Creación de una pasarela VPN
Puede crear una IBM Cloud VPN para VPC para conectar de forma segura su VPC a otra red privada, como una red local u otra VPC.
Antes de empezar, revise las consideraciones de planificación para pasarelas VPN y las limitaciones, problemas y restricciones conocidas de las pasarelas VPN.
Creación de una pasarela VPN en la consola
Para crear una pasarela VPN mediante la interfaz de usuario:
-
Desde su navegador, abra la consola IBM Cloud y conéctese a su cuenta.
-
Seleccione el
menú de navegación, luego haga clic en el ícono de Infraestructura
> Red > VPN.
-
Asegúrese de seleccionar las pestañas Pasarelas de sitio a sitio > Pasarelas VPN.
-
En la página VPN para VPC, pulse Crear y, a continuación, seleccione el mosaico de pasarela Sitio a sitio.
-
Especifique la información siguiente:
- Nombre de pasarela VPN: especifique un nombre para la pasarela VPN, como
my-vpn-gateway
. - Grupo de recursos: seleccione un grupo de recursos para la pasarela VPN.
- Etiquetas: si lo desea, añada etiquetas para identificar esta pasarela VPN.
- Etiquetas de gestión de acceso-Opcionalmente, añada etiquetas de gestión de acceso a los recursos para ayudar a organizar las relaciones de control de acceso. El único formato admitido para las etiquetas de gestión de
accesos es
key:value
. Para obtener más información, consulte Control del acceso a los recursos mediante etiquetas. - Región: muestra la región en la que se encuentra la VPC y en la que se aprovisionará la pasarela VPN.
- Nube privada virtual: seleccione la VPC para la pasarela VPN.
- Subred: seleccione la subred en la que se creará la pasarela VPN. Consulte Consideraciones de planificación para obtener información importante de la subred.
- Modalidad: Seleccione una VPN basada en políticas o basada en rutas. Para obtener más información sobre los tipos de VPN, consulte Características de VPN.
- Nombre de pasarela VPN: especifique un nombre para la pasarela VPN, como
-
En la sección Conexión VPN para VPC, active el conmutador para establecer la conectividad entre esta pasarela y la red fuera de la VPN. También puede añadir una conexión VPN después de aprovisionar la pasarela.
-
Nombre de conexión VPN: escriba un nombre para la conexión, como por ejemplo
my-connection
. -
Dirección de pasarela de igual: especifique el dispositivo de igual a través de una dirección IP pública o FQDN de la pasarela VPN para la red fuera de la VPC.
-
Establecer modalidad-Seleccione Bidireccional o Sólo igual.
- El modo bidireccional inicia las negociaciones del protocolo IKE (o los procesos de cambio de claves) desde cualquiera de los dos lados de la pasarela VPN.
- La modalidad Solo igual permite al igual iniciar negociaciones de protocolo IKE para esta conexión de pasarela VPN. El igual también es responsable de iniciar el proceso de regeneración de claves después de establecer la conexión.
Si el dispositivo de igual está detrás de un dispositivo NAT y no tiene una dirección IP pública, asegúrese de especificar Sólo igual.
-
Clave precompartida: especifique la clave de autenticación de la pasarela VPN para la red externa a la VPC. La clave precompartida es una serie de dígitos hexadecimales o una frase de contraseña de caracteres ASCII imprimibles. Para ser compatible con la mayoría de los tipos de pasarela homólogas, esta serie debe seguir las reglas siguientes:
- Puede ser una combinación de dígitos, caracteres en minúscula o mayúscula, o los siguientes caracteres especiales:
- + & ! @ # $ % ^ * ( ) . , :
- La longitud de la serie oscilar entre 6 y 128 caracteres.
- No se puede iniciar con
0x
u0s
.
