Klassisches VPN-Gateway mit statischem Routing erstellen

Auf dieser Seite wird beschrieben, wie Sie mit statischem Routing ein klassisches VPN-Gateway und einen Tunnel erstellen. Dieser Tunnel ist entweder ein richtlinienbasierter oder ein routenbasierter Tunnel.

Bei einem routenbasierten VPN geben Sie nur die Remote-Trafficauswahl an. Wenn Sie eine lokale Trafficauswahl angeben möchten, erstellen Sie einen Cloud VPN-Tunnel mit richtlinienbasiertem Routing.

Klassisches VPN unterstützt IPv6 nicht.

Weitere Informationen zu Cloud VPN finden Sie in den folgenden Ressourcen:

Best Practices für die Einrichtung von Cloud VPN finden Sie unter Best Practices.
Weitere Informationen zu Cloud VPN finden Sie unter Cloud VPN – Übersicht.
Definitionen der auf dieser Seite verwendeten Begriffe finden Sie unter Wichtige Begriffe.

Routingoptionen

Wenn Sie die Google Cloud Console zum Erstellen eines richtlinienbasierten Tunnels verwenden, führt Classic VPN die folgenden Aufgaben aus:

Legt die lokale Trafficauswahl des Tunnels auf den von Ihnen angegebenen IP-Bereich fest
Legt die Remote-Trafficauswahl des Tunnels auf die IP-Bereiche fest, die Sie in IP-Bereiche des Remote-Netzwerks angeben
Für jeden Bereich in IP-Bereichen des Remote-Netzwerks erstellt Google Cloud eine benutzerdefinierte statische Route, deren Ziel (Präfix) das CIDR des Bereichs ist und deren nächster Hop der Tunnel ist.

Nachdem Sie einen richtlinienbasierten klassischen VPN-Tunnel erstellt haben, werden die IP-Bereiche, die Sie in das Feld IP-Bereiche des Remote-Netzwerks eingegeben haben, auf der Seite mit den Details des VPN-Tunnels als Beworbene IP-Adresse angezeigt.

Wenn Sie die Google Cloud Console verwenden, um einen routenbasierten Tunnel zu erstellen, führt klassisches VPN die folgenden Aufgaben aus:

Legt die lokalen und Remote-Trafficauswahlen des Tunnels auf eine beliebige IP-Adresse fest (0.0.0.0/0)
Für jeden Bereich in IP-Bereichen des Remote-Netzwerks erstellt Google Cloud eine benutzerdefinierte statische Route, deren Ziel (Präfix) das CIDR des Bereichs ist und deren nächster Hop der Tunnel ist.

Wenn Sie über das Google Cloud CLI entweder einen richtlinienbasierten oder einen routenbasierten Tunnel erstellen, wird die Trafficauswahl für den Tunnel auf die gleiche Weise definiert. Da die benutzerdefinierten statischen Routen jedoch mit separaten Befehlen erstellt werden, haben Sie mehr Kontrolle über diese Routen.

Die Anzahl der CIDRs, die Sie in einer Trafficauswahl angeben können, hängt von der IKE-Version ab.

Wichtige Hintergrundinformationen hierzu finden Sie hier:

Hinweis

Richten Sie die folgenden Elemente in Google Cloud ein, um das Konfigurieren von Cloud VPN zu vereinfachen:

Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

Zur Projektauswahl

Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

Installieren Sie die Google Cloud CLI.

Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

Zur Projektauswahl

Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

Installieren Sie die Google Cloud CLI.

Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

Wenn Sie das Google Cloud CLI verwenden, legen Sie Ihre Projekt-ID mit dem folgenden Befehl fest. Die gcloud-Anweisungen auf dieser Seite setzen voraus, dass Sie Ihre Projekt-ID festgelegt haben, bevor Sie Befehle verwenden.
```
    gcloud config set project PROJECT_ID
    
```

Sie können auch eine Projekt-ID aufrufen, die bereits festgelegt wurde, indem Sie den folgenden Befehl ausführen:
```
    gcloud config list --format='text(core.project)'
    
```

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe müssen Sie die folgenden Berechtigungen oder die folgenden IAM-Rollen haben.

Berechtigungen

compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.targetVpnGateways.create
compute.targetVpnGateways.delete
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.targetVpnGateways.use
compute.targetVpnGateways.setLabels

Rollen

roles/compute.networkAdmin

Benutzerdefiniertes VPC-Netzwerk und -Subnetz erstellen

Bevor Sie ein klassisches VPN-Gateway und einen Tunnel erstellen, müssen Sie ein VPC-Netzwerk (Virtual Private Cloud) und mindestens ein Subnetz in der Region erstellen, in der sich das klassische VPN-Gateway befindet.

