Auf dieser Seite wird beschrieben, wie Sie mit statischem Routing ein klassisches VPN-Gateway und einen Tunnel erstellen. Dieser Tunnel ist entweder ein richtlinienbasierter oder ein routenbasierter Tunnel.
Bei einem routenbasierten VPN geben Sie nur die Remote-Trafficauswahl an. Wenn Sie eine lokale Trafficauswahl angeben möchten, erstellen Sie einen Cloud VPN-Tunnel mit richtlinienbasiertem Routing.
Klassisches VPN unterstützt IPv6 nicht.
Weitere Informationen zu Cloud VPN finden Sie in den folgenden Ressourcen:
Best Practices für die Einrichtung von Cloud VPN finden Sie unter Best Practices.
Weitere Informationen zu Cloud VPN finden Sie unter Cloud VPN – Übersicht.
Definitionen der auf dieser Seite verwendeten Begriffe finden Sie unter Wichtige Begriffe.
Routingoptionen
Wenn Sie die Google Cloud Console zum Erstellen eines richtlinienbasierten Tunnels verwenden, führt Klassisches VPN die folgenden Aufgaben aus:
- Legt die lokale Trafficauswahl des Tunnels auf den von Ihnen angegebenen IP-Bereich fest
- Legt die Remote-Trafficauswahl des Tunnels auf die IP-Bereiche fest, die Sie in IP-Bereiche des Remote-Netzwerks angeben
- Für jeden Bereich in IP-Bereichen des Remote-Netzwerks erstellt Google Cloud eine benutzerdefinierte statische Route, deren Ziel (Präfix) das CIDR des Bereichs ist und deren nächster Hop der Tunnel ist.
Nachdem Sie einen richtlinienbasierten klassischen VPN-Tunnel erstellt haben, werden die IP-Bereiche, die Sie in das Feld IP-Bereiche des Remote-Netzwerks eingegeben haben, auf der Seite mit den Details des VPN-Tunnels als Beworbene IP-Adresse angezeigt.
Wenn Sie die Google Cloud Console verwenden, um einen routenbasierten Tunnel zu erstellen, führt klassisches VPN die folgenden Aufgaben aus:
- Legt die lokalen und Remote-Trafficauswahlen des Tunnels auf eine beliebige IP-Adresse fest (
0.0.0.0/0
) - Für jeden Bereich in IP-Bereichen des Remote-Netzwerks erstellt Google Cloud eine benutzerdefinierte statische Route, deren Ziel (Präfix) das CIDR des Bereichs ist und deren nächster Hop der Tunnel ist.
Wenn Sie über das Google Cloud CLI entweder einen richtlinienbasierten oder einen routenbasierten Tunnel erstellen, wird die Trafficauswahl für den Tunnel auf die gleiche Weise definiert. Da die benutzerdefinierten statischen Routen jedoch mit separaten Befehlen erstellt werden, haben Sie mehr Kontrolle über diese Routen.
Die Anzahl der CIDRs, die Sie in einer Trafficauswahl angeben können, hängt von der IKE-Version ab.
Wichtige Hintergrundinformationen hierzu finden Sie hier:
Hinweis
Richten Sie die folgenden Elemente in Google Cloud ein, um das Konfigurieren von Cloud VPN zu vereinfachen:
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Wenn Sie das Google Cloud CLI verwenden, legen Sie Ihre Projekt-ID mit dem folgenden Befehl fest. Die
gcloud
-Anweisungen auf dieser Seite setzen voraus, dass Sie Ihre Projekt-ID festgelegt haben, bevor Sie Befehle verwenden.gcloud config set project PROJECT_ID
-
Sie können auch eine Projekt-ID aufrufen, die bereits festgelegt wurde, indem Sie den folgenden Befehl ausführen:
gcloud config list --format='text(core.project)'
Benutzerdefiniertes VPC-Netzwerk und -Subnetz erstellen
Bevor Sie ein klassisches VPN-Gateway und einen Tunnel erstellen, müssen Sie ein VPC-Netzwerk (Virtual Private Cloud) und mindestens ein Subnetz in der Region erstellen, in der sich das klassische VPN-Gateway befindet.
