IBM Cloud Docs
Preguntas más frecuentes sobre las pasarelas VPN sitio a sitio

Preguntas más frecuentes sobre las pasarelas VPN sitio a sitio

Es posible que se plantee alguna de estas preguntas frecuentes cuando utilice IBM Cloud® VPN for VPC.

Cuando creo una pasarela VPN, ¿puedo crear al mismo tiempo conexiones de VPN?

En la consola de IBM Cloud, puede crear la pasarela y una conexión al mismo tiempo. Si utiliza la API o la CLI, las conexiones de VPN se deben crear después de haber creado la pasarela VPN.

Si suprimo una pasarela VPN con conexiones VPN adjuntas, ¿qué ocurre con las conexiones?

Las conexiones de VPN se suprimen junto con la pasarela VPN.

¿Se suprimen las políticas de IKE o IPsec si se suprime una pasarela VPN o una conexión VPN?

No, las políticas IKE e IPsec se pueden aplicar a varias conexiones.

¿Qué le ocurre a una pasarela VPN si intento suprimir la subred en la que se encuentra la pasarela?

La subred no se puede suprimir si hay instancias de servidor virtual presentes, incluida la pasarela VPN.

¿Existen políticas IKE e IPsec predeterminadas?

Cuando crea una conexión VPN sin que se haga referencia a un ID de política (IKE o IPsec), se utiliza la negociación automática.

¿Por qué tengo que elegir una subred durante el suministro de pasarela VPN?

La pasarela VPN se debe desplegar en la VPC para proporcionar conectividad. Se puede configurar una VPN basada en ruta para proporcionar conectividad a todas las zonas. Una pasarela VPN necesita cuatro direcciones IP privadas disponibles en la subred para proporcionar alta disponibilidad y mantenimiento automático. Es mejor utilizar una subred dedicada para la pasarela VPN de 16, donde la longitud del prefijo de subred es menor o igual que 28.

¿Qué debo hacer si estoy utilizando las ACL de la subred que se utilizan para desplegar la pasarela VPN?

Asegúrese de que las reglas de ACL están en vigor para permitir el tráfico de gestión y el tráfico de túnel VPN. Para obtener más información, consulte Configuración de ACL de red para su uso con VPN.

¿Qué debo hacer si estoy utilizando las ACL en las subredes que necesitan comunicarse con la red privada local?

Asegúrese de que las reglas de ACL permitan el tráfico entre instancias de servidor virtual en la VPC y en la red privada local. Para obtener más información, consulte Configuración de ACL para su uso con VPN.

¿VPN for VPC admite configuraciones de alta disponibilidad?

Sí, VPN for VPC soporta alta disponibilidad en una configuración Activo-En espera para VPNs basadas en políticas, y configuración Activo-Activo para una VPN estática basada en rutas.

¿Existen planes para dar soporte a SSL VPN?

No, sólo se da soporte a IPsec de sitio a sitio.

¿Hay algún límite en el rendimiento para VPNaaS de sitio a sitio?

Se da soporte a un máximo de 650 Mbps de rendimiento.

¿Recibe soporte la autenticación de IKE basada en clave precompartida (PSK) y en certificado para VPNaaS?

Sólo se da soporte a la autenticación PSK.

¿Puede utilizar VPN for VPC como una pasarela VPN para la infraestructura clásica de IBM Cloud?

Núm. Para configurar una pasarela VPN en su entorno clásico, debe utilizar una VPN IPsec.

¿Qué provoca una colisión de repetición de clave?

Si utiliza IKEv1, la colisión de regeneración de claves suprime la asociación de seguridad (SA) de IKE/IPsec. Para volver a crear la SA de IKE/IPsec, establezca el estado del administrador de conexión en down y después otra vez en up. Puede utilizar IKEv2 para minimizar las colisiones de regeneración de claves.

¿Cómo puedo enviar todo el tráfico desde el lado de VPC al lado local en una VPN basada en políticas?

Para enviar todo el tráfico desde el lado de la VPC al lado local, establezca los CIDR de los pares en 0.0.0.0/0 cuando cree una conexión.

Cuando una conexión se crea correctamente, el servicio VPN añade una ruta 0.0.0.0/0 via <VPN gateway private IP> a la tabla de direccionamiento predeterminada de la VPC. Sin embargo, esta nueva ruta puede provocar problemas de direccionamiento como, por ejemplo, que los servidores virtuales de distintas subredes no puedan comunicarse entre sí y que las pasarelas VPN no se comuniquen con las pasarelas VPN locales.

Para solucionar problemas de enrutamiento, consulte ¿Por qué no se comunican mis pasarelas VPN o instancias de servidor virtual?

¿IBM realiza exploraciones de ASV trimestrales de dispositivos VPN de plano de datos?

La exploración trimestral por parte del proveedor de explorador aprobado (ASV) es un requisito del estándar de seguridad de datos para la industria de tarjeta de pago (Payment Card Industry Security Standards Council, o PCI DSS). La exploración ASV de los dispositivos del plano de datos VPN es únicamente responsabilidad del cliente. IBM no utiliza proveedores de exploración aprobados para explorar dispositivos del plano de datos porque estas exploraciones pueden afectar negativamente al rendimiento y a las funciones de carga de trabajo del cliente.

¿Qué métricas se me cobran si utilizo la pasarela VPN para VPC?

Para la facturación de la pasarela VPN se recopilan mensualmente las métricas siguientes:

  • Tiempo de la instancia de la pasarela VPN: la cantidad de tiempo que está funcionando la instancia de la pasarela VPN.
  • Tiempo de conexión VPN: la cantidad de tiempo de establecimiento y mantenimiento de cada una de las conexiones VPN en la pasarela VPN.
  • IP flotante: El número de direcciones IP flotantes activas utilizadas por la instancia de puerta de enlace VPN.

Cuando utiliza una pasarela VPN, también se le cobra por todo el tráfico de Internet público saliente facturado según las tarifas de datos de la VPC.

¿Cuándo no se encamina el tráfico a través de una pasarela VPN basada en rutas?

Si configuró una ruta VPC con una conexión VPN como siguiente salto, es posible que el tráfico no se enrute como se esperaba debido a las siguientes condiciones:

  • Los grupos de seguridad asociados a la instancia de VPC no permiten el tráfico, o las ACL de red asociadas a la subred de la instancia o la pasarela VPN bloquean el tráfico. Asegúrese de que sus grupos de seguridad y ACL permiten el tráfico previsto. Para obtener más información, consulte Configuración de ACL de red para su uso con VPN.
  • Si la IP de origen del tráfico no se encuentra en una subred asociada a la tabla de enrutamiento que contiene la ruta VPN, la pasarela VPN elimina el tráfico. Por ejemplo, supongamos que existe una tabla de enrutamiento VPC que está asociada únicamente a la subred A e incluye una ruta cuyo siguiente salto es una conexión VPN. Cuando el tráfico llega a la pasarela VPN, la IP de origen no está en la subred A ni en ninguna otra subred asociada a la tabla de enrutamiento. Como resultado, la pasarela VPN no reenvía el tráfico.