Cette page explique comment utiliser le routage statique pour créer une passerelle VPN classique et un tunnel. Ce tunnel se base sur des règles ou sur des routes.
Avec un VPN basé sur des routes, vous spécifiez uniquement le sélecteur de trafic distant. Si vous devez spécifier un sélecteur de trafic local, créez un tunnel Cloud VPN utilisant un routage basé sur des règles.
Le VPN classique n'est pas compatible avec IPv6.
Pour en savoir plus sur Cloud VPN, consultez les ressources suivantes :
Pour découvrir les bonnes pratiques à suivre avant de configurer Cloud VPN, consultez la page Bonnes pratiques.
Pour en savoir plus sur Cloud VPN, consultez la Présentation de Cloud VPN.
Pour connaître la définition des termes utilisés sur cette page, consultez la section Termes clés.
Options de routage
Lorsque vous utilisez la console Google Cloud pour créer un tunnel basé sur des règles, le VPN classique effectue les tâches suivantes:
- Il définit le sélecteur de trafic local du tunnel sur la plage d'adresses IP que vous spécifiez.
- Il définit le sélecteur de trafic distant du tunnel sur les plages d'adresses IP que vous spécifiez dans le champ Plages d'adresses IP du réseau distant.
- Pour chaque plage disponible dans Plages d'adresses IP du réseau distant, Google Cloud crée une route statique personnalisée dont la destination (préfixe) correspond au CIDR de la plage et dont le saut suivant correspond au tunnel.
Après avoir créé un tunnel VPN classique basé sur des règles, les plages d'adresses IP que vous avez saisies dans le champ Plages d'adresses IP du réseau distant apparaissent comme Plages d'adresses IP annoncées sur la page des détails du tunnel VPN.
Lorsque vous utilisez la console Google Cloud pour créer un tunnel basé sur des routes, le VPN classique effectue les tâches suivantes:
- Il définit les sélecteurs de trafic local et distant du tunnel sur n'importe quelle adresse IP (
0.0.0.0/0
). - Pour chaque plage disponible dans Plages d'adresses IP du réseau distant, Google Cloud crée une route statique personnalisée dont la destination (préfixe) correspond au CIDR de la plage et dont le saut suivant correspond au tunnel.
Lorsque vous utilisez la CLI Google Cloud pour créer un tunnel basé sur des règles ou sur des routes, les sélecteurs de trafic du tunnel sont définis de la même manière. Vous disposez pourtant d'un contrôle accru de ces routes, car la création de routes statiques personnalisées s'effectue à l'aide de commandes distinctes.
Le nombre de CIDR que vous pouvez spécifier dans un sélecteur de trafic dépend de la version d'IKE.
Pour obtenir les informations de référence importantes, consultez les pages suivantes :
Avant de commencer
Configurez les éléments suivants dans Google Cloud pour faciliter la configuration de Cloud VPN :
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Si vous utilisez Google Cloud CLI, définissez votre ID de projet à l'aide de la commande suivante. Dans les instructions
gcloud
présentées sur cette page, nous partons du principe que vous avez défini l'ID de votre projet avant d'exécuter les commandes.gcloud config set project PROJECT_ID
-
Vous pouvez également afficher un ID de projet déjà défini en exécutant la commande suivante :
gcloud config list --format='text(core.project)'
Créer un réseau VPC et un sous-réseau personnalisés
Avant de créer une passerelle et un tunnel VPN classiques, créez un réseau cloud privé virtuel (VPC) et au moins un sous-réseau dans la région d'hébergement de la passerelle VPN classique :
- Pour créer un réseau VPC personnalisé (recommandé), consultez la section Créer un réseau VPC en mode personnalisé.
- Pour créer des sous-réseaux, consultez la section Travailler avec des sous-réseaux.
Créer une passerelle et un tunnel
Console
Configurer la passerelle
Dans Google Cloud Console, accédez à la page VPN.
Si vous créez une passerelle pour la première fois, cliquez sur Créer une connexion VPN.
Sélectionnez l'assistant de configuration VPN.
Sélectionnez le bouton d'option VPN classique.
Cliquez sur Continuer.
Sur la page Créer une connexion VPN, spécifiez les paramètres de passerelle suivants :
- Nom : nom de la passerelle VPN. Vous ne pourrez pas le modifier par la suite.
- Description : si vous le souhaitez, vous pouvez ajouter une description.
- Réseau : spécifiez un réseau VPC existant dans lequel créer la passerelle et le tunnel VPN.
- Région : les passerelles et les tunnels Cloud VPN sont des objets régionaux. Choisissez une région Google Cloud dans laquelle la passerelle sera située. Les instances et les autres ressources appartenant à des régions différentes peuvent utiliser le tunnel pour acheminer le trafic de sortie, en suivant l'ordre de priorité des routes. Pour optimiser les performances, situez la passerelle et le tunnel dans la même région que les ressources Google Cloud concernées.