Informationen zum Erstellen eines VPC-Netzwerks im benutzerdefinierten Modus (empfohlen) finden Sie unter VPC-Netzwerk im benutzerdefinierten Modus erstellen.
Informationen zum Erstellen von Subnetzen finden Sie unter Mit Subnetzen arbeiten.

Gateway und Tunnel erstellen

Console

Gateway konfigurieren

Rufen Sie in der Google Cloud Console die Seite VPN auf.

Zu VPN
Wenn Sie zum ersten Mal ein Gateway erstellen, klicken Sie auf VPN-Verbindung erstellen.
Wählen Sie den VPN-Einrichtungsassistenten aus.
Wählen Sie die Optionsschaltfläche Klassisches VPN aus.
Klicken Sie auf Weiter.
Geben Sie auf der Seite VPN-Verbindung erstellen die folgenden Gateway-Einstellungen an:
- Name: Der Name des VPN-Gateways. der Name kann später nicht mehr geändert werden.
- Beschreibung: (Optional) Fügen Sie eine Beschreibung hinzu.
- Netzwerk: Geben Sie ein vorhandenes VPC-Netzwerk an, in dem das VPN-Gateway und der Tunnel erstellt werden sollen.
- Region: Cloud VPN-Gateways und Tunnel sind regionale Objekte. Wählen Sie eine Google Cloud-Region aus, in der sich das Gateway befinden soll. Instanzen und andere Ressourcen in unterschiedlichen Regionen können den Tunnel für ausgehenden Traffic entsprechend der Reihenfolge der Routen verwenden. Für eine optimale Leistung sollten sich das Gateway und der Tunnel in derselben Region wie relevante Google Cloud-Ressourcen befinden.
- IP-Adresse: Erstellen Sie eine regionale externe IP-Adresse oder wählen Sie eine vorhandene Adresse aus.

Tunnel konfigurieren

Geben Sie für den neuen Tunnel im Abschnitt Tunnel die folgenden Einstellungen an:
- Name: Der Name des VPN-Tunnels. der Name kann später nicht mehr geändert werden.
- Beschreibung: Geben Sie optional eine Beschreibung ein.
- Remote-Peer-IP-Adresse: Geben Sie die externe IP-Adresse des Peer-VPN-Gateways an.
- IKE-Version: Wählen Sie die geeignete IKE-Version aus, die vom Peer-VPN-Gateway unterstützt wird. IKEv2 wird bevorzugt, wenn es vom Peer-Gerät unterstützt wird.
  Bekanntes Problem: Verwenden Sie beim Konfigurieren von VPN-Tunneln zu AWS das IKEv2-Verschlüsselungsprotokoll und wählen Sie weniger AWS-Transform-Sets aus, da die Neuverschlüsselung des Cloud VPN-Tunnels andernfalls möglicherweise fehlschlägt. Wählen Sie zum Beispiel eine Kombination aus Verschlüsselungsalgorithmen für eine einzelne Phase 1 und Phase 2, Integritätsalgorithmen und DH-Gruppennummern aus.
  
  Das Neuverschlüsselungsproblem wird durch eine umfangreiche SA-Nutzlastgröße für den Standardsatz von AWS-Transform-Sets verursacht. Die umfangreiche Nutzlastgröße führt zu einer IP-Fragmentierung von IKE-Paketen auf der AWS-Seite, die von Cloud VPN nicht unterstützt wird.
- Vorinstallierter IKE-Schlüssel: Geben Sie für die Authentifizierung einen vorinstallierten Schlüssel (gemeinsames Secret) an. Der vorinstallierte Schlüssel für den Cloud VPN-Tunnel muss mit dem Secret übereinstimmen, das Sie beim Konfigurieren des Tunnelgegenstücks auf dem Peer-VPN-Gateway angegeben haben. Folgen Sie dieser Anleitung, um einen kryptografisch starken vorinstallierten Schlüssel zu generieren.
Für richtlinienbasierte Tunnel
1. Wählen Sie unter Weiterleitungsoptionen die Option Richtlinienbasiert aus.
2. Erstellen Sie unter IP-Bereiche des Remote-Netzwerks eine durch Leerzeichen getrennte Liste der IP-Bereiche, die vom Peer-Netzwerk verwendet werden. Dies ist die Remote-Trafficauswahl oder aus Sicht von Cloud VPN die rechte Seite.
  
