Creazione di una VPN classica mediante routing statico

In questa pagina viene descritto come utilizzare il routing statico per creare un gateway VPN classico e un tunnel. Questo tunnel si basa su criteri o su route.

Con la VPN basata su route, devi specificare solo il selettore di traffico remoto. Se hai bisogno di specificare un selettore di traffico locale, crea un tunnel Cloud VPN che utilizzi invece il routing basato su criteri.

La VPN classica non supporta IPv6.

Per ulteriori informazioni su Cloud VPN, consulta le seguenti risorse:

Opzioni di routing

Quando utilizzi Google Cloud Console per creare un tunnel basato su criteri, la VPN classica esegue le seguenti attività:

  • Imposta il selettore del traffico locale del tunnel sull'intervallo IP specificato.
  • Imposta il selettore del traffico remoto del tunnel sugli intervalli IP specificati nel campo Intervalli IP rete remota.
  • Per ogni intervallo in Intervalli IP di rete remoti, Google Cloud crea una route statica personalizzata la cui destinazione (prefisso) è il CIDR dell'intervallo e il cui hop successivo è il tunnel.

Dopo aver creato un tunnel VPN classico basato su criteri, gli intervalli IP inseriti nel campo Intervalli IP rete remota vengono visualizzati come Intervalli IP pubblicizzati nella pagina dei dettagli del tunnel VPN.

Quando utilizzi la console per creare un tunnel basato su percorsi, la VPN classica esegue le seguenti attività:

  • Imposta i selettori del traffico locale e remoto del tunnel su qualsiasi indirizzo IP (0.0.0.0/0).
  • Per ogni intervallo in Intervalli IP di rete remoti, Google Cloud crea una route statica personalizzata la cui destinazione (prefisso) è il CIDR dell'intervallo e il cui hop successivo è il tunnel.

Quando utilizzi l'interfaccia a riga di comando Google Cloud per creare un tunnel basato su criteri o basato su percorso, i selettori di traffico per il tunnel vengono definiti allo stesso modo. Tuttavia, poiché la creazione di route statiche personalizzate viene eseguita con comandi separati, hai un maggiore controllo su tali route.

Il numero di CIDR che puoi specificare in un selettore di traffico dipende dalla versione IKE.

Per informazioni importanti, consulta quanto segue:

Prima di iniziare

Imposta i seguenti elementi in Google Cloud per semplificare la configurazione di Cloud VPN:

  1. Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
  2. Nella pagina del selettore dei progetti in Google Cloud Console, seleziona o crea un progetto Google Cloud.

    Vai al selettore progetti

  3. Assicurati che la fatturazione sia attivata per il tuo progetto Cloud. Scopri come verificare se la fatturazione è abilitata su un progetto.

  4. Installa e inizializza l'interfaccia a riga di comando di Google Cloud.
  5. Nella pagina del selettore dei progetti in Google Cloud Console, seleziona o crea un progetto Google Cloud.

    Vai al selettore progetti

  6. Assicurati che la fatturazione sia attivata per il tuo progetto Cloud. Scopri come verificare se la fatturazione è abilitata su un progetto.

  7. Installa e inizializza l'interfaccia a riga di comando di Google Cloud.
  1. Se utilizzi l'interfaccia a riga di comando di Google Cloud, imposta il tuo ID progetto con il comando seguente. Le istruzioni gcloud in questa pagina presuppongono che tu abbia impostato il tuo ID progetto prima di inviare i comandi.

        gcloud config set project PROJECT_ID
        
  1. Puoi anche visualizzare un ID progetto già impostato eseguendo questo comando:

        gcloud config list --format='text(core.project)'
        

Crea una rete VPC personalizzata e una subnet

Prima di creare un gateway e un tunnel VPN classica, crea una rete Virtual Private Cloud (VPC) e almeno una subnet nell'area geografica in cui si trova il gateway VPN classica:

Crea un gateway e un tunnel

La procedura guidata di configurazione della VPN è l'unica opzione della console per creare un gateway VPN classico. La procedura guidata include tutti i passaggi di configurazione necessari per creare un gateway VPN classico, tunnel, sessioni BGP e una risorsa gateway VPN esterno. Tuttavia, puoi completare alcuni passaggi in un secondo momento, ad esempio configurare le sessioni BGP.

