Peer-VPN-Gateway konfigurieren

Auf dieser Seite werden die Schritte der VPN-Konfiguration beschrieben.

Konfigurieren Sie die folgenden Ressourcen auf Ihrem Peer-VPN-Gateway, um die Konfiguration vorzunehmen:

Entsprechende VPN-Tunnel zu Cloud VPN
BGB-Sitzungen (Border Gateway Protocol), wenn Sie dynamisches Routing mit Cloud Router verwenden
Firewallregeln
IKE-Einstellungen

Best Practices zum Einrichten Ihres Peer-Gateways erhalten Sie in der Dokumentation oder beim Hersteller Ihres Peer-Gateways. Leitfäden, die einige unterstützte Drittanbieter-VPN-Geräte und -Dienste beschreiben, finden Sie unter Drittanbieter-VPNs verwenden. Außerdem stehen einige Drittanbieter-Gerätekonfigurationsvorlagen über die Google Cloud Console zum Download zur Verfügung. Weitere Informationen finden Sie unter Peer-VPN-Konfigurationsvorlage herunterladen.

Weitere Informationen zu Cloud VPN finden Sie in den folgenden Ressourcen:

Best Practices für die Einrichtung von Cloud VPN finden Sie unter Best Practices.
Weitere Informationen zu Cloud VPN finden Sie unter Cloud VPN – Übersicht.
Definitionen der auf dieser Seite verwendeten Begriffe finden Sie unter Wichtige Begriffe.

Externe Peer-VPN-Gateway-Ressourcen für HA VPN konfigurieren

Für HA VPN-Gateway konfigurieren Sie eine externe Peer-VPN-Gateway-Ressource, die Ihr physisches Peer-Gateway in Google Cloud darstellt. Sie können diese Ressource auch als eigenständige Ressource erstellen und später verwenden.

Zum Erstellen einer externen Peer-VPN-Gateway-Ressource benötigen Sie die folgenden Werte aus dem physischen Peer-Gateway, das auch ein softwarebasiertes Gateway eines Drittanbieters sein kann. Damit das VPN eingerichtet werden kann, müssen die Werte für die externe Peer-VPN-Gateway-Ressource der Konfiguration auf Ihrem physischen Peer-Gateway entsprechen:

Die Anzahl der Schnittstellen auf Ihrem physischen VPN-Gateway
Externe IP-Adresse(n) für ein oder mehrere Peer-Gateways oder -Schnittstellen
IP-Adresse(n) des BGP-Endpunkts
Der vorinstallierte IKE-Schlüssel (gemeinsames Secret)
Die ASN-Nummer

Wenn Sie die BGP-Sitzungen für HA VPN konfigurieren und IPv6 aktivieren, können Sie IPv6-Adressen des nächsten Hops konfigurieren. Wenn Sie sie nicht manuell konfigurieren, weist Google Cloud diese IPv6-Adressen für den nächsten Hop automatisch zu.

Um IPv4- und IPv6-Traffic (Dual-Stack-Traffic) in HA VPN-Tunneln zuzulassen, müssen Sie die dem BGP-Peer zugewiesene IPv6-Adresse des nächsten Hops abrufen. Anschließend müssen Sie die IPv6-Adresse des nächsten Hops konfigurieren, wenn Sie die VPN-Tunnel auf Ihrem Peer-VPN-Gerät konfigurieren. Obwohl Sie IPv6-Adressen auf den Tunnelschnittstellen jedes Geräts konfigurieren, werden die IPv6-Adressen ausschließlich für die Konfiguration von nächstem Hop für IPv6 verwendet. IPv6-Routen werden über IPv6 NLRI über IPv4-BGP-Peering beworben. Beispiele für IPv6-Adresskonfigurationen für den nächsten Hop finden Sie unter Drittanbieter-VPNs für IPv4- und IPv6-Traffic einrichten.

Führen Sie die folgenden Schritte aus, um eine eigenständige externe Peer-VPN-Gateway-Ressource zu erstellen.

Console

Rufen Sie in der Google Cloud Console die Seite VPN auf.

