GCPとWatchGuard製FireBoxのVPN接続
※ Qiitaにも同様に記事を掲載済みです。Qiita:GCPとWatchGuard製FireBoxのVPN接続
背景
以前、 AWSとWatchGuard製FireBoxのVPN接続 という形で記事を記載しましたが、
今回は別記事のため、切り出して記事を作成します。
前回は、静的ルーティングでしたが、今回は動的ルーティングのBGPで設定しています。
クラウドとの接続は一般的にBGPで設定するケースが多いと思います。
WatchGuard社から公式にAWSとの接続例は日本語化されたドキュメントがありますが、
Google Cloudはまだローカライズされたドキュメントはないようです。
というところで、日本語でGoogle Cloudとの接続を行いました。
参考:
Google Cloud BOVPN Integration Guide
Google Cloud BOVPN Virtual Interface Integration Guide
設定
VPC ネットワーク
予めMTUもデフォルトで1460に設定されています。
CloudVPN
VPN作成
注意事項
10月15日(木) にGoogleから2021年10月以降のVPNについて通知が来ました。
件名:[ご対応のお願い] 2021 年 10 月までに Classic VPN から高可用性 VPN に移行してください
本文:
(一部抜粋)
サポートを終了する次の Classic VPN 構成を使用した新しいトンネルは 2021 年 10 月以降は作成できなくなります。
また、これらの構成を使用している既存のトンネルはサポート対象外となります。
すでにインストールして使用しているトンネルは、引き続き正常に動作します。
・ トンネルの接続先のゲートウェイに関係なく、動的ルーティング(Cloud Router)を使用するすべての Classic VPN トンネル。
・ 使用するルーティング方法に関係なく、2 つの GCP Classic VPN ゲートウェイを相互接続する Classic VPN トンネル。
・ 静的ルーティングを使用して GCP Classic VPN ゲートウェイを他のクラウド プロバイダのネットワークに接続する Classic VPN トンネル。
この変更に向けた準備をお手伝いできるよう、このメールをネットワーク エンジニアやサイト信頼性エンジニア(SRE)にご転送ください。
WatchGuard
BO仮想インターフェース設定
注意事項
WatchGuardは標準では、VPNの設定がセッションベースとなっていて、
GCP側(パブリッククラウド全般かもしれませんが)は、タイマーベースとなっています。
接続確認
GCE
- VM インスタンスでWindowsServer起動
無事にGCP内のインスタンスからアクセスできています。
WatchGuardの設定許可も Any-Trusted
のみでインターネットから接続は通常できない設定となっています。
まとめ
GCPとWatchGuard FireboxのVPN接続は問題なくできました。
ドキュメントなどを読み込んで試しにCloudVPNのリソースを起動検証している途中で、
Classciが来年破棄されるとのことなので、ちょうどいい時期に検証ができて個人的に良かったです。
あまり日本国内でこの構成でVPN接続するケースは少ないとは思いますが、
WatchGuard、GCP公式ドキュメントにも言及されていない部分も含めて、
今後どなたかの参考になれば幸いです。
Discussion