Configura la puerta de enlace de VPN de intercambio de tráfico

Para completar tu configuración de VPN, debes configurar los siguientes recursos en la puerta de enlace de VPN de intercambio de tráfico:

  • Túneles VPN correspondientes a Cloud VPN
  • Sesiones de BGP si usas enrutamiento dinámico con Cloud Router
    Siempre debes configurar las sesiones de BGP para las puertas de enlace de VPN con alta disponibilidad y para las puertas de enlace de VPN clásica con túneles que usen el enrutamiento dinámico.
  • Reglas de firewall
  • Configuración del IKE

Todos estos recursos se describen en este documento.

Consulta la documentación o al fabricante de la puerta de enlace de intercambio de tráfico para conocer las prácticas recomendadas cuando configures la puerta de enlace de intercambio de tráfico. Consulta la página Guías de interoperabilidad de VPN para ver las guías que describen algunos servicios y dispositivos VPN de terceros compatibles.

Recursos de puerta de enlace de VPN de intercambio de tráfico externa para VPN con alta disponibilidad

Para la puerta de enlace de VPN con alta disponibilidad, debes configurar un recurso de puerta de enlace de VPN de intercambio de tráfico externa que represente la puerta de enlace de intercambio de tráfico física en Google Cloud. También puedes crear este recurso como un recurso independiente y usarlo más adelante.

Para crear una puerta de enlace de VPN de intercambio de tráfico externa, necesitas los siguientes valores de la puerta de enlace de intercambio de tráfico física, que también puede ser una puerta de enlace de terceros basada en software. Los valores del recurso de puerta de enlace de VPN de intercambio de tráfico externa deben coincidir con la configuración de la puerta de enlace de intercambio de tráfico física para que se establezca la VPN:

  • La cantidad de interfaces en la puerta de enlace de VPN física
  • Las direcciones IP externas de las interfaces o puertas de enlace de intercambio de tráfico
  • Las direcciones IP del extremo de BGP
  • La clave precompartida del IKE
  • El número de ASN

Para crear un recurso de puerta de enlace de VPN de intercambio de tráfico externa independiente, haz lo siguiente:

Console

  1. Ve a la página VPN en Google Cloud Console.
    Ir a la página VPN
  2. Haz clic en el botón Crear puerta de enlace de VPN de intercambio de tráfico.
  3. Asigna un Nombre a la puerta de enlace de intercambio de tráfico.
  4. Selecciona la cantidad de interfaces que tiene la puerta de enlace de intercambio de tráfico física: one, two o four.
  5. Agrega la Dirección IP de interfaz para cada interfaz en la puerta de enlace de VPN física.
  6. Haz clic en Crear.

gcloud

Cuando ejecutes el siguiente comando, ingresa el ID de la interfaz y la dirección IP de la VPN física. Puedes ingresar 1, 2 o 4 interfaces.

gcloud compute external-vpn-gateways create mygateway \
  --interfaces 0=35.254.128.120,1=35.254.128.121

El resultado del comando debería verse como el ejemplo siguiente:

Creating external VPN Gateway...done.
NAME       REDUNDANCY_TYPE
mygateway  TWO_IPS_REDUNDANCY

api

Puedes usar esta lista de tipos de redundancia de puerta de enlace para este comando.

Realiza una solicitud POST con el método externalVpnGateways.insert.

  POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
  {
    "name": "mygateway",
    "interfaces": [
      {
        "id": 0,
        "ipAddress": "35.254.128.120"
      },
      {
        "id": 1,
        "ipAddress": "35.254.128.121"
      },
    ],
    "redundancyType": "TWO_IPS_REDUNDANCY"
  }

Configura túneles VPN

Consulta la documentación de la puerta de enlace de VPN de intercambio de tráfico a fin de crear túneles correspondientes para cada túnel de Cloud VPN que hayas creado.