Zu VPN
Klicken Sie auf Peer-VPN-Gateway erstellen.
Geben Sie einen Namen für das Peer-Gateway ein.
Wählen Sie die Anzahl der Schnittstellen aus, die das physische Peer-Gateway hat: one, two oder four.
Fügen Sie die IP-Adresse der Schnittstelle für jede Schnittstelle auf Ihrem physischen VPN-Gateway hinzu.
Klicken Sie auf Erstellen.

gcloud

Geben Sie beim Ausführen des folgenden Befehls die Schnittstellen-ID und die IP-Adresse für das physische VPN-Gateway ein. Sie können 1, 2 oder 4 Schnittstellen eingeben.

gcloud compute external-vpn-gateways create mygateway \
  --interfaces 0=35.254.128.120,1=35.254.128.121

Die Befehlsausgabe sollte folgendermaßen aussehen:

Creating external VPN gateway...done.
NAME       REDUNDANCY_TYPE
mygateway  TWO_IPS_REDUNDANCY

API

Für diesen Befehl können Sie diese Liste von Gateway-Redundanztypen verwenden.

Senden Sie eine POST-Anfrage mit der Methode externalVpnGateways.insert.

  POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
  {
    "name": "mygateway",
    "interfaces": [
      {
        "id": 0,
        "ipAddress": "35.254.128.120"
      },
      {
        "id": 1,
        "ipAddress": "35.254.128.121"
      },
    ],
    "redundancyType": "TWO_IPS_REDUNDANCY"
  }

VPN-Tunnel konfigurieren

Informationen zum Erstellen entsprechender Tunnel für jeden der von Ihnen erstellten Cloud VPN-Tunnel finden Sie in der Dokumentation zu Ihrem Peer-VPN-Gateway.

Konfigurieren Sie für HA VPN zwei Tunnel auf Ihrem Peer-Gateway. Ein Tunnel auf dem Peer-Gateway sollte dem Cloud VPN-Tunnel auf interface 0 entsprechen. Ein anderer Tunnel auf dem Peer-Gateway sollte dem Cloud VPN-Tunnel auf interface 1 entsprechen.

Jeder Tunnel auf dem Peer-Gateway sollte außerdem eine eindeutige externe IP-Adresse für Ihr HA VPN-Gateway verwenden.

BGP-Sitzungen für dynamisches Routing konfigurieren

Nur für dynamisches Routing: Konfigurieren Sie das Peer-VPN-Gateway so, dass es BGP-Sitzungen für die Peer-Subnetze unterstützt, die Sie Cloud Router anbieten möchten.

Verwenden Sie zum Konfigurieren des Peer-Gateways die ASNs und IP-Adressen Ihres Cloud Routers und die Informationen aus dem Cloud VPN-Gateway. Informationen zum Abrufen der Google-ASN, der konfigurierten Netzwerk-ASNs und der BGP-IP-Adressen finden Sie in der Zusammenfassung zu Cloud Router.

Wenn Sie HA VPN so konfigurieren, dass IPv4- und IPv6-Traffic (Dual Stack) zugelassen wird, müssen Sie das Peer-Gateway mit der IPv6-Adresse des nächsten Hops konfigurieren, die dem BGP-Peer zugewiesen ist.

Achten Sie bei HA VPN darauf, dass die Google-ASN, also die Peer-ASN aus Perspektive Ihres Peer-VPN-Gateways, für beide Tunnel identisch ist.

Sie können Ihre BGP-Sitzungen optional für die Verwendung der MD5-Authentifizierung konfigurieren.

Firewallregeln konfigurieren

Für HA VPN-Verbindungen, die IPv6 verwenden, müssen Sie Ihre Firewalls so konfigurieren, dass Traffic über IPv6 zugelassen wird.

Eine Anleitung zum Konfigurieren von Firewallregeln für Ihr Peer-Netzwerk finden Sie unter Firewallregeln konfigurieren.

IKE konfigurieren

Sie können IKE auf dem Peer-VPN-Gateway für dynamisches, routenbasiertes und richtlinienbasiertes Routing konfigurieren.

