Se usó la API de Cloud Translation para traducir esta página.

Crear una puerta de enlace de VPN clásica mediante enrutamiento estático

En esta página, se describe cómo usar el enrutamiento estático para crear una puerta de enlace de VPN clásica y un túnel. Este túnel es un túnel basado en políticas o en rutas.

Con la VPN basada en rutas, solo especificas el selector de tráfico remoto. En cambio, si necesitas especificar un selector de tráfico local, crea un túnel de Cloud VPN que use enrutamiento basado en políticas.

La VPN clásica no es compatible con IPv6.

Para obtener más información sobre Cloud VPN, consulta los siguientes recursos:

Para obtener prácticas recomendadas antes de configurar Cloud VPN, consulta Prácticas recomendadas.
Para obtener más información sobre Cloud VPN, consulta la Descripción general de Cloud VPN.
Para ver las definiciones de los términos que se usan en esta página, consulta Términos clave.

Opciones de enrutamiento

Cuando usas la consola de Google Cloud para crear un túnel basado en políticas, la VPN clásica realiza las siguientes tareas:

Configura el selector de tráfico local del túnel en el rango de IP que especifiques.
Configura el selector de tráfico remoto del túnel en los rangos de IP que especifiques en Rangos de IP de red remota
Para cada rango en Rangos de IP de red remota, Google Cloudcrea una ruta estática personalizada cuyo destino (prefijo) es el CIDR del rango y cuyo salto siguiente es el túnel.

Después de crear un túnel de VPN clásica basado en políticas, los rangos de IP que ingresaste en el campo Rangos de IP de red remota aparecen como rangos de IP anunciados en la página de detalles del túnel VPN.

Cuando usas la consola de Google Cloud para crear un túnel basado en rutas, la VPN clásica realiza las siguientes tareas:

Configura los selectores de tráfico local y remoto del túnel en cualquier dirección IP (0.0.0.0/0).
Para cada rango en Rangos de IP de red remota, Google Cloud crea una ruta estática personalizada cuyo destino (prefijo) es el CIDR del rango y cuyo salto siguiente es el túnel.

Cuando usas Google Cloud CLI para crear un túnel basado en políticas o uno basado en rutas, los selectores de tráfico del túnel se definen de la misma manera. Sin embargo, debido a que la creación de rutas estáticas personalizadas se realiza con otros comandos, tienes más control sobre esas rutas.

La cantidad de CIDR que se puede especificar en un selector de tráfico depende de la versión de IKE.

Para obtener información general importante, consulta lo siguiente:

Antes de comenzar

Configura los siguientes elementos en Google Cloud para facilitar la configuración de Cloud VPN:

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

Si usas un proveedor de identidad externo (IdP), primero debes acceder a gcloud CLI con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

Si usas un proveedor de identidad externo (IdP), primero debes acceder a gcloud CLI con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

Si usas Google Cloud CLI, configura el ID del proyecto con el siguiente comando. En las instrucciones de gcloud de esta página, se da por hecho que estableciste el ID del proyecto antes de emitir comandos.
```
    gcloud config set project PROJECT_ID
    
```

También puedes ver un ID del proyecto que ya se estableció con la ejecución del siguiente comando:
```
    gcloud config list --format='text(core.project)'
    
```

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o las siguientes funciones de IAM.

Permisos

compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.targetVpnGateways.create
compute.targetVpnGateways.delete
compute.targetVpnGateways.use
compute.targetVpnGateways.setLabels

Funciones

roles/compute.networkAdmin

Crea una red y una subred de VPC personalizadas

Antes de crear una puerta de enlace de VPN clásica y un túnel, crea una red de nube privada virtual (VPC) y al menos una subred en la Google Cloud región donde se encuentra la puerta de enlace de VPN clásica.

Para crear una red de VPC en modo personalizado (recomendado), consulta Crea una red de VPC en modo personalizado.
Para crear subredes, consulta Trabaja con subredes.

Crea una puerta de enlace y un túnel

Console

Configura la puerta de enlace

En la consola de Google Cloud , ve a la página VPN.