- Adresse IP : créez ou choisissez une adresse IP externe régionale existante.
Configurer les tunnels
Pour le nouveau tunnel, dans la section Tunnels, spécifiez les paramètres suivants :
- Nom : nom du tunnel VPN. Vous ne pourrez pas le modifier par la suite.
- Description : si vous le souhaitez, vous pouvez saisir une description.
- Adresse IP du pair distant : spécifiez l'adresse IP externe de la passerelle VPN de pairs.
- Version d'IKE : choisissez une version d'IKE compatible avec la passerelle VPN de pairs. Nous vous recommandons d'utiliser IKEv2 si cette version est compatible avec l'appareil associé.
- Clé pré-partagée IKE : fournissez une clé pré-partagée (clé secrète partagée) utilisée pour l'authentification. Cette clé pré-partagée du tunnel Cloud VPN doit correspondre à celle utilisée lors de la configuration du tunnel équivalent sur la passerelle VPN de pairs. Pour générer une clé pré-partagée sécurisée de manière cryptographique, suivez ces instructions.
Pour les tunnels basés sur des règles
- Sous Options de routage, sélectionnez Basé sur des règles.
Sous Plages d'adresses IP du réseau distant, saisissez la liste des plages d'adresses IP utilisées par le réseau de pairs, séparées par des espaces. Il s'agit du sélecteur de trafic distant, s'affichant sur la droite de la page Cloud VPN.
Après avoir créé un tunnel VPN classique basé sur des règles, les plages d'adresses IP que vous avez saisies dans le champ Plages d'adresses IP du réseau distant apparaissent comme Plages d'adresses IP annoncées sur la page des détails du tunnel VPN.
Sous Plages d'adresses IP locales, sélectionnez l'une des méthodes suivantes :
- Pour choisir une plage d'adresses IP locales existante, utilisez le menu Sous-réseaux locaux.
- Pour saisir une liste de plages d'adresses IP séparées par des espaces à utiliser dans votre réseau VPC, utilisez le champ Plages d'adresses IP locales. Pour découvrir les considérations importantes, consultez la page Tunnels basés sur des règles et sélecteurs de trafic.
Pour les tunnels basés sur des routes
- Sous Routing options (Options de routage), sélectionnez Route-based (Basé sur le routage).
- Sous Plages d'adresses IP du réseau distant, saisissez la liste des plages d'adresses IP utilisées par le réseau de pairs, séparées par des espaces. Ces plages servent à créer des routes statiques personnalisées dont le saut suivant correspond à ce tunnel VPN.
Si vous devez créer plusieurs tunnels sur la même passerelle, cliquez sur Ajouter un tunnel et répétez l'étape précédente. Vous pouvez également ajouter d'autres tunnels ultérieurement.
Cliquez sur Créer.
gcloud
Pour créer une passerelle Cloud VPN, exécutez les commandes suivantes dans l'ordre indiqué. Dans les commandes, remplacez les éléments suivants :
PROJECT_ID
: ID de votre projetNETWORK
: nom de votre réseau Google CloudREGION
: région Google Cloud dans laquelle vous créez la passerelle et le tunnelGW_NAME
: nom de la passerelleGW_IP_NAME
: un nom pour l'adresse IP externe utilisée par la passerelle.- (Facultatif)
--target-vpn-gateway-region
correspond à la région de la passerelle VPN classique à utiliser. Sa valeur doit être identique à celle de--region
. Si cette option n'est pas spécifiée, elle est définie automatiquement. Cette option ignore la valeur par défaut de la propriété "compute/region" pour cet appel de commande.
Configurer les ressources de la passerelle
Créez l'objet passerelle VPN cible.
gcloud compute target-vpn-gateways create GW_NAME \ --network=NETWORK \ --region=REGION \ --project=PROJECT_ID
Réservez une adresse IP externe régionale (statique).
gcloud compute addresses create GW_IP_NAME \ --region=REGION \ --project=PROJECT_ID
Notez l'adresse IP de façon à pouvoir l'utiliser lors de la configuration de votre passerelle VPN de pairs :
gcloud compute addresses describe GW_IP_NAME \ --region=REGION \ --project=PROJECT_ID \ --format='flattened(address)'
Créez trois règles de transfert. Ces règles indiquent à Google Cloud d'acheminer le trafic ESP (IPSec), UDP 500 et UDP 4500 vers la passerelle.