HA VPN-Tunnel müssen IKE v2 verwenden, um IPv6-Traffic zu unterstützen.

Mit den Parametern in der folgenden Tabelle konfigurieren Sie das Peer-VPN-Gateway und den Tunnel für IKE.

Informationen zum Verbinden von Cloud VPN mit VPN-Lösungen von Drittanbietern finden Sie unter Drittanbieter-VPNs mit Cloud VPN verwenden. Informationen zu den Einstellungen für die IPsec-Verschlüsselung und Authentifizierung finden Sie unter Unterstützte IKE-Chiffren.

Für IKEv1 und IKEv2

Einstellung	Wert
IPsec-Modus	ESP+Auth-Tunnel-Modus (standortübergreifend)
Auth-Protokoll	`psk`
Gemeinsames Secret	Wird auch als vorinstallierter IKE-Schlüssel bezeichnet. Wählen Sie anhand dieser Richtlinien ein starkes Passwort aus. Der vorinstallierte Schlüssel ist vertraulich, da er Zugriff auf Ihr Netzwerk gewährt.
Start	`auto` (Nach einer Trennung der Verbindung zum Peer-Gerät wird die Verbindung automatisch neu gestartet).
PFS (Perfect Forward Secrecy)	`on`
DPD (Dead Peer Detection)	Empfohlen: `Aggressive`. DPD erkennt, wenn das VPN neu gestartet wird, und verwendet alternative Tunnel zur Weiterleitung des Traffics.
INITIAL_CONTACT (manchmal auch `uniqueids` genannt)	Empfohlen: `on` (manchmal auch `restart` genannt). Zweck: Neustarts erkennen, um Ausfallzeiten zu reduzieren.
TSi (Traffic Selector – Initiator)	Subnetz-Netzwerke: Die mit dem Flag `--local-traffic-selector` festgelegten Bereiche. Wenn `--local-traffic-selector` nicht festgelegt ist, weil sich das VPN in einem VPC-Netzwerk im automatischen Modus befindet und nur das Subnetz des Gateways ankündigt, wird dieser Subnetzbereich verwendet. Alte Netzwerke: Der Bereich des Netzwerks.
TSr (Traffic Selector – Responder)	IKEv2: die Zielbereiche aller Routen, für die `--next-hop-vpn-tunnel` auf diesen Tunnel eingestellt ist. IKEv1: beliebig; der Zielbereich einer der Routen, für die `--next-hop-vpn-tunnel` auf diesen Tunnel eingestellt ist.
MTU	Die maximale Übertragungseinheit (Maximum Transmission Unit, MTU) des Peer-VPN-Geräts darf maximal 1.460 Byte groß sein. Aktivieren Sie die Vorfragmentierung auf Ihrem Gerät, damit Pakete zuerst fragmentiert und dann gekapselt werden. Weitere Informationen finden Sie unter Überlegungen zur MTU.

Zusätzliche Parameter nur für IKEv1

Einstellung	Wert
IKE/ISAKMP	`aes128-sha1-modp1024`
ESP	`aes128-sha1`
PFS-Algorithmus	Gruppe 2 (`MODP_1024`)

Trafficauswahl konfigurieren

Setzen Sie die Trafficauswahl auf dem Peer-VPN-Gateway auf 0.0.0.0/0,::/0, um sowohl IPv4- als auch IPv6-Traffic zu unterstützen.

Wenn Sie nur IPv4-Traffic unterstützen möchten, setzen Sie die Trafficauswahl auf dem Peer-VPN-Gateway auf 0.0.0.0/0.

Nächste Schritte

Informationen zum Herunterladen einer Konfigurationsvorlage für Ihr Peer-VPN-Gerät finden Sie unter Peer-VPN-Konfigurationsvorlage herunterladen.
Informationen zum Konfigurieren von Firewallregeln für Ihr Peer-Netzwerk finden Sie unter Firewallregeln konfigurieren.
Unter Erweiterte Konfigurationen finden Sie Szenarien mit Hochverfügbarkeit und hohem Durchsatz bzw. Szenarien mit mehreren Subnetzen.
Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.