Créer un VPN classique à l'aide d'un routage statique

Cette page explique comment utiliser le routage statique pour créer une passerelle VPN classique et un tunnel. Ce tunnel se base sur des règles ou sur des routes.

Avec un VPN basé sur des routes, vous spécifiez uniquement le sélecteur de trafic distant. Si vous devez spécifier un sélecteur de trafic local, créez un tunnel Cloud VPN utilisant un routage basé sur des règles.

Pour en savoir plus sur Cloud VPN, consultez les ressources suivantes:

Pour découvrir les bonnes pratiques à suivre avant de configurer Cloud VPN, consultez la page Bonnes pratiques pour Cloud VPN.
Pour en savoir plus sur Cloud VPN, consultez la Présentation de Cloud VPN.
Pour connaître la définition des termes utilisés sur cette page, consultez la section Termes clés.

Routing options (Options de routage)

Lorsque vous créez un tunnel basé sur des règles à l'aide de Google Cloud Console, le VPN classique effectue les tâches suivantes:

Il définit le sélecteur de trafic local du tunnel sur la plage d'adresses IP que vous spécifiez.
Il définit le sélecteur de trafic distant du tunnel sur les plages d'adresses IP que vous spécifiez dans le champ Plages d'adresses IP du réseau distant.
Pour chaque plage disponible dans Plages d'adresses IP du réseau distant, Google Cloud crée une route statique personnalisée dont la destination (préfixe) correspond au CIDR de la plage et dont le saut suivant correspond au tunnel.

Lorsque vous utilisez Cloud Console pour créer un tunnel basé sur des routes, le VPN classique effectue les tâches suivantes:

Il définit les sélecteurs de trafic local et distant du tunnel sur n'importe quelle adresse IP (0.0.0.0/0).
Pour chaque plage disponible dans Plages d'adresses IP du réseau distant, Google Cloud crée une route statique personnalisée dont la destination (préfixe) correspond au CIDR de la plage et dont le saut suivant correspond au tunnel.

Lorsque vous utilisez l'outil de ligne de commande gcloud pour créer un tunnel basé sur des règles ou un tunnel basé sur des routes, les sélecteurs de trafic du tunnel sont définis de la même manière. Vous disposez pourtant d'un contrôle accru de ces routes, car la création de routes statiques personnalisées s'effectue à l'aide de commandes distinctes.

Le nombre de CIDR que vous pouvez spécifier dans un sélecteur de trafic dépend de la version d'IKE.

Pour obtenir des informations générales importantes sur le sujet, consultez les ressources suivantes:

Avant de commencer

Configurez les éléments suivants dans Google Cloud pour faciliter la configuration de Cloud VPN:

Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

Remarque : Si vous ne comptez pas conserver les ressources créées dans cette procédure, créez un projet au lieu de sélectionner un projet existant. Après avoir suivi ces étapes, vous pouvez supprimer le projet. Cela entraîne la suppression de toutes les ressources qui lui sont associées.

Accéder au sélecteur de projet

Assurez-vous que la facturation est activée pour votre projet Cloud. Découvrez comment vérifier que la facturation est activée pour votre projet.

Installez et initialisez le SDK Cloud.

Si vous utilisez l'outil de ligne de commande gcloud, définissez votre ID de projet à l'aide de la commande suivante. Dans les instructions gcloud présentées sur cette page, nous partons du principe que vous avez défini l'ID de votre projet avant d'exécuter les commandes.
```
    gcloud config set project PROJECT_ID
    
```

Vous pouvez également afficher un ID de projet déjà défini en exécutant la commande suivante:
```
    gcloud config list --format='text(core.project)'
    
```

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez avoir reçu les autorisations OU les rôles IAM suivants :

Autorisations

compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.targetVpnGateways.create
compute.targetVpnGateways.delete
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.targetVpnGateways.use
compute.targetVpnGateways.setLabels

Rôles

roles/compute.networkAdmin

Créer un réseau VPC et un sous-réseau personnalisés

Avant de créer une passerelle et un tunnel VPN classiques, créez un réseau cloud privé virtuel (VPC) et au moins un sous-réseau dans la région où réside la passerelle VPN classique:

Pour créer un réseau VPC en mode personnalisé (recommandé), consultez la section Créer un réseau VPC en mode personnalisé.
Pour créer des sous-réseaux, consultez la section Travailler avec des sous-réseaux.

Créer une passerelle et un tunnel

L'assistant de configuration du VPN est la seule option de console permettant de créer une passerelle VPN classique. L'assistant inclut toutes les étapes de configuration nécessaires pour créer une passerelle VPN classique, des tunnels, des sessions BGP et une ressource de passerelle VPN externe. Toutefois, vous pouvez effectuer certaines étapes ultérieurement, telles que la configuration de sessions BGP.

