Crea una VPN clásica mediante enrutamiento estático

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

En esta página, se describe cómo usar el enrutamiento estático para crear una puerta de enlace de VPN clásica y un túnel. Este túnel es un túnel basado en políticas o en rutas.

Con la VPN basada en rutas, solo especificas el selector de tráfico remoto. En cambio, si necesitas especificar un selector de tráfico local, crea un túnel de Cloud VPN que use enrutamiento basado en políticas.

La VPN clásica no es compatible con IPv6.

Para obtener más información sobre Cloud VPN, consulta los siguientes recursos:

Opciones de enrutamiento

Cuando usas Google Cloud Console para crear un túnel basado en políticas, la VPN clásica realiza las siguientes tareas:

  • Configura el selector de tráfico local del túnel en el rango de IP que especifiques.
  • Configura el selector de tráfico remoto del túnel en los rangos de IP que especifiques en Rangos de IP de red remota
  • Para cada rango en Rangos de IP de red remota, Google Cloud crea una ruta estática personalizada cuyo destino (prefijo) es el CIDR del rango y cuyo salto siguiente es el túnel.

Después de crear un túnel de VPN clásica basado en políticas, los rangos de IP que ingresaste en el campo Rangos de IP de red remota aparecen como rangos de IP anunciados en la página de detalles del túnel VPN.

Cuando usas la consola de Google Cloud para crear un túnel basado en rutas, la VPN clásica realiza las siguientes tareas:

  • Configura los selectores de tráfico local y remoto del túnel en cualquier dirección IP (0.0.0.0/0).
  • Para cada rango en Rangos de IP de red remota, Google Cloud crea una ruta estática personalizada cuyo destino (prefijo) es el CIDR del rango y cuyo salto siguiente es el túnel.

Cuando usas Google Cloud CLI para crear un túnel basado en políticas o uno basado en rutas, los selectores de tráfico del túnel se definen de la misma manera. Sin embargo, debido a que la creación de rutas estáticas personalizadas se realiza con otros comandos, tienes más control sobre esas rutas.

La cantidad de CIDR que se puede especificar en un selector de tráfico depende de la versión de IKE.

Para obtener información general importante, consulta lo siguiente:

Antes de comenzar

Configura los siguientes elementos en Google Cloud para facilitar la configuración de Cloud VPN:

  1. Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
  2. En la página del selector de proyectos de Google Cloud Console, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Cloud. Obtén información sobre cómo verificar si la facturación está habilitada en un proyecto.

  4. Instala y, luego, inicializa Google Cloud CLI.
  5. En la página del selector de proyectos de Google Cloud Console, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

  6. Asegúrate de que la facturación esté habilitada para tu proyecto de Cloud. Obtén información sobre cómo verificar si la facturación está habilitada en un proyecto.

  7. Instala y, luego, inicializa Google Cloud CLI.
  1. Si usas Google Cloud CLI, configura el ID del proyecto con el siguiente comando. En las instrucciones de gcloud de esta página, se da por hecho que estableciste el ID del proyecto antes de emitir comandos.

        gcloud config set project PROJECT_ID
        
  1. También puedes ver un ID del proyecto que ya se estableció con la ejecución del siguiente comando:

        gcloud config list --format='text(core.project)'
        

Crea una red y una subred de VPC personalizadas

Antes de crear una puerta de enlace de VPN clásica y un túnel, crea una red de nube privada virtual (VPC) y al menos una subred en la región donde reside la puerta de enlace de VPN clásica:

Crea una puerta de enlace y un túnel

El asistente de configuración de VPN es la única opción de consola para crear una puerta de enlace de VPN clásica. En el asistente se incluyen todos los pasos de configuración necesarios para crear una puerta de enlace de VPN clásica, túneles, sesiones de BGP y un recurso de puerta de enlace de VPN externa. Sin embargo, puedes completar ciertos pasos más adelante, como configurar sesiones de BGP.

Console

Configura la puerta de enlace

  1. En Google Cloud Console, ve a la página VPN.

    Ir a VPN

  2. Si estás creando una puerta de enlace por primera vez, haz clic en Crear conexión de VPN.

  3. Selecciona el Asistente de configuración de VPN.

  4. Selecciona el botón de opción VPN clásica.

  5. Haz clic en Continuar.

  6. En la página Crear una conexión de VPN, especifica la siguiente configuración de puerta de enlace:

    • Nombre: El nombre de la puerta de enlace VPN. El nombre no se puede cambiar más adelante.
    • Descripción: Si lo deseas, agrega una descripción.
    • Red: Especifica una red de VPC existente en la que se creará la puerta de enlace de VPN y el túnel.
    • Región: Las puertas de enlace y túneles de Cloud VPN son objetos regionales. Elige la región de Google Cloud en la que se ubicará la puerta de enlace. Las instancias y otros recursos en diferentes regiones pueden usar el túnel para el tráfico de salida sujeto al orden de las rutas. Para obtener un mejor rendimiento, ubica la puerta de enlace y el túnel en la misma región que los recursos relevantes de Google Cloud.
    • Dirección IP: Crea o elige una dirección IP externa regional existente.

