ピア VPN ゲートウェイの構成

このページでは、VPN の構成を完了する手順について説明します。

構成を完了するには、ピア VPN ゲートウェイで次のリソースを構成します。

  • Cloud VPN に対応する VPN トンネル
  • Border Gateway Protocol(BGP)セッション(Cloud Router で動的ルーティングを使用している場合)
  • ファイアウォール ルール
  • IKE 設定

ピア ゲートウェイを設定する場合のベスト プラクティスについては、ピア ゲートウェイのドキュメントをご覧いただくか、メーカーにお問い合わせください。一部のサポートされているサードパーティの VPN デバイスとサービスのガイドについては、Cloud VPN でのサードパーティ VPN の使用をご覧ください。

Cloud VPN の詳細については、次のリソースをご覧ください。

HA VPN 用の外部ピア VPN ゲートウェイ リソースの構成

HA VPN では、Google Cloud の物理ピア ゲートウェイとなる外部ピア VPN ゲートウェイ リソースを構成します。このリソースをスタンドアロン リソースとして作成し、後で使用することもできます。

外部ピア VPN ゲートウェイ リソースを作成するには、物理ピア ゲートウェイ(サードパーティのソフトウェア ベース ゲートウェイの場合もあります)から次の値を取得する必要があります。VPN を確立するには、外部ピア VPN ゲートウェイ リソースの値が物理ピア ゲートウェイの構成と一致する必要があります。

  • 物理 VPN ゲートウェイ上のインターフェースの数
  • 1 つ以上のピア ゲートウェイまたはインターフェースの外部 IP アドレス
  • BGP エンドポイントの IP アドレス
  • IKE 事前共有キー(共有シークレット)
  • ASN 番号

スタンドアロンの外部ピア VPN ゲートウェイ リソースを作成するには、次の手順を行います。

Console

  1. Google Cloud Console で、[VPN] ページに移動します。

    [VPN] に移動

  2. [ピア VPN ゲートウェイの作成] をクリックします。

  3. ピア ゲートウェイに名前を付けます。

  4. 物理ピア ゲートウェイのインターフェース数(onetwo または four)を選択します。

  5. 物理 VPN ゲートウェイの各インターフェースのインターフェース IP アドレスを追加します。

  6. [作成] をクリックします。

gcloud

次のコマンドを実行する場合は、物理 VPN ゲートウェイのインターフェース ID と IP アドレスを入力します。入力できるインターフェースの数は、1、2 または 4 つです。

gcloud compute external-vpn-gateways create mygateway \
  --interfaces 0=35.254.128.120,1=35.254.128.121

コマンドの出力は次の例のようになります。

Creating external VPN gateway...done.
NAME       REDUNDANCY_TYPE
mygateway  TWO_IPS_REDUNDANCY

API

このコマンドには、このリストのゲートウェイの冗長性タイプを使用できます。

POST リクエストを行うには、externalVpnGateways.insert メソッドを使用します。

  POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
  {
    "name": "mygateway",
    "interfaces": [
      {
        "id": 0,
        "ipAddress": "35.254.128.120"
      },
      {
        "id": 1,
        "ipAddress": "35.254.128.121"
      },
    ],
    "redundancyType": "TWO_IPS_REDUNDANCY"
  }

VPN トンネルの構成

作成した各 Cloud VPN トンネルに対応するトンネルを作成するには、ピア VPN ゲートウェイのドキュメントをご覧ください。

HA VPN の場合、ピア ゲートウェイに 2 つのトンネルを構成します。ピア ゲートウェイの 1 つのトンネルは、interface 0 の Cloud VPN トンネルに対応している必要があります。ピア ゲートウェイの別のトンネルは、interface 1 の Cloud VPN トンネルに対応している必要があります。

ピア ゲートウェイの各トンネルでは、HA VPN ゲートウェイで使用する一意の外部 IP アドレスも使用する必要があります。

動的ルーティング用の BGP セッションの構成

動的ルーティングの場合のみ、Cloud Router にアドバタイズするピアサブネットの BGP セッションをサポートするように、ピア VPN ゲートウェイを構成します。

ピア ゲートウェイを構成するには、Cloud Router の ASN と IP アドレス、Cloud VPN ゲートウェイの情報を使用します。Google ASN、構成済みピア ネットワークの ASN、BGP IP アドレスを取得するには、Cloud Router の概要情報を使用します。

HA VPN の場合、Google ASN(ピア VPN ゲートウェイにとってのピア ASN)は両方のトンネルで同じになります。

ファイアウォール ルールの構成

ピア ネットワークのファイアウォール ルールの構成手順については、ファイアウォール ルールの構成をご覧ください。

IKE の構成

ピア VPN ゲートウェイで、動的、ルートベース、ポリシーベースのルーティング用に IKE を構成できます。

ピア VPN ゲートウェイと IKE のトンネルを構成するには、次の表のパラメータを使用します。

Cloud VPN をサードパーティ VPN ソリューションに接続する方法については、Cloud VPN でのサードパーティ VPN の使用をご覧ください。IPsec の暗号化と認証の設定については、サポートされている IKE の暗号をご覧ください。

IKEv1 と IKEv2 の共通のパラメータ

設定
IPsec Mode ESP+Auth トンネルモード(サイト間)
Auth Protocol psk
Shared Secret IKE 事前共有キーとも呼ばれます。これらのガイドラインに従って強力なパスワードを選択してください。事前共有キーはネットワークへのアクセスを許可するため、取り扱いには十分に注意してください。
Start auto(ピアデバイスが切断された場合、自動的に再接続する必要があります)
PFS(Perfect Forward Secrecy) on
DPD(Dead Peer Detection) 推奨: Aggressive。VPN が再起動されてトラフィックが別のトンネルを使用してルーティングされたことを検出します。
INITIAL_CONTACT
uniqueids ともいいます)
推奨: onrestart ともいいます)。目的: ダウンタイムを少なくできるように、再起動を迅速に検出します。
TSi(Traffic Selector - Initiator)

サブネット ネットワーク: --local-traffic-selector フラグで指定された範囲です。VPN が自動モードの VPC ネットワークにあり、ゲートウェイのサブネットしか通知しないために --local-traffic-selector が指定されていない場合、そのサブネット範囲が使用されます。

レガシー ネットワーク: ネットワークの範囲。

TSr(Traffic Selector - Responder)

IKEv2: --next-hop-vpn-tunnel がこのトンネルに設定されたすべてのルートの送信先の範囲です。

IKEv1: --next-hop-vpn-tunnel がこのトンネルに設定されたいずれかのルートの送信先の範囲です(任意)。

MTU ピア VPN デバイスの最大伝送単位(MTU)は 1,460 バイト以下にする必要があります。パケットが断片化されてから暗号化されるように、デバイスで事前分割化を有効にします。詳細については、MTU に関する考慮事項をご覧ください。

IKEv1 のみの追加パラメータ

設定
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
PFS Algorithm Group 2(MODP_1024

次のステップ

  • VPN トンネルとゲートウェイを維持するためのリソースを確認するには、入門ガイドの VPN の管理をご覧ください。
  • 高可用性と高スループットのシナリオ、または複数のサブネット シナリオを使用する。高度な構成をご覧ください。
  • Cloud VPN の使用時に発生する可能性のある一般的な問題を解決する。トラブルシューティングをご覧ください。