Como configurar o gateway de VPN de peering

Para concluir a configuração da VPN, você precisa configurar os seguintes recursos no gateway da VPN de peer:

  • Túnel VPN correspondente ao Cloud VPN
  • Sessões do BGP se você estiver usando o roteamento dinâmico com o Cloud Router.
    Você deve sempre configurar sessões do BGP para gateways da VPN de alta disponibilidade e para gateways da VPN clássica com túneis que usam roteamento dinâmico.
  • Regras de firewall
  • Configurações de IKE

Todos esses recursos estão descritos neste documento.

Consulte a documentação do gateway de peer ou do fabricante para conhecer as práticas recomendadas ao configurar o gateway de mesmo nível. Consulte a página Guias de Interoperabilidade da VPN para guias que descrevem alguns dispositivos e serviços de VPN de terceiros compatíveis.

Recursos de gateway de VPN de peer externo para VPN de alta disponibilidade

Para o gateway de VPN de alta disponibilidade, você configura um recurso de gateway de VPN de peer externo que representa seu gateway de peer físico no Google Cloud. Você também pode criar esse recurso como autônomo e usá-lo posteriormente.

Para criar um gateway de VPN de peer externo, você precisa dos seguintes valores do seu gateway físico de peer, que também pode ser um gateway baseado em software de terceiros. Os valores para o recurso de gateway de VPN de peer externo devem corresponder à configuração no seu gateway físico de peer para que a VPN seja estabelecida:

  • O número de interfaces no seu gateway de VPN físico
  • Endereço IP público ou endereços para o(s) gateway(s) ou interfaces de peers
  • Endereço(s) IP do ponto de extremidade do BGP
  • A chave pré-compartilhada IKE
  • O número do ASN

Para criar um recurso de gateway da VPN de peer externo independente, faça o seguinte:

Console

  1. Acesse a página VPN no Console do Google Cloud.
    Acesse a página VPN
  2. Clique no botão Criar gateway de VPN de peer.
  3. Atribua um nome ao gateway de peer.
  4. Selecione o número de interfaces que seu gateway de peer físico tem: one, two ou four.
  5. Adicione o endereço IP da interface para cada interface no seu gateway VPN físico.
  6. Clique em Criar

gcloud

Ao executar o comando a seguir, insira o ID da interface e o endereço IP da sua VPN física. É possível inserir uma, duas ou quatro interfaces.

    gcloud compute external-vpn-gateways create mygateway \
      --interfaces 0=35.254.128.120,1=35.254.128.121
    

A resposta ao comando terá a seguinte aparência:

    Creating external VPN Gateway...done.
    NAME       REDUNDANCY_TYPE
    mygateway  TWO_IPS_REDUNDANCY
    

api

É possível usar esta lista de tipos de redundância do gateway para este comando.

Faça uma solicitação POST com o método externalVpnGateways.insert.

      POST https://www.googleapis.com/compute/v1/projects/project-id/global/externalVpnGateways
      {
        "name": "mygateway",
        "interfaces": [
          {
            "id": 0,
            "ipAddress": "35.254.128.120"
          },
          {
            "id": 1,
            "ipAddress": "35.254.128.121"
          },
        ],
        "redundancyType": "TWO_IPS_REDUNDANCY"
      }
    

Como configurar túneis VPN

Consulte a documentação do seu gateway de VPN de peer para criar túneis correspondentes para cada túnel do Cloud VPN que você criou.

Para a VPN de alta disponibilidade, configure dois túneis no seu gateway de peer. Um túnel no gateway de peer deve corresponder ao túnel do Cloud VPN na interface 0, e outro túnel no gateway de peer corresponder ao túnel do Cloud VPN na interface 1.

Cada túnel no gateway de peer também deve usar um endereço IP público exclusivo para ser usado pelo gateway de VPN de alta disponibilidade.

Como configurar sessões do BGP para roteamento dinâmico

Somente para roteamento dinâmico, configure seu gateway de VPN de peer para suportar sessões do BGP para as sub-redes de peers que você quer anunciar no Cloud Router.

Use os ASNs e os endereços IP do seu Cloud Router e as informações do seu gateway do Cloud VPN para configurar o gateway de peer.

É possível usar as informações de resumo do Cloud Router para obter ASNs do Google, ASNs da rede de peer configurada e endereços IP do BGP. Consulte Visualização da configuração do roteador para obter as informações acima para seu Cloud Router.

Para a VPN de alta disponibilidade, observe que o ASN do Google, que é o ASN de peer da perspectiva do gateway da VPN de peer, é o mesmo para os dois túneis.

Como configurar regras de firewall

Para obter instruções sobre como configurar regras de firewall para sua rede de peer, consulte Configurando regras de firewall.

Como configurar o IKE

Para roteamento dinâmico, com base em rotas e com base em políticas, use as instruções a seguir para configurar o IKE no seu gateway VPN de peer.

