Configuring the Peer VPN gateway

To complete your VPN configuration, you must configure the following resources on your peer VPN gateway:

  • Corresponding VPN tunnel(s) to Cloud VPN
  • BGP sessions if you are using dynamic routing with Cloud Router.
    You must always configure BGP sessions for HA VPN gateways and for Classic VPN gateways with tunnels that use dynamic routing.
  • Firewall rules
  • IKE settings

All of these resources are described in this document.

See your peer gateway documentation or manufacturer for best practices when setting up your peer gateway. See the VPN Interop Guides page for guides that describe some supported third-party VPN devices and services.

External peer VPN gateway resources for HA VPN

For HA VPN gateway, you configure an external peer VPN gateway resource that represents your physical peer gateway in Google Cloud. You can also create this resource as a standalone resource and use it later.

To create an external peer VPN gateway, you need the following values from your physical peer gateway, which can also be a 3rd-party software-based gateway. The values for the external peer VPN gateway resource must match the configuration on your physical peer gateway for the VPN to be established:

  • The number of interfaces on your physical VPN gateway
  • Public IP address or addresses for the peer gateway(s) or interfaces
  • BGP endpoint IP address(es)
  • The IKE preshared key
  • The ASN number

To create a standalone external peer VPN gateway resource, do the following:

Console

  1. Go to the VPN page in the Google Cloud Console.
    Go to the VPN page
  2. Click the Create peer VPN gateway button.
  3. Give the peer gateway a Name.
  4. Select the number of interfaces your physical peer gateway has: one, two, or four.
  5. Add the Interface IP address for each interface on your physical VPN gateway.
  6. Click Create.

gcloud

When executing the following command, enter the interface ID and IP address for your physical VPN. You can enter 1, 2, or 4 interfaces.

gcloud compute external-vpn-gateways create mygateway \
  --interfaces 0=35.254.128.120,1=35.254.128.121

The command output should look like the following example:

Creating external VPN Gateway...done.
NAME       REDUNDANCY_TYPE
mygateway  TWO_IPS_REDUNDANCY

api

You can use this list of gateway redundancy types for this command.

Make a POST request with the externalVpnGateways.insert method.

  POST https://www.googleapis.com/compute/v1/projects/project-id/global/externalVpnGateways
  {
    "name": "mygateway",
    "interfaces": [
      {
        "id": 0,
        "ipAddress": "35.254.128.120"
      },
      {
        "id": 1,
        "ipAddress": "35.254.128.121"
      },
    ],
    "redundancyType": "TWO_IPS_REDUNDANCY"
  }

Configuring VPN tunnels

Consult the documentation for your peer VPN gateway to create corresponding tunnels for each Cloud VPN tunnel you've created.

For HA VPN, configure two tunnels on your peer gateway. One tunnel on the peer gateway should correspond to the Cloud VPN tunnel on interface 0, and another tunnel on the peer gateway should correspond to the Cloud VPN tunnel on interface 1.

Each tunnel on your peer gateway should also use a unique public IP address for your HA VPN gateway to use.

Configuring BGP sessions for dynamic routing

For dynamic routing only, configure your peer VPN gateway to support BGP sessions for the peer subnets you want to advertise to Cloud Router.

Use the ASNs and IP addresses of your Cloud Router, and the information from your Cloud VPN gateway, to configure your peer gateway.

You can use Cloud Router summary information to obtain the Google ASN, configured peer network ASN(s), and BGP IP addresses. See Viewing the Router Configuration to get the above information for your Cloud Router.

For HA VPN, note that the Google ASN, which is the peer ASN from the perspective of your peer VPN gateway, is the same for both tunnels.

Configuring firewall rules

For instructions on configuring firewall rules for your peer network, see Configuring Firewall Rules.

Configuring IKE

For dynamic, route based, and policy based routing, use the following instructions to configure IKE on your peer VPN gateway.

Configure o gateway e o túnel da VPN local para o IKE usando os parâmetros a seguir.

Para IKEv1 e IKEv2:

Configuração Valor
Modo IPsec Modo Túnel ESP+Autenticação (Site-to-Site)
Protocolo de autenticação psk
Chave secreta compartilhada Também conhecida como chave IKE pré-compartilhada. Escolha uma senha forte seguindo estas diretrizes. A chave secreta compartilhada é altamente confidencial. É dela que depende o acesso à rede.
Início auto (o dispositivo local reinicia automaticamente a conexão se ela cair)
PFS (Perfect Forward Secrecy) ativado
DPD (Dead Peer Detection) Recomendado: Aggressive. A DPD detecta quando o Cloud VPN reinicia e roteia o tráfego usando túneis alternativos.
CONTATO INICIAL (às vezes chamado de códigos exclusivos) Recomendado: on (às vezes chamado de restart). O objetivo é detectar reinícios com mais rapidez para reduzir a inatividade percebida.
TSi (Traffic Selector - Initiator) Redes de sub-rede: os intervalos especificados pela sinalização --local-traffic-selector. Se --local-traffic-selector não tiver sido especificado porque a VPN é uma rede VPC de modo automático e anuncia somente a sub-rede do gateway, esse intervalo de sub-rede será usado.
Redes legadas: o intervalo da rede.
TSr (Traffic Selector - Responder) IKEv2: os intervalos de destino de todas as rotas com --next-hop-vpn-tunnel configurados para esse túnel.
IKEv1: arbitrariamente, o intervalo de destino de uma das rotas com --next-hop-vpn-tunnel configurado para esse túnel.
MTU A MTU do dispositivo da VPN local precisa ser definido como 1.460 ou menos. Os pacotes ESP que saem do dispositivo não podem exceder 1.460 bytes. Ative a pré-fragmentação do dispositivo para que os pacotes sejam fragmentados primeiro e, depois, encapsulados. Para mais informações, consulte Considerações sobre a unidade máxima de transmissão (MTU).

