Criar uma conexão de VPN clássica com um site remoto

É possível configurar uma conexão de túnel de VPN clássica entre um local e o Google Cloud para que os endereços IP de origem e de destino sejam endereços IP externos (não RFC 1918). Por exemplo, é possível configurar uma conexão de VPN clássica com um site remoto para que os intervalos de endereços IP locais não entrem em conflito com o endereço IP da VM do Google Cloud.

Neste tutorial, você usará um projeto do Google Cloud, o console do Google Cloud, uma instância de máquina virtual (VM), a VPN clássica e alguns comandos do Linux. Para testar a conexão, crie uma nova instância de VM para enviar e receber tráfego entre a VM e um peering remoto.

Antes de começar

  1. Faça login na sua conta do Google Cloud. Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

  2. No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

    Acessar o seletor de projetos

  3. Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

  4. No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

    Acessar o seletor de projetos

  5. Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

  6. Ative a API Compute Engine.

    Ative a API

  7. Na sua estação de trabalho, instale a ferramenta de linha de comando gcloud.
  8. Configure a ferramenta de linha de comando gcloud para usar seu projeto. No seguinte comando, substitua PROJECT_ID pelo ID do projeto: 
    gcloud config set project PROJECT_ID
  9. Verifique se as sub-redes locais estão conectadas ao seu gateway VPN local.
  10. Siga as instruções em Como configurar o gateway de VPN de peering para configurar o gateway de VPN de peering entre o Google Cloud e seu gateway de VPN local.

Reservar um novo endereço IP externo estático.

No Compute Engine, cada instância de VM pode ter várias interfaces de rede. Cada interface pode ter endereços IP internos e externos. As regras de encaminhamento podem ter endereços IP externos para balanceamento de carga externo ou endereços internos para balanceamento de carga interno. Saiba mais sobre endereços IP estáticos em Endereços IP externos.

Um endereço IP externo estático é o endereço reservado para seu projeto até que você decida liberá-lo. Se você tiver um endereço IP que seus clientes ou usuários usam para acessar seu serviço, reserve-o para que apenas seu projeto possa usá-lo. Também é possível promover um endereço IP externo temporário para um endereço IP externo estático.

Você pode reservar dois tipos de endereços IP externos:

  • Um endereço IP regional que é usado por instâncias de VM com uma ou mais interfaces de rede ou por balanceadores de carga regionais.
  • Um endereço IP global usado para balanceadores de carga globais

Para uma lista de balanceadores de carga regionais e globais, consulte o Resumo de balanceadores de carga do Google Cloud.

Reserve um endereço IP externo estático usando a Google Cloud CLI ou a API. Depois de reservar o endereço IP, atribua-o a uma nova instância durante a criação da nova instância ou atribua o endereço a uma instância atual.

Console

  1. Acesse a página Reservar um endereço estático

    Acessar "Reservar um endereço estático"

  2. Escolha um nome para o novo endereço.

  3. Especifique se o endereço é IPv4 ou IPv6. Os endereços IPv6 só podem ser globais. Também só podem ser usados com balanceadores de carga globais.

  4. Especifique se esse endereço IP é regional ou global. Se você estiver reservando um endereço IP estático para uma instância ou para um balanceador de carga regional, escolha Regional. Se estiver reservando um endereço IP estático para um balanceador de carga global, escolha Global.

  5. Se o endereço IP for regional, selecione a região para criar o endereço.

  6. Opcional: selecione um recurso para anexar ao endereço IP.

  7. Clique em Reservar para reservar o IP.

gcloud

Para reservar um endereço IP externo estático usando gcloud compute, use o comando compute addresses create.

Para reservar um endereço IP global, use os campos --global e --ip-version. No campo --ip-version, especifique IPV4 ou IPV6. Os endereços IPv6 só podem ser globais. Também só podem ser usados com balanceadores de carga globais.

