Descripción general de Cloud VPN

En esta página, se describen conceptos relacionados con Google Cloud VPN.

Para crear una red privada virtual (VPN), consulta la documentación sobre cómo elegir una opción de enrutamiento VPN.

Introducción

Cloud VPN conecta de forma segura la red local a tu red de nube privada virtual (VPC) de Google Cloud Platform (GCP) a través de una conexión de VPN con IPsec. Una puerta de enlace VPN encripta el tráfico que viaja entre las dos redes, el que, luego, es desencriptado por la otra puerta de enlace VPN. Esto protege tus datos mientras viajan por Internet.

Características

Cloud VPN incluye las siguientes características:

Topología de VPN

Este diagrama muestra una conexión de VPN simple entre tu puerta de enlace de Cloud VPN y tu puerta de enlace VPN local.

Con Cloud VPN, tus hosts locales se comunican a través de uno o más túneles VPN con IPsec para instancias de máquina virtual (VM) de Compute Engine en las redes de VPC de tu proyecto.

Diagrama de VPN (haz clic para ampliar)
Diagrama de VPN (haz clic para ampliar)

Elige VPN para redes híbridas

Consulta Cómo elegir un tipo de interconexión para determinar si usar un socio de Cloud VPN o Cloud Interconnect (interconexión dedicada o Cloud Interconnect) como tu conexión de red híbrida a GCP. Esta página también abarca el tipo de situaciones de VPN que admite Cloud VPN.

Terminología

Los siguientes términos se utilizan en toda la documentación sobre VPN:

ID del proyecto
El ID de tu proyecto de GCP. Este no es el nombre del proyecto, que es el nombre descriptivo creado por el usuario de tu proyecto. Para encontrar el ID, consulta la columna ID del proyecto en GCP Console. Para obtener más información, consulta Identificación de proyectos.
Intercambio de claves por red (IKE)
IKE es el protocolo utilizado para la autenticación y para negociar una clave de sesión a fin de encriptar el tráfico.
Puerta de enlace de Cloud VPN
Una puerta de enlace VPN virtual que se ejecuta en GCP administrada por Google con una configuración que especificas en tu proyecto. Cada puerta de enlace de Cloud VPN es un recurso regional que utiliza una dirección IP externa regional. Una puerta de enlace de Cloud VPN puede conectarse a una puerta de enlace VPN local o, también, a otra puerta de enlace de Cloud VPN.
Puerta de enlace VPN local
La puerta de enlace VPN que no está en GCP, conectada a una puerta de enlace de Cloud VPN, puede ser un dispositivo físico en su centro de datos o una oferta de VPN física o basada en software en la red de otro proveedor de servicios en la nube. Las instrucciones de Cloud VPN se escriben desde el punto de vista de tu red de VPC, de modo que la "puerta de enlace local" es la puerta de enlace que se conecta a Cloud VPN.
Túnel VPN
Un túnel VPN conecta dos puertas de enlace de VPN y sirve como un medio virtual a través del cual se pasa el tráfico encriptado. Deben establecerse dos túneles VPN para crear una conexión entre dos puertas de enlace de VPN. Cada túnel define la conexión desde la perspectiva de su puerta de enlace, y el tráfico solo puede pasar una vez que se establece el par de túneles.

Opciones de enrutamiento del túnel

Cloud VPN ofrece tres métodos de enrutamiento diferentes para túneles VPN:

Enrutamiento dinámico (BGP)
Un Cloud Router puede administrar rutas para un túnel de Cloud VPN con el Protocolo de Puerta de Enlace Fronteriza (BGP) si la puerta de enlace VPN correspondiente o local lo admite. Este método de enrutamiento permite que las rutas se actualicen y, también, se intercambien sin cambiar la configuración del túnel. Las rutas a las subredes de GCP se exportan a la puerta de enlace VPN local, y las rutas a las subredes locales aprendidas de la puerta de enlace VPN local se aplican a tu red de VPC, ambas de acuerdo con la opción de enrutamiento dinámico de la red. Se recomienda el enrutamiento dinámico, porque no requiere que los túneles se vuelvan a crear cuando las rutas cambian.
Enrutamiento basado en políticas
Con esta opción de enrutamiento, especificas los rangos de IP de red remota y las subredes locales cuando creas el túnel de Cloud VPN. Desde la perspectiva de Cloud VPN, los rangos de IP de red remota son el "lado derecho" y las subredes locales son el "lado izquierdo" del túnel VPN. GCP crea automáticamente rutas estáticas para cada uno de los rangos de redes remotas cuando se crea el túnel. Cuando creas el túnel correspondiente en la puerta de enlace VPN local, los rangos del lado derecho y del lado izquierdo se invierten.
VPN basada en rutas
Con esta opción de enrutamiento, solo especificas los rangos de IP de red remota (lado derecho). Todo el tráfico entrante se acepta a través del túnel, sujeto a las rutas que creas manualmente.