  Nachdem Sie einen richtlinienbasierten klassischen VPN-Tunnel erstellt haben, werden die IP-Bereiche, die Sie in das Feld IP-Bereiche des Remote-Netzwerks eingegeben haben, auf der Seite mit den Details des VPN-Tunnels als Beworbene IP-Adresse angezeigt.
3. Wählen Sie unter Lokale IP-Bereiche eine der folgenden Methoden aus:
  - Verwenden Sie das Menü Lokale Subnetze, um einen vorhandenen lokalen IP-Bereich auszuwählen.
  - Geben Sie im Feld Lokale IP-Bereiche eine Liste der durch Leerzeichen getrennten IP-Bereiche ein, die in Ihrem VPC-Netzwerk verwendet werden. Wichtige Überlegungen finden Sie unter Richtlinienbasierte Tunnel- und Trafficauswahl.
Für routenbasierte Tunnel
1. Wählen Sie unter Routingoptionen die Option Routenbasiert aus.
2. Erstellen Sie unter IP-Bereiche des Remote-Netzwerks eine durch Leerzeichen getrennte Liste der IP-Bereiche, die vom Peer-Netzwerk verwendet werden. Diese Bereiche werden verwendet, um benutzerdefinierte statische Routen zu erstellen, deren nächster Hop dieser VPN-Tunnel ist.
Wenn Sie mehrere Tunnel auf demselben Gateway erstellen möchten, klicken Sie auf Tunnel hinzufügen und wiederholen Sie den vorherigen Schritt. Sie können auch später weitere Tunnel hinzufügen.
Klicken Sie auf Erstellen.

gcloud

Führen Sie die folgende Befehlssequenz aus, um ein Cloud VPN-Gateway zu erstellen. Ersetzen Sie in den Befehlen Folgendes:

PROJECT_ID: die Projekt-ID
NETWORK: der Name Ihres Google Cloud-Netzwerks
REGION: die Google Cloud-Region, in der Sie das Gateway und den Tunnel erstellen
GW_NAME: der Name des Gateways
GW_IP_NAME: ein Name für die externe IP-Adresse, die vom Gateway verwendet wird
(Optional) --target-vpn-gateway-region ist die Region des klassischen VPN-Gateways, in der der Vorgang ausgeführt werden soll. Der Wert muss mit --region übereinstimmen. Wenn sie nicht angegeben ist, wird diese Option automatisch festgelegt. Diese Option überschreibt für diesen Befehlsaufruf den Standardwert des Attributs compute/region.

Gateway-Ressourcen konfigurieren

Erstellen Sie das Zielobjekt für das VPN-Gateway:

gcloud compute target-vpn-gateways create GW_NAME \
   --network=NETWORK \
   --region=REGION \
   --project=PROJECT_ID

Reservieren Sie eine regionale externe (statische) IP-Adresse.

gcloud compute addresses create GW_IP_NAME \
   --region=REGION \
   --project=PROJECT_ID

Notieren Sie die IP-Adresse, damit Sie sie bei der Konfiguration Ihres Peer-VPN-Gateways verwenden können:

gcloud compute addresses describe GW_IP_NAME \
   --region=REGION \
   --project=PROJECT_ID \
   --format='flattened(address)'

Erstellen Sie drei Weiterleitungsregeln. Mit diesen Regeln wird Google Cloud angewiesen, Traffic vom Typ ESP (IPsec), UDP 500 und UDP 4500 an das Gateway zu senden:

gcloud compute forwarding-rules create fr-GW_NAME-esp \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=ESP \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

gcloud compute forwarding-rules create fr-GW_NAME-udp500 \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=UDP \
   --ports=500 \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=UDP \
   --ports=4500 \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

Cloud VPN-Tunnel erstellen

Ersetzen Sie in den Befehlen Folgendes:
- TUNNEL_NAME: ein Name für den Tunnel
- ON_PREM_IP: die externe IP-Adresse des Peer-VPN-Gateways
- IKE_VERS: 1 für IKEv1 oder 2 für IKEv2
  Bekanntes Problem: Verwenden Sie beim Konfigurieren von VPN-Tunneln zu AWS das IKEv2-Verschlüsselungsprotokoll und wählen Sie weniger AWS-Transform-Sets aus. Andernfalls kann der Cloud VPN-Tunnel nicht neu verschlüsselt werden. Wählen Sie zum Beispiel eine Kombination aus Verschlüsselungsalgorithmen für eine einzelne Phase 1 und Phase 2, Integritätsalgorithmen und DH-Gruppennummern aus.
  