- Informationen zum Erstellen eines VPC-Netzwerks im benutzerdefinierten Modus (empfohlen) finden Sie unter VPC-Netzwerk im benutzerdefinierten Modus erstellen.
- Informationen zum Erstellen von Subnetzen finden Sie unter Mit Subnetzen arbeiten.
Gateway und Tunnel erstellen
Console
Gateway konfigurieren
Rufen Sie in der Google Cloud Console die Seite VPN auf.
Wenn Sie zum ersten Mal ein Gateway erstellen, klicken Sie auf VPN-Verbindung erstellen.
Wählen Sie den VPN-Einrichtungsassistenten aus.
Wählen Sie die Optionsschaltfläche Klassisches VPN aus.
Klicken Sie auf Weiter.
Geben Sie auf der Seite VPN-Verbindung erstellen die folgenden Gateway-Einstellungen an:
- Name: Der Name des VPN-Gateways. der Name kann später nicht mehr geändert werden.
- Beschreibung: (Optional) Fügen Sie eine Beschreibung hinzu.
- Netzwerk: Geben Sie ein vorhandenes VPC-Netzwerk an, in dem das VPN-Gateway und der Tunnel erstellt werden sollen.
- Region: Cloud VPN-Gateways und Tunnel sind regionale Objekte. Wählen Sie eine Google Cloud-Region aus, in der sich das Gateway befinden soll. Instanzen und andere Ressourcen in unterschiedlichen Regionen können den Tunnel für ausgehenden Traffic entsprechend der Reihenfolge der Routen verwenden. Für eine optimale Leistung sollten sich das Gateway und der Tunnel in derselben Region wie relevante Google Cloud-Ressourcen befinden.
- IP-Adresse: Erstellen Sie eine regionale externe IP-Adresse oder wählen Sie eine vorhandene Adresse aus.
Tunnel konfigurieren
Geben Sie für den neuen Tunnel im Abschnitt Tunnel die folgenden Einstellungen an:
- Name: Der Name des VPN-Tunnels. der Name kann später nicht mehr geändert werden.
- Beschreibung: Geben Sie optional eine Beschreibung ein.
- Remote-Peer-IP-Adresse: Geben Sie die externe IP-Adresse des Peer-VPN-Gateways an.
- IKE-Version: Wählen Sie die geeignete IKE-Version aus, die vom Peer-VPN-Gateway unterstützt wird. IKEv2 wird bevorzugt, wenn es vom Peer-Gerät unterstützt wird.
- Vorinstallierter IKE-Schlüssel: Geben Sie für die Authentifizierung einen vorinstallierten Schlüssel (gemeinsames Secret) an. Der vorinstallierte Schlüssel für den Cloud VPN-Tunnel muss mit dem Secret übereinstimmen, das Sie beim Konfigurieren des Tunnelgegenstücks auf dem Peer-VPN-Gateway angegeben haben. Folgen Sie dieser Anleitung, um einen kryptografisch starken vorinstallierten Schlüssel zu generieren.
Für richtlinienbasierte Tunnel
- Wählen Sie unter Weiterleitungsoptionen die Option Richtlinienbasiert aus.
Erstellen Sie unter IP-Bereiche des Remote-Netzwerks eine durch Leerzeichen getrennte Liste der IP-Bereiche, die vom Peer-Netzwerk verwendet werden. Dies ist die Remote-Trafficauswahl oder aus Sicht von Cloud VPN die rechte Seite.
Nachdem Sie einen richtlinienbasierten klassischen VPN-Tunnel erstellt haben, werden die IP-Bereiche, die Sie in das Feld IP-Bereiche des Remote-Netzwerks eingegeben haben, auf der Seite mit den Details des VPN-Tunnels als Beworbene IP-Adresse angezeigt.
Wählen Sie unter Lokale IP-Bereiche eine der folgenden Methoden aus:
- Verwenden Sie das Menü Lokale Subnetze, um einen vorhandenen lokalen IP-Bereich auszuwählen.