- Puede ser una combinación de dígitos, caracteres en minúscula o mayúscula, o los siguientes caracteres especiales:
-
Distribuir tráfico (sólo VPN basada en rutas): active esta opción para distribuir el tráfico entre los
Up
túneles de la conexión de la pasarela VPN cuando el siguiente salto de una ruta VPC sea la conexión VPN. Si esta casilla no está seleccionada, la pasarela VPN utiliza el túnel con la IP pública pequeña como ruta de salida primaria, y sólo cuando la ruta de salida primaria está desactivada, el tráfico pasa por la ruta secundaria. Para más información, consulte el Caso práctico 4: Distribución del tráfico para una VPN basada en rutas. -
Subredes locales (solo basadas en política): especifique una o varias subredes de la VPC con las que desea conectar a través del túnel VPN.
-
Subredes de igual (solo basadas en política): especifique una o varias subredes de la otra red con las que desea conectar a través del túnel VPN.
El solapamiento del rango de subred entre subredes locales y de igual no está permitido.
-
-
En la sección Dead peer detection, configure cómo la pasarela VPN envía mensajes para comprobar que la pasarela par está activa. Especifique la información siguiente:
- Acción: la acción de detección de igual inactivo que se debe realizar si una pasarela de igual deja de responder. Por ejemplo, seleccione Reiniciar si desea que la pasarela renegocie inmediatamente la conexión.
- Intervalo (seg): la frecuencia con la que se comprueba que la pasarela homóloga está activa. De forma predeterminada, se envían mensajes cada 2 segundos.
- Tiempo de espera excedido (seg): el tiempo que se debe esperar una respuesta de la pasarela homóloga. De forma predeterminada, una pasarela de igual se deja de considerar activa si no se recibe una respuesta en un periodo de 10 segundos.
-
En la sección Políticas, especifique las opciones Internet Key Exchange (IKE) e Internet Protocol Security (IPsec) que se deben utilizar para la negociación de fase 1 y fase 2 de la conexión.
- Seleccione Automático si desea que la pasarela intente establecer automáticamente la conexión.
- Seleccione o cree políticas personalizadas si necesita aplicar requisitos de seguridad concretos, o si la pasarela VPN de la otra red no admite las propuestas de seguridad que se intentan con la autonegociación.
Las opciones de seguridad de IKE e IPsec que especifique para la conexión deben ser las mismas opciones que se han establecido en la pasarela homóloga para la red externa a la VPC.
-
En la sección Opciones avanzadas, puede personalizar las identidades IKE locales y de igual en lugar de utilizar la identidad IKE predeterminada. Se puede especificar una identidad IKE de igual como máximo.
Para pasarelas VPN basadas en políticas, puede configurar una identidad IKE local como máximo. Para pasarelas VPN basadas en ruta, si desea configurar una identidad IKE local, debe proporcionar dos. Puede proporcionar valores para los miembros o dejar los campos de entrada vacíos.
-
Identidades IKE locales: seleccione un tipo para la identidad IKE local y, a continuación, especifique su valor. Por ejemplo, puede introducir una dirección IPv4 única de 4 octetos (
9.168.3.4
), un FQDN (my-vpn.example.com
), un nombre de host (my-host
) o un ID de clave base64-encoded (MTIzNA==
).-
La modalidad de ruta estática consta de dos miembros en modalidad activa-activa, donde la primera identidad se aplica al primer miembro y la segunda identidad se aplica al segundo miembro. Si no especifica identidades IKE locales, el tipo es una dirección IPv4 y el valor es la dirección IP pública del túnel de conexión VPN del miembro.
-
La modalidad de política consta de dos miembros en modalidad activa-en espera. La identidad IKE local se aplica al miembro activo. Si no especifica un valor, la identidad IKE local es la dirección IP pública de la pasarela VPN.
-
-
Identidad IKE de igual: seleccione un tipo para la identidad IKE de igual y, a continuación, especifique su valor. Por ejemplo, puede introducir una dirección IPv4 (
9.168.3.4
), un FQDN (my-vpn.example.com
), un nombre de host (my-host
) o un ID de clave base64-encoded (MTIzNA==
).La identidad IKE par se aplica al miembro activo. Si no especifica un valor, utilice la dirección IPv4 de la pasarela de igual o FQDN.
