让我们在 GCP 和家庭 NW (RTX1200) 之间建立 VPN 连接

大家好。
我是系统解决方案部运营管理部的平田。

在上一篇博客中，我介绍了AWS和本地VPN连接，所以
这次我将介绍如何使用VPN连接GCP和家庭NW（RTX1200）。

这些幻灯片是在内部研究会议上展示的，已上传如下。

https://www.slideshare.net/BeyondCorporation/20191017-byd-lthirata-194555992

这次我要介绍的大部分内容都在上面的幻灯片中描述了，所以
在这篇博客中我将主要提供补充信息。

 

配置图

配置图如下所示。

 

谷歌云平台设置

在 GCP 端配置以下四项设置。
・VPC网络设置
・实例设置
・防火墙设置
・Cloud VPN设置

我将省略 VPC 网络、实例和防火墙设置，因为它们不在本博客的主要关注范围之内。

配置云VPN

按照以下步骤在 GCP 上显示 Cloud VPN 设置。

混合连接 -> VPN

如果您以前从未设置过 VPN，则进入此屏幕将启动 VPN 设置向导。

VPN可供选择：高可用性 (HA) VPN 和传统 VPN。
两者的区别在于VPN隧道是否冗余。
这次，我们将使用“传统VPN”来配置设置。

对于以下设置，我将通过幻灯片上的图像来介绍设置屏幕，但由于很难看到，所以我在这里也介绍设置屏幕。

云端VPN设置如下。

 

路由器设置

下面列出了路由器配置。路由器采用RTX1200。

[gcp-vpn-test]# show config 登录密码 * 管理员密码 * 控制台字符 ascii 控制台提示符 [gcp-vpn-test] 登录计时器 1200 ip Route 默认网关 pp 1 ip Route（GCP VPC 网络）网关隧道 1 ip lan1 地址（路由器的私有 IP 地址）/24 ip lan1 proxyarp on pp select 1 pp Always-on on pppoe use lan2 pppoe auto disconnect off pp auth Accept pap chap pp auth myname (ISP 连接 ID) (ISP 连接密码) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ip pp mtu 1454 ip pp 安全过滤器 in 210000 ip pp 安全过滤器 out 201000 ip pp 入侵检测 in on ip pp nat 描述符 1 pp 启用 1 隧道选择 1 ipsec 隧道 1 ipsec sa 策略 1 1 esp aes-cbc sha-hmac ipsec ike 版本 1 2 ipsec ike 始终开启 1 开启 ipsec ike 加密 1 aes-cbc ipsec ike 组 1 modp1024 ipsec ike 哈希 1 sha ipsec ike keepalive 日志 1 关闭 ipsec ike 本地地址 1（路由器私有 IP）地址) ipsec ike 本地名称 1 (路由器的公共 IP 地址) ipv4-addr ipsec ike nat-traversal 1 on ipsec ike pfs 1 on ipsec ike pre-shared-key 1 text (VPN 私钥密码) ipsec ike 远程地址 1 (公共GCP 中保留的 VPN 的 IP 地址） ipsec ike 远程名称 1（GCP 中保留的 VPN 的公共 IP 地址） ipv4-addr ipsec 自动刷新 1 上 ip 隧道 tcp mss 限制 自动隧道启用 1 ip 过滤器 201000 pass * * ip 过滤器 210000 pass ** nat 描述符类型 1 伪装 nat 描述符伪装静态 1 3（路由器专用 IP 地址） esp nat 描述符伪装静态 1 4（路由器专用 IP 地址） udp 500 ipsec 在 dhcp 服务服务器上的 ipsec 自动刷新上使用 dhcp 服务器除保留外均符合 rfc2131 -silent dhcp 范围 1 192.168.253.2-192.168.253.39/24 dns 服务器 8.8.4.4 8.8.8.8 dns 服务器 pp 1 dns 私有地址欺骗

由于我使用的是为测试而初始化的路由器，因此允许所有过滤器。实际使用时请务必小心！

设置RTX时的注意事项

设置 RTX 时需要记住一些事项。

设置为“ipsec ike 本地地址”和“ipsec ike 本地名称”。

在于“ipsec ike本地地址”需要设置路由器LAN上设置的私有IP地址，而
“ipsec ike本地名称”需要设置路由器的公共IP地址。

，因为 GCP 端的设置“ipsec ike 远程地址”和“ipsec ike 远程名称”
都需要为 GCP 保留的 VPN 设置公共 IP 地址。

然而，除此之外，这些设置都很常见，因此如果您牢记这一点，那么设置 RTX 时就不会有太大麻烦。

 

确认

VPN 设置现已完成。

VPN 建立后，状态将在 GCP VPN 屏幕上显示为“已建立”。

 

GCP 和 AWS VPN 比较

我们将介绍关于 VPN 的 GCP 和 AWS 的比较结果。

关于配置，有“有HA​​”和“无HA”等表述，但这
就是VPN隧道是否冗余的区别。

在 AWS 中，VPN 始终设置有冗余 VPN 隧道。

为了说明各自的特点，
GCP云端的配置项较少，而且全部在一个屏幕上，配置更简单。

AWS有一个自动生成路由器配置的功能，
这不仅使路由器配置变得更容易，而且还可以让AWS
向客户介绍支持的供应商，我觉得它还有易于使用的优点。

 

概括

继续上一篇 AWS 文章，我们介绍了与 GCP 的 VPN 连接。

后续我们还会继续创作文章介绍如何使用VPN将我们处理的云服务与本地NW连接起来，敬请期待！