Prácticas recomendadas para Cloud VPN

Las siguientes prácticas recomendadas pueden ser útiles a la hora de planificar y configurar Cloud VPN.

Usar proyectos de Google Cloud independientes para los recursos de red

Para facilitar la configuración de los roles y permisos de Gestión de Identidades y Accesos (IAM), mantén tus recursos de Cloud VPN y Cloud Router en un proyecto independiente de tus otros recursos de Google Cloud siempre que sea posible.

Enrutamiento y conmutación por error

Elegir el enrutamiento dinámico

Elige una pasarela de Cloud VPN que utilice el enrutamiento dinámico y el protocolo de pasarela fronteriza (BGP). Google recomienda usar VPN de alta disponibilidad e implementar dispositivos on‐premise que admitan BGP.

Maximizar la disponibilidad de Cloud VPN

Para disfrutar de alta disponibilidad y un mejor SLA, usa la VPN de alta disponibilidad con BGP. Si tu configuración requiere rutas estáticas, usa VPN clásica.

Para obtener más información, consulta los tipos de VPN en la descripción general de Cloud VPN.

Elegir la configuración de túnel adecuada

Elige la configuración de túnel adecuada en función del número de túneles VPN de alta disponibilidad:

• Si tienes dos túneles de VPN de alta disponibilidad, usa una configuración de túnel activo/pasivo.

• Si tienes más de dos túneles VPN de alta disponibilidad, usa una configuración de túnel activo/activo.

Para obtener más información, consulta las siguientes secciones de la descripción general de Cloud VPN:

• Opciones de enrutamiento activo-activo y activo-pasivo para la VPN de alta disponibilidad
• Opción de ruta recomendada

Fiabilidad

Configura tu pasarela de VPN de par con un solo cifrado para cada rol de cifrado

Cloud VPN puede actuar como iniciador o como receptor de solicitudes IKE en función del origen del tráfico cuando se necesite una nueva asociación de seguridad.

Cuando Cloud VPN inicia una conexión VPN, propone los algoritmos de cifrado configurados en el túnel VPN de Cloud. Si no has configurado los algoritmos de cifrado ([Vista previa](https://cloud.google.com/products#product-launch-stages)), el túnel de Cloud VPN propondrá los algoritmos de cifrado en el orden que se muestra en las tablas de cifrado admitidas para cada rol de cifrado. El otro participante que recibe la propuesta selecciona un algoritmo.

Si el otro extremo inicia la conexión, Cloud VPN selecciona un cifrado de la propuesta usando el mismo orden que se ha configurado o que se muestra en la tabla para cada rol de cifrado.

En función de qué lado sea el iniciador o el receptor, el cifrado seleccionado puede ser diferente. Por ejemplo, la cifra seleccionada puede cambiar con el tiempo a medida que se creen nuevas asociaciones de seguridad (SAs) durante la rotación de claves. Como un cambio en la selección de cifrado puede afectar a características importantes del túnel, como el rendimiento o la MTU, utiliza una selección de cifrado estable. Para obtener más información sobre la MTU, consulta Cuestiones importantes sobre las MTU.

Para evitar cambios frecuentes en la selección de cifrado, configura tu gateway de VPN de peer y el túnel de Cloud VPN para que propongan y acepten solo un cifrado para cada rol de cifrado. Ambos deben admitir este cifrado. No proporciones una lista de cifrados para cada rol de cifrado. Con esta práctica recomendada, ambas partes del túnel de Cloud VPN siempre seleccionan el mismo cifrado IKE durante la negociación de IKE.

Cloud Location Finder te ayuda a identificar las regiones y zonas de Google Cloud más cercanas a tus ubicaciones físicas en todo el mundo. Con Cloud Location Finder, puedes tomar decisiones fundamentadas sobre en qué Google Cloud región desplegar tus pasarelas de Cloud VPN, lo que te permite optimizar la latencia, la ubicación geográfica y el consumo de energía de carbono. Para obtener más información, consulta la documentación de Cloud Location Finder.

En el caso de los pares de túneles de VPN de alta disponibilidad, configura ambos túneles de VPN de alta disponibilidad en tu pasarela de VPN de par para que usen los mismos valores de cifrado y de tiempo de vida de la fase 2 de IKE.

Seguridad

Configurar reglas de cortafuegos para tus pasarelas VPN

Crea reglas de cortafuegos seguras para el tráfico que se desplaza a través de Cloud VPN. Para obtener más información, consulta la descripción general de las reglas de cortafuegos de VPC.

Usar claves precompartidas seguras

Google recomienda generar una clave precompartida segura para tus túneles de Cloud VPN.

Restringir las direcciones IP de las pasarelas VPN de tu par

Si restringes las direcciones IP que se pueden especificar para una pasarela VPN de par, puedes evitar que se creen túneles VPN no autorizados.

Para obtener más información, consulta Restringir las direcciones IP de las pasarelas de VPN de par.

Configurar el cifrado más seguro en la pasarela de VPN de par

Al configurar la pasarela de VPN de par, elige el cifrado más seguro para cada rol de cifrado que admitan tanto la pasarela de VPN de par como Cloud VPN.

Las propuestas de Cloud VPN no se ordenan por seguridad.

Para ver una lista de los algoritmos de cifrado IKE admitidos, consulta Algoritmos de cifrado IKE compatibles.

Siguientes pasos

• Para usar escenarios de alta disponibilidad y alto rendimiento o escenarios de varias subredes, consulta las configuraciones avanzadas.
• Para ayudarte a resolver los problemas habituales que pueden surgir al usar Cloud VPN, consulta la sección Solución de problemas.