Criando um Túnel VPN IPSEC no GCP
Como criar um Túnel VPN IPSEC no Google Cloud Plataform
Bem-vindo ao nosso mais recente tutorial sobre Criando um Túnel VPN IPSEC no GCP. Neste tutorial, vamos explorar passo a passo como configurar um túnel VPN IPSEC no Google Cloud Platform. Se você está procurando expandir seus conhecimentos em redes e segurança na nuvem, você veio ao lugar certo!
Pré-requisitos
Conta do Google Cloud Platform (GCP) configurada.
Projeto criado no (GCP)
Acesso ao Console do GCP.
Passo 1
Logado em sua conta do GCP e acesse o Console e navegue até a seção de Redes VPC. Em seguida, cliquem em CRIAR REDE VPC.
Passo 2
Defina o nome para a rede que está sendo criada. No caso, criaremos com o nome local-subnet. Em seguida, clique para expandir as opções de configuração da subrede conforme imagem abaixo:
Informe o nome da subrede, vamos usar o mesmo nome da Rede VPC, local-subnet. Em seguida, selecione a região, e defina qual range de rede a ser utilizado e clique em concluir.
Você pode ter mais de uma subnet e neste caso, coloque nomes diferentes para cada subnet. por exemplo, local-subnet-a e local-subnet-b e assim por diante.
A região, deve ser a mesma que foi utilizada na criação da instância de VM. Vamos utilizar southamerica-east1 que é o Datacenter em São Paulo.
Em breve, teremos tutorial para criação de máquinas virtuais também e colocaremos o link aqui. Como não é foco neste tutorial, depois inserimos o link aqui.
Você verá que a subnet foi criada. Agora clique em criar para concluir a criação da Rede VPC.
A rede será configurada e será possível exibir na lista das Redes VPC.
Passo 3
Ainda em Rede VPC, clique na opção Endereços IP e em seguida, RESERVAR IP ESTATICO EXTERNO.
Atribua um nome para o endereço que está sendo reservado. Como esta reserva de IP será para o Gateway da VPN, então colocamos o nome do IP para gw-vpn-homolog. Defina também a versão como IPv4 ou IPv6, a região que no vaso, deve ser a mesma região em que se encontra a instância de VM que irá comunicar no túnel mas não atribua a nenhuma VM pois utilizaremos este IP no Gateway. Então clique em Reservar.
O IP já deve aparecer reservado conforme lista abaixo:
Passo 4
Agora vamos criar o Túnel VPN. Vá em Conectividade e em VPN, em seguida, clique em ASSISTENTE DE CONFIGURAÇÃO DA VPN.
No nosso exemplo vamos fazer uma conexão única de Túnel, portanto, vamos usar a VPN Clássica, e clique em Continuar.
Informe o nome do Túnel, selecione a subnet que criamos nos passos anteriores, informe qual região onde estão os recursos a serem compartilhados via VPN e informe o IP que será utilizado no Gateway VPN que também criamos nos passos anteriores.
Vale ressaltar que a região deve ser a mesma que selecionamos nos passos anteriores.
Informe o nome do túnel VPN, nesse caso, colocamos de qual filial estamos nos conectando. Informe o Endereço IP do terminal remoto que é o IP do Firewall onde vamos nos conectar.
Clique em GERAR E COPIAR para gerar uma senha forte a ser utilizada em ambas as pontas de conexão. Anote e guarde esta senha. Envie para a o responsável pela conectividade do outro Firewall.
Nas opções de roteamento, informe que será baseado em rotas e informe os endereços de subnet de onde você irá se conectar e clique em Concluir.
Em seguida já com o túnel criado, clique em CRIAR.
Pode levar alguns minutos até que o túnel seja gerado. Aguarde e então aparecerá na lista de Gateways VPN.
Você pode observar que na coluna de Status, aparece como Falha na negociação. Isso ocorre porque o túnel não foi criado no outro lado ainda.
Passo 4
O túnel deve ser configurado na outra ponta, e apesar de o GCP não mostrar quais são as configurações utilizadas no campo Proposal, estou deixando aqui abaixo como foi configurado no nosso laboratório para que você possa ter algum parâmetro:
Phase1 Key Life Time: 28800 segundos
Phase2 Key Life Time: 3600 segundos
Perfect Forward Secrecy Status: Habilitado
Dead Peer Detection Status: Habilitado
DPD Delay: 30 segundos
DPD Timeout: 120 segundos
Ping to Keep Alive: Habilitado
Route / NAT Mode: Depende da configuração da rede
Source IP: auto_detect_script
Apply NAT Policy: Habilitado
Set VPN as Default Gateway: Habilitado
Netbios Naming Packet: Desabilitado
Multicast via VPN: Desabilitado
RIP via VPN: Desabilitado
Packet-Triggered: Depende da configuração da rede
Force UDP Encapsulation: Habilitado
Vale ressaltar que nem todos os firewalls possuem os mesmos nomes/opções disponíveis para a configuração do túnel, portanto, tente utilizar o máximo que for possível e acredito que ainda sim irá funcionar com a maioria dos dispositivos de mercado.
Após efetuar a criação do túnel VPN na outra ponta, o status do Túnel mudará para Estabelecido.
Passo 5
Agora vamos configurar o Firewall da subnet que criamos. Em Redes VPC, clique na subnet para abrir as opções de edição.
Navegue até a aba Firewall e clique em adicionar regra de Firewall
Para garantir a conectividade com a VM, é necessário preencher a regra do Firewall corretamente para ativar o SSH. É importante notar que o endereço 0.0.0.0/0 abrange todas as redes. Portanto, se desejar, você pode especificar apenas as redes que terão acesso SSH às instâncias deste projeto neste campo. Além disso, se preferir uma regra mais restrita, você pode definir qual instância específica poderá receber acesso SSH no campo Filtro de destino.
Segue abaixo, resumo de todas as regras que precisam ser criadas. Agora que você já sabe como criar a regra, replique as configurações para estas abaixo:
Ao concluir a criação das regras, deverá aparecer uma lista conforme abaixo:
Faça os testes de conectividade no seu ambiente e se necessário, revise as configurações deste tutorial. Lembre-se de personalizar as regras, de acordo com os serviços que precisam se comunicar no ambiente.