Crea una VPN clásica mediante el enrutamiento estático

En esta página, se describe cómo usar el enrutamiento estático para crear una puerta de enlace VPN clásica y un túnel. Este túnel es un túnel basado en políticas o en rutas.

Con la VPN basada en rutas, solo especificas el selector de tráfico remoto. En cambio, si necesitas especificar un selector de tráfico local, crea un túnel de Cloud VPN que use enrutamiento basado en políticas.

Para obtener más información sobre Cloud VPN, consulta los siguientes recursos:

Opciones de enrutamiento

Cuando usas Google Cloud Console para crear un túnel basado en políticas, la VPN clásica realiza las siguientes tareas:

  • Configura el selector de tráfico local del túnel en el rango de IP que especifiques.
  • Configura el selector de tráfico remoto del túnel en los rangos de IP que especifiques en Rangos de IP de red remota
  • Para cada rango en Rangos de IP de red remota, Google Cloud crea una ruta estática personalizada cuyo destino (prefijo) es el CIDR del rango y cuyo salto siguiente es el túnel.

Cuando usas Cloud Console para crear un túnel basado en rutas, la VPN clásica realiza las siguientes tareas:

  • Configura los selectores de tráfico local y remoto del túnel en cualquier dirección IP (0.0.0.0/0).
  • Para cada rango en Rangos de IP de red remota, Google Cloud crea una ruta estática personalizada cuyo destino (prefijo) es el CIDR del rango y cuyo salto siguiente es el túnel.

Cuando usas la herramienta de línea de comandos de gcloud para crear un túnel basado en políticas o un túnel basado en rutas, los selectores de tráfico del túnel se definen de la misma manera. Sin embargo, debido a que la creación de rutas estáticas personalizadas se realiza con otros comandos, tienes más control sobre esas rutas.

La cantidad de CIDR que se puede especificar en un selector de tráfico depende de la versión de IKE.

Para obtener información general importante, consulta lo siguiente:

Antes de comenzar

Configura los siguientes elementos en Google Cloud para facilitar la configuración de Cloud VPN:

  1. Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
  2. En la página del selector de proyectos de Google Cloud Console, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyecto

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Cloud. Descubre cómo confirmar que tienes habilitada la facturación en un proyecto.

  4. Instala e inicializa el SDK de Cloud.
  1. Si usas la herramienta de línea de comandos de gcloud, configura tu ID del proyecto con el siguiente comando. En las instrucciones de gcloud de esta página, se da por hecho que estableciste el ID del proyecto antes de emitir comandos.

        gcloud config set project PROJECT_ID
        
  1. También puedes ver un ID del proyecto que ya se estableció con la ejecución del siguiente comando:

        gcloud config list --format='text(core.project)'
        

Crea una red y una subred de VPC personalizadas

Antes de crear una puerta de enlace de VPN clásica y un túnel, crea una red de nube privada virtual (VPC) y al menos una subred en la región donde reside la puerta de enlace de VPN clásica:

Crea una puerta de enlace y un túnel

El asistente de configuración de VPN es la única opción de la consola para crear una puerta de enlace de VPN clásica. En el asistente se incluyen todos los pasos de configuración necesarios para crear una puerta de enlace de VPN clásica, túneles, sesiones de BGP y un recurso de puerta de enlace de VPN externa. Sin embargo, puedes completar ciertos pasos más adelante, como configurar sesiones de BGP.

