Conexión VPN a Google

1. En el portal principal de Google Cloud:

   1. Amplíe el menú principal desde la esquina superior izquierda
   2. Acceder a Hybrid Connectivity
   3. Haga clic en VPN.

2. En la página siguiente, haga clic en el enlace Create VPN Connection para iniciar el flujo de trabajo y crear una conexión VPN IPSec.

3. En VPN Options, seleccione High-availability (HA) VPN y, a continuación, haga clic en el botón Continue situado en la parte inferior.

4. Cree un gateway de VPN de alta disponibilidad en la nube. Introduzca la siguiente información:

   • Name: asigne un nombre al gateway de VPN.
   • Network: seleccione el VPC al que se conecta la VPN con IPSec.

   • Region: seleccione la región del gateway de VPN

     Cuando termine de configurar el gateway de VPN, haga clic en el botón Create & Continue para continuar.

5. En la siguiente página se mostrará la IP pública del punto final de VPN de GCP.

   Guarde la IP pública de una de las interfaces y, a continuación, abra la consola de OCI en una ventana independiente y continúe con el proceso de configuración. Vuelva más tarde para completar la configuración de GCP una vez que se ha aprovisionado la conexión IPSec de OCI.

1. Abra el menú de navegación y seleccione Red. En Conectividad de cliente, seleccione Equipo local de cliente.
2. Haga clic en Crear equipo local del cliente.

3. Introduzca los siguientes valores:

   • Crear en compartimento: seleccione el compartimento de la VCN que desee.
   • Nombre: un nombre descriptivo del objeto de CPE. No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.

     En este ejemplo, se utiliza "TO_GCP" como nombre.

   • Dirección IP: introduzca la dirección IP pública del gateway de VPN de GCP.
   • Proveedor de CPE: seleccione Otro.
4. Haga clic en Crear CPE.

1. Abra el menú de navegación y seleccione Red. En Conectividad de cliente, seleccione VPN de sitio a sitio.
2. Haga clic en Crear conexión IPSec.

3. Introduzca los siguientes valores:

   • Crear en compartimiento: déjelo tal cual (el compartimiento de la VCN).
   • Nombre: introduzca un nombre descriptivo para la conexión de IPSec. No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
   • Compartimiento del equipo local del cliente: déjelo tal cual (compartimiento de la VCN).
   • Equipo local de cliente: seleccione el objeto CPE que ha creado antes, denominado TO_GCP.
   • Compartimiento de gateway de enrutamiento dinámico: déjelo tal cual (compartimiento de la VCN).
   • Gateway de enrutamiento dinámico: seleccione el DRG creado anteriormente.
   • CIDR de ruta estática: introduzca una ruta por defecto, 0.0.0.0/0. Dado que BGP se utiliza para el túnel activo, OCI ignora esta ruta. Esta entrada es necesaria para el segundo túnel de la conexión IPSec que, por defecto, utiliza el enrutamiento estático y no se utiliza en este escenario. Si tiene previsto utilizar un enrutamiento estático para esta conexión, introduzca rutas estáticas que representen sus redes virtuales de GCP. Se pueden configurar hasta 10 rutas estáticas para cada conexión IPSec.

   • Asegúrese de que OCI soporte la dirección /30 seleccionada para las IP de túnel internas. OCI no permite utilizar los siguientes rangos de IP para las IP de túnel internas:

     • 169.254.10.0-169.254.19.255
     • 169.254.100.0-169.254.109.255
     • 169.254.192.0-169.254.201.255

4. Introduzca los siguientes detalles en el separador Túnel 1 (requerido):

   • Nombre: introduzca un nombre descriptivo para el túnel (por ejemplo, GCP-TUNNEL-1). No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
   • Proporcionar secreto compartido personalizado: clave compartida previamente por IPSec para este túnel. Seleccione esta casilla de control si desea utilizar una clave personalizada. Si se deja sin seleccionar, se generará una.
   • Versión de IKE: seleccione IKEv2.
   • Tipo de enrutamiento: seleccione envío dinámico de BGP. Seleccione Envío estático si desea utilizar el enrutamiento estático.
   • ASN de BGP: introduzca el ASN de BGP que utiliza GCP. El ASN de BGP de GCP se configura en pasos posteriores. Este escenario utiliza una ASN de BGP de 65000 para GCP.
   • IPv4 Interfaz de túnel interna - CPE: introduzca la dirección IP de BGP que utiliza GCP. Utilice la notación CIDR completa para esta dirección IP. Esta debe ser una dirección local de enlace. Este escenario utiliza el CIDR 169.254.20.0/30 para las direcciones IP de BGP.
   • IPv4 Interfaz de túnel interna - Oracle: introduzca la dirección IP de BGP que utiliza OCI. Incluya esta dirección IP en notación CIDR. Esta debe ser una dirección local de enlace. Este escenario utiliza el CIDR 169.254.20.0/30 para las direcciones IP de BGP.
5. Haga clic en Mostrar opciones avanzadas para el túnel y modifique las duraciones de vida de la fase 1 y la fase 2 para que coincidan con el lado de GCP, como se muestra aquí: https://cloud.google.com/network-connectivity/docs/vpn/concepts/supported-ike-ciphers.

   Las duraciones de las fases 1 y 2 serán valores diferentes en el lado de GCP dependiendo de si está utilizando IKEv1 o IKEv2. Serán:

   • Duración de clave de sesión IKE de fase 1 en segundos = 36 000 segundos
   • Duración de clave de sesión IPSec de fase 2 en segundos = 10 800 segundos

   Deje los demás valores por defecto.