Substitua ADDRESS_NAME pelo nome do endereço.

gcloud compute addresses create ADDRESS_NAME \
    --global \
    --ip-version [IPV4 | IPV6]

Para reservar um endereço IP regional, use o campo --region:

gcloud compute addresses create ADDRESS_NAME  \
    --region=REGION

Substitua:

  • ADDRESS_NAME: o nome desse endereço.
  • REGION: a região em que esse endereço será reservado. Essa região precisa ser a mesma do recurso ao qual o endereço IP é atribuído. Todos os endereços IP regionais são IPv4.

Use o comando compute addresses describe para ver o resultado:

gcloud compute addresses describe ADDRESS_NAME

API

Para criar um endereço IPv4 regional, chame o método addresses.insert regional:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/addresses

O corpo da sua solicitação precisa ter:

{
  "name": "ADDRESS_NAME"
}

Substitua:

  • ADDRESS_NAME: o nome do endereço
  • REGION: o nome da região para essa solicitação;
  • PROJECT_ID: o ID do projeto desta solicitação;

Para endereços IPv4 estáticos globais, chame o método globalAddresses.insert:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses

O corpo da sua solicitação precisa ter:

{
  "name": "ADDRESS_NAME"
}

Para endereços IPv6 estáticos globais, chame o método globalAddresses.insert:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses

O corpo da sua solicitação precisa ter:

{
  "name": "ADDRESS_NAME",
  "ipVersion": "IPV6"
}

Use o método addresses.get para ver o resultado.

Terraform

Use um módulo do Terraform para criar um endereço IP externo.

No exemplo a seguir, os argumentos do Terraform têm valores de exemplo que podem ser alterados. O exemplo cria três endereços IPv4 externos regionais.

module "address" {
  source       = "terraform-google-modules/address/google"
  version      = "~> 3.1"
  project_id   = var.project_id # Replace this with your service project ID in quotes
  region       = "europe-west1"
  address_type = "EXTERNAL"
  names = [
    "regional-external-ip-address-1",
    "regional-external-ip-address-2",
    "regional-external-ip-address-3"
  ]
}

O exemplo a seguir cria um endereço IPv6 externo global:

resource "google_compute_global_address" "default" {
  project      = var.project_id # Replace this with your service project ID in quotes
  name         = "ipv6-address"
  address_type = "EXTERNAL"
  ip_version   = "IPV6"
}

Ativar o encaminhamento de IP

É possível ativar o encaminhamento de IP ao criar uma VM ou atualizar as propriedades da canIpForward instância em uma VM existente. O encaminhamento de IP é ativado no nível da VM e se aplica a todas as interfaces conectadas à VM.

Ativar o encaminhamento de IP ao criar uma VM

Estas instruções descrevem como ativar o encaminhamento de IP quando você cria uma VM. Se você precisar ativar o encaminhamento de IP em uma VM atual, atualize a canIpForward propriedade da instância.

Console

  1. Acesse a página Instâncias da VM.
    Acessar instâncias de VM
  2. Clique em Criar instância.
  3. Em Disco de inicialização, verifique se você selecionou uma imagem do Linux. por exemplo, Debian GNU/Linux.
  4. Clique em Rede, discos, segurança, gerenciamento, locatário único
  5. Clique em Rede.
  6. Em Encaminhamento de IP, selecione Ativar.
  7. Especifique qualquer outro parâmetro da instância.
  8. Clique em Criar.

gcloud

Ao criar uma instância usando gcloud, adicione a sinalização --can-ip-forward ao seu comando:

gcloud compute instances create ... --can-ip-forward

API

Ao criar uma instância, use o campo canIpForward para ativar o encaminhamento de IP.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances
{
  "canIpForward": true,
  ...other fields
}

Substitua:

  • PROJECT_ID: o ID do projeto em que a instância é criada.
  • ZONE: a zona do Google Cloud em que a instância é criada.

Para mais informações, consulte o método instances.insert.

Terraform

Use o recurso Terraform para criar uma instância de VM com o encaminhamento de IP ativado.

