从连接到Google的VM实例访问连接到对等VPN的隧道

Question

我有一个实例(基于Linux的)连接到Google网络，该网络本身通过IpSec隧道(IKev2)连接到对等虚拟专用网。

VPN隧道已经在Google中建立，所以一切似乎都在启动和运行。

在Linux中，我需要配置什么才能访问其他网络？netword卡(eth0)位于为VPC网络配置的子网上(通过隧道传输到对等VPN)。

谢谢

Answer 1

云VPN将您的办公场所连接到VPC，这意味着每个使用Google (GCE)的实例、集群或其他产品。

VPN至少有两个组件:网关和隧道，但我将添加第三个组件:路由类型。

网关:您可以在这里添加一个现有的或保留任何静态IP地址 (来自Google的外部IP地址)。

( b)隧道:封装和加密的流量将流向本地IP范围。

c)路由类型:云VPN有三种可能性：

• 使用动态路由的隧道
• 基于路由的VPN
• 基于策略的VPN

根据您选择的类型，路由以不同的方式发生，但通常情况下，它会将您的子网(S)传播到您的现场网络，并从它接收路由。

重要事项:请记住在GCP上打开您的防火墙，以接收来自您的本地IP范围的流量，因为默认的和隐含的侵入规则将阻止它。

• 隐含的允许出口规则:其操作为允许的出口规则，目标为0.0.0.0/0，优先级是最低的(65535)，允许任何实例向任何目标发送通信量。
• 隐含的拒绝入口规则:一个入口规则，其动作为拒绝，源为0.0.0.0/0，优先级是最低的(65535)，通过阻塞传入到它们的流量来保护所有实例。

此外，如果您有任何其他问题，请随时通知我。

Answer 2

我也有一个类似的问题：

基于路由的vpn

在vpc中有linux1、lunux2和windows1。在我的专用局域网里我有linuxP1

1. 我可以在linux1和linux2之间切换。
2. 从linux1或linux2，我不能ping windows1或linuxP1
3. 从linuxP1我可以ping windows1，但是我不能ping linux1或linux2
4. 从互联网上我可以访问linux1，linux2，windows1

我需要linux1和linux2的额外配置吗？

Answer 3

我怀疑，在路线和交通选择器之间可能会有少量的混淆。您目前在VPN的GCP端配置为0.0.0.0/0的流量选择器被认为是“加密域”。你也可以把它想象成一个“大厅通行证”，它定义了哪些流量源被允许进入或使用VPN。然而，“流量选择器不是一条路线”.

一旦您定义了流量选择器并建立了您的VPN，您仍然必须告诉您的VPC哪些流量应该使用VPN作为下一跳。定义将发送到VPN的通信量是通过为您的VPC创建一个静态路由来完成的，其中包含VPN的下一跳。基于策略的或基于路由的经典VPN隧道使用静态路由(您已经创建了基于路由的隧道)。

来自上述“以路线为基础”的链接：

“If you create one of these tunnels using the Cloud Console, Google Cloud 
automatically creates custom static routes based on the remote IP ranges you 
specify in the Cloud VPN configuration. If you use gcloud commands to create one 
of these tunnels, you must manually create the static routes that use the tunnel 
as a next hop.”

这意味着，根据您为VPN的远端(而不是“NET1”侧)使用的流量选择器，可能已经为您创建了静态路由。但是，如果您在VPN的两边使用0.0.0.0/0这样的流量选择器，那么这个静态路由就不会有多大作用。要使流量可以通过VPN进行路由，您可能需要在NET1中定义一个静态路由，该路由指向您希望与之通信的对等VPN中的子网。此静态路由将需要NET1 VPN的下一跳。

请注意: VPN的远端也是如此。一个静态路由(在对等VPC/网络中)指向您希望与之通信的NET1中的子网，将需要使用“对等VPN”的下一跳创建该路由。

由于您已经在VPN的两侧打开了防火墙，一旦创建了适当的静态路由，您应该能够从NET1中的子网切换到对等VPN子网(如果静态路由匹配的话)。