Crea un gateway VPN classica utilizzando il routing statico

In questa pagina viene descritto come utilizzare il routing statico per creare un gateway VPN classica e un tunnel. Questo tunnel è basato su criteri o route.

Con la VPN basata su route, specifichi solo il selettore del traffico remoto. Se devi specificare un selettore di traffico locale, crea un tunnel Cloud VPN che utilizza il routing basato su criteri.

La VPN classica non supporta IPv6.

Per saperne di più su Cloud VPN, consulta le seguenti risorse:

Per le best practice da considerare prima di configurare Cloud VPN, consulta le best practice.
Per ulteriori informazioni su Cloud VPN, consulta la panoramica di Cloud VPN.
Per le definizioni dei termini utilizzati in questa pagina, consulta la sezione Termini chiave.

Opzioni di routing

Quando utilizzi la console Google Cloud per creare un tunnel basato su criteri, la VPN classica esegue le seguenti attività:

Imposta il selettore del traffico locale del tunnel sull'intervallo IP da te specificato.
Imposta il selettore del traffico remoto del tunnel sugli intervalli IP specificati nel campo Intervalli IP di rete remota.
Per ogni intervallo negli intervalli IP della rete remota, Google Cloud crea una route statica personalizzata la cui destinazione (prefisso) è il CIDR dell'intervallo e il cui hop successivo è il tunnel.

Dopo aver creato un tunnel VPN classica basato su criteri, gli intervalli IP inseriti nel campo Intervalli IP di rete remota vengono visualizzati come Intervalli IP annunciati nella pagina dei dettagli del tunnel VPN.

Quando utilizzi la console Google Cloud per creare un tunnel basato su route, la VPN classica esegue le seguenti attività:

Imposta i selettori del traffico locale e remoto del tunnel su qualsiasi indirizzo IP (0.0.0.0/0).
Per ogni intervallo negli intervalli IP della rete remota, Google Cloud crea una route statica personalizzata la cui destinazione (prefisso) è il CIDR dell'intervallo e il cui hop successivo è il tunnel.

Quando utilizzi Google Cloud CLI per creare un tunnel basato su criteri o su route, i selettori del traffico per il tunnel sono definiti nello stesso modo. Tuttavia, poiché la creazione di route statiche personalizzate viene eseguita con comandi separati, hai un maggiore controllo su queste route.

Il numero di CIDR che puoi specificare in un selettore di traffico dipende dalla versione IKE.

Per informazioni di base importanti, consulta le seguenti risorse:

Prima di iniziare

Configura i seguenti elementi in Google Cloud per semplificare la configurazione di Cloud VPN:

Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.

Vai al selettore progetti

Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

Installa Google Cloud CLI.

Per initialize gcloud CLI, esegui questo comando:

gcloud init

Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.

Vai al selettore progetti

Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

Installa Google Cloud CLI.

Per initialize gcloud CLI, esegui questo comando:

gcloud init

Se utilizzi Google Cloud CLI, imposta l'ID progetto con il comando seguente. Le istruzioni gcloud in questa pagina presuppongono che l'ID progetto sia stato impostato prima di inviare i comandi.
```
    gcloud config set project PROJECT_ID
    
```

Puoi anche visualizzare un ID progetto già impostato eseguendo questo comando:
```
    gcloud config list --format='text(core.project)'
    
```

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Autorizzazioni

compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.targetVpnGateways.create
compute.targetVpnGateways.delete
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.targetVpnGateways.use
compute.targetVpnGateways.setLabels

Ruoli

roles/compute.networkAdmin

Crea una rete VPC e una subnet personalizzate

Prima di creare un gateway e un tunnel VPN classica, crea una rete Virtual Private Cloud (VPC) e almeno una subnet nella regione in cui si trova il gateway VPN classica:

Per creare una rete VPC in modalità personalizzata (opzione consigliata), consulta Creare una rete VPC in modalità personalizzata.
Per creare le subnet, consulta Utilizzo delle subnet.

Crea un gateway e un tunnel

Console

Configura il gateway

Nella console Google Cloud, vai alla pagina VPN.

Vai alla VPN
Se è la prima volta che crei un gateway, fai clic su Crea connessione VPN.
Seleziona la Configurazione guidata VPN.
Seleziona il pulsante di opzione VPN classica.
Fai clic su Continua.
Nella pagina Crea una connessione VPN, specifica le seguenti impostazioni del gateway:
- Nome: il nome del gateway VPN. Il nome non può essere modificato in un secondo momento.
- Descrizione: se vuoi, aggiungi una descrizione.
- Rete: specifica una rete VPC esistente in cui creare il gateway e il tunnel VPN.
- Regione: i gateway e i tunnel Cloud VPN sono oggetti a livello di regione. Scegli una regione Google Cloud in cui si troverà il gateway. Le istanze e altre risorse in regioni diverse possono utilizzare il tunnel per il traffico in uscita in base all'ordine delle route. Per ottenere le migliori prestazioni, individua il gateway e il tunnel nella stessa regione delle risorse Google Cloud pertinenti.
- Indirizzo IP: crea o scegli un indirizzo IP esterno a livello di regione esistente.

