☁️くもをもくもくまなぶ

クラウドコンピューティングサービスの学んだことを中心につらつらと書いています

GCPとWatchGuard製FireBoxのVPN接続

背景


以前は、静的ルーティングでしたが、今回は動的ルーティングのBGPで設定しています。
クラウドとの接続は一般的にBGPで設定するケースが多いと思います。

WatchGuard社から公式にAWSとの接続例は日本語化されたドキュメントがありますが、
Google Cloudはまだローカライズされたドキュメントはないようです。

というところで、日本語でGoogle Cloudとの接続を行いました。

参考:

設定

VPC ネットワーク

MTUもデフォルトで1460に設定されています。

Image in a image block
CloudVPN
Image in a image block
VPN作成
Image in a image block
注意事項

10月15日(木) にGoogleから2021年10月以降のVPNについて通知が来ました。

件名:[ご対応のお願い] 202110 月までに Classic VPN から高可用性 VPN に移行してください
本文:
(一部抜粋)

サポートを終了する次の Classic VPN 構成を使用した新しいトンネルは 202110 月以降は作成できなくなります。
また、これらの構成を使用している既存のトンネルはサポート対象外となります。
すでにインストールして使用しているトンネルは、引き続き正常に動作します。

・ トンネルの接続先のゲートウェイに関係なく、動的ルーティング(Cloud Router)を使用するすべての Classic VPN トンネル。
・ 使用するルーティング方法に関係なく、2 つの GCP Classic VPN ゲートウェイを相互接続する Classic VPN トンネル。
・ 静的ルーティングを使用して GCP Classic VPN ゲートウェイを他のクラウド プロバイダのネットワークに接続する Classic VPN トンネル。

この変更に向けた準備をお手伝いできるよう、このメールをネットワーク エンジニアやサイト信頼性エンジニア(SRE)にご転送ください。
Image in a image block
WatchGuard
BO仮想インターフェース設定
Image in a image block
Image in a image block
Image in a image block
Image in a image block
注意事項

WatchGuardは標準では、VPNの設定がセッションベースとなっていて、
GCP側(パブリッククラウド全般かもしれませんが)は、タイマーベースとなっています。

接続確認
GCE
  • VM インスタンスでWindowsServer起動
Image in a image block

無事にGCP内のインスタンスからアクセスできています。

WatchGuardの設定許可も Any-Trusted のみでインターネットから接続は通常できない設定となっています。

Image in a image block
まとめ

GCPとWatchGuard FireboxのVPN接続は問題なくできました。
ドキュメントなどを読み込んで試しにCloudVPNのリソースを起動検証している途中で、
Classciが来年破棄されるとのことなので、ちょうどいい時期に検証ができて個人的に良かったです。

あまり日本国内でこの構成でVPN接続するケースは少ないとは思いますが、
WatchGuard、GCP公式ドキュメントにも言及されていない部分も含めて、
今後どなたかの参考になれば幸いです。