[雲端]騰訊雲使用VPN連接GCP

前言

又在搞新的東西了，這次要把騰訊雲（TKE）跟Google雲（GCP），做VPN對連，

這次一樣又弄了幾天…最後還是找了GOOGLE工程師協助。

主要卡在IKEAv1的設定以及路由的追蹤上面，

有東西，google上找到的，跟工程師跟我說的不一樣。

像是 IKE配置的協商模式

正文

下面的步驟，基本上都是TKE跟GCP，互相切換設定。

1. 騰訊雲設定網關IP

私有網路-> VPN連接->VPN網關

(Fig.1)
內容就照想輸入的打，輸入完成後會看到公網IP，為了方便溝通，就稱呼他為TKE的閘道IP。

2. GCP設定VPN閘道

這邊的選項比較繁瑣，因為騰訊雲不支援IKEv2，同時也不支援BGP的協定，
所以Google要使用傳統VPN。
高可用性的VPN有些要求才能使用，請參考轉為高可用性 VPN

(Fig.2)

(Fig.3)
從Fig.3 有連結可以切到 傳統VPN設定，
再來終於要開始設定GCP閘道IP了。
建立IP，這邊建立的就是GCP的閘道ip，這組就是要與 TKE的閘道IP 對聯的IP。

（Fig.4)
其他的選項，

• 名稱： 自填
• 網路： VPN 要連結的 Compute Engine 網路
• 區域： 連結至 Compute Engine 網路的閘道所在地區

3. GCP的通道設定

(Fig.5)

• 名稱： 隨意
• 遠端對等互連IP： TKE的閘道IP
• IKE版本：這邊選 IKEv1
• IKE預先共用金鑰： 可以自行輸入 或是 由系統產生，但要注意騰訊雲不支援 特殊符號（. / 之類的），
  所以要注意自行產生的金鑰
• 導向選項： 這邊選擇 『依據政策』
  遠端網路ip範圍：輸入TKE的私有網路範圍，可以從『騰訊雲的私有網路->私有網路』 看到 IPv4 CIDR (Fig.6)。

(Fig.6)

GCP的防火牆設定

可能需要配置防火牆規則，不確定。
ref. 配置防火牆規則

4. 騰訊雲的對端網關設定

私有網路->VPN連接->對端網關

(Fig.7)

• 名稱： 隨意
• 公網IP: 這邊就是輸入 GCP的閘道ip
• 標籤： 可以不打

5. 騰訊雲的VPN通道設定

(Fig.8)

• 通道名稱：隨意
• 地域： 連結至網路的區域
• VPN網關類型： 私有網路。 雲聯網指的是 騰訊雲內部各區域的私有網路互聯(ref.雲聯網產品概述)
• 私有網路： 請看(Fig.6)
• VPN網關： 請看(Fig.1)
• 對端網關： 請看(Fig.7)
• 預共享金鑰： 請看(Fig.5) 的預先共享金鑰

6. SPD策略

(Fig.9)

• 本端網段： 請看(Fig.6)
• 對端網段： 請看(Fig.4)的網段

7. IKE、IPsec配置

需與下圖一摸一樣。

(Fig.10)
ref. 支持的 IKE 加密方式，此文內(IKEv1 加密方式的第二階段，指的就是 IPsec配置）

IKE 配置

• 版本： IKEv1
• 加密算法： AES-128
• 認證算法： SHA1
• 協商模式： main
• DH group: DH2
• IKE SA Lifetime： 36600

IPsec 配置

• 加密算法：AES-128
• 認證算法：SHA1
• PFS： DH-GROUP2
• IPsec sa Lifetime：10800

8. 結尾（不，還有路由要設定）

(Fig.11)

這邊會先看到VPN的通道狀態是 已聯通， 但如果實際去Ping機器，會發現還是不通。

9. 騰訊雲路由表設定

私有網路->路由表->默認路由表

(Fig.12)
新增路由策略(Fig.13)

(Fig.13)
新增路由(Fig.14)

• 新增路由：這邊是從騰訊雲要跳去GCP的網段，所以這邊要輸入的是（Fig.9)的對端網段
• 下一跳類型：選擇VPN網關

(Fig.14)

10. 結論

可能有人會想，為什麼騰訊雲要設定路由，
而GCP不用設定路由。
因為在設定(Fig.5)的時候，就已經幫你設定好了。
但如果走的是 依據路徑，那這塊就必須要自行設定了。
如果想要看路由表，可以到
GCP->VPC網路->路徑

(Fig.15)

ref.
使用靜態路由創建傳統 VPN
網絡和隧道路由
【VPN錦囊】 騰訊雲對接華為雲配置指南
通過VPN連接到VPC
MTR：Linux 網路診斷工具使用教學