静的ルーティングを使用する Classic VPN ゲートウェイを作成する

このページでは、静的ルーティングを使用して Classic VPN ゲートウェイとトンネルを作成する方法を説明します。このトンネルは、ポリシーベースまたはルートベースのトンネルです。

ルートベースの VPN では、リモート トラフィック セレクタのみを指定します。ローカル トラフィック セレクタを指定する必要がある場合は、代わりにポリシーベース ルーティングを使用する Cloud VPN トンネルを作成してください。

Classic VPN は IPv6 をサポートしていません。

Cloud VPN の詳細については、次のリソースをご覧ください。

  • Cloud VPN を設定する前に検討すべきベスト プラクティスについては、ベスト プラクティスをご覧ください。

  • Cloud VPN の詳細については、Cloud VPN の概要をご覧ください。

  • このページで使用している用語の定義については、主な用語をご覧ください。

ルーティング オプション

Trusted Cloud コンソールを使用してポリシーベースのトンネルを作成すると、Classic VPN は次のタスクを実行します。

  • トンネルのローカル トラフィック セレクタを、指定する IP 範囲に設定します。
  • トンネルのリモート トラフィック セレクタを [リモート ネットワーク IP の範囲] フィールドに指定する IP 範囲に設定します。
  • [リモート ネットワーク IP の範囲] の各範囲に対して、 Trusted Cloud by S3NSは宛先(接頭辞)が範囲内の CIDR であり、ネクストホップがトンネルであるカスタム静的ルートを作成します。

ポリシーベースの Classic VPN トンネルを作成すると、[リモート ネットワーク IP の範囲] フィールドに入力した IP 範囲が VPN トンネルの詳細ページの [アドバタイズされた IP 範囲] に表示されます。

Trusted Cloud コンソールを使用してルートベースのトンネルを作成すると、Classic VPN は次のタスクを実行します。

  • トンネルのローカルとリモートのトラフィック セレクタを任意の IP アドレス(0.0.0.0/0)に設定します。
  • [リモート ネットワーク IP の範囲] の各範囲に対して、 Trusted Cloud は宛先(接頭辞)が範囲内の CIDR であり、ネクストホップがトンネルであるカスタム静的ルートを作成します。

Google Cloud CLI を使用してポリシーベースのトンネルまたはルートベースのトンネルを作成する場合も、トンネルのトラフィック セレクタは同じ方法で定義されます。ただし、カスタム静的ルートの作成は個別のコマンドで行われるため、これらのルートはより詳細に制御できます。

トラフィック セレクタで指定できる CIDR の数は、IKE のバージョンによって異なります。

重要な背景情報については、以下をご覧ください。

始める前に

Cloud VPN をより簡単に構成できるように、 Trusted Cloud で次の項目を設定します。

  1. In the Trusted Cloud console, on the project selector page, select or create a Trusted Cloud project.

    Go to project selector

  2. Verify that billing is enabled for your Trusted Cloud project.

  3. Install the Google Cloud CLI.

  4. 連携 ID を使用するように gcloud CLI を構成します。

    詳細については、連携 ID を使用して gcloud CLI にログインするをご覧ください。

  5. gcloud CLI を初期化するには、次のコマンドを実行します。 

    gcloud init

    1. Google Cloud CLI を使用している場合は、次のコマンドを使用してプロジェクト ID を設定します。このページの gcloud の説明では、コマンド発行前にプロジェクト ID を設定済みであることを前提としています。

          gcloud config set project PROJECT_ID

    1. 次のコマンドを実行して、すでに設定されているプロジェクト ID を表示することもできます。

          gcloud config list --format='text(core.project)'

    カスタム VPC ネットワークとサブネットを作成する

    Classic VPN ゲートウェイとトンネルを作成する前に、Classic VPN ゲートウェイが存在する Trusted Cloud リージョンに Virtual Private Cloud(VPC)ネットワークと少なくとも 1 つのサブネット。

    ゲートウェイとトンネルを作成する

    コンソール

    ゲートウェイの構成

    1. Trusted Cloud コンソールで、[VPN] ページに移動します。

      [VPN] に移動

    2. ゲートウェイを初めて作成する場合は、[VPN 接続を作成] をクリックします。

    3. [VPN 設定ウィザード] を選択します。

    4. [Classic VPN] オプション ボタンを選択します。

    5. [続行] をクリックします。

    6. [VPN 接続の作成] ページで、次のゲートウェイ設定を指定します。

      • 名前: VPN ゲートウェイの名前。この名前は後で変更できません。
      • 説明: 必要に応じて、説明を追加します。
      • ネットワーク: VPN ゲートウェイとトンネルを作成する既存の VPC ネットワークを指定します。
      • リージョン: Cloud VPN ゲートウェイとトンネルはリージョン オブジェクトです。ゲートウェイを配置する Trusted Cloud リージョンを選択します。別のリージョン内にあるインスタンスなどのリソースでは、ルートの順序の対象となる下り(外向き)トラフィック用のトンネルを使用できます。パフォーマンスを向上させるため、ゲートウェイとトンネルは、関連する Trusted Cloud リソースと同じリージョン内に配置してください。
      • IP アドレス - 既存のリージョンの外部 IP アドレスを作成または選択します。

