Drittanbieter-VPNs für IPv4- und IPv6-Traffic einrichten

Auf dieser Seite wird beschrieben, wie Sie VPN-Geräte von Drittanbietern für die Unterstützung von IPv4- und IPv6-Traffic (Dual-Stack) mit Cloud VPN konfigurieren.

Zum Austausch von Dual-Stack-Traffic in Ihren Cloud VPN-Tunneln müssen Sie Ihr Peer-VPN-Gateway-Gerät mit IPv6-Adressen für den nächsten Hop konfigurieren. In Dual-Stack-HA VPN-Tunneln werden sowohl IPv4- als auch IPv6-Routenaustausch über BGP-Sitzungen mit MP-BGP ausgeführt, die mit Link-Local-IPv4-Adressen konfiguriert sind. Sowohl der Cloud Router als auch das Peer-VPN-Gerät erfordern eine IPv6-Konfiguration für den nächsten Hop, um IPv6-Traffic an die Virtual Private Cloud- und Peer-Netzwerke weiterzuleiten.

Nur HA VPN-Gateways unterstützen Dual-Stack-Konfigurationen. Klassisches VPN unterstützt keinen IPv6-Traffic. Außerdem müssen Sie Ihr Peer-VPN-Gerät so konfigurieren, dass IKEv2 für seine HA VPN-Tunnel verwendet wird.

Unterstützung von Drittanbietern für Dual-Stack-Traffic

In der folgenden Tabelle ist die Unterstützung von VPN-Geräten von Drittanbietern für Dual-Stack-Traffic über IPsec-Tunnel zusammengefasst.

Anbieterplattform Version, die für die
-Dual-Stack-Konfiguration getestet wurde
IPv6-Traffic über IPv4-IPsec-Tunnel Dual-Stack-Adressfamilie Interoperabilitätskonfiguration für Dual-Stack-Traffic
Cisco IOS/IOS-XE Nicht unterstützt Nicht unterstützt Verwenden Sie GRE-Tunnel und einen virtuellen Router für den Übertragung von IPsec-Traffic über GRE.
Check Point Nicht unterstützt Nicht unterstützt Verwenden Sie GRE-Tunnel und einen virtuellen Router für den Übertragung von IPsec-Traffic über GRE.
Juniper JunOS 20.2R3-S2.5 Unterstützt Unterstützt Unterstützt HA VPN-Tunnel, die sowohl IPv4- als auch IPv6-Traffic übertragen können
Logo: Palo Alto Networks PAN-OS 9.1 Unterstützt Nicht unterstützt Erfordert separate HA VPN-Tunnel, die für IPv4- oder IPv6-Traffic konfiguriert sind, aber nicht beides.

Juniper JunOS

Im folgenden Verfahren wird beschrieben, wie Sie Ihr Juniper JunOS-VPN-Gerät so einrichten, dass IPv4- und IPv6-Traffic in Ihren HA VPN-Tunneln unterstützt wird.

Obwohl Sie IPv6-Adressen auf den Tunnelschnittstellen des Geräts konfigurieren, werden die IPv6-Adressen ausschließlich für die IPv6-Konfiguration des nächsten Hops verwendet. IPv6-Routen werden über IPv6 NLRI über IPv4-BGP-Peering beworben.

Hinweis

Richten Sie in Google Cloud ein Dual-Stack-HA VPN-Gateway und zwei HA VPN-Tunnel ein. Beide HA VPN-Tunnel übertragen IPv4- und IPv6-Traffic.

Notieren Sie sich die beiden externen IPv4-Adressen, die Google Cloud den beiden HA VPN-Gateway-Schnittstellen zuweist.

Notieren Sie für jeden Tunnel die folgenden Konfigurationswerte:

  • Die Link-Local-IPv4-Adresse des BGP-Peers, also Ihres Juniper JunOS-Geräts
  • Die Link-Local-IPv4-Adresse des Cloud Routers, der für das BGP-Peering verwendet wird
  • Die IPv6-Adresse des nächsten Hops, die dem Peer oder peerIpv6NexthopAddress zugewiesen ist
  • Die ASN, die Sie dem Cloud Router für Ihre BGP-Sitzungen zugewiesen haben.
  • Die ASN, die Sie dem BGP-Peer zugewiesen haben, also Ihrem Juniper JunOS-Gerät.
  • Der vorinstallierte Schlüssel

Weitere Informationen zur Konfiguration der BGP-Sitzung finden Sie unter BGP-Sitzungskonfiguration anzeigen.

