Configurer une passerelle VPN de pairs

Pour terminer la configuration de votre VPN, vous devez configurer les ressources suivantes sur votre passerelle VPN de pairs :

  • Tunnel(s) VPN correspondant au Cloud VPN.
  • Sessions BGP si vous utilisez le routage dynamique avec Cloud Router.
    Vous devez toujours configurer des sessions BGP pour les passerelles VPN haute disponibilité et pour les passerelles VPN classiques avec des tunnels utilisant le routage dynamique.
  • Règles de pare-feu
  • Paramètres IKE

Toutes ces ressources sont décrites dans ce document.

Consultez la documentation ou le fabricant de votre passerelle de pairs pour connaître les bonnes pratiques à suivre pour la configurer. Consultez la page Guides d'interopérabilité VPN pour consulter des guides décrivant certains appareils et services VPN tiers compatibles.

Ressources de passerelle VPN de pairs externe pour VPN haute disponibilité

Pour une passerelle VPN haute disponibilité, vous devez configurer une ressource de passerelle VPN de pairs externe qui représente votre passerelle de pairs physique dans Google Cloud. Vous pouvez également créer cette ressource en tant que ressource autonome, et l'utiliser ultérieurement.

Pour créer une passerelle VPN de pairs externe, vous devez disposer des valeurs suivantes concernant votre passerelle de pairs physique, qui peut également être une passerelle logicielle tierce. Les valeurs de la ressource de passerelle VPN de pairs externe doivent correspondre à la configuration de votre passerelle de pairs physique pour que le VPN soit établi :

  • Nombre d'interfaces sur votre passerelle VPN physique
  • Adresse(s) IP externe(s) des passerelles de pairs ou des interfaces
  • Adresse(s) IP du point de terminaison BGP
  • Clé IKE prépartagée
  • Numéro ASN

Pour créer une ressource de passerelle VPN de pairs externe autonome, procédez comme suit :

Console

  1. Accédez à la page VPN dans Google Cloud Console.
    Accéder à la page VPN
  2. Cliquez sur le bouton Créer une passerelle VPN de pairs.
  3. Attribuez un nom à la passerelle de pairs.
  4. Sélectionnez le nombre d'interfaces de votre passerelle de pairs physique : one, two ou four.
  5. Renseignez le champ Adresse IP de l'interface pour chaque interface de votre passerelle VPN physique.
  6. Cliquez sur Créer.

gcloud

Pour exécuter la commande suivante, saisissez l'ID de l'interface et l'adresse IP de votre VPN physique. Vous pouvez saisir 1, 2 ou 4 interfaces.

gcloud compute external-vpn-gateways create mygateway \
  --interfaces 0=35.254.128.120,1=35.254.128.121

Le résultat de la commande devrait ressembler à ceci :

Creating external VPN Gateway...done.
NAME       REDUNDANCY_TYPE
mygateway  TWO_IPS_REDUNDANCY

api

Vous pouvez utiliser cette liste de types de redondance de passerelle pour cette commande.

Exécutez ensuite une requête POST à l'aide de la méthode externalVpnGateways.insert.

  POST https://www.googleapis.com/compute/v1/projects/project-id/global/externalVpnGateways
  {
    "name": "mygateway",
    "interfaces": [
      {
        "id": 0,
        "ipAddress": "35.254.128.120"
      },
      {
        "id": 1,
        "ipAddress": "35.254.128.121"
      },
    ],
    "redundancyType": "TWO_IPS_REDUNDANCY"
  }

Configurer des tunnels VPN

Consultez la documentation de votre passerelle VPN de pairs pour créer des tunnels correspondant à chaque tunnel Cloud VPN que vous avez créé.

Pour les VPN haute disponibilité, configurez deux tunnels sur votre passerelle de pairs. Un tunnel sur la passerelle de pairs doit correspondre au tunnel Cloud VPN sur l'interface 0, et un autre tunnel sur la passerelle de pairs doit correspondre au tunnel Cloud VPN sur l'interface 1.

Chaque tunnel de votre passerelle de pairs doit également utiliser une adresse IP externe unique pour votre passerelle VPN haute disponibilité.

Configurer des sessions BGP pour le routage dynamique

Pour le routage dynamique uniquement, configurez votre passerelle VPN de pairs de sorte qu'elle prenne en charge les sessions BGP pour les sous-réseaux pairs que vous souhaitez annoncer sur le routeur cloud.

Utilisez les ASN et les adresses IP de votre routeur cloud, ainsi que les informations de votre passerelle Cloud VPN, pour configurer votre passerelle de pairs.

Vous pouvez utiliser les informations récapitulatives du routeur cloud pour obtenir l'ASN Google, les ASN des réseaux pairs configurés et les adresses IP de BGP. Consultez la section Afficher la configuration du routeur pour obtenir les informations ci-dessus concernant votre routeur cloud.

Pour le VPN haute disponibilité, notez que le numéro ASN Google, qui correspond au numéro ASN du point de vue de votre passerelle VPN de pairs, est le même pour les deux tunnels.