console

Configura il gateway

  1. In Google Cloud Console, vai alla pagina VPN.

    Vai a VPN

  2. Se stai creando un gateway per la prima volta, fai clic su Crea connessione VPN.

  3. Seleziona Configurazione guidata VPN.

  4. Seleziona il pulsante di opzione VPN classica.

  5. Fai clic su Continua.

  6. Nella pagina Crea una connessione VPN, specifica le seguenti impostazioni del gateway:

    • Nome: il nome del gateway VPN. Il nome non può essere modificato in un secondo momento.
    • (Facoltativo) Descrizione: aggiungi una descrizione.
    • Rete: specifica una rete VPC esistente in cui creare il gateway e un tunnel VPN.
    • Area geografica: i gateway e i tunnel Cloud VPN sono oggetti a livello di area geografica. Scegli un'area geografica Google Cloud in cui si troverà il gateway. Le istanze e altre risorse in aree geografiche diverse possono utilizzare il tunnel per il traffico in uscita soggetto all'ordine dei percorsi. Per ottenere prestazioni ottimali, individua il gateway e il tunnel nella stessa area geografica delle risorse Google Cloud pertinenti.
    • Indirizzo IP: crea o scegli un indirizzo IP esterno a livello di area geografica esistente

Configura tunnel

  1. Per il nuovo tunnel, nella sezione Tunnel, specifica le seguenti impostazioni:

    • Nome: il nome del tunnel VPN. Il nome non può essere modificato in un secondo momento.
    • (Facoltativo) Descrizione: digita una descrizione.
    • Indirizzo IP peer remoto: specifica l'indirizzo IP esterno del gateway VPN peer.
    • Versione IKE: scegli la versione IKE appropriata supportata dal gateway VPN peer. IKEv2 è preferibile se è supportato dal dispositivo peer.
    • Chiave precondivisa IKE: fornisci una chiave precondivisa (segreta condivisa) utilizzata per l'autenticazione. La chiave precondivisa per il tunnel Cloud VPN deve corrispondere a quella utilizzata quando configuri il tunnel controparte sul gateway VPN peer. Per generare una chiave precondivisa criptata, segui queste istruzioni.

    Per tunnel basati su criteri

    1. Nella sezione Opzioni di routing, seleziona Basato su criteri.
    2. In Intervalli IP rete remota, fornisci un elenco separato da spazi degli intervalli IP utilizzati dalla rete peer. Si tratta del selettore del traffico remoto o della parte destra del punto di vista di Cloud VPN.

      Dopo aver creato un tunnel VPN classico basato su criteri, gli intervalli IP inseriti nel campo Intervalli IP rete remota vengono visualizzati come Intervalli IP pubblicizzati nella pagina dei dettagli del tunnel VPN.

    3. In Intervalli IP locali, seleziona uno dei seguenti metodi:

      • Per scegliere un intervallo IP locale esistente, utilizza il menu Subnet locali.
      • Per inserire un elenco di intervalli IP separati da spazi utilizzati nella rete VPC, utilizza il campo Intervalli IP locali. Per considerazioni importanti, consulta la sezione Tunnel basati su criteri e selettori di traffico.

    Per tunnel basati su percorso

    1. In Opzioni di routing, seleziona In base al percorso.
    2. In Intervalli IP rete remota, fornisci un elenco separato da spazi degli intervalli IP utilizzati dalla rete peer. Questi intervalli vengono utilizzati per creare route statiche personalizzate il cui hop successivo è questo tunnel VPN.
  2. Se devi creare altri tunnel sullo stesso gateway, fai clic su Aggiungi tunnel e ripeti il passaggio precedente. Puoi anche aggiungere altri tunnel in un secondo momento.

  3. Fai clic su Crea.

gcloud

Per creare un gateway Cloud VPN, completa la seguente sequenza di comando. Nei comandi, sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto
  • NETWORK: il nome della tua rete Google Cloud
  • REGION: l'area geografica Google Cloud in cui crei il gateway e il tunnel
  • GW_NAME: il nome del gateway
  • GW_IP_NAME: nome per l'indirizzo IP esterno utilizzato dal gateway
  • Facoltativo: il --target-vpn-gateway-region è l'area geografica del gateway VPN classico su cui operare. Il suo valore deve corrispondere a --region. Se non è specificata, questa opzione viene impostata automaticamente. Questa opzione sostituisce il valore predefinito della proprietà computing/area geografica per questa chiamata al comando.

