Peer-VPN-Gateway konfigurieren

Auf dieser Seite werden die Schritte der VPN-Konfiguration beschrieben.

Konfigurieren Sie die folgenden Ressourcen auf Ihrem Peer-VPN-Gateway, um die Konfiguration vorzunehmen:

  • Entsprechende VPN-Tunnel zu Cloud VPN
  • BGB-Sitzungen (Border Gateway Protocol), wenn Sie dynamisches Routing mit Cloud Router verwenden
  • Firewallregeln
  • IKE-Einstellungen

Best Practices zum Einrichten Ihres Peer-Gateways erhalten Sie in der Dokumentation oder beim Hersteller Ihres Peer-Gateways. Leitfäden, die einige unterstützte Drittanbieter-VPN-Geräte und -Dienste beschreiben, finden Sie unter Drittanbieter-VPNs mit Cloud VPN verwenden.

Weitere Informationen zu Cloud VPN finden Sie in den folgenden Ressourcen:

Externe Peer-VPN-Gateway-Ressourcen für HA VPN

Für HA VPN-Gateway konfigurieren Sie eine externe Peer-VPN-Gateway-Ressource, die Ihr physisches Peer-Gateway in Google Cloud darstellt. Sie können diese Ressource auch als eigenständige Ressource erstellen und später verwenden.

Zum Erstellen einer externen Peer-VPN-Gateway-Ressource benötigen Sie die folgenden Werte aus dem physischen Peer-Gateway, das auch ein softwarebasiertes Gateway eines Drittanbieters sein kann. Damit das VPN eingerichtet werden kann, müssen die Werte für die externe Peer-VPN-Gateway-Ressource der Konfiguration auf Ihrem physischen Peer-Gateway entsprechen:

  • Die Anzahl der Schnittstellen auf Ihrem physischen VPN-Gateway
  • Externe IP-Adresse(n) für ein oder mehrere Peer-Gateways oder -Schnittstellen
  • IP-Adresse(n) des BGP-Endpunkts
  • Der vorinstallierte IKE-Schlüssel (gemeinsames Secret)
  • Die ASN-Nummer

Führen Sie die folgenden Schritte aus, um eine eigenständige externe Peer-VPN-Gateway-Ressource zu erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPN auf.

    Zu VPN

  2. Klicken Sie auf Peer-VPN-Gateway erstellen.

  3. Geben Sie einen Namen für das Peer-Gateway ein.

  4. Wählen Sie die Anzahl der Schnittstellen aus, die das physische Peer-Gateway hat: one, two oder four.

  5. Fügen Sie die IP-Adresse der Schnittstelle für jede Schnittstelle auf Ihrem physischen VPN-Gateway hinzu.

  6. Klicken Sie auf Erstellen.

gcloud

Geben Sie beim Ausführen des folgenden Befehls die Schnittstellen-ID und die IP-Adresse für das physische VPN-Gateway ein. Sie können 1, 2 oder 4 Schnittstellen eingeben.

gcloud compute external-vpn-gateways create mygateway \
  --interfaces 0=35.254.128.120,1=35.254.128.121

Die Befehlsausgabe sollte folgendermaßen aussehen:

Creating external VPN gateway...done.
NAME       REDUNDANCY_TYPE
mygateway  TWO_IPS_REDUNDANCY

API

Für diesen Befehl können Sie diese Liste von Gateway-Redundanztypen verwenden.

Senden Sie eine POST-Anfrage mit der Methode externalVpnGateways.insert.

  POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
  {
    "name": "mygateway",
    "interfaces": [
      {
        "id": 0,
        "ipAddress": "35.254.128.120"
      },
      {
        "id": 1,
        "ipAddress": "35.254.128.121"
      },
    ],
    "redundancyType": "TWO_IPS_REDUNDANCY"
  }

VPN-Tunnel konfigurieren

Informationen zum Erstellen entsprechender Tunnel für jeden der von Ihnen erstellten Cloud VPN-Tunnel finden Sie in der Dokumentation zu Ihrem Peer-VPN-Gateway.

Konfigurieren Sie für HA VPN zwei Tunnel auf Ihrem Peer-Gateway. Ein Tunnel auf dem Peer-Gateway sollte dem Cloud VPN-Tunnel auf interface 0 entsprechen. Ein anderer Tunnel auf dem Peer-Gateway sollte dem Cloud VPN-Tunnel auf interface 1 entsprechen.

Jeder Tunnel auf dem Peer-Gateway sollte außerdem eine eindeutige externe IP-Adresse für Ihr HA VPN-Gateway verwenden.