JunOS konfigurieren

Führen Sie die folgenden Schritte aus, um JunOS-Geräte zu konfigurieren:

  1. Konfigurieren Sie für jede VPN-Tunnel-Schnittstelle die BGP-Peer-IPv6-Adressen für den nächsten Hop, die Sie vom Cloud Router abgerufen haben. Dies sind dieselben Schnittstellen, denen Link-Local-Adressen für IPv4-Peering zugewiesen sind.

    set interfaces st0 unit 1 family inet mtu 1460
    set interfaces st0 unit 1 family inet address PEER_BGP_IP_1
    set interfaces st0 unit 1 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_1
    set interfaces st0 unit 2 family inet mtu 1460
    set interfaces st0 unit 2 family inet address PEER_BGP_IP_2
    set interfaces st0 unit 2 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_2
    

    Ersetzen Sie die folgenden Werte:

    • PEER_BGP_IP_1: die BGP-IP-Adresse des Peers für die erste Tunnelschnittstelle mit ihrer Subnetzmaske
    • PEER_IPV6_NEXT_HOP_ADDRESS_1: die IPv6-Adresse des nächsten Hops des Peers für die erste Tunnelschnittstelle mit ihrer Subnetzmaske
    • PEER_BGP_IP_2: die BGP-IP-Adresse des Peers für die zweite Tunnelschnittstelle mit ihrer Subnetzmaske
    • PEER_IPV6_NEXT_HOP_ADDRESS_2: die IPv6-Adresse des nächsten Hops des Peers für die zweite Tunnelschnittstelle mit seiner Subnetzmaske.

    Beispiel:

    set interfaces st0 unit 1 family inet mtu 1460
    set interfaces st0 unit 1 family inet address 169.254.0.2/30
    set interfaces st0 unit 1 family inet6 address 2600:2d00:0:2::2/125
    set interfaces st0 unit 2 family inet mtu 1460
    set interfaces st0 unit 2 family inet address 169.254.1.2/30
    set interfaces st0 unit 2 family inet6 address 2600:2d00:0:2::1:2/125
    
  2. Konfigurieren Sie das IKE-Angebot, die IKE-Richtlinie und die IKE-Gateway-Objekte.

    # IKE proposal
    set security ike proposal ike_prop authentication-method pre-shared-keys
    set security ike proposal ike_prop dh-group group2
    set security ike proposal ike_prop authentication-algorithm sha-256
    set security ike proposal ike_prop encryption-algorithm aes-256-cbc
    set security ike proposal ike_prop lifetime-seconds 36000
    
    # IKE policy
    set security ike policy ike_pol mode main
    set security ike policy ike_pol proposals ike_prop
    set security ike policy ike_pol pre-shared-key ascii-text SHARED_SECRET
    
    # IKE gateway objects
    set security ike gateway gw1 ike-policy ike_pol
    set security ike gateway gw1 address HA_VPN_INTERFACE_ADDRESS_0
    set security ike gateway gw1 local-identity inet 142.215.100.60
    set security ike gateway gw1 external-interface ge-0/0/0
    set security ike gateway gw1 version v2-only
    set security ike gateway gw2 ike-policy ike_pol
    set security ike gateway gw2 address HA_VPN_INTERFACE_ADDRESS_1
    set security ike gateway gw2 local-identity inet 142.215.100.60
    set security ike gateway gw2 external-interface ge-0/0/0
    set security ike gateway gw2 version v2-only
    

    Ersetzen Sie die folgenden Werte:

    • HA_VPN_INTERFACE_ADDRESS_0: die externe IPv4-Adresse der ersten Tunnelschnittstelle auf dem HA VPN-Gateway
    • HA_VPN_INTERFACE_ADDRESS_1: die externe IPv4-Adresse der zweiten Tunnelschnittstelle auf dem HA VPN-Gateway
    • SHARED_SECRET: der vorinstallierte Schlüssel, den Sie für den HA VPN-Tunnel konfiguriert haben
  3. IPsec-Angebot und IPsec-Richtlinie konfigurieren. Beispiel:

    set security ipsec proposal ipsec_prop protocol esp
    set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96
    set security ipsec proposal ipsec_prop encryption-algorithm aes-256-cbc
    set security ipsec proposal ipsec_prop lifetime-seconds 10800
    
  4. Konfigurieren Sie die IPsec-VPN-Gateway-Konfigurationen und binden Sie sie an die Tunnelschnittstellen. Beispiel:

    set security ipsec vpn vpn1 bind-interface st0.1
    set security ipsec vpn vpn1 ike gateway gw1
    set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol
    set security ipsec vpn vpn1 establish-tunnels immediately
    set security ipsec vpn vpn2 bind-interface st0.2
    set security ipsec vpn vpn2 ike gateway gw2
    set security ipsec vpn vpn2 ike ipsec-policy ipsec_pol
    set security ipsec vpn vpn2 establish-tunnels immediately
    
  5. Erstellen Sie die Richtlinienanweisungen, die den nächsten Hop für IPv6-Peers in die Adressen des nächsten Hops von IPv6 ändern.

    set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6
    set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_1
    set policy-options policy-statement set-v6-next-hop-1 term 1 then accept
    set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6
    set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_2
    set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
    