Configura le risorse gateway

  1. Crea l'oggetto gateway VPN di destinazione:

    gcloud compute target-vpn-gateways create GW_NAME \
       --network=NETWORK \
       --region=REGION \
       --project=PROJECT_ID
    
  2. Prenota un indirizzo IP esterno (statico) a livello di area geografica:

    gcloud compute addresses create GW_IP_NAME \
       --region=REGION \
       --project=PROJECT_ID
    
  3. Prendi nota dell'indirizzo IP, in modo da poterlo utilizzare quando configuri il gateway VPN peer:

    gcloud compute addresses describe GW_IP_NAME \
       --region=REGION \
       --project=PROJECT_ID \
       --format='flattened(address)'
    
  4. Crea tre regole di forwarding; queste regole indicano a Google Cloud di inviare il traffico ESP (IPsec), UDP 500 e UDP 4500 al gateway:

    gcloud compute forwarding-rules create fr-GW_NAME-esp \
       --load-balancing-scheme=EXTERNAL \
       --network-tier=PREMIUM \
       --ip-protocol=ESP \
       --address=GW_IP_NAME \
       --target-vpn-gateway=GW_NAME \
       --region=REGION \
       --project=PROJECT_ID
    
    gcloud compute forwarding-rules create fr-GW_NAME-udp500 \
       --load-balancing-scheme=EXTERNAL \
       --network-tier=PREMIUM \
       --ip-protocol=UDP \
       --ports=500 \
       --address=GW_IP_NAME \
       --target-vpn-gateway=GW_NAME \
       --region=REGION \
       --project=PROJECT_ID
    
    gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \
       --load-balancing-scheme=EXTERNAL \
       --network-tier=PREMIUM \
       --ip-protocol=UDP \
       --ports=4500 \
       --address=GW_IP_NAME \
       --target-vpn-gateway=GW_NAME \
       --region=REGION \
       --project=PROJECT_ID
    

Crea il tunnel Cloud VPN

  1. Nei comandi, sostituisci quanto segue:

    • TUNNEL_NAME: un nome per il tunnel
    • ON_PREM_IP: l'indirizzo IP esterno del gateway VPN peer
    • IKE_VERS: 1 per IKEv1 o 2 per IKEv2
    • SHARED_SECRET: la tua chiave precondivisa (condivisa). La chiave precondivisa per il tunnel Cloud VPN deve corrispondere a quella utilizzata quando configuri il tunnel controparte sul gateway VPN peer. Per generare una chiave precondivisa criptata, segui queste istruzioni.

    Per la VPN basata su criteri:

    • LOCAL_IP_RANGES: un elenco delimitato da virgole degli intervalli IP di Google Cloud. Ad esempio, puoi fornire il blocco CIDR per ogni subnet in una rete VPC. Questo è il lato sinistro dal punto di vista di Cloud VPN.
    • REMOTE_IP_RANGES: un elenco delimitato da virgole di intervalli IP di rete peer. Questo è il lato destro dal punto di vista di Cloud VPN.

    Per configurare un tunnel VPN basato su criteri, esegui il comando seguente:

    gcloud compute vpn-tunnels create TUNNEL_NAME \
        --peer-address=ON_PREM_IP \
        --ike-version=IKE_VERS \
        --shared-secret=SHARED_SECRET \
        --local-traffic-selector=LOCAL_IP_RANGES \
        --remote-traffic-selector=REMOTE_IP_RANGES \
        --target-vpn-gateway=GW_NAME \
        --region=REGION \
        --project=PROJECT_ID
    

    Per la VPN basata su route, i selettori del traffico locale e remoto sono 0.0.0.0/0 come definito nelle opzioni di routing e nei selettori del traffico.

