la página Guías de interoperabilidad de VPN para ver las guías que describen algunos servicios y dispositivos VPN de terceros compatibles.

Recursos de puerta de enlace de VPN de intercambio de tráfico externa para VPN con alta disponibilidad

Para la puerta de enlace de VPN con alta disponibilidad, debes configurar un recurso de puerta de enlace de VPN de intercambio de tráfico externa que represente la puerta de enlace de intercambio de tráfico física en Google Cloud. También puedes crear este recurso como un recurso independiente y usarlo más adelante.

Para crear una puerta de enlace de VPN de intercambio de tráfico externa, necesitas los siguientes valores de la puerta de enlace de intercambio de tráfico física, que también puede ser una puerta de enlace de terceros basada en software. Los valores del recurso de puerta de enlace de VPN de intercambio de tráfico externa deben coincidir con la configuración de la puerta de enlace de intercambio de tráfico física para que se establezca la VPN:

  • La cantidad de interfaces en la puerta de enlace de VPN física
  • Las direcciones IP externas de las interfaces o puertas de enlace de intercambio de tráfico
  • Las direcciones IP del extremo de BGP
  • La clave precompartida del IKE
  • El número de ASN

Para crear un recurso de puerta de enlace de VPN de intercambio de tráfico externa independiente, haz lo siguiente:

Console

  1. Ve a la página VPN en Google Cloud Console.
    Ir a la página VPN
  2. Haz clic en el botón Crear puerta de enlace de VPN de intercambio de tráfico.
  3. Asigna un Nombre a la puerta de enlace de intercambio de tráfico.
  4. Selecciona la cantidad de interfaces que tiene la puerta de enlace de intercambio de tráfico física: one, two o four.
  5. Agrega la Dirección IP de interfaz para cada interfaz en la puerta de enlace de VPN física.
  6. Haz clic en Crear.

gcloud

Cuando ejecutes el siguiente comando, ingresa el ID de la interfaz y la dirección IP de la VPN física. Puedes ingresar 1, 2 o 4 interfaces.

gcloud compute external-vpn-gateways create mygateway \
  --interfaces 0=35.254.128.120,1=35.254.128.121

El resultado del comando debería verse como el ejemplo siguiente:

Creating external VPN Gateway...done.
NAME       REDUNDANCY_TYPE
mygateway  TWO_IPS_REDUNDANCY

api

Puedes usar esta lista de tipos de redundancia de puerta de enlace para este comando.

Realiza una solicitud POST con el método externalVpnGateways.insert.

  POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
  {
    "name": "mygateway",
    "interfaces": [
      {
        "id": 0,
        "ipAddress": "35.254.128.120"
      },
      {
        "id": 1,
        "ipAddress": "35.254.128.121"
      },
    ],
    "redundancyType": "TWO_IPS_REDUNDANCY"
  }

Configura túneles VPN

Consulta la documentación de la puerta de enlace de VPN de intercambio de tráfico a fin de crear túneles correspondientes para cada túnel de Cloud VPN que hayas creado.

Para VPN con alta disponibilidad, configura dos túneles en la puerta de enlace de intercambio de tráfico. Un túnel en la puerta de enlace de intercambio de tráfico debe corresponder al túnel de Cloud VPN en la interfaz 0, y otro túnel en la puerta de enlace de intercambio de tráfico debe corresponder al túnel de Cloud VPN en la interfaz 1.

Cada túnel en tu puerta de enlace de intercambio de tráfico también debe usar una dirección IP externa única para que use tu puerta de enlace de VPN con alta disponibilidad.

Configura sesiones de BGP para el enrutamiento dinámico

Solo con el enrutamiento dinámico, configura la puerta de enlace de VPN de intercambio de tráfico a fin de admitir sesiones de BGP para las subredes de par que deseas anunciar en Cloud Router.

Usa los ASN y las direcciones IP de Cloud Router y la información de la puerta de enlace de Cloud VPN para configurar la puerta de enlace de intercambio de tráfico.

Puedes usar la información de resumen de Cloud Router para obtener el ASN de Google, los ASN configurados de la red de intercambio de tráfico y las direcciones IP de BGP. Consulta la página Visualiza la configuración de Cloud Router a fin de obtener la información anterior para el Cloud Router.

Para VPN con alta disponibilidad, ten en cuenta que el ASN de Google, que es el ASN de intercambio de tráfico desde la perspectiva de la puerta de enlace de VPN de intercambio de tráfico, es el mismo para ambos túneles.

Configura las reglas de firewall

A fin de obtener instrucciones sobre cómo configurar las reglas de firewall para la red de intercambio de tráfico, consulta la página Configura las reglas de firewall.

Configura IKE

Para el enrutamiento dinámico, basado en rutas y basado en políticas, usa las siguientes instrucciones a fin de configurar el IKE en tu puerta de enlace de VPN de intercambio de tráfico.

Configura la puerta de enlace de VPN de intercambio de tráfico y un túnel para IKE mediante los siguientes parámetros:

Para IKEv1 y, también, IKEv2:

Configuración Valor
Modo IPsec Modo de túnel de autenticación y ESP (sitio a sitio)
Protocolo de autenticación psk
Secreto compartido También se conoce como una clave IKE precompartida. Elige una contraseña segura mediante estos lineamientos. El secreto compartido es muy sensible, puesto que permite el acceso a tu red.
Start auto (el dispositivo de intercambio de tráfico debe reiniciar de forma automática la conexión si se interrumpe)
PFS (confidencialidad directa total) activada
DPD (detección de intercambio de tráfico inactivo) Recomendada: Aggressive. La DPD detecta cuando se reinicia y enruta el tráfico mediante túneles alternativos.
INITIAL_CONTACT (a veces llamado uniqueids) Recomendado: on (a veces llamado restart). El propósito es detectar reinicios más rápido para reducir el tiempo de inactividad percibido.
TSi (selector de tráfico: iniciador) Redes de subred: rangos que especifica la marca --local-traffic-selector. Si --local-traffic-selector no se especificó porque la VPN está en una red de VPC de modo automático y solo anuncia la subred de la puerta de enlace, se usa ese rango de subred.
Redes heredadas: rango de la red.
TSr (selector de tráfico: respondedor) IKEv2:rangos de destino de todas las rutas que tienen --next-hop-vpn-tunnel configurado en este túnel.
IKEv1:de manera arbitraria, rango de destino de una de las rutas que tiene --next-hop-vpn-tunnel configurado en este túnel.
MTU La MTU del dispositivo VPN de intercambio de tráfico no debe exceder los 1460 bytes. Debes habilitar la prefragmentación en tu dispositivo, lo que implica que los paquetes deben fragmentarse primero y, luego, encapsularse. Para obtener más información, consulta las Consideraciones sobre la unidad máxima de transmisión (MTU).

Parámetros adicionales solo para IKEv1:

Configuración Valor
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
Algoritmo de PFS Grupo 2 (MODP_1024)

¿Qué sigue?