Console

Configura la puerta de enlace

  1. En Google Cloud Console, ve a la página VPN.

    Ir a VPN

  2. Si estás creando una puerta de enlace por primera vez, haz clic en Crear conexión de VPN.

  3. Selecciona el Asistente de configuración de VPN.

  4. Selecciona el botón de opción VPN clásica.

  5. Haz clic en Continuar.

  6. En la página Crear una conexión de VPN, especifica la siguiente configuración de puerta de enlace:

    • Nombre: El nombre de la puerta de enlace VPN. El nombre no se puede cambiar más adelante.
    • Descripción: Si lo deseas, agrega una descripción.
    • Red: Especifica una red de VPC existente en la que se creará la puerta de enlace de VPN y el túnel.
    • Región: Las puertas de enlace y túneles de Cloud VPN son objetos regionales. Elige la región de Google Cloud en la que se ubicará la puerta de enlace. Las instancias y otros recursos en diferentes regiones pueden usar el túnel para el tráfico de salida sujeto al orden de las rutas. Para obtener un mejor rendimiento, ubica la puerta de enlace y el túnel en la misma región que los recursos relevantes de Google Cloud.
    • Dirección IP: Crea o elige una dirección IP externa regional existente.

Configura túneles

  1. Para el túnel nuevo, en la sección Túneles, especifica la siguiente configuración:

    • Nombre: El nombre del túnel VPN. El nombre no se puede cambiar más adelante.
    • Descripción: Opcionalmente, escribe una descripción.
    • Dirección IP de intercambio de tráfico remoto: Especifica la dirección IP externa de la puerta de enlace de VPN de intercambio de tráfico.
    • Versión de IKE: Elige la versión de IKE adecuada compatible con la puerta de enlace de VPN de intercambio de tráfico. Se prefiere IKEv2 si es compatible con el dispositivo de intercambio de tráfico.
    • Clave precompartida de IKE: Proporciona una clave precompartida (secreto compartido) que se usa para la autenticación. El secreto precompartido del túnel de Cloud VPN debe coincidir con el que se usa cuando configuras el túnel equivalente en la puerta de enlace de VPN de intercambio de tráfico. Para generar una clave precompartida de forma criptográfica, sigue estas instrucciones.

    Para túneles basados en políticas, sigue estos pasos

    1. En Opciones de enrutamiento, selecciona Basado en políticas.
    2. En Rangos de IP de red remota, proporciona una lista separada por espacios de los rangos de IP que usa la red de intercambio de tráfico. Este es el selector de tráfico remoto, o el lado derecho desde la perspectiva de Cloud VPN.
    3. En Rangos de IP locales, selecciona uno de los siguientes métodos:
      • Para elegir un rango de IP local existente, usa el menú de subredes locales.
      • Para ingresar una lista de rangos de IP separados por espacios que se usan en tu red de VPC, usa el campo Rangos de IP locales. Para tener en cuenta consideraciones importantes, consulta Túneles basados en políticas y selectores de tráfico.

    Para túneles basados en rutas, sigue estos pasos:

    1. En Routing options (Opciones de enrutamiento), selecciona Route-based (Enrutamiento según la ruta).
    2. En Rangos de IP de red remota, proporciona una lista separada por espacios de los rangos de IP que usa la red de intercambio de tráfico. Estos rangos se usan para crear rutas estáticas personalizadas cuyo salto siguiente es este túnel VPN.
  2. Si necesitas crear más túneles en la misma puerta de enlace, haz clic en Agregar túnel y repite el paso anterior. También puedes agregar más túneles luego.

  3. Haz clic en Crear.

gcloud

Para crear una puerta de enlace de Cloud VPN, completa la siguiente secuencia de comandos. En los comandos, reemplaza lo que se menciona a continuación:

  • PROJECT_ID: Es el ID de tu proyecto.
  • NETWORK: El nombre de tu red de Google Cloud
  • REGION: La región de Google Cloud donde creas la puerta de enlace y el túnel
  • GW_NAME: El nombre de la puerta de enlace
  • GW_IP_NAME: Un nombre para la dirección IP externa que usa la puerta de enlace
  • Opcional: --target-vpn-gateway-region es la región de la puerta de enlace de VPN clásica en la que se debe operar. Su valor debe ser el mismo que el de --region. Si no se especifica, esta opción se configura de forma automática. Con esta opción se anula el valor predeterminado de la propiedad de procesamiento según región para esta invocación de comando.