Configura túneles

  1. En la sección Túneles del túnel nuevo, especifica la siguiente configuración:

    • Nombre: El nombre del túnel VPN. El nombre no se puede cambiar más adelante.
    • Descripción: Opcionalmente, escribe una descripción.
    • Dirección IP de intercambio de tráfico remoto: Especifica la dirección IP externa de la puerta de enlace de VPN de intercambio de tráfico.
    • Versión de IKE: Elige la versión de IKE adecuada compatible con la puerta de enlace de VPN de intercambio de tráfico. Se prefiere IKEv2 si es compatible con el dispositivo de intercambio de tráfico.
    • Clave precompartida IKE: Proporciona una clave precompartida (secreto compartido) que se usa para la autenticación. La clave precompartida del túnel de Cloud VPN debe coincidir con la que se usa cuando configuras el túnel equivalente en la puerta de enlace de VPN de intercambio de tráfico. A fin de generar una clave precompartida criptográficamente segura, sigue estas instrucciones.

    Para túneles basados en políticas, sigue estos pasos

    1. En Opciones de enrutamiento, selecciona Basado en políticas.
    2. En Rangos de IP de red remota, proporciona una lista separada por espacios de los rangos de IP que usa la red de intercambio de tráfico. Este es el selector de tráfico remoto: el lado derecho desde la perspectiva de Cloud VPN.

      Después de crear un túnel de VPN clásica basado en políticas, los rangos de IP que ingresaste en el campo Rangos de IP de red remota aparecen como rangos de IP anunciados en la página de detalles del túnel VPN.

    3. En Rangos de IP locales, selecciona uno de los siguientes métodos:

      • Para elegir un rango de IP local existente, usa el menú Subredes locales.
      • Para ingresar una lista de rangos de IP separados por espacios que se usan en tu red de VPC, usa el campo Rangos de IP locales. Para obtener consideraciones importantes, consulta Túneles basados en políticas y selectores de tráfico.

    Para túneles basados en rutas, sigue estos pasos:

    1. En Routing options (Opciones de enrutamiento), selecciona Route-based (Enrutamiento según la ruta).
    2. En Rangos de IP de red remota, proporciona una lista separada por espacios de los rangos de IP que usa la red de intercambio de tráfico. Estos rangos se usan para crear rutas estáticas personalizadas cuyo salto siguiente es este túnel VPN.
  2. Si necesitas crear más túneles en la misma puerta de enlace, haz clic en Agregar túnel y repite el paso anterior. También puedes agregar más túneles luego.

  3. Haz clic en Crear.

gcloud

Para crear una puerta de enlace de Cloud VPN, completa la siguiente secuencia de comandos. En los comandos, reemplaza lo siguiente:

  • PROJECT_ID: Es el ID de tu proyecto.
  • NETWORK: El nombre de tu red de Google Cloud
  • REGION: La región de Google Cloud donde creas la puerta de enlace y el túnel
  • GW_NAME: El nombre de la puerta de enlace
  • GW_IP_NAME: Un nombre para la dirección IP externa que usa la puerta de enlace
  • Opcional: --target-vpn-gateway-region es la región de la puerta de enlace de VPN clásica en la que se debe operar. Su valor debe ser el mismo que el de --region. Si no se especifica, esta opción se configura de forma automática. Con esta opción se anula el valor predeterminado de la propiedad de procesamiento según región para esta invocación de comando.

Configura los recursos de la puerta de enlace

  1. Crea el objeto de puerta de enlace VPN de destino.

    gcloud compute target-vpn-gateways create GW_NAME \
       --network=NETWORK \
       --region=REGION \
       --project=PROJECT_ID
    
  2. Reserva una dirección IP externa regional (estática):

    gcloud compute addresses create GW_IP_NAME \
       --region=REGION \
       --project=PROJECT_ID
    
  3. Anota la dirección IP (para que puedas usarla cuando configures tu puerta de enlace de VPN de intercambio de tráfico):

    gcloud compute addresses describe GW_IP_NAME \
       --region=REGION \
       --project=PROJECT_ID \
       --format='flattened(address)'
    