Configure o gateway e o túnel da VPN de peering para o IKE usando os parâmetros a seguir:

Para IKEv1 e IKEv2:

Configuração Valor
Modo IPsec Modo Túnel ESP+Autenticação (Site-to-Site)
Protocolo de autenticação psk
Senha secreta Também conhecida como chave IKE pré-compartilhada. Escolha uma senha forte seguindo estas diretrizes. A senha secreta é altamente confidencial, uma vez que ela permite acesso à sua rede.
Iniciar auto (o dispositivo de peering deve reiniciar a conexão automaticamente se ela cair)
PFS (Perfect Forward Secrecy) ativado
DPD (Dead Peer Detection) Recomendado: Aggressive. O DPD detecta quando o Cloud VPN reinicia e direciona o tráfego usando túneis alternativos.
CONTATO INICIAL (às vezes chamado de códigos exclusivos) Recomendado: on (também chamado de restart). O objetivo é detectar reinicializações mais rapidamente para reduzir o tempo de inatividade percebido.
TSi (Traffic Selector - Initiator) Redes de sub-rede: os intervalos especificados pela sinalização --local-traffic-selector. Se --local-traffic-selector não tiver sido especificado porque a VPN é uma rede VPC de modo automático e anuncia somente a sub-rede do gateway, esse intervalo de sub-rede será usado.
Redes legadas: o intervalo da rede.
TSr (Traffic Selector - Responder) IKEv2: os intervalos de destino de todas as rotas com --next-hop-vpn-tunnel definido para esse túnel.
IKEv1: arbitrariamente, o intervalo de destino de uma das rotas com --next-hop-vpn-tunnel definido para esse túnel.
MTU A MTU do dispositivo de VPN de peering não pode exceder 1.460 bytes. É preciso ativar a pré-fragmentação do dispositivo para que os pacotes sejam fragmentados primeiro e, depois, encapsulados. Para mais informações, consulte Considerações sobre a unidade máxima de transmissão (MTU).

Parâmetros adicionais somente para IKEv1:

Configuração Valor
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
Algoritmo PFS Grupo 2 (MODP_1024)

Visão geral da criptografia IKE

As seguintes criptografias IKE são compatíveis com a VPN clássica e a VPN de alta disponibilidade. Há duas seções para IKEv2, uma para criptografia autenticada com dados associados (AEAD) e outra para criptografias que não usam AEAD.

Criptografias IKEv2 que usam AEAD

Fase 1

Papel do código Cipher Notas
Criptografia e integridade
  • AES-GCM-8-128
  • AES-GCM-8-192
  • AES-GCM-8-256
  • AES-GCM-12-128
  • AES-GCM-12-192
  • AES-GCM-12-256
  • AES-GCM-16-128
  • AES-GCM-16-192
  • AES-GCM-16-256
Nesta lista, o primeiro número é o tamanho do parâmetro ICV em bytes (octetos) e o segundo é o tamanho da chave em bits.

Uma documentação pode expressar o parâmetro ICV (o primeiro número) em bits (8 se torna 64, 12 se torna 96 e 16 se torna 128).
Função pseudo-aleatória (PRF)
  • PRF-AES128-XCBC
  • PRF-AES128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
Muitos dispositivos não exigem uma configuração de PRF explícita.
Diffie-Hellman (DH)
  • modp_2048 (grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (grupo 5)
  • modp_3072 (grupo 15)
  • modp_4096 (grupo 16)
  • modp_8192 (grupo 18)
  • modp_1024 (grupo 2)
  • modp_1024_160 (modp_1024s160)
A proposta da Cloud VPN apresenta esses algoritmos de troca de chaves na ordem mostrada. A Cloud VPN aceita qualquer proposta que inclua um ou mais desses algoritmos em qualquer ordem.
Ciclo de vida da Fase 1 36.000 segundos (10 horas)

Fase 2

Papel do código Cipher Notas
Criptografia e integridade
  • AES-GCM-16-128
  • AES-GCM-16-256
  • AES-GCM-16-192
  • AES-GCM-12-128
  • AES-GCM-8-128
A proposta da Cloud VPN apresenta esses algoritmos na ordem mostrada. A Cloud VPN aceita qualquer proposta que inclua um ou mais desses algoritmos, em qualquer ordem.

