IBM Cloud Docs
Adición de conexiones a una pasarela VPN

Adición de conexiones a una pasarela VPN

Puede añadir conexiones al crear una pasarela VPN, o después de suministrar una. Cuando configure una conexión VPN, puede optar por conectarse con negociación automática o por utilizar una política IKE o IPsec personalizada predefinida. Para obtener más información, consulte Acerca de la negociación de políticas.

Las opciones de seguridad de la fase 1 y de la fase 2 de IKE (IPsec) que especifique para la conexión deben ser las mismas opciones que se han establecido en la pasarela homóloga para la red externa a la VPC.

Añadir una conexión en la consola

Para añadir una conexión VPN a una pasarela VPN existente, siga estos pasos:

  1. Resalte la fila de la pasarela con la que desea trabajar en la tabla de pasarelas VPN y, a continuación, haga clic en Nueva conexión en el menú Acciones Menú Acciones.

    Alternativamente, en la página de detalles de la pasarela, puede hacer clic en Crear en la sección de conexiones VPN.

  2. Defina una conexión entre esta pasarela y una red fuera de su VPC especificando la información siguiente:

    • Nombre de conexión VPN: escriba un nombre para la conexión, como por ejemplo my-connection.

    • Dirección de pasarela homóloga: especifique la dirección IP de la pasarela VPN para la red externa a la VPC.

      Después de aprovisionar la conexión VPN, no puede cambiar el tipo de dirección de la puerta de enlace par de dirección IP a FQDN, o de FQDN a dirección IP.

    • Establecer modalidad-Seleccione Bidireccional o Sólo igual.

      • El modo bidireccional inicia las negociaciones del protocolo IKE (o los procesos de cambio de claves) desde cualquiera de los dos lados de la pasarela VPN.
      • La modalidad Solo igual permite al igual iniciar negociaciones de protocolo IKE para esta conexión de pasarela VPN. El igual también es responsable de iniciar el proceso de regeneración de claves después de establecer la conexión.

      Si el dispositivo de igual está detrás de un dispositivo NAT y no tiene una dirección IP pública, asegúrese de especificar Sólo igual.

    • Clave precompartida: especifique la clave de autenticación de la pasarela VPN para la red externa a la VPC. La clave precompartida es una serie de dígitos hexadecimales o una frase de contraseña de caracteres ASCII imprimibles. Para ser compatible con la mayoría de los tipos de pasarela homólogas, esta serie debe seguir las reglas siguientes:

      • Puede ser una combinación de dígitos, caracteres en minúscula o mayúscula, o los siguientes caracteres especiales: - + & ! @ # $ % ^ * ( ) . , :
      • La longitud de la serie oscilar entre 6 y 128 caracteres.
      • No se puede iniciar con 0x u 0s.

    • Distribuir tráfico (sólo VPN basada en rutas): active esta opción para distribuir el tráfico entre los Up túneles de la conexión de la pasarela VPN cuando el siguiente salto de una ruta VPC sea la conexión VPN. Si esta casilla no está seleccionada, la pasarela VPN utiliza el túnel con la IP pública pequeña como ruta de salida primaria, y sólo cuando la ruta de salida primaria está desactivada, el tráfico pasa por la ruta secundaria. Para más información, consulte el Caso práctico 4: Distribución del tráfico para una VPN basada en rutas.

    • Local IBM CIDRs (Policy-based VPN only)- Especifique uno o más CIDRs en la VPC que desea conectar a través del túnel VPN.

    • Peer CIDRs (sólo VPN basada en políticas)- Especifique uno o más CIDRs en la otra red que desea conectar a través del túnel VPN. El solapamiento del rango de subred entre subredes locales y de igual no está permitido.

  3. Para configurar la forma en que la pasarela VPN envía mensajes para comprobar que la pasarela homóloga está activa, especifique la información siguiente en la sección Detección de igual inactivo.