Neste exemplo, os argumentos do Terraform receberam valores que você pode alterar.

resource "google_compute_instance" "default" {
  project      = var.project_id # Replace this with your project ID in quotes
  zone         = "southamerica-east1-b"
  name         = "instance-next-hop"
  machine_type = "e2-medium"
  boot_disk {
    initialize_params {
      image = "debian-cloud/debian-9"
    }
  }
  network_interface {
    network = "default"
  }
  can_ip_forward = true
}

Criar rota para o tráfego de entrada

Siga estas etapas para criar uma nova rota estática. Antes de fazer isso, verifique se você tem familiaridade com o seguinte:

  • Rotas estáticas personalizadas não podem ter intervalos de destino que correspondam ou sejam mais específicos do que os intervalos de destino usados por qualquer rota de sub-rede na sua rede VPC.

    • Ao usar Peering de rede VPC para conectar duas redes VPC, rotas estáticas personalizadas em uma rede não podem ter destinos correspondentes ou mais específicos do que rotas de sub-rede em ambas as redes. O Google Cloud rejeita as rotas estáticas personalizadas que entrariam em conflito com as rotas das sub-redes.

  • Para evitar conflitos ao usar uma rede de modo automático, não crie rotas estáticas com destinos que caibam dentro de 10.128.0.0/9. Revise os intervalos de IP reservados para redes de modo automático para saber detalhes.

  • Destinos para rotas estáticas personalizadas não podem se sobrepor a nenhum intervalo interno alocado.

  • Verifique se você tem familiaridade com instâncias como próximos saltos antes de criar uma rota estática personalizada que use uma VM como seu próximo salto. O Google Cloud só confirma que uma VM existe quando você cria a rota, se você escolher uma instância de próximo salto.

  • Se você criar uma rota usando uma tag de rede, somente as VMs com essa tag receberão essa rota. No entanto, as VMs com tags ainda recebem todas as rotas sem tag de rede.

Console

  1. Acesse a página "Rotas" no Console do Google Cloud.
    Acessar a página "Rotas"
  2. Clique em Criar rota.
  3. Especifique um Nome e uma Descrição para a rota.
  4. Selecione uma Rede atual em que a rota será aplicada.
  5. Especifique um Intervalo de IP de destino para definir o destino da rota.
  6. Especifique uma Prioridade para a rota. Uma prioridade só é usada para determinar a ordem de roteamento se as rotas tiverem destinos equivalentes. Consulte os parâmetros de rota estática para mais informações.
  7. Para tornar a rota aplicável somente para instâncias com tags de rede correspondentes, especifique-as no campo Tags da instância. Deixe o campo em branco para tornar a rota aplicável a todas as instâncias na rede ou se você selecionar um balanceador de carga TCP/UDP interno como o próximo salto da rota. As tags de rede não se aplicam a rotas que têm um balanceador de carga TCP/UDP interno como um próximo salto.

  8. Selecione um próximo salto para a rota:

    • Especificar uma instância permite selecionar uma instância por nome. O tráfego será roteado para essa instância (ou qualquer instância de substituição com o mesmo nome na mesma zona), mesmo que o endereço IP seja alterado.
    • Especificar o endereço IP permite inserir um endereço IP de uma instância atual na rede VPC. Consulte os próximos saltos de rota estática para restrições importantes sobre endereços IP válidos do próximo salto.

    Para mais informações sobre os diferentes tipos de próximos saltos, consulte Próximos saltos de rota estática.

  9. Clique em Criar.

gcloud

Crie uma nova rota estática personalizada:

gcloud compute routes create ROUTE_NAME \
    --destination-range=DESTINATION_RANGE \
    --network=NETWORK \
    NEXT_HOP_SPECIFICATION

Substitua os marcadores:

