Configurer la passerelle VPN de pairs

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Cette page décrit la procédure à suivre pour terminer la configuration de votre VPN.

Pour terminer la configuration, configurez les ressources suivantes sur votre passerelle VPN de pairs :

  • Tunnels VPN correspondants au Cloud VPN
  • Sessions BGP (Border Gateway Protocol) si vous utilisez le routage dynamique avec Cloud Router
  • Règles de pare-feu
  • Paramètres IKE

Pour connaître les bonnes pratiques à suivre pour configurer la passerelle de pairs, consultez la documentation ou le fabricant de votre passerelle de pairs. Pour consulter des guides décrivant certains appareils et services VPN tiers compatibles, consultez la page Utiliser des VPN tiers. En outre, certains modèles de configuration d'appareils tiers sont disponibles en téléchargement dans la console Google Cloud. Pour en savoir plus, consultez la page Télécharger un modèle de configuration VPN de pairs.

Pour en savoir plus sur Cloud VPN, consultez les ressources suivantes :

  • Pour découvrir les bonnes pratiques à suivre avant de configurer Cloud VPN, consultez la page Bonnes pratiques.

  • Pour en savoir plus sur Cloud VPN, consultez la Présentation de Cloud VPN.

  • Pour connaître la définition des termes utilisés sur cette page, consultez la section Termes clés.

Configurer des ressources de passerelle VPN de pairs externe pour VPN haute disponibilité

Pour une passerelle VPN haute disponibilité, vous devez configurer une ressource de passerelle VPN de pairs externe qui représente votre passerelle de pairs physique dans Google Cloud. Vous pouvez également créer cette ressource en tant que ressource autonome, et l'utiliser ultérieurement.

Pour créer une passerelle VPN de pairs externe, vous devez disposer des valeurs suivantes concernant votre passerelle de pairs physique, qui peut également être une passerelle logicielle tierce. Pour que le VPN soit établi, les valeurs de la ressource de passerelle VPN de pairs externe doivent correspondre à la configuration de votre passerelle de pairs physique :

  • Nombre d'interfaces sur votre passerelle VPN physique
  • Adresse(s) IP externe(s) pour une ou plusieurs passerelles ou interfaces de pairs
  • Adresse(s) IP de point de terminaison BGP
  • Clé pré-partagée IKE (clé secrète partagée)
  • Numéro ASN

Lorsque vous configurez les sessions BGP pour le VPN haute disponibilité et activez IPv6, vous avez la possibilité de configurer des adresses de saut suivant IPv6. Si vous ne les configurez pas manuellement, Google Cloud vous attribue automatiquement ces adresses de saut suivant IPv6.

Pour autoriser le trafic IPv4 et IPv6 (double pile) dans les tunnels VPN haute disponibilité, vous devez obtenir l'adresse IPv6 de saut suivant attribuée au pair BGP. Vous devez ensuite configurer l'adresse de saut suivant IPv6 lorsque vous configurez les tunnels VPN sur votre appareil VPN de pairs. Bien que vous configuriez des adresses IPv6 sur les interfaces de tunnel de chaque appareil, les adresses IPv6 ne sont utilisées que pour la configuration du saut suivant IPv6. Les routes IPv6 sont annoncées via IPv6 NLRI sur IPv4 BGP. Pour obtenir des exemples de configurations d'adresse de saut suivant IPv6, consultez la page Configurer des VPN tiers pour le trafic IPv4 et IPv6.

Pour créer une ressource de passerelle VPN de pairs externe autonome, procédez comme suit :

Console

  1. Dans Google Cloud Console, accédez à la page VPN.

    Accéder au VPN

  2. Cliquez sur Créer une passerelle VPN de pairs.

  3. Attribuez un nom à la passerelle de pairs.

  4. Sélectionnez le nombre d'interfaces dont dispose votre passerelle de pairs physique : one, two ou four.

  5. Renseignez le champ Adresse IP de l'interface pour chaque interface de votre passerelle VPN physique.

  6. Cliquez sur Créer.

gcloud

Lorsque vous exécutez la commande suivante, saisissez l'ID d'interface et l'adresse IP de votre passerelle VPN physique. Vous pouvez saisir 1, 2 ou 4 interfaces.

gcloud compute external-vpn-gateways create mygateway \
  --interfaces 0=35.254.128.120,1=35.254.128.121

Le résultat de la commande devrait ressembler à ceci :

Creating external VPN gateway...done.
NAME       REDUNDANCY_TYPE
mygateway  TWO_IPS_REDUNDANCY

API

Pour cette commande, vous pouvez utiliser cette liste de types de redondance de passerelle.

Envoyez une requête POST à l'aide de la méthode externalVpnGateways.insert.

  POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
  {
    "name": "mygateway",
    "interfaces": [
      {
        "id": 0,
        "ipAddress": "35.254.128.120"
      },
      {
        "id": 1,
        "ipAddress": "35.254.128.121"
      },
    ],
    "redundancyType": "TWO_IPS_REDUNDANCY"
  }

Configurer des tunnels VPN

Pour créer des tunnels correspondants pour chaque tunnel Cloud VPN que vous avez créé, consultez la documentation de votre passerelle VPN de pairs.

