Configurer la passerelle VPN de pairs

Cette page décrit la procédure à suivre pour terminer la configuration de votre VPN.

Pour terminer la configuration, configurez les ressources suivantes sur votre passerelle VPN de pairs :

  • Tunnels VPN correspondants au Cloud VPN
  • Sessions BGP (Border Gateway Protocol) si vous utilisez le routage dynamique avec Cloud Router
  • Règles de pare-feu
  • Paramètres IKE

Pour connaître les bonnes pratiques à suivre pour configurer la passerelle de pairs, consultez la documentation ou le fabricant de votre passerelle de pairs. Pour obtenir des guides décrivant certains appareils et services VPN tiers compatibles, consultez la section Utiliser des VPN tiers avec Cloud VPN.

Pour en savoir plus sur Cloud VPN, consultez les ressources suivantes :

Configurer des ressources de passerelle VPN de pairs externe pour VPN haute disponibilité

Pour une passerelle VPN haute disponibilité, vous devez configurer une ressource de passerelle VPN de pairs externe qui représente votre passerelle de pairs physique dans Google Cloud. Vous pouvez également créer cette ressource en tant que ressource autonome, et l'utiliser ultérieurement.

Pour créer une passerelle VPN de pairs externe, vous devez disposer des valeurs suivantes concernant votre passerelle de pairs physique, qui peut également être une passerelle logicielle tierce. Pour que le VPN soit établi, les valeurs de la ressource de passerelle VPN de pairs externe doivent correspondre à la configuration de votre passerelle de pairs physique :

  • Nombre d'interfaces sur votre passerelle VPN physique
  • Adresse(s) IP externe(s) pour une ou plusieurs passerelles ou interfaces de pairs
  • Adresse(s) IP de point de terminaison BGP
  • Clé pré-partagée IKE (clé secrète partagée)
  • Numéro ASN

Pour créer une ressource de passerelle VPN de pairs externe autonome, procédez comme suit :

Console

  1. Dans Google Cloud Console, accédez à la page VPN.

    Accéder au VPN

  2. Cliquez sur Créer une passerelle VPN de pairs.

  3. Attribuez un nom à la passerelle de pairs.

  4. Sélectionnez le nombre d'interfaces dont dispose votre passerelle de pairs physique : one, two ou four.

  5. Renseignez le champ Adresse IP de l'interface pour chaque interface de votre passerelle VPN physique.

  6. Cliquez sur Créer.

gcloud

Lorsque vous exécutez la commande suivante, saisissez l'ID d'interface et l'adresse IP de votre passerelle VPN physique. Vous pouvez saisir 1, 2 ou 4 interfaces.

gcloud compute external-vpn-gateways create mygateway \
  --interfaces 0=35.254.128.120,1=35.254.128.121

Le résultat de la commande devrait ressembler à ceci :

Creating external VPN gateway...done.
NAME       REDUNDANCY_TYPE
mygateway  TWO_IPS_REDUNDANCY

API

Pour cette commande, vous pouvez utiliser cette liste de types de redondance de passerelle.

Envoyez une requête POST à l'aide de la méthode externalVpnGateways.insert.

  POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
  {
    "name": "mygateway",
    "interfaces": [
      {
        "id": 0,
        "ipAddress": "35.254.128.120"
      },
      {
        "id": 1,
        "ipAddress": "35.254.128.121"
      },
    ],
    "redundancyType": "TWO_IPS_REDUNDANCY"
  }

Configurer des tunnels VPN

Pour créer des tunnels correspondants pour chaque tunnel Cloud VPN que vous avez créé, consultez la documentation de votre passerelle VPN de pairs.

Pour les VPN haute disponibilité, configurez deux tunnels sur votre passerelle de pairs. Un tunnel sur la passerelle de pairs doit correspondre au tunnel Cloud VPN sur interface 0. Un autre tunnel sur la passerelle de pairs doit correspondre au tunnel Cloud VPN sur interface 1.

Chaque tunnel de votre passerelle de pairs doit également utiliser une adresse IP externe unique pour votre passerelle VPN haute disponibilité.

