Configuring the Peer VPN gateway

To complete your VPN configuration, you must configure the following resources on your peer VPN gateway:

  • Corresponding VPN tunnel(s) to Cloud VPN
  • BGP sessions if you are using dynamic routing with Cloud Router.
    You must always configure BGP sessions for HA VPN gateways and for Classic VPN gateways with tunnels that use dynamic routing.
  • Firewall rules
  • IKE settings

All of these resources are described in this document.

See your peer gateway documentation or manufacturer for best practices when setting up your peer gateway. See the VPN Interop Guides page for guides that describe some supported third-party VPN devices and services.

External peer gateway resources for HA VPN

When you configure a HA VPN gateway, you configure an external VPN gateway resource and gather the following resource values that describe your actual peer gateway.

The following values for the external VPN gateway resource must match the configuration on your actual peer gateway for the VPN to be established:

  • Public IP address or addresses for the peer gateway(s) or interfaces
  • BGP endpoint IP address or addresses
  • The preshared key
  • The ASN number

For more information, see the section on creating HA VPN gateways in the how-to documentation.

Configuring VPN tunnels

Consult the documentation for your peer VPN gateway to create corresponding tunnels for each Cloud VPN tunnel you've created.

For HA VPN, configure two tunnels on your peer gateway. One tunnel on the peer gateway should correspond to the Cloud VPN tunnel on interface 0, and another tunnel on the peer gateway should correspond to the Cloud VPN tunnel on interface 1.

Each tunnel on your peer gateway should also use a unique public IP address for your HA VPN gateway to use.

Configuring BGP sessions for dynamic routing

For dynamic routing only, configure your peer VPN gateway to support BGP sessions for the peer subnets you want to advertise to Cloud Router.

Use the ASNs and IP addresses of your Cloud Router, and the information from your Cloud VPN gateway, to configure your peer gateway.

You can use Cloud Router summary information to obtain the Google ASN, configured peer network ASN(s), and BGP IP addresses. See Viewing the Router Configuration to get the above information for your Cloud Router.

For HA VPN, note that the Google ASN, which is the peer ASN from the perspective of your peer VPN gateway, is the same for both tunnels.

Configuring firewall rules

For instructions on configuring firewall rules for your peer network, see Configuring Firewall Rules.

Configuring IKE

For dynamic, route based, and policy based routing, use the following instructions to configure IKE on your peer VPN gateway.

使用下列參數設定 IKE 的內部部署 VPN 閘道與通道。

針對 IKEv1 與 IKEv2:

設定
IPsec 模式 ESP + 驗證通道模式 (站台對站台)
驗證通訊協定 psk
共用密鑰 又稱為 IKE 預先共用密鑰,請依照這些規定選擇高強度密碼。 共用密鑰非常敏感,因為共用密鑰允許存取您的網路。
開始 auto (如果連線中斷,內部部署裝置應自動重新啟動連線)
PFS (完全正向密碼) 開啟
DPD (無效對等互連偵測) 建議值:Aggressive。DPD 可偵測 Cloud VPN 何時重新啟動,以及何時使用替代通道轉送流量。
INITIAL_CONTACT (有時又稱為專屬 ID) 建議值:on (有時稱為 restart)。 此設定的目的是更快地偵測重新啟動,藉以減少能夠察覺到的停機時間。
TSi (流量選取器 - 啟動器) 子網路:--local-traffic-selector 旗標指定的範圍。如果因為 VPN 處於自動模式虛擬私人雲端網路且僅宣告閘道的子網路而未指定 --local-traffic-selector,則會使用該子網路範圍。
舊版網路:網路的範圍。
TSr (流量選取器 - 回應器) IKEv2:--next-hop-vpn-tunnel 設定為此通道的所有路徑目的地範圍。
IKEv1:--next-hop-vpn-tunnel 設定為此通道的路徑之一的任意目的地範圍。
MTU 內部部署 VPN 裝置的 MTU 必須設定為 1460 或以下。 裝置傳出的 ESP 封包不得超過 1460 位元組。您必須對裝置啟用預先分段,這表示封包必須先分段,然後才能封裝。詳情請參閱最大傳輸單位 (MTU) 考量事項一文。