- Geben Sie im Feld Lokale IP-Bereiche eine Liste der durch Leerzeichen getrennten IP-Bereiche ein, die in Ihrem VPC-Netzwerk verwendet werden. Wichtige Überlegungen finden Sie unter Richtlinienbasierte Tunnel- und Trafficauswahl.
Für routenbasierte Tunnel
- Wählen Sie unter Routingoptionen die Option Routenbasiert aus.
- Erstellen Sie unter IP-Bereiche des Remote-Netzwerks eine durch Leerzeichen getrennte Liste der IP-Bereiche, die vom Peer-Netzwerk verwendet werden. Diese Bereiche werden verwendet, um benutzerdefinierte statische Routen zu erstellen, deren nächster Hop dieser VPN-Tunnel ist.
Wenn Sie mehrere Tunnel auf demselben Gateway erstellen möchten, klicken Sie auf Tunnel hinzufügen und wiederholen Sie den vorherigen Schritt. Sie können auch später weitere Tunnel hinzufügen.
Klicken Sie auf Erstellen.
gcloud
Führen Sie die folgende Befehlssequenz aus, um ein Cloud VPN-Gateway zu erstellen. Ersetzen Sie in den Befehlen Folgendes:
PROJECT_ID
: die Projekt-IDNETWORK
: der Name Ihres Google Cloud-NetzwerksREGION
: die Google Cloud-Region, in der Sie das Gateway und den Tunnel erstellenGW_NAME
: der Name des GatewaysGW_IP_NAME
: ein Name für die externe IP-Adresse, die vom Gateway verwendet wird- (Optional)
--target-vpn-gateway-region
ist die Region des klassischen VPN-Gateways, in der der Vorgang ausgeführt werden soll. Der Wert muss mit--region
übereinstimmen. Wenn sie nicht angegeben ist, wird diese Option automatisch festgelegt. Diese Option überschreibt für diesen Befehlsaufruf den Standardwert des Attributs compute/region.
Gateway-Ressourcen konfigurieren
Erstellen Sie das Zielobjekt für das VPN-Gateway:
gcloud compute target-vpn-gateways create GW_NAME \ --network=NETWORK \ --region=REGION \ --project=PROJECT_ID
Reservieren Sie eine regionale externe (statische) IP-Adresse.
gcloud compute addresses create GW_IP_NAME \ --region=REGION \ --project=PROJECT_ID
Notieren Sie die IP-Adresse, damit Sie sie bei der Konfiguration Ihres Peer-VPN-Gateways verwenden können:
gcloud compute addresses describe GW_IP_NAME \ --region=REGION \ --project=PROJECT_ID \ --format='flattened(address)'
Erstellen Sie drei Weiterleitungsregeln. Mit diesen Regeln wird Google Cloud angewiesen, Traffic vom Typ ESP (IPsec), UDP 500 und UDP 4500 an das Gateway zu senden:
gcloud compute forwarding-rules create fr-GW_NAME-esp \ --load-balancing-scheme=EXTERNAL \ --network-tier=PREMIUM \ --ip-protocol=ESP \ --address=GW_IP_NAME \ --target-vpn-gateway=GW_NAME \ --region=REGION \ --project=PROJECT_ID
gcloud compute forwarding-rules create fr-GW_NAME-udp500 \ --load-balancing-scheme=EXTERNAL \ --network-tier=PREMIUM \ --ip-protocol=UDP \ --ports=500 \ --address=GW_IP_NAME \ --target-vpn-gateway=GW_NAME \ --region=REGION \ --project=PROJECT_ID
gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \ --load-balancing-scheme=EXTERNAL \ --network-tier=PREMIUM \ --ip-protocol=UDP \ --ports=4500 \ --address=GW_IP_NAME \ --target-vpn-gateway=GW_NAME \ --region=REGION \ --project=PROJECT_ID
Cloud VPN-Tunnel erstellen
Ersetzen Sie in den Befehlen Folgendes:
TUNNEL_NAME
: ein Name für den TunnelON_PREM_IP
: die externe IP-Adresse des Peer-VPN-GatewaysIKE_VERS
:1
für IKEv1 oder2
für IKEv2SHARED_SECRET
: Ihr vorinstallierter Schlüssel (gemeinsames Secret). Der vorinstallierte Schlüssel für den Cloud VPN-Tunnel muss mit dem Secret übereinstimmen, das Sie beim Konfigurieren des Tunnelgegenstücks auf dem Peer-VPN-Gateway angegeben haben. Folgen Sie dieser Anleitung, um einen kryptografisch starken vorinstallierten Schlüssel zu generieren.