    • Acción: acción que se debe realizar si una pasarela homóloga deja de responder. Por ejemplo, seleccione Reiniciar si desea que la pasarela renegocie inmediatamente la conexión.
    • Intervalo (segundos): con qué frecuencia se comprueba que la pasarela homóloga está activa. De forma predeterminada, se envían mensajes cada 2 segundos.
    • Tiempo de espera (segundos): cuánto tiempo se debe esperar una respuesta de la pasarela homóloga. De forma predeterminada, una pasarela homóloga se considera inactiva si no se recibe una respuesta en un plazo de 10 segundos.

  4. En la sección Políticas, especifique las opciones Internet Key Exchange (IKE) e Internet Protocol Security (IPsec) que se deben utilizar para la negociación de fase 1 y fase 2 de la conexión.

    • Seleccione Automático si desea que la pasarela intente establecer automáticamente la conexión.
    • Seleccione o cree políticas personalizadas si necesita aplicar requisitos de seguridad concretos, o si la pasarela VPN de la otra red no admite las propuestas de seguridad que se intentan con la autonegociación.

  5. En la sección Opciones avanzadas, puede personalizar las identidades IKE locales y de igual en lugar de utilizar la identidad IKE predeterminada. Se puede especificar una identidad IKE de igual como máximo.

    Para pasarelas VPN basadas en políticas, puede configurar una identidad IKE local como máximo. Para pasarelas VPN basadas en ruta, si desea configurar una identidad IKE local, debe proporcionar dos. Puede proporcionar valores para los miembros o dejar los campos de entrada vacíos.

    • Identidades IKE locales: seleccione un tipo para la identidad IKE local y, a continuación, especifique su valor. Por ejemplo, puede introducir una dirección única de 4 octetos ( IPv4 ) (9.168.3.4), un FQDN (my-vpn.example.com), un nombre de host (my-host) o un ID de clave de base64-encoded (MTIzNA==).

      • La modalidad de ruta estática consta de dos miembros en modalidad activa-activa, donde la primera identidad se aplica al primer miembro y la segunda identidad se aplica al segundo miembro. Si no especifica identidades IKE locales, el tipo es una dirección IPv4 y el valor es la dirección IP pública del túnel de conexión VPN del miembro.

      • La modalidad de política consta de dos miembros en modalidad activa-en espera. La identidad IKE local se aplica al miembro activo. Si no especifica un valor, la identidad IKE local es la dirección IP pública de la pasarela VPN.

    • Identidad IKE de igual: seleccione un tipo para la identidad IKE de igual y, a continuación, especifique su valor. Por ejemplo, puede introducir una dirección IPv4 (9.168.3.4), un FQDN (my-vpn.example.com), un nombre de host (my-host) o un ID de clave base64-encoded (MTIzNA==).

      La identidad IKE par se aplica al miembro activo. Si no especifica un valor, utilice la dirección IPv4 de la pasarela de igual o FQDN.

  6. Revise el panel Resumen y, a continuación, pulse Crear conexión VPN.

Añadir una conexión desde la CLI

Antes de empezar, configure el entorno de CLI.

Para crear una conexión VPN desde la CLI, introduzca el siguiente comando:

ibmcloud is vpn-gateway-connection-create CONNECTION_NAME VPN_GATEWAY PEER PRESHARED_KEY
[--vpc VPC] [--admin-state-up true | false] [--dead-peer-detection-action restart | clear | hold | none]
[--distribute-traffic true | false]
[--dead-peer-detection-interval INTERVAL] [--dead-peer-detection-timeout TIMEOUT] [--ike-policy IKE_POLICY_ID]
[--ipsec-policy IPSEC_POLICY_ID] [--peer-cidr CIDR1 --peer-cidr CIDR2 ... --local-cidr CIDR1 --local-cidr CIDR2 ...]
[[--local-ike-identity-type fqdn | hostname | ipv4_address | key_id --local-ike-identity-value VALUE] |
[--local-ike-identities LISTENER_POLICIES_JSON | @LISTENER_POLICIES_JSON_FILE]]
[--peer-ike-identity-type fqdn | hostname | ipv4_address | key_id --peer-ike-identity-value VALUE]
[--establish-mode bidirectional | peer_only] [--output JSON] [-q, --quiet]
ibmcloud is vpn-gateway-connection-create CONNECTION_NAME VPN_GATEWAY PEER PRESHARED_KEY

