Membuat gateway VPN Klasik menggunakan pemilihan rute statis

Halaman ini menjelaskan cara membuat gateway VPN Klasik dengan satu tunnel menggunakan pemilihan rute statis. Tunnel ini bisa berbasis kebijakan ataupun berbasis rute.

Dengan VPN berbasis rute, Anda hanya menentukan selektor traffic jarak jauh saja. Jika Anda perlu mengatur selektor traffic lokal, buatlah tunnel Cloud VPN yang menggunakan pemilihan rute berbasis kebijakan.

VPN klasik tidak mendukung IPv6.

Untuk informasi selengkapnya tentang Cloud VPN, lihat referensi berikut:

Untuk praktik terbaik yang perlu dipertimbangkan sebelum menyiapkan Cloud VPN, lihat Praktik terbaik.
Untuk mengetahui informasi selengkapnya tentang Cloud VPN, lihat ringkasan Cloud VPN.
Untuk mengetahui istilah-istilah yang digunakan pada halaman ini, lihat Istilah utama.

Opsi pemilihan rute

Ketika Anda membuat tunnel berbasis kebijakan menggunakan Konsol Google Cloud, VPN Klasik melakukan tugas-tugas berikut:

Mengatur selektor traffic lokal tunnel ke rentang IP yang Anda masukkan.
Mengatur selektor traffic jarak jauh tunnel ke rentang IP yang Anda tentukan di kolom Remote network IP ranges.
Untuk setiap rentang di Remote network IP ranges, Google Cloud membuat rute statis kustom, yang menggunakan CIDR dari rentang tersebut sebagai tujuan (prefix), dan next hop-nya diatur ke tunnel yang sesuai.

Setelah Anda membuat tunnel VPN Klasik berbasis kebijakan, Rentang IP yang Anda masukkan di kolom Remote network IP ranges akan muncul sebagai Advertised IP ranges pada halaman detail tunnel VPN.

Ketika Anda membuat tunnel berbasis rute menggunakan Konsol Google Cloud, VPN Klasik melakukan tugas-tugas berikut:

Menetapkan selektor traffic tunnel, baik jarak jauh maupun lokal, ke alamat IP apa saja (0.0.0.0/0).
Untuk setiap rentang di Remote network IP ranges, Google Cloud membuat rute statis kustom, yang menggunakan CIDR dari rentang tersebut sebagai tujuan (prefix), dan next hop-nya diatur ke tunnel yang sesuai.

Ketika Anda menggunakan Google Cloud CLI untuk membuat tunnel berbasis kebijakan atau berbasis rute, selektor traffic untuk tunnel tersebut diatur dengan cara yang sama. Namun, karena pembuatan rute statis kustom dilakukan dengan perintah yang terpisah, Anda memiliki kendali yang lebih besar untuk rute tersebut.

Jumlah CIDR yang dapat Anda tentukan dalam selector traffic bergantung pada versi IKE.

Untuk informasi latar belakang yang penting, baca petunjuk berikut:

Sebelum memulai

Siapkan item berikut di Google Cloud untuk mempermudah konfigurasi Cloud VPN:

Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

Buka pemilih project

Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

Menginstal Google Cloud CLI.

Untuk initialize gcloud CLI, jalankan perintah berikut:

gcloud init

Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

Buka pemilih project

Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

Menginstal Google Cloud CLI.

Untuk initialize gcloud CLI, jalankan perintah berikut:

gcloud init

Jika Anda menggunakan Google Cloud CLI, tetapkan project ID Anda dengan perintah berikut. Petunjuk gcloud di halaman ini mengasumsikan bahwa Anda telah menetapkan project ID sebelum menjalankan perintah.
```
    gcloud config set project PROJECT_ID
    
```

Anda juga dapat mengecek project ID yang ditentukan dengan menjalankan perintah berikut:
```
    gcloud config list --format='text(core.project)'
    
```

Izin yang diperlukan untuk langkah ini

Untuk menjalankan tugas ini, Anda harus diberi izin berikut atau peran IAM berikut.