Parâmetros adicionais somente para IKEv1:

Configuração Valor
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
Algoritmo PFS Grupo 2 (MODP_1024)
Para cada papel, a opção mais segura atualmente compatível com o Cloud VPN está em negrito
Observação: o Cloud VPN opera no modo de túnel IPSec ESP

Criptografias IKEv2 aceitas
Fase Papel do código Código
Fase 1 Criptografia • 3DES
• AES-CBC-128, AES-CBC-192, AES-CBC-256
• AES-GCM-128-8, AES-GCM-192-8, AES-GCM-256-8
• AES-GCM-128-12, AES-GCM-192-12, AES-GCM-256-12
• AES-GCM-128-16, AES-GCM-192-16, AES-GCM-256-16
Em algumas plataformas, os algoritmos GCM podem ter os octetos de parâmetros ICV (8, 12 e 16) especificados em bits (64, 96 e 128, respectivamente).
Integridade • HMAC-MD5-96
• HMAC-SHA1-96
• AES-XCBC-96, AES-CMAC-96
• HMAC-SHA2-256-128, HMAC-SHA2-384-192, HMAC-SHA2-512-256
Esses nomes variam dependendo da plataforma. Por exemplo, o HMAC-SHA2-512-256 pode ser citado apenas como SHA-512, descartando o número de comprimento do truncamento e outras informações irrelevantes.
Função pseudo-aleatória (PRF) • PRF-MD5-96
• PRF-SHA1-96
• PRF-AES-XCBC-96, PRF-AES-CMAC-96
• PRF-SHA2-256, PRF-SHA2-384, PRF-SHA2-512
Muitos dispositivos não exigem uma configuração de PRF explícita.
Diffie-Hellman (DH) • Grupo 2 (modp_1024), Grupo 5 (modp_1536), Grupo 14 (modp_2048), Grupo 15 (modp_3072), Grupo 16 (modp_4096)
• modp_1024s160, modp_2048s224, modp_2048s256
Ciclo de vida da Fase 1 36.000 segundos (10 horas)
Fase 2 Criptografia • 3DES
• AES-CBC-128, AES-CBC-192, AES-CBC-256
• AES-GCM-128-8, AES-GCM-192-8, AES-GCM-256-8
• AES-GCM-128-12, AES-GCM-192-12, AES-GCM-256-12
• AES-GCM-128-16, AES-GCM-192-16, AES-GCM-256-16
Em algumas plataformas, os algoritmos GCM podem ter os octetos de parâmetros ICV (8, 12 e 16) especificados em bits (64, 96 e 128, respectivamente).
Integridade • HMAC-MD5-96
• HMAC-SHA1-96
• AES-XCBC-96, AES-CMAC-96
• HMAC-SHA2-256-128, HMAC-SHA2-384-192, HMAC-SHA2-512-256
Esses nomes variam dependendo da plataforma. Por exemplo, o HMAC-SHA2-512-256 pode ser citado apenas como SHA-512, descartando o número de comprimento do truncamento e outras informações irrelevantes.
Algoritmo PFS (obrigatório) • Grupo 2 (modp_1024), Grupo 5 (modp_1536), Grupo 14 (modp_2048), Grupo 15 (modp_3072), Grupo 16 (modp_4096), Grupo 18 (modp_8192)
• modp_1024s160, modp_2048s224, modp_2048s256
Diffie-Hellman (DH) Alguns dispositivos exigem um valor de DH para a Fase 2. Nesse caso, use o valor usado na Fase 1.
Ciclo de vida da Fase 2 10.800 segundos (3 horas)
Códigos IKEv1 aceitos
Fase Papel do código Código
Fase 1 Criptografia AES-CBC-128
Integridade HMAC-SHA1-96
Algoritmo PFS (obrigatório) Grupo 2 (modp_1024)
Função pseudo-aleatória (PRF) PRF-SHA1-96
Diffie-Hellman (DH) Grupo 2 (modp_1024)
Ciclo de vida da Fase 1 36.600 segundos (10 horas, 10 minutos)
Fase 2 Criptografia AES-CBC-128
Integridade HMAC-SHA1-96
Diffie-Hellman (DH) Alguns dispositivos exigem um valor de DH para a Fase 2. Nesse caso, use o valor usado na Fase 1.
Ciclo de vida da Fase 2 10.800 segundos (3 horas)

What's next

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…