Console

Configurer la passerelle

Dans Google Cloud Console, accédez à la page VPN.

Accéder au VPN
Si vous créez une passerelle pour la première fois, cliquez sur Créer une connexion VPN.
Sélectionnez l'assistant de configuration VPN.
Sélectionnez le bouton d'option VPN classique.
Cliquez sur Continuer.
Sur la page Créer une connexion VPN, spécifiez les paramètres de passerelle suivants :
- Nom : nom de la passerelle VPN. Vous ne pourrez pas le modifier par la suite.
- Description : si vous le souhaitez, vous pouvez ajouter une description.
- Réseau : spécifiez un réseau VPC existant dans lequel créer la passerelle et le tunnel VPN.
- Région : les passerelles et les tunnels Cloud VPN sont des objets régionaux. Choisissez une région Google Cloud dans laquelle la passerelle sera située. Les instances et les autres ressources appartenant à des régions différentes peuvent utiliser le tunnel pour acheminer le trafic de sortie, en suivant l'ordre de priorité des routes. Pour optimiser les performances, situez la passerelle et le tunnel dans la même région que les ressources Google Cloud concernées.
- Adresse IP : créez ou choisissez une adresse IP externe régionale existante.

Configurer les tunnels

Pour le nouveau tunnel, spécifiez les paramètres suivants dans la section Tunnels:
- Nom : nom du tunnel VPN. Vous ne pourrez pas le modifier par la suite.
- Description : si vous le souhaitez, vous pouvez saisir une description.
- Adresse IP du pair distant : spécifiez l'adresse IP externe de la passerelle VPN de pairs.
- Version d'IKE : choisissez une version d'IKE compatible avec la passerelle VPN de pairs. Nous vous recommandons d'utiliser IKEv2 si cette version est compatible avec l'appareil associé.
  Problème connu : Lors de la configuration des tunnels VPN vers AWS, vous devez utiliser le protocole de chiffrement IKEv2 et sélectionner une plus petite quantité d'ensembles de transformation du côté AWS. Sinon, le renouvellement de la clé du tunnel Cloud VPN peut échouer. Par exemple, combinez des algorithmes uniques de chiffrement de phase 1 et de phase 2, des algorithmes d'intégrité et des nombres de groupes DH (Diffie-Hellman).
  
  Ce problème de renouvellement de clé est causé par la taille élevée de la charge utile dédiée à l'association de sécurité pour l'ensemble de transformation AWS par défaut. Cette charge utile de taille élevée fragmente les adresses IP des paquets IKE situés du côté AWS, ce qui n'est pas compatible avec Cloud VPN.
- Clé pré-partagée IKE : fournissez une clé pré-partagée (clé secrète partagée) utilisée pour l'authentification. Cette clé pré-partagée du tunnel Cloud VPN doit correspondre à celle utilisée lors de la configuration du tunnel équivalent sur la passerelle VPN de pairs. Pour générer une clé pré-partagée sécurisée de manière cryptographique, suivez ces instructions.
Pour les tunnels basés sur des règles
1. Sous Options de routage, sélectionnez Basé sur des règles.
2. Sous Plages d'adresses IP du réseau distant, saisissez la liste des plages d'adresses IP utilisées par le réseau de pairs, séparées par des espaces. Il s'agit du sélecteur de trafic distant ou du côté droit du point de vue de Cloud VPN.
3. Sous Plages d'adresses IP locales, sélectionnez l'une des méthodes suivantes :
  - Pour choisir une plage d'adresses IP locale existante, utilisez le menu Sous-réseaux locaux.
  - Pour saisir la liste des plages d'adresses IP séparées par des espaces utilisées dans votre réseau VPC, utilisez le champ Plages d'adresses IP locales. Pour des considérations importantes, consultez la section Tunnels basés sur des règles et sélecteurs de trafic.
Pour les tunnels basés sur des routes
1. Sous Routing options (Options de routage), sélectionnez Route-based (Basé sur le routage).
2. Sous Plages d'adresses IP du réseau distant, saisissez la liste des plages d'adresses IP utilisées par le réseau de pairs, séparées par des espaces. Ces plages servent à créer des routes statiques personnalisées dont le saut suivant correspond à ce tunnel VPN.
Si vous devez créer plusieurs tunnels sur la même passerelle, cliquez sur Ajouter un tunnel et répétez l'étape précédente. Vous pouvez également ajouter d'autres tunnels ultérieurement.
Cliquez sur Create (Créer).

gcloud

Pour créer une passerelle Cloud VPN, suivez la séquence de commandes suivante. Dans les commandes, remplacez les éléments suivants:

PROJECT_ID : ID de votre projet
NETWORK: nom de votre réseau Google Cloud.
REGION: région Google Cloud dans laquelle vous créez la passerelle et le tunnel
GW_NAME: nom de la passerelle
GW_IP_NAME: nom de l'adresse IP externe utilisée par la passerelle.
(Facultatif) --target-vpn-gateway-region correspond à la région de la passerelle VPN classique à utiliser. Sa valeur doit être identique à celle de --region. Si cette option n'est pas spécifiée, elle est définie automatiquement. Cette option ignore la valeur par défaut de la propriété "compute/region" pour cet appel de commande.