  • ROUTE_NAME é o nome da rota.
  • DESTINATION_RANGE representa os endereços IP de destino em que esta rota será aplicada. O maior destino possível é 0.0.0.0/0.
  • NETWORK é o nome da rede VPC que conterá a rota.
  • NEXT_HOP_SPECIFICATION representa o próximo salto para a rota estática personalizada. Especifique apenas um dos seguintes como um próximo salto. Para mais informações sobre os diferentes tipos de próximos saltos, consulte Próximos saltos de rota estática.
    • --next-hop-instance=INSTANCE_NAME e --next-hop-instance-zone=ZONE: use este próximo salto para direcionar o tráfego para uma instância de VM existente por nome e zona. O tráfego é enviado para o endereço IP interno principal da interface de rede da VM, localizada na mesma rede da rota.
    • --next-hop-address=ADDRESS: use este próximo salto para direcionar o tráfego para o endereço IP de uma instância de VM existente.

Para fazer com que a rota estática personalizada se aplique somente a seleções de VMs por tag de rede, adicione a sinalização --tags e especifique uma ou mais tags de rede. Para saber mais informações sobre como as tags de rede e as rotas estáticas personalizadas funcionam juntas, consulte Rotas aplicáveis. É possível usar tags com qualquer rota estática personalizada.

Consulte a documentação do SDK para mais informações sobre a sintaxe gcloud.

API

Crie uma nova rota estática personalizada.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/routes
{
  "destRange": "DESTINATION_RANGE",
  "name": "ROUTE_NAME",
  "network": "NETWORK_NAME",
  "priority": PRIORITY,
  "NEXT_HOP_SPECIFICATION": VALUE
}

Substitua os marcadores:

  • PROJECT_ID é o ID do projeto em que sua rota está criada.
  • DESTINATION_RANGE representa os endereços IP de destino em que esta rota será aplicada. O maior destino possível é 0.0.0.0/0.
  • ROUTE_NAME é um nome para a rota.
  • NETWORK_NAME é o nome da rede VPC que conterá a rota.
  • O VALUE do NEXT_HOP_SPECIFICATION representa o próximo salto da rota estática personalizada. Para NEXT_HOP_SPECIFICATION, especifique apenas um dos seguintes campos do próximo salto: nextHopIp,nextHopInstance. Para mais informações sobre os diferentes tipos de próximos saltos, consulte Próximos saltos de rota estática.

Para mais informações, consulte o método routes.insert.

Terraform

É possível criar uma rota estática usando um módulo Terraform.

Essa rota estática cria uma rota padrão para a Internet.

module "google_compute_route" {
  source       = "terraform-google-modules/network/google//modules/routes"
  version      = "~> 9.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "default"

  routes = [
    {
      name              = "egress-internet"
      description       = "route through IGW to access internet"
      destination_range = "0.0.0.0/0"
      tags              = "egress-inet"
      next_hop_internet = "true"
    }
  ]
}

Criar uma VPN clássica usando roteamento estático

O assistente de configuração da VPN é a única opção do Console do Google Cloud para criar um gateway de VPN clássica. O assistente inclui todas as etapas de configuração necessárias para criar um gateway de VPN clássica, túneis, sessões do BGP e um recurso de gateway de VPN externa. No entanto, é possível concluir algumas etapas depois, como configurar sessões do BGP.

Console

Configure o gateway

  1. No Console do Google Cloud, acesse a página VPN.

    Acessar a VPN

  2. Se você estiver criando um gateway pela primeira vez, clique em Criar conexão VPN.

  3. Selecione o assistente de configuração de VPN.

  4. Selecione o botão de opção VPN clássica.

  5. Clique em Continuar.

  6. Na página Criar uma conexão de VPN, especifique as seguintes configurações de gateway:

    • Nome: o nome do gateway da VPN. Não é possível alterá-lo posteriormente.
    • Descrição: se quiser, adicione uma descrição.
    • Rede: especifique uma rede de VPC atual em que o túnel e o gateway da VPN serão criados.
    • Região: os gateways e túneis do Cloud VPN são objetos regionais. Escolha uma região do Google Cloud onde o gateway será localizado. Instâncias e outros recursos em diferentes regiões usam o túnel para o tráfego de saída sujeito à ordem das rotas. Para um melhor desempenho, localize o gateway e o túnel na mesma região que os recursos relevantes do Google Cloud.
    • Endereço IP: crie ou escolha um endereço IP externo regional atual.

