Usa VPN de terceros con Cloud VPN

En esta página, se proporcionan guías de interoperabilidad probadas por Google y notas específicas del proveedor para dispositivos VPN de terceros de intercambio de tráfico o servicios que puedes usar a fin de conectarte a Cloud VPN.

Cualquier dispositivo o servicio de terceros compatible con las versiones 1 o 2 de IPsec y de IKE debe ser compatible con Cloud VPN. Para obtener más información, consulta Algoritmos de cifrado de IKE admitidos.

Cada guía de interoperabilidad ofrece instrucciones específicas para conectar la solución VPN de terceros a Cloud VPN.

Si la solución de terceros admite enrutamiento dinámico (BGP), la guía incluye instrucciones de configuración para Cloud Router.

La mayoría de los dispositivos VPN de intercambio de tráfico deben ser compatibles con Cloud VPN. Para obtener información general sobre la configuración de dispositivos VPN de intercambio de tráfico, consulta Configura la puerta de enlace de VPN de intercambio de tráfico.
Para obtener una lista de cifrados de IKE y otros parámetros de configuración usados por Cloud VPN, consulta Cifrados de IKE admitidos.

Guías de interoperabilidad por proveedor

Esta sección enumera las guías de interoperabilidad por proveedor en orden alfabético. Cada guía explica cómo utilizar la solución de puerta de enlace VPN de ese proveedor con Cloud VPN.

Consulta la sección de notas específicas del proveedor para obtener notas detalladas sobre los proveedores mencionados en esta sección.

A-L

Alibaba Cloud VPN Gateway sin redundancia: solo admite rutas estáticas.
Alibaba Cloud VPN Gateway con redundancia: solo admite rutas estáticas.
Amazon Web Services con VPN con alta disponibilidad: solo admite enrutamiento dinámico con Cloud Router
Problema conocido: Cuando configuras túneles VPN en AWS, es necesario usar IKEv2 y configurar menos conjuntos de transformación IKE del lado de AWS.
Amazon Web Services con VPN clásica: admite rutas estáticas o enrutamiento dinámico con Cloud Router.
Cisco ASA 5506H con VPN con alta disponibilidad: solo admite el enrutamiento dinámico con Cloud Router.
Cisco ASA 5505 con VPN clásica: solo admite rutas estáticas.
Cisco ASR: admite rutas estáticas o enrutamiento dinámico con Cloud Router.
Puerta de enlace de seguridad de Check Point: admite rutas estáticas o enrutamiento dinámico con Cloud Router.
Fortinet FortiGate con VPN con alta disponibilidad: solo admite el enrutamiento dinámico con Cloud Router.
Fortinet FortiGate 300C con VPN clásica: admite rutas estáticas o enrutamiento dinámico con Cloud Router.
Juniper SRX: admite rutas estáticas o enrutamiento dinámico con Cloud Router.

M-Z

Microsoft Azure: solo admite rutas estáticas.
Palo Alto Networks PA-3020: admite rutas estáticas o enrutamiento dinámico con Cloud Router.
strongSwan: admite enrutamiento dinámico con Cloud Router y BIRD.
VyOS: admite rutas estáticas o enrutamiento dinámico con Cloud Router.

Notas específicas del proveedor

Check Point

La VPN de Check Point implementa IKEv2 mediante la creación de varias asociaciones de seguridad secundarias (SA) cuando especificas más de un CIDR por selector de tráfico. Esta implementación no es compatible con Cloud VPN, que requiere que todos los CIDR del selector de tráfico local y todos los CIDR del selector de tráfico remoto estén ubicados en una sola SA secundaria. Consulta Estrategias del selector de tráfico para obtener sugerencias sobre cómo crear una configuración compatible.

Cisco

Si tu puerta de enlace de VPN ejecuta Cisco IOS XE, asegúrate de que estás ejecutando la versión 16.6.3 (Everest) o posterior. Las versiones anteriores tienen problemas conocidos con los eventos de cambio de clave de la fase 2, que provocan que los túneles queden inactivos durante unos minutos cada pocas horas.
Cisco ASA admite una VPN basada en ruta con interfaz de túnel virtual (VTI) en la versión 9.7 (x) de IOS y posterior. Consulta las Notas de la versión de Cisco ASA Series 9.7(x) y el capítulo de VTI en la guía de configuración de la CLI de la VPN de Cisco ASA Series 9.7
Nota: La versión 9.7 de IOS no es compatible con la versión de hardware ASA 5505, que alcanzó el estado de final del ciclo de vida. Consulta la matriz de compatibilidad de ASA para obtener más información.
Cuando usas dispositivos Cisco ASA con un túnel de Cloud VPN, no puedes configurar más de un rango de direcciones IP (bloque CIDR) para cada uno de los selectores de tráfico locales y remotos. El motivo es que los dispositivos Cisco ASA usan una SA única para cada rango de direcciones IP en un selector de tráfico, mientras que Cloud VPN usa una SA única para todos los rangos de IP en un selector de tráfico. Consulta los selectores de tráfico para obtener más información.

¿Qué sigue?

Obtener más información sobre los conceptos básicos de Cloud VPN.
Consulta Configuraciones avanzadas para obtener información sobre situaciones con alta disponibilidad, alto rendimiento o varias subredes
Crear una red de nube privada virtual personalizada
Mantén túneles y puertas de enlace de VPN
Visualiza registros y métricas de supervisión
Obtén ayuda para solucionar problemas