GCPとWatchGuard製FireBoxのVPN接続

3 min読了の目安(約3000字TECH技術記事

※ Qiitaにも同様に記事を掲載済みです。Qiita:GCPとWatchGuard製FireBoxのVPN接続

背景

以前、 AWSとWatchGuard製FireBoxのVPN接続 という形で記事を記載しましたが、
今回は別記事のため、切り出して記事を作成します。
前回は、静的ルーティングでしたが、今回は動的ルーティングのBGPで設定しています。
クラウドとの接続は一般的にBGPで設定するケースが多いと思います。

WatchGuard社から公式にAWSとの接続例は日本語化されたドキュメントがありますが、
Google Cloudはまだローカライズされたドキュメントはないようです。

というところで、日本語でGoogle Cloudとの接続を行いました。

参考:
Google Cloud BOVPN Integration Guide
Google Cloud BOVPN Virtual Interface Integration Guide

設定

VPC ネットワーク

予めMTUもデフォルトで1460に設定されています。

2020-10-18_154525.jpg

CloudVPN

2020-10-18_155535.jpg

VPN作成

2020-10-18_160256.jpg

注意事項

10月15日(木) にGoogleから2021年10月以降のVPNについて通知が来ました。

件名:[ご対応のお願い] 2021 年 10 月までに Classic VPN から高可用性 VPN に移行してください
本文:
(一部抜粋)

サポートを終了する次の Classic VPN 構成を使用した新しいトンネルは 2021 年 10 月以降は作成できなくなります。
また、これらの構成を使用している既存のトンネルはサポート対象外となります。
すでにインストールして使用しているトンネルは、引き続き正常に動作します。

・ トンネルの接続先のゲートウェイに関係なく、動的ルーティング(Cloud Router)を使用するすべての Classic VPN トンネル。
・ 使用するルーティング方法に関係なく、2 つの GCP Classic VPN ゲートウェイを相互接続する Classic VPN トンネル。
・ 静的ルーティングを使用して GCP Classic VPN ゲートウェイを他のクラウド プロバイダのネットワークに接続する Classic VPN トンネル。

この変更に向けた準備をお手伝いできるよう、このメールをネットワーク エンジニアやサイト信頼性エンジニア(SRE)にご転送ください。

2020-10-18_154004.jpg

WatchGuard

BO仮想インターフェース設定

2020-10-18_160853.jpg

2020-10-18_160959.jpg

2020-10-18_161620.jpg

2020-10-18_161932.jpg

注意事項

WatchGuardは標準では、VPNの設定がセッションベースとなっていて、
GCP側(パブリッククラウド全般かもしれませんが)は、タイマーベースとなっています。

接続確認

GCE

  • VM インスタンスでWindowsServer起動

2020-10-18_172646.jpg

無事にGCP内のインスタンスからアクセスできています。

WatchGuardの設定許可も Any-Trusted のみでインターネットから接続は通常できない設定となっています。

2020-10-18_120939.jpg

まとめ

GCPとWatchGuard FireboxのVPN接続は問題なくできました。
ドキュメントなどを読み込んで試しにCloudVPNのリソースを起動検証している途中で、
Classciが来年破棄されるとのことなので、ちょうどいい時期に検証ができて個人的に良かったです。

あまり日本国内でこの構成でVPN接続するケースは少ないとは思いますが、
WatchGuard、GCP公式ドキュメントにも言及されていない部分も含めて、
今後どなたかの参考になれば幸いです。