Halaman ini diterjemahkan oleh Cloud Translation API.

Mengonfigurasi gateway VPN pembanding

Halaman ini menjelaskan langkah-langkah untuk menyelesaikan konfigurasi VPN Anda.

Untuk menyelesaikan konfigurasi, konfigurasikan resource berikut di gateway VPN peer Anda:

Tunnel VPN yang sesuai ke Cloud VPN
Sesi Border Gateway Protocol (BGP) jika Anda menggunakan perutean dinamis dengan Cloud Router
Aturan firewall
Setelan IKE

Untuk praktik terbaik saat menyiapkan gateway peer, lihat dokumentasi atau produsen gateway peer Anda. Untuk panduan yang menjelaskan beberapa perangkat dan layanan VPN pihak ketiga yang didukung, lihat Menggunakan VPN pihak ketiga. Selain itu, beberapa template konfigurasi perangkat pihak ketiga dapat didownload dari Google Cloud Console. Untuk informasi selengkapnya, lihat Mendownload template konfigurasi VPN peer.

Untuk mengetahui informasi selengkapnya tentang Cloud VPN, lihat referensi berikut:

Untuk praktik terbaik yang perlu dipertimbangkan sebelum menyiapkan Cloud VPN, lihat Praktik terbaik.
Untuk mengetahui informasi selengkapnya tentang Cloud VPN, lihat ringkasan Cloud VPN.
Untuk definisi istilah yang digunakan di halaman ini, lihat Istilah utama.

Mengonfigurasi resource gateway VPN peer eksternal untuk VPN dengan ketersediaan tinggi (HA)

Untuk VPN dengan ketersediaan tinggi (HA), Anda mengonfigurasi resource gateway VPN peer eksternal yang merepresentasikan gateway peer fisik Anda di Google Cloud. Anda juga dapat membuat resource ini sebagai resource mandiri dan menggunakannya nanti.

Untuk membuat resource gateway VPN peer eksternal, Anda memerlukan nilai berikut dari gateway peer fisik Anda, yang juga dapat berupa gateway berbasis software pihak ketiga. Agar VPN ditetapkan, nilai untuk resource gateway VPN peer eksternal harus cocok dengan konfigurasi pada gateway peer fisik Anda:

Jumlah antarmuka di gateway VPN fisik Anda
Alamat IP eksternal atau alamat untuk satu atau beberapa gateway atau antarmuka peer
Alamat atau alamat IP endpoint BGP
Pre-shared key IKE (rahasia bersama)
Nomor ASN

Saat mengonfigurasi sesi BGP untuk VPN dengan ketersediaan tinggi (HA) dan mengaktifkan IPv6, Anda memiliki opsi untuk mengonfigurasi alamat next hop IPv6. Jika Anda tidak mengonfigurasinya secara manual, Google Cloud akan otomatis menetapkan alamat next hop IPv6 ini kepada Anda.

Untuk mengizinkan traffic IPv4 dan IPv6 (dual-stack) di tunnel VPN dengan ketersediaan tinggi (HA), Anda harus mendapatkan alamat next hop IPv6 yang ditetapkan ke peer BGP. Kemudian, Anda harus mengonfigurasi alamat next hop IPv6 saat mengonfigurasi tunnel VPN di perangkat VPN peer Anda. Meskipun Anda mengonfigurasi alamat IPv6 pada antarmuka tunnel di setiap perangkat, alamat IPv6 hanya digunakan untuk konfigurasi next hop IPv6. Rute IPv6 diiklankan melalui IPv6 NLRI melalui peering BGP IPv4. Untuk contoh konfigurasi alamat IPv6 next hop, lihat Menyiapkan VPN pihak ketiga untuk traffic IPv4 dan IPv6.

Untuk membuat resource gateway VPN peer eksternal yang berdiri sendiri, selesaikan langkah-langkah berikut.

Konsol

Di konsol Google Cloud, buka halaman VPN.

Buka VPN
Klik Buat gateway VPN peer.
Beri Nama gateway peer.
Pilih jumlah antarmuka yang dimiliki gateway peer fisik Anda: one, two, atau four.
Tambahkan alamat IP Antarmuka untuk setiap antarmuka di gateway VPN fisik Anda.
Klik Create.

gcloud

Saat menjalankan perintah berikut, masukkan ID antarmuka dan alamat IP untuk gateway VPN fisik Anda. Anda dapat memasukkan 1, 2, atau 4 antarmuka.

gcloud compute external-vpn-gateways create mygateway \
  --interfaces 0=35.254.128.120,1=35.254.128.121

Output perintah akan terlihat seperti contoh berikut:

Creating external VPN gateway...done.
NAME       REDUNDANCY_TYPE
mygateway  TWO_IPS_REDUNDANCY

API

Untuk perintah ini, Anda dapat menggunakan daftar jenis redundansigateway ini.

Buat permintaan POST menggunakan metode externalVpnGateways.insert.

  POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
  {
    "name": "mygateway",
    "interfaces": [
      {
        "id": 0,
        "ipAddress": "35.254.128.120"
      },
      {
        "id": 1,
        "ipAddress": "35.254.128.121"
      },
    ],
    "redundancyType": "TWO_IPS_REDUNDANCY"
  }

Mengonfigurasi tunnel VPN

Untuk membuat tunnel yang sesuai untuk setiap tunnel Cloud VPN yang Anda buat, lihat dokumentasi untuk gateway VPN peer Anda.

Untuk VPN dengan ketersediaan tinggi (HA), konfigurasikan dua tunnel di gateway peer Anda. Satu tunnel di gateway peer harus sesuai dengan tunnel Cloud VPN di interface 0. Tunnel lain di gateway peer harus sesuai dengan tunnel Cloud VPN di interface 1.