Donde:

CONNECTION_NAME
El nombre de la conexión.
VPN_GATEWAY
El ID de la pasarela VPN.
PEER
La dirección IP o FQDN de la pasarela VPN homóloga.
PRESHARED_KEY
La clave precompartida.
--vpc
El ID o nombre de la VPC. Esto sólo es necesario para especificar el recurso único por su nombre dentro de esta VPC.
--admin-state-up
Si se establece en false, se cierra la conexión de la pasarela VPN. Puede ser true o false.
--dead-peer-detection-action
La acción de detección de pares muertos. Puede ser restart, clear, hold o none. (valor predeterminado: restart).
--dead-peer-detection-interval
El intervalo de detección de pares muertos en segundos (por defecto: 2).
--dead-peer-detection-timeout
El tiempo de espera de detección de pares muertos en segundos (por defecto: 10).
--distribute-traffic
Establézcalo en true para distribuir el tráfico entre los túneles Up de la conexión de la pasarela VPN cuando el siguiente salto de una ruta VPC sea la VPN connection.This puede ser true o false. Para obtener más información, consulte Distribución del tráfico para una VPN basada en rutas.
--ike-policy
El ID de la política IKE.
--ipsec-policy
El ID de la política IPsec.
--local-ike-identity-type
El tipo de identidad IKE local. Puede ser fqdn, hostname, ipv4_address o key_id.
--local-ike-identity-value
El valor de la identidad IKE local.
--local-ike-identities
El ID de la identidad IKE local. LOCAL_IKE_IDENTITIES_JSON | @LOCAL_IKE_IDENTITIES_JSON_FILE en JSON o un archivo JSON.
-peer-cidr
Los CIDR de pares para el recurso.
-local-cidr
El CIDR local del recurso.
-peer-ike-identity-type
El tipo de identidad IKE de igual. Puede ser ipv4_address, fqdn, hostname o key_id.
--peer-ike-identity-value
El valor de la identidad IKE de igual.

Las pasarelas VPN basadas en políticas solo pueden tener una identidad IKE local.

Si una pasarela VPN basada en ruta tiene identidades IKE locales especificadas, debe haber al menos dos; la primera identidad se aplica al primer miembro de la pasarela VPN y la segunda identidad se aplica al segundo miembro.

--establish-mode
Puede ser bidirectional o peer_only. El modo bidireccional inicia las negociaciones del protocolo IKE (o los procesos de cambio de claves) desde cualquiera de los dos lados de la pasarela VPN. La modalidad de solo igual permite al igual iniciar negociaciones de protocolo IKE para esta conexión de pasarela VPN. El igual también es responsable de iniciar el proceso de regeneración de claves después de establecer la conexión. Si no se produce la regeneración de claves, la conexión de pasarela VPN se elimina después de que caduque su vida útil.
-output
Especifica que la salida estará en formato JSON.
-q, --quiet
Suprime la salida detallada.

Ejemplos de mandato

  • Cree una conexión VPN para un ID de pasarela específico con sus valores de configuración requeridos: ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 169.21.50.5 lkj14b1oi0alcniejkso --local-cidr 10.240.0.0/24 --peer-cidr 192.168.1.0/24

  • Cree una conexión VPN para una pasarela VPN basada en rutas con la función de distribución de tráfico activada: ibmcloud is vpn-gateway-connection-create CONNECTION_NAME VPN_GATEWAY PEER PRESHARED_KEY --distribute-traffic true