-
Creación de una pasarela VPN desde la CLI
Antes de empezar, configure el entorno de CLI.
Para crear una pasarela VPN desde la CLI, introduzca el siguiente comando:
ibmcloud is vpn-gateway-create VPN_GATEWAY_NAME SUBNET
[--mode policy | route]
[--resource-group-id RESOURCE_GROUP_ID | --resource-group-name RESOURCE_GROUP_NAME]
[--output JSON] [-q, --quiet]
Donde:
VPN_GATEWAY_NAME
- El nombre de la pasarela VPN.
SUBNET
- El ID de la subred.
--mode
- Modalidad de la pasarela VPN. Uno de:
policy
,route
. --resource-group-id
- El ID del grupo de recursos. Esta opción es mutuamente excluyente con
--resource-group-name
. --resource-group-name
- Nombre del grupo de recursos. Esta opción es mutuamente excluyente con
--resource-group-id
. --output
- Salida en formato JSON.
-q, --quiet
- Una opción que suprime la salida detallada.
Ejemplos de mandato
-
Crear una pasarela VPN basada en ruta con un ID de subred específico:
ibmcloud is vpn-gateway-create my-vpc-gateway fee82deba12e4c0fb69c3b09d1f12345 --mode route
-
Cree una pasarela VPN basada en políticas utilizando el grupo de recursos Predeterminado:
ibmcloud is vpn-gateway-create my-vpc-gateway fee82deba12e4c0fb69c3b09d1f12345 --mode policy --resource-group-name Default
-
Cree una pasarela VPN basada en rutas, utilizando un ID de grupo de recursos específico con salida en formato JSON:
ibmcloud is vpn-gateway-create my-vpc-gateway fee82deba12e4c0fb69c3b09d1f12345 --mode route --resource-group-id fee82deba12e4c0fb69c3b09d1f12345 --output JSON
Creación de una pasarela VPN con la API
Para crear una pasarela VPN basada en políticas con la API, siga estos pasos:
-
Configure el entorno de la API con las variables adecuadas.
-
Almacene las variables adicionales que se van a utilizar en los mandatos de la API; por ejemplo:
ResourceGroupId
: localice el ID de grupo de recursos con el mandatoget resource groups
y luego rellene la variable:
export ResourceGroupId=<your_resourcegroup_id>
SubnetId
: localice el ID de subred con el mandatoget subnet
y luego rellene la variable:
export SubnetId=<your_subnet_id>
-
Cuando se hayan iniciado todas las variables, cree la pasarela VPN:
curl -X POST "$vpc_api_endpoint/v1/vpn_gateways?version=$api_version&generation=2" \ -H "Authorization: $iam_token" \ -d '{ "name": "my-new-vpn-gateway", "mode": "policy", "subnet": { "id": "'$SubnetId'" }, "resource_group": { "id": "'$ResourceGroupId'" } }'
Creación de una pasarela VPN con Terraform
En el ejemplo siguiente, se crea una pasarela VPN utilizando Terraform:
resource "ibm_is_vpn_gateway" "is_vpn_gateway" {
name = "my-vpn-gateway"
subnet = ibm_is_subnet.is_subnet.id
mode = "route"
}
Para más información, consulte el registro de Terraform.
Próximos pasos
Después de crear una pasarela VPN, puede:
- Cree una política IKE si decide utilizar una política IKE personalizada en lugar de la autonegociación.
- Cree una política IPsec si decide utilizar una política IPsec personalizada en lugar de la autonegociación.
- Cree una conexión VPN si aún no lo ha hecho al aprovisionar su pasarela VPN. Para obtener más información, consulte Adición de conexiones a una pasarela VPN.
- Para crear una VPN basada en ruta, primero cree una tabla de direccionamiento y, a continuación, cree una ruta utilizando el tipo de conexión VPN.