Como usar VPNs de terceiros com o Cloud VPN

Esta página fornece guias de interoperabilidade testados pelo Google e observações específicas do fornecedor sobre dispositivos VPN de terceiros de peering que podem ser usados para se conectar ao Cloud VPN.

Qualquer dispositivo ou serviço de terceiros compatível com IPSEC e IKE, versões 1 ou 2, deve ser compatível com o Cloud VPN. Para mais informações, consulte Criptografias IKE aceitas.

Cada guia de interoperabilidade contém instruções específicas sobre como conectar a solução de VPN de terceiros ao Cloud VPN.

Se a solução oferecer suporte ao roteamento dinâmico (BGP), o guia incluirá instruções de configuração para o Cloud Router.

  • A maioria dos dispositivos VPN de peering é compatível com o Cloud VPN. Para informações gerais sobre como configurar dispositivos de VPN de peering, consulte Como configurar o gateway de VPN de peering.
  • Para ver uma lista de criptografias IKE e outros parâmetros de configuração usados pelo Cloud VPN, consulte Criptografias IKE aceitas.

Guias de interoperabilidade por fornecedor

Nesta seção, listamos os guias de interoperabilidade por fornecedor em ordem alfabética. Cada guia mostra como usar a solução de gateway da VPN do fornecedor com o Cloud VPN.

Consulte a seção de notas específicas do fornecedor para acessar notas detalhadas sobre os fornecedores listados.

A-L

M-Z

  • Microsoft Azure : compatível somente com rotas estáticas
  • Palo Alto Networks PA-3020 : compatível com rotas estáticas ou roteamento dinâmico com o Cloud Router
  • strongSwan : compatível com roteamento dinâmico com o Cloud Router e BIRD
  • VyOS : compatível com rotas estáticas ou roteamento dinâmico com o Cloud Router

Observações específicas do fornecedor

Check Point

A VPN do Check Point implementa IKEv2 criando várias Associações de segurança filhas (SAs, na sigla em inglês) ao especificar mais de um CIDR por seletor de tráfego. Essa implementação é incompatível com o Cloud VPN, que exige que todos os CIDRs do seletor de tráfego local e todos os CIDRs do seletor de tráfego remoto estejam localizados em uma única SA filha. Consulte Estratégias do seletor de tráfego para sugestões sobre como criar uma configuração compatível.

Cisco

  • Se o gateway da VPN executa o Cisco IOS XE, verifique se a versão é a 16.6.3 (Everest) ou posterior. As versões anteriores têm problemas conhecidos com eventos de rechaveamento da Fase 2, que resultam na interrupção de túneis por alguns minutos em intervalos de algumas horas.
  • O Cisco ASA é compatível com VPN baseada em rota com a interface de túnel virtual (VTI, na sigla em inglês) na versão 9.7(x) e mais recente do IOS. Consulte as Notas de lançamento do Cisco ASA Series 9.7(x) e o capítulo sobre VTI no guia de configuração da CLI da VPN do Cisco ASA Series 9.7.
  • Ao usar dispositivos Cisco ASA com um túnel do Cloud VPN, não é possível configurar mais de um intervalo de endereços IP (bloco CIDR) para cada um dos seletores de tráfego local e remoto. O motivo é que os dispositivos Cisco ASA usam uma SA exclusiva para cada intervalo de endereços IP no seletor de tráfego, enquanto o Cloud VPN usa uma SA exclusiva para todos os intervalos IP no seletor de tráfego. Consulte seletores de tráfego para mais informações.

A seguir