6. Haga clic en Crear conexión IPSec.

   La conexión de IPSec se crea y se muestra en la página. La conexión tendrá el estado Aprovisionando durante un período corto.

Una vez aprovisionada la conexión IPSec, guarde la dirección IP de la VPN de sitio a sitio para utilizarla como IP CPE en el portal de GCP y el secreto compartido para el túnel.

1. Busque la conexión IPSec en la consola de OCI.

   Seleccione el túnel que desea utilizar como principal. Guardar la dirección IP de la VPN de sitio a sitio de ese túnel. A continuación, haga clic en el nombre de túnel de ese túnel para ir a la vista de túnel.

2. En el túnel, seleccione el enlace para ver el secreto compartido. Guárdelo. El secreto compartido se utiliza para completar la configuración de la VPN con IPSec en GCP.

1. Vuelva a la ventana de configuración de VPN de GCP.
2. En Peer VPN Gateway, seleccione On-prem or Non Google Cloud.
3. Amplíe la lista Peer VPN gateway name y seleccione Crear nuevo gateway de peer de VPN.
4. Accederá a la página Add a peer VPN Gateway. Introduzca la siguiente información:
   • Name: asigne un nombre al gateway de VPN de peer.
   • Interfaces: seleccione Una interfaz.

   • Interface 0 IP Address: introduzca aquí la dirección IP de la VPN de Oracle. Esta dirección IP se ha guardado en OCI: guardar la dirección IP de la VPN de Oracle y el secreto compartido.

5. Haga clic en el botón Create situado en la parte inferior para continuar. Volverá al flujo de trabajo Create a VPN.

1. Amplíe la lista Cloud Router y seleccione Create new router.

2. Accederá a la página Create a router. Introduzca la siguiente información:

   • Name: asigne un nombre al enrutador en la nube.

   • Google ASN: introduzca el ASN de BGP de Google, que también se utiliza al configurar la conexión IPSec en OCI.

     Deje todas las demás opciones por defecto.

3. Cuando termine de configurar el enrutador en la nube, haga clic en el botón Create para continuar.

   Volverá al flujo de trabajo Create a VPN.

Complete la configuración del túnel de VPN. Introduzca la siguiente información:

• Cloud Router: seleccione el router en la nube configurado en el paso anterior.
• Associated Cloud VPN gateway IP: debe coincidir con la dirección IP de objeto CPE configurada en OCI.
• Interfaz de gateway de VPN asociada: coincida con la dirección IP de VPN de Oracle de su túnel de VPN de OCI. Consulte OCI: guardar la dirección IP de la VPN de Oracle y el secreto compartido.
• Name: asigne un nombre al túnel de VPN.
• IKE version: seleccione IKEv2 (recomendado). Si utiliza IKEv1, asegúrese de que IKEv1 también esté configurado para el túnel de VPN en la conexión IPSec en OCI.

• IKE pre-shared key: debe coincidir con el secreto compartido del túnel de VPN en la conexión IPSec en OCI. Consulte OCI: guardar la dirección IP de la VPN de Oracle y el secreto compartido. Deje todas las demás opciones por defecto.

  Cuando termine de configurar el túnel de VPN, haga clic en Create & Continue.

Este paso implica la configuración de la sesión de BGP para el túnel de IPSec. Los valores de BGP deben coincidir con el lado de OCI de la configuración configurada en OCI: crear conexión IPSec.

1. Haga clic en el botón Configure en BGP Session del túnel de VPN.
2. Accederá a la página Create BGP Session del túnel. Introduzca la siguiente información:
   • Name: asigne un nombre a su sesión de BGP.
   • Peer ASN: introduzca el ASN de BGP. El ASN de BGP de Oracle para la nube comercial es 31898, excepto la región Serbia Central (Jovanovac), que es 14544.
   • IP BGP del enrutador en la nube: coincida con la dirección IP configurada para IPV4 Interfaz de túnel interna - CPE del túnel 1 en OCI - Crear conexión IPSec. No utilice la notación CIDR en este campo.
   • IP de intercambio de tráfico BGP: coincida con la dirección IP configurada para IPV4 Interfaz de túnel interna - Oracle del túnel 1 en OCI - Crear conexión IPSec. No utilice la notación CIDR en este campo.

   • BGP peer: seleccione Enabled.

     Deje todas las demás opciones por defecto.

3. Cuando haya terminado de configurar la sesión de BGP, haga clic en Save & Continue para volver a la página Configure BGP sessions.

4. Haga clic en el botón Save BGP configuration para continuar.

5. Accederá a la página Sumario y recordatorio.

   VPN tunnel status y BGP status se mostrarán como "establecidos".

6. Haga clic en OK en la parte inferior para completar la configuración.

Busque la conexión IPSec en OCI y las conexiones de VPN de sitio a sitio en GCP para verificar el estado del túnel.

El túnel de OCI en la conexión IPSec muestra Activo para el estado IPSec para confirmar un túnel operativo.

El estado de BGP de IPV4 también muestra Activo, que indica una sesión de BGP establecida.

Examine sus túneles de VPN en la nube en la consola de GCP. Tanto el estado del túnel de VPN como el estado de la sesión de BGP deben indicar Establecido.

También hay disponible un servicio de supervisión en OCI para supervisar de forma activa y pasiva los recursos en la nube. Para obtener información sobre la supervisión de la VPN de sitio a sitio de OCI, consulte Métricas de VPN de sitio a sitio .

Si tiene alguna incidencia, consulte Solución de problemas de VPN de sitio a sitio.