Setiap tunnel di gateway peer juga harus menggunakan alamat IP eksternal yang unik untuk digunakan oleh gateway VPN dengan ketersediaan tinggi (HA).

Mengonfigurasi sesi BGP untuk perutean dinamis

Khusus untuk perutean dinamis, konfigurasikan gateway VPN peer Anda untuk mendukung sesi BGP untuk subnet peer yang ingin Anda iklankan ke Cloud Router.

Untuk mengonfigurasi gateway peer, gunakan ASN dan alamat IP Cloud Router serta informasi dari gateway Cloud VPN Anda. Untuk mendapatkan Google ASN, ASN jaringan peer yang dikonfigurasi, dan alamat IP BGP, gunakan informasi ringkasan Cloud Router.

Jika Anda mengonfigurasi VPN dengan ketersediaan tinggi (HA) untuk mengizinkan traffic IPv4 dan IPv6 (dual-stack), Anda harus mengonfigurasi gateway peer dengan alamat next hop IPv6 yang ditetapkan ke peer BGP.

Untuk VPN dengan ketersediaan tinggi (HA), Google ASN—yang merupakan ASN peer dari perspektif gateway VPN peer Anda—sama untuk kedua tunnel.

Secara opsional, Anda dapat mengonfigurasi sesi BGP untuk menggunakan autentikasi MD5.

Mengonfigurasi aturan firewall

Untuk koneksi VPN dengan ketersediaan tinggi (HA) yang menggunakan IPv6, Anda harus mengonfigurasi firewall untuk mengizinkan traffic IPv6.

Untuk mengetahui petunjuk cara mengonfigurasi aturan firewall untuk jaringan peer, lihat Mengonfigurasi aturan firewall.

Mengonfigurasi IKE

Anda dapat mengonfigurasi IKE di gateway VPN peer untuk perutean dinamis, berbasis rute, dan berbasis kebijakan.

Tunnel VPN dengan ketersediaan tinggi (HA) harus menggunakan IKE v2 untuk mendukung traffic IPv6.

Untuk mengonfigurasi gateway dan tunnel VPN peer untuk IKE, gunakan parameter pada tabel berikut.

Untuk informasi tentang cara menghubungkan Cloud VPN ke beberapa solusi VPN pihak ketiga, lihat Menggunakan VPN pihak ketiga dengan Cloud VPN. Untuk informasi tentang setelan enkripsi dan autentikasi IPsec, lihat Cipher IKE yang didukung.

Untuk IKEv1 dan IKEv2

Setelan	Nilai
Mode IPsec	Mode Tunnel ESP+Auth (Situs ke Situs)
Protokol Auth	`psk`
Rahasia bersama	Juga dikenal sebagai IKE pre-shared key. Pilih sandi yang kuat dengan mengikuti panduan ini. Pre-shared key bersifat sensitif karena mengizinkan akses ke jaringan Anda.
Mulai	`auto` (jika perangkat peer mengalami penurunan performa, perangkat akan memulai ulang koneksi secara otomatis.
PFS (Kerahasiaan Penerusan Sempurna)	`on`
DPD (Deteksi Peer Mati)	Direkomendasikan: `Aggressive`. DPD mendeteksi kapan VPN dimulai ulang dan menggunakan tunnel alternatif untuk mengarahkan traffic.
INITIAL_CONTACT (terkadang disebut `uniqueids`)	Direkomendasikan: `on` (terkadang disebut `restart`). Tujuan: mendeteksi mulai ulang lebih cepat sehingga periode nonaktif yang dirasakan berkurang.
TSi (Pemilih Traffic - Inisiator)	Jaringan subnet: rentang yang ditentukan oleh flag `--local-traffic-selector`. JIka `--local-traffic-selector` tidak ditentukan karena VPN berada dalam jaringan VPC mode otomatis dan hanya mengumumkan subnet gateway, rentang subnet tersebut akan digunakan. Jaringan lama: rentang jaringan.
TSr (Pemilih Traffic - Responden)	IKEv2: Tujuan berkisar dari semua rute dengan `--next-hop-vpn-tunnel` yang ditetapkan ke tunnel ini. IKEv1: Secara sembarang, rentang tujuan dari salah satu rute yang menetapkan `--next-hop-vpn-tunnel` ke tunnel ini.
MTU	Unit transmisi maksimum (MTU) perangkat VPN peer tidak boleh melebihi 1460 byte. Aktifkan prefragmentasi di perangkat Anda agar paket difragmentasi terlebih dahulu, lalu dienkapsulasi. Untuk informasi selengkapnya, lihat pertimbangan MTU.

Parameter tambahan hanya untuk IKEv1

Setelan	Nilai
IKE/ISAKMP	`aes128-sha1-modp1024`
ESP	`aes128-sha1`
Algoritma PFS	Grup 2 (`MODP_1024`)

Mengonfigurasi pemilih traffic

Untuk mendukung traffic IPv4 dan IPv6, setel pemilih traffic di gateway VPN peer ke 0.0.0.0/0,::/0.

Untuk hanya mendukung traffic IPv4, setel pemilih traffic di gateway VPN peer Anda ke 0.0.0.0/0.

Langkah selanjutnya

Untuk mendownload template konfigurasi untuk perangkat VPN peer Anda, lihat Mendownload template konfigurasi VPN peer.
Untuk mengonfigurasi aturan firewall untuk jaringan peer Anda, lihat Mengonfigurasi aturan firewall.
Untuk menggunakan skenario ketersediaan tinggi dan throughput tinggi atau beberapa skenario subnet, lihat Konfigurasi lanjutan.
Untuk membantu memecahkan masalah umum yang mungkin Anda alami saat menggunakan Cloud VPN, lihat Pemecahan masalah.