Ir a VPN
Si estás creando una puerta de enlace por primera vez, haz clic en Crear conexión de VPN.
Selecciona el Asistente de configuración de VPN.
Selecciona el botón de opción VPN clásica.
Haz clic en Continuar.
En la página Crear una conexión de VPN, especifica la siguiente configuración de puerta de enlace:
- Nombre: El nombre de la puerta de enlace VPN. El nombre no se puede cambiar más adelante.
- Descripción: Si lo deseas, agrega una descripción.
- Red: Especifica una red de VPC existente en la que se creará la puerta de enlace de VPN y el túnel.
- Región: Las puertas de enlace y túneles de Cloud VPN son objetos regionales. Elige una Google Cloud región en la que se ubicará la puerta de enlace. Las instancias y otros recursos en diferentes regiones pueden usar el túnel para el tráfico de salida sujeto al orden de las rutas. Para obtener un mejor rendimiento, ubica la puerta de enlace y el túnel en la misma región que los recursos Google Cloud pertinentes.
- Dirección IP: Crea o elige una dirección IP externa regional existente.

Configura túneles

En la sección Túneles del túnel nuevo, especifica la siguiente configuración:
- Nombre: El nombre del túnel VPN. El nombre no se puede cambiar más adelante.
- Descripción: Opcionalmente, escribe una descripción.
- Dirección IP de intercambio de tráfico remoto: Especifica la dirección IP externa de la puerta de enlace de VPN de intercambio de tráfico.
- Versión de IKE: Elige la versión de IKE adecuada compatible con la puerta de enlace de VPN de intercambio de tráfico. Se prefiere IKEv2 si es compatible con el dispositivo de intercambio de tráfico.
  Problema conocido: Cuando configures los túneles VPN en AWS, usa el protocolo de encriptación IKEv2 y selecciona menos conjuntos de transformaciones en AWS. De lo contrario, el túnel de Cloud VPN puede no cambiar las claves. Por ejemplo, selecciona una combinación de algoritmos de encriptación únicos de fase 1 y fase 2, algoritmos de integridad y números de grupos DH.
  
  Este problema de cambio de claves se debe a un gran tamaño de carga útil de Asociación de seguridad (SA) para el conjunto predeterminado de conjuntos de transformación de AWS. Este gran tamaño de carga útil da como resultado la fragmentación de IP de los paquetes IKE en AWS, que no admite Cloud VPN.
- Clave precompartida IKE: Proporciona una clave precompartida (secreto compartido) que se usa para la autenticación. La clave precompartida del túnel de Cloud VPN debe coincidir con la que se usa cuando configuras el túnel equivalente en la puerta de enlace de VPN de intercambio de tráfico. Para generar una clave precompartida criptográficamente segura, sigue las instrucciones en Genera una clave precompartida segura.
Para túneles basados en políticas, sigue estos pasos
1. En Opciones de enrutamiento, selecciona Basado en políticas.
2. En Rangos de IP de red remota, proporciona una lista separada por espacios de los rangos de IP que usa la red de intercambio de tráfico. Este es el selector de tráfico remoto: el lado derecho desde la perspectiva de Cloud VPN.
  
  Después de crear un túnel de VPN clásica basado en políticas, los rangos de IP que ingresaste en el campo Rangos de IP de red remota aparecen como rangos de IP anunciados en la página de detalles del túnel VPN.
3. En Rangos de IP locales, selecciona uno de los siguientes métodos:
  - Para elegir un rango de IP local existente, usa el menú Subredes locales.
  - Para ingresar una lista de rangos de IP separados por espacios que se usan en tu red de VPC, usa el campo Rangos de IP locales. Para obtener consideraciones importantes, consulta Túneles basados en políticas y selectores de tráfico.
Para túneles basados en rutas, sigue estos pasos:
1. En Routing options (Opciones de enrutamiento), selecciona Route-based (Enrutamiento según la ruta).
2. En Rangos de IP de red remota, proporciona una lista separada por espacios de los rangos de IP que usa la red de intercambio de tráfico. Estos rangos se usan para crear rutas estáticas personalizadas cuyo salto siguiente es este túnel VPN.
Opcional: Selecciona la configuración de cifrado. Selecciona Predeterminado para usar la configuración de seguridad automática y recomendada, o Personalizado para ordenar y configurar manualmente las codificaciones. Para conocer los pasos para configurar algoritmos de encriptación, consulta Configura algoritmos de encriptación.
Si necesitas crear más túneles en la misma puerta de enlace, haz clic en Agregar túnel y repite el paso anterior. También puedes agregar más túneles luego.
Haz clic en Crear.

