Creazione di una VPN classica mediante routing statico

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

In questa pagina viene spiegato come utilizzare il routing statico per creare un gateway VPN classico e un tunnel. Questo tunnel è basato su criteri o route basato su route.

Con la VPN basata su route, specifichi solo il selettore del traffico remoto. Se devi specificare un selettore di traffico locale, crea un tunnel Cloud VPN che utilizzi il routing basato su criteri.

La VPN classica non supporta IPv6.

Per ulteriori informazioni su Cloud VPN, consulta le seguenti risorse:

  • Per le best practice da considerare prima di configurare Cloud VPN, consulta le best practice.

  • Per scoprire di più su Cloud VPN, consulta la panoramica di Cloud VPN.

  • Per le definizioni dei termini utilizzati in questa pagina, consulta Termini chiave.

Opzioni di routing

Quando utilizzi Google Cloud Console per creare un tunnel basato su criteri, la VPN classica esegue le seguenti attività:

  • Imposta il selettore del traffico locale del tunnel sull'intervallo IP specificato.
  • Imposta il selettore del traffico remoto del tunnel sugli intervalli IP specificati nel campo Intervalli IP rete remota.
  • Per ogni intervallo in Intervalli IP di rete remota, Google Cloud crea una route statica personalizzata la cui destinazione (prefisso) è il CIDR dell'intervallo e il cui hop successivo è il tunnel.

Dopo aver creato un tunnel VPN classico basato sui criteri, gli intervalli IP inseriti nel campo Intervalli IP di rete remota vengono visualizzati come Intervalli IP annunciati nella pagina dei dettagli del tunnel VPN.

Quando utilizzi Google Cloud Console per creare un tunnel basato su percorsi, la VPN classica esegue le seguenti attività:

  • Imposta i selettori del traffico locale e remoto del tunnel su qualsiasi indirizzo IP (0.0.0.0/0).
  • Per ogni intervallo in Intervalli IP di rete remota, Google Cloud crea una route statica personalizzata la cui destinazione (prefisso) è il CIDR dell'intervallo e il cui hop successivo è il tunnel.

Quando utilizzi Google Cloud CLI per creare un tunnel basato su criteri o un tunnel basato su percorso, i selettori di traffico per il tunnel vengono definiti allo stesso modo. Tuttavia, poiché la creazione di route statiche personalizzate viene eseguita con comandi separati, hai un maggiore controllo su tali route.

Il numero di CIDR che puoi specificare in un selettore di traffico dipende dalla versione di IKE.

Per informazioni importanti, consulta quanto segue:

Prima di iniziare

Imposta i seguenti elementi in Google Cloud per semplificare la configurazione di Cloud VPN:

  1. Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
  2. Nella pagina del selettore dei progetti in Google Cloud Console, seleziona o crea un progetto Google Cloud.

    Vai al selettore progetti

  3. Assicurati che la fatturazione sia attivata per il tuo progetto Cloud. Scopri come verificare se la fatturazione è abilitata su un progetto.

  4. Installa e inizializza Google Cloud CLI.
  5. Nella pagina del selettore dei progetti in Google Cloud Console, seleziona o crea un progetto Google Cloud.

    Vai al selettore progetti

  6. Assicurati che la fatturazione sia attivata per il tuo progetto Cloud. Scopri come verificare se la fatturazione è abilitata su un progetto.

  7. Installa e inizializza Google Cloud CLI.
  1. Se utilizzi Google Cloud CLI, imposta il tuo ID progetto con il comando seguente. Le istruzioni gcloud in questa pagina presuppongono che il tuo ID progetto sia stato impostato prima di inviare i comandi.

        gcloud config set project PROJECT_ID
        
  1. Puoi anche visualizzare un ID progetto già impostato eseguendo il comando seguente:

        gcloud config list --format='text(core.project)'
        

Crea una rete e una subnet VPC personalizzate

Prima di creare un gateway VPN classico e un tunnel, crea una rete VPC (Virtual Private Cloud) e almeno una subnet nella regione in cui si trova il gateway VPN classico:

Crea un gateway e un tunnel

La configurazione guidata di VPN è l'unica opzione della console per creare un gateway VPN classico. La procedura guidata include tutti i passaggi di configurazione richiesti per creare un gateway VPN classico, tunnel, sessioni BGP e una risorsa gateway VPN esterno. Tuttavia, puoi completare alcuni passaggi successivi, ad esempio configurare le sessioni BGP.