Para VPN con alta disponibilidad, configura dos túneles en la puerta de enlace de intercambio de tráfico. Un túnel en la puerta de enlace de intercambio de tráfico debe corresponder al túnel de Cloud VPN en la interfaz 0, y otro túnel en la puerta de enlace de intercambio de tráfico debe corresponder al túnel de Cloud VPN en la interfaz 1.

Cada túnel en tu puerta de enlace de intercambio de tráfico también debe usar una dirección IP externa única para que use tu puerta de enlace de VPN con alta disponibilidad.

Configura sesiones de BGP para el enrutamiento dinámico

Solo con el enrutamiento dinámico, configura la puerta de enlace de VPN de intercambio de tráfico a fin de admitir sesiones de BGP para las subredes de par que deseas anunciar en Cloud Router.

Usa los ASN y las direcciones IP de Cloud Router y la información de la puerta de enlace de Cloud VPN para configurar la puerta de enlace de intercambio de tráfico.

Puedes usar la información de resumen de Cloud Router para obtener el ASN de Google, los ASN configurados de la red de intercambio de tráfico y las direcciones IP de BGP. Consulta la página Visualiza la configuración de Cloud Router a fin de obtener la información anterior para el Cloud Router.

Para VPN con alta disponibilidad, ten en cuenta que el ASN de Google, que es el ASN de intercambio de tráfico desde la perspectiva de la puerta de enlace de VPN de intercambio de tráfico, es el mismo para ambos túneles.

Configura las reglas de firewall

A fin de obtener instrucciones sobre cómo configurar las reglas de firewall para la red de intercambio de tráfico, consulta la página Configura las reglas de firewall.

Configura IKE

Para el enrutamiento dinámico, basado en rutas y basado en políticas, usa las siguientes instrucciones a fin de configurar el IKE en tu puerta de enlace de VPN de intercambio de tráfico.

Configura la puerta de enlace de VPN de intercambio de tráfico y un túnel para IKE mediante los siguientes parámetros:

Para IKEv1 y, también, IKEv2:

Configuración Valor
Modo IPsec Modo de túnel de autenticación y ESP (sitio a sitio)
Protocolo de autenticación psk
Secreto compartido También se conoce como una clave IKE precompartida. Elige una contraseña segura mediante estos lineamientos. El secreto compartido es muy sensible, puesto que permite el acceso a tu red.
Start auto (el dispositivo de intercambio de tráfico debe reiniciar de forma automática la conexión si se interrumpe)
PFS (confidencialidad directa total) activada
DPD (detección de intercambio de tráfico inactivo) Recomendada: Aggressive. La DPD detecta cuando se reinicia y enruta el tráfico mediante túneles alternativos.
INITIAL_CONTACT (a veces llamado uniqueids) Recomendado: on (a veces llamado restart). El propósito es detectar reinicios más rápido para reducir el tiempo de inactividad percibido.
TSi (selector de tráfico: iniciador) Redes de subred: rangos que especifica la marca --local-traffic-selector. Si --local-traffic-selector no se especificó porque la VPN está en una red de VPC de modo automático y solo anuncia la subred de la puerta de enlace, se usa ese rango de subred.
Redes heredadas: rango de la red.
TSr (selector de tráfico: respondedor) IKEv2:rangos de destino de todas las rutas que tienen --next-hop-vpn-tunnel configurado en este túnel.
IKEv1:de manera arbitraria, rango de destino de una de las rutas que tiene --next-hop-vpn-tunnel configurado en este túnel.
MTU La MTU del dispositivo VPN de intercambio de tráfico no debe exceder los 1,460 bytes. Debes habilitar la prefragmentación en tu dispositivo, lo que implica que los paquetes deben fragmentarse primero y, luego, encapsularse. Para obtener más información, consulta las Consideraciones sobre la unidad máxima de transmisión (MTU).

Parámetros adicionales solo para IKEv1:

Configuración Valor
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
Algoritmo de PFS Grupo 2 (MODP_1024)

Descripción general del algoritmo de cifrado IKE

Los siguientes algoritmos de cifrado IKE son compatibles con la VPN clásica y la VPN con alta disponibilidad.