Nota: Google Cloud crea automáticamente una ruta para cada rango de IP remoto que especifiques. El destino de la ruta es el rango de IP remota, su salto siguiente se establece en el túnel de Cloud VPN y su prioridad es 1000. No puedes configurar la prioridad de esta ruta creada de forma automática, pero puedes borrarla y reemplazarla. Si necesitas un mayor control sobre la prioridad de las rutas de VPN, sigue los pasos de gcloud CLI

Configura algoritmos de encriptación

Puedes configurar algoritmos de encriptación cuando crees túneles de Cloud VPN. Si no configuras las codificaciones, el sistema usará los valores predeterminados. Para configurar los algoritmos de encriptación, haz lo siguiente:

Ve a la sección Selección de algoritmo de cifrado de VPN.
Selecciona Personalizado.
Configura los algoritmos de encriptación para la fase 1 de IKE.
1. En la fila Encriptación, haz clic en .
2. En la sección New Cipher, selecciona el algoritmo de encriptación.
3. Haz clic en Listo.
4. Para agregar más algoritmos de cifrado, haz clic en Agregar algoritmo de cifrado, selecciona el algoritmo de cifrado y, luego, haz clic en Listo.
Nota: Puedes cambiar el orden de prioridad de las cifras con las flechas.
Haz clic en Guardar.
De manera similar, configura lo siguiente:
- Integridad: En la fila Integridad, haz clic en , selecciona algoritmos de encriptación y, luego, haz clic en Guardar.
- PRF: En la fila PRF, haz clic en , selecciona algoritmos de cifrado y, luego, haz clic en Guardar.
- Diffie-Hellman (DH): En la fila Diffie-Hellman (DH), haz clic en , selecciona las codificaciones y, luego, haz clic en Guardar.
Haz clic en Guardar.
En la sección Fase 2 de IKE, configura lo siguiente:
- Encriptación: Selecciona uno o más algoritmos de encriptación.
- Integridad: Selecciona uno o más algoritmos de integridad.
- PFS: Selecciona uno o más algoritmos de PFS.
Haz clic en Guardar.

gcloud

Para crear una puerta de enlace de Cloud VPN, completa la siguiente secuencia de comandos. En los comandos, reemplaza lo siguiente:

PROJECT_ID: el ID del proyecto
NETWORK: El nombre de tu red Google Cloud
REGION: La región deGoogle Cloud en la que creas la puerta de enlace y el túnel
GW_NAME: El nombre de la puerta de enlace
GW_IP_NAME: Un nombre para la dirección IP externa que usa la puerta de enlace
Opcional: --target-vpn-gateway-region es la región de la puerta de enlace de VPN clásica en la que se debe operar. Su valor debe ser el mismo que el de --region. Si no se especifica, esta opción se configura de forma automática. Con esta opción se anula el valor predeterminado de la propiedad de procesamiento según región para esta invocación de comando.

Configura los recursos de la puerta de enlace

Crea el objeto de puerta de enlace VPN de destino.

gcloud compute target-vpn-gateways create GW_NAME \
   --network=NETWORK \
   --region=REGION \
   --project=PROJECT_ID

Reserva una dirección IP externa regional (estática):

gcloud compute addresses create GW_IP_NAME \
   --region=REGION \
   --project=PROJECT_ID

Anota la dirección IP (para que puedas usarla cuando configures tu puerta de enlace de VPN de intercambio de tráfico):

gcloud compute addresses describe GW_IP_NAME \
   --region=REGION \
   --project=PROJECT_ID \
   --format='flattened(address)'