Configura los recursos de la puerta de enlace

  1. Crea el objeto de puerta de enlace VPN de destino.

    gcloud compute target-vpn-gateways create GW_NAME \
       --network=NETWORK \
       --region=REGION \
       --project=PROJECT_ID
    
  2. Reserva una dirección IP externa regional (estática):

    gcloud compute addresses create GW_IP_NAME \
       --region=REGION \
       --project=PROJECT_ID
    
  3. Anota la dirección IP (para que puedas usarla cuando configures tu puerta de enlace de VPN de intercambio de tráfico):

    gcloud compute addresses describe GW_IP_NAME \
       --region=REGION \
       --project=PROJECT_ID \
       --format='flattened(address)'
    
  4. Crea tres reglas de reenvío; Eetas reglas le indican a Google Cloud que envíe tráfico ESP (IPsec), UDP 500 y UDP 4500 a la puerta de enlace:

    gcloud compute forwarding-rules create fr-GW_NAME-esp \
       --ip-protocol=ESP \
       --address=GW_IP_NAME \
       --target-vpn-gateway=GW_NAME \
       --region=REGION \
       --project=PROJECT_ID
    
    gcloud compute forwarding-rules create fr-GW_NAME-udp500 \
       --ip-protocol=UDP \
       --ports=500 \
       --address=GW_IP_NAME \
       --target-vpn-gateway=GW_NAME \
       --region=REGION \
       --project=PROJECT_ID
    
    gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \
       --ip-protocol=UDP \
       --ports=4500 \
       --address=GW_IP_NAME \
       --target-vpn-gateway=GW_NAME \
       --region=REGION \
       --project=PROJECT_ID
    

Crea el túnel de Cloud VPN

  1. En los comandos, reemplaza lo que se menciona a continuación:

    • TUNNEL_NAME: Un nombre para el túnel
    • ON_PREM_IP: La dirección IP externa de la puerta de enlace VPN de intercambio de tráfico
    • IKE_VERS: 1 para IKEv1 o 2 para IKEv2
    • SHARED_SECRET: Tu clave precompartida (secreto compartido) El secreto precompartido del túnel de Cloud VPN debe coincidir con el que se usa cuando configuras el túnel equivalente en la puerta de enlace de VPN de intercambio de tráfico. Para generar una clave precompartida de forma criptográfica, sigue estas instrucciones.

    Para la VPN basada en políticas, sigue estos pasos:

    • LOCAL_IP_RANGES: Una lista delimitada por comas de los rangos de IP de Google Cloud. Por ejemplo, puedes suministrar el bloque CIDR para cada subred en una red de VPC. Este es el lado izquierdo desde la perspectiva de Cloud VPN.
    • REMOTE_IP_RANGES: Una lista delimitada por comas de los rangos de IP de la red de intercambio de tráfico. Este es el lado derecho desde la perspectiva de Cloud VPN.

    Para configurar un túnel VPN basado en políticas, ejecuta el siguiente comando:

    gcloud compute vpn-tunnels create TUNNEL_NAME \
        --peer-address=ON_PREM_IP \
        --ike-version=IKE_VERS \
        --shared-secret=SHARED_SECRET \
        --local-traffic-selector=LOCAL_IP_RANGES \
        --remote-traffic-selector=REMOTE_IP_RANGES \
        --target-vpn-gateway=GW_NAME \
        --region=REGION \
        --project=PROJECT_ID
    

    En el caso de la VPN basada en rutas, los selectores de tráfico locales y remotos son 0.0.0.0/0 según lo que se define en las opciones de enrutamiento y los selectores de tráfico.

