Como usar VPNs de terceiros com a Cloud VPN

Esta página fornece guias de interoperabilidade testados pelo Google e observações específicas do fornecedor sobre dispositivos VPN de terceiros de peering que podem ser usados para se conectar ao Cloud VPN.

Cada guia de interoperabilidade contém instruções específicas sobre como conectar a solução de VPN de terceiros ao Cloud VPN. Se a solução oferecer suporte ao roteamento dinâmico (BGP), o guia incluirá instruções de configuração para o Cloud Router.

A maioria dos dispositivos VPN de peering é compatível com o Cloud VPN. Para informações gerais sobre como configurar dispositivos de VPN de peering, consulte Como configurar o gateway de VPN de peering.

Qualquer dispositivo ou serviço de terceiros compatível com IPSEC e IKE, versões 1 ou 2, deve ser compatível com o Cloud VPN. Para ver uma lista de criptografias IKE e outros parâmetros de configuração usados pelo Cloud VPN, consulte Criptografias IKE aceitas.

Para mais informações sobre o Cloud VPN, consulte a visão geral do Cloud VPN.

Para definições de termos usados nesta página, consulte Termos-chave.

Guias de interoperabilidade por fornecedors

Nesta seção, listamos os guias de interoperabilidade por fornecedor. Cada guia mostra como usar a solução de gateway da VPN do fornecedor com o Cloud VPN.

Para ver notas detalhadas sobre os fornecedores listados nesta seção, consulte a seção de observações específicas do fornecedor.

A-L

Guia Observações
Gateway de Cloud VPN do Alibaba sem redundância Compatível apenas com rotas estáticas.
Gateway de Cloud VPN do Alibaba com redundância Compatível apenas com rotas estáticas.
Amazon Web Services com VPN de alta disponibilidade

Compatível com roteamento dinâmico somente com o Cloud Router.

Problema conhecido: ao configurar túneis VPN para a AWS, é necessário usar o IKEv2 e configurar menos conjuntos de transformações IKE no AWS.

Amazon Web Services com VPN clássica Compatível com rotas estáticas ou roteamento dinâmico com o Cloud Router.
Cisco ASA 5506H com VPN de alta disponibilidade Compatível com roteamento dinâmico somente com o Cloud Router.
Cisco ASA 5505 com VPN clássica Compatível apenas com rotas estáticas.
Cisco ASR Compatível com rotas estáticas ou roteamento dinâmico com o Cloud Router.
Gateway de segurança do Check Point Compatível com rotas estáticas ou roteamento dinâmico com o Cloud Router.
Fortinet FortiGate com VPN de alta disponibilidade Compatível com roteamento dinâmico somente com o Cloud Router.
Fortinet FortiGate 300C com VPN clássica Compatível com rotas estáticas ou roteamento dinâmico com o Cloud Router.
SRX da Juniper Compatível com rotas estáticas ou roteamento dinâmico com o Cloud Router.

M-Z

Guia Observações
Microsoft Azure Compatível apenas com rotas estáticas.
Palo Alto Networks PA-3020 Compatível com rotas estáticas ou roteamento dinâmico com o Cloud Router.
strongSwan strongSwan Compatível com roteamento dinâmico com o Cloud Router e BIRD
VyOS (em inglês) Compatível com rotas estáticas ou roteamento dinâmico com o Cloud Router.

Observações específicas do fornecedor

Check Point

A VPN do Check Point implementa IKEv2 criando várias Associações de segurança filhas (SAs, na sigla em inglês) ao especificar mais de um CIDR por seletor de tráfego. Essa implementação é incompatível com o Cloud VPN, que exige que todos os CIDRs do seletor de tráfego local e todos os CIDRs do seletor de tráfego remoto estejam localizados em uma única SA filha. Para ver sugestões sobre como criar uma configuração compatível, consulte Estratégias do seletor de tráfego.

Cisco

Se o gateway da VPN executa o Cisco IOS XE, verifique se a versão é a 16.6.3 (Everest) ou posterior. As versões anteriores têm problemas conhecidos com eventos de rechaveamento da Fase 2, que resultam na interrupção de túneis por alguns minutos em intervalos de algumas horas.

O Cisco ASA é compatível com VPN baseada em rota com a interface de túnel virtual (VTI, na sigla em inglês) na versão 9.7(x) e mais recente do IOS. Para ver mais informações, consulte os seguintes tópicos:

Ao usar dispositivos Cisco ASA com um túnel do Cloud VPN, não é possível configurar mais de um intervalo de endereços IP (bloco CIDR) para cada um dos seletores de tráfego local e remoto. O motivo é que os dispositivos Cisco ASA usam uma SA exclusiva para cada intervalo de endereços IP no seletor de tráfego, enquanto o Cloud VPN usa uma SA exclusiva para todos os intervalos IP no seletor de tráfego. Para mais informações, consulte Túneis com base em políticas e seletores de tráfego.

A seguir