Configurar túneis

  1. Para o novo túnel, na seção Túneis, especifique as seguintes configurações:

    • Nome: o nome do túnel da VPN. Não é possível alterá-lo posteriormente.
    • Descrição: se quiser, insira uma descrição.
    • Endereço IP de peering remoto: especifique o endereço IP externo do gateway de VPN de peering.
    • Versão do IKE: escolha a versão do IKE adequada compatível com o gateway da VPN de peering. O IKEv2 tem preferência se for compatível com o dispositivo de peering.
    • Chave IKE pré-compartilhada: forneça uma chave pré-compartilhada (secreta compartilhada) usada para autenticação. A senha secreta do túnel do Cloud VPN precisa corresponder àquela usada ao configurar o túnel de contrapartida no gateway da VPN de peering. Para gerar uma chave pré-compartilhada criptograficamente forte, siga estas instruções.
    • Selecionar túneis com base em políticas
    • Em Opções de roteamento, selecione com base em políticas.
    • Em Intervalos de IP de rede remota, forneça uma lista separada por espaço dos intervalos de endereço IP usados pelo tráfego local na configuração da VPN local.
    • No campo Intervalos de IP local, insira o intervalo de endereços IP externo criado anteriormente com um prefixo de sub-rede /32.
    • Clique em Concluído.
    • Clique em Criar.

gcloud

Para criar um gateway do Cloud VPN, conclua a sequência de comandos a seguir. Nos comandos, substitua o seguinte:

  • PROJECT_ID: ID do projeto
  • NETWORK: o nome da sua rede do Google Cloud.
  • REGION: a região do Google Cloud em que você cria o gateway e o túnel
  • GW_NAME: o nome do gateway.
  • GW_IP_NAME: um nome para o endereço IP externo usado pelo gateway.
  • Opcional: a --target-vpn-gateway-region é a região do gateway de VPN clássica para operar. Seu valor precisa ser igual a --region. Se não for especificada, esta opção será definida automaticamente. Ela modifica o valor padrão da propriedade compute/region para esta invocação de comando.

Configure os recursos do gateway

  1. Crie o objeto de gateway da VPN de destino.

    gcloud compute target-vpn-gateways create GW_NAME \
   --network=NETWORK \
   --region=REGION \
   --project=PROJECT_ID

  2. Reserve um endereço IP estático externo regional:

    gcloud compute addresses create GW_IP_NAME \
   --region=REGION \
   --project=PROJECT_ID

  3. Observe o endereço IP para usá-lo ao configurar o gateway da VPN de peering:

    gcloud compute addresses describe GW_IP_NAME \
   --region=REGION \
   --project=PROJECT_ID \
   --format='flattened(address)'

  4. criar três regras de encaminhamento; Essas regras instruem o Google Cloud a enviar o tráfego ESP (IPsec), UDP 500 e UDP 4500 para o gateway:

    gcloud compute forwarding-rules create fr-GW_NAME-esp \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=ESP \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

    gcloud compute forwarding-rules create fr-GW_NAME-udp500 \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=UDP \
   --ports=500 \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

    gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=UDP \
   --ports=4500 \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

Crie o túnel do Cloud VPN

  1. Nos comandos, substitua o seguinte:

    • TUNNEL_NAME: um nome para o túnel.
    • ON_PREM_IP: o endereço IP externo do gateway da VPN de peering.
    • IKE_VERS: 1 IKEv1 ou2 para IKEv2
    • SHARED_SECRET: sua chave pré-compartilhada (secreta compartilhada). A senha secreta do túnel do Cloud VPN precisa corresponder àquela usada ao configurar o túnel de contrapartida no gateway da VPN de peering. Para gerar uma chave pré-compartilhada criptograficamente forte, siga estas instruções.

