我有以下拓扑:
本地(欧盟)-> VPN 经典隧道-> GCP-> VPN 动态(BGP)隧道 - 本地(美洲)。
我想使用 GCP 隧道连接两个内部部署站点。
一位非常友好的同事告诉我(在 GCP 论坛上),可以使用广告自定义 IP 范围来实现这一点。但是,不确定这是否适用于本地(EU)和 GCP 之间的 VPN,因为使用的是传统 VPN(不是 BGP)。这可行吗?有没有人知道如何实现?
答案1
只是为了澄清一下。
你说的是:
- 重新创建隧道,并在路由选项->基于路由->远程网络 IP 范围中除了 EU 本地子网的 IP 之外,还包括 AMER 本地子网的 IP? 基于路由 - 远程网络 IP 范围
是否有可能在当前隧道中添加这些路线(无需重新创建)?
- 在 BGP 隧道中,在云路由器->公布的 IP 范围中,在自定义 IP 范围中添加本地 EU 的 IP? BGP 隧道中的自定义 IP 范围
谢谢
答案2
无法连接。我做了以下操作:
本地 EU(Fortigate)-> 添加了本地 AMER CIDR:172.79.20.0/24 GCP Classic Tunnel -> 添加了本地 EU CIDR(192.168.100.0/24) GCP Dynamic BGP -> 添加了公布的自定义 IP 范围 EU CIDR(192.168.100.0/24)
我遗漏了什么?
谢谢
答案3
这是可行的,但您需要将您的 AMER 路由添加到您的本地 EU 路由隧道中,并将您的 EU 本地路由包含在您的 BGP 隧道中
此外,您必须添加 GCP 防火墙规则为了允许这 2 个 GCP 隧道之间的通信
只要您的本地硬件具有适当的路由/防火墙规则,您就应该能够在本地之间进行通信
请记住,除非你实施第三方解决方案,否则这里没有 natting
编辑:我在一定程度上复制了这一点(因为我没有您的内部部署硬件或物理位置),我的 AMER 和 EU 内部部署由不同的 GCP 项目组成以模拟这一点)。
我有以下拓扑:
本地 AMER <-BGP-VPN--> GCP <-Route-Based-VPN--> 本地 EU
我已经添加了所需的 GCP 防火墙规则以允许此功能,并且我将 EU 路由定义为我的 GCP BGP 会话,因为这不是自动完成的,但可以从 AMER ping 到 EU。
此时最好联系 GCP支持为了专门查看您的 GCP 项目(期望被要求在您的内部部署硬件上捕获数据包),但如果这是一个内部部署配置问题,那么最好联系您的硬件支持以进行配置。