  • Crear una conexión VPN con los mismos parámetros principales y configuraciones de DPD especificadas: ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 169.21.50.5 lkj14b1oi0alcniejkso --local-cidr 10.240.0.0/24 --peer-cidr 192.168.1.0/24 --dead-peer-detection-action clear --dead-peer-detection-interval 33 --dead-peer-detection-timeout 100

  • Crear una conexión VPN con los mismos parámetros principales y políticas personalizadas con los ID especificados: ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 169.21.50.5 lkj14b1oi0alcniejkso --local-cidr 10.240.0.0/24 --peer-cidr 192.168.1.0/24 --ipsec-policy 72251a2e-d6c5-42b4-97b0-b5f8e8d1f479 --ike-policy 72251a2e-d6c5-42b4-97b0-b5f8e8d1f480

  • Cree una conexión VPN con el FQDN de igual y especifique la identidad IKE local y de igual: ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 on-prem.my-company.com lkj14b1oi0alcniejkso --local-cidr 10.240.0.0/24 --peer-cidr 192.168.1.0/24 --local-ike-identities '[{"type":"key_id","value":"MTIzNA=="}]' --peer-ike-identity-type fqdn --peer-ike-identity-value on-prem.my-company.com --establish-mode peer_only

  • Cree una conexión VPN que permita al igual iniciar negociaciones de protocolo IKE para esta conexión de pasarela VPN: ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 169.21.50.5 lkj14b1oi0alcniejkso --establish-mode peer_only --local-ike-identities '[{type:ipv4_address,value:2.2.2.2},{type:fqdn,value:sadsadasd.com}]' --peer-ike-identity-type key_id --peer-ike-identity-value MTIzNA==

  • Cree una conexión VPN utilizando opciones de configuración avanzadas: ibmcloud is vpn-gateway-connection-create to-prem ${gateway_id} on-prem.test.com test123 --local-cidr 10.10.20.0/28 --peer-cidr 192.168.0.0/24 --peer-ike-identity-type ipv4_address --peer-ike-identity-value 192.168.0.1 --establish-mode peer_only

Adición de un CIDR local a una conexión de pasarela VPN desde la CLI

Antes de empezar, configure el entorno de CLI.

Para añadir un CIDR local a una conexión de pasarela VPN desde la CLI, especifique el mandato siguiente:

Este mandato sólo está soportado por pasarelas VPN en modalidad de política.

ibmcloud is vpn-gateway-connection-local-cidr-add VPN_GATEWAY CONNECTION PREFIX_ADDRESS PREFIX_LENGTH [--vpc VPC] [--output JSON] [-q, --quiet]

Donde:

VPN_GATEWAY
El ID de la pasarela VPN.
CONNECTION
El ID o nombre de la conexión VPN.
PREFIX_ADDRESS
La parte de dirección de prefijo del CIDR.
PREFIX_LENGTH
La parte de longitud de prefijo del CIDR.
--output value
La salida en formato JSON.
-q, --quiet
Suprime la salida detallada.

Ejemplo de mandato

Añada un CIDR local para un nombre de conexión específico con los valores de configuración necesarios: ibmcloud is vpn-gateway-connection-local-cidr-add my-vpn-gateway my-connection 3.3.3.0/24

Adición de un CIDR de igual a una conexión de pasarela VPN desde la CLI

Antes de empezar, configure el entorno de CLI.

Para añadir un CIDR de igual a una conexión de pasarela VPN desde la CLI, especifique el mandato siguiente:

Este mandato sólo está soportado por la pasarela VPN en modalidad de política.

ibmcloud is vpn-gateway-connection-peer-cidr-add VPN_GATEWAY CONNECTION PREFIX_ADDRESS PREFIX_LENGTH [--vpc VPC] [--output JSON] [-q, --quiet]

Donde:

VPN_GATEWAY
ID de la pasarela VPN.
CONNECTION
ID o nombre de la conexión VPN.
PREFIX_ADDRESS
Prefijo de dirección parte del CIDR.
PREFIX_LENGTH
Parte de la longitud del prefijo del CIDR.
--output value
Salida en formato JSON.
-q, --quiet
Suprimir la salida detallada.

