ピア VPN ゲートウェイの構成

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

このページでは、VPN の構成を完了する手順について説明します。

構成を完了するには、ピア VPN ゲートウェイで次のリソースを構成します。

  • Cloud VPN に対応する VPN トンネル
  • Border Gateway Protocol(BGP)セッション(Cloud Router で動的ルーティングを使用している場合)
  • ファイアウォール ルール
  • IKE 設定

ピア ゲートウェイを設定する場合のベスト プラクティスについては、ピア ゲートウェイのドキュメントをご覧いただくか、メーカーにお問い合わせください。一部のサポートされているサードパーティの VPN デバイスとサービスのガイドについては、サードパーティ VPN を使用するをご覧ください。また、一部のサードパーティ デバイス構成テンプレートは、Google Cloud コンソールからダウンロードできます。詳細については、ピア VPN 構成テンプレートのダウンロードをご覧ください。

Cloud VPN の詳細については、次のリソースをご覧ください。

  • Cloud VPN を設定する前に検討すべきベスト プラクティスについては、ベスト プラクティスをご覧ください。

  • Cloud VPN の詳細については、Cloud VPN の概要をご覧ください。

  • このページで使用している用語の定義については、主な用語をご覧ください。

HA VPN 用の外部ピア VPN ゲートウェイ リソースを構成する

HA VPN では、Google Cloud の物理ピア ゲートウェイとなる外部ピア VPN ゲートウェイ リソースを構成します。このリソースをスタンドアロン リソースとして作成し、後で使用することもできます。

外部ピア VPN ゲートウェイ リソースを作成するには、物理ピア ゲートウェイ(サードパーティのソフトウェア ベース ゲートウェイの場合もあります)から次の値を取得する必要があります。VPN を確立するには、外部ピア VPN ゲートウェイ リソースの値が物理ピア ゲートウェイの構成と一致する必要があります。

  • 物理 VPN ゲートウェイ上のインターフェースの数
  • 1 つ以上のピア ゲートウェイまたはインターフェースの外部 IP アドレス
  • BGP エンドポイントの IP アドレス
  • IKE 事前共有キー(共有シークレット)
  • ASN 番号

HA VPN の BGP セッションを構成して IPv6 を有効にする場合は、IPv6 ネクストホップ アドレスを構成することもできます。これらの IP アドレスを手動で構成しない場合、Google Cloud はこれらの IPv6 ネクストホップ アドレスを自動的に割り当てます。

HA VPN トンネルで IPv4 と IPv6 のトラフィック(デュアルスタック トラフィック)を許可するには、BGP ピアに割り当てられた IPv6 ネクストホップ アドレスを取得する必要があります。さらに、ピア VPN デバイスで VPN トンネルを構成するときに、IPv6 ネクストホップ アドレスを構成する必要があります。IPv6 アドレスは各デバイスのトンネル インターフェースで構成しますが、その IPv6 アドレスは IPv6 ネクストホップ構成にのみ使用されます。IPv6 ルートは、IPv6 NLRI over IPv4 の BGP ピアリングを介してアドバタイズされます。IPv6 のネクストホップ アドレス構成の例については、IPv4 トラフィックと IPv6 トラフィックにサードパーティ VPN を設定するをご覧ください。

スタンドアロンの外部ピア VPN ゲートウェイ リソースを作成するには、次の操作を行います。

コンソール

  1. Google Cloud コンソールで、[VPN] ページに移動します。

    [VPN] に移動

  2. [ピア VPN ゲートウェイの作成] をクリックします。

  3. ピア ゲートウェイに名前を付けます。

  4. 物理ピア ゲートウェイのインターフェース数(onetwo または four)を選択します。

  5. 物理 VPN ゲートウェイの各インターフェースのインターフェース IP アドレスを追加します。

  6. [作成] をクリックします。

gcloud

次のコマンドを実行する場合は、物理 VPN ゲートウェイのインターフェース ID と IP アドレスを入力します。入力できるインターフェースの数は、1、2 または 4 つです。

gcloud compute external-vpn-gateways create mygateway \
  --interfaces 0=35.254.128.120,1=35.254.128.121

コマンドの出力は次の例のようになります。

Creating external VPN gateway...done.
NAME       REDUNDANCY_TYPE
mygateway  TWO_IPS_REDUNDANCY

API

このコマンドには、このリストのゲートウェイの冗長性タイプを使用できます。

POST リクエストを行うには、externalVpnGateways.insert メソッドを使用します。

  POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
  {
    "name": "mygateway",
    "interfaces": [
      {
        "id": 0,
        "ipAddress": "35.254.128.120"
      },
      {
        "id": 1,
        "ipAddress": "35.254.128.121"
      },
    ],
    "redundancyType": "TWO_IPS_REDUNDANCY"
  }