Für richtlinienbasiertes VPN:
LOCAL_IP_RANGES
: eine durch Kommas getrennte Liste der Google Cloud-IP-Bereiche. Sie können beispielsweise den CIDR-Block für jedes Subnetz in einem VPC-Netzwerk bereitstellen. Dies ist aus der Sicht von Cloud VPN die linke Seite.REMOTE_IP_RANGES
: eine durch Kommas getrennte Liste der IP-Bereiche des Peering-Netzwerks. Dies ist aus Sicht von Cloud VPN die rechte Seite.
Führen Sie zum Konfigurieren eines richtlinienbasierten VPN-Tunnels folgenden Befehl aus:
gcloud compute vpn-tunnels create TUNNEL_NAME \ --peer-address=ON_PREM_IP \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --local-traffic-selector=LOCAL_IP_RANGES \ --remote-traffic-selector=REMOTE_IP_RANGES \ --target-vpn-gateway=GW_NAME \ --region=REGION \ --project=PROJECT_ID
Für routenbasiertes VPN sind sowohl die lokalen als auch die Remote-Trafficauswahlen
0.0.0.0/0
, wie unter Routingoptionen und Trafficauswahlen definiert.Führen Sie zum Konfigurieren eines routenbasierten VPN-Tunnels folgenden Befehl aus:
gcloud compute vpn-tunnels create TUNNEL_NAME \ --peer-address=ON_PREM_IP \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --local-traffic-selector=0.0.0.0/0 \ --remote-traffic-selector=0.0.0.0/0 \ --target-vpn-gateway=GW_NAME \ --region=REGION \ --project=PROJECT_ID
Erstellen Sie eine statische Route für jeden Remote-IP-Bereich, den Sie im vorherigen Schritt in der Option
--remote-traffic-selector
angegeben haben. Wiederholen Sie diesen Befehl für jeden Remote-IP-Bereich. Ersetzen SieROUTE_NAME
durch einen eindeutigen Namen für die Route undREMOTE_IP_RANGE
durch den entsprechenden Remote-IP-Bereich.gcloud compute routes create ROUTE_NAME \ --destination-range=REMOTE_IP_RANGE \ --next-hop-vpn-tunnel=TUNNEL_NAME \ --network=NETWORK \ --next-hop-vpn-tunnel-region=REGION \ --project=PROJECT_ID
Konfiguration abschließen
Führen Sie die folgenden Schritte aus, bevor Sie ein neues Cloud VPN-Gateway und die zugehörigen VPN-Tunnel verwenden können:
- Richten Sie das Peer-VPN-Gateway ein und konfigurieren Sie darauf den entsprechenden Tunnel. Weitere Informationen finden Sie hier:
- Informationen zur Konfiguration bestimmter Peer-VPN-Geräte finden Sie unter Drittanbieter-VPNs verwenden.
- Allgemeine Konfigurationsparameter finden Sie unter Peer-VPN-Gateway konfigurieren.
- Konfigurieren Sie Firewallregeln in Google Cloud und Ihrem Peer-Netzwerk nach Bedarf.
- Prüfen Sie den Status Ihres VPN-Tunnels und Ihrer Weiterleitungsregeln.
Rufen Sie Ihre VPN-Routen auf, indem Sie die Projektroutingtabelle aufrufen und nach
Next hop type:VPN tunnel
filtern:
Nächste Schritte
- Informationen zum Steuern der zulässigen IP-Adressen für Peer-VPN-Gateways finden Sie unter IP-Adressen für Peer-VPN-Gateways einschränken.
- Unter Erweiterte Konfigurationen finden Sie Szenarien mit Hochverfügbarkeit und hohem Durchsatz bzw. Szenarien mit mehreren Subnetzen.
- Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.