Como configurar o gateway da VPN local

Nesta página, mostramos como configurar o IKE e o BGP para o gateway da VPN local.

Como configurar o IKE

Para roteamento dinâmico, com base em rota e com base em políticas, use as instruções a seguir para configurar o IKE no gateway da VPN local.

Configure o gateway e o túnel da VPN local para o IKE usando os parâmetros a seguir.

Para IKEv1 e IKEv2:

Configuração Valor
Modo IPsec Modo Túnel ESP+Autenticação (Site-to-Site)
Protocolo de autenticação psk
Chave secreta compartilhada Também conhecida como chave IKE pré-compartilhada. Escolha uma senha forte seguindo estas diretrizes. A chave secreta compartilhada é altamente confidencial. É dela que depende o acesso à rede.
Início auto (o dispositivo local reinicia automaticamente a conexão se ela cair)
PFS (Perfect Forward Secrecy) ativado
DPD (Dead Peer Detection) Recomendado: Aggressive. A DPD detecta quando o Cloud VPN reinicia e roteia o tráfego usando túneis alternativos.
CONTATO INICIAL (às vezes chamado de códigos exclusivos) Recomendado: on (às vezes chamado de restart). O objetivo é detectar reinícios com mais rapidez para reduzir a inatividade percebida.
TSi (Traffic Selector - Initiator) Redes de sub-rede: os intervalos especificados pela sinalização --local-traffic-selector. Se --local-traffic-selector não tiver sido especificado porque a VPN é uma rede VPC de modo automático e anuncia somente a sub-rede do gateway, esse intervalo de sub-rede será usado.
Redes legadas: o intervalo da rede.
TSr (Traffic Selector - Responder) IKEv2: os intervalos de destino de todas as rotas com --next-hop-vpn-tunnel configurados para esse túnel.
IKEv1: arbitrariamente, o intervalo de destino de uma das rotas com --next-hop-vpn-tunnel configurado para esse túnel.
MTU A MTU do dispositivo da VPN local precisa ser definido como 1.460 ou menos. Os pacotes ESP que saem do dispositivo não podem exceder 1.460 bytes. Ative a pré-fragmentação do dispositivo para que os pacotes sejam fragmentados primeiro e, depois, encapsulados. Para mais informações, consulte Considerações sobre a unidade máxima de transmissão (MTU).

Parâmetros adicionais somente para IKEv1:

Configuração Valor
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
Algoritmo PFS Grupo 2 (MODP_1024)

Como configurar a sessão do BGP para roteamento dinâmico

Somente para roteamento dinâmico, configure o gateway da VPN local para que ele seja compatível com uma sessão BGP.

Para configurar o gateway da VPN local para uma sessão do BGP, procure os ASNs e os endereços IP de e as conexões locais e use as informações a seguir para configurá-lo.

Console


  1. Abra a Cloud Router list.
  2. Clique no nome do Cloud Router.
  3. Anote os valores de ASN do Google, ASN local, IP do BGP do Cloud Router e IP do BGP local.

gcloud


    gcloud compute --project [PROJECT_ID] routers describe my-router --region asia-east1
  

    bgp:
     asn: 65001
    bgpPeers:
    - interfaceName: if-bgp-peer1
      ipAddress: 169.254.1.1
      name: bgp-peer1
      peerAsn: 65002
      peerIpAddress: 169.254.1.2
    creationTimestamp: '2015-10-19T14:31:52.639-07:00'
    id: '4047683710114914215'
    interfaces:
    - ipRange: 169.254.1.1/30
      linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/regions/asia-east1/vpnTunnels/tunnel1
      name: if-bgp-peer1
    kind: compute#router
    name: my-router
    network: https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/global/networks/my-network
    region: https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/regions/asia-east1
    selfLink: https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/regions/asia-east1/routers/my-router
  

Anote as informações de asn, ipAddress, peerAsn e peerIpAddress.

A seguir

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…