    トンネルの構成

    1. 新しいトンネルの場合、[トンネル] セクションで次の設定を指定します。

      • 名前: VPN トンネルの名前。この名前は後で変更できません。
      • 説明: 説明を任意で入力します。
      • リモートピア IP アドレス: ピア VPN ゲートウェイの外部 IP アドレスを指定します。
      • IKE バージョン: ピア VPN ゲートウェイでサポートされている適切な IKE バージョンを選択します。IKEv2 がピアデバイスでサポートされていれば、このバージョンを選択してください。
      • IKE 事前共有キー: 認証用の事前共有キー(共有シークレット)を指定します。Cloud VPN トンネルの事前共有キーは、ピア VPN ゲートウェイ上で対応するトンネルを構成する場合に使用するものと同じでなければなりません。暗号的に強力な事前共有キーを生成するには、強力な事前共有キーの生成の手順に沿って操作します。

      ポリシーベースのトンネルの場合

      1. [ルーティング オプション] で [ポリシーベース] を選択します。

      2. [リモート ネットワーク IP の範囲] で、ピア ネットワークで使用される IP 範囲をスペース区切りリストで指定します。これは、リモート トラフィック セレクタ、つまり Cloud VPN の観点から見ると右側です。

        ポリシーベースの Classic VPN トンネルを作成すると、[リモート ネットワーク IP の範囲] フィールドに入力した IP 範囲が VPN トンネルの詳細ページの [アドバタイズされた IP 範囲] に表示されます。

      3. [ローカル IP 範囲] で、次のいずれかの方法を選択します。

        • 既存のローカル IP 範囲を選択するには、[ローカル サブネットワーク] メニューを使用します。
        • VPC ネットワークで使用される IP 範囲のスペース区切りのリストを入力するには、[ローカル IP 範囲] フィールドを使用します。重要な考慮事項について、ポリシーベースのトンネルとトラフィック セレクタをご覧ください。

      ルートベースのトンネルの場合

      1. [ルーティング オプション] で [ルートベース] を選択します。
      2. [リモート ネットワーク IP の範囲] で、ピア ネットワークで使用される IP 範囲をスペース区切りリストで指定します。これらの範囲は、ネクストホップがこの VPN トンネルであるカスタム静的ルートを作成するために使用されます。

    2. 同じゲートウェイ上でトンネルを追加作成する場合は、[トンネルの追加] をクリックし、上記の手順を繰り返します。後でトンネルを追加することもできます。

    3. [作成] をクリックします。

    gcloud

    Cloud VPN ゲートウェイを作成するには、次のコマンド シーケンスを完了します。コマンドでは、以下を置き換えます。

    • PROJECT_ID: プロジェクトの ID
    • NETWORK: Trusted Cloud ネットワークの名前
    • REGION: ゲートウェイとトンネルを作成する Trusted Cloudリージョン
    • GW_NAME: ゲートウェイの名前
    • GW_IP_NAME: ゲートウェイが使用する外部 IP アドレスの名前
    • (省略可)--target-vpn-gateway-region は、Classic VPN ゲートウェイが動作するリージョンです。--region と同じ値になります。指定しない場合、このオプションが自動的に設定されます。このオプションは、このコマンド呼び出しのデフォルトの compute/region プロパティ値をオーバーライドします。

    ゲートウェイ リソースの構成

    1. ターゲット VPN ゲートウェイ オブジェクトを作成します。

      gcloud compute target-vpn-gateways create GW_NAME \
   --network=NETWORK \
   --region=REGION \
   --project=PROJECT_ID

    2. リージョンの外部(静的)IP アドレスを予約します。

      gcloud compute addresses create GW_IP_NAME \
   --region=REGION \
   --project=PROJECT_ID

    3. IP アドレスをメモします(ピア VPN ゲートウェイを構成するときに使用します)。

      gcloud compute addresses describe GW_IP_NAME \
   --region=REGION \
   --project=PROJECT_ID \
   --format='flattened(address)'

    4. 転送ルールを 3 つ作成します。これらのルールは、ESP(IPsec)、UDP 500、UDP 4500 のトラフィックをゲートウェイに送信するようTrusted Cloud に指示します。

      gcloud compute forwarding-rules create fr-GW_NAME-esp \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=ESP \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

      gcloud compute forwarding-rules create fr-GW_NAME-udp500 \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=UDP \
   --ports=500 \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

      gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=UDP \
   --ports=4500 \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