console

Configura il gateway

  1. In Google Cloud Console, vai alla pagina VPN.

    Vai a VPN

  2. Se stai creando un gateway per la prima volta, fai clic su Crea connessione VPN.

  3. Seleziona la Configurazione guidata VPN.

  4. Seleziona il pulsante di opzione VPN classica.

  5. Fai clic su Continua.

  6. Nella pagina Crea una connessione VPN, specifica le seguenti impostazioni del gateway:

    • Nome: il nome del gateway VPN. Il nome non potrà essere modificato in un secondo momento.
    • Descrizione: se vuoi, aggiungi una descrizione.
    • Rete: specifica una rete VPC esistente in cui creare il gateway e il tunnel VPN.
    • Regione: i gateway e i tunnel Cloud VPN sono oggetti a livello di regione. Scegli un'area geografica Google Cloud in cui si troverà il gateway. Le istanze e altre risorse in regioni diverse possono utilizzare il tunnel per il traffico in uscita soggetto all'ordine dei percorsi. Per ottenere prestazioni ottimali, individua il gateway e il tunnel nella stessa regione delle risorse Google Cloud pertinenti.
    • Indirizzo IP: crea o scegli un indirizzo IP esterno a livello di regione esistente.

Configura tunnel

  1. Per il nuovo tunnel, nella sezione Tunnel, specifica le seguenti impostazioni:

    • Nome: il nome del tunnel VPN. Il nome non potrà essere modificato in un secondo momento.
    • Descrizione: se vuoi, digita una descrizione.
    • Indirizzo IP peer remoto: specifica l'indirizzo IP esterno del gateway VPN peer.
    • Versione IKE: scegli la versione IKE appropriata supportata dal gateway VPN peer. IKEv2 è la soluzione preferita se è supportata dal dispositivo peer.
    • Chiave IKE precondivisa: fornisci una chiave precondivisa (segreto condiviso) utilizzata per l'autenticazione. La chiave precondivisa per il tunnel Cloud VPN deve corrispondere a quella utilizzata durante la configurazione del tunnel della controparte sul gateway VPN peer. Per generare una chiave pre-condivisa con crittografia efficace, segui queste indicazioni.

    Per i tunnel basati su criteri

    1. In Opzioni di routing, seleziona Basata su criteri.
    2. In Intervalli IP rete remota, fornisci un elenco separato da spazi degli intervalli IP utilizzati dalla rete peer. Si tratta del selettore di traffico remoto o del lato destro dal punto di vista di Cloud VPN.

      Dopo aver creato un tunnel VPN classico basato sui criteri, gli intervalli IP inseriti nel campo Intervalli IP di rete remota vengono visualizzati come Intervalli IP annunciati nella pagina dei dettagli del tunnel VPN.

    3. In Intervalli IP locali, seleziona uno dei seguenti metodi:

      • Per scegliere un intervallo IP locale esistente, utilizza il menu Subnet locali.
      • Per inserire un elenco di intervalli IP separati da spazi utilizzati nella rete VPC, utilizza il campo Intervalli IP locali. Per considerazioni importanti, consulta tunnel basati su criteri e selettori di traffico.

    Per i tunnel basati su route

    1. In Opzioni di routing, seleziona Basata su percorso.
    2. In Intervalli IP rete remota, fornisci un elenco separato da spazi degli intervalli IP utilizzati dalla rete peer. Questi intervalli vengono utilizzati per creare route statiche personalizzate il cui hop successivo è questo tunnel VPN.
  2. Se devi creare altri tunnel sullo stesso gateway, fai clic su Aggiungi tunnel e ripeti il passaggio precedente. Puoi anche aggiungere altri tunnel in un secondo momento.

  3. Fai clic su Crea.

gcloud

Per creare un gateway Cloud VPN, completa la sequenza di comando seguente. Nei comandi, sostituisci quanto segue:

  • PROJECT_ID: l'ID del tuo progetto
  • NETWORK: il nome della rete Google Cloud
  • REGION: l'area geografica Google Cloud in cui crei il gateway e il tunnel
  • GW_NAME: il nome del gateway
  • GW_IP_NAME: un nome per l'indirizzo IP esterno utilizzato dal gateway
  • Facoltativo: --target-vpn-gateway-region è l'area geografica del gateway VPN classico su cui operare. Il suo valore deve corrispondere a --region. Se non specificata, questa opzione viene impostata automaticamente. Questa opzione sostituisce il valore predefinito della proprietà compute/region per la chiamata a questo comando.

