Configuring the Peer VPN gateway

To complete your VPN configuration, you must configure the following resources on your peer VPN gateway:

  • Corresponding VPN tunnel(s) to Cloud VPN
  • BGP sessions if you are using dynamic routing with Cloud Router.
    You must always configure BGP sessions for HA VPN gateways and for Classic VPN gateways with tunnels that use dynamic routing.
  • Firewall rules
  • IKE settings

All of these resources are described in this document.

See your peer gateway documentation or manufacturer for best practices when setting up your peer gateway. See the VPN Interop Guides page for guides that describe some supported third-party VPN devices and services.

External peer VPN gateway resources for HA VPN

For HA VPN gateway, you configure an external peer VPN gateway resource that represents your physical peer gateway in Google Cloud. You can also create this resource as a standalone resource and use it later.

To create an external peer VPN gateway, you need the following values from your physical peer gateway, which can also be a 3rd-party software-based gateway. The values for the external peer VPN gateway resource must match the configuration on your physical peer gateway for the VPN to be established:

  • The number of interfaces on your physical VPN gateway
  • Public IP address or addresses for the peer gateway(s) or interfaces
  • BGP endpoint IP address(es)
  • The IKE preshared key
  • The ASN number

To create a standalone external peer VPN gateway resource, do the following:

Console

  1. Go to the VPN page in the Google Cloud Console.
    Go to the VPN page
  2. Click the Create peer VPN gateway button.
  3. Give the peer gateway a Name.
  4. Select the number of interfaces your physical peer gateway has: one, two, or four.
  5. Add the Interface IP address for each interface on your physical VPN gateway.
  6. Click Create.

gcloud

When executing the following command, enter the interface ID and IP address for your physical VPN. You can enter 1, 2, or 4 interfaces.

gcloud compute external-vpn-gateways create mygateway \
  --interfaces 0=35.254.128.120,1=35.254.128.121

The command output should look like the following example:

Creating external VPN Gateway...done.
NAME       REDUNDANCY_TYPE
mygateway  TWO_IPS_REDUNDANCY

api

You can use this list of gateway redundancy types for this command.

Make a POST request with the externalVpnGateways.insert method.

  POST https://www.googleapis.com/compute/v1/projects/project-id/global/externalVpnGateways
  {
    "name": "mygateway",
    "interfaces": [
      {
        "id": 0,
        "ipAddress": "35.254.128.120"
      },
      {
        "id": 1,
        "ipAddress": "35.254.128.121"
      },
    ],
    "redundancyType": "TWO_IPS_REDUNDANCY"
  }

Configuring VPN tunnels

Consult the documentation for your peer VPN gateway to create corresponding tunnels for each Cloud VPN tunnel you've created.

For HA VPN, configure two tunnels on your peer gateway. One tunnel on the peer gateway should correspond to the Cloud VPN tunnel on interface 0, and another tunnel on the peer gateway should correspond to the Cloud VPN tunnel on interface 1.

Each tunnel on your peer gateway should also use a unique public IP address for your HA VPN gateway to use.

Configuring BGP sessions for dynamic routing

For dynamic routing only, configure your peer VPN gateway to support BGP sessions for the peer subnets you want to advertise to Cloud Router.

Use the ASNs and IP addresses of your Cloud Router, and the information from your Cloud VPN gateway, to configure your peer gateway.

You can use Cloud Router summary information to obtain the Google ASN, configured peer network ASN(s), and BGP IP addresses. See Viewing the Router Configuration to get the above information for your Cloud Router.

For HA VPN, note that the Google ASN, which is the peer ASN from the perspective of your peer VPN gateway, is the same for both tunnels.

Configuring firewall rules

For instructions on configuring firewall rules for your peer network, see Configuring Firewall Rules.

Configuring IKE

For dynamic, route based, and policy based routing, use the following instructions to configure IKE on your peer VPN gateway.

다음 매개변수를 사용하여 IKE를 위한 온프레미스 VPN 게이트웨이 및 터널을 구성합니다.

IKEv1 및 IKEv2:

설정
IPsec 모드 ESP+인증 터널 모드(사이트 간)
인증 프로토콜 psk
공유 보안 비밀 IKE 사전 공유 키라고도 부릅니다. 이 가이드라인에 따라 강력한 비밀번호를 선택하세요. 공유 보안 비밀은 네트워크에 액세스를 허용하기 때문에 매우 민감합니다.
시작 auto(연결이 끊어질 경우 온프레미스 장치가 연결을 자동으로 재시작합니다.)
PFS(완전 순방향 비밀성) 켜짐
DPD(죽은 피어 감지) 권장: Aggressive. DPD는 Cloud VPN가 재시작되고 대체 터널을 사용하여 트래픽을 라우팅할 때 이를 감지합니다.
INITIAL_CONTACT(경우에 따라 고유 ID라고도 부름) 권장: on(경우에 따라 restart라고도 부름). 목적은 인식된 작동 중지 시간을 줄일 수 있도록 재시작을 더 빠르게 감지하기 위한 것입니다.
TSi(트래픽 선택기 - 개시자) 서브넷 네트워크: --local-traffic-selector 플래그로 지정된 범위. VPN이 자동 모드 VPC 네트워크에 있고, 게이트웨이 서브넷만 발표하기 때문에 --local-traffic-selector가 지정되지 않은 경우, 해당 서브넷 범위가 사용됩니다.
이전 네트워크: 네트워크의 범위.
TSr(트래픽 선택기 - 반응자) IKEv2: --next-hop-vpn-tunnel이 이 터널로 설정된 모든 경로의 대상 범위.
IKEv1: 임의적으로 --next-hop-vpn-tunnel이 이 터널로 설정된 경로 중 하나의 대상 범위.
MTU 온프레미스 VPN 장치의 MTU는 1,460 이하로 설정되어야 합니다. 장치를 나가는 ESP 패킷은 1,460바이트를 초과하지 않아야 합니다. 장치에서 사전 조각화를 사용 설정해야 합니다. 즉, 패킷을 먼저 조각화한 후 캡슐화해야 합니다. 자세한 내용은 최대 전송 단위(MTU) 고려 사항을 참조하세요.