Configurer les ressources de la passerelle

Créez l'objet passerelle VPN cible.

gcloud compute target-vpn-gateways create GW_NAME \
   --network=NETWORK \
   --region=REGION \
   --project=PROJECT_ID

Réservez une adresse IP externe régionale (statique).

gcloud compute addresses create GW_IP_NAME \
   --region=REGION \
   --project=PROJECT_ID

Notez l'adresse IP de façon à pouvoir l'utiliser lors de la configuration de votre passerelle VPN de pairs :

gcloud compute addresses describe GW_IP_NAME \
   --region=REGION \
   --project=PROJECT_ID \
   --format='flattened(address)'

Créez trois règles de transfert. ces règles indiquent à Google Cloud d'acheminer le trafic ESP (IPSec), UDP 500 et UDP 4500 vers la passerelle:

gcloud compute forwarding-rules create fr-GW_NAME-esp \
   --ip-protocol=ESP \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

gcloud compute forwarding-rules create fr-GW_NAME-udp500 \
   --ip-protocol=UDP \
   --ports=500 \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \
   --ip-protocol=UDP \
   --ports=4500 \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

Créer le tunnel Cloud VPN

Dans les commandes, remplacez les éléments suivants:
- TUNNEL_NAME: nom du tunnel
- ON_PREM_IP: adresse IP externe de la passerelle VPN de pairs.
- IKE_VERS: 1 pour IKEv1 ou 2 pour IKEv2
  Problème connu: Lorsque vous configurez des tunnels VPN vers AWS, utilisez le protocole de chiffrement IKEv2 et sélectionnez moins d'ensembles de transformation du côté AWS. Sinon, le renouvellement de la clé du tunnel Cloud VPN peut échouer. Par exemple, combinez des algorithmes uniques de chiffrement de phase 1 et de phase 2, des algorithmes d'intégrité et des nombres de groupes DH (Diffie-Hellman).
  
  Ce problème de renouvellement de clé est causé par la taille élevée de la charge utile dédiée à l'association de sécurité pour l'ensemble de transformation AWS par défaut. Cette charge utile de taille élevée fragmente les adresses IP des paquets IKE situés du côté AWS, ce qui n'est pas compatible avec Cloud VPN.
- SHARED_SECRET: votre clé pré-partagée (clé secrète partagée). Cette clé pré-partagée du tunnel Cloud VPN doit correspondre à celle utilisée lors de la configuration du tunnel équivalent sur la passerelle VPN de pairs. Pour générer une clé pré-partagée sécurisée de manière cryptographique, suivez ces instructions.
Pour les VPN basés sur des règles :
- LOCAL_IP_RANGES: liste des plages d'adresses IP Google Cloud, séparées par des virgules. Par exemple, vous pouvez indiquer le bloc CIDR pour chaque sous-réseau d'un réseau VPC. Il s'agit du côté gauche du point de vue de Cloud VPN.
- REMOTE_IP_RANGES: liste des plages d'adresses IP du réseau appairé, séparées par une virgule. Il s'agit du côté droit du point de vue de Cloud VPN.
Pour configurer un tunnel VPN basé sur des règles, exécutez la commande suivante:
```
gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=LOCAL_IP_RANGES \
    --remote-traffic-selector=REMOTE_IP_RANGES \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID
```
Pour les VPN basés sur des routes, les sélecteurs de trafic local et distant correspondent à 0.0.0.0/0 comme défini dans la section Options de routage et sélecteurs de trafic.

