Crea una VPN clásica mediante el enrutamiento dinámico

En esta página, se describe cómo crear una puerta de enlace de VPN clásica y un túnel con enrutamiento dinámico, que usa el protocolo de enrutamiento de puerta de enlace fronterizo (BGP).

Con el enrutamiento dinámico, no especificas los selectores de tráfico locales o remotos; en cambio, usas un Cloud Router. La información de la ruta se intercambia de forma dinámica.

Antes de comenzar

Configurar los siguientes elementos en Google Cloud facilita la configuración de Cloud VPN:

  1. Accede a tu Cuenta de Google.

    Si todavía no tienes una cuenta, regístrate para obtener una nueva.

  2. En la página Selector de proyectos de Cloud Console, selecciona o crea un proyecto de Cloud.

    Ir a la página Selector de proyectos

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud. Obtén información sobre cómo confirmar que tienes habilitada la facturación para tu proyecto.

  4. Instala e inicializa el SDK de Cloud.
  1. Si usas comandos de gcloud, configura tu ID del proyecto con el siguiente comando. Para las instrucciones de gcloud en esta página, se da por hecho que estableciste tu ID del proyecto antes de emitir comandos.
      gcloud config set project project-id
    

También puedes ver un ID del proyecto que ya se configuró:

      gcloud config list --format='text(core.project)'
    

Crea una red y una subred de nube privada virtual personalizada

Antes de crear una puerta de enlace de VPN clásica y un túnel, debes crear una red de nube privada virtual y al menos una subred en la región donde residirá la puerta de enlace de VPN clásica.

Crea una puerta de enlace y un túnel

El asistente de configuración de VPN es la única opción de consola para crear una puerta de enlace de VPN clásica. En el asistente se incluyen todos los pasos de configuración necesarios para crear una puerta de enlace de VPN clásica, túneles, sesiones de BGP y un recurso de puerta de enlace de VPN externa. Sin embargo, puedes completar ciertos pasos más adelante. Por ejemplo, configurar sesiones de BGP.

El botón Crear una VPN solo es compatible con la creación de puertas de enlace de VPN con alta disponibilidad.

Console

Configura la puerta de enlace

  1. Ve a la página VPN en Google Cloud Console.
    Ir a la página VPN
  2. Haz clic en el Asistente de configuración de VPN.
  3. En la página Crear una VPN, especifica VPN clásica.
  4. Haz clic en Continuar.
  5. En la página Crear una conexión de VPN, especifica la siguiente configuración de puerta de enlace:
    • Nombre: Es el nombre de la puerta de enlace VPN. El nombre no se puede cambiar más adelante.
    • Descripción: Si lo deseas, agrega una descripción.
    • Red: Especifica una red de VPC existente en la que se creará la puerta de enlace de VPN y el túnel.
    • Región: Las puertas de enlace y los túneles de Cloud VPN son objetos regionales. Elige una región de Google Cloud donde se ubicará la puerta de enlace. Las instancias y otros recursos en diferentes regiones pueden usar el túnel para el tráfico de salida sujeto al orden de las rutas. Para obtener un mejor rendimiento, ubica la puerta de enlace y el túnel en la misma región que los recursos relevantes de Google Cloud.
    • Dirección IP: Crea o elige una dirección IP externa regional existente.