    Ersetzen Sie die folgenden Werte:

    • PEER_IPV6_NEXT_HOP_ADDRESS_1: die IPv6-Adresse des nächsten Hops des BGP-Peers für den ersten Tunnel
    • PEER_IPV6_NEXT_HOP_ADDRESS_2: die IPv6-Adresse des nächsten Hops des BGP-Peers für den zweiten Tunnel

    Beispiel:

    set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6
    set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop 2600:2d00:0:2::2
    set policy-options policy-statement set-v6-next-hop-1 term 1 then accept
    set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6
    set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop 2600:2d00:0:2::1:2
    set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
    

  6. Konfigurieren Sie BGP für IPv6-Routenaustausch.

    Beim Konfigurieren von BGP müssen Sie include-mp-next-hop-Anweisungen angeben, um das nächste Hop-Attribut an den Peer zu senden.

    Anschließend exportieren Sie die im vorherigen Schritt definierte Richtlinienanweisung, um den nächsten Hop in die IPv6-Adresse zu ändern.

    set protocols bgp group vpn family inet unicast
    set protocols bgp group vpn family inet6 unicast
    set protocols bgp group vpn peer-as ROUTER_ASN
    set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 export set-v6-next-hop-1
    set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 local-as PEER_ASN
    set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 graceful-restart restart-time 120
    set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 include-mp-next-hop
    set protocols bgp group vpn2 type external
    set protocols bgp group vpn2 local-address ROUTER_IP_2
    set protocols bgp group vpn2 family inet unicast
    set protocols bgp group vpn2 family inet6 unicast
    set protocols bgp group vpn2 peer-as ROUTER_ASN
    set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 export set-v6-next-hop-2
    set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 local-as PEER_ASN
    set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 graceful-restart restart-time 120
    set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 include-mp-next-hop
    

    Ersetzen Sie die folgenden Werte:

    • ROUTER_BGP_IP_1: die IPv4-Adresse, die dem Cloud Router für den ersten Tunnel zugewiesen ist
    • ROUTER_BGP_IP_2: die IPv4-Adresse, die dem Cloud Router für den zweiten Tunnel zugewiesen wurde
    • ROUTER_ASN: Die ASN, die dem Cloud Router für Ihre BGP-Sitzungen zugewiesen ist.
    • PEER_ASN: Die ASN, die Sie dem BGP-Peer zugewiesen haben, also Ihr Juniper JunOS-Gerät.

    Im folgenden Beispiel sind die Anweisungen include-mp-next-hop und export fett formatiert:

    set protocols bgp group vpn family inet unicast
    set protocols bgp group vpn family inet6 unicast
    set protocols bgp group vpn peer-as 16550
    set protocols bgp group vpn neighbor 169.254.0.1 export set-v6-next-hop-1
    set protocols bgp group vpn neighbor 169.254.0.1 local-as 65010
    set protocols bgp group vpn neighbor 169.254.0.1 graceful-restart restart-time 120
    set protocols bgp group vpn neighbor 169.254.0.1 include-mp-next-hop
    set protocols bgp group vpn2 type external
    set protocols bgp group vpn2 local-address 169.254.1.2
    set protocols bgp group vpn2 family inet unicast
    set protocols bgp group vpn2 family inet6 unicast
    set protocols bgp group vpn2 peer-as 16550
    set protocols bgp group vpn2 neighbor 169.254.1.1 export set-v6-next-hop-2
    set protocols bgp group vpn2 neighbor 169.254.1.1 local-as 65010
    set protocols bgp group vpn2 neighbor 169.254.1.1 graceful-restart restart-time 120
    set protocols bgp group vpn2 neighbor 169.254.1.1 include-mp-next-hop
    

  7. Überprüfen Sie die BGP-Konnektivität.

    show route protocol bgp
    

Logo: Palo Alto Networks PAN-OS

In diesem Abschnitt wird beschrieben, wie Sie Ihr PAN-OS-Gerät im Palo Alto Networks so einrichten, dass IPv4- und IPv6-Traffic in Ihren HA VPN-Tunneln unterstützt wird.

PAN-OS unterstützt den Transport von IPv6-Traffic über IPv4. PAN-OS unterstützt jedoch keine Dual-Stack-Adressfamilien. Daher müssen Sie separate VPN-Tunnel einrichten, die entweder IPv4- oder IPv6-Traffic übertragen.

Weitere Informationen zum Konfigurieren von PAN-OS-Geräten für die Verwendung mit VPN finden Sie in der Palo Alto PAN OS-VPN-Dokumentation.

Hinweis

Richten Sie in Google Cloud zwei HA VPN-Gateways und vier HA VPN-Tunnel ein. Zwei Tunnel sind für IPv6-Traffic und zwei Tunnel für IPv4-Traffic.

