Conectar una VPN de alta disponibilidad a pasarelas de AWS

Cuando configures una pasarela de VPN externa de alta disponibilidad para Amazon Web Services (AWS), puedes usar una pasarela de tránsito o una pasarela de VPN. Solo la gateway de tránsito admite el enrutamiento de múltiples rutas de igual coste (ECMP). Cuando está habilitado, ECMP distribuye el tráfico de forma equitativa entre los túneles activos. La topología admitida requiere dos conexiones de VPN de sitio a sitio de AWS, A y B, cada una con dos direcciones IP externas. Esta topología genera cuatro direcciones IP externas en AWS: A1, A2, B1 y B2.

Problema conocido: Cuando configures túneles VPN en AWS, usa el protocolo de cifrado IKEv2 y selecciona menos conjuntos de transformación en AWS. De lo contrario, es posible que el túnel VPN de Cloud no pueda volver a generar claves. Por ejemplo, selecciona una combinación de algoritmos de cifrado de las fases 1 y 2, algoritmos de integridad y números de grupo DH. Este problema de cambio de clave se debe a un tamaño de carga útil de SA grande para el conjunto predeterminado de conjuntos de transformaciones de AWS. Este gran tamaño de carga útil provoca la fragmentación de IP de los paquetes IKE en el lado de AWS, que Cloud VPN no admite.

Crear una VPN de alta disponibilidad para pasarelas de AWS

1. Configura las cuatro direcciones IP de AWS como una única pasarela de VPN de alta disponibilidad externa con FOUR_IPS_REDUNDANCY, donde:
• IP de AWS 0=A1
• IP de AWS 1=A2
• IP de AWS 2=B1
• IP de AWS 3=B2
2. Crea cuatro túneles en la pasarela de VPN de alta disponibilidad para cumplir el acuerdo de nivel de servicio del 99,99% con la siguiente configuración:
• VPN de alta disponibilidad interface 0 a AWS interface 0
• VPN de alta disponibilidad interface 0 a AWS interface 1
• VPN de alta disponibilidad interface 1 a AWS interface 2
• VPN de alta disponibilidad interface 1 a AWS interface 3

Configurar una VPN de alta disponibilidad con AWS:

1. En Google Cloud, crea una pasarela de VPN de alta disponibilidad y un Cloud Router en la región que quieras. Esta acción crea dos direcciones IP externas, una para cada interfaz de pasarela. Anota las direcciones IP externas para usarlas en el siguiente paso.
2. En AWS, crea dos pasarelas de cliente con lo siguiente:
   • Opción de enrutamiento Dinámico
   • El ASN de Google del Cloud Router
   • Las direcciones IP externas de la Google Cloud pasarela de VPN de alta disponibilidad interfaces 0 y 1
3. Sigue los pasos correspondientes a la opción de VPN de AWS que estés usando:
   • Pasarela de transporte
   1. Crea un adjunto de VPN de pasarela de tránsito para la primera pasarela de cliente (interface 0) y usa la opción de enrutamiento Dinámico.
   2. Repite el paso anterior con la segunda gateway de cliente (interface 1).
   • Pasarela privada virtual
   1. Crea una conexión VPN de sitio a sitio para la primera pasarela de cliente (interface 0) con lo siguiente:
      • Un Tipo de pasarela de destino de Pasarela privada virtual
      • Opción de enrutamiento Dinámico
   2. Repite el paso anterior con la segunda gateway de cliente (interface 1).
4. Descarga los archivos de configuración de AWS de las dos conexiones que has creado. Los archivos contienen información que necesitarás en los siguientes pasos de este procedimiento, como claves de autenticación precompartidas, direcciones IP de túneles externos y direcciones IP de túneles internos.
5. En Google Cloud, haz lo siguiente:
   1. Crea una pasarela VPN de otro proveedor con cuatro interfaces usando las direcciones IP externas de AWS de los archivos que has descargado en el paso anterior.
   2. Crea cuatro túneles VPN en la pasarela de VPN de alta disponibilidad que has creado en el paso 1. En cada túnel, configura la interfaz de la pasarela de VPN de alta disponibilidad con la interfaz de la pasarela de VPN de par y las claves precompartidas adecuadas. Para ello, usa la información de los archivos de configuración de AWS que has descargado.
   3. Configura las sesiones de BGP en Cloud Router con las direcciones IP de BGP de los archivos de configuración de AWS descargados.

Configurar la pasarela de VPN de alta disponibilidad externa

1. Configura las cuatro direcciones IP de AWS como una única pasarela de VPN de alta disponibilidad externa con FOUR_IPS_REDUNDANCY, donde:
   • IP de AWS 0=A1
   • IP de AWS 1=A2
   • IP de AWS 2=B1
   • IP de AWS 3=B2
2. Crea cuatro túneles en la pasarela de VPN de alta disponibilidad para cumplir el SLA del 99,99 % con la siguiente configuración:
   • VPN de alta disponibilidad interface 0 a AWS interface 0
   • VPN de alta disponibilidad interface 0 a AWS interface 1
   • VPN de alta disponibilidad interface 1 a AWS interface 2
   • VPN de alta disponibilidad interface 1 a AWS interface 3

Configurar una VPN de alta disponibilidad con AWS

1. En Google Cloud, crea una pasarela de VPN de alta disponibilidad y un Cloud Router en la región que quieras. Esta acción crea dos direcciones IP externas, una para cada interfaz de pasarela. Anota las direcciones IP externas para usarlas en el siguiente paso.
2. En AWS, crea dos pasarelas de cliente con lo siguiente:
   1. Opción de enrutamiento Dinámico
   2. El ASN de Google del Cloud Router
   3. Las direcciones IP externas de la Google Cloud pasarela de VPN de alta disponibilidadinterfaces 0 y 1

3. Sigue los pasos correspondientes a la opción de VPN de AWS que estés usando:

   1. Transit Gateway
      1. Crea un adjunto de VPN de pasarela de tránsito para la primera pasarela de cliente (interface 0) y usa la opción de enrutamiento Dinámico.
      2. Repite el paso anterior con la segunda gateway de cliente (interface 1).
   2. Virtual Private Gateway
      1. Crea una conexión VPN de sitio a sitio para la primera pasarela de cliente (interface 0) con lo siguiente:
         • Un Tipo de pasarela de destino de Pasarela privada virtual
         • Opción de enrutamiento Dinámico
      2. Repite el paso anterior con la segunda gateway de cliente (interface 1).

4. Descarga los archivos de configuración de AWS de las dos conexiones que has creado. Los archivos contienen la información que necesitas durante los siguientes pasos de este procedimiento, como las claves de autenticación compartidas previamente, las direcciones IP del túnel externo y las direcciones IP del túnel interno.

5. En Google Cloud, haz lo siguiente:

   1. Crea una pasarela de VPN de par con cuatro interfaces mediante las direcciones IP externas de AWS de los archivos que has descargado en el paso anterior.
   2. Crea cuatro túneles VPN en la pasarela de VPN de alta disponibilidad que has creado en el paso 1. En cada túnel, configura la interfaz de la pasarela de VPN de alta disponibilidad con la interfaz de la pasarela de VPN de par y las claves precompartidas adecuadas. Para ello, usa la información de los archivos de configuración de AWS que has descargado.
   3. Configura las sesiones de BGP en Cloud Router mediante las direcciones IP de BGP de los archivos de configuración de AWS descargados.

Siguientes pasos

• Para controlar qué direcciones IP se permiten en las pasarelas VPN de otro punto, consulta Restringir direcciones IP para pasarelas VPN de otro punto.