Como configurar o gateway de VPN de peering

Nesta página, descrevemos as etapas para concluir a configuração da VPN.

Para concluir a configuração, configure os seguintes recursos no gateway da VPN de peering:

  • Túnel VPN correspondente ao Cloud VPN
  • Sessões do protocolo de gateway de borda (BGP, na sigla em inglês) se você estiver usando roteamento dinâmico com o Cloud Router
  • Regras de firewall
  • Configurações de IKE

Para práticas recomendadas ao configurar o gateway de peer, consulte a documentação ou o fabricante do peer. Veja os guias que descrevem alguns dispositivos e serviços de VPN de terceiros compatíveis em Usar VPNs de terceiros. Além disso, alguns modelos de configuração de dispositivos de terceiros estão disponíveis para download no Console do Google Cloud. Para mais informações, consulte Fazer o download de um modelo de configuração de VPN de peering.

Para mais informações sobre o Cloud VPN, consulte os seguintes recursos:

Configurar recursos de gateway de VPN de peering externo para VPN de alta disponibilidade

Para o gateway de VPN de alta disponibilidade, você configura um recurso de gateway de VPN de peer externo que representa seu gateway de peer físico no Google Cloud. Também é possível criar esse recurso como autônomo e usá-lo posteriormente.

Para criar um gateway de VPN de peer externo, você precisa dos seguintes valores do seu gateway físico de peer, que também pode ser um gateway baseado em software de terceiros. Para que a VPN seja estabelecida, os valores do recurso de gateway de VPN de peer externo precisam corresponder à configuração no gateway de peer físico:

  • O número de interfaces no seu gateway de VPN físico
  • Endereços IP externos de um ou mais gateways ou interfaces de peering
  • Endereços IP ou endereços de endpoint do BGP
  • A chave pré-compartilhada IKE (senha secreta)
  • O número do ASN

Quando você configura as sessões do BGP para VPN de alta disponibilidade e ativa o IPv6, tem a opção de configurar endereços IPv6 de próximo salto. Se você não os configurar manualmente, o Google Cloud atribuirá automaticamente esses endereços IPv6 de próximo salto por você.

Para permitir o tráfego IPv4 e IPv6 (pilha dupla) nos túneis de VPN de alta disponibilidade, é preciso ter o endereço IPv6 de próximo salto atribuído ao peering do BGP. Em seguida, configure o endereço IPv6 de próximo salto ao configurar os túneis de VPN no dispositivo VPN de peering. Embora você configure endereços IPv6 nas interfaces do túnel de cada dispositivo, os endereços IPv6 são usados apenas para a configuração do próximo salto do IPv6. As rotas IPv6 são divulgadas pelo NLRI IPv6 no lugar do peering do BGP IPv4. Veja exemplos de configurações de endereços IPv6 de próximo salto em Configurar VPNs de terceiros para o tráfego IPv4 e IPv6.

Para criar um recurso de gateway da VPN de peer externo independente, siga as etapas a seguir.

Console

  1. No Console do Google Cloud, acesse a página VPN.

    Acessar a VPN

  2. Clique em Criar gateway de VPN de peer.

  3. Atribua um nome ao gateway de peer.

  4. Selecione o número de interfaces que seu gateway de peer físico tem: one, two ou four.

  5. Adicione o endereço IP da interface para cada interface no seu gateway VPN físico.

  6. Clique em Criar.

gcloud

Ao executar o comando a seguir, insira o ID da interface e o endereço IP do seu gateway VPN físico. É possível inserir uma, duas ou quatro interfaces.

gcloud compute external-vpn-gateways create mygateway \
  --interfaces 0=35.254.128.120,1=35.254.128.121

A resposta ao comando terá a seguinte aparência:

Creating external VPN gateway...done.
NAME       REDUNDANCY_TYPE
mygateway  TWO_IPS_REDUNDANCY

API

Para este comando, use esta lista de tipos de redundância do gateway.

Faça uma solicitação POST usando o método externalVpnGateways.insert.

  POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
  {
    "name": "mygateway",
    "interfaces": [
      {
        "id": 0,
        "ipAddress": "35.254.128.120"
      },
      {
        "id": 1,
        "ipAddress": "35.254.128.121"
      },
    ],
    "redundancyType": "TWO_IPS_REDUNDANCY"
  }

Configurar túneis de VPN

Para criar túneis correspondentes para cada túnel do Cloud VPN que você criou, consulte a documentação do seu gateway da VPN de peering.