VPN トンネルを構成する

作成した各 Cloud VPN トンネルに対応するトンネルを作成するには、ピア VPN ゲートウェイのドキュメントをご覧ください。

HA VPN の場合、ピア ゲートウェイに 2 つのトンネルを構成します。ピア ゲートウェイの 1 つのトンネルは、interface 0 の Cloud VPN トンネルに対応している必要があります。ピア ゲートウェイの別のトンネルは、interface 1 の Cloud VPN トンネルに対応している必要があります。

ピア ゲートウェイの各トンネルでは、HA VPN ゲートウェイで使用する一意の外部 IP アドレスも使用する必要があります。

動的ルーティング用の BGP セッションを構成する

動的ルーティングの場合のみ、Cloud Router にアドバタイズするピアサブネットの BGP セッションをサポートするように、ピア VPN ゲートウェイを構成します。

ピア ゲートウェイを構成するには、Cloud Router の ASN と IP アドレス、Cloud VPN ゲートウェイの情報を使用します。Google ASN、構成済みピア ネットワークの ASN、BGP IP アドレスを取得するには、Cloud Router の概要情報を使用します。

IPv4 と IPv6 トラフィック(デュアルスタック トラフィック)を許可するように HA VPN を構成する場合は、BGP ピアに IPv6 ネクストホップ アドレスを割り当てられたピア ゲートウェイを構成する必要があります。

HA VPN の場合、Google ASN(ピア VPN ゲートウェイにとってのピア ASN)は両方のトンネルで同じになります。

BGP セッションを構成して、MD5 認証を使用することもできます。

ファイアウォール ルールの構成

IPv6 を使用する HA VPN 接続では、IPv6 トラフィックを許可するようにファイアウォールを構成する必要があります。HA VPN の IPv6 のサポートはプレビュー版です。

ピア ネットワークのファイアウォール ルールの構成手順については、ファイアウォール ルールを構成するをご覧ください。

IKE を構成する

ピア VPN ゲートウェイで、動的、ルートベース、ポリシーベースのルーティング用に IKE を構成できます。

HA VPN トンネルは、IPv6 トラフィックをサポートするために IKE v2 を使用する必要があります。HA VPN の IPv6 のサポートはプレビュー版です。

ピア VPN ゲートウェイと IKE のトンネルを構成するには、次の表のパラメータを使用します。

Cloud VPN をサードパーティ VPN ソリューションに接続する方法については、Cloud VPN でのサードパーティ VPN の使用をご覧ください。IPsec の暗号化と認証の設定については、サポートされている IKE の暗号をご覧ください。

IKEv1 と IKEv2 の共通のパラメータ

設定
IPsec Mode ESP+Auth トンネルモード(サイト間)
Auth Protocol psk
Shared Secret IKE 事前共有キーとも呼ばれます。これらのガイドラインに従って強力なパスワードを選択してください。事前共有キーはネットワークへのアクセスを許可するため、取り扱いには十分に注意してください。
Start auto(ピアデバイスが切断された場合、自動的に再接続する必要があります)
PFS(Perfect Forward Secrecy) on
DPD(Dead Peer Detection) 推奨: Aggressive。VPN が再起動されてトラフィックが別のトンネルを使用してルーティングされたことを検出します。
INITIAL_CONTACT
uniqueids ともいいます)
推奨: onrestart ともいいます)。目的: ダウンタイムを少なくできるように、再起動を迅速に検出します。
TSi(Traffic Selector - Initiator)

サブネット ネットワーク: --local-traffic-selector フラグで指定された範囲です。VPN が自動モードの VPC ネットワークにあり、ゲートウェイのサブネットしか通知しないために --local-traffic-selector が指定されていない場合、そのサブネット範囲が使用されます。

レガシー ネットワーク: ネットワークの範囲。

TSr(Traffic Selector - Responder)

IKEv2: --next-hop-vpn-tunnel がこのトンネルに設定されたすべてのルートの送信先の範囲です。

IKEv1: --next-hop-vpn-tunnel がこのトンネルに設定されたいずれかのルートの送信先の範囲です(任意)。

MTU ピア VPN デバイスの最大伝送単位(MTU)は 1,460 バイト以下にする必要があります。パケットが断片化されてから暗号化されるように、デバイスで事前分割化を有効にします。詳細については、MTU に関する考慮事項をご覧ください。

IKEv1 のみの追加パラメータ

設定
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
PFS Algorithm グループ 2(MODP_1024

トラフィック セレクタの構成

IPv4 トラフィックと IPv6 トラフィックの両方をサポートするには、ピア VPN ゲートウェイのトラフィック セレクタを 0.0.0.0/0,::/0 に設定します。HA VPN の IPv6 のサポートはプレビュー版です。

IPv4 トラフィックのみをサポートするには、ピア VPN ゲートウェイのトラフィック セレクタを 0.0.0.0/0 に設定します。

次のステップ