Configura le risorse gateway

  1. Crea l'oggetto gateway VPN di destinazione:

    gcloud compute target-vpn-gateways create GW_NAME \
       --network=NETWORK \
       --region=REGION \
       --project=PROJECT_ID
    
  2. Prenota un indirizzo IP esterno (statico) a livello di regione:

    gcloud compute addresses create GW_IP_NAME \
       --region=REGION \
       --project=PROJECT_ID
    
  3. Prendi nota dell'indirizzo IP (in modo da poterlo utilizzare quando configuri il gateway VPN peer):

    gcloud compute addresses describe GW_IP_NAME \
       --region=REGION \
       --project=PROJECT_ID \
       --format='flattened(address)'
    
  4. Crea tre regole di forwarding; queste regole indicano a Google Cloud di inviare il traffico ESP (IPsec), UDP 500 e UDP 4500 al gateway:

    gcloud compute forwarding-rules create fr-GW_NAME-esp \
       --load-balancing-scheme=EXTERNAL \
       --network-tier=PREMIUM \
       --ip-protocol=ESP \
       --address=GW_IP_NAME \
       --target-vpn-gateway=GW_NAME \
       --region=REGION \
       --project=PROJECT_ID
    
    gcloud compute forwarding-rules create fr-GW_NAME-udp500 \
       --load-balancing-scheme=EXTERNAL \
       --network-tier=PREMIUM \
       --ip-protocol=UDP \
       --ports=500 \
       --address=GW_IP_NAME \
       --target-vpn-gateway=GW_NAME \
       --region=REGION \
       --project=PROJECT_ID
    
    gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \
       --load-balancing-scheme=EXTERNAL \
       --network-tier=PREMIUM \
       --ip-protocol=UDP \
       --ports=4500 \
       --address=GW_IP_NAME \
       --target-vpn-gateway=GW_NAME \
       --region=REGION \
       --project=PROJECT_ID
    

Crea il tunnel Cloud VPN

  1. Nei comandi, sostituisci quanto segue:

    • TUNNEL_NAME: un nome per il tunnel.
    • ON_PREM_IP: l'indirizzo IP esterno del gateway VPN peer
    • IKE_VERS: 1 per IKEv1 o 2 per IKEv2
    • SHARED_SECRET: la tua chiave precondivisa (segreto condiviso). La chiave precondivisa per il tunnel Cloud VPN deve corrispondere a quella utilizzata durante la configurazione del tunnel della controparte sul gateway VPN peer. Per generare una chiave pre-condivisa con crittografia efficace, segui queste indicazioni.

    Per la VPN basata su criteri:

    • LOCAL_IP_RANGES: un elenco delimitato da virgole degli intervalli IP di Google Cloud. Ad esempio, puoi fornire il blocco CIDR per ogni subnet in una rete VPC. Questo è il lato sinistro dal punto di vista di Cloud VPN.
    • REMOTE_IP_RANGES: un elenco delimitato da virgole degli intervalli IP di rete peer. Questo è il lato destro dal punto di vista di Cloud VPN.

    Per configurare un tunnel VPN basato su criteri, esegui il comando seguente:

    gcloud compute vpn-tunnels create TUNNEL_NAME \
        --peer-address=ON_PREM_IP \
        --ike-version=IKE_VERS \
        --shared-secret=SHARED_SECRET \
        --local-traffic-selector=LOCAL_IP_RANGES \
        --remote-traffic-selector=REMOTE_IP_RANGES \
        --target-vpn-gateway=GW_NAME \
        --region=REGION \
        --project=PROJECT_ID
    

    Per la VPN basata su route, i selettori del traffico locale e remoto sono 0.0.0.0/0 come definito nelle opzioni di routing e nei selettori di traffico.

    Per configurare un tunnel VPN basato su route, esegui il comando seguente:

    gcloud compute vpn-tunnels create TUNNEL_NAME \
        --peer-address=ON_PREM_IP \
        --ike-version=IKE_VERS \
        --shared-secret=SHARED_SECRET \
        --local-traffic-selector=0.0.0.0/0 \
        --remote-traffic-selector=0.0.0.0/0 \
        --target-vpn-gateway=GW_NAME \
        --region=REGION \
        --project=PROJECT_ID
    
  2. Crea una route statica per ogni intervallo IP remoto specificato nell'opzione --remote-traffic-selector nel passaggio precedente. Ripeti questo comando per ogni intervallo IP remoto. Sostituisci ROUTE_NAME con un nome univoco per la route e REMOTE_IP_RANGE con l'intervallo IP remoto appropriato.

    gcloud compute routes create ROUTE_NAME \
        --destination-range=REMOTE_IP_RANGE \
        --next-hop-vpn-tunnel=TUNNEL_NAME \
        --network=NETWORK \
        --next-hop-vpn-tunnel-region=REGION \
        --project=PROJECT_ID
    

Completare la configurazione

Prima di poter utilizzare un nuovo gateway Cloud VPN e il tunnel VPN associato, completa i seguenti passaggi:

  1. Imposta il gateway VPN peer e qui il tunnel corrispondente. Per le istruzioni, consulta quanto segue:
  2. Configura le regole firewall in Google Cloud e nella rete peer a seconda delle esigenze.
  3. Controlla lo stato del tunnel VPN e delle regole di forwarding.
  4. Per visualizzare le route VPN, vai alla tabella di routing dei progetti e applica un filtro per Next hop type:VPN tunnel:

    Vai a Route

Passaggi successivi