Configurer les règles de pare-feu

Pour obtenir des instructions sur la configuration des règles de pare-feu pour votre réseau de pairs, consultez la section Configurer les règles de pare-feu.

Configurer IKE

Concernant les routages dynamiques, basés sur des routes et basés sur des règles, suivez les instructions ci-dessous pour configurer IKE sur votre passerelle VPN de pairs.

Configurez le tunnel et la passerelle VPN de pairs pour IKE à l'aide des paramètres suivants :

Pour IKEv1 et IKEv2 :

Paramètre Valeur
Mode IPsec Mode tunnel ESP+Auth (de site à site)
Protocole d'authentification psk (clé prépartagée)
Clé secrète partagée Également appelée clé prépartagée IKE. Choisissez un mot de passe sécurisé en suivant ces consignes. La clé secrète partagée est très sensible, car elle permet d'accéder à votre réseau.
Début auto (en cas de perte de la connexion, l'appareil pait doit automatiquement la redémarrer.)
PFS (Perfect Forward Secrecy) on (activé)
DPD (Dead Peer Detection) Option recommandée : Aggressive. Le paramètre DPD détecte le moment où redémarre, et achemine le trafic via d'autres tunnels.
INITIAL_CONTACT (parfois appelé "uniqueids") Option recommandée : on (parfois appelée restart). Ce paramètre sert à détecter plus rapidement les redémarrages afin de réduire les temps d'arrêt apparents.
TSi (Traffic Selector – Initiator) Réseaux de sous-réseaux : plages spécifiées par l'option --local-traffic-selector. Cette plage de sous-réseaux est utilisée si l'option --local-traffic-selector n'a pas été spécifiée (car le VPN se trouve sur un réseau VPC en mode automatique et n'annonce que le sous-réseau de la passerelle).
Anciens réseaux : plage du réseau.
TSr (Traffic Selector – Responder) IKEv2 : valeur correspondant aux plages de destination de toutes les routes dont l'option --next-hop-vpn-tunnel est définie sur ce tunnel.
IKEv1 : valeur correspondant arbitrairement à la plage de destination de l'une des routes dont l'option --next-hop-vpn-tunnel est définie sur ce tunnel.
MTU La taille du MTU (unité de transmission maximale) de l'appareil VPN associé ne doit pas dépasser 1 460 octets. Il convient d'activer la préfragmentation sur l'appareil, ce qui signifie que les paquets doivent d'abord être fragmentés, puis encapsulés. Pour en savoir plus, consultez la page Considérations relatives aux MTU.

Autres paramètres applicables à IKEv1 uniquement :

Paramètre Valeur
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
Algorithme PFS Groupe 2 (MODP_1024)

Présentation de l'algorithme de chiffrement IKE

Les algorithmes de chiffrement IKE suivants sont compatibles avec les VPN classiques et les VPN haute disponibilité.

Deux sections sur IKEv2 sont proposées selon que l'algorithme de chiffrement utilise ou non le chiffrement authentifié avec les données associées (AEAD).

Algorithmes de chiffrement IKEv2 avec AEAD

Phase 1

Rôle de l'algorithme de chiffrement Algorithme de chiffrement Notes
Chiffrement et intégrité
  • AES-GCM-8-128
  • AES-GCM-8-192
  • AES-GCM-8-256
  • AES-GCM-12-128
  • AES-GCM-12-192
  • AES-GCM-12-256
  • AES-GCM-16-128
  • AES-GCM-16-192
  • AES-GCM-16-256
Dans cette liste, le premier nombre correspond à la taille du paramètre ICV en octets et le second à la longueur de la clé en bits.

Dans certains documents, le paramètre ICV (le premier nombre) peut être exprimé en bits plutôt qu'en octets (8 octets deviennent 64 bits, 12 octets deviennent 96 bits et 16 octets deviennent 128 bits).
Fonction pseudo-aléatoire (PRF, Pseudo-Random Function)
  • PRF-AES128-XCBC
  • PRF-AES128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
De nombreux appareils ne requièrent pas de paramètre PRF explicite.
Diffie-Hellman (DH)
  • modp_2048 (groupe 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (groupe 5)
  • modp_3072 (groupe 15)
  • modp_4096 (groupe 16)
  • modp_8192 (groupe 18)
  • modp_1024 (groupe 2)
  • modp_1024_160 (modp_1024s160)
La suggestion de Cloud VPN présente ces algorithmes d'échange de clés dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.
Durée de vie de la phase 1 36 000 secondes (10 heures)

Phase 2

Rôle de l'algorithme de chiffrement Algorithme de chiffrement Notes
Chiffrement et intégrité
  • AES-GCM-16-128
  • AES-GCM-16-256
  • AES-GCM-16-192
  • AES-GCM-12-128
  • AES-GCM-8-128
La suggestion de Cloud VPN présente ces algorithmes dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.

