Google CloudとVPN(IPsec)接続するルーターの設定

管理番号：YMHRT-22105
（最終更新日: 2023/7/12）

本設定例では、IPsecトンネル機能を使用しています。

IPsecトンネル機能の対応機種は、RTX5000、RTX3510、RTX3500、RTX1300、RTX1220、RTX1210、RTX830、NVR700W、FWX120、vRXです。

ヤマハルーター(以降、ルーター)とGoogle CloudをVPN接続する設定例です。

本設定例は、Google Cloud が推奨する「高可用性(HA)VPN接続」で接続する方法をご紹介します。
「Classic VPN」ではありませんので、ご注意ください。
ルーターの設定は、「IPsec IKEv1」および「IPsec IKEv2」の両方を掲載します。

ルーターの設定を行う前に、以下の確認をお願いします。

ルーターは、固定のグローバルIPアドレスを取得する必要があります。
ルーターの設定(1)を行った後、Google Cloudの仮想ネットワーク(IPsec)の設定に進んでください。

本設定例について

Google Cloudの仮想ネットワークとの接続を保証するものではありません。

2022年8月現在の仕様に基づいて記載しています。確認しているファームウェアは、以下のとおりです。今後、サービス内容の変更や、仕様変更などによって接続できなくなる可能性があります。

RTX5000	Rev.14.00.33
RTX3500	Rev.14.00.33
RTX1220	Rev.15.04.03
RTX1210	Rev.14.01.40
RTX830	Rev.15.02.25
NVR700W	Rev.15.00.23

※ IPsecトンネル機能に対応している他のルーター(RTX3510、RTX1300)につきましても、本ページに記載の設定例をご利用いただけます。必ず、最新版のファームウェアをご利用ください。

Google Cloud に関する情報および設定方法については、Google Cloud のドキュメントをご参照ください。
Google、および、Google Cloudは、Google LLCの登録商標、もしくは商標です。

設定手順

次の手順で、ルーターの設定を行います。

「ルーターの設定(1)」に記載のConfigを参考に、ルーターでプロバイダーの設定をします。
Google Cloudの仮想ネットワーク(IPsec)を設定します。
「ルーターの設定(2)」に記載のConfigを参考に、ルーターでIPsecの設定をします。
・IPsec IKEv1 の場合
・IPsec IKEv2 の場合

ルーターの設定(1)

※ネットワーク機器を安全にお使いいただくために、定期的な管理パスワードの変更を推奨します。

下記の設定（Config）を取り出すことができます。

ゲートウェイの設定	ip route default gateway pp 1
LANインターフェースの設定 (LAN1ポートを使用)	ip lan1 address 192.168.100.1/24
WANインターフェースの設定 (LAN2ポートを使用)	pp select 1 pp always-on on pppoe use lan2 pppoe auto disconnect off pp auth accept pap chap pp auth myname (ISPへ接続するID) (ISPへ接続するパスワード) ppp lcp mru on 1454 ppp ipcp msext on ppp ccp type none ip pp address (ルーターの固定グローバルIPアドレス) ip pp secure filter in 1020 1030 2000 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107 ip pp nat descriptor 1 pp enable 1
フィルターの設定	ip filter source-route on ip filter directed-broadcast on ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.100.0/24 * ip filter 1030 pass * 192.168.100.0/24 icmp ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * submission ip filter dynamic 106 * * tcp ip filter dynamic 107 * * udp
NATの設定	nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.100.1 udp 500 nat descriptor masquerade static 1 2 192.168.100.1 esp nat descriptor masquerade static 1 3 192.168.100.1 udp 4500
DHCPの設定	dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.100.2-192.168.100.191/24
DNSの設定	dns host lan1 dns server (ISPから指定されたDNSサーバーのIPアドレス) dns server select 500001 pp 1 any . restrict pp 1 dns private address spoof on

ルーターの設定(2)

