IBM Cloud Docs
Preguntas frecuentes sobre servidores VPN cliente-sitio

Preguntas frecuentes sobre servidores VPN cliente-sitio

Es posible que se plantee alguna de estas preguntas frecuentes cuando utilice IBM Cloud® VPN for VPC.

¿Qué indican los distintos estados de una VPN?

A continuación, se describen los distintos estados:

  • Healthy- Indica que su servidor VPN funciona correctamente.
  • Degraded: indica que el rendimiento, la capacidad o la conectividad del servidor VPN no son los esperados.
  • Faulted: indica que el servidor VPN es completamente inalcanzable y no está operativo.
  • Inapplicable: indica que el estado no es de aplicación debido al estado del ciclo de vida actual. Un recurso con un estado de ciclo de vida failed o deleting estará en estado inaplicable. Un recurso Pending también puede tener este estado.

¿Por qué no puedo guardar la contraseña o la clave de acceso en el cliente VPN?

El código de acceso generado desde IBM IAM es un código de acceso único basado en el tiempo (TOTP), que no se puede reutilizar. Debe regenerarse cada vez.

Si actualizo un servidor VPN con clientes VPN conectados, ¿qué ocurre con los clientes de VPN?

Los clientes de VPN se desconectan junto con el servidor VPN. Todos los clientes de VPN se tienen que volver a conectar al servidor VPN. Si se utiliza la autenticación mediante ID de usuario y clave de acceso, es necesario recuperar la clave de acceso e iniciar la conexión desde el cliente de VPN.

¿Por qué se desconecta el cliente de VPN?

El administrador del servidor VPN puede especificar un tiempo de inactividad para el cliente de VPN. Cuando no hay tráfico desde el cliente de VPN durante la ventana de tiempo de inactividad, el servidor VPN desconecta el cliente automáticamente. Debe reiniciar la sesión de VPN desde el cliente de VPN, si está desconectado.

Si elimino un servidor VPN con clientes de VPN conectados, ¿qué ocurre con los clientes de VPN?

Los clientes de VPN se desconectan junto con el servidor VPN.

¿Qué pasa con el servidor VPN si intento suprimir la subred en la que se encuentra el servidor VPN?

No se puede suprimir la subred si hay servidores VPN presentes.

¿Cómo puedo actualizar el grupo de seguridad al que está conectado mi servidor VPN?

  1. En el panel de navegación, pulse VPN > Servidores de cliente a sitio y seleccione el servidor VPN que desea actualizar.
  2. Pulse Grupos de seguridad adjuntos > Adjuntar y seleccione el grupo de seguridad que desea adjuntar.

¿Puedo crear rutas y utilizar las IP privadas del servidor VPN como salto siguiente?

No, no puede crear rutas y utilizar las IP privadas. Las IP privadas no son estáticas y pueden cambiar en cualquier momento. El servicio VPN for VPC actualiza automáticamente las rutas en la tabla de direccionamiento de VPC. Si crea una tabla de direccionamiento de VPC y desea que el servicio VPN for VPC inyecte rutas en la nueva tabla de direccionamiento, tiene que añadir el servidor VPN al distintivo accept routes from. También debe eliminar el servidor VPN del distintivo accept routes from si no desea que el servidor VPN inyecte rutas en la tabla de direccionamiento. Para obtener más información, consulte Configuración de la propagación de ruta para servidores VPN.

¿Qué pasa con un servidor VPN si intento suprimir el grupo de seguridad al que está conectado el servidor VPN?

No se puede suprimir un grupo de seguridad si hay servidores VPN presentes.

¿Cómo cambio una VPN cliente-sitio del modo de túnel completo al modo de túnel dividido?

Siga estos pasos:

  1. En la consola IBM Cloud, haga clic en el ícono del Menú de navegación ícono del Menú > Ícono de Infraestructura VPC > Red > VPN.
  2. Haga clic en Servidores cliente-sitio y, a continuación, en el nombre del servidor VPN que desea actualizar.
  3. En los detalles del servidor VPN, haga clic en Editar y seleccione Túnel dividido en el menú Modo de túnel.
  4. Introduzca las direcciones IP específicas o los rangos de direcciones de las redes a las que desea acceder a través de la VPN.
  5. Pulse Guardar.

¿Por qué debo elegir subredes durante el suministro del servidor VPN?

El servidor reside en la subred de VPN elegida. Un servidor VPN necesita dos direcciones IP privadas disponibles en cada subred para proporcionar una alta disponibilidad y un mantenimiento automático. Se recomienda utilizar una subred dedicada para el servidor VPN de tamaño 8, con una longitud de prefijo de subred igual o menor que 29. Con las subredes dedicadas, puede personalizar el grupo de seguridad y la ACL para conseguir una mayor flexibilidad del servidor VPN.

¿Admite el servidor VPN configuraciones de alta disponibilidad?

Sí, admite la alta disponibilidad en una configuración activa/activa. Debe elegir dos subredes si quiere desplegar un servidor VPN de alta disponibilidad con dos dominios de error. También puede actualizar el servidor VPN autónomo a la modalidad de alta disponibilidad y degradar el servidor VPN de alta disponibilidad a la modalidad autónoma.