Izin

compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.targetVpnGateways.create
compute.targetVpnGateways.delete
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.targetVpnGateways.use
compute.targetVpnGateways.setLabels

Peran

roles/compute.networkAdmin

Membuat subnet dan jaringan VPC kustom

Sebelum membuat tunnel dan gateway VPN Klasik, buatlah sebuah jaringan Virtual Private Cloud (VPC) dan sekurang-kurangnya satu subnet di region tempat gateway VPN Klasik berada:

Untuk membuat jaringan VPC mode kustom (yang disarankan), lihat Membuat jaringan VPC mode kustom.
Untuk membuat subnet, lihat Penggunaan subnet.

Membuat gateway dan tunnel

Konsol

Mengonfigurasi gateway

Di Konsol Google Cloud, buka halaman VPN.

Buka VPN
Jika Anda membuat gateway untuk pertama kalinya, klik Buat koneksi VPN.
Pilih VPN setup wizard.
Pilih tombol opsi Classic VPN.
Klik Lanjutkan.
Di halaman Create a VPN connection, tentukan setelan gateway berikut:
- Name: Nama gateway VPN. Nama tersebut tidak akan dapat diubah lagi.
- Description: Beri deskripsi (opsional).
- Network: Pilih jaringan VPC yang akan dibuatkan tunnel dan gateway VPN.
- Region: Tunnel dan gateway Cloud VPN adalah objek regional. Pilih region Google Cloud yang akan menjadi lokasi gateway. Instance dan resource lain di region yang berbeda dapat menggunakan tunnel tersebut untuk traffic keluar sesuai dengan urutan rute. Untuk mendapatkan performa terbaik, lokasikan gateway dan tunnel ke region yang sama dengan resource Google Cloud yang relevan.
- IP address: Buat alamat IP eksternal regional atau pilih yang sudah ada.

Mengonfigurasi tunnel

Untuk membuat tunnel baru, tentukan opsi berikut di bagian Tunnels:
- Name: Nama tunnel VPN. Nama tersebut tidak akan dapat diubah lagi.
- Description: Masukkan deskripsi (opsional).
- Remote peer IP address: Masukkan alamat IP eksternal dari peer VPN gateway.
- IKE version: Pilih versi IKE yang didukung oleh peer VPN gateway. IKEv2 lebih disarankan jika versi ini didukung oleh perangkat peer (yang akan disambungkan).
  Masalah umum: Saat mengonfigurasi tunnel VPN ke AWS, gunakan protokol enkripsi IKEv2 dan pilih set transformasi yang lebih sedikit di sisi AWS; jika tidak, maka tunnel Cloud VPN bisa gagal di-rekey. Contohnya, pilih kombinasi dari algoritma enkripsi Fase 1 dan Fase 2 tunggal, algoritma integritas, dan nomor grup DH.
  
  Masalah rekey ini disebabkan oleh besarnya ukuran payload Asosiasi Keamanan (SA) untuk set transformasi AWS default. Ukuran payload yang besar ini mengakibatkan fragmentasi IP paket IKE di sisi AWS, yang mana tidak didukung oleh Cloud VPN.
- IKE pre-shared key: Masukkan pre-shared key (rahasia bersama) yang digunakan untuk autentikasi. Pre-shared key untuk tunnel Cloud VPN harus cocok dengan yang digunakan saat Anda mengonfigurasi tunnel pada peer VPN gateway Untuk membuat pre-shared key yang kuat secara kriptografis, ikuti petunjuk ini.
Untuk tunnel berbasis kebijakan
1. Pada Routing options, pilih Policy-based.
2. Di bagian Remote network IP ranges, masukkan daftar rentang IP yang digunakan oleh jaringan peer, dan pisahkan dengan spasi. Ini merupakan selektor traffic jarak jauh, atau sisi kanan dari sudut pandang Cloud VPN.
  
