Cette page décrit la procédure à suivre pour terminer la configuration de votre VPN.
Pour terminer la configuration, configurez les ressources suivantes sur votre passerelle VPN de pairs :
- Tunnels VPN correspondants au Cloud VPN
- Sessions BGP (Border Gateway Protocol) si vous utilisez le routage dynamique avec Cloud Router
- Règles de pare-feu
- Paramètres IKE
Pour connaître les bonnes pratiques à suivre pour configurer la passerelle de pairs, consultez la documentation ou le fabricant de votre passerelle de pairs. Pour consulter des guides décrivant certains appareils et services VPN tiers compatibles, consultez la page Utiliser des VPN tiers. En outre, certains modèles de configuration d'appareils tiers sont disponibles en téléchargement dans la console Google Cloud. Pour en savoir plus, consultez la page Télécharger un modèle de configuration VPN de pairs.
Pour en savoir plus sur Cloud VPN, consultez les ressources suivantes :
Pour découvrir les bonnes pratiques à suivre avant de configurer Cloud VPN, consultez la page Bonnes pratiques.
Pour en savoir plus sur Cloud VPN, consultez la Présentation de Cloud VPN.
Pour connaître la définition des termes utilisés sur cette page, consultez la section Termes clés.
Configurer des ressources de passerelle VPN de pairs externe pour VPN haute disponibilité
Pour une passerelle VPN haute disponibilité, vous devez configurer une ressource de passerelle VPN de pairs externe qui représente votre passerelle de pairs physique dans Google Cloud. Vous pouvez également créer cette ressource en tant que ressource autonome, et l'utiliser ultérieurement.
Pour créer une passerelle VPN de pairs externe, vous devez disposer des valeurs suivantes concernant votre passerelle de pairs physique, qui peut également être une passerelle logicielle tierce. Pour que le VPN soit établi, les valeurs de la ressource de passerelle VPN de pairs externe doivent correspondre à la configuration de votre passerelle de pairs physique :
- Nombre d'interfaces sur votre passerelle VPN physique
- Adresse(s) IP externe(s) pour une ou plusieurs passerelles ou interfaces de pairs
- Adresse(s) IP de point de terminaison BGP
- Clé pré-partagée IKE (clé secrète partagée)
- Numéro ASN
Lorsque vous configurez les sessions BGP pour le VPN haute disponibilité et activez IPv6, vous avez la possibilité de configurer des adresses de saut suivant IPv6. Si vous ne les configurez pas manuellement, Google Cloud vous attribue automatiquement ces adresses de saut suivant IPv6.
Pour autoriser le trafic IPv4 et IPv6 (double pile) dans les tunnels VPN haute disponibilité, vous devez obtenir l'adresse IPv6 de saut suivant attribuée au pair BGP. Vous devez ensuite configurer l'adresse de saut suivant IPv6 lorsque vous configurez les tunnels VPN sur votre appareil VPN de pairs. Bien que vous configuriez des adresses IPv6 sur les interfaces de tunnel de chaque appareil, les adresses IPv6 ne sont utilisées que pour la configuration du saut suivant IPv6. Les routes IPv6 sont annoncées via IPv6 NLRI sur IPv4 BGP. Pour obtenir des exemples de configurations d'adresse de saut suivant IPv6, consultez la page Configurer des VPN tiers pour le trafic IPv4 et IPv6.
Pour créer une ressource de passerelle VPN de pairs externe autonome, procédez comme suit :
Console
Dans Google Cloud Console, accédez à la page VPN.
Cliquez sur Créer une passerelle VPN de pairs.
Attribuez un nom à la passerelle de pairs.
Sélectionnez le nombre d'interfaces dont dispose votre passerelle de pairs physique :
one,twooufour.Renseignez le champ Adresse IP de l'interface pour chaque interface de votre passerelle VPN physique.
Cliquez sur Créer.
gcloud
Lorsque vous exécutez la commande suivante, saisissez l'ID d'interface et l'adresse IP de votre passerelle VPN physique. Vous pouvez saisir 1, 2 ou 4 interfaces.
gcloud compute external-vpn-gateways create mygateway \ --interfaces 0=35.254.128.120,1=35.254.128.121
Le résultat de la commande devrait ressembler à ceci :
Creating external VPN gateway...done. NAME REDUNDANCY_TYPE mygateway TWO_IPS_REDUNDANCY
API
Pour cette commande, vous pouvez utiliser cette liste de types de redondance de passerelle.
Envoyez une requête POST à l'aide de la méthode externalVpnGateways.insert.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
{
"name": "mygateway",
"interfaces": [
{
"id": 0,
"ipAddress": "35.254.128.120"
},
{
"id": 1,
"ipAddress": "35.254.128.121"
},
],
"redundancyType": "TWO_IPS_REDUNDANCY"
}
Configurer des tunnels VPN
Pour créer des tunnels correspondants pour chaque tunnel Cloud VPN que vous avez créé, consultez la documentation de votre passerelle VPN de pairs.
Pour les VPN haute disponibilité, configurez deux tunnels sur votre passerelle de pairs.
Un tunnel sur la passerelle de pairs doit correspondre au tunnel Cloud VPN sur interface 0. Un autre tunnel sur la passerelle de pairs doit correspondre au tunnel Cloud VPN sur interface 1.
