Como usar VPNs de terceiros com a Cloud VPN

Esta página fornece guias de interoperabilidade testados pelo Google e observações específicas para fornecedores para dispositivos VPN de terceiros de peer que você pode usar para se conectar ao Cloud VPN.

Qualquer dispositivo ou serviço de terceiros compatível com IPSEC e IKE versões 1 ou 2 deve ser compatível com o Cloud VPN. Para obter mais informações, consulte Compatível com criptografias IKE.

Cada guia de interoperabilidade contém instruções específicas sobre como conectar a solução de VPN de terceiros ao Cloud VPN.

Se a solução de terceiros oferecer suporte ao roteamento dinâmico (BGP), o guia incluirá instruções de configuração para o Cloud Router.

  • A maioria dos dispositivos VPN de peer deve ser compatível com o Cloud VPN. Para obter informações gerais sobre como configurar dispositivos de VPN de peer, consulte Configuração do gateway de VPN de peer.
  • Para ver uma lista de criptografias IKE e outros parâmetros de configuração usados pelo Cloud VPN, consulte Criptografias IKE compatíveis.

Guias de interoperabilidade por fornecedor

Nesta seção, listamos os guias de interoperabilidade por fornecedor em ordem alfabética. Cada guia mostra como usar a solução de gateway do VPN do fornecedor com o Cloud VPN.

Consulte a seção de notas específicas do fornecedor para acessar notas detalhadas sobre os fornecedores listados.

A-L

M-Z

  • Microsoft Azure: compatível somente com rotas estáticas
  • Palo Alto Networks PA-3020: compatível com rotas estáticas ou roteamento dinâmico com o Cloud Router
  • strongSwan: compatível com roteamento dinâmico com o Cloud Router e BIRD
  • VyOS: compatível com rotas estáticas ou roteamento dinâmico com o Cloud Router

Observações específicas do fornecedor

Check Point

A VPN do Check Point implementa IKEv2 criando várias Associações de segurança subordinadas (SAs) quando você especifica mais de um CIDR por seletor de tráfego. Essa implementação é incompatível com o Cloud VPN, que exige que todos os CIDRs do seletor de tráfego local e todos os CIDRs do seletor de tráfego remoto estejam localizados em uma única SA filha. Consulte Estratégias do seletor de tráfego para sugestões sobre como criar uma configuração compatível.

Cisco

  • Se o gateway da VPN executa o Cisco IOS XE, verifique se a versão é a 16.6.3 (Everest) ou posterior. Versões anteriores têm problemas conhecidos com eventos de rekeying da Fase 2, o que resulta na interrupção de túneis por alguns minutos a cada poucas horas.
  • O Cisco ASA é compatível com VPN baseada em rota com a interface de túnel virtual (VTI) na versão 9.7(x) e mais recente do IOS. Consulte as notas de lançamento do Cisco ASA Series 9.7(x) e o capítulo sobre VTI no guia de configuração da CLI da VPN do Cisco ASA Series 9.7.
  • Ao usar dispositivos Cisco ASA com um túnel de Cloud VPN, não é possível configurar mais de um intervalo de endereços IP (bloco CIDR) para cada um dos seletores de tráfego local e remoto. O motivo é que os dispositivos Cisco ASA usam uma única SA para cada intervalo de endereços IP em um seletor de tráfego, enquanto o Cloud VPN usa uma única SA para todos os intervalos IP em um seletor de tráfego. Consulte seletores de tráfego para mais informações.

A seguir