ピア VPN ゲートウェイの構成

VPN 構成を完了するには、ピア VPN ゲートウェイで次のリソースを構成する必要があります。

  • Cloud VPN へ対応する VPN トンネル
  • BGP セッション(Cloud Router で動的ルーティングを使用している場合)
    動的ルーティングを使用するトンネルがある HA VPN ゲートウェイと Classic VPN ゲートウェイでは、常に BGP セッションを構成する必要があります。
  • ファイアウォール ルール
  • IKE 設定

これらのすべてのリソースについて、このドキュメントで説明します。

ピア ゲートウェイを設定する際は、ピア ゲートウェイのドキュメントまたはメーカーのベスト プラクティスを参照してください。サポートされているサードパーティの VPN デバイスやサービスについては、VPN 相互運用ガイドページをご覧ください。

HA VPN 用の外部ピア VPN ゲートウェイ リソース

HA VPN ゲートウェイでは、Google Cloud の物理ピア ゲートウェイとなる外部ピア VPN ゲートウェイ リソースを構成します。このリソースをスタンドアロン リソースとして作成し、後で使用することもできます。

外部ピア VPN ゲートウェイを作成するには、物理ピア ゲートウェイ(サードパーティのソフトウェアベース ゲートウェイの場合もあります)から次の値を取得する必要があります。外部ピア VPN ゲートウェイ リソースの値は、確立する VPN 用の物理ピア ゲートウェイの構成と一致する必要があります。

  • 物理 VPN ゲートウェイ上のインターフェースの数
  • ピア ゲートウェイまたはインターフェースのパブリック IP アドレスまたはアドレス
  • BGP エンドポイントの IP アドレス
  • IKE 事前共有鍵
  • ASN 番号

スタンドアロンの外部ピア VPN ゲートウェイ リソースを作成するには、次の手順に従います。

Console

  1. Google Cloud Console の [VPN] ページに移動します。
    [VPN] ページに移動
  2. [ピア VPN ゲートウェイの作成] ボタンをクリックします。
  3. ピア ゲートウェイに名前を付けます。
  4. 物理ピア ゲートウェイのインターフェース数(onetwo、または four)を選択します。
  5. 物理 VPN ゲートウェイの各インターフェースのインターフェース IP アドレスを追加します。
  6. [作成] をクリックします。

gcloud

次のコマンドを実行するときに、物理 VPN のインターフェース ID と IP アドレスを入力します。入力できるインターフェースの数は、1、2 または 4 つです。

    gcloud compute external-vpn-gateways create mygateway \
      --interfaces 0=35.254.128.120,1=35.254.128.121
    

コマンドの出力は次の例のようになります。

    Creating external VPN Gateway...done.
    NAME       REDUNDANCY_TYPE
    mygateway  TWO_IPS_REDUNDANCY
    

api

このコマンドには、このリストのゲートウェイの冗長性タイプを使用できます。

externalVpnGateways.insert メソッドで POST リクエストを作成します。

      POST https://www.googleapis.com/compute/v1/projects/project-id/global/externalVpnGateways
      {
        "name": "mygateway",
        "interfaces": [
          {
            "id": 0,
            "ipAddress": "35.254.128.120"
          },
          {
            "id": 1,
            "ipAddress": "35.254.128.121"
          },
        ],
        "redundancyType": "TWO_IPS_REDUNDANCY"
      }
    

VPN トンネルの構成

ピア VPN ゲートウェイのドキュメントを参照して、作成した各 Cloud VPN トンネルに対応するトンネルを作成します。

HA VPN の場合、ピア ゲートウェイに 2 つのトンネルを構成します。ピア ゲートウェイの 1 つのトンネルはインターフェース 0 の Cloud VPN トンネルに対応させ、ピア ゲートウェイのもう 1 つのトンネルはインターフェース 1 の Cloud VPN トンネルに対応させる必要があります。