  1. Erstellen Sie das HA VPN-Gateway und die Tunnel für IPv4-Traffic. Erstellen Sie Folgendes:

    • Ein HA VPN-Gateway, das den reinen IPv4-Stack-Typ verwendet
    • Zwei VPN-Tunnel, die IPv4-Traffic übertragen können
  2. Erstellen Sie das HA VPN-Gateway und die Tunnel für IPv6-Traffic. Erstellen Sie Folgendes:

    • Ein HA VPN-Gateway, das den Stack-Typ IPv4 und IPv6 (Dual-Stack) verwendet
    • Zwei VPN-Tunnel, die IPv6-Traffic übertragen können
    • IPv6 in den BGP-Sitzungen für die IPv6-Tunnel aktivieren
  3. Notieren Sie sich die externen IPv4-Adressen, die Google Cloud jeder HA VPN-Gateway-Schnittstelle zuweist.

  4. Notieren Sie für jeden Tunnel die folgenden Konfigurationswerte:

    • Die Link-Local-IPv4-Adresse des BGP-Peers, der die PAN-OS-Seite der BGP-Sitzung ist.
    • Die Link-Local-IPv4-Adresse des Cloud Routers, der für das BGP-Peering verwendet wird
    • Die ASN, die Sie dem BGP-Peer zugewiesen haben, Ihrem PAN-OS-Gerät.
    • Die ASN, die Sie dem Cloud Router für Ihre BGP-Sitzungen zugewiesen haben.
    • Der vorinstallierte Schlüssel
  5. Notieren Sie für jeden IPv6-Tunnel auch die peerIpv6NexthopAddress. Dies ist die IPv6-Adresse des nächsten Hops, die dem BGP-Peer zugewiesen ist. Google Cloud hat diese Adresse möglicherweise automatisch zugewiesen oder Sie haben die Adressen beim Erstellen des VPN-Tunnels manuell angegeben.

Weitere Informationen zur Konfiguration der BGP-Sitzung finden Sie unter BGP-Sitzungskonfiguration anzeigen.

PAN-OS konfigurieren

Führen Sie die folgenden Schritte in der PAN-OS-Weboberfläche aus, um Ihr Palo Alto Networks-Gerät zu konfigurieren.

  1. IPv6-Firewall aktivieren

  2. Wählen Sie Gerät > Einrichtung > Sitzungseinstellungen aus.

    1. Wählen Sie IPv6-Firewall aktivieren aus.
  3. Erstellen Sie eine Loopback-Schnittstelle für IPv4 und IPv6.

    1. Wählen Sie Netzwerk > Schnittstellen > Loopback-Schnittstelle aus und erstellen Sie eine neue Loopback-Oberfläche.
    2. Erstellen Sie eine Loopback-Schnittstelle. Beispiel: loopback.10.
    3. Setzen Sie auf dem Tab Konfiguration den Wert Virtual Router auf external und Sicherheitszone auf ZONE_EXTERNAL.
    4. Weisen Sie auf dem Tab IPv4 die Loopback-Schnittstelle mit IPv4-Adressbereichen zu, die für Ihr lokales Netzwerk geeignet sind.
    5. Wählen Sie auf dem Tab IPv6 die Option IPv6 auf der Schnittstelle aktivieren aus und fügen Sie einen IPv6-Adressbereich für Ihr lokales Netzwerk hinzu.
    6. Geben Sie auf dem Tab Erweitert ein Verwaltungsprofil für die Loopback-Schnittstelle an. Achten Sie darauf, dass das von Ihnen angegebene Profil Pingen zulässt, damit Sie die Konnektivität prüfen können.
  4. Erstellen Sie vier IKE-Gateway-Tunnel, zwei Tunnel für IPv6-Traffic und zwei Tunnel für IPv4-Traffic. Jeder Tunnel stellt eine Verbindung zu einer Schnittstelle auf einem HA VPN-Gateway her.