  Setelah Anda membuat tunnel VPN Klasik berbasis kebijakan, rentang IP yang Anda masukkan di kolom Remote network IP ranges akan muncul sebagai Advertised IP ranges pada halaman detail tunnel VPN.
3. Pada Local IP ranges, pilih salah satu metode berikut:
  - Untuk memilih rentang IP lokal yang sudah ada, gunakan menu Local subnetworks.
  - Untuk memasukkan sebuah rentang IP, yang dipisahkan spasi, yang digunakan dalam jaringan VPC Anda, gunakan kolom Local IP ranges. Lihat beberapa pertimbangan penting di Tunnel berbasis kebijakan dan selektor traffic.
Untuk tunnel berbasis rute
1. Pada Routing options, pilih Route-based.
2. Di bagian Remote network IP ranges, masukkan daftar rentang IP yang digunakan oleh jaringan peer, dan pisahkan dengan spasi. Rentang ini digunakan untuk membuat rute statis kustom yang next hop-nya adalah tunnel VPN ini.
Jika Anda perlu membuat lebih banyak tunnel di gateway yang sama, klik Add tunnel dan ulangi langkah sebelumnya. Anda juga dapat menambahkan tunnel lainnya nanti.
Klik Create.

gcloud

Untuk membuat gateway Cloud VPN, lengkapi deretan perintah di bawah ini. Pada perintah, ganti nama-nama berikut dengan:

PROJECT_ID: ID project Anda
NETWORK: nama jaringan Google Cloud Anda.
REGION: region Google Cloud tempat Anda akan membuat gateway dan tunnel
GW_NAME: nama gateway
GW_IP_NAME: nama untuk alamat IP eksternal yang digunakan oleh gateway
Opsional: --target-vpn-gateway-region adalah region tempat gateway VPN Klasik akan beroperasi. Nilainya harus sama dengan --region. Jika tidak ditentukan, opsi ini akan otomatis disiapkan. Opsi ini mengganti nilai properti compute/region default setelah perintah ini dijalankan.

Mengonfigurasi resource gateway

Buat objek gateway VPN target:

gcloud compute target-vpn-gateways create GW_NAME \
   --network=NETWORK \
   --region=REGION \
   --project=PROJECT_ID

Reservasi alamat IP (statis) eksternal regional:

gcloud compute addresses create GW_IP_NAME \
   --region=REGION \
   --project=PROJECT_ID

Catat alamat IP tersebut (sehingga Anda dapat menggunakannya saat mengatur peer VPN gateway):

gcloud compute addresses describe GW_IP_NAME \
   --region=REGION \
   --project=PROJECT_ID \
   --format='flattened(address)'

Buat tiga aturan penerusan, yang akan menginstruksikan Google Cloud untuk mengirim traffic ESP (IPsec), UDP 500, dan UDP 4500 ke gateway:

gcloud compute forwarding-rules create fr-GW_NAME-esp \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=ESP \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

gcloud compute forwarding-rules create fr-GW_NAME-udp500 \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=UDP \
   --ports=500 \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=UDP \
   --ports=4500 \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

Membuat tunnel Cloud VPN

Pada perintah, ganti nama-nama berikut dengan:
- TUNNEL_NAME: nama tunnel
- ON_PREM_IP: alamat IP eksternal dari peer VPN gateway
- IKE_VERS: 1 jika memilih IKEv1, atau 2 jika memilih IKEv2
  Masalah umum: Saat mengonfigurasi tunnel VPN ke AWS, gunakan protokol enkripsi IKEv2 dan pilih set transformasi yang lebih sedikit di sisi AWS; jika tidak, maka tunnel Cloud VPN bisa gagal di-rekey. Contohnya, pilih kombinasi dari algoritma enkripsi Fase 1 dan Fase 2 tunggal, algoritma integritas, dan nomor grup DH.
  
