ピア VPN ゲートウェイの構成

このページでは、VPN の構成を完了する手順について説明します。

構成を完了するには、ピア VPN ゲートウェイで次のリソースを構成します。

Cloud VPN に対応する VPN トンネル
Border Gateway Protocol（BGP）セッション（Cloud Router で動的ルーティングを使用している場合）
ファイアウォールルール
IKE 設定

ピアゲートウェイを設定する場合のベストプラクティスについては、ピアゲートウェイのドキュメントをご覧いただくか、メーカーにお問い合わせください。一部のサポートされているサードパーティの VPN デバイスとサービスのガイドについては、サードパーティ VPN を使用するをご覧ください。また、一部のサードパーティデバイス構成テンプレートは、Google Cloud コンソールからダウンロードできます。詳細については、ピア VPN 構成テンプレートのダウンロードをご覧ください。

Cloud VPN の詳細については、次のリソースをご覧ください。

Cloud VPN を設定する前に検討すべきベストプラクティスについては、ベストプラクティスをご覧ください。
Cloud VPN の詳細については、Cloud VPN の概要をご覧ください。
このページで使用している用語の定義については、主な用語をご覧ください。

HA VPN 用の外部ピア VPN ゲートウェイリソースを構成する

HA VPN では、Google Cloud の物理ピアゲートウェイとなる外部ピア VPN ゲートウェイリソースを構成します。このリソースをスタンドアロンリソースとして作成し、後で使用することもできます。

外部ピア VPN ゲートウェイリソースを作成するには、物理ピアゲートウェイ（サードパーティのソフトウェアベースゲートウェイの場合もあります）から次の値を取得する必要があります。VPN を確立するには、外部ピア VPN ゲートウェイリソースの値が物理ピアゲートウェイの構成と一致する必要があります。

物理 VPN ゲートウェイ上のインターフェースの数
1 つ以上のピアゲートウェイまたはインターフェースの外部 IP アドレス
BGP エンドポイントの IP アドレス
IKE 事前共有キー（共有シークレット）
ASN 番号

HA VPN の BGP セッションを構成して IPv6 を有効にする場合は、IPv6 ネクストホップアドレスを構成することもできます。これらの IP アドレスを手動で構成しない場合、Google Cloud はこれらの IPv6 ネクストホップアドレスを自動的に割り当てます。

HA VPN トンネルで IPv4 と IPv6 のトラフィック（デュアルスタックトラフィック）を許可するには、BGP ピアに割り当てられた IPv6 ネクストホップアドレスを取得する必要があります。さらに、ピア VPN デバイスで VPN トンネルを構成するときに、IPv6 ネクストホップアドレスを構成する必要があります。IPv6 アドレスは各デバイスのトンネルインターフェースで構成しますが、その IPv6 アドレスは IPv6 ネクストホップ構成にのみ使用されます。IPv6 ルートは、IPv6 NLRI over IPv4 の BGP ピアリングを介してアドバタイズされます。IPv6 のネクストホップアドレス構成の例については、IPv4 トラフィックと IPv6 トラフィックにサードパーティ VPN を設定するをご覧ください。

スタンドアロンの外部ピア VPN ゲートウェイリソースを作成するには、次の操作を行います。

コンソール

Google Cloud コンソールで、[VPN] ページに移動します。

[VPN] に移動
[ピア VPN ゲートウェイの作成] をクリックします。
ピアゲートウェイに名前を付けます。
物理ピアゲートウェイのインターフェース数（one、two または four）を選択します。
物理 VPN ゲートウェイの各インターフェースのインターフェース IP アドレスを追加します。
[作成] をクリックします。

gcloud

次のコマンドを実行する場合は、物理 VPN ゲートウェイのインターフェース ID と IP アドレスを入力します。入力できるインターフェースの数は、1、2 または 4 つです。

gcloud compute external-vpn-gateways create mygateway \
  --interfaces 0=35.254.128.120,1=35.254.128.121

コマンドの出力は次の例のようになります。

Creating external VPN gateway...done.
NAME       REDUNDANCY_TYPE
mygateway  TWO_IPS_REDUNDANCY

API

このコマンドには、このリストのゲートウェイの冗長性タイプを使用できます。

POST リクエストを行うには、externalVpnGateways.insert メソッドを使用します。

  POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
  {
    "name": "mygateway",
    "interfaces": [
      {
        "id": 0,
        "ipAddress": "35.254.128.120"
      },
      {
        "id": 1,
        "ipAddress": "35.254.128.121"
      },
    ],
    "redundancyType": "TWO_IPS_REDUNDANCY"
  }

VPN トンネルを構成する

作成した各 Cloud VPN トンネルに対応するトンネルを作成するには、ピア VPN ゲートウェイのドキュメントをご覧ください。

HA VPN の場合、ピアゲートウェイに 2 つのトンネルを構成します。ピアゲートウェイの 1 つのトンネルは、interface 0 の Cloud VPN トンネルに対応している必要があります。ピアゲートウェイの別のトンネルは、interface 1 の Cloud VPN トンネルに対応している必要があります。

