Configuring the Peer VPN gateway

To complete your VPN configuration, you must configure the following resources on your peer VPN gateway:

  • Corresponding VPN tunnel(s) to Cloud VPN
  • BGP sessions if you are using dynamic routing with Cloud Router.
    You must always configure BGP sessions for HA VPN gateways and for Classic VPN gateways with tunnels that use dynamic routing.
  • Firewall rules
  • IKE settings

All of these resources are described in this document.

See your peer gateway documentation or manufacturer for best practices when setting up your peer gateway. See the VPN Interop Guides page for guides that describe some supported third-party VPN devices and services.

External peer gateway resources for HA VPN

When you configure a HA VPN gateway, you configure an external VPN gateway resource and gather the following resource values that describe your actual peer gateway.

The following values for the external VPN gateway resource must match the configuration on your actual peer gateway for the VPN to be established:

  • Public IP address or addresses for the peer gateway(s) or interfaces
  • BGP endpoint IP address or addresses
  • The preshared key
  • The ASN number

For more information, see the section on creating HA VPN gateways in the how-to documentation.

Configuring VPN tunnels

Consult the documentation for your peer VPN gateway to create corresponding tunnels for each Cloud VPN tunnel you've created.

For HA VPN, configure two tunnels on your peer gateway. One tunnel on the peer gateway should correspond to the Cloud VPN tunnel on interface 0, and another tunnel on the peer gateway should correspond to the Cloud VPN tunnel on interface 1.

Each tunnel on your peer gateway should also use a unique public IP address for your HA VPN gateway to use.

Configuring BGP sessions for dynamic routing

For dynamic routing only, configure your peer VPN gateway to support BGP sessions for the peer subnets you want to advertise to Cloud Router.

Use the ASNs and IP addresses of your Cloud Router, and the information from your Cloud VPN gateway, to configure your peer gateway.

You can use Cloud Router summary information to obtain the Google ASN, configured peer network ASN(s), and BGP IP addresses. See Viewing the Router Configuration to get the above information for your Cloud Router.

For HA VPN, note that the Google ASN, which is the peer ASN from the perspective of your peer VPN gateway, is the same for both tunnels.

Configuring firewall rules

For instructions on configuring firewall rules for your peer network, see Configuring Firewall Rules.

Configuring IKE

For dynamic, route based, and policy based routing, use the following instructions to configure IKE on your peer VPN gateway.

オンプレミス VPN ゲートウェイとトンネルを IKE 用に構成するには、次のパラメータを使用します。

IKEv1 と IKEv2 の共通のパラメータ:

設定
IPsec Mode ESP+Auth トンネルモード(サイト間)
Auth Protocol psk
Shared Secret IKE 事前共有キーとも呼ばれます。こちらのガイドラインに従って強力なパスワードを選択してください。共有シークレットはネットワークへのアクセスを制御する情報であるため、取り扱いには十分に注意してください。
Start auto(オンプレミス端末が切断された場合に自動的に再接続されます)
PFS(Perfect Forward Secrecy) on
DPD(Dead Peer Detection) 推奨: Aggressive。Cloud VPN が再起動されてトラフィックが別のトンネルでルーティングされたことを検出します。
INITIAL_CONTACT(または uniqueids) 推奨: on(または restart)。ダウンタイムを少なくできるように、再起動を迅速に検出することが目的です。
TSi(Traffic Selector - Initiator) サブネット ネットワーク: --local-traffic-selector フラグで指定された範囲。VPN が自動モード VPC ネットワーク内にあり、ゲートウェイのサブネットしか通知しないために --local-traffic-selector を指定していない場合は、そのサブネットの範囲が使用されます。
レガシー ネットワーク: ネットワークの範囲。
TSr (Traffic Selector - Responder) IKEv2: --next-hop-vpn-tunnel がこのトンネルに設定されたすべてのルートの送信先範囲。
IKEv1: --next-hop-vpn-tunnel がこのトンネルに設定されたいずれかのルートの送信先の範囲(任意)。
MTU オンプレミス VPN 端末の MTU は 1460 以下に設定する必要があります。オンプレミス VPN 端末から送出される ESP パケットは 1460 バイトを超えてはなりません。ご使用の端末で事前分割を有効にする必要があります。つまり、まずパケットを分割してからカプセル化してください。詳細については、The Maximum Transmission Unit(MTU)に関する考慮事項をご覧ください。

IKEv1 のみの追加パラメータ:

設定
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
PFS Algorithm グループ 2(modp_1024)

Supported IKE Ciphers

Cloud VPN supports the following ciphers and configuration parameters for peer VPN devices or VPN services. Cloud VPN auto-negotiates the connection as long as the peer side uses a supported IKE cipher setting.

