Utilizzo di VPN di terze parti

Questa pagina fornisce guide all'interoperabilità testate da Google e note specifiche del fornitore per i servizi o i dispositivi VPN peer di terze parti che puoi utilizzare per connetterti a Cloud VPN.

Ogni guida all'interoperabilità fornisce istruzioni specifiche per la connessione della soluzione VPN di terze parti a Cloud VPN. Se la soluzione di terze parti supporta il routing dinamico (BGP), la guida include le istruzioni di configurazione per il router Cloud.

La maggior parte dei dispositivi VPN peer dovrebbe essere compatibile con Cloud VPN. Per informazioni generali sulla configurazione dei dispositivi VPN peer, consulta Configurare il gateway VPN peer.

Qualsiasi dispositivo o servizio di terze parti che supporti le versioni 1 o 2 di IPsec e IKE deve essere compatibile con Cloud VPN. Per un elenco delle crittografie IKE e di altri parametri di configurazione utilizzati da Cloud VPN, consulta Crittografia IKE supportata.

Alcuni modelli di configurazione dei dispositivi di terze parti sono disponibili per il download dalla console Google Cloud. Per maggiori informazioni, consulta Scaricare un modello di configurazione VPN peer.

IPv6 è supportato solo nelle configurazioni VPN ad alta disponibilità. IPv6 non è supportato dalla VPN classica.

Per ulteriori informazioni su Cloud VPN, consulta la panoramica di Cloud VPN.

Per le definizioni dei termini utilizzati in questa pagina, consulta la sezione Termini chiave.

Guide all'interoperabilità per fornitore

In questa sezione sono elencate le guide all'interoperabilità suddivise per fornitore. Ogni guida spiega come utilizzare la soluzione gateway VPN di quel fornitore con Cloud VPN.

Per note dettagliate relative ai fornitori elencati in questa sezione, consulta la sezione delle note specifiche del fornitore.

L

Guida Note
Gateway Cloud VPN Alibaba senza ridondanza Supporta solo route statiche.
Gateway Cloud VPN Alibaba con ridondanza Supporta solo route statiche.
Amazon Web Services con VPN ad alta disponibilità

Supporta il routing dinamico solo con il router Cloud.

Problema noto: quando si configurano tunnel VPN su AWS, è necessario utilizzare IKEv2 e configurare meno set di trasformazione IKE sul lato AWS.

Amazon Web Services con VPN classica Supporta route statiche o routing dinamico con il router Cloud.
Cisco ASA 5506H con VPN ad alta disponibilità Supporta il routing dinamico solo con il router Cloud.
Cisco ASA 5505 con VPN classica Supporta solo route statiche.
ASR Cisco Supporta route statiche o routing dinamico con il router Cloud.
Controlla il gateway di sicurezza di Point Supporta route statiche o routing dinamico con il router Cloud.
Fortinet FortiGate con VPN ad alta disponibilità Supporta il routing dinamico solo con il router Cloud.
Fortinet FortiGate 300C con VPN classica Supporta route statiche o routing dinamico con il router Cloud.
SRX Juniper Supporta route statiche o routing dinamico con il router Cloud.

M-Z

Guida Note
Microsoft Azure con VPN ad alta disponibilità Supporta il routing dinamico solo con il router Cloud.
Palo Alto Networks PA-3020 Supporta route statiche o routing dinamico con il router Cloud.
strongSwan Supporta il routing dinamico con il router Cloud e BIRD.

Note specifiche del fornitore

Check Point

Check Point VPN implementa IKEv2 creando più associazioni di sicurezza figlio quando specifichi più di un CIDR per selettore di traffico. Questa implementazione non è compatibile con Cloud VPN, che richiede che tutti i CIDR per il selettore del traffico locale e tutti i CIDR per il selettore del traffico remoto siano posizionati in una singola SA secondaria. Per suggerimenti su come creare una configurazione compatibile, consulta Strategie per il selettore di traffico.

Cisco

Se il gateway VPN esegue Cisco IOS XE, assicurati di eseguire la versione 16.6.3 (Everest) o successiva. Le versioni precedenti presentano problemi noti relativi agli eventi di rekey della fase 2, che comportano l'arresto dei tunnel per alcuni minuti a intervalli di alcune ore.

Cisco ASA supporta la VPN basata su route con Virtual Tunnel Interface (VTI) in iOS 9.7(x) e versioni successive. Per ulteriori informazioni, consulta le seguenti risorse:

Quando utilizzi i dispositivi Cisco ASA con un tunnel Cloud VPN, non puoi configurare più di un intervallo di indirizzi IP (blocco CIDR) per ciascuno dei selettori di traffico locale e remoto. Il motivo è che i dispositivi Cisco ASA utilizzano un SA univoco per ogni intervallo di indirizzi IP in un selettore di traffico, mentre Cloud VPN utilizza un solo SA per tutti gli intervalli IP in un selettore di traffico. Per maggiori informazioni, consulta Tunnel basati su criteri e selettori di traffico.

Passaggi successivi