Questa pagina è stata tradotta dall'API Cloud Translation.

Creare un gateway VPN classica mediante routing statico

Questa pagina descrive come utilizzare il routing statico per creare un gateway VPN classica e un tunnel. Questo tunnel è basato su criteri o su route.

Con la VPN basata su route, specifichi solo il selettore di traffico remoto. Se devi specificare un selettore del traffico locale, crea un tunnel Cloud VPN che utilizzi il routing basato su criteri.

La VPN classica non supporta IPv6.

Per ulteriori informazioni su Cloud VPN, consulta le seguenti risorse:

Per le best practice da prendere in considerazione prima di configurare Cloud VPN, consulta Best practice.
Per ulteriori informazioni su Cloud VPN, consulta la panoramica di Cloud VPN.
Per le definizioni dei termini utilizzati in questa pagina, consulta Termini chiave.

Opzioni di routing

Quando utilizzi la console Google Cloud per creare un tunnel basato su criteri, la VPN classica esegue le seguenti attività:

Imposta il selettore del traffico locale del tunnel sull'intervallo IP specificato.
Imposta il selettore del traffico remoto del tunnel sugli intervalli IP specificati nel campo Intervalli IP della rete remota.
Per ogni intervallo in Intervalli IP della rete remota, Google Cloud viene creata una route statica personalizzata la cui destinazione (prefisso) è il CIDR dell'intervallo e il cui hop successivo è il tunnel.

Dopo aver creato un tunnel VPN classico basato su criteri, gli intervalli IP inseriti nel campo Intervalli IP della rete remota vengono visualizzati come Intervalli IP pubblicizzati nella pagina dei dettagli del tunnel VPN.

Quando utilizzi la console Google Cloud per creare un tunnel basato su route, la VPN classica esegue le seguenti attività:

Imposta i selettori del traffico locale e remoto del tunnel su qualsiasi indirizzo IP (0.0.0.0/0).
Per ogni intervallo in Intervalli IP della rete remota, Google Cloud viene creata una route statica personalizzata la cui destinazione (prefisso) è il CIDR dell'intervallo e il cui hop successivo è il tunnel.

Quando utilizzi Google Cloud CLI per creare un tunnel basato su criteri o un tunnel basato su route, i selettori di traffico per il tunnel vengono definiti nello stesso modo. Tuttavia, poiché la creazione di route statiche personalizzate viene eseguita con comandi separati, hai un maggiore controllo su queste route.

Il numero di CIDR che puoi specificare in un selettore di traffico dipende dalla versione di IKE.

Per informazioni di base importanti, consulta quanto segue:

Prima di iniziare

Configura i seguenti elementi in Google Cloud per semplificare la configurazione della VPN cloud:

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

Se utilizzi Google Cloud CLI, imposta l'ID progetto con il seguente comando. Le istruzioni gcloud in questa pagina presuppongono che tu abbia impostato l'ID progetto prima di emettere i comandi.
```
    gcloud config set project PROJECT_ID
    
```

Puoi anche visualizzare un ID progetto già impostato eseguendo il seguente comando:
```
    gcloud config list --format='text(core.project)'
    
```

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Autorizzazioni

compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.targetVpnGateways.create
compute.targetVpnGateways.delete
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.targetVpnGateways.use
compute.targetVpnGateways.setLabels

Ruoli

roles/compute.networkAdmin

Crea una rete e una subnet VPC personalizzate

Prima di creare un gateway e un tunnel VPN classico, crea una rete Virtual Private Cloud (VPC) e almeno una sottorete nella Google Cloud regione in cui si trova il gateway VPN classico.

Per creare una rete VPC in modalità personalizzata (opzione consigliata), consulta Creare una rete VPC in modalità personalizzata.
Per creare subnet, consulta Utilizzare le subnet.

Crea un gateway e un tunnel

Console

Configura il gateway

Nella console Google Cloud, vai alla pagina VPN.

