Configurazione del gateway VPN peer

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

In questa pagina vengono descritti i passaggi per completare la configurazione della VPN.

Per completare la configurazione, configura le seguenti risorse sul gateway VPN peer:

  • Tunnel VPN corrispondenti a Cloud VPN
  • Sessioni Border Gateway Protocol (BGP) se utilizzi il routing dinamico con il router Cloud
  • Regole del firewall
  • Impostazioni IKE

Per le best practice durante la configurazione del gateway peer, consulta la documentazione o il produttore del gateway peer. Per le guide che descrivono alcuni servizi e dispositivi VPN di terze parti supportati, consulta l'articolo Utilizzare le VPN di terze parti. Inoltre, alcuni modelli di configurazione dei dispositivi di terze parti sono disponibili per il download da Google Cloud Console. Per maggiori informazioni, consulta la pagina Scaricare un modello di configurazione VPN peer.

Per ulteriori informazioni su Cloud VPN, consulta le seguenti risorse:

  • Per le best practice da considerare prima di configurare Cloud VPN, consulta le best practice.

  • Per scoprire di più su Cloud VPN, consulta la panoramica di Cloud VPN.

  • Per le definizioni dei termini utilizzati in questa pagina, consulta Termini chiave.

Configurare le risorse gateway VPN esterne per la VPN ad alta disponibilità

Per la VPN ad alta disponibilità, devi configurare una risorsa gateway gateway VPN esterna che rappresenta il gateway peer fisico in Google Cloud. Puoi anche crearla come risorsa autonoma e utilizzarla in un secondo momento.

Per creare una risorsa gateway gateway VPN esterna, sono necessari i seguenti valori dal gateway peer fisico, che può anche essere un gateway basato su software di terze parti. Affinché la VPN venga stabilita, i valori per la risorsa gateway VPN esterna devono corrispondere alla configurazione sul gateway peer fisico:

  • Il numero di interfacce sul gateway VPN fisico
  • Indirizzo o indirizzi IP esterni per uno o più gateway o interfacce peer
  • Indirizzo o indirizzi endpoint endpoint BGP
  • Chiave IKE precondivisa (segreto condiviso)
  • Il numero ASN

Quando configuri le sessioni BGP per la VPN ad alta disponibilità e abiliti IPv6, hai la possibilità di configurare gli indirizzi dell'hop successivo IPv6. Se non li configuri manualmente, Google Cloud assegna automaticamente questi indirizzi hop successivi IPv6.

Per consentire il traffico IPv4 e IPv6 (doppio stack) nei tunnel VPN ad alta disponibilità, devi ottenere l'indirizzo hop successivo IPv6 assegnato al peer BGP. Quindi, devi configurare l'indirizzo hop successivo IPv6 quando configuri i tunnel VPN sul dispositivo VPN peer. Anche se configuri gli indirizzi IPv6 sulle interfacce del tunnel di ogni dispositivo, gli indirizzi IPv6 vengono utilizzati esclusivamente per la configurazione hop successivo IPv6. Le route IPv6 sono pubblicizzate tramite IPv6 NLRI su peering BGP IPv4. Per esempi di configurazione dell'indirizzo hop successivo IPv6, consulta Configurare le VPN di terze parti per il traffico IPv4 e IPv6.

Per creare una risorsa gateway VPN esterna autonoma, completa i seguenti passaggi.

Console

  1. In Google Cloud Console, vai alla pagina VPN.

    Vai a VPN

  2. Fai clic su Crea gateway VPN peer.

  3. Assegna al gateway peer un Nome.

  4. Seleziona il numero di interfacce del gateway peer fisico: one, two o four.

  5. Aggiungi l'indirizzo IP dell'interfaccia per ogni interfaccia sul gateway VPN fisico.

  6. Fai clic su Create (Crea).

gcloud

Quando esegui il comando seguente, inserisci l'ID interfaccia e l'indirizzo IP del gateway VPN fisico. Puoi inserire 1, 2 o 4 interfacce.

gcloud compute external-vpn-gateways create mygateway \
  --interfaces 0=35.254.128.120,1=35.254.128.121

L'output comando dovrebbe essere simile all'esempio seguente:

Creating external VPN gateway...done.
NAME       REDUNDANCY_TYPE
mygateway  TWO_IPS_REDUNDANCY

API

Per questo comando, puoi utilizzare questo elenco di tipi di ridondanza del gateway.

Fare una richiesta POST utilizzando il metodo externalVpnGateways.insert.

  POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
  {
    "name": "mygateway",
    "interfaces": [
      {
        "id": 0,
        "ipAddress": "35.254.128.120"
      },
      {
        "id": 1,
        "ipAddress": "35.254.128.121"
      },
    ],
    "redundancyType": "TWO_IPS_REDUNDANCY"
  }

Configura tunnel VPN

Per creare i tunnel corrispondenti per ciascun tunnel Cloud VPN che hai creato, consulta la documentazione del gateway VPN peer.