    Cloud VPN トンネルの作成

    1. コマンドでは、以下を置き換えます。

      • TUNNEL_NAME: トンネルの名前
      • ON_PREM_IP: ピア VPN ゲートウェイの外部 IP アドレス
      • IKE_VERS: 1(IKEv1 の場合)または 2(IKEv2 の場合)
      • SHARED_SECRET: 事前共有キー(共有シークレット)。Cloud VPN トンネルの事前共有キーは、ピア VPN ゲートウェイ上で対応するトンネルを構成する場合に使用するものと同じでなければなりません。暗号的に強力な事前共有キーを生成するには、強力な事前共有キーの生成の手順に沿って操作します。
      • PH1_ENCRYPT_ALGRTHS: フェーズ 1 の IKE セキュリティ アソシエーション(SA)ネゴシエーションでサポートされている暗号化アルゴリズムのカンマ区切りのリスト。アルゴリズムを優先順に一覧表示できます。
      • PH1_INTEGRITY_ALGRTHS: フェーズ 1 の IKE SA ネゴシエーションでサポートされている完全性アルゴリズムのカンマ区切りのリスト。アルゴリズムを優先順に一覧表示できます。
      • PH1_PRF_ALGRTHS: フェーズ 1 の IKE SA ネゴシエーションでサポートされている疑似ランダム関数(PRF)アルゴリズムのカンマ区切りのリスト。アルゴリズムを優先順に一覧表示できます。
      • PH1_DH_GROUP: フェーズ 1 IKE SA ネゴシエーションでサポートされているディフィーヘルマン(DH)アルゴリズムのカンマ区切りリスト。アルゴリズムを優先順に一覧表示できます。
      • PH2_ENCRYPT_ALGRTHS: フェーズ 2 の IKE SA ネゴシエーションでサポートされている暗号化アルゴリズムのカンマ区切りリスト。アルゴリズムを優先順に一覧表示できます。
      • PH2_INTEGRITY_ALGRTHS: フェーズ 2 の IKE SA ネゴシエーションでサポートされている完全性アルゴリズムのカンマ区切りリスト。アルゴリズムを優先順に一覧表示できます。
      • PH2_PFS_ALGRTHS: フェーズ 2 の IKE SA ネゴシエーションでサポートされている PFS アルゴリズムのカンマ区切りリスト。アルゴリズムを優先順に一覧表示できます。

      ポリシーベースの VPN の場合:

      • LOCAL_IP_RANGES:Trusted Cloud IP アドレス範囲のカンマ区切りリスト。たとえば、VPC ネットワーク内のサブネットごとに CIDR ブロックを指定できます。これは Cloud VPN の観点から見ると「左側」です。
      • REMOTE_IP_RANGES: ピア ネットワーク IP 範囲のカンマ区切りリスト。これは Cloud VPN の観点から見ると「右側」です。

      ポリシーベースの VPN トンネルを構成するには、次のコマンドを実行します。

      gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=LOCAL_IP_RANGES \
    --remote-traffic-selector=REMOTE_IP_RANGES \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID

      ルーティング オプションとトラフィック セレクタで定義されるとおり、ルートベースの VPN の場合、ローカルとリモートのトラフィック セレクタはどちらも 0.0.0.0/0 です。

      ルートベースの VPN トンネルを構成するには、次のコマンドを実行します。

      gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=0.0.0.0/0 \
    --remote-traffic-selector=0.0.0.0/0 \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID

      ポリシーベースとルートベースの両方のトンネルに対して、暗号アルゴリズムを構成することもできます。たとえば、ポリシーベースのトンネルの暗号アルゴリズムを構成するには、次のコマンドを実行します。

      gcloud beta compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=LOCAL_IP_RANGES \
    --remote-traffic-selector=REMOTE_IP_RANGES \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID \
    --phase1-encryption=PH1_ENCRYPT_ALGRTHS \
    --phase1-integrity=PH1_INTEGRITY_ALGRTHS \
    --phase1-prf=PH1_PRF_ALGRTHS \
    --phase1-dh=PH1_DH_GROUP \
    --phase2-encryption=PH2_ENCRYPT_ALGRTHS \
    --phase2-integrity=PH2_INTEGRITY_ALGRTHS \
    --phase2-pfs=PH2_PFS_ALGRTHS

      Cloud VPN でサポートされている暗号アルゴリズムの詳細については、サポートされている IKE の暗号をご覧ください。

    2. 前の手順の --remote-traffic-selector オプションで指定したリモート IP 範囲ごとに静的ルートを作成します。このコマンドをリモート IP 範囲ごとに繰り返します。ROUTE_NAME はルートの一意の名前に、REMOTE_IP_RANGE は該当するリモート IP 範囲に置き換えます。

      gcloud compute routes create ROUTE_NAME \
    --destination-range=REMOTE_IP_RANGE \
    --next-hop-vpn-tunnel=TUNNEL_NAME \
    --network=NETWORK \
    --next-hop-vpn-tunnel-region=REGION \
    --project=PROJECT_ID

    構成の完了

    新しい Cloud VPN ゲートウェイとゲートウェイに関連付けられた VPN トンネルを使用する前に、次の手順を行います。

    1. ピア VPN ゲートウェイを設定し、対応するトンネルを構成します。手順については、以下をご覧ください。
    2. 必要に応じて、 Trusted Cloud とピア ネットワークにファイアウォール ルールを構成します。
    3. VPN トンネルと転送ルールのステータスを確認します

    4. プロジェクトのルーティング テーブルに移動し、Next hop type:VPN tunnel をフィルタリングして VPN ルートを表示します。

      [ルート] に移動

    次のステップ