[大阪/横滨/德岛] 寻找基础设施/服务器端工程师!

[大阪/横滨/德岛] 寻找基础设施/服务器端工程师!

【超过500家企业部署】AWS搭建、运维、监控服务

【超过500家企业部署】AWS搭建、运维、监控服务

【CentOS的后继者】AlmaLinux OS服务器搭建/迁移服务

【CentOS的后继者】AlmaLinux OS服务器搭建/迁移服务

[仅适用于 WordPress] 云服务器“Web Speed”

[仅适用于 WordPress] 云服务器“Web Speed”

[便宜]网站安全自动诊断“快速扫描仪”

[便宜]网站安全自动诊断“快速扫描仪”

[预约系统开发] EDISONE定制开发服务

[预约系统开发] EDISONE定制开发服务

[注册100个URL 0日元] 网站监控服务“Appmill”

[注册100个URL 0日元] 网站监控服务“Appmill”

【兼容200多个国家】全球eSIM“超越SIM”

【兼容200多个国家】全球eSIM“超越SIM”

[如果您在中国旅行、出差或驻扎]中国SIM服务“Choco SIM”

[如果您在中国旅行、出差或驻扎]中国SIM服务“Choco SIM”

【全球专属服务】Beyond北美及中国MSP

【全球专属服务】Beyond北美及中国MSP

[YouTube]超越官方频道“美由丸频道”

[YouTube]超越官方频道“美由丸频道”

让我们在 GCP 和家庭 NW (RTX1200) 之间建立 VPN 连接

大家好。
我是系统解决方案部运营管理部的平田。

在上一篇博客中,我介绍了AWS和本地VPN连接,所以
这次我将介绍如何使用VPN连接GCP和家庭NW(RTX1200)。

这些幻灯片是在内部研究会议上展示的,已上传如下。

https://www.slideshare.net/BeyondCorporation/20191017-byd-lthirata-194555992

这次我要介绍的大部分内容都在上面的幻灯片中描述了,所以
在这篇博客中我将主要提供补充信息。

 

配置图

配置图如下所示。

 

谷歌云平台设置

在 GCP 端配置以下四项设置。
・VPC网络设置
・实例设置
・防火墙设置
・Cloud VPN设置

我将省略 VPC 网络、实例和防火墙设置,因为它们不在本博客的主要关注范围之内。

配置云VPN

按照以下步骤在 GCP 上显示 Cloud VPN 设置。

混合连接 -> VPN

如果您以前从未设置过 VPN,则进入此屏幕将启动 VPN 设置向导。

VPN可供选择:高可用性 (HA) VPN 和传统 VPN。
两者的区别在于VPN隧道是否冗余。
这次,我们将使用“传统VPN”来配置设置。

对于以下设置,我将通过幻灯片上的图像来介绍设置屏幕,但由于很难看到,所以我在这里也介绍设置屏幕。

云端VPN设置如下。

 