Chaque tunnel de votre passerelle de pairs doit également utiliser une adresse IP externe unique pour votre passerelle VPN haute disponibilité.
Configurer des sessions BGP pour le routage dynamique
Pour le routage dynamique uniquement, configurez votre passerelle VPN de pairs de sorte qu'elle accepte les sessions BGP pour les sous-réseaux pairs que vous souhaitez annoncer sur le routeur Cloud Router.
Pour configurer votre passerelle de pairs, utilisez les ASN et les adresses IP de votre routeur Cloud Router, ainsi que les informations de votre passerelle Cloud VPN. Pour obtenir l'ASN Google, les ASN des réseaux pairs configurés et les adresses IP de BGP, utilisez les informations récapitulatives du routeur Cloud Router.
Si vous configurez un VPN haute disponibilité pour autoriser le trafic IPv4 et IPv6 (double pile), vous devez configurer la passerelle de pairs avec l'adresse de saut suivant IPv6 attribuée au pair BGP.
Pour le VPN haute disponibilité, notez que l'ASN Google, qui correspond à l'ASN de pairs du point de vue de votre passerelle VPN de pairs, est le même pour les deux tunnels.
Vous pouvez éventuellement configurer vos sessions BGP pour utiliser l'authentification MD5.
Configurer des règles de pare-feu
Pour les connexions VPN haute disponibilité utilisant le protocole IPv6, vous devez configurer vos pare-feu afin d'autoriser le trafic IPv6.
Pour obtenir des instructions au sujet de la configuration des règles de pare-feu pour votre réseau de pairs, consultez la section Configurer les règles de pare-feu.
Configurer IKE
Vous pouvez configurer IKE sur votre passerelle VPN de pairs pour le routage dynamique, basé sur des routes et basé sur des règles.
Les tunnels VPN haute disponibilité doivent utiliser IKE v2 pour accepter le trafic IPv6.
Pour configurer le tunnel et la passerelle VPN de pairs pour IKE, utilisez les paramètres indiqués dans le tableau suivant.
Pour en savoir sur la connexion de Cloud VPN à certaines solutions VPN tierces, consultez la section Utiliser des VPN tiers avec Cloud VPN. Pour obtenir des informations sur les paramètres d'authentification et de chiffrement IPsec, reportez-vous à la page Algorithmes de chiffrement IKE compatibles.
Pour IKEv1 et IKEv2
| Paramètre | Valeur |
|---|---|
| Mode IPsec | Mode tunnel ESP+Auth (de site à site) |
| Protocole d'authentification | psk |
| Clé secrète partagée | Également appelée clé prépartagée IKE. Choisissez un mot de passe sécurisé en suivant ces consignes. La clé pré-partagée est sensible, car elle permet d'accéder à votre réseau. |
| Démarrer | auto (en cas de perte de connexion de l'appareil pair, il devrait automatiquement redémarrer la connexion) |
| PFS (Perfect Forward Secrecy) | on |
| DPD (Dead Peer Detection) | Option recommandée : Aggressive. DPD détecte le redémarrage du VPN et utilise un autre tunnel pour acheminer le trafic. |
| INITIAL_CONTACT (parfois appelé uniqueids) |
Option recommandée : on (parfois appelée restart). Objectif : détecter les redémarrages plus rapidement afin de réduire les temps d'arrêt apparents. |
| TSi (Traffic Selector – Initiator) | Réseaux de sous-réseaux : plages spécifiées par l'option Anciens réseaux : plage du réseau. |
| TSr (Traffic Selector – Responder) | IKEv2 : valeur correspondant aux plages de destination de toutes les routes dont l'option IKEv1 : valeur correspondant arbitrairement à la plage de destination de l'une des routes dont l'option |
| MTU | L'unité de transmission maximale (MTU) de l'appareil de VPN pair ne doit pas dépasser 1 460 octets. Activez la préfragmentation sur votre appareil afin que les paquets soient d'abord fragmentés, puis encapsulés. Pour en savoir plus, consultez la section Considérations relatives aux MTU. |
Autres paramètres applicables à IKEv1 uniquement
| Paramètre | Valeur |
|---|---|
| IKE/ISAKMP | aes128-sha1-modp1024 |
| ESP | aes128-sha1 |
| Algorithme PFS | Groupe 2 (MODP_1024) |
Configurer des sélecteurs de trafic
Pour accepter le trafic IPv4 et IPv6, définissez les sélecteurs de trafic de votre passerelle VPN de pairs sur 0.0.0.0/0,::/0.
Pour n'accepter que le trafic IPv4, définissez les sélecteurs de trafic de votre passerelle VPN de pairs sur 0.0.0.0/0.
Étape suivante
- Pour télécharger un modèle de configuration pour votre appareil VPN de pairs, consultez la page Télécharger un modèle de configuration VPN de pairs.
- Pour configurer des règles de pare-feu pour votre réseau de pairs, consultez la section Configurer des règles de pare-feu.
- Pour utiliser des scénarios à haute disponibilité et à haut débit, ou des scénarios à plusieurs sous-réseaux, consultez la section Configurations avancées.
- Pour vous aider à résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud VPN, consultez la page Dépannage.