Utiliser des VPN tiers

Cette page fournit des guides d'interopérabilité testés par Google et des remarques spécifiques aux fournisseurs pour les appareils ou services VPN tiers de pairs qui peuvent vous servir à vous connecter à Cloud VPN.

Chaque guide d'interopérabilité fournit des instructions spécifiques pour connecter la solution VPN tierce concernée à Cloud VPN. Si la solution tierce est compatible avec le routage dynamique (BGP), le guide inclut des instructions de configuration pour le routeur Cloud.

La plupart des appareils VPN de pairs sont normalement compatibles avec Cloud VPN. Pour obtenir des informations générales sur leur configuration, consultez la page Configurer votre passerelle VPN de pairs.

Tout appareil ou service tiers compatible avec IPSEC et les versions 1 ou 2 d'IKE doit également être compatible avec Cloud VPN. Pour obtenir la liste des algorithmes de chiffrements IKE et des autres paramètres de configuration utilisés par Cloud VPN, consultez la page Algorithmes de chiffrement IKE compatibles.

Certains modèles de configuration d'appareils tiers sont disponibles en téléchargement dans la console Google Cloud. Pour en savoir plus, consultez la page Télécharger un modèle de configuration VPN de pairs.

Le protocole IPv6 n'est compatible qu'avec les configurations VPN haute disponibilité. IPv6 n'est pas compatible avec le VPN classique.

Pour en savoir plus sur Cloud VPN, consultez la Présentation de Cloud VPN.

Pour connaître la définition des termes utilisés sur cette page, consultez la section Termes clés.

Guides d'interopérabilité de chaque fournisseur

Cette section recense les guides d'interopérabilité des différents fournisseurs. Chaque guide explique comment utiliser la solution de passerelle VPN du fournisseur concerné avec Cloud VPN.

Pour obtenir des notes détaillées concernant les fournisseurs listés dans cette section, consultez les remarques propres aux fournisseurs.

A-L

Guide Remarques
Alibaba – Passerelle Cloud VPN sans redondance Compatible uniquement avec les routes statiques.
Alibaba – Passerelle Cloud VPN avec redondance Compatible uniquement avec les routes statiques.
Amazon Web Services avec VPN haute disponibilité

Compatible uniquement avec le routage dynamique avec Cloud Router.

Problème connu : lors de la configuration de tunnels VPN vers AWS, vous devez utiliser IKEv2 et configurer moins d'ensembles de transformation IKE du côté AWS.

Amazon Web Services avec un VPN classique Compatible avec les routes statiques ou le routage dynamique avec Cloud Router.
Cisco ASA 5506H avec VPN haute disponibilité Compatible uniquement avec le routage dynamique avec Cloud Router.
Cisco ASA 5505 avec VPN classique Compatible uniquement avec les routes statiques.
Cisco ASR Compatible avec les routes statiques ou le routage dynamique avec Cloud Router.
Check Point – Passerelle de sécurité Compatible avec les routes statiques ou le routage dynamique avec Cloud Router.
Fortinet FortiGate avec VPN haute disponibilité Compatible uniquement avec le routage dynamique avec Cloud Router.
Fortinet FortiGate 300C avec VPN classique Compatible avec les routes statiques ou le routage dynamique avec Cloud Router.
Juniper SRX Compatible avec les routes statiques ou le routage dynamique avec Cloud Router.

M-Z

Guide Remarques
Microsoft Azure avec VPN haute disponibilité Compatible uniquement avec le routage dynamique avec Cloud Router.
Palo Alto Networks PA-3020 Compatible avec les routes statiques ou le routage dynamique avec Cloud Router.
strongSwan Compatible avec le routage dynamique avec Cloud Router et BIRD.

Remarques propres aux fournisseurs

Check Point

Si vous spécifiez plusieurs CIDR par sélecteur de trafic, Check Point VPN met en œuvre IKEv2 en créant plusieurs associations de sécurité enfant. Cette mise en œuvre n'est pas compatible avec Cloud VPN, car celui-ci nécessite que tous les CIDR du sélecteur de trafic local et du sélecteur de trafic distant se trouvent dans une seule association de sécurité enfant. Pour savoir comment créer une configuration compatible, consultez la section Stratégies associées aux sélecteurs de trafic.

Cisco

Si votre passerelle VPN exécute Cisco IOS XE, vérifiez que vous utilisez la version 16.6.3 (Everest) ou une version ultérieure. Des problèmes liés aux événements de regénération de clés de phase 2 ont été identifiés avec les versions antérieures. Ils entraînent un arrêt des tunnels pendant quelques minutes toutes les deux ou trois heures.

Cisco ASA prend en charge les réseaux VPN basés sur des routes avec une interface de tunnel virtuelle (VTI) dans la version iOS 9.7(x) et versions ultérieures. Pour en savoir plus, consultez les ressources suivantes :

Lors de l'utilisation des appareils Cisco ASA avec un tunnel Cloud VPN, vous ne pouvez pas configurer plusieurs plages d'adresses IP (blocs CIDR) pour chacun des sélecteurs de trafic locaux et distants. En effet, ces appareils utilisent une association de sécurité unique pour chaque plage d'adresses IP d'un sélecteur de trafic, alors que Cloud VPN utilise une seule association de sécurité pour toutes les plages d'adresses IP du sélecteur. Pour en savoir plus, consultez la page Tunnels basés sur des règles et sélecteurs de trafic.

Étapes suivantes