Configura i tunnel

Per il nuovo tunnel, nella sezione Tunnel, specifica le seguenti impostazioni:
- Nome: il nome del tunnel VPN. Il nome non può essere modificato in un secondo momento.
- Descrizione: se vuoi, digita una descrizione.
- Indirizzo IP peer remoto: specifica l'indirizzo IP esterno del gateway VPN peer.
- Versione IKE: scegli la versione IKE appropriata supportata dal gateway VPN peer. È preferibile IKEv2 se supportato dal dispositivo peer.
  Problema noto: quando configuri i tunnel VPN in AWS, utilizza il protocollo di crittografia IKEv2 e seleziona un numero inferiore di set di trasformazioni sul lato AWS. In caso contrario, è possibile che la nuova chiave del tunnel Cloud VPN non riesca. Ad esempio, seleziona una combinazione di algoritmi di crittografia a singolo e di fase 2, di algoritmi di integrità e di numeri di gruppi DH.
  
  Questo problema di rekeying è causato da una grande dimensione del payload di Security Association (SA) per il set predefinito di set AWS transform. Queste grandi dimensioni del payload comportano la frammentazione IP dei pacchetti IKE sul lato AWS, che non è supportata da Cloud VPN.
- Chiave precondivisa IKE: fornisci una chiave precondivisa (secret condivisa) utilizzata per l'autenticazione. La chiave precondivisa per il tunnel Cloud VPN deve corrispondere a quella utilizzata durante la configurazione del tunnel di controparte sul gateway VPN peer. Per generare una chiave precondivisa con efficacia crittografica, segui queste istruzioni.
Per i tunnel basati su criteri
1. In Opzioni di routing, seleziona Basato su criteri.
2. In Intervalli IP di reti remote, fornisci un elenco separato da spazi degli intervalli IP utilizzati dalla rete peer. Questo è il selettore remoto del traffico o il lato destro dal punto di vista di Cloud VPN.
  
  Dopo aver creato un tunnel VPN classica basato su criteri, gli intervalli IP inseriti nel campo Intervalli IP di rete remota vengono visualizzati come Intervalli IP annunciati nella pagina dei dettagli del tunnel VPN.
3. In Intervalli IP locali, seleziona uno dei seguenti metodi:
  - Per scegliere un intervallo IP locale esistente, utilizza il menu Subnet locali.
  - Per inserire un elenco di intervalli IP separati da spazi utilizzati nella rete VPC, utilizza il campo Intervalli IP locali. Per considerazioni importanti, consulta Tunnel basati su criteri e selettori di traffico.
Per i tunnel basati su route
1. In Opzioni di routing, seleziona Basato su route.
2. In Intervalli IP di reti remote, fornisci un elenco separato da spazi degli intervalli IP utilizzati dalla rete peer. Questi intervalli vengono utilizzati per creare route statiche personalizzate il cui hop successivo è questo tunnel VPN.
Se devi creare più tunnel sullo stesso gateway, fai clic su Aggiungi tunnel e ripeti il passaggio precedente. Puoi anche aggiungere altri tunnel in seguito.
Fai clic su Crea.

Nota: Google Cloud crea automaticamente una route per ogni intervallo IP remoto specificato. La destinazione della route è l'intervallo IP remoto, l'hop successivo è impostato sul tunnel Cloud VPN e la sua priorità è 1000. Non puoi impostare la priorità di questa route creata automaticamente, ma puoi eliminarla e sostituirla. Se hai bisogno di un maggiore controllo sulla priorità delle route VPN, segui i passaggi per gcloud CLI

gcloud

Per creare un gateway Cloud VPN, completa la sequenza di comando seguente. Nei comandi, sostituisci quanto segue:

PROJECT_ID: l'ID del progetto
NETWORK: il nome della tua rete Google Cloud
REGION: l'area geografica Google Cloud in cui crei il gateway e il tunnel
GW_NAME: il nome del gateway
GW_IP_NAME: un nome per l'indirizzo IP esterno utilizzato dal gateway
(Facoltativo) --target-vpn-gateway-region è la regione del gateway VPN classica su cui operare. Il suo valore dovrebbe essere uguale a --region. Se non specificata, questa opzione viene impostata automaticamente. Questa opzione sostituisce il valore predefinito della proprietà di calcolo/regione per la chiamata di questo comando.