ピア ゲートウェイの各トンネルでは、HA VPN ゲートウェイで使用する一意のパブリック IP アドレスも使用する必要があります。

動的ルーティング用の BGP セッションの構成

動的ルーティングの場合に限り、Cloud Router にアドバタイズするピアサブネットの BGP セッションをサポートするようにピア VPN ゲートウェイを構成します。

Cloud Router の ASN と IP アドレスおよび Cloud VPN ゲートウェイの情報を使用して、ピア ゲートウェイを構成します。

Cloud Router の概要情報を使用して、Google ASN、構成済みピア ネットワークの ASN、BGP IP アドレスを取得できます。Cloud Router に関するこれらの情報を取得する方法については、ルーター構成の表示をご覧ください。

HA VPN の場合、Google ASN(ピア VPN ゲートウェイにとってのピア ASN)は、両方のトンネルで同じである点に注意してください。

ファイアウォール ルールの構成

ピア ネットワークのファイアウォール ルールの構成手順については、ファイアウォール ルールの構成をご覧ください。

IKE の構成

動的ルーティング、ルートベース ルーティング、ポリシーベース ルーティングの場合、ピア VPN ゲートウェイで IKE を構成するには、次の手順に従います。

次のパラメータを使用して、IKE の ピア VPN ゲートウェイとトンネルを構成します。

IKEv1 と IKEv2 の共通のパラメータ:

設定
IPsec Mode ESP+Auth トンネルモード(サイト間)
Auth Protocol psk
Shared Secret IKE 事前共有キーとも呼ばれます。これらのガイドラインに従って強力なパスワードを選択してください。共有シークレットはネットワークへのアクセスを制御する情報であるため、取り扱いには十分に注意してください。
Start auto(ピアデバイスは接続が切断された場合に自動的に再接続されます)
PFS(Perfect Forward Secrecy) on
DPD(Dead Peer Detection) 推奨: Aggressive。Cloud VPN が再起動されてトラフィックが別のトンネルでルーティングされたことを検出します。
INITIAL_CONTACT(または uniqueids) 推奨: onrestart とも呼ばれます)。ダウンタイムを少なくできるように、再起動を迅速に検出することが目的です。
TSi(Traffic Selector - Initiator) サブネット ネットワーク: --local-traffic-selector フラグで指定された範囲です。VPN が自動モードの VPC ネットワークにあり、ゲートウェイのサブネットしか通知しないために --local-traffic-selector が指定されていない場合、そのサブネット範囲が使用されます。
レガシー ネットワーク: ネットワークの範囲です。
TSr(Traffic Selector - Responder) IKEv2: --next-hop-vpn-tunnel がこのトンネルに設定されたすべてのルートの送信先の範囲です。
IKEv1: --next-hop-vpn-tunnel がこのトンネルに設定されたいずれかのルートの送信先の範囲です(任意)。
MTU ピア VPN デバイスの MTU は 1,460 バイトを超えてはいけません。ご使用のデバイスで事前分割を有効にする必要があります。つまり、まずパケットを分割してからカプセル化してください。詳細については、The Maximum Transmission Unit(MTU)に関する考慮事項をご覧ください。

IKEv1 のみの追加パラメータ:

設定
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
PFS Algorithm グループ 2(modp_1024)

IKE 暗号の概要

次の IKE 暗号は、Classic VPN と HA VPN でサポートされています。IKEv2 には 2 つのセクションがあります。1 つは関連データによる認証付き暗号(AEAD)を使用する暗号で、もう 1 つは AEAD を使用しない暗号です。

AEAD を使用する IKEv2 暗号

フェーズ 1

暗号の役割 暗号
暗号化と整合性
  • AES-GCM-8-128
  • AES-GCM-8-192
  • AES-GCM-8-256
  • AES-GCM-12-128
  • AES-GCM-12-192
  • AES-GCM-12-256
  • AES-GCM-16-128
  • AES-GCM-16-192
  • AES-GCM-16-256
このリストで、最初の数値は ICV パラメータのサイズのバイト(オクテット)数で、2 番目の数値はキー長のビット数です。

