J'utilise un appareil pare-feu Meraki MX100 et quelques VLAN. J'ai configuré Google Cloud VPN pour qu'il fonctionne avec mon réseau mais je me suis rendu compte que, bien que j'aie donné à Google tout mon sous-réseau, seul le VLAN primaire est capable de communiquer avec le VPN de Google. Si je supprime la route pour mon VLAN par défaut, mon VLAN suivant est capable de communiquer avec le VPN de Google. En fait, un seul VLAN est capable de communiquer avec Google à la fois. Y a-t-il quelque chose qui m'échappe ? Je veux que tous mes VLAN puissent communiquer avec le VPN de Google. Avez-vous des idées ?
Réponse
Trop de publicités?
Kamran
Points
1415
Il semble que vous rencontriez le problème des associations de sécurité décrit dans ce document article :
Cloud VPN crée une seule association de sécurité (SA) enfant annonçant tous les blocs CIDR associés au tunnel. Certains dispositifs homologues IKEv2 prennent en charge ce comportement, tandis que d'autres ne prennent en charge que la création d'une SA enfant unique pour chaque bloc CIDR. SA enfant unique pour chaque bloc CIDR. Avec ces derniers dispositifs, les tunnels avec plusieurs blocs CIDR peuvent ne pas s'établir.
Il existe plusieurs solutions de contournement pour ce problème :
- Utilisez Cloud Router pour créer des routes négociées par BGP. Avec cette configuration, les CIDR ne sont pas négociés dans le protocole IKE.
- Configurez le périphérique pair pour avoir plusieurs CIDRs dans la même SA enfant. Seuls certains appareils prennent en charge cette fonction, qui n'est possible que dans IKEv2.
- Si possible, regroupez les CIDR en un seul CIDR plus grand.
- Créer un tunnel distinct pour chaque bloc CIDR. Si nécessaire, vous pouvez créer plusieurs passerelles VPN à cette fin.
Tous les sous-réseaux connectés au même tunnel doivent utiliser la même SA enfant. Si des sous-réseaux différents n'ont pas le même SA, ils doivent être connectés à des tunnels différents.