    • Erstellen Sie zwei Tunnel für IPv6-Traffic.
      1. Wählen Sie Netzwerk > Schnittstellen > Tunnel aus und erstellen Sie einen neuen Tunnel.
      2. Geben Sie einen Namen für den ersten Tunnel an. Beispiel: tunnel.1.
      3. Setzen Sie auf dem Tab Konfiguration den Wert Virtual Router auf external und Sicherheitszone auf ZONE_EXTERNAL.
      4. Geben Sie auf dem Tab IPv4 die Link-Local-Adresse des BGP-Peers an, den Sie beim Erstellen der VPN-Tunnel für das HA VPN eingerichtet haben. Beispiel: 169.254.0.2/30.
      5. Wählen Sie auf dem Tab IPv6 die Option IPv6 auf der Schnittstelle aktivieren aus und geben Sie die IPv6-Adresse des nächsten Hops an, die für den BGP-Peer konfiguriert ist. Beispiel: 2600:2D00:0:2::2/125.
      6. Legen Sie auf dem Tab Erweitert für MTU den Wert 1460 fest.
      7. Wiederholen Sie diesen Vorgang für den zweiten Tunnel. Beispiel: tunnel.2. Geben Sie auf den Tabs IPv4 und IPv6 die entsprechenden Werte für die BGP-Peer- und IPv6-Felder des nächsten Hops an. Verwenden Sie die Werte, die dem zweiten Tunnel des Dual-Stack-HA-VPN entsprechen. Zum Beispiel: 169.254.1.2/30 und 2600:2D00:0:3::3/125
    • Erstellen Sie zwei Tunnel für IPv4-Traffic.
      1. Wählen Sie Netzwerk > Schnittstellen > Tunnel aus und erstellen Sie einen neuen Tunnel.
      2. Geben Sie einen Namen für den dritten Tunnel an. Beispiel: tunnel.3.
      3. Setzen Sie auf dem Tab Konfiguration den Wert Virtual Router auf external und Sicherheitszone auf ZONE_EXTERNAL.
      4. Geben Sie auf dem Tab IPv4 die Link-Local-Adresse des BGP-Peers an, den Sie beim Erstellen der VPN-Tunnel für das HA VPN eingerichtet haben. Beispiel: 169.254.2.2/30.
      5. Überspringen Sie die Konfiguration des Tabs IPv6.
      6. Legen Sie auf dem Tab Erweitert für MTU den Wert 1460 fest.
      7. Wiederholen Sie diesen Vorgang für den vierten Tunnel. Beispiel: tunnel.4. Geben Sie auf dem Tab IPv4 die entsprechenden Werte für den BGP-Peer an, die mit dem zweiten Tunnel des reinen IPv4-HA-VPN übereinstimmen. Beispiel: 169.254.3.2/30.
  5. Erstellen Sie ein IPsec-Crypto-Profil.

    1. Wählen Sie Netzwerk > IPSec Crypto aus und erstellen Sie ein neues Profil.
    2. Geben Sie Werte für die folgenden Felder ein:
      • Name: Geben Sie einen Profilnamen ein. Beispiel: ha-vpn.
      • IPSec Protocol: Wählen Sie ESP aus.
      • Verschlüsselung: Fügen Sie eine unterstützte IKE-Chiffre hinzu.
      • Authentifizierung: Geben Sie eine Hash-Funktion an. Beispiel: sha512.
      • DH-Gruppe: Wählen Sie eine DH-Gruppe aus. Beispiel: group14.
      • Lifetime: Wählen Sie Stunden aus und geben Sie 3 ein.
    3. Klicken Sie auf OK.
  6. Erstellen Sie ein IKE-Crypto-Profil.

    1. Wählen Sie Netzwerk > IKE Crypto aus.
    2. Geben Sie Werte für die folgenden Felder ein:
      • Name: Geben Sie einen Profilnamen ein. Beispiel: ha-vpn.
      • DH-Gruppe: Prüfen Sie, ob die DH-Gruppe, die Sie für das IPSec-Crypto-Profil ausgewählt haben, in der Liste angezeigt wird.
      • Authentifizierung: Geben Sie eine Hash-Funktion an. Beispiel: sha512.
      • Verschlüsselung: Fügen Sie eine unterstützte IKE-Chiffre hinzu.
    3. Wählen Sie im Bereich Timer die Option Stunden für Schlüssellebensdauer aus und geben Sie 10 ein.
    4. Klicken Sie auf OK.
  7. Nachdem Sie vier IKE-Tunnel erstellt haben, erstellen Sie vier IKE-Gateways, eines für jeden Tunnel.