Crea tres reglas de reenvío; estas reglas le indican aGoogle Cloud que envíe tráfico ESP (IPsec), UDP 500 y UDP 4500 a la puerta de enlace:

gcloud compute forwarding-rules create fr-GW_NAME-esp \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=ESP \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

gcloud compute forwarding-rules create fr-GW_NAME-udp500 \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=UDP \
   --ports=500 \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=UDP \
   --ports=4500 \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

Crea el túnel de Cloud VPN

En los comandos, reemplaza lo siguiente:
- TUNNEL_NAME: Un nombre para el túnel
- ON_PREM_IP: La dirección IP externa de la puerta de enlace VPN de intercambio de tráfico
- IKE_VERS: 1 for IKEv1 or 2 for IKEv2
  Problema conocido: Cuando configures los túneles VPN en AWS, usa el protocolo de encriptación IKEv2 y selecciona menos conjuntos de transformaciones en AWS. De lo contrario, el túnel de Cloud VPN puede no cambiar las claves. Por ejemplo, selecciona una combinación de algoritmos de encriptación únicos de fase 1 y fase 2, algoritmos de integridad y números de grupos DH.
  
  Este problema de cambio de claves se debe a un gran tamaño de carga útil de SA para el conjunto predeterminado de conjuntos de transformación de AWS. Este gran tamaño de carga útil da como resultado la fragmentación de IP de los paquetes IKE en AWS, que no admite Cloud VPN.
- SHARED_SECRET: es tu clave precompartida (secreto compartido). La clave precompartida del túnel de Cloud VPN debe coincidir con la que se usa cuando configuras el túnel equivalente en la puerta de enlace de VPN de intercambio de tráfico. Para generar una clave precompartida criptográficamente segura, sigue las instrucciones en Genera una clave precompartida segura.
- Los siguientes son parámetros opcionales para configurar algoritmos de cifrado. Si no se especifica, el sistema usa los valores predeterminados.
  - PH1_ENCRYPT_ALGRTHS: Es una lista separada por comas de los algoritmos de encriptación que se admiten para las negociaciones de la asociación de seguridad (SA) de la fase 1 de IKE. Puedes enumerar los algoritmos en el orden de tu preferencia.
  - PH1_INTEGRITY_ALGRTHS: Es una lista separada por comas de los algoritmos de integridad que se admiten para las negociaciones de SA de IKE de fase 1. Puedes enumerar los algoritmos en el orden de tu preferencia.
  - PH1_PRF_ALGRTHS: Es una lista separada por comas de algoritmos de función seudoaleatoria (PRF) que se admiten para las negociaciones de SA de IKE de fase 1. Puedes enumerar los algoritmos en el orden de tu preferencia.
  - PH1_DH_GROUP: Es una lista separada por comas de los algoritmos Diffie-Hellman (DH) que se admiten para las negociaciones de SA de IKE de fase 1. Puedes enumerar los algoritmos en el orden de tu preferencia.
  - PH2_ENCRYPT_ALGRTHS: Es una lista separada por comas de los algoritmos de encriptación que se admiten para las negociaciones de SA de IKE de la fase 2. Puedes enumerar los algoritmos en el orden de tu preferencia.
  - PH2_INTEGRITY_ALGRTHS: Es una lista separada por comas de los algoritmos de integridad que se admiten para las negociaciones de SA de IKE de fase 2. Puedes enumerar los algoritmos en el orden de tu preferencia.
  - PH2_PFS_ALGRTHS: Es una lista separada por comas de algoritmos de PFS compatibles con las negociaciones de SA de IKE de fase 2. Puedes enumerar los algoritmos en el orden de tu preferencia.
Para la VPN basada en políticas, sigue estos pasos:
- LOCAL_IP_RANGES: Es una lista delimitada por comas de los rangos de IP deGoogle Cloud . Por ejemplo, puedes suministrar el bloque CIDR para cada subred en una red de VPC. Este es el lado izquierdo desde la perspectiva de Cloud VPN.
- REMOTE_IP_RANGES: Una lista delimitada por comas de los rangos de IP de la red de intercambio de tráfico. Este es el lado derecho desde la perspectiva de Cloud VPN.
Para configurar un túnel VPN basado en políticas, ejecuta el siguiente comando:
```
gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=LOCAL_IP_RANGES \
    --remote-traffic-selector=REMOTE_IP_RANGES \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID
```
En el caso de la VPN basada en rutas, los selectores de tráfico locales y remotos son 0.0.0.0/0 según lo que se define en las opciones de enrutamiento y los selectores de tráfico.