  4. Crea tres reglas de reenvío; Eetas reglas le indican a Google Cloud que envíe tráfico ESP (IPsec), UDP 500 y UDP 4500 a la puerta de enlace:

    gcloud compute forwarding-rules create fr-GW_NAME-esp \
       --load-balancing-scheme=EXTERNAL \
       --network-tier=PREMIUM \
       --ip-protocol=ESP \
       --address=GW_IP_NAME \
       --target-vpn-gateway=GW_NAME \
       --region=REGION \
       --project=PROJECT_ID
    
    gcloud compute forwarding-rules create fr-GW_NAME-udp500 \
       --load-balancing-scheme=EXTERNAL \
       --network-tier=PREMIUM \
       --ip-protocol=UDP \
       --ports=500 \
       --address=GW_IP_NAME \
       --target-vpn-gateway=GW_NAME \
       --region=REGION \
       --project=PROJECT_ID
    
    gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \
       --load-balancing-scheme=EXTERNAL \
       --network-tier=PREMIUM \
       --ip-protocol=UDP \
       --ports=4500 \
       --address=GW_IP_NAME \
       --target-vpn-gateway=GW_NAME \
       --region=REGION \
       --project=PROJECT_ID
    

Crea el túnel de Cloud VPN

  1. En los comandos, reemplaza lo siguiente:

    • TUNNEL_NAME: Un nombre para el túnel
    • ON_PREM_IP: La dirección IP externa de la puerta de enlace VPN de intercambio de tráfico
    • IKE_VERS: 1 para IKEv1 o 2 para IKEv2
    • SHARED_SECRET: es tu clave precompartida (secreto compartido). La clave precompartida del túnel de Cloud VPN debe coincidir con la que se usa cuando configuras el túnel equivalente en la puerta de enlace de VPN de intercambio de tráfico. A fin de generar una clave precompartida criptográficamente segura, sigue estas instrucciones.

    Para la VPN basada en políticas, sigue estos pasos:

    • LOCAL_IP_RANGES: Una lista delimitada por comas de los rangos de IP de Google Cloud. Por ejemplo, puedes suministrar el bloque CIDR para cada subred en una red de VPC. Este es el lado izquierdo desde la perspectiva de Cloud VPN.
    • REMOTE_IP_RANGES: Una lista delimitada por comas de los rangos de IP de la red de intercambio de tráfico. Este es el lado derecho desde la perspectiva de Cloud VPN.

    Para configurar un túnel VPN basado en políticas, ejecuta el siguiente comando:

    gcloud compute vpn-tunnels create TUNNEL_NAME \
        --peer-address=ON_PREM_IP \
        --ike-version=IKE_VERS \
        --shared-secret=SHARED_SECRET \
        --local-traffic-selector=LOCAL_IP_RANGES \
        --remote-traffic-selector=REMOTE_IP_RANGES \
        --target-vpn-gateway=GW_NAME \
        --region=REGION \
        --project=PROJECT_ID
    

    En el caso de la VPN basada en rutas, los selectores de tráfico locales y remotos son 0.0.0.0/0 según lo que se define en las opciones de enrutamiento y los selectores de tráfico.

    Para configurar un túnel VPN basado en rutas, ejecuta el siguiente comando:

    gcloud compute vpn-tunnels create TUNNEL_NAME \
        --peer-address=ON_PREM_IP \
        --ike-version=IKE_VERS \
        --shared-secret=SHARED_SECRET \
        --local-traffic-selector=0.0.0.0/0 \
        --remote-traffic-selector=0.0.0.0/0 \
        --target-vpn-gateway=GW_NAME \
        --region=REGION \
        --project=PROJECT_ID
    
  2. Crea una ruta estática para cada rango de IP remota que especificaste en la opción --remote-traffic-selector del paso anterior. Repite este comando para cada rango de IP remota. Reemplaza ROUTE_NAME por un nombre único para la ruta y reemplaza REMOTE_IP_RANGE por el rango de IP remota adecuado.

    gcloud compute routes create ROUTE_NAME \
        --destination-range=REMOTE_IP_RANGE \
        --next-hop-vpn-tunnel=TUNNEL_NAME \
        --network=NETWORK \
        --next-hop-vpn-tunnel-region=REGION \
        --project=PROJECT_ID
    

Completa la configuración

Para poder usar una puerta de enlace de Cloud VPN nueva y sus túneles VPN asociados, completa los siguientes pasos:

  1. Configura la puerta de enlace de VPN de intercambio de tráfico y configura el túnel correspondiente allí. Para obtener instrucciones, consulta los siguientes vínculos:
  2. Configura las reglas de firewall en Google Cloud y en la red de intercambio de tráfico según sea necesario.
  3. Comprueba el estado del túnel VPN y las reglas de reenvío.
  4. Para ver tus rutas de VPN, ve a la tabla de enrutamiento del proyecto y filtra por Next hop type:VPN tunnel:

    Ir a Rutas

¿Qué sigue?