    1. Wählen Sie Netzwerk > IKE-Gateways aus und erstellen Sie ein neues Gateway.
    2. Geben Sie auf dem Tab Allgemein Werte für die folgenden Felder ein:
      • Name: Name des IKE-Gateways für den ersten Tunnel. Beispiel: havpn-v6-tunnel1.
      • Version: Wählen Sie IKEv2 only mode aus.
      • Adresstyp: Wählen Sie IPv4 aus.
      • Schnittstelle: Geben Sie die Loopback-Schnittstelle an, die Sie zu Beginn dieses Verfahrens erstellt haben. Beispiel: loopback.10.
      • Lokale IP-Adresse: Geben Sie einen IPv4-Adressbereich an, der für Ihr lokales Netzwerk geeignet ist.
      • Peer-IP-Adresstyp: Wählen Sie IP aus.
      • Peer-Adresse: Geben Sie die externe IPv4-Adresse der ersten HA VPN-Schnittstelle für den Tunnel an.
      • Authentifizierung: Wählen Sie Pre-Shared Key aus.
      • Vorinstallierter Schlüssel, Vorinstallierte Schlüssel bestätigen: Geben Sie das gemeinsame Secret ein, das Sie in Google Cloud für den Tunnel konfiguriert haben.
      • Lokale Identifizierung: Wählen Sie IP-Adresse aus und geben Sie eine IPv4-Adresse an, die für Ihr lokales Netzwerk geeignet ist.
      • Peer-Identifikation: Wählen Sie IP-Adresse und die externe IPv4-Adresse der HA VPN-Schnittstelle für den Tunnel aus.
    3. Klicken Sie auf den Tab Advanced Options (Erweiterte Optionen).
    4. Wählen Sie für das IKE Crypto Profile das zuvor erstellte Profil aus. Beispiel: ha-vpn.
    5. Aktivieren Sie Aktivitätsprüfung und geben Sie 5 als Intervall (Sek.) ein.
    6. Klicken Sie auf OK.
    7. Wiederholen Sie diesen Vorgang für die anderen drei Tunnel, ersetzen Sie jedoch folgende Werte durch die entsprechenden Werte:
      • Name: Name des IKE-Gateways für den Tunnel. Beispiel: havpn-v6-tunnel2, havpn-v4-tunnel1 oder havpn-v4-tunnel2.
      • Lokale IP-Adresse / Lokale Identifikation: Geben Sie eine nicht verwendete IPv4-Adresse an, die für Ihr lokales Netzwerk geeignet ist.
      • Peer-Adresse / Peer-Identifikation: Geben Sie die externe IPv4-Adresse für die übereinstimmende HA VPN-Schnittstelle des Tunnels an.
      • Vorinstallierter Schlüssel: Geben Sie das für den Tunnel konfigurierte gemeinsame Secret an.
  8. Erstellen Sie vier IPsec-Tunnel.

    1. Wählen Sie Netzwerk > IPSec-Tunnel aus und erstellen Sie einen neuen Tunnel.
    2. Geben Sie Werte für die folgenden Felder ein:
      • Name: Eindeutiger Name für den Tunnel. Beispiel: hapvpn-tunnel-1.
      • Tunnelschnittstelle: Wählen Sie eine Tunnelschnittstelle für den zuvor erstellten IKE-Gateway-Tunnel aus. Beispiel: tunnel.1.
      • Typ: Wählen Sie Automatischer Schlüssel aus.
      • Adresstyp: Wählen Sie IPv4 aus.
      • IKE Gateway: Wählen Sie eines der zuvor erstellten IKE-Gateways aus. Beispiel: havpn-v6-tunnel.
      • IPSec Crypto Profile: Wählen Sie das Profil aus, das Sie zuvor erstellt haben. Beispiel: ha-vpn.
    3. Konfigurieren Sie keine Proxy-IDs
    4. Klicken Sie auf OK.
    5. Wiederholen Sie diesen Vorgang für die anderen drei Tunnel, ersetzen Sie jedoch folgende Werte durch die entsprechenden Werte:
      • Name: Eindeutiger Name für den IPsec-Tunnel. Beispiel: havpn-tunnel2, havpn-tunnel3 oder havpn-tunnel4.
      • Tunnelschnittstelle: Wählen Sie eine nicht verwendete Tunnelschnittstelle für den IKE-Gateway-Tunnel aus, den Sie zuvor erstellt haben. Beispiel: tunnel.2, tunnel.3 oder tunnel.4.
      • IKE Gateway: Wählen Sie eines der zuvor erstellten IKE-Gateways aus. Beispiel: havpn-v6-tunnel2, havpn-v4-tunnel1 oder havpn-v4-tunnel2.
  9. Optional: ECMP konfigurieren.

    1. Wählen Sie Netzwerk > Virtuelle Router > ROUTER_NAME > Routereinstellungen > ECMP aus.
    2. Wählen Sie auf dem Tab ECMP die Option Aktivieren aus.
    3. Klicken Sie auf OK.
  10. Konfigurieren Sie BGP.

    1. Wählen Sie Netzwerk > Virtuelle Router > ROUTER_NAME > Routereinstellungen > BGP aus.
    2. Wählen Sie auf dem Tab Allgemein die Option Aktivieren aus.
    3. Geben Sie im Feld Router-ID die Link-Local-IPv4-Adresse ein, die dem BGP-Peer zugewiesen ist. Dies ist die PAN-OS-Seite der BGP-Sitzung. Peer.
    4. Geben Sie im Feld AS-Nummer die ASN für die PAN-OS-Seite der BGP-Sitzung ein.
    5. Achten Sie darauf, dass unter Optionen die Option Route installieren ausgewählt ist.
    6. Klicken Sie auf OK.
  11. Erstellen Sie eine BGP-Peer-Gruppe mit einem BGP-Peer für jeden IPv6-Tunnel. Sie erstellen für jeden IPv6-Tunnel eine separate BGP-Peer-Gruppe, sodass Sie pro Tunnel eine andere IPv6-Adresse für den nächsten Hop konfigurieren können.

