Site em nuvem do Google para VPN do site entre VLANs

Question

Site em nuvem do Google para VPN do site entre VLANs

#1 resposta do (2 votos)

1

Estou usando um appliance de firewall meraki MX100 e algumas VLANs. Configurei o Google Cloud VPN para funcionar com minha rede, mas percebi que, embora eu tenha fornecido ao Google toda a minha sub-rede, apenas a VLAN principal é capaz de se comunicar com a VPN do Google. Se eu desviar a rota da minha VLAN padrão, minha próxima VLAN poderá se comunicar com a VPN do Google. Basicamente, apenas uma VLAN é capaz de conversar com o Google de cada vez. Há algo que estou perdendo? Quero que todas as minhas VLANs possam falar com a VPN do Google. Alguma idéia?

google-cloud-platform

por Henry Coule 14.06.2016 / 19:53

1 resposta

Tags google-cloud-platform

Como posso definir frases de razão de código de status HTTP no nginx Bloqueia o servidor DHCP de outra rede

score 2 · Answer 1

Parece que você está enfrentando problemas de associações de segurança descritos neste artigo :

Cloud VPN creates a single child security association (SA) announcing all CIDR blocks associated with the tunnel. Some IKEv2 peer devices support this behavior, and some only support creating a unique child SA for each CIDR block. With these latter devices, tunnels with multiple CIDR blocks can fail to establish.

There are several workarounds for this issue:

Use Cloud Router to create BGP-negotiated routes. With this configuration, the CIDRs are not negotiated in the IKE protocol.

Configure the peer device to have several CIDRs in the same child SA. Only some devices support this, and it is only possible in IKEv2.

If possible, aggregate the CIDRs into a single, larger CIDR.

Create a separate tunnel for each CIDR block. If necessary, you can create several VPN gateways for this purpose.

All subnets connected to the same tunnel must use the same child SA. If different subnets do not have the same SA, they must be connected to different tunnels.