Usa VPN de terceros con Cloud VPN

En esta página, se proporcionan guías de interoperabilidad probadas por Google y notas específicas del proveedor para dispositivos VPN de terceros de intercambio de tráfico o servicios que puedes usar a fin de conectarte a Cloud VPN.

Cada guía de interoperabilidad ofrece instrucciones específicas para conectar la solución VPN de terceros a Cloud VPN. Si la solución de terceros admite enrutamiento dinámico (BGP), se incluyen en la guía instrucciones de configuración para Cloud Router.

La mayoría de los dispositivos VPN de intercambio de tráfico deben ser compatibles con Cloud VPN. Para obtener información general sobre la configuración de dispositivos VPN de intercambio de tráfico, consulta Configura la puerta de enlace de VPN de intercambio de tráfico.

Cualquier dispositivo o servicio de terceros compatible con las versiones 1 o 2 de IPsec y de IKE debe ser compatible con Cloud VPN. Para obtener una lista de algoritmos de cifrado de IKE y otros parámetros de configuración usados por Cloud VPN, consulta Algoritmos de cifrado de IKE admitidos.

Para obtener más información sobre Cloud VPN, consulta la Descripción general de Cloud VPN.

Para ver las definiciones de los términos que se usan en esta página, consulta Términos clave.

Guías de interoperabilidad por proveedor

En esta sección, se enumeran las guías de interoperabilidad por proveedor. Cada guía explica cómo utilizar la solución de puerta de enlace VPN de ese proveedor con Cloud VPN.

Para obtener notas detalladas sobre los proveedores mencionados en esta sección, consulta la sección de notas específicas del proveedor.

A-L

Guía Notas
Alibaba puerta de enlace de Cloud VPN sin redundancia Solo admite rutas estáticas.
Alibaba puerta de enlace de Cloud VPN con redundancia Solo admite rutas estáticas.
Amazon Web Services con VPN con alta disponibilidad

Solo admite el enrutamiento dinámico con Cloud Router.

Problema conocido: Cuando configuras túneles VPN para AWS, se requiere que uses IKEv2 y que configures menos conjuntos de transformación IKE del lado de AWS.

Amazon Web Services con VPN clásica Admite rutas estáticas o enrutamiento dinámico con Cloud Router.
Cisco ASA 5506H con VPN con alta disponibilidad Solo admite el enrutamiento dinámico con Cloud Router.
Cisco ASA 5505 con VPN clásica Solo admite rutas estáticas.
Cisco ASR Admite rutas estáticas o enrutamiento dinámico con Cloud Router.
Check Point Security Gateway Admite rutas estáticas o enrutamiento dinámico con Cloud Router.
Fortinet FortiGate con VPN con alta disponibilidad Solo admite el enrutamiento dinámico con Cloud Router.
Fortinet FortiGate 300C con VPN clásica Admite rutas estáticas o enrutamiento dinámico con Cloud Router.
Juniper SRX Admite rutas estáticas o enrutamiento dinámico con Cloud Router.

M-Z

Guía Notas
Microsoft Azure Solo admite rutas estáticas.
Palo Alto Networks PA-3020 Admite rutas estáticas o enrutamiento dinámico con Cloud Router.
strongSwan Admite enrutamiento dinámico con Cloud Router y BIRD.

Notas específicas del proveedor

Check Point

La VPN de Check Point implementa IKEv2 mediante la creación de varias asociaciones de seguridad secundarias (SA) cuando especificas más de un CIDR por selector de tráfico. Esta implementación no es compatible con Cloud VPN, que requiere que todos los CIDR del selector de tráfico local y todos los CIDR del selector de tráfico remoto estén ubicados en una sola SA secundaria. Para obtener sugerencias sobre cómo crear una configuración compatible, consulta Estrategias del selector de tráfico.

Cisco

Si tu puerta de enlace de VPN ejecuta Cisco IOS XE, asegúrate de que estás ejecutando la versión 16.6.3 (Everest) o posterior. Las versiones anteriores tienen problemas conocidos con los eventos de cambio de clave de la fase 2, que provocan que los túneles queden inactivos durante unos minutos cada pocas horas.

Cisco ASA admite una VPN basada en ruta con interfaz de túnel virtual (VTI) en la versión 9.7 (x) de IOS y posterior. Para obtener más información, consulta lo siguiente:

Cuando usas dispositivos Cisco ASA con un túnel de Cloud VPN, no puedes configurar más de un rango de direcciones IP (bloque CIDR) para cada uno de los selectores de tráfico locales y remotos. El motivo es que los dispositivos Cisco ASA usan una SA única para cada rango de direcciones IP en un selector de tráfico, mientras que Cloud VPN usa una SA única para todos los rangos de IP en un selector de tráfico. Para obtener más información, consulta Túneles basados en políticas y selectores de tráfico.

¿Qué sigue?

  • Si deseas configurar las reglas de firewall para la red de intercambio de tráfico, consulta Configura las reglas de firewall.
  • Para usar situaciones de alta disponibilidad y alta capacidad de procesamiento o situaciones de varias subredes, consulta Configuración avanzada.
  • Para ayudarte a resolver problemas comunes que podrías encontrar cuando uses Cloud Interconnect, consulta Solución de problemas.