IKEv1 전용의 추가 매개변수:

설정
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
PFS 알고리즘 그룹 2(MODP_1024)
각 역할에서 Cloud VPN에서 현재 지원되는 가장 강력한 보안 옵션은 굵게 표시되어 있습니다.
참고: Cloud VPN은 IPSec ESP 터널 모드에서 작동합니다.

IKEv2 지원되는 암호화
단계 암호화 역할 암호화
1단계 암호화 • 3DES
• AES-CBC-128, AES-CBC-192, AES-CBC-256
• AES-GCM-128-8, AES-GCM-192-8, AES-GCM-256-8
• AES-GCM-128-12, AES-GCM-192-12, AES-GCM-256-12
• AES-GCM-128-16, AES-GCM-192-16, AES-GCM-256-16
일부 플랫폼에서 GCM 알고리즘은 비트(각각 64, 96, 128)로 지정된 해당 ICV 매개변수 옥텟(8, 12, 16)을 포함할 수 있습니다.
무결성 • HMAC-MD5-96
• HMAC-SHA1-96
• AES-XCBC-96, AES-CMAC-96
• HMAC-SHA2-256-128, HMAC-SHA2-384-192, HMAC-SHA2-512-256
이러한 이름은 플랫폼에 따라 달라집니다. 예를 들어 HMAC-SHA2-512-256은 자르기 길이 번호 및 기타 여분의 정보를 모두 삭제하고 단순히 SHA-512로 표시할 수 있습니다.
PRF(의사 난수 함수) • PRF-MD5-96
• PRF-SHA1-96
• PRF-AES-XCBC-96, PRF-AES-CMAC-96
• PRF-SHA2-256, PRF-SHA2-384, PRF-SHA2-512
많은 장치에서 명시적인 PRF 설정이 필요하지 않습니다.
DH(Diffie-Hellman) • 그룹 2(modp_1024), 그룹 5(modp_1536), 그룹 14(modp_2048), 그룹 15(modp_3072), 그룹 16(modp_4096)
• modp_1024s160, modp_2048s224, modp_2048s256
1단계 수명 36,000초(10시간)
2단계 암호화 • 3DES
• AES-CBC-128, AES-CBC-192, AES-CBC-256
• AES-GCM-128-8, AES-GCM-192-8, AES-GCM-256-8
• AES-GCM-128-12, AES-GCM-192-12, AES-GCM-256-12
• AES-GCM-128-16, AES-GCM-192-16, AES-GCM-256-16
일부 플랫폼에서 GCM 알고리즘은 비트(각각 64, 96, 128)로 지정된 해당 ICV 매개변수 옥텟(8, 12, 16)을 포함할 수 있습니다.
무결성 • HMAC-MD5-96
• HMAC-SHA1-96
• AES-XCBC-96, AES-CMAC-96
• HMAC-SHA2-256-128, HMAC-SHA2-384-192, HMAC-SHA2-512-256
이러한 이름은 플랫폼에 따라 달라집니다. 예를 들어 HMAC-SHA2-512-256은 자르기 길이 번호 및 기타 여분의 정보를 모두 삭제하고 단순히 SHA-512로 표시할 수 있습니다.
PFS 알고리즘(필수) • 그룹 2(modp_1024), 그룹 5(modp_1536), 그룹 14(modp_2048), 그룹 15(modp_3072), 그룹 16(modp_4096), 그룹 18(modp_8192)
• modp_1024s160, modp_2048s224, modp_2048s256
DH(Diffie-Hellman) 일부 장치에는 2단계에 대해 DH 값이 필요합니다. 이 경우 1단계에 사용한 값을 사용하세요.
2단계 수명 10,800초(3시간)
IKEv1 지원되는 암호화
단계 암호화 역할 암호화
1단계 암호화 AES-CBC-128
무결성 HMAC-SHA1-96
PFS 알고리즘(필수) 그룹 2(modp_1024)
PRF(의사 난수 함수) PRF-SHA1-96
DH(Diffie-Hellman) 그룹 2(modp_1024)
1단계 수명 36,600초(10시간, 10분)
2단계 암호화 AES-CBC-128
무결성 HMAC-SHA1-96
DH(Diffie-Hellman) 일부 장치에는 2단계에 대해 DH 값이 필요합니다. 이 경우 1단계에 사용한 값을 사용하세요.
2단계 수명 10,800초(3시간)

What's next

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...