ピアゲートウェイの各トンネルでは、HA VPN ゲートウェイで使用する一意の外部 IP アドレスも使用する必要があります。

動的ルーティング用の BGP セッションを構成する

動的ルーティングの場合のみ、Cloud Router にアドバタイズするピアサブネットの BGP セッションをサポートするように、ピア VPN ゲートウェイを構成します。

ピアゲートウェイを構成するには、Cloud Router の ASN と IP アドレス、Cloud VPN ゲートウェイの情報を使用します。Google ASN、構成済みピアネットワークの ASN、BGP IP アドレスを取得するには、Cloud Router の概要情報を使用します。

IPv4 と IPv6 トラフィック（デュアルスタックトラフィック）を許可するように HA VPN を構成する場合は、BGP ピアに IPv6 ネクストホップアドレスを割り当てられたピアゲートウェイを構成する必要があります。

HA VPN の場合、Google ASN（ピア VPN ゲートウェイにとってのピア ASN）は両方のトンネルで同じになります。

BGP セッションを構成して、MD5 認証を使用することもできます。

ファイアウォールルールの構成

IPv6 を使用する HA VPN 接続では、IPv6 トラフィックを許可するようにファイアウォールを構成する必要があります。

ピアネットワークのファイアウォールルールの構成手順については、ファイアウォールルールを構成するをご覧ください。

IKE を構成する

ピア VPN ゲートウェイで、動的、ルートベース、ポリシーベースのルーティング用に IKE を構成できます。

HA VPN トンネルは、IPv6 トラフィックをサポートするために IKE v2 を使用する必要があります。

ピア VPN ゲートウェイと IKE のトンネルを構成するには、次の表のパラメータを使用します。

Cloud VPN をサードパーティ VPN ソリューションに接続する方法については、Cloud VPN でのサードパーティ VPN の使用をご覧ください。IPsec の暗号化と認証の設定については、サポートされている IKE の暗号をご覧ください。

IKEv1 と IKEv2 の共通のパラメータ

設定	値
IPsec Mode	ESP+Auth トンネルモード（サイト間）
Auth Protocol	`psk`
Shared Secret	IKE 事前共有キーとも呼ばれます。これらのガイドラインに従って強力なパスワードを選択してください。事前共有キーはネットワークへのアクセスを許可するため、取り扱いには十分に注意してください。
Start	`auto`（ピアデバイスが切断された場合、自動的に再接続する必要があります）
PFS（Perfect Forward Secrecy）	`on`
DPD（Dead Peer Detection）	推奨: `Aggressive`。VPN が再起動されてトラフィックが別のトンネルを使用してルーティングされたことを検出します。
INITIAL_CONTACT （`uniqueids` ともいいます）	推奨: `on`（`restart` ともいいます）。目的: ダウンタイムを少なくできるように、再起動を迅速に検出します。
TSi（Traffic Selector - Initiator）	サブネットネットワーク: `--local-traffic-selector` フラグで指定された範囲です。VPN が自動モードの VPC ネットワークにあり、ゲートウェイのサブネットしか通知しないために `--local-traffic-selector` が指定されていない場合、そのサブネット範囲が使用されます。レガシーネットワーク: ネットワークの範囲。
TSr（Traffic Selector - Responder）	IKEv2: `--next-hop-vpn-tunnel` がこのトンネルに設定されたすべてのルートの送信先の範囲です。 IKEv1: `--next-hop-vpn-tunnel` がこのトンネルに設定されたいずれかのルートの送信先の範囲です（任意）。
MTU	ピア VPN デバイスの最大伝送単位（MTU）は 1,460 バイト以下にする必要があります。パケットが断片化されてから暗号化されるように、デバイスで事前分割化を有効にします。詳細については、MTU に関する考慮事項をご覧ください。

IKEv1 のみの追加パラメータ

設定	値
IKE/ISAKMP	`aes128-sha1-modp1024`
ESP	`aes128-sha1`
PFS Algorithm	グループ 2（`MODP_1024`）

トラフィックセレクタの構成

IPv4 トラフィックと IPv6 トラフィックの両方をサポートするには、ピア VPN ゲートウェイのトラフィックセレクタを 0.0.0.0/0,::/0 に設定します。

IPv4 トラフィックのみをサポートするには、ピア VPN ゲートウェイのトラフィックセレクタを 0.0.0.0/0 に設定します。

次のステップ

ピア VPN デバイスの構成テンプレートをダウンロードするには、ピア VPN 構成テンプレートをダウンロードするをご覧ください。
ピアネットワークのファイアウォールルールを構成するには、ファイアウォールルールを構成するをご覧ください。
高可用性と高スループットのシナリオ、または複数のサブネットシナリオを使用する。高度な構成をご覧ください。
Cloud VPN の使用時に発生する可能性のある一般的な問題を解決する。トラブルシューティングをご覧ください。