Pour les VPN haute disponibilité, configurez deux tunnels sur votre passerelle de pairs. Un tunnel sur la passerelle de pairs doit correspondre au tunnel Cloud VPN sur interface 0. Un autre tunnel sur la passerelle de pairs doit correspondre au tunnel Cloud VPN sur interface 1.

Chaque tunnel de votre passerelle de pairs doit également utiliser une adresse IP externe unique pour votre passerelle VPN haute disponibilité.

Configurer des sessions BGP pour le routage dynamique

Pour le routage dynamique uniquement, configurez votre passerelle VPN de pairs de sorte qu'elle accepte les sessions BGP pour les sous-réseaux pairs que vous souhaitez annoncer sur le routeur Cloud Router.

Pour configurer votre passerelle de pairs, utilisez les ASN et les adresses IP de votre routeur Cloud Router, ainsi que les informations de votre passerelle Cloud VPN. Pour obtenir l'ASN Google, les ASN des réseaux pairs configurés et les adresses IP de BGP, utilisez les informations récapitulatives du routeur Cloud Router.

Si vous configurez un VPN haute disponibilité pour autoriser le trafic IPv4 et IPv6 (double pile), vous devez configurer la passerelle de pairs avec l'adresse de saut suivant IPv6 attribuée au pair BGP.

Pour le VPN haute disponibilité, notez que l'ASN Google, qui correspond à l'ASN de pairs du point de vue de votre passerelle VPN de pairs, est le même pour les deux tunnels.

Vous pouvez éventuellement configurer vos sessions BGP pour utiliser l'authentification MD5.

Configurer des règles de pare-feu

Pour les connexions VPN haute disponibilité utilisant le protocole IPv6, vous devez configurer vos pare-feu afin d'autoriser le trafic IPv6. La compatibilité des VPN haute disponibilité avec IPv6 est disponible en version bêta.

Pour obtenir des instructions au sujet de la configuration des règles de pare-feu pour votre réseau de pairs, consultez la section Configurer les règles de pare-feu.

Configurer IKE

Vous pouvez configurer IKE sur votre passerelle VPN de pairs pour le routage dynamique, basé sur des routes et basé sur des règles.

Les tunnels VPN haute disponibilité doivent utiliser IKE v2 pour accepter le trafic IPv6. La compatibilité des VPN haute disponibilité avec IPv6 est disponible en version bêta.

Pour configurer le tunnel et la passerelle VPN de pairs pour IKE, utilisez les paramètres indiqués dans le tableau suivant.

Pour en savoir sur la connexion de Cloud VPN à certaines solutions VPN tierces, consultez la section Utiliser des VPN tiers avec Cloud VPN. Pour obtenir des informations sur les paramètres d'authentification et de chiffrement IPsec, reportez-vous à la page Algorithmes de chiffrement IKE compatibles.

Pour IKEv1 et IKEv2

Paramètre Valeur
Mode IPsec Mode tunnel ESP+Auth (de site à site)
Protocole d'authentification psk
Clé secrète partagée Également appelée clé prépartagée IKE. Choisissez un mot de passe sécurisé en suivant ces consignes. La clé pré-partagée est sensible, car elle permet d'accéder à votre réseau.
Démarrer auto (en cas de perte de connexion de l'appareil pair, il devrait automatiquement redémarrer la connexion)
PFS (Perfect Forward Secrecy) on
DPD (Dead Peer Detection) Option recommandée : Aggressive. DPD détecte le redémarrage du VPN et utilise un autre tunnel pour acheminer le trafic.
INITIAL_CONTACT
(parfois appelé uniqueids)
Option recommandée : on (parfois appelée restart). Objectif : détecter les redémarrages plus rapidement afin de réduire les temps d'arrêt apparents.
TSi (Traffic Selector – Initiator)

Réseaux de sous-réseaux : plages spécifiées par l'option --local-traffic-selector. Cette plage de sous-réseaux est utilisée si l'option --local-traffic-selector n'est pas spécifiée (en raison du fait que le VPN se trouve sur un réseau VPC en mode automatique et n'annonce que le sous-réseau de la passerelle).

Anciens réseaux : plage du réseau.

TSr (Traffic Selector – Responder)

IKEv2 : valeur correspondant aux plages de destination de toutes les routes dont l'option --next-hop-vpn-tunnel est définie sur ce tunnel.

IKEv1 : valeur correspondant arbitrairement à la plage de destination de l'une des routes dont l'option --next-hop-vpn-tunnel est définie sur ce tunnel.

MTU L'unité de transmission maximale (MTU) de l'appareil de VPN pair ne doit pas dépasser 1 460 octets. Activez la préfragmentation sur votre appareil afin que les paquets soient d'abord fragmentés, puis encapsulés. Pour en savoir plus, consultez la section Considérations relatives aux MTU.

Autres paramètres applicables à IKEv1 uniquement

Paramètre Valeur
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
Algorithme PFS Groupe 2 (MODP_1024)

Configurer des sélecteurs de trafic

Pour accepter le trafic IPv4 et IPv6, définissez les sélecteurs de trafic de votre passerelle VPN de pairs sur 0.0.0.0/0,::/0. La compatibilité des VPN haute disponibilité avec IPv6 est disponible en version bêta.

Pour n'accepter que le trafic IPv4, définissez les sélecteurs de trafic de votre passerelle VPN de pairs sur 0.0.0.0/0.

Étape suivante