    Per configurare un tunnel VPN basato su route, esegui il comando seguente:

    gcloud compute vpn-tunnels create TUNNEL_NAME \
        --peer-address=ON_PREM_IP \
        --ike-version=IKE_VERS \
        --shared-secret=SHARED_SECRET \
        --local-traffic-selector=0.0.0.0/0 \
        --remote-traffic-selector=0.0.0.0/0 \
        --target-vpn-gateway=GW_NAME \
        --region=REGION \
        --project=PROJECT_ID
    
  2. Crea una route statica per ciascun intervallo IP remoto specificato nell'opzione --remote-traffic-selector nel passaggio precedente. Ripeti questo comando per ogni intervallo IP remoto. Sostituisci ROUTE_NAME con un nome univoco per la route e REMOTE_IP_RANGE con l'intervallo IP remoto appropriato.

    gcloud compute routes create ROUTE_NAME \
        --destination-range=REMOTE_IP_RANGE \
        --next-hop-vpn-tunnel=TUNNEL_NAME \
        --network=NETWORK \
        --next-hop-vpn-tunnel-region=REGION \
        --project=PROJECT_ID
    

Completare la configurazione

Prima di poter utilizzare un nuovo gateway Cloud VPN e il tunnel VPN associato, completa i seguenti passaggi:

  1. impostare il gateway VPN peer e configurare il tunnel corrispondente. Per istruzioni, consulta quanto segue:
  2. Configura le regole firewall in Google Cloud e nella tua rete peer in base alle tue esigenze.
  3. Verifica lo stato del tunnel VPN e delle regole di forwarding.
  4. Visualizza le route VPN andando alla tabella di routing dei progetti e filtrando per Next hop type:VPN tunnel:

    Vai a Route

Applica un vincolo dei criteri dell'organizzazione che limita gli indirizzi IP del gateway VPN peer

Puoi creare un vincolo del criterio dell'organizzazione Google Cloud che definisce un insieme di indirizzi IP consentiti o negati ai gateway VPN peer tramite tunnel VPN classici o VPN ad alta disponibilità. Questo vincolo contiene una lista consentita o una lista bloccata di questi indirizzi IP peer, che diventa effettiva per i tunnel Cloud VPN che crei dopo l'applicazione del vincolo. Per maggiori dettagli, consulta Limitazione degli indirizzi IP peer tramite un tunnel Cloud VPN.

Per creare un criterio dell'organizzazione e associarlo a un'organizzazione, a una cartella o a un progetto, utilizza gli esempi elencati nelle sezioni successive e segui la procedura descritta in Utilizzare i vincoli.

Autorizzazioni obbligatorie

Per impostare un vincolo di indirizzo IP peer a livello di organizzazione o di progetto, devi prima ricevere il ruolo Amministratore criteri dell'organizzazione (roles/orgpolicy.policyAdmin).

Limita la connettività da indirizzi IP peer specifici

Per consentire solo indirizzi IP peer specifici attraverso un tunnel Cloud VPN, esegui i passaggi seguenti:

  1. Trova il tuo ID organizzazione eseguendo questo comando:
    gcloud organizations list

    L'output comando dovrebbe essere simile all'esempio seguente:

          DISPLAY NAME             ID
          example-organization     29252605212
        
  2. Crea un file JSON che definisca il tuo criterio, come nell'esempio seguente:

         {
           "constraint": "constraints/compute.restrictVpnPeersIPs",
           "listPolicy": {
             "allowedValues": [
               "100.1.1.1",
             ],
           }
         }
       
  3. Imposta il criterio dell'organizzazione utilizzando il comando gcloud di set-policy di Resource Manager, passando il file JSON e utilizzando ORGANIZATION_ID che hai trovato nel passaggio precedente.

Limita la connettività da qualsiasi indirizzo IP peer

Per vietare la creazione di nuovi tunnel Cloud VPN, segui i passaggi in questo vincolo di esempio:

  1. Trova l'ID organizzazione o l'ID per il nodo nella gerarchia delle risorse in cui vuoi impostare un criterio.
  2. Crea un file JSON come nell'esempio seguente:

        {
          "constraint": "constraints/compute.restrictVpnPeersIPs",
          "listPolicy": {
            "allValues": "DENY"
          }
        }
    
  3. Passa il file JSON eseguendo lo stesso comando che useresti per limitare indirizzi IP peer specifici.

Passaggi successivi

  • Per utilizzare scenari ad alta disponibilità e alta velocità effettiva o più scenari di subnet, consulta Configurazioni avanzate.
  • Per risolvere i problemi comuni che potresti riscontrare quando utilizzi Cloud VPN, consulta la sezione Risoluzione dei problemi.