Hay dos secciones destinadas a IKEv2, una para algoritmos de cifrado en los que se usa la encriptación autenticada con datos asociados (AEAD), y otra para algoritmos de cifrado que no usan AEAD.

Algoritmos de cifrado IKEv2 que usan AEAD

Fase 1

Función del algoritmo de cifrado Algoritmo de cifrado Notas
Integridad y encriptación
  • AES-GCM-16-128
  • AES-GCM-16-192
  • AES-GCM-16-256
En esta lista el primer número es el tamaño del parámetro ICV en bytes (octetos), y el segundo es la longitud de la clave en bits.

Algunos documentos pueden expresar el parámetro ICV (el primer número) en bits (8 se convierte en 64, 12 en 96, y 16 en 128).
Función seudoaleatoria (PRF)
  • PRF-AES128-XCBC
  • PRF-AES128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
Muchos dispositivos no requerirán una configuración PRF explícita.
Diffie-Hellman (DH)
  • modp_2048 (Grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Grupo 5)
  • modp_3072 (Grupo 15)
  • modp_4096 (Grupo 16)
  • modp_8192 (Grupo 18)
  • modp_1024 (Grupo 2)
  • modp_1024_160 (modp_1024s160)
La propuesta de Cloud VPN presenta los algoritmos de intercambio de claves en el orden que se muestra. Cloud VPN acepta cualquier propuesta que incluya uno o más de estos algoritmos, en cualquier orden.
Vida útil de la fase 1 36,000 segundos (10 horas) -

Fase 2

Función del algoritmo de cifrado Algoritmo de cifrado Notas
Integridad y encriptación
  • AES-GCM-16-128
  • AES-GCM-16-256
  • AES-GCM-16-192
La propuesta de Cloud VPN presenta los algoritmos en el orden que se muestra. Cloud VPN acepta cualquier propuesta que incluya uno o más de estos algoritmos, en cualquier orden.

Ten en cuenta que el primer número de cada algoritmo es el tamaño del parámetro ICV en bytes (octetos) y el segundo es la longitud de la clave en bits. En algunos documentos podría expresarse el parámetro ICV (el primer número) en bits (8 se convierte en 64, 12 en 96, y 16 en 128).
Algoritmo PFS (obligatorio)
  • modp_2048 (Grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Grupo 5)
  • modp_3072 (Grupo 15)
  • modp_4096 (Grupo 16)
  • modp_8192 (Grupo 18)
  • modp_1024 (Grupo 2)
  • modp_1024_160 (modp_1024s160)
La propuesta de Cloud VPN presenta los algoritmos de intercambio de claves en el orden que se muestra. Cloud VPN acepta cualquier propuesta que tenga uno o más de estos algoritmos, en cualquier orden.
Diffie-Hellman (DH) Consulta la fase 1 Si la puerta de enlace de VPN requiere una configuración de DH para la fase 2, usa la misma configuración que en la fase 1.
Vida útil de la fase 2 10,800 segundos (3 horas) -

Algoritmos de cifrado IKEv2 que no usan AEAD

Fase 1

Función del algoritmo de cifrado Algoritmo de cifrado Notas
Encriptación
  • AES-CBC-128
  • AES-CBC-192
  • AES-CBC-256
  • 3DES-CBC
  • AES-XCBC-96
  • AES-CMAC-96
La propuesta de Cloud VPN presenta los algoritmos de encriptación simétrica en el orden que se muestra. Cloud VPN acepta cualquier propuesta que use uno o más de estos algoritmos, en cualquier orden.
Integridad
  • HMAC-SHA1-96
  • HMAC-MD5-96
  • HMAC-SHA2-256-128
  • HMAC-SHA2-384-192
  • HMAC-SHA2-512-256
La propuesta de Cloud VPN presenta los algoritmos HMAC en el orden que se muestra. Cloud VPN acepta cualquier propuesta que tenga uno o más de estos algoritmos, en cualquier orden.