O primeiro número em cada algoritmo é o tamanho do parâmetro ICV em bytes (octetos) e o segundo é o tamanho da chave em bits. Alguns documentos podem expressar o parâmetro ICV (o primeiro número) em bits (8 se torna 64, 12 se torna 96, 16 se torna 128).
Algoritmo PFS (obrigatório)
  • modp_2048 (grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (grupo 5)
  • modp_3072 (grupo 15)
  • modp_4096 (grupo 16)
  • modp_8192 (grupo 18)
  • modp_1024 (grupo 2)
  • modp_1024_160 (modp_1024s160)
A proposta da Cloud VPN apresenta esses algoritmos de troca de chaves na ordem mostrada. A Cloud VPN aceita qualquer proposta que tenha um ou mais desses algoritmos em qualquer ordem.
Diffie-Hellman (DH) Consulte a Fase 1 Se o gateway da VPN exigir configurações de DH para a Fase 2, use as mesmas configurações usadas para a Fase 1.
Ciclo de vida da Fase 2 10.800 segundos (3 horas)

Criptografias IKEv2 que não usam AEAD

Fase 1

Papel do código Cipher Notas
Criptografia
  • AES-CBC-128
  • AES-CBC-192
  • AES-CBC-256
  • 3DES-CBC
  • AES-XCBC-96
  • AES-CMAC-96
A proposta da Cloud VPN apresenta esses algoritmos simétricos de criptografia na ordem mostrada. A Cloud VPN aceita qualquer proposta que use um ou mais desses algoritmos, em qualquer ordem.
Integridade
  • HMAC-SHA1-96
  • HMAC-MD5-96
  • HMAC-SHA2-256-128
  • HMAC-SHA2-384-192
  • HMAC-SHA2-512-256
A proposta da Cloud VPN apresenta esses algoritmos HMAC na ordem mostrada. A Cloud VPN aceita qualquer proposta que tenha um ou mais desses algoritmos, em qualquer ordem.

A documentação do seu gateway VPN local pode usar um nome um pouco diferente para o algoritmo. Por exemplo, HMAC-SHA2-512-256 pode ser chamado de apenas SHA2-512 ou SHA-512, eliminando o número de comprimento truncamento e outras informações irrelevantes.
Função pseudo-aleatória (PRF)
  • PRF-AES-128-XCBC
  • PRF-AES-128-CMAC
  • PRF-SHA1
  • PRF-MD5
  • PRF-SHA2-256
  • PRF-SHA2-384
  • PRF-SHA2-512
Muitos dispositivos não exigem uma configuração de PRF explícita.
Diffie-Hellman (DH)
  • modp_2048 (grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (grupo 5)
  • modp_3072 (grupo 15)
  • modp_4096 (grupo 16)
  • modp_8192 (grupo 18)
  • modp_1024 (grupo 2)
  • modp_1024_160 (modp_1024s160)
A proposta da Cloud VPN apresenta esses algoritmos de troca de chaves na ordem mostrada. O Cloud VPN aceita qualquer proposta que contenha um ou mais desses algoritmos, em qualquer ordem.
Ciclo de vida da Fase 1 36.000 segundos (10 horas)

Fase 2

Papel do código Cipher Notas
Criptografia
  • AES-CBC-128
  • AES-CBC-256
  • AES-CBC-192
A proposta da Cloud VPN apresenta esses algoritmos simétricos de criptografia na ordem mostrada. A Cloud VPN aceita qualquer proposta que contenha um ou mais desses algoritmos, em qualquer ordem.
Integridade
  • HMAC-SHA2-256-128
  • HMAC-SHA2-512-256
  • HMAC-SHA1-96
A proposta da Cloud VPN apresenta esses algoritmos HMAC na ordem mostrada. A Cloud VPN aceita qualquer proposta que contenha um ou mais desses algoritmos, em qualquer ordem.

A documentação do seu gateway VPN local pode usar um nome um pouco diferente para o algoritmo. Por exemplo, HMAC-SHA2-512-256 pode ser chamado de apenas SHA2-512 ou SHA-512, eliminando o número de comprimento de truncamento e outras informações irrelevantes.
Algoritmo PFS (obrigatório)
  • modp_2048 (grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (grupo 5)
  • modp_3072 (grupo 15)
  • modp_4096 (grupo 16)
  • modp_8192 (grupo 18)
  • modp_1024 (grupo 2)
  • modp_1024_160 (modp_1024s160)
A proposta da Cloud VPN apresenta esses algoritmos de troca de chaves na ordem mostrada. A Cloud VPN aceita qualquer proposta que contenha um ou mais desses algoritmos, em qualquer ordem.
Diffie-Hellman (DH) Consulte a Fase 1 Se seu gateway VPN exigir as configurações de DH para a Fase 2, use as mesmas configurações usadas para a Fase 1.
Ciclo de vida da Fase 2 10.800 segundos (3 horas)

Criptografias IKEv1

Fase 1

Papel do código Cipher
Criptografia AES-CBC-128
Integridade HMAC-SHA1-96
Função pseudo-aleatória (PRF) PRF-SHA1-96
Diffie-Hellman (DH) modp_1024 (grupo 2)
Ciclo de vida da Fase 1 36.600 segundos (10 horas, 10 minutos)

Fase 2

Papel do código Cipher
Criptografia AES-CBC-128
Integridade HMAC-SHA1-96
Algoritmo PFS (obrigatório) modp_1024 (grupo 2)
Diffie-Hellman (DH) Se você precisar especificar DH para o gateway da VPN, use a mesma configuração usada para a Fase 1.
Ciclo de vida da Fase 2 10.800 segundos (3 horas)

A seguir