Para configurar un túnel VPN basado en rutas, ejecuta el siguiente comando:
```
gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=0.0.0.0/0 \
    --remote-traffic-selector=0.0.0.0/0 \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID
```
También puedes configurar algoritmos de cifrado para los túneles basados en políticas y en rutas. Por ejemplo, para configurar algoritmos de cifrado para un túnel basado en políticas, ejecuta el siguiente comando:
```
gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=LOCAL_IP_RANGES \
    --remote-traffic-selector=REMOTE_IP_RANGES \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID \
    --phase1-encryption=PH1_ENCRYPT_ALGRTHS \
    --phase1-integrity=PH1_INTEGRITY_ALGRTHS \
    --phase1-prf=PH1_PRF_ALGRTHS \
    --phase1-dh=PH1_DH_GROUP \
    --phase2-encryption=PH2_ENCRYPT_ALGRTHS \
    --phase2-integrity=PH2_INTEGRITY_ALGRTHS \
    --phase2-pfs=PH2_PFS_ALGRTHS
```
Para obtener más información sobre los algoritmos de cifrado compatibles con Cloud VPN, consulta Algoritmos de cifrado IKE admitidos.
Crea una ruta estática para cada rango de IP remota que especificaste en la opción --remote-traffic-selector del paso anterior. Repite este comando para cada rango de IP remota. Reemplaza ROUTE_NAME por un nombre único para la ruta y reemplaza REMOTE_IP_RANGE por el rango de IP remota adecuado.
```
gcloud compute routes create ROUTE_NAME \
    --destination-range=REMOTE_IP_RANGE \
    --next-hop-vpn-tunnel=TUNNEL_NAME \
    --network=NETWORK \
    --next-hop-vpn-tunnel-region=REGION \
    --project=PROJECT_ID
```
Nota: El comando gcloud para crear una ruta usa la prioridad predeterminada de 1000. Si necesitas crear una ruta de prioridad más alta, usa la marca --priority con un número inferior cuando crees la ruta. No puedes cambiar la prioridad de una ruta después de que se haya creado; sin embargo, puedes borrar y reemplazar la ruta estática personalizada sin necesidad de volver a crear el túnel VPN. Para obtener detalles sobre cómo funcionan las rutas en tu red de VPC, consulta Descripción general de las rutas y Orden de las rutas.

Completa la configuración

Para poder usar una puerta de enlace de Cloud VPN nueva y sus túneles VPN asociados, completa los siguientes pasos:

Configura la puerta de enlace de VPN de intercambio de tráfico y configura el túnel correspondiente allí. Para obtener instrucciones, consulta los siguientes vínculos:
- Para obtener información específica sobre la configuración de ciertos dispositivos VPN de intercambio de tráfico, consulta Usa VPN de terceros.
- Para conocer los parámetros generales de configuración, consulta Configura la puerta de enlace de VPN de intercambio de tráfico.
Configura las reglas de firewall en Google Cloud y en tu red de intercambio de tráfico según sea necesario.
Comprueba el estado del túnel VPN y las reglas de reenvío.
Para ver tus rutas de VPN, ve a la tabla de enrutamiento del proyecto y filtra por Next hop type:VPN tunnel:

Ir a Rutas

¿Qué sigue?

Para controlar qué direcciones IP se permiten en las puertas de enlace de VPN de intercambio de tráfico, consulta Restringe las direcciones IP para las puertas de enlace de VPN de intercambio de tráfico.
Para usar situaciones de alta disponibilidad y alta capacidad de procesamiento o situaciones de varias subredes, consulta Configuración avanzada.
Para ayudarte a resolver problemas comunes que podrías encontrar cuando uses Cloud Interconnect, consulta Solución de problemas.