IBM Cloud Docs
Limitaciones, problemas y restricciones conocidos de la pasarela VPN

Limitaciones, problemas y restricciones conocidos de la pasarela VPN

Enumera las limitaciones, problemas y restricciones conocidos de IBM Cloud VPN for VPC.

Limitaciones

  • Una pasarela VPN para VPC solo acepta paquetes VPN con Encapsulación UDP de paquetes ESP de IPsec. No se acepta la Carga útil de seguridad encapsulada(ESP). Asegúrese de que la característica NAT-T esté habilitada en su dispositivo VPN local. Asegúrese también de que los puertos UDP 500 y 4500 están permitidos para las redes de IBM VPC NACL y de igual.

  • Cuando haya varias redes, subredes o ambas asociadas con una pasarela de VPN de IBM Cloud con un dispositivo local, evite mezclar VPN basadas en política y basadas en ruta. Las VPN basadas en política crean un túnel para cada rango de red de destino. Sin embargo, las VPN basadas en ruta direccionan todo a un dispositivo de igual a través de un solo túnel. Por lo tanto, cuando se configuran varios rangos de red, solo se puede establecer un túnel que esté asociado con un rango de una sola red. La combinación de subredes contiguas en un solo CIDR de superconjunto es un método alternativo válido para esta limitación.

  • Las subredes homólogas de una conexión de pasarela VPN no se pueden solapar.

  • Cuando se conecta una VPN basada en política con un igual basado en ruta (o una VPN estática basada en ruta con un igual basado en políticas), utilice solo un rango de red para ambos lados. Una VPN basada en política utiliza un túnel para cada red asociada. Sin embargo, una VPN basada en ruta requiere solo un solo túnel. Por lo tanto, una conexión entre distintos tipos de VPN asociadas con varios rangos de red en cualquiera de los lados puede dar como resultado una conexión que solo funciona para un rango de una sola red.

    Caso de uso de tipos de VPN " caption-side="bottom"} de uso de tipos de VPN{: caption="

    Si es posible, combine subredes contiguas en un solo rango de red en una configuración de VPN. Por ejemplo, las subredes 192.168.0.0/24 y 192.168.1.0/24 se pueden definir como 192.168.0.0/23 en una configuración de VPN o de direccionamiento.

  • Una pasarela VPN basada en política de IBM Cloud reside en la zona asociada con la subred que seleccione durante el suministro. La pasarela VPN solo sirve a las instancias de servidor virtual que están en la misma zona de la VPC. Por lo tanto, las instancias de otras zonas no pueden utilizar la pasarela VPN para comunicarse con una red privada local. Para una tolerancia a errores en las zonas, debe desplegar una pasarela VPN por zona.

  • Una pasarela VPN basada en ruta de IBM Cloud reside en la zona asociada con la subred que seleccione durante el suministro. Se recomienda que una pasarela VPN solo sirva a instancias de servidor virtual en la misma zona de la VPC. Las instancias de otras zonas pueden utilizar la pasarela VPN basada en ruta para comunicarse con una red privada local, aunque no se recomienda. Para una tolerancia a errores en las zonas, debe desplegar una pasarela VPN por zona.

  • Al configurar y optimizar las conexiones VPN de IPsec de sitio a sitio, es posible que se encuentre con problemas de rendimiento de red, uno de los cuales está relacionado con la fijación de Unidad de transmisión máxima (MTU) y Tamaño máximo de segmento (MSS). Para obtener más información, consulte IBM VPN site-to-site Maximum Transmission Unit(MTU)clamping.

  • Cuando el siguiente salto de una ruta es una conexión de pasarela VPN, esta ruta debe estar presente en una tabla de direccionamiento de salida, lo que significa que la tabla de ruta debe estar asociada a las subredes de VPC. Además, cuando la pasarela VPN reenvía el tráfico al túnel VPN, también comprueba si la IP de origen de este tráfico está dentro de la subred conectada a la tabla de direccionamiento. Si la IP de origen no está dentro de la subred conectada a la tabla de direccionamiento, el tráfico no se cifrará y reenviará a través del túnel VPN a la pasarela de igual. Por ejemplo, si la pasarela VPN recibe tráfico direccionado a través de la tabla de direccionamiento de entrada, este tráfico no se reenvía al túnel VPN porque su IP de origen no está dentro de la subred conectada a la tabla de direccionamiento.

    No se da soporte a la creación de una ruta en una tabla de direccionamiento de entrada con un salto siguiente que sea una conexión de pasarela VPN.

Problema conocido

Actualización de peer.address o peer.fqdn de una conexión de pasarela VPN-Si las propiedades local.ike_identities y peer.ike_identity no se establecen explícitamente al crear la conexión de pasarela VPN, cuando actualice una conexión de pasarela VPN y especifique peer.address o peer.fqdn, el valor de la propiedad se cambiará para que coincida con el valor actualizado, en lugar de dejarse sin modificar. Por el contrario, si las propiedades local.ike_identities y peer.ike_identity se establecen explícitamente al crear la conexión de pasarela VPN, los valores no se pueden cambiar sin suprimir la conexión de pasarela VPN.

Distribución de las restricciones de tráfico

Al distribuir el tráfico, la pasarela par debe ser capaz de soportar el enrutamiento Equal-Cost Multi-Path (ECMP). Además, algunas pasarelas peer pueden requerir configuraciones específicas para habilitar ECMP. Para obtener más información, consulte el caso práctico Distribución del tráfico para una VPN basada en rutas.