Utiliser des VPN tiers avec Cloud VPN

Cette page fournit des guides d'interopérabilité testés par Google et des remarques spécifiques aux fournisseurs pour les appareils ou services VPN tiers de pairs qui peuvent vous servir à vous connecter à Cloud VPN.

Chaque guide d'interopérabilité fournit des instructions spécifiques pour connecter la solution VPN tierce concernée à Cloud VPN. Si la solution tierce est compatible avec le routage dynamique (BGP), le guide inclut des instructions de configuration pour le routeur Cloud.

La plupart des appareils VPN de pairs sont normalement compatibles avec Cloud VPN. Pour obtenir des informations générales sur leur configuration, consultez la page Configurer votre passerelle VPN de pairs.

Tout appareil ou service tiers compatible avec IPSEC et les versions 1 ou 2 d'IKE doit également être compatible avec Cloud VPN. Pour obtenir la liste des algorithmes de chiffrements IKE et des autres paramètres de configuration utilisés par Cloud VPN, consultez la page Algorithmes de chiffrement IKE compatibles.

Pour en savoir plus sur Cloud VPN, consultez la Présentation de Cloud VPN.

Pour connaître la définition des termes utilisés sur cette page, consultez la section Termes clés.

Guides d'interopérabilité de chaque fournisseur

Cette section répertorie les guides d'interopérabilité des fournisseurs. Chaque guide explique comment utiliser la solution de passerelle VPN du fournisseur concerné avec Cloud VPN.

Pour obtenir des notes détaillées sur les fournisseurs répertoriés dans cette section, consultez la section Remarques spécifiques aux fournisseurs.

A-L

Guide Remarques
Alibaba – Passerelle Cloud VPN sans redondance Uniquement compatible avec les routes statiques.
Alibaba – Passerelle Cloud VPN avec redondance Uniquement compatible avec les routes statiques.
Amazon Web Services avec VPN haute disponibilité

Compatible uniquement avec le routage dynamique avec Cloud Router.

Problème connu : lors de la configuration de tunnels VPN vers AWS, vous devez utiliser IKEv2 et configurer moins d'ensembles de transformation IKE du côté AWS.

Amazon Web Services avec un VPN classique Compatible avec les routes statiques ou le routage dynamique avec Cloud Router.
Cisco ASA 5506H avec VPN haute disponibilité Compatible uniquement avec le routage dynamique avec Cloud Router.
Cisco ASA 5505 avec VPN classique Uniquement compatible avec les routes statiques.
Cisco ASR Compatible avec les routes statiques ou le routage dynamique avec Cloud Router.
Check Point – Passerelle de sécurité Compatible avec les routes statiques ou le routage dynamique avec Cloud Router.
Fortinet FortiGate avec VPN haute disponibilité Compatible uniquement avec le routage dynamique avec Cloud Router.
Fortinet FortiGate 300C avec VPN classique Compatible avec les routes statiques ou le routage dynamique avec Cloud Router.
Juniper SRX Compatible avec les routes statiques ou le routage dynamique avec Cloud Router.

M-Z

Guide Remarques
Microsoft Azure Uniquement compatible avec les routes statiques.
Palo Alto Networks PA-3020 Compatible avec les routes statiques ou le routage dynamique avec Cloud Router.
strongSwan Compatible avec le routage dynamique avec Cloud Router et BIRD.
VyOS Compatible avec les routes statiques ou le routage dynamique avec Cloud Router.

Remarques propres aux fournisseurs

Check Point

Si vous spécifiez plusieurs CIDR par sélecteur de trafic, Check Point VPN met en œuvre IKEv2 en créant plusieurs associations de sécurité enfant. Cette mise en œuvre n'est pas compatible avec Cloud VPN, car celui-ci nécessite que tous les CIDR du sélecteur de trafic local et du sélecteur de trafic distant se trouvent dans une seule association de sécurité enfant. Pour obtenir des suggestions sur la création d'une configuration compatible, consultez la section Stratégies relatives aux sélecteurs de trafic.

Cisco

Si votre passerelle VPN exécute Cisco IOS XE, vérifiez que vous utilisez la version 16.6.3 (Everest) ou une version ultérieure. Des problèmes liés aux événements de regénération de clés de phase 2 ont été identifiés avec les versions antérieures. Ils entraînent un arrêt des tunnels pendant quelques minutes toutes les deux ou trois heures.

Cisco ASA prend en charge les réseaux VPN basés sur des routes avec une interface de tunnel virtuelle (VTI) dans la version iOS 9.7(x) et versions ultérieures. Pour en savoir plus, consultez les ressources suivantes :

Lors de l'utilisation des appareils Cisco ASA avec un tunnel Cloud VPN, vous ne pouvez pas configurer plusieurs plages d'adresses IP (blocs CIDR) pour chacun des sélecteurs de trafic locaux et distants. En effet, ces appareils utilisent une association de sécurité unique pour chaque plage d'adresses IP d'un sélecteur de trafic, alors que Cloud VPN utilise une seule association de sécurité pour toutes les plages d'adresses IP du sélecteur. Pour en savoir plus, consultez la section Tunnels basés sur des règles et sélecteurs de trafic.

Étape suivante

  • Pour trouver des ressources sur la maintenance des tunnels et des passerelles VPN, consultez les guides de maintenance des VPN.
  • Pour utiliser des scénarios à haute disponibilité et à haut débit, ou des scénarios à plusieurs sous-réseaux, consultez la section Configurations avancées.
  • Pour vous aider à résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud VPN, consultez la page Dépannage.