Ejemplo de mandato

Añada un CIDR de igual para un nombre de conexión específico con sus valores de configuración necesarios: ibmcloud is vpn-gateway-connection-peer-cidr-add my-vpn-gateway my-connection 4.4.4.0/24

Añadir una conexión con la API

Para crear una conexión VPN con la API, siga estos pasos:

  1. Configure el entorno de la API con las variables adecuadas.

  2. Almacene las variables adicionales que se van a utilizar en los mandatos de la API, por ejemplo:

    • vpnGatewayId- El identificador de la pasarela VPN.

      export vpnGatewayId=<your_vpn_gateway_id>

    • ikePolicyId- El identificador único para esta política IKE.

      export ikePolicyId=<your_ike_policy_id>

    • ipsecPolicyId- El identificador único para esta política IPsec.

      export ipsecPolicyId=<your_ipsec_policy_id>

  3. Cuando se hayan iniciado todas las variables, cree la conexión de pasarela VPN. Por ejemplo:

       curl -X POST "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections?version=$api_version&generation=2" \
     -H "Authorization: $iam_token" \
     -d '{
         "name": "my-vpn-connection",
         "psk": "'$psk'",
         "dead_peer_detection": {
             "action": "restart",
             "interval": 2,
             "timeout": 10
         },
         "local": {
             "cidrs": "'$localCidrs'"
         },
         "peer": {
             "cidrs": "'$remoteCidrs'",
             "address": "7.8.9.10"
         }
         "ike_policy": {
             "id": "'$ikePolicyId'"
         },
         "ipsec_policy": {
             "id": "'$ipsecPolicyId'"
         }
     }'

  4. (Opcional) Para crear una conexión utilizando opciones de configuración avanzadas:

    curl -X POST "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections?version=$api_version&generation=2"  \
      -H "Authorization: $iam_token"      -d '{  \
      "name": "my-advanced-vpn-connection",
      "establish_mode": "peer_only",
      "psk": "'$psk'",
      "dead_peer_detection": {
          "action": "restart",
          "interval": 2,
          "timeout": 10
      },
      "local": {
          "cidrs": "'$localCidrs'",
          "ike_identities": [
              {
                  "type": "key_id",
                  "value": "dGVzdGtleQ=="
              }
          ]
      },
      "peer": {
          "cidrs": "'$remoteCidrs'",
          "ike_identity": {
              "type": "hostname",
              "value": "cisco-asa"
          },
          "fqdn": "on-prem.test.com"
      }
      "ike_policy": {
          "id": "'$ikePolicyId'"
      },
      "ipsec_policy": {
          "id": "'$ipsecPolicyId'"
      },
      "distribute_traffic":true
  }'

Adición de un CIDR local a una conexión de pasarela VPN con la API

Para añadir un CIDR local a una conexión de pasarela VPN con la API, siga estos pasos:

Esta API solo está soportada por pasarelas VPN en modalidad de política.

  1. Configure el entorno de la API con las variables adecuadas.

  2. Almacene las variables adicionales que se van a utilizar en los mandatos de la API, por ejemplo:

    • vpnGatewayId- El identificador de la pasarela VPN.

      export vpnGatewayId=<your_vpn_gateway_id>

    • connectionId-Identificador exclusivo de esta conexión VPN.

      export connectionId=<your_connection_id>

    • cidr_prefix- La parte de la dirección de prefijo del CIDR.

      export cidr_prefix=<your_cidr_prefix>

    • prefix_length- La parte de longitud del prefijo del CIDR.

      export prefix_length=<your_prefix_length>

  3. Cuando se hayan iniciado todas las variables, añada un CIDR local a una conexión de pasarela VPN. Por ejemplo:

       curl -X PUT "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections/$connectionId/local_cidrs/${cidr_prefix}/${prefix_length}?version=$api_version&generation=2" \
     -H "Authorization: $iam_token"

Adición de un CIDR de igual a una conexión de pasarela VPN con la API

Para añadir un CIDR de igual a una conexión de pasarela VPN con la API, siga estos pasos:

Esta API solo está soportada por pasarelas VPN en modalidad de política.

