Google Cloud PlatformとVPN(IPsec)接続するルーターの設定(NAT配下)

管理番号:YMHRT-22113

本設定例では、IPsecトンネル機能を使用しています。

IPsecトンネル機能の対応機種は、RTX5000RTX3500RTX1220RTX1210RTX830NVR700WFWX120vRXです。

構成図

NAT boxの配下のヤマハルーター(以降、ルーター)とGoogle Cloud Platform(GCP)をVPN接続する設定例です。

本設定例は、GCP が推奨する「高可用性(HA)VPN接続」で接続する方法をご紹介します。
「Classic VPN」ではありませんので、ご注意ください。
ルーターの設定は、「IPsec IKEv1」および「IPsec IKEv2」の両方を掲載します。

本設定例について

  • Google Cloud Platformの仮想ネットワークとの接続を保証するものではありません。
  • 2021年1月現在の仕様に基づいて記載しています。確認しているファームウェアは、以下のとおりです。今後、サービス内容の変更や、仕様変更などによって接続できなくなる可能性があります。
    RTX1210 Rev.14.01.38
    RTX830 Rev.15.02.17
    ※ IPsecトンネル機能に対応している他のルーター(RTX5000、RTX3500、RTX1220、NVR700W)につきましても、本ページに記載の設定例をご利用いただけます。必ず、最新版のファームウェアをご利用ください。
  • Google Cloud Platform に関する情報および設定方法については、Google Cloud Platform のドキュメント をご参照ください。
  • Google、および、Google Cloud Platformは、Google LLCの登録商標、もしくは商標です。

設定手順

次の手順で、ルーターの設定を行います。

  1. ルーター(NAT box)の設定」に記載のConfigを参考に、ルーター(NAT box)でプロバイダーおよびNATの設定をします。
  2. ルーター(カスタマーゲートウェイ)の設定(1)」に記載のConfigを参考に、ルーター(カスタマーゲートウェイ)でNATなどの設定をします。
  3.  Google Cloud Platformの仮想ネットワーク(IPsec)を設定します。
  4. 「ルーター(カスタマーゲートウェイ)の設定(2)」に記載のConfigを参考に、ルーター(カスタマーゲートウェイ)でIPsecの設定をします。
    IPsec IKEv1 の場合
    IPsec IKEv2 の場合

ルーター(NAT box)の設定

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更を奨励します。

ゲートウェイの設定 ip route default gateway pp 1
LANインターフェースの設定
(LAN1ポートを使用)
ip lan1 address 192.168.0.1/24
WANインターフェースの設定
(LAN2ポートを使用)
pp select 1
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname (ISPへ接続するID) (ISPへ接続するパスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp nat descriptor 1000
pp enable 1
NATの設定 nat descriptor type 1000 masquerade
nat descriptor masquerade static 1000 1 192.168.0.254 udp 500
nat descriptor masquerade static 1000 2 192.168.0.254 esp
nat descriptor masquerade static 1000 3 192.168.0.254 udp 4500
DHCPの設定 dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.0.2-192.168.0.191/24
DNSの設定 dns host lan1
dns server (ISPから指定されたDNSサーバーのIPアドレス)
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on

ルーター(カスタマーゲートウェイ)の設定(1)

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更を奨励します。

ゲートウェイの設定 ip route default gateway 192.168.0.1
LANインターフェースの設定
(LAN1ポートを使用)
ip lan1 address 192.168.100.1/24
WANインターフェースの設定
(LAN2ポートを使用)
ip lan2 address 192.168.0.254/24
ip lan2 nat descriptor 1000
NATの設定 nat descriptor type 1000 masquerade
nat descriptor address outer 1000 192.168.0.254
nat descriptor masquerade static 1000 1 (NAT boxのWAN側IPアドレス) udp 500
nat descriptor masquerade static 1000 2 (NAT boxのWAN側IPアドレス) esp
nat descriptor masquerade static 1000 3 (NAT boxのWAN側IPアドレス) udp 4500
DHCPの設定 dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24
DNSの設定 dns host lan1
dns server 192.168.0.1
dns private address spoof on

ルーター(カスタマーゲートウェイ)の設定(2)

