Klassisches VPN-Gateway mit statischem Routing erstellen

Auf dieser Seite wird beschrieben, wie Sie mit statischem Routing ein klassisches VPN-Gateway und einen Tunnel erstellen. Dieser Tunnel ist entweder ein richtlinienbasierter oder ein routenbasierter Tunnel.

Bei einem routenbasierten VPN geben Sie nur die Remote-Trafficauswahl an. Wenn Sie eine lokale Trafficauswahl angeben möchten, erstellen Sie einen Cloud VPN-Tunnel mit richtlinienbasiertem Routing.

Klassisches VPN unterstützt IPv6 nicht.

Weitere Informationen zu Cloud VPN finden Sie in den folgenden Ressourcen:

Routingoptionen

Wenn Sie die Google Cloud Console zum Erstellen eines richtlinienbasierten Tunnels verwenden, führt Classic VPN die folgenden Aufgaben aus:

  • Legt die lokale Trafficauswahl des Tunnels auf den von Ihnen angegebenen IP-Bereich fest
  • Legt die Remote-Trafficauswahl des Tunnels auf die IP-Bereiche fest, die Sie in IP-Bereiche des Remote-Netzwerks angeben
  • Für jeden Bereich in IP-Bereichen des Remote-Netzwerks erstellt Google Cloud eine benutzerdefinierte statische Route, deren Ziel (Präfix) das CIDR des Bereichs ist und deren nächster Hop der Tunnel ist.

Nachdem Sie einen richtlinienbasierten klassischen VPN-Tunnel erstellt haben, werden die IP-Bereiche, die Sie in das Feld IP-Bereiche des Remote-Netzwerks eingegeben haben, auf der Seite mit den Details des VPN-Tunnels als Beworbene IP-Adresse angezeigt.

Wenn Sie die Google Cloud Console verwenden, um einen routenbasierten Tunnel zu erstellen, führt klassisches VPN die folgenden Aufgaben aus:

  • Legt die lokalen und Remote-Trafficauswahlen des Tunnels auf eine beliebige IP-Adresse fest (0.0.0.0/0)
  • Für jeden Bereich in IP-Bereichen des Remote-Netzwerks erstellt Google Cloud eine benutzerdefinierte statische Route, deren Ziel (Präfix) das CIDR des Bereichs ist und deren nächster Hop der Tunnel ist.

Wenn Sie über das Google Cloud CLI entweder einen richtlinienbasierten oder einen routenbasierten Tunnel erstellen, wird die Trafficauswahl für den Tunnel auf die gleiche Weise definiert. Da die benutzerdefinierten statischen Routen jedoch mit separaten Befehlen erstellt werden, haben Sie mehr Kontrolle über diese Routen.

Die Anzahl der CIDRs, die Sie in einer Trafficauswahl angeben können, hängt von der IKE-Version ab.

Wichtige Hintergrundinformationen hierzu finden Sie hier:

Hinweis

Richten Sie die folgenden Elemente in Google Cloud ein, um das Konfigurieren von Cloud VPN zu vereinfachen:

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.
  5. To initialize the gcloud CLI, run the following command:

    gcloud init
  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Make sure that billing is enabled for your Google Cloud project.

  8. Install the Google Cloud CLI.
  9. To initialize the gcloud CLI, run the following command:

    gcloud init
  1. Wenn Sie das Google Cloud CLI verwenden, legen Sie Ihre Projekt-ID mit dem folgenden Befehl fest. Die gcloud-Anweisungen auf dieser Seite setzen voraus, dass Sie Ihre Projekt-ID festgelegt haben, bevor Sie Befehle verwenden.

        gcloud config set project PROJECT_ID
        
  1. Sie können auch eine Projekt-ID aufrufen, die bereits festgelegt wurde, indem Sie den folgenden Befehl ausführen:

        gcloud config list --format='text(core.project)'
        

Benutzerdefiniertes VPC-Netzwerk und -Subnetz erstellen

Bevor Sie ein klassisches VPN-Gateway und einen Tunnel erstellen, müssen Sie ein VPC-Netzwerk (Virtual Private Cloud) und mindestens ein Subnetz in der Region erstellen, in der sich das klassische VPN-Gateway befindet.