それぞれの役割に対して、Cloud VPN で現在サポートされているセキュリティ オプションのうち、最も安全性の高いものが太字で示されています。
注: Cloud VPN は IPSec ESP トンネルモードで動作します。

サポートされている IKEv2 の暗号
フェーズ 暗号の役割 暗号
フェーズ 1 暗号化 • 3DES
• AES-CBC-128、AES-CBC-192、AES-CBC-256
• AES-GCM-128-8、AES-GCM-192-8、AES-GCM-256-8
• AES-GCM-128-12、AES-GCM-192-12、AES-GCM-256-12
• AES-GCM-128-16、AES-GCM-192-16、AES-GCM-256-16
プラットフォームによっては、GCM アルゴリズムの ICV パラメータのオクテット数(8、12、16)がビット数(それぞれ 64、96、128)で指定される場合があります。
整合性 • HMAC-MD5-96
• HMAC-SHA1-96
• AES-XCBC-96、AES-CMAC-96
• HMAC-SHA2-256-128、HMAC-SHA2-384-192、HMAC-SHA2-512-256
名前はプラットフォームごとに異なります。たとえば、HMAC-SHA2-512-256 は、切り捨ての長さの数値やその他の余分な情報を除去して単に SHA-512 と呼ばれる場合があります。
擬似ランダム関数(PRF) • PRF-MD5-96
• PRF-SHA1-96
• PRF-AES-XCBC-96、PRF-AES-CMAC-96
• PRF-SHA2-256、PRF-SHA2-384、PRF-SHA2-512
多くの端末では、PRF を明示的に設定する必要はありません。
Diffie-Hellman(DH) • グループ 2(modp_1024)、グループ 5(modp_1536)、グループ 14(modp_2048)、グループ 15(modp_3072)、グループ 16(modp_4096)
• modp_1024s160、modp_2048s224、modp_2048s256
フェーズ 1 のライフタイム 36,000 秒(10 時間)
フェーズ 2 暗号化 • 3DES
• AES-CBC-128、AES-CBC-192、AES-CBC-256
• AES-GCM-128-8、AES-GCM-192-8、AES-GCM-256-8
• AES-GCM-128-12、AES-GCM-192-12、AES-GCM-256-12
• AES-GCM-128-16、AES-GCM-192-16、AES-GCM-256-16
プラットフォームによっては、GCM アルゴリズムの ICV パラメータのオクテット数(8、12、16)がビット数(それぞれ 64、96、128)で指定される場合があります。
整合性 • HMAC-MD5-96
• HMAC-SHA1-96
• AES-XCBC-96、AES-CMAC-96
• HMAC-SHA2-256-128、HMAC-SHA2-384-192、HMAC-SHA2-512-256
名前はプラットフォームごとに異なります。たとえば、HMAC-SHA2-512-256 は、切り捨ての長さの数値やその他の余分な情報を除去して単に SHA-512 と呼ばれる場合があります。
PFS アルゴリズム(必須) • グループ 2(modp_1024)、グループ 5(modp_1536)、グループ 14(modp_2048)、グループ 15(modp_3072)、グループ 16(modp_4096)、グループ 18(modp_8192)
• modp_1024s160、modp_2048s224、modp_2048s256
Diffie-Hellman(DH) 端末によってはフェーズ 2 で DH 値が必須になる場合があります。その場合はフェーズ 1 で使用した値を使用してください。
フェーズ 2 のライフタイム 10,800 秒(3 時間)
サポートされている IKEv1 の暗号
フェーズ 暗号の役割 暗号
フェーズ 1 暗号化 AES-CBC-128
整合性 HMAC-SHA1-96
PFS アルゴリズム(必須) グループ 2(modp_1024)
擬似ランダム関数(PRF) PRF-SHA1-96
Diffie-Hellman(DH) グループ 2(modp_1024)
フェーズ 1 のライフタイム 36,600 秒(10 時間 10 分)
フェーズ 2 暗号化 AES-CBC-128
整合性 HMAC-SHA1-96
Diffie-Hellman(DH) 端末によってはフェーズ 2 で DH 値が必須になる場合があります。その場合はフェーズ 1 で使用した値を使用してください。
フェーズ 2 のライフタイム 10,800 秒(3 時間)

What's next

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...