Drittanbieter-VPNs mit Cloud VPN verwenden

Auf dieser Seite finden Sie von Google geprüfte Interoperabilitätsleitfäden und anbieterspezifische Hinweise für Peer-VPN-Geräte oder -Dienste von Drittanbietern, mit denen Sie eine Verbindung zu Cloud VPN herstellen können.

Jeder Interoperabilitätsleitfaden bietet eine spezifische Anleitung zum Verbinden der VPN-Lösung eines Drittanbieters mit Cloud VPN. Wenn die Drittanbieterlösung dynamisches Routing (mit BGP) unterstützt, enthält der Leitfaden eine Konfigurationsanleitung für Cloud Router.

Die meisten Peer-VPN-Geräte sollten mit Cloud VPN kompatibel sein. Allgemeine Informationen zum Konfigurieren von Peer-VPN-Geräten finden Sie unter Peer-VPN-Gateway konfigurieren.

Alle Drittanbietergeräte oder -dienste, die IPsec- und IKE-Versionen 1 oder 2 unterstützen, sollten mit Cloud VPN kompatibel sein. Eine Liste der von Cloud VPN verwendeten IKE-Chiffren und sonstigen Konfigurationsparameter erhalten Sie unter Unterstützte IKE-Chiffren.

Weitere Informationen zu Cloud VPN finden Sie in der Cloud VPN – Übersicht.

Definitionen der auf dieser Seite verwendeten Begriffe finden Sie unter Wichtige Begriffe.

Interoperabilitätsleitfäden nach Anbieter

In diesem Abschnitt werden die Interoperabilitätsleitfäden nach Anbieter aufgeführt. In jedem der Leitfäden wird beschrieben, wie Sie die VPN-Gateway-Lösung des jeweiligen Anbieters mit Cloud VPN verwenden.

Ausführliche Hinweise zu den in diesem Abschnitt aufgeführten Anbietern finden Sie im Abschnitt "Anbieterspezifische Hinweise".

A–L

Leitfaden Hinweise
Alibaba Cloud VPN Gateway ohne Redundanz Unterstützt nur statische Routen.
Alibaba Cloud VPN Gateway mit Redundanz Unterstützt nur statische Routen.
Amazon Web Services mit HA VPN

Unterstützt nur dynamisches Routing mit Cloud Router.

Bekanntes Problem: Beim Einrichten von VPN-Tunneln zu AWS müssen Sie IKEv2 verwenden und weniger IKE-Transform-Sets einrichten.

Amazon Web Services mit klassischem VPN Unterstützt statische Routen oder dynamisches Routing mit Cloud Router.
Cisco ASA 5506H mit HA VPN Unterstützt nur dynamisches Routing mit Cloud Router.
Cisco ASA 5505 mit klassischem VPN Unterstützt nur statische Routen.
Cisco ASR Unterstützt statische Routen oder dynamisches Routing mit Cloud Router.
Check Point-Sicherheitsgateway Unterstützt statische Routen oder dynamisches Routing mit Cloud Router.
Fortinet FortiGate mit HA VPN Unterstützt nur dynamisches Routing mit Cloud Router.
Fortinet FortiGate 300C mit klassischem VPN Unterstützt statische Routen oder dynamisches Routing mit Cloud Router.
Juniper SRX Unterstützt statische Routen oder dynamisches Routing mit Cloud Router.

M–Z

Leitfaden Hinweise
Microsoft Azure Unterstützt nur statische Routen.
Palo Alto Networks PA-3020 Unterstützt statische Routen oder dynamisches Routing mit Cloud Router.
strongSwan Unterstützt dynamisches Routing mit Cloud Router und BIRD.
VyOS Unterstützt statische Routen oder dynamisches Routing mit Cloud Router.

Anbieterspezifische Hinweise

Check Point

Das Check Point-VPN implementiert IKEv2 durch Erstellen mehrerer untergeordneter Sicherheitsverknüpfungen (Security Associations, SAs), wenn Sie mehr als ein CIDR pro Trafficauswahl angeben. Diese Implementierung ist nicht mit Cloud VPN kompatibel, denn hier müssen sich alle CIDRs für die lokale Trafficauswahl und alle CIDRs für die Remote-Trafficauswahl in einer einzigen untergeordneten SA befinden. Vorschläge zum Erstellen einer kompatiblen Konfiguration finden Sie unter Strategien zur Trafficauswahl.

Cisco

Wenn Ihr VPN-Gateway Cisco IOS XE ausführt, sollten Sie Version 16.6.3 (Everest) oder höher verwenden. Frühere Versionen haben bekannte Probleme mit Phase-2-Neuverschlüsselungsereignissen. Diese führen dazu, dass Tunnel alle paar Stunden für einige Minuten ausfallen.

Cisco ASA unterstützt routenbasiertes VPN mit einer VTI (Virtual Tunnel Interface) in iOS-Version 9.7(x) und höher. Hier finden Sie weitere Informationen:

Wenn Sie Cisco ASA-Geräte mit einem Cloud VPN-Tunnel verwenden, können Sie für jede lokale und Remote-Trafficauswahl nur einen IP-Adressbereich bzw. CIDR-Block konfigurieren. Das liegt daran, dass Cisco ASA-Geräte eine eindeutige Sicherheitsverknüpfung (Security Association, SA) für jeden IP-Adressbereich in einer Trafficauswahl verwenden, während Cloud VPN eine einzelne SA für alle IP-Bereiche in einer Trafficauswahl verwendet. Weitere Informationen finden Sie unter Richtlinienbasierte Tunnel und Trafficauswahl.

Nächste Schritte

  • Informationen zum Konfigurieren von Firewallregeln für Ihr Peer-Netzwerk finden Sie unter Firewallregeln konfigurieren.
  • Unter Erweiterte Konfigurationen finden Sie Szenarien mit Hochverfügbarkeit und hohem Durchsatz bzw. Szenarien mit mehreren Subnetzen.
  • Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.