    1. Wählen Sie Netzwerk > Virtuelle Router > ROUTER_NAME > Routereinstellungen > BGP > Peering-Gruppe aus.
    2. Erstellen Sie auf dem Tab Peer-Gruppe eine neue Peer-Gruppe für den ersten IPv6-Tunnel.
    3. Geben Sie im Feld Name einen Namen für die Peer-Gruppe ein. Beispiel: havpn-bgp-v6-tunnel1
    4. Wählen Sie Aktivieren aus.
    5. Wählen Sie Aggregierter Confed AS-Pfad aus.
    6. Wählen Sie in der Liste Typ die Option EBGP aus.
    7. Wählen Sie für Nächsten Hop importierenOriginal aus.
    8. Wählen Sie für Nächsten Hop exportieren die Option Klären aus.
    9. Wählen Sie Private AS entfernen aus.
    10. Klicken Sie im Bereich Peer auf Hinzufügen, um einen Peer zur BGP-Peer-Gruppe hinzuzufügen.
    11. Geben Sie im Dialogfeld Peer die folgenden Werte ein:
      • Name: Name des Peers. Beispiel: havpn-v6-tunnel1.
      • Wählen Sie Aktivieren aus.
      • Peer-AS: Die ASN, die dem Cloud Router für die BGP-Sitzung zugewiesen ist.
      • Konfigurieren Sie auf dem Tab Adressierung die folgenden Optionen:
        • Wählen Sie MP-BGP-Erweiterungen aktivieren aus.
        • Wählen Sie als Adressfamilientyp die Option IPv6 aus.
        • Wählen Sie unter Lokale Adresse für Schnittstelle den ersten Tunnel aus, den Sie beim Erstellen der IKE-Gateway-Tunnel definiert haben. Beispiel: tunnel.1.
        • Wählen Sie als IP die Link-Local-IPv4-Adresse des BGP-Peers aus. Beispiel: 169.254.0.2./30.
        • Wählen Sie unter Peer-Adresse für Typ die Option IP aus.
        • Wählen Sie als Adresse die Link-Local-IPv4-Adresse des Cloud Routers für diese BGP-Sitzung aus. Beispiel: 169.254.0.1.
      • Klicken Sie auf OK.
    12. Nachdem Sie das Hinzufügen des Peers abgeschlossen haben, klicken Sie auf OK.
    13. Wiederholen Sie diesen Vorgang für den anderen IPv6-Tunnel. Ersetzen Sie dabei durch die folgenden Werte die entsprechenden Werte:
      • Name: Eindeutiger Name für die BGP-Peer-Gruppe. Beispiel: havpn-bgp-v6-tunnel2.
      • Geben Sie im Dialogfeld Peer in die folgenden Felder die entsprechenden Werte für den Tunnel ein:
        • Name: Name des Peers. Beispiel: havpn-v6-tunnel1.
        • Wählen Sie unter Lokale Adresse für Schnittstelle den zweiten Tunnel aus, den Sie beim Erstellen der IKE-Gateway-Tunnel definiert haben. Beispiel: tunnel.2.
        • Wählen Sie als IP die Link-Local-IPv4-Adresse des BGP-Peers für den zweiten Tunnel aus. Beispiel: 169.254.1.2./30.
        • Wählen Sie unter Peer-Adresse für Adresse die Link-Local-IPv4-Adresse des Cloud Routers für diese BGP-Sitzung aus. Beispiel: 169.254.1.1
  12. Erstellen Sie eine BGP-Peer-Gruppe für die IPv4-Tunnel.