Notez que le premier nombre correspond à la taille du paramètre ICV en octets et le second à la longueur de la clé en bits. Dans certains documents, le paramètre ICV (le premier nombre) peut être exprimé en bits plutôt qu'en octets (8 octets deviennent 64 bits, 12 octets deviennent 96 bits et 16 octets deviennent 128 bits).
Algorithme PFS (obligatoire)
  • modp_2048 (groupe 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (groupe 5)
  • modp_3072 (groupe 15)
  • modp_4096 (groupe 16)
  • modp_8192 (groupe 18)
  • modp_1024 (groupe 2)
  • modp_1024_160 (modp_1024s160)
La suggestion de Cloud VPN présente ces algorithmes d'échange de clés dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.
Diffie-Hellman (DH) Reportez-vous à la phase 1. Si votre passerelle VPN nécessite des paramètres DH pour la phase 2, copiez les paramètres utilisés pendant la phase 1.
Durée de vie de la phase 2 10 800 secondes (3 heures)

Algorithmes de chiffrement IKEv2 sans AEAD

Phase 1

Rôle de l'algorithme de chiffrement Algorithme de chiffrement Notes
Chiffrement
  • AES-CBC-128
  • AES-CBC-192
  • AES-CBC-256
  • 3DES-CBC
  • AES-XCBC-96
  • AES-CMAC-96
La suggestion de Cloud VPN présente ces algorithmes de chiffrement symétrique dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.
Intégrité
  • HMAC-SHA1-96
  • HMAC-MD5-96
  • HMAC-SHA2-256-128
  • HMAC-SHA2-384-192
  • HMAC-SHA2-512-256
La suggestion de Cloud VPN présente ces algorithmes HMAC dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.

Dans la documentation de votre passerelle VPN sur site, l'algorithme peut être désigné par un nom légèrement différent. Par exemple, HMAC-SHA2-512-256 peut être désigné simplement par SHA2-512 ou SHA-512 (sans la longueur de troncature ni les autres informations superflues).
Fonction pseudo-aléatoire (PRF, Pseudo-Random Function)
  • PRF-AES-128-XCBC
  • PRF-AES-128-CMAC
  • PRF-SHA1
  • PRF-MD5
  • PRF-SHA2-256
  • PRF-SHA2-384
  • PRF-SHA2-512
De nombreux appareils ne requièrent pas de paramètre PRF explicite.
Diffie-Hellman (DH)
  • modp_2048 (groupe 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (groupe 5)
  • modp_3072 (groupe 15)
  • modp_4096 (groupe 16)
  • modp_8192 (groupe 18)
  • modp_1024 (groupe 2)
  • modp_1024_160 (modp_1024s160)
La suggestion de Cloud VPN présente ces algorithmes d'échange de clés dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.
Durée de vie de la phase 1 36 000 secondes (10 heures)

Phase 2

Rôle de l'algorithme de chiffrement Algorithme de chiffrement Notes
Chiffrement
  • AES-CBC-128
  • AES-CBC-256
  • AES-CBC-192
La suggestion de Cloud VPN présente ces algorithmes de chiffrement symétrique dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.
Intégrité
  • HMAC-SHA2-256-128
  • HMAC-SHA2-512-256
  • HMAC-SHA1-96
La suggestion de Cloud VPN présente ces algorithmes HMAC dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.

Dans la documentation de votre passerelle VPN sur site, l'algorithme peut être désigné par un nom légèrement différent. Par exemple, HMAC-SHA2-512-256 peut être désigné simplement par SHA2-512 ou SHA-512 (sans la longueur de troncature ni les autres informations superflues).
Algorithme PFS (obligatoire)
  • modp_2048 (groupe 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (groupe 5)
  • modp_3072 (groupe 15)
  • modp_4096 (groupe 16)
  • modp_8192 (groupe 18)
  • modp_1024 (groupe 2)
  • modp_1024_160 (modp_1024s160)
La suggestion de Cloud VPN présente ces algorithmes d'échange de clés dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.
Diffie-Hellman (DH) Reportez-vous à la phase 1. Si votre passerelle VPN nécessite des paramètres DH pour la phase 2, copiez les paramètres utilisés pendant la phase 1.
Durée de vie de la phase 2 10 800 secondes (3 heures)

Algorithmes de chiffrement IKEv1

Phase 1

Rôle de l'algorithme de chiffrement Algorithme de chiffrement
Chiffrement AES-CBC-128
Intégrité HMAC-SHA1-96
Fonction pseudo-aléatoire (PRF, Pseudo-Random Function) PRF-SHA1-96
Diffie-Hellman (DH) modp_1024 (groupe 2)
Durée de vie de la phase 1 36 600 secondes (10 heures, 10 minutes)

Phase 2

Rôle de l'algorithme de chiffrement Algorithme de chiffrement
Chiffrement AES-CBC-128
Intégrité HMAC-SHA1-96
Algorithme PFS (obligatoire) modp_1024 (groupe 2)
Diffie-Hellman (DH) Si vous devez spécifier un paramètre DH pour votre passerelle VPN, copiez le paramètre utilisé pendant la phase 1.
Durée de vie de la phase 2 10 800 secondes (3 heures)

Étape suivante