Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרת שער ה-VPN של העמית

בדף הזה מוסבר איך להשלים את הגדרת ה-VPN.

כדי להשלים את ההגדרה, צריך להגדיר את המשאבים הבאים בשער ה-VPN של העמית:

מנהרות VPN תואמות ל-Cloud VPN
סשנים של Border Gateway Protocol ‏ (BGP) אם משתמשים בניתוב דינמי עם Cloud Router
כללי חומת אש
הגדרות IKE

לשיטות מומלצות להגדרת שער עמיתים, אפשר לעיין במסמכים או לפנות ליצרן של שער העמיתים. במאמר שימוש ברשתות VPN של צד שלישי יש מדריכים שמתארים כמה מכשירים ושירותים של צד שלישי שנתמכים. בנוסף, אפשר להוריד תבניות להגדרת מכשירים של צד שלישי מהמסוף של Google Cloud . למידע נוסף, ראו הורדת תבנית הגדרות של VPN עמית.

מידע נוסף על Cloud VPN זמין במקורות המידע הבאים:

לפני שמגדירים Cloud VPN, כדאי לעיין בשיטות המומלצות.
מידע נוסף על Cloud VPN זמין בסקירה הכללית על Cloud VPN.
הגדרות של המונחים שמופיעים בדף הזה מפורטות בקטע מונחים מרכזיים.

הגדרת משאבי שער VPN חיצוניים של עמיתים ל-HA VPN

ב-HA VPN, מגדירים משאב של שער VPN חיצוני עמית שמייצג את שער העמית הפיזי ב- Google Cloud. אפשר גם ליצור את המשאב הזה כמשאב עצמאי ולהשתמש בו מאוחר יותר.

כדי ליצור משאב חיצוני של שער VPN עמית, צריך את הערכים הבאים משער עמית פיזי, שיכול להיות גם שער מבוסס תוכנה של צד שלישי. כדי שחיבור ה-VPN יתבסס, הערכים של משאב שער ה-VPN החיצוני של עמיתים צריכים להיות זהים להגדרה בשער הפיזי של העמיתים:

מספר הממשקים בשער ה-VPN הפיזי
כתובת או כתובות IP חיצוניות של שערים או ממשקים של עמיתים
כתובת או כתובות IP של נקודת הקצה של BGP
המפתח ששותף מראש (הסוד המשותף) של IKE
מספר ה-ASN

כשמגדירים את סשני ה-BGP עבור HA VPN ומפעילים IPv6, יש אפשרות להגדיר כתובות IPv6 של הנתב הבא. אם לא מגדירים אותן באופן ידני, Google Cloud מקצה באופן אוטומטי את כתובות ה-IPv6 האלה של הניתוב הבא.

כדי לאפשר תנועה של IPv4 ו-IPv6 (dual-stack) במנהרות HA VPN, צריך לקבל את כתובת ה-IPv6 של הנתב הבא שהוקצתה ל-BGP peer. לאחר מכן, צריך להגדיר את כתובת ה-IPv6 של הניתוב הבא כשמגדירים את מנהרות ה-VPN במכשיר ה-VPN של העמית. למרות שאתם מגדירים כתובות IPv6 בממשקי המנהרה של כל מכשיר, כתובות ה-IPv6 משמשות רק להגדרת הניתוב הבא של IPv6. מסלולי IPv6 מפורסמים דרך IPv6 NLRI על גבי IPv4 BGP peering. דוגמאות להגדרות של כתובת הניתוב הבאה של IPv6 מופיעות במאמר בנושא הגדרה של רשתות VPN של צד שלישי לתעבורת IPv4 ו-IPv6.

כדי ליצור משאב עצמאי של שער VPN חיצוני עמית, מבצעים את השלבים הבאים.

המסוף

נכנסים לדף VPN במסוף Google Cloud .