    Para VPN baseada em política:

    • LOCAL_IP_RANGES: uma lista delimitada por vírgulas dos intervalos de IP do Google Cloud. Por exemplo, é possível fornecer o bloco CIDR para cada sub-rede em uma rede VPC. Este é o lado esquerdo na perspectiva do Cloud VPN.
    • REMOTE_IP_RANGES: uma lista delimitada por vírgulas dos intervalos de IP da rede de peering. Este é o “lado direito”na perspectiva do Cloud VPN.

    Para configurar um túnel VPN com base em políticas, execute o seguinte comando:

    gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=LOCAL_IP_RANGES \
    --remote-traffic-selector=REMOTE_IP_RANGES \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID

    Para a VPN com base em rota, os seletores de tráfego locais e remotos são 0.0.0.0/0, conforme definido nas opções de roteamento e nos seletores de tráfego.

    Para configurar um túnel VPN com base em rota, execute o seguinte comando:

    gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=0.0.0.0/0 \
    --remote-traffic-selector=0.0.0.0/0 \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID

  2. Crie uma rota estática para cada intervalo de endereço IP remoto especificado na --remote-traffic-selector na etapa anterior. Repita esse comando para cada intervalo de endereço IP remoto. Substitua ROUTE_NAME por um nome exclusivo para a rota e substitua REMOTE_IP_RANGE pelo intervalo de endereço IP remoto apropriado.

    gcloud compute routes create ROUTE_NAME \
    --destination-range=REMOTE_IP_RANGE \
    --next-hop-vpn-tunnel=TUNNEL_NAME \
    --network=NETWORK \
    --next-hop-vpn-tunnel-region=REGION \
    --project=PROJECT_ID

Configurar a VM para enviar e receber tráfego

Para concluir a configuração e testar se é possível enviar e receber tráfego da VM, siga estas etapas:

Receber tráfego

  1. No console do Google Cloud, acesse a página Instâncias de VMs.
  2. Na lista de instâncias de máquina virtual, encontre a VM criada anteriormente e clique em SSH.

  3. Crie um alias de endereço IP para a VM usando o endereço IP público reservado anteriormente. Você poderá receber tráfego para a VM depois de concluir esta etapa.

    Execute este comando:

    sudo ip address add EXTERNAL_IP_ADDRESS/32 dev eth0

    Substitua EXTERNAL_IP_ADDRESS pelo endereço IP público que você reservou anteriormente.

Enviar tráfego

  1. No console do Google Cloud, acesse a página Instâncias de VMs.
  2. Na lista de instâncias de máquina virtual, encontre a VM criada anteriormente e clique em SSH.

  3. Execute o seguinte comando para testar se você pode dar um ping em um endereço IP externo:

    $ ping -I EXTERNAL_IP_ADDRESS REMOTE_PEER_IP_ADDRESS
PING 10.0.0.1 (10.0.0.1) from EXTERNAL_IP_ADDRESS : 56(84) bytes of data.
64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=4.46 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=1.11 ms

    Substitua REMOTE_PEER_IP_ADDRESS por um endereço IP da sub-rede do par remoto.

  4. Para permitir que a VM use automaticamente essa interface ao enviar tráfego para o túnel de VPN, crie uma regra iptables.

    Por exemplo, execute o seguinte comando para criar uma regra iptables:

    $ sudo iptables -t nat -A POSTROUTING --destination REMOTE_PEER_SUBNET -j SNAT --to-source EXTERNAL_IP_ADDRESS

    Substitua REMOTE_PEER_SUBNET pela sub-rede do par remoto.

  5. Execute os seguintes comandos para testar o túnel do Cloud VPN:

    $ ping REMOTE_PEER_IP_ADDRESS
PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=3.48 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=1.42 ms

    $ ping EXTERNAL_IP_ADDRESS
PING 35.195.72.19 (35.195.72.19) 56(84) bytes of data.
64 bytes from 35.195.72.19: icmp_seq=1 ttl=64 time=0.033 ms
64 bytes from 35.195.72.19: icmp_seq=2 ttl=64 time=0.062 ms