Я хотел бы подключить несколько отдельных сетей с NAT к сети VPC с помощью IPSec VPN. Я не совсем понимаю документацию Google, и я прошу некоторых пояснений здесь :) Документ находится здесь: https://cloud.google.com/vpn/docs/resources/troubleshooting#gateways_behind_nat
Моя установка такая:
| net1 | --- | router1 | --- \
\ priv onprem pub
| net2 | --- | router2 | ---- | ---- | main_router NAT | ----------- >
/
| netN | --- | routerN | --- /
pub
> ----------- | Cloud VPN gateway(s) | --- | VPC Network |
Я хотел бы иметь отдельные туннели от каждого локального routerN в сеть Cloud VPC, возможно, используя N Облачные шлюзы. Я не совсем понимаю, возможно ли это с Cloud VPN. Может кто-нибудь объяснить это немного? :)
router1 behind NAT <-- IPSec --> Cloud VPN gateway1
router2 behind NAT <-- IPSec --> Cloud VPN gateway2
...
Наилучшие пожелания
Камил
Мне удалось запустить несколько туннелей из-за одного общедоступного IP-адреса, используя одну Cloud VPN на каждое устройство за NAT.
| net1 | --- | router1 | --- \
\ priv onprem pub
| net2 | --- | router2 | ---- | ---- | main_router NAT | ----------- >
/
| netN | --- | routerN | --- /
/--> | Cloud VPN Gateway for router1 |
----> |-- | Cloud VPN Gateway for router2 |
\-- | Cloud VPN Gateway for routerN |
Вот как:
router1, router2 ... в схеме) должен объявить свой идентификатор аутентификации как общедоступный IP-адрес NAT-маршрутизатора (main_router NAT), не его частный адрес.А теперь самое главное: на главном маршрутизаторе NAT установите правила D-NAT, которые направляют трафик от каждого шлюза Cloud VPN на частный IP-адрес устройства, которое установило определенный туннель. Другими словами, нужно установить N DNAT правила для N туннели. Таким образом каждый начальный IKE разговор из Cloud VPN может быть доставлен соответствующему routerN. Каждый последующий трафик ограничен ESTABLISHED,RELATED строфы.
Я посмотрел на количество правил и т. Д. На своих маршрутизаторах, и он работает так, как я описал выше. Туннель IPSec - это разделенный туннель, что означает, что шлюз Cloud VPN будет пытаться связаться с адресом, указанным в конфигурации шлюза, который в нашем случае всегда является тем же общедоступным IP-адресом main_router NAT. Наши main_router NAT должен пересылать пакеты (на основе IP-адреса источника) от определенных шлюзов к определенным внутренним маршрутизаторам.
Cloud VPN поддерживает только NAT-трансляцию один-к-одному через инкапсуляцию UDP для NAT-Traversal (NAT-T).
NAT «один ко многим» и преобразование адресов на основе портов не поддерживаются. Другими словами, Cloud VPN не может подключаться к нескольким локальным или одноранговым VPN-шлюзам, использующим один общедоступный IP-адрес.
При использовании NAT «один к одному» локальный шлюз VPN должен быть настроен для идентификации себя с помощью общедоступного IP-адреса, а не внутреннего (частного) адреса.
При настройке туннеля Cloud VPN для подключения к локальному шлюзу VPN вы указываете внешний IP-адрес. Cloud VPN ожидает, что локальный VPN-шлюз будет использовать внешний IP-адрес для идентификации. Это объясняется в этом ссылка на сайт на веб-сайте общедоступной документации Google.