Para obtener más detalles sobre los tipos de red y las opciones de enrutamiento, consulta la página Cómo elegir un tipo de red y opción de enrutamiento de VPC.

Especificaciones

Es técnicamente posible crear una configuración de concentrador y radio que vincule dos o más ubicaciones locales entre sí a través de VPN y una red de GCP, pero tal configuración es una violación de las Condiciones del Servicio. Puedes crear un vínculo de concentrador y radio de las redes de GCP, siempre que no se trate de más de una ubicación local.

Cloud VPN tiene las siguientes especificaciones:

  • Cloud VPN puede usarse con redes de VPC y redes heredadas. Para VPC se recomienda el modo personalizado, de manera que tengas control total sobre los rangos de direcciones IP usadas por las subredes en la red.

    • Si los rangos de direcciones IP para las subredes locales se superponen con las direcciones IP usadas por las subredes en tu red de VPC, consulta Orden de las rutas para determinar cómo se resuelven los conflictos de enrutamiento.
  • Cada puerta de enlace de Cloud VPN debe conectarse a otra puerta de enlace VPN local o a otra puerta de enlace de Cloud VPN.

  • La puerta de enlace VPN local debe tener una dirección IP externa estática. Necesitarás saber su dirección IP para configurar Cloud VPN.

    • Si tu puerta de enlace VPN local está detrás de un firewall, debes configurar el firewall para pasarle el protocolo ESP (IPSec) y el tráfico IKE (UDP 500 y UDP 4500). Si el firewall proporciona Traducción de direcciones de red (NAT), consulta la encapsulación UDP y NAT-T.
  • Cloud VPN solo admite una clave compartida previamente (secreto compartido) para la autenticación. Debes especificar un secreto compartido cuando crees el túnel de Cloud VPN. Este mismo secreto debe especificarse cuando creas el túnel en la puerta de enlace local. Consulta estas pautas para crear un secreto compartido seguro.

  • Cloud VPN usa una Unidad de transmisión máxima (MTU) de 1,460 bytes. Las puertas de enlace de VPN locales deben configurarse para usar una MTU de no más de 1,460 bytes.

    • A fin de justificar la sobrecarga de ESP, es posible que debas configurar los valores de MTU para los sistemas que envían tráfico a través del túnel a valores más bajos. Consulta las Consideraciones de MTU para obtener un análisis detallado y recomendaciones.
  • Cloud VPN requiere que la puerta de enlace VPN local esté configurada para admitir la prefragmentación. Los paquetes deben estar fragmentados antes de ser encapsulados.

  • Cloud VPN usa la detección de repetición con una ventana de 4,096 paquetes. No puedes desactivarla.

  • Consulta Cifrados de IKE admitidos para conocer los cifrados y los parámetros de configuración admitidos por Cloud VPN.

Mantenimiento y disponibilidad

Cloud VPN se somete a un mantenimiento periódico. Durante el mantenimiento, los túneles de Cloud VPN se desconectan, lo que provoca una breve caída en el tráfico de red. Cuando se completa el mantenimiento, los túneles de Cloud VPN se restablecen automáticamente.

El mantenimiento de Cloud VPN es una tarea operativa normal que puede realizarse en cualquier momento sin previo aviso. Los períodos de mantenimiento están diseñados para ser lo suficientemente cortos, de modo que el ANS de Cloud VPN no se vea afectado.

Puedes diseñar configuraciones VPN de alta disponibilidad con varios túneles. Algunas estrategias para hacer esto se analizan en la página VPN redundantes y de alta capacidad de procesamiento.

Encapsulación UDP y NAT-T

Cloud VPN solo admite NAT uno a uno mediante la encapsulación UDP para NAT-Traversal (NAT-T). No se admite la conversión de direcciones basadas en puertos y NAT uno a varios. En otras palabras, Cloud VPN no puede conectarse a varias puertas de enlace de VPN locales o de pares que compartan una única dirección IP pública.

Cuando usas NAT uno a uno, se debe configurar una puerta de enlace VPN local para identificarse con una dirección IP pública, no su dirección interna (privada). Cuando configuras un túnel de Cloud VPN para conectarse a una puerta de enlace VPN local, especificas una dirección IP externa. Cloud VPN espera que una puerta de enlace VPN local use su dirección IP externa para su identidad.

Para obtener más detalles sobre las puertas de enlace de VPN detrás de NAT uno a uno, consulta la página de solución de problemas.

Recomendaciones

Usa estas recomendaciones para compilar tu Cloud VPN de la manera más efectiva.

¿Qué sigue?

¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…