  Masalah rekey ini disebabkan oleh besarnya ukuran payload Asosiasi Keamanan (SA) untuk set transformasi AWS default. Ukuran payload yang besar ini mengakibatkan fragmentasi IP paket IKE di sisi AWS, yang mana tidak didukung oleh Cloud VPN.
- SHARED_SECRET: pre-shared key Anda (rahasia bersama). Pre-shared key untuk tunnel Cloud VPN harus cocok dengan yang digunakan saat Anda mengonfigurasi tunnel pada peer VPN gateway Untuk membuat pre-shared key yang kuat secara kriptografis, ikuti petunjuk ini.
Untuk VPN berbasis kebijakan:
- LOCAL_IP_RANGES: daftar rentang IP Google Cloud yang dipisahkan koma. Misalnya, Anda dapat memasukkan blok CIDR untuk setiap subnet dari jaringan VPC. Ini adalah sisi kiri dari sudut pandang Cloud VPN.
- REMOTE_IP_RANGES: daftar rentang IP jaringan peer, yang dipisahkan koma. Ini adalah sisi kanan dari sudut pandang Cloud VPN.
Untuk mengonfigurasi tunnel VPN berbasis kebijakan, jalankan perintah berikut:
```
gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=LOCAL_IP_RANGES \
    --remote-traffic-selector=REMOTE_IP_RANGES \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID
```
Untuk VPN berbasis rute, isi opsi local-traffic-selector dan remote-traffic-selector dengan 0.0.0.0/0, seperti yang tercantum dalam opsi pemilihan rute dan selektor traffic.

Untuk mengonfigurasi tunnel VPN berbasis rute, jalankan perintah berikut:
```
gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=0.0.0.0/0 \
    --remote-traffic-selector=0.0.0.0/0 \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID
```
Buat rute statis untuk setiap remote IP range (rentang IP jarak jauh) yang telah Anda tentukan di opsi --remote-traffic-selector di langkah sebelumnya. Ulangi perintah ini untuk setiap rentang IP jarak jauh. Ganti ROUTE_NAME dengan nama rute yang unik, dan ganti REMOTE_IP_RANGE dengan rentang IP jarak jauh yang sesuai.
```
gcloud compute routes create ROUTE_NAME \
    --destination-range=REMOTE_IP_RANGE \
    --next-hop-vpn-tunnel=TUNNEL_NAME \
    --network=NETWORK \
    --next-hop-vpn-tunnel-region=REGION \
    --project=PROJECT_ID
```
Catatan: Membuat rute dengan perintah gcloud akan menetapkan nilai prioritas default ke 1000. Jika ingin membuat rute berprioritas lebih tinggi, gunakan flag --priority dengan angka yang lebih rendah saat Anda sedang membuat rute. Setelah rute dibuat, Anda tidak dapat mengubah prioritasnya. Namun, Anda dapat menghapus lalu mengganti rute statis kustom tanpa perlu membuat ulang tunnel VPN. Untuk detail tentang cara kerja rute di jaringan VPC Anda, lihat Ringkasan rute dan Urutan rute.

Menyelesaikan konfigurasi

Sebelum menggunakan gateway Cloud VPN dan tunnel VPN-nya, selesaikan langkah-langkah berikut:

Siapkan peer VPN gateway dan konfigurasi tunnel yang sesuai. Untuk mengetahui caranya, lihat referensi berikut:
- Untuk mengetahui panduan konfigurasi khusus bagi perangkat VPN peer tertentu, lihat Menggunakan VPN pihak ketiga.
- Untuk mengetahui parameter konfigurasi umum, lihat Mengonfigurasi peer VPN gateway.
Konfigurasikan aturan firewall di Google Cloud dan di jaringan peer sesuai kebutuhan.
Periksa status tunnel VPN dan aturan penerusan.
Lihat rute VPN Anda dengan membuka tabel project routing (pemilihan rute project), lalu menerapkan filter Next hop type:VPN tunnel:

Buka Rute

Langkah selanjutnya

Guna mengontrol alamat IP yang diizinkan untuk gateway VPN peer, lihat Membatasi alamat IP untuk gateway VPN peer.
Untuk menggunakan skenario ketersediaan tinggi dan throughput tinggi atau beberapa skenario subnet, lihat Konfigurasi lanjutan.
Untuk membantu memecahkan masalah umum yang mungkin Anda alami saat menggunakan Cloud VPN, lihat Pemecahan masalah.