一部のドキュメントでは、ICV パラメータ(最初の数値)はバイトの代わりにビットで表されます(8 は 64、12 は 96、16 は 128 になります)。
擬似ランダム関数(PRF)
  • PRF-AES128-XCBC
  • PRF-AES128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
多くのデバイスでは、PRF を明示的に設定する必要はありません。
Diffie-Hellman(DH)
  • modp_2048(グループ 14)
  • modp_2048_224(modp_2048s224)
  • modp_2048_256(modp_2048s256)
  • modp_1536(グループ 5)
  • modp_3072(グループ 15)
  • modp_4096(グループ 16)
  • modp_8192(グループ 18)
  • modp_1024(グループ 2)
  • modp_1024_160(modp_1024s160)
Cloud VPN のプロポーザルでは、これらの鍵交換アルゴリズムを表示された順序で提示します。Cloud VPN は、これらのアルゴリズム 1 つ以上を含むプロポーザルを任意の順序で受け入れます。
フェーズ 1 のライフタイム 36,000 秒(10 時間)

フェーズ 2

暗号の役割 暗号
暗号化と整合性
  • AES-GCM-16-128
  • AES-GCM-16-256
  • AES-GCM-16-192
  • AES-GCM-12-128
  • AES-GCM-8-128
Cloud VPN のプロポーザルでは、これらのアルゴリズムを表示された順序で提示します。Cloud VPN は、これらのアルゴリズム 1 つ以上を含むプロポーザルを任意の順序で受け入れます。

各アルゴリズムの最初の数は、ICV パラメータのサイズのバイト(オクテット)数で、2 番目の数値はキー長のビット数です。一部のドキュメントでは、ICV パラメータ(最初の数値)はバイトの代わりにビットで表されます(8 は 64、12 は 96、16 は 128 になります)。
PFS アルゴリズム(必須)
  • modp_2048(グループ 14)
  • modp_2048_224(modp_2048s224)
  • modp_2048_256(modp_2048s256)
  • modp_1536(グループ 5)
  • modp_3072(グループ 15)
  • modp_4096(グループ 16)
  • modp_8192(グループ 18)
  • modp_1024(グループ 2)
  • modp_1024_160(modp_1024s160)
Cloud VPN のプロポーザルでは、これらの鍵交換アルゴリズムを表示された順序で提示します。Cloud VPN は、これらのアルゴリズム 1 つ以上を持つプロポーザルを任意の順序で受け入れます。
Diffie-Hellman(DH) フェーズ 1 を参照 VPN ゲートウェイがフェーズ 2 で DH 設定が必要な場合は、フェーズ 1 と同じ設定を使用します。
フェーズ 2 のライフタイム 10,800 秒(3 時間)

AEAD を使用しない IKEv2 暗号

フェーズ 1

暗号の役割 暗号
暗号化
  • AES-CBC-128
  • AES-CBC-192
  • AES-CBC-256
  • 3DES-CBC
  • AES-XCBC-96
  • AES-CMAC-96
Cloud VPN のプロポーザルでは、これらの対称暗号化アルゴリズムを表示された順序で提示されます。Cloud VPN は、これらのアルゴリズム 1 つ以上を使用するプロポーザルを任意の順序で受け入れます。
整合性
  • HMAC-SHA1-96
  • HMAC-MD5-96
  • HMAC-SHA2-256-128
  • HMAC-SHA2-384-192
  • HMAC-SHA2-512-256
Cloud VPN のプロポーザルでは、これらの HMAC アルゴリズムを表示された順序で提示します。Cloud VPN は、これらのアルゴリズム 1 つ以上持つプロポーザルを任意の順序で受け入れます。