gcloud compute forwarding-rules create fr-GW_NAME-esp \ --load-balancing-scheme=EXTERNAL \ --network-tier=PREMIUM \ --ip-protocol=ESP \ --address=GW_IP_NAME \ --target-vpn-gateway=GW_NAME \ --region=REGION \ --project=PROJECT_ID
gcloud compute forwarding-rules create fr-GW_NAME-udp500 \ --load-balancing-scheme=EXTERNAL \ --network-tier=PREMIUM \ --ip-protocol=UDP \ --ports=500 \ --address=GW_IP_NAME \ --target-vpn-gateway=GW_NAME \ --region=REGION \ --project=PROJECT_ID
gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \ --load-balancing-scheme=EXTERNAL \ --network-tier=PREMIUM \ --ip-protocol=UDP \ --ports=4500 \ --address=GW_IP_NAME \ --target-vpn-gateway=GW_NAME \ --region=REGION \ --project=PROJECT_ID
Créer le tunnel Cloud VPN
Dans les commandes, remplacez les éléments suivants :
TUNNEL_NAME
: un nom pour le tunnel.ON_PREM_IP
: adresse IP externe de la passerelle VPN de pairs.IKE_VERS
:1
pour IKEv1 ou2
pour IKEv2SHARED_SECRET
: votre clé prépartagée (clé secrète partagée). Cette clé pré-partagée du tunnel Cloud VPN doit correspondre à celle utilisée lors de la configuration du tunnel équivalent sur la passerelle VPN de pairs. Pour générer une clé pré-partagée sécurisée de manière cryptographique, suivez ces instructions.
Pour les VPN basés sur des règles :
LOCAL_IP_RANGES
: liste de plages d'adresses IP Google Cloud, séparées par des virgules. Par exemple, vous pouvez indiquer le bloc CIDR pour chaque sous-réseau d'un réseau VPC. Il s'agit de la partie s'affichant à gauche de la page Cloud VPN.REMOTE_IP_RANGES
: liste des plages d'adresses IP du réseau de pairs, séparées par des virgules. Il s'agit de la partie s'affichant à droite de la page Cloud VPN.
Pour configurer un tunnel VPN basé sur des règles, exécutez la commande suivante :
gcloud compute vpn-tunnels create TUNNEL_NAME \ --peer-address=ON_PREM_IP \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --local-traffic-selector=LOCAL_IP_RANGES \ --remote-traffic-selector=REMOTE_IP_RANGES \ --target-vpn-gateway=GW_NAME \ --region=REGION \ --project=PROJECT_ID
Pour les VPN basés sur des routes, les sélecteurs de trafic local et distant correspondent à
0.0.0.0/0
comme défini dans la section Options de routage et sélecteurs de trafic.Pour configurer un tunnel VPN basé sur des routes, exécutez la commande suivante:
gcloud compute vpn-tunnels create TUNNEL_NAME \ --peer-address=ON_PREM_IP \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --local-traffic-selector=0.0.0.0/0 \ --remote-traffic-selector=0.0.0.0/0 \ --target-vpn-gateway=GW_NAME \ --region=REGION \ --project=PROJECT_ID
Créez une route statique pour chaque plage d'adresses IP distantes spécifiée dans l'option
--remote-traffic-selector
à l'étape précédente. Répétez cette commande pour chaque plage d'adresses IP distantes. RemplacezROUTE_NAME
par le nom unique de la route, etREMOTE_IP_RANGE
par la plage d'adresses IP distantes appropriée.gcloud compute routes create ROUTE_NAME \ --destination-range=REMOTE_IP_RANGE \ --next-hop-vpn-tunnel=TUNNEL_NAME \ --network=NETWORK \ --next-hop-vpn-tunnel-region=REGION \ --project=PROJECT_ID
Terminer la configuration
Pour utiliser une nouvelle passerelle Cloud VPN et son tunnel VPN associé, procédez comme suit :
- Configurez la passerelle VPN de pairs, puis configurez-y le tunnel correspondant. Pour obtenir des instructions, consultez la page suivante :
- Pour obtenir des instructions spécifiques sur la configuration de certains appareils VPN de pairs, consultez la page Utiliser des VPN tiers.
- Pour en savoir plus sur les paramètres de configuration généraux, consultez la page Configurer la passerelle VPN de pairs.
- Configurez les règles de pare-feu dans Google Cloud et votre réseau de pairs, si nécessaire.
- Vérifiez l'état de votre tunnel VPN et de vos règles de transfert.
Affichez vos routes VPN en accédant à la table de routage du projet et en filtrant sur le
Next hop type:VPN tunnel
:
Étapes suivantes
- Pour contrôler les adresses IP autorisées pour les passerelles VPN de pairs, consultez la page Limiter les adresses IP pour les passerelles VPN de pairs.
- Pour utiliser des scénarios à haute disponibilité et à haut débit, ou des scénarios à plusieurs sous-réseaux, consultez la section Configurations avancées.
- Pour vous aider à résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud VPN, consultez la page Dépannage.