Pour configurer un tunnel VPN basé sur des routes, exécutez la commande suivante:
```
gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=0.0.0.0/0 \
    --remote-traffic-selector=0.0.0.0/0 \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID
```
Créez une route statique pour chaque plage d'adresses IP distante spécifiée dans l'option --remote-traffic-selector à l'étape précédente. Répétez cette commande pour chaque plage d'adresses IP distante. Remplacez ROUTE_NAME par un nom unique pour la route et remplacez REMOTE_IP_RANGE par la plage d'adresses IP distante appropriée.
```
gcloud compute routes create ROUTE_NAME \
    --destination-range=REMOTE_IP_RANGE \
    --next-hop-vpn-tunnel=TUNNEL_NAME \
    --network=NETWORK \
    --next-hop-vpn-tunnel-region=REGION \
    --project=PROJECT_ID
```
Remarque : La commande gcloud permettant de créer une route utilise la priorité par défaut 1000. Si vous devez créer une route prioritaire, saisissez une valeur plus faible dans l'option --priority lorsque vous créez la route. Vous ne pouvez pas modifier la priorité d'une route après sa création. Cependant, vous pouvez supprimer et remplacer la route statique personnalisée sans avoir à recréer de tunnel VPN. Pour en savoir plus sur le fonctionnement des routes sur votre réseau VPC, consultez les sections Présentation des routes et Ordre de priorité des routes.

Terminer la configuration

Pour pouvoir utiliser une nouvelle passerelle Cloud VPN et son tunnel VPN associé, procédez comme suit:

Configurez la passerelle VPN de pairs, puis configurez-y le tunnel correspondant. Pour obtenir des instructions, consultez la page suivante :
- Pour obtenir des conseils spécifiques sur la configuration de certains appareils VPN de pairs, consultez la section Utiliser des VPN tiers avec Cloud VPN.
- Pour en savoir plus sur les paramètres de configuration généraux, consultez la page Configurer la passerelle VPN de pairs.
Configurez les règles de pare-feu dans Google Cloud et votre réseau de pairs, si nécessaire.
Vérifiez l'état de votre tunnel VPN et de vos règles de transfert.
Affichez vos routes VPN en accédant à la table de routage du projet et en filtrant sur Next hop type:VPN tunnel:

Accéder à la page Routes

Appliquer une contrainte de règle d'administration limitant les adresses IP de passerelle VPN de pairs

Vous pouvez créer une contrainte de règle d'administration Google Cloud qui définit un ensemble d'adresses IP autorisées ou interdites pour l'appairage à des passerelles VPN via des tunnels VPN classiques ou haute disponibilité. Cette contrainte contient une liste d'autorisation ou une liste de blocage de ces adresses IP de pairs, qui s'applique aux tunnels Cloud VPN que vous créez après l'application de la contrainte. Pour en savoir plus, consultez la section Restreindre les adresses IP de pairs via un tunnel Cloud VPN.

Pour créer une règle d'administration et l'associer à une organisation, un dossier ou un projet, utilisez les exemples répertoriés dans les sections suivantes et suivez les étapes de la page Utiliser des contraintes.

Autorisations requises

Pour définir une contrainte d'adresse IP de pair au niveau de l'organisation ou du projet, vous devez d'abord disposer du rôle Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) pour votre organisation.

Limiter la connectivité à partir d'adresses IP de pairs spécifiques

Pour autoriser uniquement des adresses IP de pairs spécifiques via un tunnel Cloud VPN, procédez comme suit:

Pour rechercher l'ID de votre organisation, exécutez la commande suivante:
```
gcloud organizations list
```
Le résultat de la commande devrait ressembler à ceci :
```
      DISPLAY NAME             ID
      example-organization     29252605212
    
```

Créez un fichier JSON qui définit votre stratégie, comme dans l'exemple suivant:

     {
       "constraint": "constraints/compute.restrictVpnPeersIPs",
       "listPolicy": {
         "allowedValues": [
           "100.1.1.1",
         ],
       }
     }

Définissez la règle d'administration à l'aide de la commande de Resource Manager gcloudset-policy, en transmettant le fichier JSON et en utilisant ORGANIZATION_ID que vous avez trouvé à l'étape précédente.

Limiter la connectivité à partir des adresses IP de pairs

Pour interdire la création de tout nouveau tunnel Cloud VPN, suivez les étapes décrites dans cet exemple de contrainte.

Recherchez l'ID de votre organisation ou l'ID du nœud dans la hiérarchie des ressources où vous souhaitez définir une règle.

Créez un fichier JSON comme dans l'exemple suivant.

    {
      "constraint": "constraints/compute.restrictVpnPeersIPs",
      "listPolicy": {
        "allValues": "DENY"
      }
    }

Transmettez le fichier JSON en saisissant la même commande que celle que vous utiliseriez pour restreindre des adresses IP de pairs spécifiques.

Étape suivante

Pour trouver des ressources sur la maintenance des tunnels et des passerelles VPN, consultez les guides de maintenance des VPN.
Pour utiliser des scénarios de haute disponibilité et à haut débit, ou plusieurs scénarios de sous-réseau, consultez la section Configurations avancées.
Pour vous aider à résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud VPN, consultez la page Dépannage.