Es posible que en la documentación de la puerta de enlace de VPN local se use un nombre un poco diferente para el algoritmo. Por ejemplo, HMAC-SHA2-512-256 podría denominarse solo como SHA2-512 o SHA-512, lo que reduce el número de longitud de truncamiento y otra información innecesaria.
Función seudoaleatoria (PRF)
  • PRF-AES-128-XCBC
  • PRF-AES-128-CMAC
  • PRF-SHA1
  • PRF-MD5
  • PRF-SHA2-256
  • PRF-SHA2-384
  • PRF-SHA2-512
Muchos dispositivos no requerirán una configuración PRF explícita.
Diffie-Hellman (DH)
  • modp_2048 (Grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Grupo 5)
  • modp_3072 (Grupo 15)
  • modp_4096 (Grupo 16)
  • modp_8192 (Grupo 18)
  • modp_1024 (Grupo 2)
  • modp_1024_160 (modp_1024s160)
La propuesta de Cloud VPN presenta los algoritmos de intercambio de claves en el orden que se muestra. Cloud VPN acepta cualquier propuesta que contenga uno o más de estos algoritmos, en cualquier orden.
Vida útil de la fase 1 36,000 segundos (10 horas) -

Fase 2

Función del algoritmo de cifrado Algoritmo de cifrado Notas
Encriptación
  • AES-CBC-128
  • AES-CBC-256
  • AES-CBC-192
La propuesta de Cloud VPN presenta los algoritmos de encriptación simétrica en el orden que se muestra. Cloud VPN acepta cualquier propuesta que contenga uno o más de estos algoritmos, en cualquier orden.
Integridad
  • HMAC-SHA2-256-128
  • HMAC-SHA2-512-256
  • HMAC-SHA1-96
La propuesta de Cloud VPN presenta los algoritmos HMAC en el orden que se muestra. Cloud VPN acepta cualquier propuesta que contenga uno o más de estos algoritmos, en cualquier orden.

Es posible que en la documentación de la puerta de enlace de VPN local se use un nombre un poco diferente para el algoritmo. Por ejemplo, HMAC-SHA2-512-256 podría denominarse solo como SHA2-512 o SHA-512, lo que reduce el número de longitud de truncamiento y otra información innecesaria.
Algoritmo PFS (obligatorio)
  • modp_2048 (Grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Grupo 5)
  • modp_3072 (Grupo 15)
  • modp_4096 (Grupo 16)
  • modp_8192 (Grupo 18)
  • modp_1024 (Grupo 2)
  • modp_1024_160 (modp_1024s160)
La propuesta de Cloud VPN presenta los algoritmos de intercambio de claves en el orden que se muestra. Cloud VPN acepta cualquier propuesta que contenga uno o más de estos algoritmos, en cualquier orden.
Diffie-Hellman (DH) Consulta la fase 1. Si la puerta de enlace de VPN requiere una configuración de DH para la fase 2, usa la misma configuración que en la fase 1.
Vida útil de la fase 2 10,800 segundos (3 horas) -

Algoritmos de cifrado IKEv1

Fase 1

Función del algoritmo de cifrado Algoritmo de cifrado
Encriptación AES-CBC-128
Integridad HMAC-SHA1-96
Función seudoaleatoria (PRF)* PRF-SHA1-96
Diffie-Hellman (DH) modp_1024 (Grupo 2)
Vida útil de la fase 1 36,600 segundos (10 horas, 10 minutos)

* Para obtener más información sobre PRF en IKEv1, consulta RFC 2409.

Fase 2

Función del algoritmo de cifrado Algoritmo de cifrado
Encriptación AES-CBC-128
Integridad HMAC-SHA1-96
Algoritmo PFS (obligatorio) modp_1024 (Grupo 2)
Diffie-Hellman (DH) Si necesitas especificar DH para la puerta de enlace de VPN, usa la misma configuración que en la fase 1.
Vida útil de la fase 2 10,800 segundos (3 horas)

Próximos pasos