Gateway und Tunnel erstellen

Console

Gateway konfigurieren

  1. Rufen Sie in der Google Cloud Console die Seite VPN auf.

    Zu VPN

  2. Wenn Sie zum ersten Mal ein Gateway erstellen, klicken Sie auf VPN-Verbindung erstellen.

  3. Wählen Sie den VPN-Einrichtungsassistenten aus.

  4. Wählen Sie die Optionsschaltfläche Klassisches VPN aus.

  5. Klicken Sie auf Weiter.

  6. Geben Sie auf der Seite VPN-Verbindung erstellen die folgenden Gateway-Einstellungen an:

    • Name: Der Name des VPN-Gateways. der Name kann später nicht mehr geändert werden.
    • Beschreibung: (Optional) Fügen Sie eine Beschreibung hinzu.
    • Netzwerk: Geben Sie ein vorhandenes VPC-Netzwerk an, in dem das VPN-Gateway und der Tunnel erstellt werden sollen.
    • Region: Cloud VPN-Gateways und Tunnel sind regionale Objekte. Wählen Sie eine Google Cloud-Region aus, in der sich das Gateway befinden soll. Instanzen und andere Ressourcen in unterschiedlichen Regionen können den Tunnel für ausgehenden Traffic entsprechend der Reihenfolge der Routen verwenden. Für eine optimale Leistung sollten sich das Gateway und der Tunnel in derselben Region wie relevante Google Cloud-Ressourcen befinden.
    • IP-Adresse: Erstellen Sie eine regionale externe IP-Adresse oder wählen Sie eine vorhandene Adresse aus.

Tunnel konfigurieren

  1. Geben Sie für den neuen Tunnel im Abschnitt Tunnel die folgenden Einstellungen an:

    • Name: Der Name des VPN-Tunnels. der Name kann später nicht mehr geändert werden.
    • Beschreibung: Geben Sie optional eine Beschreibung ein.
    • Remote-Peer-IP-Adresse: Geben Sie die externe IP-Adresse des Peer-VPN-Gateways an.
    • IKE-Version: Wählen Sie die geeignete IKE-Version aus, die vom Peer-VPN-Gateway unterstützt wird. IKEv2 wird bevorzugt, wenn es vom Peer-Gerät unterstützt wird.
    • Vorinstallierter IKE-Schlüssel: Geben Sie für die Authentifizierung einen vorinstallierten Schlüssel (gemeinsames Secret) an. Der vorinstallierte Schlüssel für den Cloud VPN-Tunnel muss mit dem Secret übereinstimmen, das Sie beim Konfigurieren des Tunnelgegenstücks auf dem Peer-VPN-Gateway angegeben haben. Folgen Sie dieser Anleitung, um einen kryptografisch starken vorinstallierten Schlüssel zu generieren.

    Für richtlinienbasierte Tunnel

    1. Wählen Sie unter Weiterleitungsoptionen die Option Richtlinienbasiert aus.
    2. Erstellen Sie unter IP-Bereiche des Remote-Netzwerks eine durch Leerzeichen getrennte Liste der IP-Bereiche, die vom Peer-Netzwerk verwendet werden. Dies ist die Remote-Trafficauswahl oder aus Sicht von Cloud VPN die rechte Seite.

      Nachdem Sie einen richtlinienbasierten klassischen VPN-Tunnel erstellt haben, werden die IP-Bereiche, die Sie in das Feld IP-Bereiche des Remote-Netzwerks eingegeben haben, auf der Seite mit den Details des VPN-Tunnels als Beworbene IP-Adresse angezeigt.

    3. Wählen Sie unter Lokale IP-Bereiche eine der folgenden Methoden aus:

      • Verwenden Sie das Menü Lokale Subnetze, um einen vorhandenen lokalen IP-Bereich auszuwählen.
      • Geben Sie im Feld Lokale IP-Bereiche eine Liste der durch Leerzeichen getrennten IP-Bereiche ein, die in Ihrem VPC-Netzwerk verwendet werden. Wichtige Überlegungen finden Sie unter Richtlinienbasierte Tunnel- und Trafficauswahl.

