Cómo Crear un Túnel VPN site-to-site
Configura un túnel VPN site-to-site en Plenit para conectar dos VPC de forma segura a través de Internet.
Una VPN site-to-site conecta dos redes privadas a través de Internet como si estuvieran en la misma red local, con el tráfico cifrado de extremo a extremo.
En este tutorial creas el túnel completo entre dos VPC alojadas en Plenit, configurando los dos extremos.
Qué consiguesUn túnel IPsec operativo entre dos VPC, con un extremo como conexión pasiva y el otro como activa, comunicando sus subredes de forma segura.
Cómo funciona el túnel
El túnel tiene dos extremos. Uno se configura como conexión pasiva (espera a que el otro inicie la negociación) y el otro como conexión activa (la inicia). Ambos comparten una clave IPsec que los autentica. La regla de oro es la simetría: lo que en un extremo es "remoto", en el otro es "local".
| Campo | Extremo 1 (ext1) | Extremo 2 (ext2) |
|---|---|---|
| VPC y red local | VPC1 / TIER1 | VPC2 / TIER2 |
| Puerta de enlace remota | IP de VPC2 | IP de VPC1 |
| Red remota | Subred de TIER2 | Subred de TIER1 |
| Rol | Conexión pasiva | Conexión activa |
| Clave IPsec | Se genera al crear | Se introduce la guardada |
Guarda la clave IPsec del primer extremoAl crear el primer extremo, la plataforma genera la clave IPsec. Cópiala y guárdala: la necesitas tal cual al configurar el segundo extremo, y es lo que autentica el túnel.
Escenarios
| Escenario | Qué configuras en Plenit |
|---|---|
| VPC1 y VPC2, ambas en Plenit | Los dos extremos (proceso doble) |
| VPC1 en Plenit, VPC2 en otro proveedor cloud | Solo ext1; el otro lado, con la herramienta del proveedor |
| VPC1 en Plenit, un router en el otro extremo | Solo ext1; el otro lado, en el router |
Este tutorial cubre el primer escenario, con las dos VPC en Plenit.
Antes de empezar
- Tener una suscripción de Servidores activa.
- Tener creadas las dos VPC con sus TIERs. Si te falta, hazlas primero: Cómo crear una VPC y asociar un TIER.
- Localizar las puertas de enlace y las subredes en Redes/IP → Redes VPC: las necesitas durante la configuración.
Primer extremo (ext1 → ext2)
Paso 1. Accede a la suscripción de Servidores
Entra en la suscripción de Servidores desde su card.
Paso 2. Inicia la creación del túnel
En el menú lateral, abre VPN y pulsa Crear túnel Site-to-Site.
Paso 3. Nombra la VPN y configura la red remota
- Asigna un nombre a esta conexión, por ejemplo
VPN1. - En Puerta de Enlace, introduce la IP de la puerta remota del ext2 (la IP de VPC2).
- En Red Remota, indica la subred del TIER2.
Paso 4. Configura el túnel
Los valores por defecto sirven para este escenario; mantenlos salvo que tu política de red exija otros.
Sobre los parámetros del túnelLa negociación admite IKEv1, IKEv2 o modo automático. Si conectas con varias redes remotas, se crea una asociación por cada red (split tunneling). Un mismo gateway admite hasta diez túneles VPN.
Paso 5. Configura la red local y crea el extremo
- Elige la VPC asociada a la red local (
VPC1) y la red local (TIER1). - Marca este extremo como conexión pasiva.
- Crea esta primera parte de la VPN.
Al crearse, la plataforma muestra la clave IPsec. Guárdala: la usas en el segundo extremo.
Segundo extremo (ext2 → ext1)
Paso 6. Crea una nueva VPN
En la subsección VPN, pulsa Nueva VPN Site-to-Site para configurar el camino inverso.
Paso 7. Nombra la segunda VPN y configura la red remota
- Nombra esta conexión, por ejemplo
VPN2. - En Puerta de Enlace, introduce la IP de la puerta remota del ext1 (la IP de VPC1).
- En Red Remota, indica la subred del TIER1.
Paso 8. Configura el túnel del segundo extremo
Mantén los valores por defecto, igual que en el Paso 4. La diferencia es que aquí introduces la clave IPsec que guardaste al crear el primer extremo.
Paso 9. Configura la red local y crea la VPN
- Elige la VPC asociada a la red local (
VPC2) y la red local (TIER2). - Deja sin marcar la conexión pasiva, para que este extremo quede como conexión activa.
- Pulsa Crear VPN.
Con esto, el túnel entre los dos extremos queda creado.
Verifica el túnel
En el panel, en la subsección VPN, confirma que existen las dos conexiones, una desde ext1 y otra desde ext2, y que una aparece como pasiva y la otra como activa.
La prueba real es que el tráfico cruce. Desde un servidor de TIER1, haz ping a un servidor de TIER2 (y al revés). Recuerda que en Windows hay que permitir el ICMP entrante en el destino.
ping <IP-DE-UN-SERVIDOR-EN-EL-OTRO-EXTREMO>Comprueba que la ruta hacia la subred remota sale por el túnel. En Linux:
ip route
traceroute <IP-REMOTA>En Windows, desde PowerShell:
route print
tracert <IP-REMOTA>Si algo no encaja
| Síntoma | Causa probable | Qué hacer |
|---|---|---|
| El túnel no levanta | La clave IPsec no coincide en ambos extremos | Vuelve a introducir en ext2 la clave generada en ext1 |
| Los dos extremos no negocian | Ambos quedaron pasivos o ambos activos | Deja uno pasivo y el otro activo |
| No pasa tráfico aunque el túnel está arriba | Red remota y local invertidas en algún extremo | Revisa la tabla de simetría: lo remoto de un lado es lo local del otro |
| El ping falla solo contra Windows | El firewall bloquea ICMP entrante | Permite ICMPv4 en el servidor de destino |
Conclusión
Con los dos extremos bien configurados, tienes una VPN site-to-site operativa que comunica las dos VPC de forma cifrada por Internet. Todo el procedimiento se sostiene sobre dos ideas: la simetría (lo remoto de un lado es lo local del otro) y la clave IPsec compartida. Si las dos cuadran, el túnel levanta; si algo no fluye, casi siempre es una de esas dos.