מעבר ל-VPN
לוחצים על יצירת שער VPN של עמית.
נותנים לשער העמית שם.
בוחרים את מספר הממשקים שיש לשער הפיזי של עמיתים: one,‏ two או four.
מוסיפים את כתובת ה-IP של הממשק לכל ממשק בשער ה-VPN הפיזי.
לוחצים על יצירה.

gcloud

כשמריצים את הפקודה הבאה, מזינים את מזהה הממשק ואת כתובת ה-IP של שער ה-VPN הפיזי: אפשר להזין 1, 2 או 4 ממשקים.

gcloud compute external-vpn-gateways create mygateway \
  --interfaces 0=35.254.128.120,1=35.254.128.121

פלט הפקודה אמור להיראות כמו בדוגמה הבאה:

Creating external VPN gateway...done.
NAME       REDUNDANCY_TYPE
mygateway  TWO_IPS_REDUNDANCY

API

בפקודה הזו אפשר להשתמש ברשימה הזו של סוגי יתירות של שערים.

שולחים בקשת POST באמצעות השיטה externalVpnGateways.insert.

  POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
  {
    "name": "mygateway",
    "interfaces": [
      {
        "id": 0,
        "ipAddress": "35.254.128.120"
      },
      {
        "id": 1,
        "ipAddress": "35.254.128.121"
      },
    ],
    "redundancyType": "TWO_IPS_REDUNDANCY"
  }

הגדרת מנהרות VPN

כדי ליצור מנהרות תואמות לכל מנהרת Cloud VPN שיצרתם, אפשר לעיין במאמרי העזרה של שער ה-VPN השכן.

ב-HA VPN, מגדירים שתי מנהרות בשער העמית. מנהרה אחת בשער השכן צריכה להתאים למנהרת Cloud VPN ב-interface 0. מנהרה נוספת בשער השכן צריכה להתאים למנהרת Cloud VPN ב-interface 1.

כל מנהרה בשער השכן צריכה להשתמש גם בכתובת IP חיצונית ייחודית כדי ששער ה-HA VPN יוכל להשתמש בה.

הגדרת סשנים של BGP לניתוב דינמי

במקרה של ניתוב דינמי בלבד, מגדירים את שער ה-VPN של הרשת השכנה כך שיתמוך בסשנים של BGP עבור רשתות המשנה של הרשת השכנה שרוצים לפרסם ב-Cloud Router.

כדי להגדיר את שער ה-VPN של העמית, משתמשים במספרי מערכות אוטונומיות (ASN) ובכתובות ה-IP של Cloud Router ובמידע משער ה-VPN של Cloud. כדי לקבל את מספר ה-ASN של Google, את מספרי ה-ASN של רשתות עמיתות שהוגדרו ואת כתובות ה-IP של BGP, משתמשים בפרטי הסיכום של Cloud Router.

אם אתם מגדירים HA VPN כדי לאפשר תעבורת IPv4 ו-IPv6 (dual-stack), אתם צריכים להגדיר בשער העמית את כתובת ה-IPv6 של הניתוב הבא שהוקצתה לעמית BGP.

ב-HA VPN, מספר ה-ASN של Google – שהוא מספר ה-ASN השכן מנקודת המבט של שער ה-VPN השכן שלכם – זהה בשתי המנהרות.

אפשר להגדיר את סשני ה-BGP כך שישתמשו באימות MD5.

הגדרת כללים לחומת אש

בחיבורי HA VPN שמשתמשים ב-IPv6, צריך להגדיר את חומות האש כך שיאפשרו תעבורת נתונים ב-IPv6.

הוראות להגדרת כללים של חומת אש עבור רשת עמיתים מופיעות במאמר הגדרת כללים של חומת אש.

הגדרת IKE

אתם יכולים להגדיר IKE בשער ה-VPN של עמיתים לניתוב דינמי, לניתוב מבוסס-מסלול ולניתוב על סמך מדיניות.

מנהרות HA VPN חייבות להשתמש ב-IKE v2 כדי לתמוך בתנועת IPv6.

כדי להגדיר את שער ה-VPN ואת המנהרה של עמית ה-IKE, משתמשים בפרמטרים שבטבלה הבאה.