Para a VPN de alta disponibilidade, configure dois túneis no seu gateway de peer. Um túnel no gateway de peer deve corresponder ao túnel do Cloud VPN em interface 0. Outro túnel no gateway de peer deve corresponder ao túnel do Cloud VPN em interface 1.

Cada túnel no gateway de mesmo nível também precisa usar um endereço IP externo exclusivo para o gateway da VPN de alta disponibilidade.

Configurar sessões do BGP para roteamento dinâmico

Somente para roteamento dinâmico, configure seu gateway de VPN de peer para suportar sessões do BGP para as sub-redes de peers que você quer anunciar no Cloud Router.

Para configurar seu gateway de par, use os ASNs e os endereços IP do seu Cloud Router e as informações do seu gateway do Cloud VPN. Para conseguir o ASN do Google, os ASNs da rede de peer configurada e os endereços IP do BGP, use as informações de resumo do Cloud Router.

Se você estiver configurando a VPN de alta disponibilidade para permitir o tráfego IPv4 e IPv6 (pilha dupla), configure o gateway de peering com o endereço IPv6 de próximo salto atribuído ao peering do BGP.

Para a VPN de alta disponibilidade, observe que o ASN do Google, que é o ASN de peer da perspectiva do gateway da VPN de peer, é o mesmo para os dois túneis.

Como opção, você pode configurar suas sessões do BGP para usar a autenticação MD5.

Configurar regras de firewall

Para conexões de VPN de alta disponibilidade que usam IPv6, você precisa configurar seus firewalls para permitir o tráfego IPv6.

Para instruções sobre como configurar regras de firewall para sua rede de peering, consulte Como configurar regras de firewall.

Configurar IKE

É possível configurar o IKE no gateway de VPN de peering para roteamento dinâmico, com base em rotas e baseado em políticas.

Os túneis de VPN de alta disponibilidade precisam usar IKE v2 para aceitar o tráfego IPv6.

Para configurar o gateway e o túnel da VPN de peering para o IKE, use os parâmetros na tabela a seguir.

Para informações sobre como conectar o Cloud VPN a algumas soluções de VPN de terceiros, consulte Como usar VPNs de terceiros com o Cloud VPN. Para informações sobre configurações de autenticação e criptografia IPsec, consulte Criptografias IKE aceitas.

Para IKEv1 e IKEv2:

Configuração Valor
Modo IPsec Modo Túnel ESP+Autenticação (Site-to-Site)
Protocolo de autenticação psk
Senha secreta Também conhecida como chave IKE pré-compartilhada. Escolha uma senha forte seguindo estas diretrizes. A chave pré-compartilhada é confidencial, porque permite o acesso à sua rede.
Iniciar auto (se o dispositivo de peering cair, ele reiniciará a conexão automaticamente)
PFS (Perfect Forward Secrecy) on
DPD (Dead Peer Detection) Recomendado: Aggressive. O DPD detecta quando a VPN é reiniciada e usa túneis alternativos para rotear o tráfego.
INITIAL_CONTACT
(às vezes chamado de uniqueids)
Recomendado: on (às vezes chamado de restart). Finalidade: detectar reinícios com mais rapidez para reduzir a inatividade percebida.
TSi (Traffic Selector - Initiator)

Redes de sub-rede: os intervalos especificados pela sinalização --local-traffic-selector. Se --local-traffic-selector não tiver sido especificado porque a VPN é uma rede VPC de modo automático e anuncia somente a sub-rede do gateway, esse intervalo de sub-rede será usado.

Redes legadas: o intervalo da rede.

TSr (Traffic Selector - Responder)

IKEv2: os intervalos de destino de todas as rotas com --next-hop-vpn-tunnel definido para esse túnel.

IKEv1: arbitrariamente, o intervalo de destino de uma das rotas com --next-hop-vpn-tunnel definido para esse túnel.

MTU A unidade máxima de transmissão (MTU) do dispositivo de VPN de peering não pode exceder 1.460 bytes. Ative a pré-fragmentação do dispositivo para que os pacotes sejam fragmentados primeiro e, depois, encapsulados. Para mais informações, consulte Considerações sobre MTU.

Parâmetros adicionais somente para IKEv1:

Configuração Valor
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
Algoritmo PFS Grupo 2 (MODP_1024)

Configuração de seletores de tráfego

Para oferecer suporte ao tráfego IPv4 e IPv6, defina os seletores de tráfego no gateway de VPN de peering como 0.0.0.0/0,::/0.

Para oferecer suporte somente ao tráfego IPv4, defina os seletores de tráfego no gateway de VPN de peering como 0.0.0.0/0.

A seguir