  Das Neuverschlüsselungsproblem wird durch eine umfangreiche SA-Nutzlastgröße für den Standardsatz von AWS-Transform-Sets verursacht. Die umfangreiche Nutzlastgröße führt zu einer IP-Fragmentierung von IKE-Paketen auf der AWS-Seite, die von Cloud VPN nicht unterstützt wird.
- SHARED_SECRET: Ihr vorinstallierter Schlüssel (gemeinsames Secret). Der vorinstallierte Schlüssel für den Cloud VPN-Tunnel muss mit dem Secret übereinstimmen, das Sie beim Konfigurieren des Tunnelgegenstücks auf dem Peer-VPN-Gateway angegeben haben. Folgen Sie dieser Anleitung, um einen kryptografisch starken vorinstallierten Schlüssel zu generieren.
Für richtlinienbasiertes VPN:
- LOCAL_IP_RANGES: eine durch Kommas getrennte Liste der Google Cloud-IP-Bereiche. Sie können beispielsweise den CIDR-Block für jedes Subnetz in einem VPC-Netzwerk bereitstellen. Dies ist aus der Sicht von Cloud VPN die linke Seite.
- REMOTE_IP_RANGES: eine durch Kommas getrennte Liste der IP-Bereiche des Peering-Netzwerks. Dies ist aus Sicht von Cloud VPN die rechte Seite.
Führen Sie zum Konfigurieren eines richtlinienbasierten VPN-Tunnels folgenden Befehl aus:
```
gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=LOCAL_IP_RANGES \
    --remote-traffic-selector=REMOTE_IP_RANGES \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID
```
Für routenbasiertes VPN sind sowohl die lokalen als auch die Remote-Trafficauswahlen 0.0.0.0/0, wie unter Routingoptionen und Trafficauswahlen definiert.

Führen Sie zum Konfigurieren eines routenbasierten VPN-Tunnels folgenden Befehl aus:
```
gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=0.0.0.0/0 \
    --remote-traffic-selector=0.0.0.0/0 \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID
```
Erstellen Sie eine statische Route für jeden Remote-IP-Bereich, den Sie im vorherigen Schritt in der Option --remote-traffic-selector angegeben haben. Wiederholen Sie diesen Befehl für jeden Remote-IP-Bereich. Ersetzen Sie ROUTE_NAME durch einen eindeutigen Namen für die Route und REMOTE_IP_RANGE durch den entsprechenden Remote-IP-Bereich.
```
gcloud compute routes create ROUTE_NAME \
    --destination-range=REMOTE_IP_RANGE \
    --next-hop-vpn-tunnel=TUNNEL_NAME \
    --network=NETWORK \
    --next-hop-vpn-tunnel-region=REGION \
    --project=PROJECT_ID
```
Hinweis: Der Befehl gcloud zum Erstellen einer Route verwendet die Standardpriorität 1000. Wenn Sie eine Route mit höherer Priorität erstellen müssen, verwenden Sie beim Erstellen der Route das Flag --priority mit einer niedrigeren Nummer. Die Priorität einer einmal erstellten Route kann nicht mehr geändert werden. Sie haben aber die Möglichkeit, die benutzerdefinierte statische Route zu löschen und zu ersetzen, ohne den VPN-Tunnel neu erstellen zu müssen. Weitere Informationen zur Funktionsweise von Routen in Ihrem VPC-Netzwerk finden Sie unter Routenübersicht und Reihenfolge der Routen.

Konfiguration abschließen

Führen Sie die folgenden Schritte aus, bevor Sie ein neues Cloud VPN-Gateway und die zugehörigen VPN-Tunnel verwenden können:

Richten Sie das Peer-VPN-Gateway ein und konfigurieren Sie darauf den entsprechenden Tunnel. Weitere Informationen finden Sie hier:
- Informationen zur Konfiguration bestimmter Peer-VPN-Geräte finden Sie unter Drittanbieter-VPNs verwenden.
- Allgemeine Konfigurationsparameter finden Sie unter Peer-VPN-Gateway konfigurieren.
Konfigurieren Sie Firewallregeln in Google Cloud und Ihrem Peer-Netzwerk nach Bedarf.
Prüfen Sie den Status Ihres VPN-Tunnels und Ihrer Weiterleitungsregeln.
Rufen Sie Ihre VPN-Routen auf, indem Sie die Projektroutingtabelle aufrufen und nach Next hop type:VPN tunnel filtern:

Zur Seite „Routes“

Nächste Schritte

Informationen zum Steuern der zulässigen IP-Adressen für Peer-VPN-Gateways finden Sie unter IP-Adressen für Peer-VPN-Gateways einschränken.
Unter Erweiterte Konfigurationen finden Sie Szenarien mit Hochverfügbarkeit und hohem Durchsatz bzw. Szenarien mit mehreren Subnetzen.
Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.