¿Hay algún límite en el rendimiento para el servidor VPN?

Se admiten hasta 600 Mbps de rendimiento de agregación con un servidor VPN autónomo. Se admite un máximo de 1200 Mbps de rendimiento de agregación con un servidor VPN de alta disponibilidad. Hasta 150 Mbps de rendimiento para una única conexión de cliente (aplicable para servidores VPN autónomos y de alta disponibilidad).

¿Puedo utilizar un servidor VPN para la infraestructura clásica de IBM Cloud?

Sí, puede utilizar un servidor VPN para la infraestructura clásica de IBM Cloud. Sin embargo, también debe habilitar el acceso clásico en la VPC o configurar IBM Cloud Transit Gateway para conectar la VPC en la que reside el servidor VPN.

¿Qué cliente de VPN se admite?

Consulte Software de cliente soportado para obtener detalles.

¿Qué protocolo y qué puerto puedo utilizar para el servidor VPN?

Puede utilizar UDP o TCP y cualquier número de puerto para ejecutar el servidor VPN. Se recomienda UDP porque proporciona un mejor rendimiento; se recomienda el puerto 443 porque los proveedores de servicios de Internet pueden bloquear otros puertos. Si no puede conectarse al servidor VPN desde el cliente de VPN, puede probar TCP/443, ya que está abierto en casi todos los proveedores de servicios de Internet.

¿Qué acción de ruta debo utilizar?

La acción de la ruta de VPN depende del destino de la ruta:

  • Si el destino de la ruta está en la VPC o en una subred privada local conectada mediante pasarela VPN, la acción de ruta puede ser deliver; de lo contrario, es translate.
  • Si quiere bloquear el tráfico procedente del cliente, utilice la acción de ruta drop para reenviar el tráfico de red no deseado o no necesario a una ruta nula o "agujero negro".
  • Si la acción de ruta es translate, la IP de origen se convierte en la IP privada del servidor VPN antes de ser enviada desde el servidor VPN. Esto significa que la IP del cliente de VPN es invisible desde los dispositivos de destino.

¿Qué direcciones IP de servidor DNS debo utilizar?

Las direcciones IP del servidor DNS son opcionales cuando se suministra un servidor VPN. Si quiere acceder a los puntos finales de servicio y a los puntos finales de IaaS desde el cliente, debe utilizar las direcciones IP 161.26.0.10 y 161.26.0.11. Consulte Puntos finales de servicio y Puntos finales de IaaS para obtener detalles.

Utilice 161.26.0.7 y 161.26.0.8 si necesita resolver nombres de DNS privados desde el cliente. Consulte Acerca de los servicios DNS para obtener detalles.

¿Cómo puedo actualizar el certificado para el servidor VPN?

El servidor VPN no es consciente de las actualizaciones realizadas en un certificado en Secrets Manager. Es necesario volver a importar el certificado con un CRN diferente y, a continuación, actualizar el servidor VPN con el nuevo CRN de certificado.

¿Puedo utilizar un nombre de host personalizado para el servidor VPN?

Sí, puede. Debe crear un registro DNS CNAME y apuntarlo al nombre de host del servidor VPN en el proveedor DNS. A continuación, edite el perfil de cliente sustituyendo remote 445df6c234345.us-south.vpn-server.appdomain.cloud directo por remote your-customized-hostname.com.

445df6c234345.us-south.vpn-server.appdomain.cloud es un nombre de host de servidor VPN de ejemplo.

Si utiliza IBM Cloud Internet Services como proveedor de DNS, consulte Registro de tipo CNAME para obtener información sobre cómo añadir un registro DNS CNAME.

¿Qué información debo proporcionar en un caso de soporte de IBM si necesito ayuda?

Proporcione el contenido siguiente en el caso de soporte de IBM:

  1. El ID del servidor VPN.

  2. El cliente VPN y la versión del sistema operativo.

  3. Los registros del cliente VPN.

  4. El intervalo de tiempo en el que se ha encontrado el problema.

  5. Si se utiliza la autenticación basada en ID de usuario, proporcione el nombre de usuario.

  6. Si se utiliza la autenticación basada en certificado, proporcione el nombre común del certificado de cliente.

    Para ver el nombre común del certificado de cliente, utilice el mandato de OpenSSL openssl x509 -noout -text -in your_client_certificate_file en la sección subject.

¿Cómo se asigna el rol VPN client utilizando etiquetas de gestión de acceso de IAM en la API?

Cuando gestiona el acceso de usuario utilizando etiquetas de gestión de acceso en una VPN de cliente a sitio y habilita la modalidad UserId and Passcode para Client Authentication, debe adjuntar el rol VPN Client con una etiqueta de acceso. De lo contrario, el cliente VPN no se puede conectar al servidor VPN. Para obtener más información, consulte Cómo otorgar a los usuarios acceso para etiquetar recursos habilitados para IAM utilizando la API y establezca role_id en crn:v1:bluemix:public:is::::serviceRole:VPNClient para otorgar acceso.