Vai a VPN
Se stai creando un gateway per la prima volta, fai clic su Crea connessione VPN.
Seleziona la configurazione guidata VPN.
Seleziona il pulsante di opzione VPN classica.
Fai clic su Continua.
Nella pagina Crea una connessione VPN, specifica le seguenti impostazioni del gateway:
- Nome: il nome del gateway VPN. Il nome non può essere modificato in un secondo momento.
- Descrizione: se vuoi, aggiungi una descrizione.
- Rete: specifica una rete VPC esistente in cui creare il gateway e il tunnel VPN.
- Regione: i gateway e i tunnel Cloud VPN sono oggetti regionali. Scegli una Google Cloud regione in cui verrà collocato il gateway. Le istanze e altre risorse in regioni diverse possono utilizzare il tunnel per il traffico in uscita in base all'ordine delle route. Per ottenere le migliori prestazioni, posiziona il gateway e il tunnel nella stessa regione delle risorse Google Cloud pertinenti.
- Indirizzo IP: crea o scegli un indirizzo IP esterno regionale esistente.

Configurare i tunnel

Per il nuovo tunnel, nella sezione Tunnel, specifica le seguenti impostazioni:

Nome: il nome del tunnel VPN. Il nome non può essere modificato in un secondo momento.

Descrizione: se vuoi, digita una descrizione.

Indirizzo IP peer remoto: specifica l'indirizzo IP esterno del gateway VPN peer.

Versione IKE: scegli la versione IKE appropriata supportata dal gateway VPN peer. IKEv2 è preferibile se supportato dal dispositivo peer.
Problema noto: quando configuri i tunnel VPN su AWS, utilizza il protocollo di crittografia IKEv2 e seleziona meno set di trasformazione lato AWS; altrimenti, la ricodificazione del tunnel Cloud VPN potrebbe non riuscire. Ad esempio, seleziona una combinazione di singoli algoritmi di crittografia di fase 1 e 2, algoritmi di integrità e numeri di gruppo DH.

Questo problema di ricreazione della chiave è causato da un payload di associazioni di sicurezza (SA) di grandi dimensioni per il set predefinito di set di trasformazione AWS. Questa dimensione del payload elevata comporta la frammentazione IP dei pacchetti IKE lato AWS, che Cloud VPN non supporta.

Chiave IKE precondivisa: fornisci una chiave precondivisa (segreto condiviso) utilizzata per l'autenticazione. La chiave pre-condivisa per il tunnel Cloud VPN deve corrispondere a quella utilizzata per configurare il tunnel corrispondente sul gateway VPN peer. Per generare una chiave pre-condivisa di elevata sicurezza crittografica, segui queste istruzioni.

Per i tunnel basati su criteri

In Opzioni di routing, seleziona In base ai criteri.

In Intervalli IP della rete remota, fornisci un elenco separato da spazi degli intervalli IP utilizzati dalla rete peer. Si tratta del selettore del traffico remoto o del lato destro dal punto di vista di Cloud VPN.

Dopo aver creato un tunnel VPN classica basato su criteri, gli intervalli IP inseriti nel campo Intervalli IP della rete remota vengono visualizzati come Intervalli IP pubblicizzati nella pagina dei dettagli del tunnel VPN.

In Intervalli IP locali, seleziona uno dei seguenti metodi:

Per scegliere un intervallo IP locale esistente, utilizza il menu Subnet locali.

Per inserire un elenco di intervalli IP separati da spazi utilizzati nella rete VPC, utilizza il campo Intervalli IP locali. Per considerazioni importanti, consulta Tunnel e selettori di traffico basati su criteri.

Per i tunnel basati su route

In Opzioni di routing, seleziona In base al percorso.

In Intervalli IP della rete remota, fornisci un elenco separato da spazi degli intervalli IP utilizzati dalla rete peer. Questi intervalli vengono utilizzati per creare route statiche personalizzate il cui hop successivo è questo tunnel VPN.

Se devi creare altri tunnel sullo stesso gateway, fai clic su Aggiungi tunnel e ripeti il passaggio precedente. Puoi anche aggiungere altri tunnel in un secondo momento.