Configurer des sessions BGP pour le routage dynamique

Pour le routage dynamique uniquement, configurez votre passerelle VPN de pairs de sorte qu'elle accepte les sessions BGP pour les sous-réseaux pairs que vous souhaitez annoncer sur le routeur Cloud Router.

Pour configurer votre passerelle de pairs, utilisez les ASN et les adresses IP de votre routeur Cloud Router, ainsi que les informations de votre passerelle Cloud VPN. Pour obtenir l'ASN Google, les ASN des réseaux pairs configurés et les adresses IP de BGP, utilisez les informations récapitulatives du routeur Cloud Router.

Pour le VPN haute disponibilité, notez que l'ASN Google, qui correspond à l'ASN de pairs du point de vue de votre passerelle VPN de pairs, est le même pour les deux tunnels.

Configurer les règles de pare-feu

Pour obtenir des instructions au sujet de la configuration des règles de pare-feu pour votre réseau de pairs, consultez la section Configurer les règles de pare-feu.

Configurer IKE

Vous pouvez configurer IKE sur votre passerelle VPN de pairs pour le routage dynamique, basé sur des routes et basé sur des règles.

Pour configurer le tunnel et la passerelle VPN de pairs pour IKE, utilisez les paramètres indiqués dans le tableau suivant.

Pour en savoir sur la connexion de Cloud VPN à certaines solutions VPN tierces, consultez la section Utiliser des VPN tiers avec Cloud VPN. Pour obtenir des informations sur les paramètres d'authentification et de chiffrement IPsec, reportez-vous à la page Algorithmes de chiffrement IKE compatibles.

Pour IKEv1 et IKEv2

Paramètre Valeur
Mode IPsec Mode tunnel ESP+Auth (de site à site)
Protocole d'authentification psk
Clé secrète partagée Également appelée clé prépartagée IKE. Choisissez un mot de passe sécurisé en suivant ces consignes. La clé pré-partagée est sensible, car elle permet d'accéder à votre réseau.
Démarrer auto (en cas de perte de connexion de l'appareil pair, il devrait automatiquement redémarrer la connexion)
PFS (Perfect Forward Secrecy) on
DPD (Dead Peer Detection) Option recommandée : Aggressive. DPD détecte le redémarrage du VPN et utilise un autre tunnel pour acheminer le trafic.
INITIAL_CONTACT
(parfois appelé uniqueids)
Option recommandée : on (parfois appelée restart). Objectif : détecter les redémarrages plus rapidement afin de réduire les temps d'arrêt apparents.
TSi (Traffic Selector – Initiator)

Réseaux de sous-réseaux : plages spécifiées par l'option --local-traffic-selector. Cette plage de sous-réseaux est utilisée si l'option --local-traffic-selector n'est pas spécifiée (en raison du fait que le VPN se trouve sur un réseau VPC en mode automatique et n'annonce que le sous-réseau de la passerelle).

Anciens réseaux : plage du réseau.

TSr (Traffic Selector – Responder)

IKEv2 : valeur correspondant aux plages de destination de toutes les routes dont l'option --next-hop-vpn-tunnel est définie sur ce tunnel.

IKEv1 : valeur correspondant arbitrairement à la plage de destination de l'une des routes dont l'option --next-hop-vpn-tunnel est définie sur ce tunnel.

MTU L'unité de transmission maximale (MTU) de l'appareil de VPN pair ne doit pas dépasser 1 460 octets. Activez la préfragmentation sur votre appareil afin que les paquets soient d'abord fragmentés, puis encapsulés. Pour en savoir plus, consultez la section Considérations relatives aux MTU.

Autres paramètres applicables à IKEv1 uniquement

Paramètre Valeur
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
Algorithme PFS Groupe 2 (MODP_1024)

Étape suivante

  • Pour trouver des ressources sur la maintenance des tunnels et des passerelles VPN, consultez les guides de maintenance des VPN.
  • Pour utiliser des scénarios à haute disponibilité et à haut débit, ou des scénarios à plusieurs sous-réseaux, consultez la section Configurations avancées.
  • Pour vous aider à résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud VPN, consultez la page Dépannage.