IPsec IKEv1 の場合
ループバックの設定 ip loopback1 address (NAT boxのWAN側IPアドレス)
IPsecトンネルの設定1 tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac anti-replay-check=off
ipsec ike version 1 1
ipsec ike always-on 1 on
ipsec ike encryption 1 aes-cbc
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on icmp-echo (BGP ピアリング IP アドレス1) # 注釈1
ipsec ike local address 1 (NAT boxのWAN側IPアドレス)
ipsec ike local id 1 192.168.100.1
ipsec ike nat-traversal 1 on
ipsec ike backward-compatibility 1 2
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text (事前共有鍵)
ipsec ike remote address 1 (Cloud VPNゲートウェイ IPアドレス1) # 注釈1
ipsec ike remote id 1 (Cloud VPNゲートウェイ IPアドレス1) # 注釈1
ip tunnel address (BGP ピアリング IP アドレス1) # 注釈1
ip tunnel remote address (Cloud Router の BGP IP アドレス1) # 注釈1
ip tunnel tcp mss limit auto
tunnel enable 1
IPsecトンネルの設定2 tunnel select 2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes-cbc sha-hmac anti-replay-check=off
ipsec ike version 2 1
ipsec ike always-on 2 on
ipsec ike encryption 2 aes-cbc
ipsec ike group 2 modp1024
ipsec ike hash 2 sha
ipsec ike keepalive log 2 on
ipsec ike keepalive use 2 on icmp-echo (BGP ピアリング IP アドレス2) # 注釈1
ipsec ike local address 2 (NAT boxのWAN側IPアドレス)
ipsec ike local id 2 192.168.100.1
ipsec ike nat-traversal 2 on
ipsec ike backward-compatibility 2 2
ipsec ike pfs 2 on
ipsec ike pre-shared-key 2 text (事前共有鍵)
ipsec ike remote address 2 (Cloud VPNゲートウェイ IPアドレス2) # 注釈1
ipsec ike remote id 2 (Cloud VPNゲートウェイ IPアドレス2) # 注釈1
ip tunnel address (BGP ピアリング IP アドレス2) # 注釈1
ip tunnel remote address (Cloud Router の BGP IP アドレス2) # 注釈1
ip tunnel tcp mss limit auto
tunnel enable 2
IPsecトンネル 共通設定 ipsec auto refresh on
BGPの設定 bgp use on
bgp autonomous-system (ピアルーター ASN) # 注釈1
bgp neighbor 1 (Cloud Router ASN) (Cloud Router の BGP IP アドレス1) local-address=(BGP ピアリング IP アドレス1) # 注釈1
bgp neighbor 2 (Cloud Router ASN) (Cloud Router の BGP IP アドレス2) local-address=(BGP ピアリング IP アドレス2) # 注釈1
bgp import filter 1 equal 192.168.100.0/24
bgp import (Cloud Router ASN) static filter 1 # 注釈1
BGPの設定 有効化 bgp configure refresh

注釈1:
各パラメーターは、Google Cloud Platformの「VPN トンネルの詳細」で確認できます。
トンネルごとに設定値をご確認ください。

説明画像
IPsec IKEv2 の場合
ループバックの設定 ip loopback1 address (NAT boxのWAN側IPアドレス)
IPsecトンネルの設定1 tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike version 1 2
ipsec ike always-on 1 on
ipsec ike encryption 1 aes-cbc
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on rfc4306
ipsec ike local address 1 192.168.100.1
ipsec ike local name 1 (NAT boxのWAN側IPアドレス) ipv4-addr
ipsec ike nat-traversal 1 on
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text (事前共有鍵)
ipsec ike remote address 1 (Cloud VPNゲートウェイ IPアドレス1) # 注釈1
ipsec ike remote name 1 (Cloud VPNゲートウェイ IPアドレス1) ipv4-addr # 注釈1
ip tunnel address (BGP ピアリング IP アドレス1) # 注釈1
ip tunnel remote address (Cloud Router の BGP IP アドレス1) # 注釈1
ip tunnel tcp mss limit auto
tunnel enable 1
IPsecトンネルの設定2 tunnel select 2
ipsec tunnel 2
ipsec sa policy 2 2 esp aes-cbc sha-hmac
ipsec ike version 2 2
ipsec ike always-on 2 on
ipsec ike encryption 2 aes-cbc
ipsec ike group 2 modp1024
ipsec ike hash 2 sha
ipsec ike keepalive log 2 on
ipsec ike keepalive use 2 on rfc4306
ipsec ike local address 2 192.168.100.1
ipsec ike local name 2 (NAT boxのWAN側IPアドレス) ipv4-addr
ipsec ike nat-traversal 2 on
ipsec ike pfs 2 on
ipsec ike pre-shared-key 2 text (事前共有鍵)
ipsec ike remote address 2 (Cloud VPNゲートウェイ IPアドレス2) # 注釈1
ipsec ike remote name 2 (Cloud VPNゲートウェイ IPアドレス2) ipv4-addr # 注釈1
ip tunnel address (BGP ピアリング IP アドレス2) # 注釈1
ip tunnel remote address (Cloud Router の BGP IP アドレス2) # 注釈1
ip tunnel tcp mss limit auto
tunnel enable 2
IPsecトンネル 共通設定 ipsec auto refresh on
BGPの設定 bgp use on
bgp autonomous-system (ピアルーター ASN) # 注釈1
bgp neighbor 1 (Cloud Router ASN) (Cloud Router の BGP IP アドレス1) local-address=(BGP ピアリング IP アドレス1) # 注釈1
bgp neighbor 2 (Cloud Router ASN) (Cloud Router の BGP IP アドレス2) local-address=(BGP ピアリング IP アドレス2) # 注釈1
bgp import filter 1 equal 192.168.100.0/24
bgp import (Cloud Router ASN) static filter 1 # 注釈1
BGPの設定 有効化 bgp configure refresh

注釈1:
各パラメーターは、Google Cloud Platformの「VPN トンネルの詳細」で確認できます。
トンネルごとに設定値をご確認ください。

説明画像

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。

メール

ご相談・お問い合わせ