路由器设置

下面列出了路由器配置。路由器采用RTX1200。

[gcp-vpn-test]# show config 登录密码 * 管理员密码 * 控制台字符 ascii 控制台提示符 [gcp-vpn-test] 登录计时器 1200 ip Route 默认网关 pp 1 ip Route(GCP VPC 网络)网关隧道 1 ip lan1 地址(路由器的私有 IP 地址)/24 ip lan1 proxyarp on pp select 1 pp Always-on on pppoe use lan2 pppoe auto disconnect off pp auth Accept pap chap pp auth myname (ISP 连接 ID) (ISP 连接密码) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ip pp mtu 1454 ip pp 安全过滤器 in 210000 ip pp 安全过滤器 out 201000 ip pp 入侵检测 in on ip pp nat 描述符 1 pp 启用 1 隧道选择 1 ipsec 隧道 1 ipsec sa 策略 1 1 esp aes-cbc sha-hmac ipsec ike 版本 1 2 ipsec ike 始终开启 1 开启 ipsec ike 加密 1 aes-cbc ipsec ike 组 1 modp1024 ipsec ike 哈希 1 sha ipsec ike keepalive 日志 1 关闭 ipsec ike 本地地址 1(路由器私有 IP)地址) ipsec ike 本地名称 1 (路由器的公共 IP 地址) ipv4-addr ipsec ike nat-traversal 1 on ipsec ike pfs 1 on ipsec ike pre-shared-key 1 text (VPN 私钥密码) ipsec ike 远程地址 1 (公共GCP 中保留的 VPN 的 IP 地址) ipsec ike 远程名称 1(GCP 中保留的 VPN 的公共 IP 地址) ipv4-addr ipsec 自动刷新 1 上 ip 隧道 tcp mss 限制 自动隧道启用 1 ip 过滤器 201000 pass * * ip 过滤器 210000 pass ** nat 描述符类型 1 伪装 nat 描述符伪装静态 1 3(路由器专用 IP 地址) esp nat 描述符伪装静态 1 4(路由器专用 IP 地址) udp 500 ipsec 在 dhcp 服务服务器上的 ipsec 自动刷新上使用 dhcp 服务器除保留外均符合 rfc2131 -silent dhcp 范围 1 192.168.253.2-192.168.253.39/24 dns 服务器 8.8.4.4 8.8.8.8 dns 服务器 pp 1 dns 私有地址欺骗

由于我使用的是为测试而初始化的路由器,因此允许所有过滤器。实际使用时请务必小心!

设置RTX时的注意事项

设置 RTX 时需要记住一些事项。

设置为“ipsec ike 本地地址”和“ipsec ike 本地名称”。

在于“ipsec ike本地地址”需要设置路由器LAN上设置的私有IP地址,而
“ipsec ike本地名称”需要设置路由器的公共IP地址。

,因为 GCP 端的设置“ipsec ike 远程地址”和“ipsec ike 远程名称”
都需要为 GCP 保留的 VPN 设置公共 IP 地址。

然而,除此之外,这些设置都很常见,因此如果您牢记这一点,那么设置 RTX 时就不会有太大麻烦。

 

确认

VPN 设置现已完成。

VPN 建立后,状态将在 GCP VPN 屏幕上显示为“已建立”。

 

GCP 和 AWS VPN 比较

我们将介绍关于 VPN 的 GCP 和 AWS 的比较结果。

AWS GCP
路由器配置自动生成功能 可以是 没有任何
云端设置项 许多 很少
配置和路由 具有 HA:动态 (BGP)、静态 有 HA:动态 (BGP)
无 HA:动态 (BGP)、静态

关于配置,有“有HA​​”和“无HA”等表述,但这
就是VPN隧道是否冗余的区别。

在 AWS 中,VPN 始终设置有冗余 VPN 隧道。

为了说明各自的特点,
GCP云端的配置项较少,而且全部在一个屏幕上,配置更简单。

AWS有一个自动生成路由器配置的功能,
这不仅使路由器配置变得更容易,而且还可以让AWS
向客户介绍支持的供应商,我觉得它还有易于使用的优点。

 

概括

继续上一篇 AWS 文章,我们介绍了与 GCP 的 VPN 连接。

后续我们还会继续创作文章介绍如何使用VPN将我们处理的云服务与本地NW连接起来,敬请期待!

 

 

如果您觉得这篇文章有帮助,请点赞!
0
加载中...
0 票,平均:0.00 / 10
4,976
X Facebook 哈特纳书签 口袋
[2025.6.30 Amazon Linux 2 支持结束] Amazon Linux 服务器迁移解决方案

[2025.6.30 Amazon Linux 2 支持结束] Amazon Linux 服务器迁移解决方案

写这篇文章的人

关于作者

平田健四郎

2019 年加入职业中期。
由于我过去有过经验,所以可能会有更多与NW相关的文章。 我想让露营成为我的爱好。