オンプレミス VPN ゲートウェイのドキュメントでは、アルゴリズムの名前が若干異なる場合があります。たとえば、HMAC-SHA2-512-256 は、切り捨てた長さの数値やその他余分な情報を除いて、単に SHA2-512 または SHA-512 と呼ばれる場合があります。
擬似ランダム関数(PRF)
  • PRF-AES-128-XCBC
  • PRF-AES-128-CMAC
  • PRF-SHA1
  • PRF-MD5
  • PRF-SHA2-256
  • PRF-SHA2-384
  • PRF-SHA2-512
多くのデバイスでは、PRF を明示的に設定する必要はありません。
Diffie-Hellman(DH)
  • modp_2048(グループ 14)
  • modp_2048_224(modp_2048s224)
  • modp_2048_256(modp_2048s256)
  • modp_1536(グループ 5)
  • modp_3072(グループ 15)
  • modp_4096(グループ 16)
  • modp_8192(グループ 18)
  • modp_1024(グループ 2)
  • modp_1024_160(modp_1024s160)
Cloud VPN のプロポーザルでは、これらの鍵交換アルゴリズムを表示された順序で提示します。Cloud VPN は、これらのアルゴリズム 1 つ以上を含むプロポーザルを任意の順序で受け入れます。
フェーズ 1 のライフタイム 36,000 秒(10 時間)

フェーズ 2

暗号の役割 暗号
暗号化
  • AES-CBC-128
  • AES-CBC-256
  • AES-CBC-192
Cloud VPN のプロポーザルでは、これらの対称暗号化アルゴリズムが表示された順序で提示されます。Cloud VPN は、これらのアルゴリズム 1 つ以上を含むプロポーザルを任意の順序で受け入れます。
整合性
  • HMAC-SHA2-256-128
  • HMAC-SHA2-512-256
  • HMAC-SHA1-96
Cloud VPN のプロポーザルは、これらの HMAC アルゴリズムを表示された順序で提示します。Cloud VPN は、これらのアルゴリズム 1 つ以上を含むプロポーザルを任意の順序で受け入れます。

オンプレミス VPN ゲートウェイのドキュメントでは、アルゴリズムの名前が若干異なる場合があります。たとえば、HMAC-SHA2-512-256 は、切り捨てた長さの数値やその他余分な情報を除いて、単に SHA2-512 または SHA-512 と呼ばれる場合があります。
PFS アルゴリズム(必須)
  • modp_2048(グループ 14)
  • modp_2048_224(modp_2048s224)
  • modp_2048_256(modp_2048s256)
  • modp_1536(グループ 5)
  • modp_3072(グループ 15)
  • modp_4096(グループ 16)
  • modp_8192(グループ 18)
  • modp_1024(グループ 2)
  • modp_1024_160(modp_1024s160)
Cloud VPN のプロポーザルでは、これらの鍵交換アルゴリズムを表示された順序で提示します。Cloud VPN は、これらのアルゴリズム 1 つ以上を含むプロポーザルを任意の順序で受け入れます。
Diffie-Hellman(DH) フェーズ 1 を参照。 VPN ゲートウェイがフェーズ 2 で DH 設定が必要な場合は、フェーズ 1 と同じ設定を使用します。
フェーズ 2 のライフタイム 10,800 秒(3 時間)

IKEv1 暗号

フェーズ 1

暗号の役割 暗号
暗号化 AES-CBC-128
整合性 HMAC-SHA1-96
擬似ランダム関数(PRF) PRF-SHA1-96
Diffie-Hellman(DH) modp_1024(グループ 2)
フェーズ 1 のライフタイム 36,600 秒(10 時間 10 分)

フェーズ 2

暗号の役割 暗号
暗号化 AES-CBC-128
整合性 HMAC-SHA1-96
PFS アルゴリズム(必須) modp_1024(グループ 2)
Diffie-Hellman(DH) VPN ゲートウェイの DH を指定する場合は、フェーズ 1 と同じ設定を使用します。
フェーズ 2 のライフタイム 10,800 秒(3 時間)

次のステップ