    Für routenbasierte Tunnel

    1. Wählen Sie unter Routingoptionen die Option Routenbasiert aus.
    2. Erstellen Sie unter IP-Bereiche des Remote-Netzwerks eine durch Leerzeichen getrennte Liste der IP-Bereiche, die vom Peer-Netzwerk verwendet werden. Diese Bereiche werden verwendet, um benutzerdefinierte statische Routen zu erstellen, deren nächster Hop dieser VPN-Tunnel ist.
  2. Wenn Sie mehrere Tunnel auf demselben Gateway erstellen möchten, klicken Sie auf Tunnel hinzufügen und wiederholen Sie den vorherigen Schritt. Sie können auch später weitere Tunnel hinzufügen.

  3. Klicken Sie auf Erstellen.

gcloud

Führen Sie die folgende Befehlssequenz aus, um ein Cloud VPN-Gateway zu erstellen. Ersetzen Sie in den Befehlen Folgendes:

  • PROJECT_ID: die Projekt-ID
  • NETWORK: der Name Ihres Google Cloud-Netzwerks
  • REGION: die Google Cloud-Region, in der Sie das Gateway und den Tunnel erstellen
  • GW_NAME: der Name des Gateways
  • GW_IP_NAME: ein Name für die externe IP-Adresse, die vom Gateway verwendet wird
  • (Optional) --target-vpn-gateway-region ist die Region des klassischen VPN-Gateways, in der der Vorgang ausgeführt werden soll. Der Wert muss mit --region übereinstimmen. Wenn sie nicht angegeben ist, wird diese Option automatisch festgelegt. Diese Option überschreibt für diesen Befehlsaufruf den Standardwert des Attributs compute/region.

Gateway-Ressourcen konfigurieren

  1. Erstellen Sie das Zielobjekt für das VPN-Gateway:

    gcloud compute target-vpn-gateways create GW_NAME \
       --network=NETWORK \
       --region=REGION \
       --project=PROJECT_ID
    
  2. Reservieren Sie eine regionale externe (statische) IP-Adresse.

    gcloud compute addresses create GW_IP_NAME \
       --region=REGION \
       --project=PROJECT_ID
    
  3. Notieren Sie die IP-Adresse, damit Sie sie bei der Konfiguration Ihres Peer-VPN-Gateways verwenden können:

    gcloud compute addresses describe GW_IP_NAME \
       --region=REGION \
       --project=PROJECT_ID \
       --format='flattened(address)'
    
  4. Erstellen Sie drei Weiterleitungsregeln. Mit diesen Regeln wird Google Cloud angewiesen, Traffic vom Typ ESP (IPsec), UDP 500 und UDP 4500 an das Gateway zu senden:

    gcloud compute forwarding-rules create fr-GW_NAME-esp \
       --load-balancing-scheme=EXTERNAL \
       --network-tier=PREMIUM \
       --ip-protocol=ESP \
       --address=GW_IP_NAME \
       --target-vpn-gateway=GW_NAME \
       --region=REGION \
       --project=PROJECT_ID
    
    gcloud compute forwarding-rules create fr-GW_NAME-udp500 \
       --load-balancing-scheme=EXTERNAL \
       --network-tier=PREMIUM \
       --ip-protocol=UDP \
       --ports=500 \
       --address=GW_IP_NAME \
       --target-vpn-gateway=GW_NAME \
       --region=REGION \
       --project=PROJECT_ID
    
    gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \
       --load-balancing-scheme=EXTERNAL \
       --network-tier=PREMIUM \
       --ip-protocol=UDP \
       --ports=4500 \
       --address=GW_IP_NAME \
       --target-vpn-gateway=GW_NAME \
       --region=REGION \
       --project=PROJECT_ID
    