Configura túneles

  1. Especifica lo siguiente en la sección Túneles para el elemento de túnel nuevo:
    • Nombre: Es el nombre del túnel VPN. El nombre no se puede cambiar más adelante.
    • Descripción: De manera opcional, puedes escribir una descripción.
    • Dirección IP de intercambio de tráfico remota: Especifica la dirección IP pública de la puerta de enlace de VPN de intercambio de tráfico.
    • Versión de IKE: Elige la versión de IKE adecuada compatible con la puerta de enlace de VPN de intercambio de tráfico. Se prefiere IKEv2 si es compatible con el dispositivo de intercambio de tráfico.
    • Secreto compartido: Proporciona una clave precompartida que se usa para la autenticación. El secreto compartido del túnel de Cloud VPN debe coincidir con el que se usa cuando se configura el túnel equivalente en la puerta de enlace de VPN de intercambio de tráfico. Puedes seguir estas instrucciones para generar un secreto compartido que sea seguro de manera criptográfica.
    • Opciones de enrutamiento: Selecciona Dinámico (BGP).
    • Cloud Router: Si aún no lo hiciste, crea un Cloud Router nuevo que especifique las opciones que se indican a continuación. Como alternativa, puedes usar un Cloud Router existente, si el Cloud Router no administra una sesión de BGP para un adjunto de interconexión asociado con una interconexión de socio. Si eliges un Cloud Router existente, estarás creando una sesión de BGP nueva, pero el ASN de Google será el mismo. Para crear un Cloud Router nuevo, especifica los siguientes detalles:
      • Nombre: Es el nombre del Cloud Router. El nombre no se puede cambiar más adelante.
      • Descripción: De manera opcional, puedes escribir una descripción.
      • ASN de Google: Elige un ASN privado (64512 - 65534, 4200000000 - 4294967294). Este ASN de Google se usa para todas las sesiones de BGP que administra Cloud Router. El ASN no se puede cambiar más adelante.
      • Haz clic en Guardar y continuar.
    • Sesión de BGP: Haz clic en el ícono de lápiz y especifica los siguientes detalles. Cuando hayas terminado, haz clic en Guardar y continuar:
      • Nombre: Es el nombre de la sesión de BGP. No se puede cambiar más adelante.
      • ASN de par: Es un ASN público o privado (64512 - 65534, 4200000000 - 4294967294) que usa tu puerta de enlace de VPN de intercambio de tráfico.
      • Prioridad de ruta anunciada: Es el Cloud Router de prioridad base que se usa cuando se anuncian las rutas “a Google Cloud” (opcional). Para obtener más información, consulta Métricas de ruta. La puerta de enlace de VPN de intercambio de tráfico los importa como valores MED.
      • IP de BGP de Cloud Router y la IP de intercambio de BGP: Las dos direcciones IP de la interfaz de BGP deben ser direcciones IP de vínculo local que pertenezcan a un CIDR común /30 del bloque 169.254.0.0/16. Cada IP de BGP define la respectiva IP de vínculo local que se usa para intercambiar información de ruta. Por ejemplo, 169.254.1.1 y 169.254.1.2 pertenecen a un bloque común /30.
  2. Si necesitas crear más túneles en la misma puerta de enlace, haz clic en Agregar túnel y repite el paso anterior. Puedes agregar más túneles luego.
  3. Haz clic en Crear.

gcloud


En estos comandos, reemplaza lo siguiente:

  • project-id por el ID de tu proyecto.
  • network por el nombre de tu red de Google Cloud.
  • region por la región de Google Cloud donde necesitas crear la puerta de enlace y el túnel.
  • --target-vpn-gateway-region es la región de la puerta de enlace de VPN clásica en la que se debe operar (opcional). Su valor debe ser el mismo que --region. Si no se especifica, esta opción se configura de forma automática. Con esta opción, se anula el valor predeterminado de la propiedad de procesamiento según región para esta invocación de comando.
  • gw-name por el nombre de la puerta de enlace.
  • gw-ip-name por un nombre para la IP externa que usa la puerta de enlace.

Completa la siguiente secuencia de comandos para crear una puerta de enlace de Google Cloud:

  1. Crea los recursos para la puerta de enlace de Cloud VPN:

    1. Crea el objeto de puerta de enlace VPN de destino.

          gcloud compute target-vpn-gateways create gw-name \
              --network network \
              --region region \
              --project project-id
          
    2. Reserva una dirección IP externa regional (estática):

          gcloud compute addresses create gw-ip-name \
              --region region \
              --project project-id
          
    3. Anota la dirección IP (para que puedas usarla cuando configures tu puerta de enlace de VPN de intercambio de tráfico):

          gcloud compute addresses describe gw-ip-name \
              --region region \
              --project project-id \
              --format='flattened(address)'
          
    4. Crea tres reglas de reenvío. Estas reglas le indican a Google Cloud que envíe tráfico ESP (IPsec), UDP 500 y UDP 4500 a la puerta de enlace.

           gcloud compute forwarding-rules create fr-gw-name-esp \
               --ip-protocol ESP \
               --address gw-ip-name \
               --target-vpn-gateway gw-name \
               --region region \
               --project project-id
          
          gcloud compute forwarding-rules create fr-gw-name-udp500 \
              --ip-protocol UDP \
              --ports 500 \
              --address gw-ip-name \
              --target-vpn-gateway gw-name \
              --region region \
              --project project-id
          
          gcloud compute forwarding-rules create fr-gw-name-udp4500 \
              --ip-protocol UDP \
              --ports 4500 \
              --address gw-ip-name \
              --target-vpn-gateway gw-name \
              --region region \
              --project project-id
          
  2. Si aún no lo hiciste, completa el siguiente comando para crear un Cloud Router. Reemplaza las opciones como se indica a continuación. Como alternativa, puedes usar un Cloud Router existente, si el Cloud Router no administra una sesión de BGP para un adjunto de interconexión asociado con una interconexión de socio.