    1. Wählen Sie Netzwerk > Virtuelle Router > ROUTER_NAME > Routereinstellungen > BGP > Peering-Gruppe aus.
    2. Erstellen Sie auf dem Tab Peer-Gruppe eine neue Peer-Gruppe für den IPv4-Tunnel.
    3. Geben Sie im Feld Name einen Namen für die Peer-Gruppe ein. Beispiel: havpn-bgp-v4
    4. Wählen Sie Aktivieren aus.
    5. Wählen Sie Aggregierter Confed AS-Pfad aus.
    6. Wählen Sie in der Liste Typ die Option EBGP aus.
    7. Wählen Sie für Nächsten Hop importierenOriginal aus.
    8. Wählen Sie für Nächsten Hop exportieren die Option Klären aus.
    9. Wählen Sie Private AS entfernen aus.
    10. Klicken Sie im Bereich Peer auf Hinzufügen, um einen Peer zur BGP-Peer-Gruppe hinzuzufügen.
    11. Geben Sie im Dialogfeld Peer die folgenden Werte ein:
      • Name: Geben Sie einen Namen für den Peer ein. Beispiel: havpn-v4-tunnel1.
      • Wählen Sie Aktivieren aus.
      • Peer-AS: Die ASN, die dem Cloud Router für die BGP-Sitzung zugewiesen ist.
      • Konfigurieren Sie auf dem Tab Adressierung die folgenden Optionen:
        • Wählen Sie nicht MP-BGP-Erweiterungen aktivieren aus.
        • Wählen Sie für Addressfamilientyp die Option IPv4 aus.
        • Wählen Sie unter Lokale Adresse für Schnittstelle den dritten Tunnel aus, den Sie beim Erstellen der IKE-Gateway-Tunnel definiert haben. Beispiel: tunnel.3.
        • Wählen Sie als IP die Link-Local-IPv4-Adresse des BGP-Peers aus. Beispiel: 169.254.2.2./30.
        • Wählen Sie unter Peer-Adresse für Typ die Option IP aus.
        • Wählen Sie als Adresse die Link-Local-IPv4-Adresse des Cloud Routers für diese BGP-Sitzung aus. Beispiel: 169.254.2.1.
      • Klicken Sie auf OK.
    12. Klicken Sie im Bereich Peer auf Hinzufügen, um der zweiten Peer-Gruppe der BGP-Peer-Gruppe hinzuzufügen.
    13. Geben Sie im Dialogfeld Peer die folgenden Werte ein:
      • Name: Geben Sie einen Namen für den Peer ein. Beispiel: havpn-v4-tunnel2.
      • Wählen Sie Aktivieren aus.
      • Peer-AS: Die ASN, die dem Cloud Router für die BGP-Sitzung zugewiesen ist.
      • Konfigurieren Sie auf dem Tab Adressierung die folgenden Optionen:
        • Wählen Sie nicht MP-BGP-Erweiterungen aktivieren aus.
        • Wählen Sie als Adressfamilientyp die Option IPv4 aus.
        • Wählen Sie unter Lokale Adresse für Schnittstelle den vierten Tunnel aus, den Sie beim Erstellen der IKE-Gateway-Tunnel definiert haben. Beispiel: tunnel.4.
        • Wählen Sie als IP die Link-Local-IPv4-Adresse des BGP-Peers aus. Beispiel: 169.254.3.2./30.
        • Wählen Sie unter Peer-Adresse für Typ die Option IP aus.
        • Wählen Sie als Adresse die Link-Local-IPv4-Adresse des Cloud Routers für diese BGP-Sitzung aus. Beispiel: 169.254.3.1.
    14. Klicken Sie auf OK.
    15. Nachdem Sie beide Peers hinzugefügt haben, klicken Sie auf OK.
  13. Exportieren Sie BGP-Konfigurationsregeln in die BGP-Peer-Gruppen für die IPv6-Tunnel. Mit diesem Schritt können Sie den Tunneln unterschiedliche IPv6-Adressen für den nächsten Hop zuweisen.

    1. Wählen Sie Netzwerk > Virtuelle Router > ROUTER_NAME > Routereinstellungen > BGP > Exportieren aus.
    2. Geben Sie im Dialogfeld Exportregel einen Namen in das Feld Regeln ein. Beispiel: havpn-tunnel1-v6
    3. Wählen Sie Aktivieren aus.
    4. Klicken Sie im Bereich Verwendet von auf Hinzufügen, um die BGP-Peer-Gruppe hinzuzufügen, die Sie für den ersten IPv6-Tunnel erstellt haben. Beispiel: havpn-bgp-v6-tunnel1
    5. Wählen Sie auf dem Tab Abgleich in der Liste Routentabelle die Option Unicast aus.
    6. Fügen Sie unter Adresspräfix das Adresspräfix für die IPv6-Adressen hinzu, die in Ihrem lokalen Netzwerk verwendet werden.
    7. Konfigurieren Sie auf dem Tab Aktion die folgenden Optionen:
      • Wählen Sie in der Liste Aktion die Option Zulassen aus.
      • Geben Sie unter Nächster Hop die IPv6-Adresse des nächsten Hops ein, die dem BGP-Peer beim Erstellen des Tunnels zugewiesen ist. Beispiel: 2600:2D00:0:2::2.
    8. Klicken Sie auf OK.
    9. Wiederholen Sie diesen Vorgang für die BGP-Peer-Gruppe, die vom zweiten IPv6-Tunnel verwendet wird. Ersetzen Sie dabei jedoch die entsprechenden Werte für die folgenden Felder:
      • Geben Sie im Dialogfeld Exportregel einen eindeutigen Namen in das Feld Regeln ein. Beispiel: havpn-tunnel2-v6
      • Klicken Sie im Bereich Verwendet von auf Hinzufügen, um die BGP-Peer-Gruppe hinzuzufügen, die Sie für den zweiten IPv6-Tunnel erstellt haben. Beispiel: havpn-bgp-v6-tunnel1
    10. Konfigurieren Sie auf dem Tab Aktion das Feld Nächster Hop und geben Sie die Adresse des nächsten IPv6-Hops ein, die dem BGP-Peer für diesen Tunnel zugewiesen ist. Beispiel: 2600:2D00:0:3::3