  1. Configure el entorno de la API con las variables adecuadas.

  2. Almacene las variables adicionales que se van a utilizar en los mandatos de la API, por ejemplo:

    • vpnGatewayId: el identificador de pasarela de VPN

      export vpnGatewayId=<your_vpn_gateway_id>

    • connectionId-Identificador exclusivo para esta conexión VPN

      export connectionId=<your_connection_id>

    • cidr_prefix- La parte de la dirección de prefijo del CIDR

      export cidr_prefix=<your_cidr_prefix>

    • prefix_length- La parte de longitud del prefijo del CIDR.

      export prefix_length=<your_prefix_length>

  3. Cuando se hayan iniciado todas las variables, añada un CIDR de igual a una conexión de pasarela VPN. Por ejemplo:

       curl -X PUT "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections/$connectionId/peer_cidrs/${cidr_prefix}/${prefix_length}?version=$api_version&generation=2" \
     -H "Authorization: $iam_token"

Adición de una conexión mediante Terraform

Para añadir una conexión utilizando Terraform, ejecute el mandato siguiente:

   resource "ibm_is_vpn_gateway_connection" "is_vpn_gateway_connection" {
     name                 = "my-vpn-gateway-connection"
     vpn_gateway    = ibm_is_vpn_gateway.is_vpn_gateway.id
     peer_address   =  "7.8.9.10"
     preshared_key = var.presharedkey
     local_cidrs        = [var.localCIDR]
     peer_cidrs        = [var.peerCIDR]
   }

El siguiente ejemplo de Terraform crea una conexión de pasarela VPN:

resource "ibm_is_vpn_gateway_connection" "is_vpn_gateway_connection" {
  name           = "my-vpn-gateway-connection"
  vpn_gateway    = ibm_is_vpn_gateway.is_vpn_gateway.id
  preshared_key  = "VPNDemoPassword"
  establish_mode = "bidirectional"
  peer {
    cidrs   = [var.peerCIDR]
    address = "7.8.9.10"
  }
  local {
    cidrs = [var.localCIDR]
  }
  ike_policy   = ibm_is_ike_policy.is_ike_policy.id
  ipsec_policy = ibm_is_ipsec_policy.is_ipsec_policy.id
}

El siguiente ejemplo de Terraform crea una conexión VPN para una pasarela VPN basada en rutas con la función de distribución de tráfico activada:


resource "ibm_is_vpn_gateway_connection" "test_VPNGatewayConnection1" {
    name = "example-vpn-gateway-connection"
    vpn_gateway = "${ibm_is_vpn_gateway.example.id}"
    peer_address = "${ibm_is_vpn_gateway.example.public_ip_address}"
    preshared_key = "VPNDemoPassword"
    distribute-traffic = true
}

El siguiente ejemplo de Terraform crea una conexión VPN utilizando opciones de configuración avanzadas:

resource "ibm_is_vpn_gateway_connection" "is_vpn_gateway_connection" {
  name           = "to-prem"
  vpn_gateway    = ibm_is_vpn_gateway.is_vpn_gateway.id
  preshared_key  = "test123"
  establish_mode = "peer_only"
  peer {
    cidrs   = ["192.168.0.0/24"]
    ike_identity {
      type  = "ipv4_address"
      value = "192.168.0.1"
    }
    fqdn = "on-prem.test.com"
  }
  local {
    cidrs = ["10.10.20.0/28"]
  }
}

Para más información, consulte el registro de Terraform.

Próximos pasos

Para crear una VPN basada en ruta, primero cree una tabla de direccionamiento y, a continuación, cree una ruta utilizando el tipo de conexión VPN.