僅限 IKEv1 的其他參數:

設定
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
PFS 演算法 群組 2 (MODP_1024)
對於每個角色,目前在 Cloud VPN 中受到支援的最安全選項會以粗體列出
附註:Cloud VPN 在 IPSec ESP 通道模式下作業

IKEv2 支援的加密方式
階段 加密角色 加密方式
階段 1 加密 • 3DES
• AES-CBC-128, AES-CBC-192, AES-CBC-256
• AES-GCM-128-8, AES-GCM-192-8, AES-GCM-256-8
• AES-GCM-128-12, AES-GCM-192-12, AES-GCM-256-12
• AES-GCM-128-16, AES-GCM-192-16, AES-GCM-256-16
在某些平台上,GCM 演算法可能會以位元數 (分別是 64、96、128) 指定其 ICV 參數八位元 (8, 12, 16)。
完整性 • HMAC-MD5-96
• HMAC-SHA1-96
• AES-XCBC-96, AES-CMAC-96
• HMAC-SHA2-256-128, HMAC-SHA2-384-192, HMAC-SHA2-512-256
這些名稱會因平台而不同。例如,HMAC-SHA2-512-256 可能就是指 SHA-512,縮短截斷長度數目與其他無關資訊。
假隨機函式 (PRF) • PRF-MD5-96
• PRF-SHA1-96
• PRF-AES-XCBC-96, PRF-AES-CMAC-96
• PRF-SHA2-256, PRF-SHA2-384, PRF-SHA2-512
許多裝置都不需要明確的 PRF 設定。
Diffie-Hellman (DH) • 群組 2 (modp_1024)、群組 5 (modp_1536)、群組 14 (modp_2048)、群組 15 (modp_3072)、群組 16 (modp_4096)
• modp_1024s160, modp_2048s224, modp_2048s256
階段 1 生命週期 36,000 秒 (10 小時)
階段 2 加密 • 3DES
• AES-CBC-128, AES-CBC-192, AES-CBC-256
• AES-GCM-128-8, AES-GCM-192-8, AES-GCM-256-8
• AES-GCM-128-12, AES-GCM-192-12, AES-GCM-256-12
• AES-GCM-128-16, AES-GCM-192-16, AES-GCM-256-16
在某些平台上,GCM 演算法可能會以位元數 (分別是 64、96、128) 指定其 ICV 參數八位元 (8, 12, 16)。
完整性 • HMAC-MD5-96
• HMAC-SHA1-96
• AES-XCBC-96, AES-CMAC-96
• HMAC-SHA2-256-128, HMAC-SHA2-384-192, HMAC-SHA2-512-256
這些名稱會因平台而不同。例如,HMAC-SHA2-512-256 可能就是指 SHA-512,縮短截斷長度數目與其他無關資訊。
PFS 演算法 (必要) • 群組 2 (modp_1024)、群組 5 (modp_1536)、群組 14 (modp_2048)、群組 15 (modp_3072)、群組 16 (modp_4096)、群組 18 (modp_8192)
• modp_1024s160, modp_2048s224, modp_2048s256
Diffie-Hellman (DH) 某些裝置的階段 2 需要 DH 值。如果是,請使用您在階段 1 中使用的值。
階段 2 生命週期 10,800 秒 (3 小時)
IKEv1 支援的加密方式
階段 加密角色 加密方式
階段 1 加密 AES-CBC-128
完整性 HMAC-SHA1-96
PFS 演算法 (必要) 群組 2 (modp_1024)
假隨機函式 (PRF) PRF-SHA1-96
Diffie-Hellman (DH) 群組 2 (modp_1024)
階段 1 生命週期 36,600 秒 (10 小時 10 分鐘)
階段 2 加密 AES-CBC-128
完整性 HMAC-SHA1-96
Diffie-Hellman (DH) 某些裝置的階段 2 需要 DH 值。如果是,請使用您在階段 1 中使用的值。
階段 2 生命週期 10,800 秒 (3 小時)

What's next

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Cloud VPN