Per la VPN ad alta disponibilità, configura due tunnel sul gateway peer. Un tunnel sul gateway peer deve corrispondere al tunnel Cloud VPN su interface 0. Un altro tunnel sul gateway peer deve corrispondere al tunnel Cloud VPN su interface 1.

Ogni tunnel sul gateway peer deve utilizzare anche un indirizzo IP esterno univoco da utilizzare per il gateway VPN ad alta disponibilità.

Configura le sessioni BGP per il routing dinamico

Solo per il routing dinamico, configura il tuo gateway VPN peer per supportare le sessioni BGP per le subnet peer che vuoi pubblicizzare sul router Cloud.

Per configurare il gateway peer, utilizza gli ASN e gli indirizzi IP del tuo router Cloud e le informazioni del tuo gateway Cloud VPN. Per ottenere l'ASN Google, gli ASN di rete peer configurati e gli indirizzi IP BGP, utilizza le informazioni di riepilogo del router Cloud.

Se stai configurando una VPN ad alta disponibilità per consentire il traffico IPv4 e IPv6 (doppio stack), devi configurare il gateway peer con l'indirizzo hop successivo IPv6 assegnato al peer BGP.

Per la VPN ad alta disponibilità, l'ASN di Google, che è l'ASN peer dal punto di vista del gateway VPN peer, è lo stesso per entrambi i tunnel.

Facoltativamente, puoi configurare le tue sessioni BGP in modo da utilizzare l'autenticazione MD5.

Configurazione delle regole del firewall

Per le connessioni VPN ad alta disponibilità che utilizzano IPv6, devi configurare i firewall in modo da consentire il traffico IPv6. Il supporto della VPN ad alta disponibilità per IPv6 è in anteprima.

Per istruzioni sulla configurazione delle regole firewall per la rete peer, consulta Configurare le regole firewall.

Configura IKE

Puoi configurare IKE sul gateway VPN peer per il routing dinamico, basato sulle route e basato su criteri.

I tunnel VPN ad alta disponibilità devono utilizzare IKE v2 per supportare il traffico IPv6. Il supporto della VPN ad alta disponibilità per IPv6 è in anteprima.

Per configurare il gateway VPN e il tunnel peer per IKE, utilizza i parametri nella tabella seguente.

Per informazioni sulla connessione di Cloud VPN ad alcune soluzioni VPN di terze parti, consulta Utilizzo di VPN di terze parti con Cloud VPN. Per informazioni sulla crittografia IPsec e sulle impostazioni di autenticazione, vedi Crittografia IKE supportata.

Per IKEv1 e IKEv2

Impostazione Valore
Modalità IPsec Modalità ESP + Tunnel di autenticazione (site-to-site)
Protocollo di autenticazione psk
Secret condiviso Nota anche come chiave pre-condivisa IKE. Scegli una password efficace seguendo queste linee guida. La chiave precondivisa è sensibile perché consente l'accesso alla tua rete.
Avvia auto (se il dispositivo peer si interrompe, dovrebbe riavviare automaticamente la connessione)
PFS (Perfect Forward Secrecy) on
DPD (Dead Peer Detection) Consigliato: Aggressive. DPD rileva quando la VPN si riavvia e utilizza tunnel alternativi per instradare il traffico.
INITIAL_CONTACT
(a volte chiamato uniqueids)
Consigliato: on (a volte chiamato restart). Scopo: rilevare i riavvii più velocemente in modo da ridurre il tempo di inattività percepito.
TSi (Selettore di traffico - Iniziatore)

Reti di subnet: gli intervalli specificati dal flag --local-traffic-selector. Se --local-traffic-selector non è specificato perché la VPN è in una rete VPC in modalità automatica e annuncia solo la subnet del gateway, viene utilizzato tale intervallo di subnet.

Reti precedenti: l'intervallo della rete.

TSr (selettore di traffico - Risponditore)

IKEv2: gli intervalli di destinazione di tutti i percorsi per cui è stato impostato --next-hop-vpn-tunnel in questo tunnel.

IKEv1: arbitralmente, l'intervallo di destinazione di una delle route per cui è stato impostato --next-hop-vpn-tunnel in questo tunnel.

MTU L'unità massima di trasmissione (MTU) del dispositivo VPN peer non deve superare i 1460 byte. Attiva la frammentazione sul dispositivo in modo che i pacchetti vengano frammentati prima e quindi incapsulati. Per ulteriori informazioni, consulta le considerazioni relative a MTU.

Parametri aggiuntivi solo per IKEv1

Impostazione Valore
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
Algoritmo PFS Gruppo 2 (MODP_1024)

Configurazione dei selettori di traffico

Per supportare il traffico IPv4 e IPv6, imposta i selettori di traffico sul gateway VPN peer su 0.0.0.0/0,::/0. Il supporto della VPN ad alta disponibilità per IPv6 è in anteprima.

Per supportare solo il traffico IPv4, imposta i selettori di traffico sul gateway VPN peer su 0.0.0.0/0.

Passaggi successivi