※ Qiitaにも同様に記事を掲載済みです。Qiita:GCPとWatchGuard製FireBoxのVPN接続

背景

以前、 AWSとWatchGuard製FireBoxのVPN接続 という形で記事を記載しましたが、
今回は別記事のため、切り出して記事を作成します。
前回は、静的ルーティングでしたが、今回は動的ルーティングのBGPで設定しています。
クラウドとの接続は一般的にBGPで設定するケースが多いと思います。

WatchGuard社から公式にAWSとの接続例は日本語化されたドキュメントがありますが、
Google Cloudはまだローカライズされたドキュメントはないようです。

というところで、日本語でGoogle Cloudとの接続を行いました。

参考：
Google Cloud BOVPN Integration Guide
Google Cloud BOVPN Virtual Interface Integration Guide

設定

VPC ネットワーク

予めMTUもデフォルトで1460に設定されています。

CloudVPN

VPN作成

注意事項

10月15日(木) にGoogleから2021年10月以降のVPNについて通知が来ました。

件名：[ご対応のお願い] 2021 年 10 月までに Classic VPN から高可用性 VPN に移行してください
本文：
（一部抜粋）

サポートを終了する次の Classic VPN 構成を使用した新しいトンネルは 2021 年 10 月以降は作成できなくなります。
また、これらの構成を使用している既存のトンネルはサポート対象外となります。
すでにインストールして使用しているトンネルは、引き続き正常に動作します。

・ トンネルの接続先のゲートウェイに関係なく、動的ルーティング（Cloud Router）を使用するすべての Classic VPN トンネル。
・ 使用するルーティング方法に関係なく、2 つの GCP Classic VPN ゲートウェイを相互接続する Classic VPN トンネル。
・ 静的ルーティングを使用して GCP Classic VPN ゲートウェイを他のクラウド プロバイダのネットワークに接続する Classic VPN トンネル。

この変更に向けた準備をお手伝いできるよう、このメールをネットワーク エンジニアやサイト信頼性エンジニア（SRE）にご転送ください。

WatchGuard

BO仮想インターフェース設定

注意事項

WatchGuardは標準では、VPNの設定がセッションベースとなっていて、
GCP側（パブリッククラウド全般かもしれませんが）は、タイマーベースとなっています。

接続確認

GCE

• VM インスタンスでWindowsServer起動

無事にGCP内のインスタンスからアクセスできています。

WatchGuardの設定許可も Any-Trusted のみでインターネットから接続は通常できない設定となっています。

まとめ

GCPとWatchGuard FireboxのVPN接続は問題なくできました。
ドキュメントなどを読み込んで試しにCloudVPNのリソースを起動検証している途中で、
Classciが来年破棄されるとのことなので、ちょうどいい時期に検証ができて個人的に良かったです。

あまり日本国内でこの構成でVPN接続するケースは少ないとは思いますが、
WatchGuard、GCP公式ドキュメントにも言及されていない部分も含めて、
今後どなたかの参考になれば幸いです。