ピア VPN ゲートウェイの構成

このページでは、VPN の構成を完了する手順について説明します。

構成を完了するには、ピア VPN ゲートウェイで次のリソースを構成します。

  • Cloud VPN へ対応する VPN トンネル
  • Cloud Router で動的ルーティングを使用している場合、Border Gateway Protocol(BGP)セッション
  • ファイアウォール ルール
  • IKE 設定

ピア ゲートウェイを設定する場合の、ベスト プラクティスについては、ピア ゲートウェイのドキュメントまたはメーカーをご確認ください。一部のサポートされているサードパーティの VPN デバイスとサービスのガイドについては、Cloud VPN でのサードパーティ VPN の使用をご覧ください。

Cloud VPN の詳細については、次のリソースをご覧ください。

HA VPN 用の外部ピア VPN ゲートウェイ リソースの構成

HA VPN では、Google Cloud の物理ピア ゲートウェイとなる外部ピア VPN ゲートウェイ リソースを構成します。このリソースをスタンドアロン リソースとして作成し、後で使用することもできます。

外部ピア VPN ゲートウェイ リソースを作成するには、物理ピア ゲートウェイ(サードパーティのソフトウェア ベース ゲートウェイの場合もあります)から次の値を取得する必要があります。VPN を確立するには、外部ピア VPN ゲートウェイ リソースの値が物理ピア ゲートウェイの構成と一致する必要があります。

  • 物理 VPN ゲートウェイ上のインターフェースの数
  • 1 つ以上のピア ゲートウェイまたはインターフェースの外部 IP アドレス
  • BGP エンドポイントの IP アドレス
  • IKE 事前共有キー(共有シークレット)
  • ASN 番号

スタンドアロンの外部ピア VPN ゲートウェイ リソースを作成するには、次の手順を行います。

コンソール

  1. Google Cloud Console で、[VPN] ページに移動します。

    [VPN] に移動

  2. [ピア VPN ゲートウェイの作成] をクリックします。

  3. ピア ゲートウェイに名前を付けます。

  4. 物理ピア ゲートウェイが持つインターフェース数(onetwo または four)を選択します。

  5. 物理 VPN ゲートウェイの各インターフェースのインターフェース IP アドレスを追加します。

  6. [作成] をクリックします。

gcloud

次のコマンドを実行する場合は、物理 VPN ゲートウェイのインターフェース ID と IP アドレスを入力します。入力できるインターフェースの数は、1、2 または 4 つです。

gcloud compute external-vpn-gateways create mygateway \
  --interfaces 0=35.254.128.120,1=35.254.128.121

コマンドの出力は次の例のようになります。

Creating external VPN gateway...done.
NAME       REDUNDANCY_TYPE
mygateway  TWO_IPS_REDUNDANCY

API

このコマンドには、このリストのゲートウェイの冗長性タイプを使用できます。

POST リクエストを行うには、externalVpnGateways.insert メソッドを使用します。

  POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
  {
    "name": "mygateway",
    "interfaces": [
      {
        "id": 0,
        "ipAddress": "35.254.128.120"
      },
      {
        "id": 1,
        "ipAddress": "35.254.128.121"
      },
    ],
    "redundancyType": "TWO_IPS_REDUNDANCY"
  }

VPN トンネルの構成

作成した各 Cloud VPN トンネルに対応するトンネルを作成するには、ピア VPN ゲートウェイのドキュメントをご覧ください。

HA VPN の場合、ピア ゲートウェイに 2 つのトンネルを構成します。 ピア ゲートウェイの 1 つのトンネルは、interface 0 の Cloud VPN トンネルに対応している必要があります。ピア ゲートウェイのもう 1 つのトンネルは、interface 1 の Cloud VPN トンネルに対応している必要があります。

ピア ゲートウェイの各トンネルでは、HA VPN ゲートウェイで使用する一意の外部 IP アドレスも使用する必要があります。

動的ルーティング用の BGP セッションの構成

動的ルーティングの場合のみ、Cloud Router にアドバタイズするピアサブネットの BGP セッションをサポートするようにピア VPN ゲートウェイを構成します。

ピア ゲートウェイを構成するには、Cloud Router の ASN と IP アドレスおよび Cloud VPN ゲートウェイの情報を使用します。Google ASN、構成済みピア ネットワークの ASN、BGP IP アドレスを取得するには、Cloud Router の概要情報を使用します。

HA VPN の場合、Google ASN(ピア VPN ゲートウェイにとってのピア ASN)は、両方のトンネルで同じになります。

ファイアウォール ルールの構成

ピア ネットワークのファイアウォール ルールの構成手順については、ファイアウォール ルールの構成をご覧ください。

IKE の構成

ピア VPN ゲートウェイで、動的、ルートベース、ポリシーベースのルーティング用に IKE を構成できます。

ピア VPN ゲートウェイと IKE のトンネルを構成するには、次の表のパラメータを使用します。

Cloud VPN を一部のサードパーティ VPN ソリューションに接続する方法については、Cloud VPN でのサードパーティ VPN の使用をご覧ください。IPsec の暗号化と認証の設定については、サポートされている IKE の暗号をご覧ください。

IKEv1 と IKEv2 の共通のパラメータ

設定
IPsec Mode ESP+Auth トンネルモード(サイト間)
Auth Protocol psk
Shared Secret IKE 事前共有キーとも呼ばれます。これらのガイドラインに従って強力なパスワードを選択してください。事前共有キーはネットワークへのアクセスを許可するため、取り扱いには十分に注意してください。
開始 auto(ピアデバイスが切断された場合、自動的に再接続する必要があります)
PFS(Perfect Forward Secrecy) on
DPD(Dead Peer Detection) 推奨: Aggressive。VPN が再起動されてトラフィックが別のトンネルを使用してルーティングされたことを検出します。
INITIAL_CONTACT
uniqueids とも呼ばれます)
推奨: onrestart とも呼ばれます)。目的: ダウンタイムを少なくできるように、再起動を迅速に検出します。
TSi(Traffic Selector - Initiator)

サブネット ネットワーク: --local-traffic-selector フラグで指定された範囲です。VPN が自動モードの VPC ネットワークにあり、ゲートウェイのサブネットしか通知しないために --local-traffic-selector が指定されていない場合、そのサブネット範囲が使用されます。

レガシー ネットワーク: ネットワークの範囲。

TSr(Traffic Selector - Responder)

IKEv2: --next-hop-vpn-tunnel がこのトンネルに設定されたすべてのルートの送信先の範囲です。

IKEv1: --next-hop-vpn-tunnel がこのトンネルに設定されたいずれかのルートの送信先の範囲です(任意)。

MTU ピア VPN デバイスの最大伝送単位(MTU)は 1,460 バイトを超えてはいけません。デバイスで事前断片化を有効にして、パケットを断片化してからカプセル化します。詳細については、MTU に関する考慮事項をご覧ください。

IKEv1 のみの追加パラメータ

設定
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
PFS Algorithm Group 2 (MODP_1024)

次のステップ

  • VPN トンネルとゲートウェイを維持するためのリソースを確認するには、入門ガイドの VPN の管理をご覧ください。
  • 高可用性と高スループットのシナリオ、または複数のサブネット シナリオを使用する。高度な構成をご覧ください。
  • Cloud VPN の使用時に発生する可能性のある一般的な問題を解決する。トラブルシューティングをご覧ください。