Cloud VPN-Tunnel erstellen

  1. Ersetzen Sie in den Befehlen Folgendes:

    • TUNNEL_NAME: ein Name für den Tunnel
    • ON_PREM_IP: die externe IP-Adresse des Peer-VPN-Gateways
    • IKE_VERS: 1 für IKEv1 oder 2 für IKEv2
    • SHARED_SECRET: Ihr vorinstallierter Schlüssel (gemeinsames Secret). Der vorinstallierte Schlüssel für den Cloud VPN-Tunnel muss mit dem Secret übereinstimmen, das Sie beim Konfigurieren des Tunnelgegenstücks auf dem Peer-VPN-Gateway angegeben haben. Folgen Sie dieser Anleitung, um einen kryptografisch starken vorinstallierten Schlüssel zu generieren.

    Für richtlinienbasiertes VPN:

    • LOCAL_IP_RANGES: eine durch Kommas getrennte Liste der Google Cloud-IP-Bereiche. Sie können beispielsweise den CIDR-Block für jedes Subnetz in einem VPC-Netzwerk bereitstellen. Dies ist aus der Sicht von Cloud VPN die linke Seite.
    • REMOTE_IP_RANGES: eine durch Kommas getrennte Liste der IP-Bereiche des Peering-Netzwerks. Dies ist aus Sicht von Cloud VPN die rechte Seite.

    Führen Sie zum Konfigurieren eines richtlinienbasierten VPN-Tunnels folgenden Befehl aus:

    gcloud compute vpn-tunnels create TUNNEL_NAME \
        --peer-address=ON_PREM_IP \
        --ike-version=IKE_VERS \
        --shared-secret=SHARED_SECRET \
        --local-traffic-selector=LOCAL_IP_RANGES \
        --remote-traffic-selector=REMOTE_IP_RANGES \
        --target-vpn-gateway=GW_NAME \
        --region=REGION \
        --project=PROJECT_ID
    

    Für routenbasiertes VPN sind sowohl die lokalen als auch die Remote-Trafficauswahlen 0.0.0.0/0, wie unter Routingoptionen und Trafficauswahlen definiert.

    Führen Sie zum Konfigurieren eines routenbasierten VPN-Tunnels folgenden Befehl aus:

    gcloud compute vpn-tunnels create TUNNEL_NAME \
        --peer-address=ON_PREM_IP \
        --ike-version=IKE_VERS \
        --shared-secret=SHARED_SECRET \
        --local-traffic-selector=0.0.0.0/0 \
        --remote-traffic-selector=0.0.0.0/0 \
        --target-vpn-gateway=GW_NAME \
        --region=REGION \
        --project=PROJECT_ID
    
  2. Erstellen Sie eine statische Route für jeden Remote-IP-Bereich, den Sie im vorherigen Schritt in der Option --remote-traffic-selector angegeben haben. Wiederholen Sie diesen Befehl für jeden Remote-IP-Bereich. Ersetzen Sie ROUTE_NAME durch einen eindeutigen Namen für die Route und REMOTE_IP_RANGE durch den entsprechenden Remote-IP-Bereich.

    gcloud compute routes create ROUTE_NAME \
        --destination-range=REMOTE_IP_RANGE \
        --next-hop-vpn-tunnel=TUNNEL_NAME \
        --network=NETWORK \
        --next-hop-vpn-tunnel-region=REGION \
        --project=PROJECT_ID
    

Konfiguration abschließen

Führen Sie die folgenden Schritte aus, bevor Sie ein neues Cloud VPN-Gateway und die zugehörigen VPN-Tunnel verwenden können:

  1. Richten Sie das Peer-VPN-Gateway ein und konfigurieren Sie darauf den entsprechenden Tunnel. Weitere Informationen finden Sie hier:
  2. Konfigurieren Sie Firewallregeln in Google Cloud und Ihrem Peer-Netzwerk nach Bedarf.
  3. Prüfen Sie den Status Ihres VPN-Tunnels und Ihrer Weiterleitungsregeln.
  4. Rufen Sie Ihre VPN-Routen auf, indem Sie die Projektroutingtabelle aufrufen und nach Next hop type:VPN tunnel filtern:

    Zur Seite „Routes“

Nächste Schritte