Fai clic su Crea.

Nota: Google Cloud crea automaticamente una route per ogni intervallo IP remoto specificato. La destinazione della route è l'intervallo IP remoto, l'hop successivo è impostato sul tunnel Cloud VPN e la priorità è 1000. Non puoi impostare la priorità di questo percorso creato automaticamente, ma puoi eliminarlo e sostituirlo. Se hai bisogno di un maggiore controllo sulla priorità delle route VPN, segui i passaggi dell'interfaccia a riga di comando gcloud.

gcloud
Per creare un gateway Cloud VPN, completa la seguente sequenza di comandi. Nei comandi, sostituisci quanto segue:

PROJECT_ID: l'ID del progetto

NETWORK: il nome della tua Google Cloud rete

REGION: la Google Cloud regione in cui crei il gateway e il tunnel

GW_NAME: il nome del gateway

GW_IP_NAME: un nome per l'indirizzo IP esterno utilizzato dal gateway

(Facoltativo) --target-vpn-gateway-region è la regione del gateway VPN classica su cui operare. Il valore deve essere uguale a --region. Se non specificata, questa opzione viene impostata automaticamente. Questa opzione sostituisce il valore predefinito della proprietà compute/region per l'invocazione di questo comando.

Configura le risorse del gateway

Crea l'oggetto gateway VPN di destinazione:

gcloud compute target-vpn-gateways create GW_NAME \ --network=NETWORK \ --region=REGION \ --project=PROJECT_ID

Prenota un indirizzo IP esterno (statico) regionale:

gcloud compute addresses create GW_IP_NAME \ --region=REGION \ --project=PROJECT_ID

Prendi nota dell'indirizzo IP (in modo da poterlo utilizzare quando configuri il gateway VPN peer):

gcloud compute addresses describe GW_IP_NAME \ --region=REGION \ --project=PROJECT_ID \ --format='flattened(address)'

Crea tre regole di inoltro che obblighino Google Cloud a inviare traffico ESP (IPsec), UDP 500 e UDP 4500 al gateway:

gcloud compute forwarding-rules create fr-GW_NAME-esp \ --load-balancing-scheme=EXTERNAL \ --network-tier=PREMIUM \ --ip-protocol=ESP \ --address=GW_IP_NAME \ --target-vpn-gateway=GW_NAME \ --region=REGION \ --project=PROJECT_ID

gcloud compute forwarding-rules create fr-GW_NAME-udp500 \ --load-balancing-scheme=EXTERNAL \ --network-tier=PREMIUM \ --ip-protocol=UDP \ --ports=500 \ --address=GW_IP_NAME \ --target-vpn-gateway=GW_NAME \ --region=REGION \ --project=PROJECT_ID

gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \ --load-balancing-scheme=EXTERNAL \ --network-tier=PREMIUM \ --ip-protocol=UDP \ --ports=4500 \ --address=GW_IP_NAME \ --target-vpn-gateway=GW_NAME \ --region=REGION \ --project=PROJECT_ID

Crea il tunnel Cloud VPN

Nei comandi, sostituisci quanto segue:

TUNNEL_NAME: un nome per il tunnel

ON_PREM_IP: l'indirizzo IP esterno del gateway VPN peer

IKE_VERS: 1 per IKEv1 o 2 per IKEv2
Problema noto: quando configuri i tunnel VPN su AWS, utilizza il protocollo di crittografia IKEv2 e seleziona meno set di trasformazione sul lato AWS; in caso contrario, la ricodificazione del tunnel Cloud VPN potrebbe non riuscire. Ad esempio, seleziona una combinazione di singoli algoritmi di crittografia di fase 1 e 2, algoritmi di integrità e numeri di gruppo DH.

Questo problema di ricreazione della chiave è causato da dimensioni del payload SA elevate per il set predefinito di set di trasformazione AWS. Questa dimensione del payload elevata comporta la frammentazione IP dei pacchetti IKE lato AWS, che Cloud VPN non supporta.