    Para configurar un túnel VPN basado en rutas, ejecuta el siguiente comando:

    gcloud compute vpn-tunnels create TUNNEL_NAME \
        --peer-address=ON_PREM_IP \
        --ike-version=IKE_VERS \
        --shared-secret=SHARED_SECRET \
        --local-traffic-selector=0.0.0.0/0 \
        --remote-traffic-selector=0.0.0.0/0 \
        --target-vpn-gateway=GW_NAME \
        --region=REGION \
        --project=PROJECT_ID
    
  2. Crea una ruta estática para cada rango de IP remota que especificaste en la opción --remote-traffic-selector del paso anterior. Repite este comando para cada rango de IP remoto. Reemplaza ROUTE_NAME con un nombre único para la ruta y REMOTE_IP_RANGE con el rango de IP remoto adecuado.

    gcloud compute routes create ROUTE_NAME \
        --destination-range=REMOTE_IP_RANGE \
        --next-hop-vpn-tunnel=TUNNEL_NAME \
        --network=NETWORK \
        --next-hop-vpn-tunnel-region=REGION \
        --project=PROJECT_ID
    

Completa la configuración

Antes de poder usar una puerta de enlace de Cloud VPN nueva y su túnel VPN asociado, completa los siguientes pasos:

  1. Configura la puerta de enlace de VPN de intercambio de tráfico y configura el túnel correspondiente allí. Para obtener instrucciones, consulta los siguientes vínculos:
  2. Configura las reglas de firewall en Google Cloud y en la red de intercambio de tráfico según sea necesario.
  3. Comprueba el estado de tu túnel VPN y las reglas de reenvío.
  4. Para ver tus rutas VPN, ve a la tabla de enrutamiento del proyecto y filtra por Next hop type:VPN tunnel:

    Ir a las Rutas

Aplica una restricción de política de la organización que restrinja las direcciones IP de la puerta de enlace de VPN de intercambio de tráfico

Puedes crear una restricción de política de la organización de Google Cloud que defina un conjunto de direcciones IP permitidas o denegadas para el intercambio de tráfico entre puertas de enlace de VPN a través de VPN clásicas o túneles VPN con alta disponibilidad. Esta restricción contiene una lista de permisos o una lista de bloqueo de estas direcciones IP de intercambio de tráfico, que entran en vigor en los túneles de Cloud VPN que creas después de aplicar la restricción. Para obtener más detalles, consulta Restringe las direcciones IP de intercambio de tráfico a través de un túnel de Cloud VPN.

Si quieres crear políticas de la organización y asociarlas con una organización, una carpeta o un proyecto, usa los ejemplos de las siguientes secciones y sigue los pasos en Usa las restricciones.

Permisos necesarios

Para establecer una restricción de dirección IP de intercambio de tráfico en el nivel de organización o proyecto, primero debes tener la función de Administrador de políticas de la organización (roles/orgpolicy.policyAdmin).

Restringe la conectividad desde direcciones IP de intercambio de tráfico específicas

Para permitir solo direcciones IP de intercambio de tráfico específicas a través de un túnel de Cloud VPN, realiza los siguientes pasos:

  1. Busca el ID de tu organización mediante la ejecución del comando siguiente:
    gcloud organizations list

    El resultado del comando debería verse como el ejemplo siguiente:

          DISPLAY NAME             ID
          example-organization     29252605212
        
  2. Crea un archivo JSON que defina tu política, como en el ejemplo siguiente:

         {
           "constraint": "constraints/compute.restrictVpnPeersIPs",
           "listPolicy": {
             "allowedValues": [
               "100.1.1.1",
             ],
           }
         }
       
  3. Configura la política de la organización con el comando gcloud de Resource Manager set-policy, pasando el archivo JSON y con el ORGANIZATION_ID que encontraste en el paso anterior.

Restringe la conectividad desde cualquier dirección IP de intercambio de tráfico

Si quieres prohibir la creación de cualquier túnel de Cloud VPN nuevo, sigue los pasos de esta restricción de ejemplo:

  1. Busca el ID de la organización o el ID del nodo en la jerarquía de recursos en la que deseas establecer una política.
  2. Crea un archivo JSON como se muestra en el siguiente ejemplo:

        {
          "constraint": "constraints/compute.restrictVpnPeersIPs",
          "listPolicy": {
            "allValues": "DENY"
          }
        }
    
  3. Ingresa el mismo comando que ejecutarías para restringir direcciones IP específicas de intercambio de tráfico para pasar el archivo JSON.

¿Qué sigue?