    • Reemplaza nombre-router por un nombre para el Cloud Router.
    • Reemplaza [GOOGLE_ASN] por un ASN privado (64512 - 65534, 4200000000 - 4294967294). El ASN de Google se usa para todas las sesiones de BGP en el mismo Cloud Router y no se puede cambiar más adelante.
          gcloud compute routers create router-name \
          --asn google-asn \
          --network network \
          --region region \
          --project project-id
        
  3. Crea el túnel de Cloud VPN con los siguientes detalles:

    • Reemplaza tunnel-name por un nombre para el túnel.
    • Reemplaza on-prem-ip por la dirección IP externa de la puerta de enlace de VPN de par.
    • Reemplaza ike-vers por 1 para IKEv1 o 2 para IKEv2.
    • Reemplaza shared-secret por tu secreto compartido. El secreto compartido del túnel de Cloud VPN debe coincidir con el que se usa cuando se configura el túnel equivalente en la puerta de enlace de VPN de intercambio de tráfico. Puedes seguir estas instrucciones para generar un secreto compartido que sea seguro de manera criptográfica.
    • Reemplaza router-name por el nombre del Cloud Router que deseas usar para administrar las rutas del túnel de Cloud VPN. El Cloud Router debe existir antes de que crees el túnel.

          gcloud compute vpn-tunnels create tunnel-name \
              --peer-address on-prem-ip \
              --ike-version ike-vers \
              --shared-secret shared-secret \
              --router router-name \
              --target-vpn-gateway gw-name \
              --region region \
              --project project-id
          
  4. Crea una interfaz y un par BGP a fin de configurar una sesión de BGP para el Cloud Router Elige uno de los siguientes métodos:

    • Para permitir que Google Cloud elija de forma automática las direcciones IP de BGP de vínculo local, sigue estos pasos:

      1. Agrega una interfaz nueva al Cloud Router. Reemplaza interface-name para proporcionar un nombre a la interfaz.

            gcloud compute routers add-interface router-name \
                --interface-name interface-name \
                --vpn-tunnel tunnel-name \
                --region region \
                --project project-id
            
      2. Agrega un par BGP a la interfaz. Reemplaza peer-name por un nombre destinado al par de intercambio de tráfico y peer-asn por el ASN configurado para la puerta de enlace de VPN de intercambio de tráfico.

            gcloud compute routers add-bgp-peer router-name \
                --peer-name peer-name \
                --peer-asn peer-asn \
                --interface interface-name \
                --region region \
                --project project-id
            
      3. Enumera las direcciones IP de BGP que eligió Cloud Router. Si agregaste una interfaz nueva a un Cloud Router existente, las direcciones IP de BGP para la interfaz nueva deberían aparecer con el número de índice más alto. La dirección IP de intercambio de tráfico es la IP de BGP que debes usar para configurar tu puerta de enlace de VPN de intercambio de tráfico.

            gcloud compute routers get-status router-name \
                 --region region \
                 --project project-id \
                 --format='flattened(result.bgpPeerStatus[].ipAddress, \
                 result.bgpPeerStatus[].peerIpAddress)'
            

        El resultado esperado para un Cloud Router que administra un solo túnel de Cloud VPN (índice 0) es similar al siguiente. En este ejemplo, google-bgp-ip representa la IP de BGP de la interfaz del Cloud Router y on-prem-bgp-ip representa la IP de BGP de su par de intercambio de tráfico.

            result.bgpPeerStatus[0].ipAddress:     google-bgp-ip
            result.bgpPeerStatus[0].peerIpAddress: on-prem-bgp-ip
            
    • Para asignar de forma manual las direcciones IP de BGP asociadas con la interfaz y el par BGP de Google Cloud, sigue estos pasos:

      1. Elige un par de direcciones IP de BGP de vínculo local en un bloque /30 del rango 169.254.0.0/16. Para asignar una de estas direcciones IP de BGP al Cloud Router en el siguiente comando, reemplaza google-bgp-ip. La otra dirección IP de BGP se usa para la puerta de enlace de VPN de intercambio de tráfico. Debes configurar tu dispositivo para usar esa dirección y reemplazar on-prem-bgp-ip en el último comando, que aparece a continuación.

      2. Agrega una interfaz nueva al Cloud Router. Reemplaza interface-name para especificar un nombre de interfaz.

            gcloud compute routers add-interface router-name \
                --interface-name interface-name \
                --vpn-tunnel tunnel-name \
                --ip-address google-bgp-ip \
                --mask-length 30 \
                --region region \
                --project project-id
            
      3. Agrega un par BGP a la interfaz. Reemplaza peer-name por un nombre destinado al par de intercambio de tráfico y peer-asn por el ASN configurado para la puerta de enlace de VPN de intercambio de tráfico.

            gcloud compute routers add-bgp-peer router-name \
                --peer-name peer-name \
                --peer-asn peer-asn \
                --interface interface-name \
                --peer-ip-address on-prem-bgp-ip \
                --region region \
                --project project-id
            

Pasos de seguimiento

Debes completar los siguientes pasos antes de poder usar una puerta de enlace y un túnel de Cloud VPN nuevos:

  1. Configura la puerta de enlace de VPN de intercambio de tráfico y configura el túnel correspondiente allí. Consulta estas páginas:
  2. Configura las reglas de firewall en Google Cloud y en tu red de intercambio de tráfico según sea necesario. Consulta la página de reglas del firewall para obtener sugerencias.
  3. Comprueba el estado del túnel, incluidas las reglas de reenvío.

Próximos pasos