Acessar a Console do Google Cloud Platform
1.Acessar Projeto
2.Selecionar no menu destacado abaixo o Projeto em que o procedimento será Iniciado.
3.Vai até a sessão de REDE e clique em Conectividade Híbrida.
4. Acessar VPN
5.Acessar contêiner de VPN conforme abaixo.
Criando uma VPN
1. Selecionar Criar uma conexão VPN
2. Após selecionar a opção de criar uma VPN será exibido uma caixa a criação da VPN.
Obs: A maior parte das informações terão que ser fornecidas pelo cliente, pois consistem em informações de conexão e segurança que o mesmo tem que ser responsável.
Os itens serão explicados a seguir:
Nome:
Descrição: O nome deve iniciar com uma letra minúscula seguida de até 62 letras minúsculas, números ou hífens, mas não é possível terminar com um hífen.
Rede
Descrição: A rede do Compute Engine à qual o VPN será conectada.
Região
Descrição: A região onde está localizado o gateway da sua rede do Compute Engine
Endereço IP
Descrição: O endereço IP estático do gateway da sua rede do Compute Engine.
Túneis
Endereço IP do Terminal Remoto
Descrição: O endereço IP público do gateway de VPN de sua própria rede.
Versão IKE
Descrição: Versão do protocolo Internet Key Exchange para usar ao estabelecer o túnel VPN com gateway de VPN de ponto. Se tiver dúvidas, deixe como IKEv2.
Chave Secreta Compartilhada
Descrição: A chave pré-compartilhada de IKE para este túnel.
Opções de Direcionamento
Descrição: Roteia o tráfego de túnel diretamente para intervalos de endereços estáticos ou roteia dinamicamente usando o Border Gateway Protocol. É permitido somente um túnel com roteamento dinâmico por VPN.
Intervalos IP de Rede Remota
Descrição: Um ou mais intervalos de endereço IP que definem o intervalo de rede do terminal. Use a notação CIDR ao informar intervalos.
Para informar vários intervalos de endereço IP em notação CIDR, pressione Enter depois de cada um
Sub-redes Locais
Descrição: Sub-redes permitem que você direcione seu túnel VPN para uma determinada região, o que pode reduzir a latência entre a rede no local e a rede na nuvem.
Intervalos de IP Local
Descrição: Os intervalos de IPs que utilizarão o túnel.
Firewall
Após a configuração dos parâmetros temos que criar uma regra no firewall da console, seguindo o exemplo abaixo.
Vá para a página VPN na Plataforma Console Google Cloud.
Ver os túneis VPN para esse projeto.
Clique em Configurar na Regras de firewall coluna do novo túnel.
Isso leva você para uma página de configuração para a rede contendo o túnel.
Clique em Nova Regra de Firewall . Adicionar uma regra para TCP, UDP, e ICMP:
Nome: allow-tcp-udp-icmp
filter Fonte: faixas de IP.
IP de origem varia: Rede Remota IP Range valor a partir de quando você criou o túnel. Se você tem mais de um intervalo de rede, insira cada um. Pressionar o Tab chave entre entradas.
protocolos permitidos ou portas: tcp; udp; icmp
Tag-alvo: Qualquer etiqueta ou etiquetas válido.
Clique Criar .
Criar outras regras de firewall, se necessário.
Em casos que precise criar rede personalizada no console do google, criar as regras de firewall que não serão criadas devido ao gerenciamento personalizado do range de ips da rede interna da console.
Configurações no Cliente
1. Ok, já sabemos qual dado cada campo deve receber mas temos que ficar atentos e sempre validar com o cliente se as informações estão configuradas conforme a exigência do Google Cloud Platform, para que a conexão seja realizada com sucesso.
A Configuração do par de gateway VPN, tem que atender as exigências abaixo.
Parâmetros de conexão de par VPN Gateway
Para IKEv1 e IKEv2:
Configuração | Valor |
Modo IPsec | O modo de túnel ESP + Auth (Site-to-Site) |
Protocolo auth | PSK |
Segredo partilhado | Também conhecida como uma chave IKE pré-compartilhada. Escolha uma senha forte. O segredo compartilhado é muito sensível, uma vez que permite o acesso à sua rede. |
Start | `Auto` (dispositivo de mesmo nível deve reiniciar automaticamente a conexão se ela cair) |
PFS (Perfect Forward Secrecy) | ON |
DPD (Dead Peer Detection) | Recomendado: `Aggressive`. DPD detecta quando o VPN Nuvem reinicia e tráfego de rota usando túneis alternados. |
INITIAL_CONTACT (sometimes called uniqueids) | Recomendado: `on` (às vezes chamado de 'restart'). O objetivo é detectar reinicia mais rápido para que o tempo de inatividade percebido é reduzida. |
TSi (Traffic Selector - Initiator) | Sub-redes:Os limites especificados pela --local-traffic-selector, Se --local-traffic-selector não foi especificado porque a VPN é uma rede de sub-rede de auto e está anunciando única sub-rede do gateway, em seguida, que a faixa de sub-rede é usada. Redes legadas: o alcance da rede. |
TSR (Selector Traffic - Responder) | IKEv2: todos os intervalos de Destino têm que ter o --next-hop-vpn-tunnel definidos para este túnel. IKEv1: define que um o intervalo de destino de uma das rotas que tenha --next-hop-vpn-tunnel definido para este túnel. |
MTU | A MTU do dispositivo VPN par deve ser definida para 1460 ou inferior. pacotes ESP enviados do dispositivo não devem ser superiores a 1460 bytes. Você deve habilitar a pré-fragmentação no seu dispositivo, o que significa que os pacotes deve ser fragmentado em primeiro lugar, em seguida, encapsulado. |
Os parâmetros adicionais por apenas IKEv1:
Configuração | Valor |
Configuração | aes128-sha1-modp1024 |
ESP | aes128-sha1 |
PFS Algorithm | Group 2 (MODP_1024) |
PFS Algorithm | off (Cloud VPN does not support NAT-T) |
Nota: É de extrema importância validar os ítens acima minuciosamente, pois qualquer divergência a conexão não será estabelecida. Para acompanhar o status da conexão podemos utilizar o Stackdrive.
Para acessar o Stackdrive basta clicar no link a abaixo.
Observações
Vamos listar a seguir algumas observações que podem solucionar problemas de configuração do lado do cliente.
O protocolo de autenticação entre gateways VPN do google por padrão é o IKEv2; com o Grupo DH Group14 (2048 bits);
Método de Criptografia AES-256;
Autenticação SHA1;
Verificar se o roteamento está correto na infraestrutura do Cliente, caso ele utilize alguma ferramenta de gerenciamento de rede, como o SonicWALL, validar se o objeto, criado para a vpn está com o tráfego e/ou roteamentos estão liberado para rede interna;
Verificar e sempre manter atualizado o firewall da console, levantar e restringir os ips e protocolos que utilizará em seu ambiente.
Este artigo foi útil?
Que bom!
Obrigado pelo seu feedback
Desculpe! Não conseguimos ajudar você
Obrigado pelo seu feedback
Feedback enviado
Agradecemos seu esforço e tentaremos corrigir o artigo