IPsec IKEv1 の場合

下記の設定（Config）を取り出すことができます。

IPsecトンネルの設定1	tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac anti-replay-check=off ipsec ike version 1 1 ipsec ike always-on 1 on ipsec ike encryption 1 aes-cbc ipsec ike group 1 modp1024 ipsec ike hash 1 sha ipsec ike keepalive log 1 on ipsec ike keepalive use 1 on icmp-echo (BGP ピア IP アドレス1) # 注釈1 ipsec ike local address 1 (ルーターの固定グローバルIPアドレス) ipsec ike local id 1 192.168.100.1 ipsec ike nat-traversal 1 on ipsec ike backward-compatibility 1 2 ipsec ike pfs 1 on ipsec ike pre-shared-key 1 text (事前共有鍵) ipsec ike remote address 1 (Cloud VPNゲートウェイ IPアドレス1) # 注釈1 ipsec ike remote id 1 (Cloud VPNゲートウェイ IPアドレス1) # 注釈1 ip tunnel address (BGP ピア IP アドレス1) # 注釈1 ip tunnel remote address (Cloud Router の BGP IP アドレス1) # 注釈1 ip tunnel tcp mss limit auto tunnel enable 1
IPsecトンネルの設定2	tunnel select 2 ipsec tunnel 2 ipsec sa policy 2 2 esp aes-cbc sha-hmac anti-replay-check=off ipsec ike version 2 1 ipsec ike always-on 2 on ipsec ike encryption 2 aes-cbc ipsec ike group 2 modp1024 ipsec ike hash 2 sha ipsec ike keepalive log 2 on ipsec ike keepalive use 2 on icmp-echo (BGP ピア IP アドレス2) # 注釈1 ipsec ike local address 2 (ルーターの固定グローバルIPアドレス) ipsec ike local id 2 192.168.100.1 ipsec ike nat-traversal 2 on ipsec ike backward-compatibility 2 2 ipsec ike pfs 2 on ipsec ike pre-shared-key 2 text (事前共有鍵) ipsec ike remote address 2 (Cloud VPNゲートウェイ IPアドレス2) # 注釈1 ipsec ike remote id 2 (Cloud VPNゲートウェイ IPアドレス2) # 注釈1 ip tunnel address (BGP ピア IP アドレス2) # 注釈1 ip tunnel remote address (Cloud Router の BGP IP アドレス2) # 注釈1 ip tunnel tcp mss limit auto tunnel enable 2
IPsecトンネル共通設定	ipsec auto refresh on
BGPの設定	bgp use on bgp autonomous-system (ピアルーター ASN) # 注釈1 bgp neighbor 1 (Cloud Router ASN) (Cloud Router の BGP IP アドレス1) local-address=(BGP ピア IP アドレス1) # 注釈1 bgp neighbor 2 (Cloud Router ASN) (Cloud Router の BGP IP アドレス2) local-address=(BGP ピア IP アドレス2) # 注釈1 bgp import filter 1 equal 192.168.100.0/24 bgp import (Cloud Router ASN) static filter 1 # 注釈1
BGPの設定有効化	bgp configure refresh

注釈1:
各パラメーターは、Google Cloudの「VPN トンネルの詳細」で確認できます。
トンネルごとに設定値をご確認ください。

IPsec IKEv2 の場合

下記の設定（Config）を取り出すことができます。

IPsecトンネルの設定1	tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike version 1 2 ipsec ike always-on 1 on ipsec ike encryption 1 aes-cbc ipsec ike group 1 modp1024 ipsec ike hash 1 sha ipsec ike keepalive log 1 on ipsec ike keepalive use 1 on rfc4306 ipsec ike local address 1 192.168.100.1 ipsec ike local name 1 (ルーターの固定グローバルIPアドレス) ipv4-addr ipsec ike nat-traversal 1 on ipsec ike pfs 1 on ipsec ike pre-shared-key 1 text (事前共有鍵) ipsec ike remote address 1 (Cloud VPNゲートウェイ IPアドレス1) # 注釈1 ipsec ike remote name 1 (Cloud VPNゲートウェイ IPアドレス1) ipv4-addr # 注釈1 ip tunnel address (BGP ピア IP アドレス1) # 注釈1 ip tunnel remote address (Cloud Router の BGP IP アドレス1) # 注釈1 ip tunnel tcp mss limit auto tunnel enable 1
IPsecトンネルの設定2	tunnel select 2 ipsec tunnel 2 ipsec sa policy 2 2 esp aes-cbc sha-hmac ipsec ike version 2 2 ipsec ike always-on 2 on ipsec ike encryption 2 aes-cbc ipsec ike group 2 modp1024 ipsec ike hash 2 sha ipsec ike keepalive log 2 on ipsec ike keepalive use 2 on rfc4306 ipsec ike local address 2 192.168.100.1 ipsec ike local name 2 (ルーターの固定グローバルIPアドレス) ipv4-addr ipsec ike nat-traversal 2 on ipsec ike pfs 2 on ipsec ike pre-shared-key 2 text (事前共有鍵) ipsec ike remote address 2 (Cloud VPNゲートウェイ IPアドレス2) # 注釈1 ipsec ike remote name 2 (Cloud VPNゲートウェイ IPアドレス2) ipv4-addr # 注釈1 ip tunnel address (BGP ピア IP アドレス2) # 注釈1 ip tunnel remote address (Cloud Router の BGP IP アドレス2) # 注釈1 ip tunnel tcp mss limit auto tunnel enable 2
IPsecトンネル共通設定	ipsec auto refresh on
BGPの設定	bgp use on bgp autonomous-system (ピアルーター ASN) # 注釈1 bgp neighbor 1 (Cloud Router ASN) (Cloud Router の BGP IP アドレス1) local-address=(BGP ピア IP アドレス1) # 注釈1 bgp neighbor 2 (Cloud Router ASN) (Cloud Router の BGP IP アドレス2) local-address=(BGP ピア IP アドレス2) # 注釈1 bgp import filter 1 equal 192.168.100.0/24 bgp import (Cloud Router ASN) static filter 1 # 注釈1
BGPの設定有効化	bgp configure refresh

注釈1:
各パラメーターは、Google Cloudの「VPN トンネルの詳細」で確認できます。
トンネルごとに設定値をご確認ください。

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。