SHARED_SECRET: la tua chiave precondivisa (segreto condiviso). La chiave pre-condivisa per il tunnel Cloud VPN deve corrispondere a quella utilizzata per configurare il tunnel corrispondente sul gateway VPN peer. Per generare una chiave pre-condivisa di elevata sicurezza crittografica, segui queste istruzioni.

Per la VPN basata su criteri:

LOCAL_IP_RANGES: un elenco separato da virgole degli Google Cloud intervalli IP. Ad esempio, puoi fornire il blocco CIDR per ogni subnet in una rete VPC. Si tratta del lato sinistro dal punto di vista di Cloud VPN.

REMOTE_IP_RANGES: un elenco separato da virgole degli intervalli IP della rete peer. Si tratta del lato destro dal punto di vista di Cloud VPN.

Per configurare un tunnel VPN basato su criteri, esegui il seguente comando:

gcloud compute vpn-tunnels create TUNNEL_NAME \ --peer-address=ON_PREM_IP \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --local-traffic-selector=LOCAL_IP_RANGES \ --remote-traffic-selector=REMOTE_IP_RANGES \ --target-vpn-gateway=GW_NAME \ --region=REGION \ --project=PROJECT_ID

Per la VPN basata su route, i selettori di traffico locale e remoto sono 0.0.0.0/0 come definito in opzioni di routing e selettori di traffico.

Per configurare un tunnel VPN basato su route, esegui il seguente comando:

gcloud compute vpn-tunnels create TUNNEL_NAME \ --peer-address=ON_PREM_IP \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --local-traffic-selector=0.0.0.0/0 \ --remote-traffic-selector=0.0.0.0/0 \ --target-vpn-gateway=GW_NAME \ --region=REGION \ --project=PROJECT_ID

Crea una route statica per ogni intervallo IP remoto specificato nell'opzione --remote-traffic-selector del passaggio precedente. Ripeti questo comando per ogni intervallo IP remoto. Sostituisci ROUTE_NAME con un nome univoco per la route e REMOTE_IP_RANGE con l'intervallo IP remoto appropriato.

gcloud compute routes create ROUTE_NAME \ --destination-range=REMOTE_IP_RANGE \ --next-hop-vpn-tunnel=TUNNEL_NAME \ --network=NETWORK \ --next-hop-vpn-tunnel-region=REGION \ --project=PROJECT_ID

Nota: il comando gcloud per creare un percorso utilizza la priorità predefinita di 1000. Se devi creare un route con una priorità più alta, utilizza il flag --priority con un numero inferiore quando crei il route. Non puoi modificare la priorità di una route dopo che è stata creata. Tuttavia, puoi eliminare e sostituire la route statica personalizzata senza dover ricreare il tunnel VPN. Per informazioni dettagliate sul funzionamento delle route nella rete VPC, consulta Panoramica delle route e Ordine delle route.

Completare la configurazione

Prima di poter utilizzare un nuovo gateway Cloud VPN e il relativo tunnel VPN associato, completa i seguenti passaggi:

Configura il gateway VPN peer e il tunnel corrispondente. Per le istruzioni, consulta quanto segue:

Per indicazioni di configurazione specifiche per determinati dispositivi VPN peer, consulta Utilizzare VPN di terze parti.

Per i parametri di configurazione generali, vedi Configurare il gateway VPN peer.

Configura le regole firewall in Google Cloud e nella rete peer come richiesto.

Controlla lo stato del tunnel VPN e delle regole di inoltro.

Visualizza le route VPN andando alla tabella di routing del progetto e filtrando per Next hop type:VPN tunnel:

Vai a Route

Passaggi successivi

Per controllare quali indirizzi IP sono consentiti per i gateway VPN peer, consulta Limita gli indirizzi IP per i gateway VPN peer.

Per utilizzare scenari di alta disponibilità e ad alto throughput o scenari con più sottoreti, consulta Configurazioni avanzate.

Per aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo di Cloud VPN, consulta la sezione Risoluzione dei problemi.