Auf dieser Seite finden Sie von Google geprüfte Interoperabilitätsleitfäden und anbieterspezifische Hinweise für Peer-VPN-Geräte oder -Dienste von Drittanbietern, mit denen Sie eine Verbindung zu Cloud VPN herstellen können.
Jeder Interoperabilitätsleitfaden bietet eine spezifische Anleitung zum Verbinden der VPN-Lösung eines Drittanbieters mit Cloud VPN. Wenn die Drittanbieterlösung dynamisches Routing (mit BGP) unterstützt, enthält der Leitfaden eine Konfigurationsanleitung für Cloud Router.
Die meisten Peer-VPN-Geräte sollten mit Cloud VPN kompatibel sein. Allgemeine Informationen zum Konfigurieren von Peer-VPN-Geräten finden Sie unter Peer-VPN-Gateway konfigurieren.
Alle Drittanbietergeräte oder -dienste, die IPsec- und IKE-Versionen 1 oder 2 unterstützen, sollten mit Cloud VPN kompatibel sein. Eine Liste der von Cloud VPN verwendeten IKE-Chiffren und sonstigen Konfigurationsparameter erhalten Sie unter Unterstützte IKE-Chiffren.
Einige Gerätekonfigurationsvorlagen von Drittanbietern können von der Google Cloud Console heruntergeladen werden. Weitere Informationen finden Sie unter Peer-VPN-Konfigurationsvorlage herunterladen.
IPv6 wird nur in HA VPN-Konfigurationen unterstützt. IPv6 wird vom klassischen VPN nicht unterstützt.
Weitere Informationen zu Cloud VPN finden Sie unter Cloud VPN – Übersicht.
Definitionen der auf dieser Seite verwendeten Begriffe finden Sie unter Wichtige Begriffe.
Interoperabilitätsleitfäden nach Anbieter
In diesem Abschnitt werden die Interoperabilitätsleitfäden nach Anbieter aufgeführt. In jedem der Leitfäden wird beschrieben, wie Sie die VPN-Gateway-Lösung des jeweiligen Anbieters mit Cloud VPN verwenden.
Ausführliche Hinweise zu den in diesem Abschnitt aufgeführten Anbietern finden Sie im Abschnitt "Anbieterspezifische Hinweise".
A–L
Leitfaden | Hinweise |
---|---|
Alibaba Cloud VPN Gateway ohne Redundanz | Unterstützt nur statische Routen. |
Alibaba Cloud VPN Gateway mit Redundanz | Unterstützt nur statische Routen. |
Amazon Web Services mit HA VPN | Unterstützt nur dynamisches Routing mit Cloud Router. Bekanntes Problem: Beim Einrichten von VPN-Tunneln zu AWS müssen Sie IKEv2 verwenden und weniger IKE-Transform-Sets einrichten. |
Amazon Web Services mit klassischem VPN | Unterstützt statische Routen oder dynamisches Routing mit Cloud Router. |
Cisco ASA 5506H mit HA VPN | Unterstützt nur dynamisches Routing mit Cloud Router. |
Cisco ASA 5505 mit klassischem VPN | Unterstützt nur statische Routen. |
Cisco ASR | Unterstützt statische Routen oder dynamisches Routing mit Cloud Router. |
Check Point-Sicherheitsgateway | Unterstützt statische Routen oder dynamisches Routing mit Cloud Router. |
Fortinet FortiGate mit HA VPN | Unterstützt nur dynamisches Routing mit Cloud Router. |
Fortinet FortiGate 300C mit klassischem VPN | Unterstützt statische Routen oder dynamisches Routing mit Cloud Router. |
Juniper SRX | Unterstützt statische Routen oder dynamisches Routing mit Cloud Router. |
M–Z
Leitfaden | Hinweise |
---|---|
Microsoft Azure mit HA VPN | Unterstützt nur dynamisches Routing mit Cloud Router. |
Palo Alto Networks PA-3020 | Unterstützt statische Routen oder dynamisches Routing mit Cloud Router. |
strongSwan | Unterstützt dynamisches Routing mit Cloud Router und BIRD. |
Anbieterspezifische Hinweise
Anhand der folgenden anbieterspezifischen Richtlinien können Sie Ihre VPN-Geräte von Drittanbietern für die Verwendung mit Cloud VPN konfigurieren.
Check Point
Das Check Point-VPN implementiert IKEv2 durch Erstellen mehrerer untergeordneter Sicherheitsverknüpfungen (Security Associations, SAs), wenn Sie mehr als ein CIDR pro Trafficauswahl angeben. Diese Implementierung ist nicht mit Cloud VPN kompatibel, denn hier müssen sich alle CIDRs für die lokale Trafficauswahl und alle CIDRs für die Remote-Trafficauswahl in einer einzigen untergeordneten SA befinden. Vorschläge zum Erstellen einer kompatiblen Konfiguration finden Sie unter Strategien zur Trafficauswahl.
Cisco
Wenn Ihr VPN-Gateway Cisco IOS XE ausführt, sollten Sie Version 16.6.3 (Everest) oder höher verwenden. Frühere Versionen haben bekannte Probleme mit Phase-2-Neuverschlüsselungsereignissen. Diese führen dazu, dass Tunnel alle paar Stunden für einige Minuten ausfallen.
Cisco ASA unterstützt routenbasiertes VPN mit einer VTI (Virtual Tunnel Interface) in iOS-Version 9.7(x) und höher. Hier finden Sie weitere Informationen:
Wenn Sie Cisco ASA-Geräte mit einem Cloud VPN-Tunnel verwenden, können Sie für jede lokale und Remote-Trafficauswahl nur einen IP-Adressbereich bzw. CIDR-Block konfigurieren. Das liegt daran, dass Cisco ASA-Geräte eine eindeutige Sicherheitsverknüpfung (Security Association, SA) für jeden IP-Adressbereich in einer Trafficauswahl verwenden, während Cloud VPN eine einzelne SA für alle IP-Bereiche in einer Trafficauswahl verwendet. Weitere Informationen finden Sie unter Richtlinienbasierte Tunnel und Trafficauswahl.
Nächste Schritte
- Informationen zum Konfigurieren Ihres Drittanbieter-VPN für Dual-Stack (IPv4 und IPv6) oder reinen IPv6-Traffic finden Sie unter Drittanbieter-VPNs für IPv4- und IPv6-Traffic einrichten.
- Informationen zum Konfigurieren von Firewallregeln für Ihr Peer-Netzwerk finden Sie unter Firewallregeln konfigurieren.
- Unter Erweiterte Konfigurationen finden Sie Szenarien mit Hochverfügbarkeit und hohem Durchsatz bzw. Szenarien mit mehreren Subnetzen.
- Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.