מידע על חיבור Cloud VPN לפתרונות VPN מסוימים של צד שלישי זמין במאמר בנושא שימוש ב-VPN של צד שלישי עם Cloud VPN. מידע על הגדרות הצפנה ואימות של IPsec זמין במאמר בנושא הצפנות IKE נתמכות.

ל-IKEv1 ול-IKEv2

הגדרה	ערך
מצב IPsec	מצב ESP+Auth Tunnel (מא site ל-site)
פרוטוקול אימות	`psk`
סוד משותף	נקרא גם מפתח משותף מראש של IKE. כדי לבחור סיסמה חזקה, צריך לפעול לפי ההנחיות האלה. המפתח ששותף מראש הוא רגיש כי הוא מאפשר גישה לרשת שלכם.
התחלה	`auto` (אם מכשיר העמיתים יתנתק, החיבור יופעל מחדש באופן אוטומטי)
PFS (סודיות העברה מושלמת)	`on`
‫DPD (Dead Peer Detection, זיהוי של עמיתים לא פעילים)	מומלץ: `Aggressive`. הפרוטוקול DPD מזהה מתי ה-VPN מופעל מחדש ומשתמש במנהרות חלופיות כדי לנתב את התנועה.
INITIAL_CONTACT (לפעמים נקרא `uniqueids`)	מומלץ: `on` (נקרא לפעמים `restart`). מטרה: לזהות הפעלות מחדש מהר יותר כדי לצמצם את זמן ההשבתה.
TSi (Traffic Selector - Initiator)	רשתות משנה: הטווחים שצוינו בדגל `--local-traffic-selector`. אם לא מציינים את `--local-traffic-selector` כי ה-VPN נמצא ברשת VPC במצב אוטומטי ומפרסם רק את רשת המשנה של השער, נעשה שימוש בטווח של רשת המשנה הזו. רשתות מדור קודם: טווח הרשת.
TSr (Traffic Selector - Responder)	‫IKEv2: טווחי היעד של כל המסלולים שמוגדרים למנהרה הזו עם הערך `--next-hop-vpn-tunnel`. ‫IKEv1: באופן שרירותי, טווח היעד של אחד מהמסלולים שבהם הערך `--next-hop-vpn-tunnel` מוגדר למנהרה הזו.
MTU	יחידת השידור המקסימלית (MTU) של מכשיר ה-VPN של העמית לא יכולה לחרוג מ-1,460 בייט. מפעילים במכשיר את האפשרות 'פיצול מראש' כדי שהמנות יפוצלו קודם ואז יוכנסו לקפסולה. מידע נוסף מופיע במאמר בנושא שיקולים לגבי MTU.

פרמטרים נוספים ל-IKEv1 בלבד

הגדרה	ערך
IKE/ISAKMP	`aes128-sha1-modp1024`
ESP	`aes128-sha1`
אלגוריתם PFS	קבוצה 2 (`MODP_1024`)

הגדרת בוררי תנועה

כדי לתמוך בתנועה של IPv4 ו-IPv6, מגדירים את בוררי התנועה בשער ה-VPN של העמית ל-0.0.0.0/0,::/0.

כדי לתמוך רק בתנועת נתונים של IPv4, מגדירים את סלקטורי התנועה בשער ה-VPN של העמית לערך 0.0.0.0/0.

המאמרים הבאים

כדי להוריד תבנית הגדרה למכשיר ה-VPN של העמית, אפשר לעיין במאמר בנושא הורדת תבנית הגדרה של VPN עמית.
להגדרת כללי חומת אש עבור רשת שכנה, ראו הגדרת כללי חומת אש.
כדי להשתמש בתרחישים של זמינות גבוהה וקצב העברה גבוה או בתרחישים של כמה רשתות משנה, אפשר לעיין במאמר בנושא הגדרות מתקדמות.
כדי לעזור לכם לפתור בעיות נפוצות שאתם עלולים להיתקל בהן כשאתם משתמשים ב-Cloud VPN, תוכלו לעיין במאמר בנושא פתרון בעיות.