IBM Cloud Docs
Configuración de una conexión VPN IPsec

Configuración de una conexión VPN IPsec

IPsec VPN está obsoleto. A partir del 3 de noviembre de 2024, no se podrán crear nuevas instancias de VPN IPsec. Las instancias VPN IPsec existentes son compatibles hasta el 15 de junio de 2025. Se eliminarán todas las instancias que sigan existiendo en esa fecha.

¿Qué es una VPN IPsec?

IPsec es una suite de protocolos diseñados para autenticar y cifrara todo el tráfico de IP entre dos ubicaciones. Permite que los datos fiables pasen a través de redes que de lo contrario se considerarían no seguras. Los puntos finales de los túneles IPsec pueden estar ubicados en cualquier lugar y aún así proporcionan acceso a toda su red privada o a las redes que especifique. Los túneles IPsec son incompatibles si se utiliza una zona, o los puntos finales del servicio de nube.

El acceso VPN de IBM Cloud permite a los usuarios gestionar todos los servidores de forma remota y segura en la red privada de IBM Cloud. Una conexión VPN desde su ubicación a la red privada permite la gestión fuera de banda y el rescate de servidor a través de un túnel VPN cifrado. Con el acceso VPN, puede:

  • Establecer una conexión VPN en la red privada mediante SSL o IPsec.
  • Acceder al servidor con la dirección IP 10.x.x.x privada mediante SSH o RDP.
  • Conectarse a la dirección IP de IPMI del servidor para otras tareas de rescate y gestión de servidores.

Proporcionamos el servicio IPsec a los clientes para la gestión de los entornos. No se recomienda en las cargas de trabajo de producción.

Parámetros de negociación

Necesita conocer la siguiente información de la parte remota de la VPN IPsec:

  • Dirección IP estática para el punto final de VPN
  • Clave precompartida (contraseña)
  • Algoritmo de cifrado (DES, 3DES, AES128, AES192, AES256)
  • Autenticación (MD5, SHA1, SHA256, para la fase 1 y 2)
  • Grupo Diffie-Hellman (para la fase 1 y 2)
  • ¿Se utiliza el secreto-perfecto-adelante (PFS)?
  • Tiempo de vida clave (para la fase 1 y 2) - Nota: ¡Nuestro sistema mide este valor en segundos!

Una vez que tiene esta información disponible, puede configurar los parámetros de negociación básicos de la conexión VPN.

Redes protegidas

En las propiedades de conexión de la VPN, debe definir las redes en el final remoto del túnel y las redes locales del túnel. En "Subred de cliente (remoto) protegida", indique el espacio de dirección IP en la notación CIDR para el final remoto (no de IBM) del túnel IPsec.

Por ejemplo, si su red en el final remoto del túnel utiliza una única subred 10.0.0.0 con una máscara de red de 255.255.255.0, debería introducir una dirección IP 10.0.0.0 / CIDR 24 en la sección “Subred de cliente (remoto) protegida”.

Conversiones de dirección de red (NAT)

Con la VPN IPsec, también puede definir direcciones IP privadas en la red de IBM Cloud que enviarán el tráfico a subredes remotas en el otro final de la conexión VPN. Esto le permite reenviar el tráfico de internet privado a una de sus direcciones IP internas de un sistema que se encuentre tras la VPN sin exponer la ubicación remota en el acceso a internet completo.

Conversión de direcciones de red/Subredes de NAT estática asignadas

Para configurar una IP de VPN remota con una entrada NAT estática:

  • Seleccione la flecha roja para mostrar la lista de subredes en la sección Subredes de NAT estática asignadas. Se visualiza cada una de las IP de la subred.
  • Especifique la IP en el final remoto de la conexión VPN en la columna IP de cliente y escriba el nombre de la correlación en la columna Nombre.
  • Seleccione Añadir/modificar conversión de direcciones de contexto y Aplicar configuraciones para guardar y aplicar la configuración.

Esta sección configura una conversión de red individual estática para el tráfico de retorno que utilizan los hosts del concentrador de VPN de IBM Cloud para comunicarse con los hosts de la VPN homóloga remota. Por ejemplo, todo el tráfico de la IP 10.1.255.92 se convertirá y reenviará a la IP 192.168.10.15 del cliente. Este reenvío elimina la necesidad de más entradas de ruta en el servidor de IBM Cloud.

Debido a razones de seguridad, IBM no proporciona información específica de hardware o software/sistema operativo sobre el equipo utilizado para alojar nuestros servicios IPsec y SSL VPN.

Restricciones conocidas

Debido a incompatibilidades con nuestro IBM Servicio VPN IPsec CLoud, no puede crear túneles VPN IPsec con otros proveedores de nube importantes, como AWS, Azure, y Google Cloud. Si cree que construir un túnel VPN IPsec entre su IBM Cloud entorno y cualquiera de estos proveedores es necesario, comuníquese con el IBM Equipo de ventas para analizar las opciones disponibles, como un dispositivo de puerta de enlace personal.