BGP-Sitzungen für dynamisches Routing konfigurieren

Nur für dynamisches Routing: Konfigurieren Sie das Peer-VPN-Gateway so, dass es BGP-Sitzungen für die Peer-Subnetze unterstützt, die Sie Cloud Router anbieten möchten.

Verwenden Sie zum Konfigurieren des Peer-Gateways die ASNs und IP-Adressen Ihres Cloud Routers und die Informationen aus dem Cloud VPN-Gateway. Informationen zum Abrufen der Google-ASN, der konfigurierten Netzwerk-ASNs und der BGP-IP-Adressen finden Sie in der Zusammenfassung zu Cloud Router.

Achten Sie bei HA VPN darauf, dass die Google-ASN, also die Peer-ASN aus Perspektive Ihres Peer-VPN-Gateways, für beide Tunnel identisch ist.

Firewallregeln konfigurieren

Eine Anleitung zum Konfigurieren von Firewallregeln für Ihr Peer-Netzwerk finden Sie unter Firewallregeln konfigurieren.

IKE konfigurieren

Sie können IKE auf dem Peer-VPN-Gateway für dynamisches, routenbasiertes und richtlinienbasiertes Routing konfigurieren.

Mit den Parametern in der folgenden Tabelle konfigurieren Sie das Peer-VPN-Gateway und den Tunnel für IKE.

Informationen zum Verbinden von Cloud VPN mit VPN-Lösungen von Drittanbietern finden Sie unter Drittanbieter-VPNs mit Cloud VPN verwenden. Informationen zu den Einstellungen für die IPsec-Verschlüsselung und Authentifizierung finden Sie unter Unterstützte IKE-Chiffren.

Für IKEv1 und IKEv2

Einstellung Wert
IPsec-Modus ESP+Auth-Tunnel-Modus (standortübergreifend)
Auth-Protokoll psk
Gemeinsames Secret Wird auch als vorinstallierter IKE-Schlüssel bezeichnet. Wählen Sie anhand dieser Richtlinien ein starkes Passwort aus. Der vorinstallierte Schlüssel ist vertraulich, da er Zugriff auf Ihr Netzwerk gewährt.
Start auto (Nach einer Trennung der Verbindung zum Peer-Gerät wird die Verbindung automatisch neu gestartet).
PFS (Perfect Forward Secrecy) on
DPD (Dead Peer Detection) Empfohlen: Aggressive. DPD erkennt, wenn das VPN neu gestartet wird, und verwendet alternative Tunnel zur Weiterleitung des Traffics.
INITIAL_CONTACT
(manchmal auch uniqueids genannt)
Empfohlen: on (manchmal auch restart genannt). Zweck: Neustarts erkennen, um Ausfallzeiten zu reduzieren.
TSi (Traffic Selector – Initiator)

Subnetz-Netzwerke: Die mit dem Flag --local-traffic-selector festgelegten Bereiche. Wenn --local-traffic-selector nicht festgelegt wurde, weil sich das VPN in einem VPC-Netzwerk im automatischen Modus befindet und nur das Subnetz des Gateways ankündigt, wird dieser Subnetzbereich verwendet.

Alte Netzwerke: Der Bereich des Netzwerks.

TSr (Traffic Selector – Responder)

IKEv2: die Zielbereiche aller Routen, für die --next-hop-vpn-tunnel auf diesen Tunnel eingestellt ist.

IKEv1: beliebig; der Zielbereich einer der Routen, für die --next-hop-vpn-tunnel auf diesen Tunnel eingestellt ist.

MTU Die maximale Übertragungseinheit (Maximum Transmission Unit, MTU) des Peer-VPN-Geräts darf maximal 1.460 Byte groß sein. Aktivieren Sie die Vorfragmentierung auf Ihrem Gerät, damit Pakete zuerst fragmentiert und dann gekapselt werden. Weitere Informationen finden Sie unter Überlegungen zur MTU.

Zusätzliche Parameter nur für IKEv1

Einstellung Wert
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
PFS-Algorithmus Gruppe 2 (MODP_1024)

Nächste Schritte

  • Informationen zum Konfigurieren von Firewallregeln für Ihr Peer-Netzwerk finden Sie unter Firewallregeln konfigurieren.
  • Unter Erweiterte Konfigurationen finden Sie Szenarien mit Hochverfügbarkeit und hohem Durchsatz bzw. Szenarien mit mehreren Subnetzen.
  • Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.