Configura le risorse del gateway

Crea l'oggetto gateway VPN di destinazione:

gcloud compute target-vpn-gateways create GW_NAME \
   --network=NETWORK \
   --region=REGION \
   --project=PROJECT_ID

Prenota un indirizzo IP (statico) esterno a livello di regione:

gcloud compute addresses create GW_IP_NAME \
   --region=REGION \
   --project=PROJECT_ID

Prendi nota dell'indirizzo IP (per poterlo utilizzare durante la configurazione del gateway VPN peer):

gcloud compute addresses describe GW_IP_NAME \
   --region=REGION \
   --project=PROJECT_ID \
   --format='flattened(address)'

Crea tre regole di forwarding. Queste regole indicano a Google Cloud di inviare traffico ESP (IPsec), UDP 500 e UDP 4500 al gateway:

gcloud compute forwarding-rules create fr-GW_NAME-esp \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=ESP \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

gcloud compute forwarding-rules create fr-GW_NAME-udp500 \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=UDP \
   --ports=500 \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=UDP \
   --ports=4500 \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

Crea il tunnel Cloud VPN

Nei comandi, sostituisci quanto segue:
- TUNNEL_NAME: un nome per il tunnel
- ON_PREM_IP: l'indirizzo IP esterno del gateway VPN peer
- IKE_VERS: 1 per IKEv1 o 2 per IKEv2
  Problema noto: durante la configurazione di tunnel VPN su AWS, utilizza il protocollo di crittografia IKEv2 e seleziona meno set di trasformazione sul lato AWS; in caso contrario, il tunnel Cloud VPN potrebbe non eseguire l'operazione di rekey. Ad esempio, seleziona una combinazione di algoritmi di crittografia a singolo e di fase 2, di algoritmi di integrità e di numeri di gruppi DH.
  
  Questo problema di rekeying è causato da un payload SA di grandi dimensioni per il set predefinito di set AWS transform. Queste grandi dimensioni del payload comportano la frammentazione IP dei pacchetti IKE sul lato AWS, che non è supportata da Cloud VPN.
- SHARED_SECRET: la tua chiave precondivisa (segreto condiviso). La chiave precondivisa per il tunnel Cloud VPN deve corrispondere a quella utilizzata durante la configurazione del tunnel di controparte sul gateway VPN peer. Per generare una chiave precondivisa con efficacia crittografica, segui queste istruzioni.
Per la VPN basata su criteri:
- LOCAL_IP_RANGES: un elenco delimitato da virgole degli intervalli IP di Google Cloud. Ad esempio, puoi fornire il blocco CIDR per ogni subnet in una rete VPC. Questo è il lato sinistro dal punto di vista di Cloud VPN.
- REMOTE_IP_RANGES: un elenco delimitato da virgole di intervalli IP di reti peer. Questo è il lato destro dal punto di vista di Cloud VPN.
Per configurare un tunnel VPN basato su criteri, esegui questo comando:
```
gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=LOCAL_IP_RANGES \
    --remote-traffic-selector=REMOTE_IP_RANGES \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID
```
Per la VPN basata su route, entrambi i selettori del traffico locale e remoto sono 0.0.0.0/0, come definito nelle opzioni di routing e nei selettori del traffico.

Per configurare un tunnel VPN basato su route, esegui questo comando:
```
gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=0.0.0.0/0 \
    --remote-traffic-selector=0.0.0.0/0 \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID
```
Crea una route statica per ogni intervallo IP remoto specificato nell'opzione --remote-traffic-selector nel passaggio precedente. Ripeti questo comando per ogni intervallo IP remoto. Sostituisci ROUTE_NAME con un nome univoco per la route e sostituisci REMOTE_IP_RANGE con l'intervallo IP remoto appropriato.
```
gcloud compute routes create ROUTE_NAME \
    --destination-range=REMOTE_IP_RANGE \
    --next-hop-vpn-tunnel=TUNNEL_NAME \
    --network=NETWORK \
    --next-hop-vpn-tunnel-region=REGION \
    --project=PROJECT_ID
```
Nota: il comando gcloud per creare una route utilizza la priorità predefinita di 1000. Se devi creare una route con priorità più alta, utilizza il flag --priority con un numero inferiore quando crei la route. Non puoi modificare la priorità di una route dopo averla creata; tuttavia, puoi eliminare e sostituire la route statica personalizzata senza dover ricreare il tunnel VPN. Per maggiori dettagli sul funzionamento delle route nella tua rete VPC, vedi Panoramica delle route e Ordine delle route.

Completare la configurazione

Prima di poter utilizzare un nuovo gateway Cloud VPN e il relativo tunnel VPN, completa questi passaggi:

Imposta il gateway VPN peer e configura lì il tunnel corrispondente. Per le istruzioni, consulta le seguenti risorse:
- Per indicazioni specifiche sulla configurazione di determinati dispositivi VPN peer, consulta Utilizzare VPN di terze parti.
- Per i parametri di configurazione generali, consulta Configurare il gateway VPN peer.
Configura le regole firewall in Google Cloud e nella rete peer in base alle esigenze.
Controlla lo stato del tunnel VPN e delle regole di forwarding.
Visualizza le route VPN accedendo alla tabella di routing del progetto e filtrando per Next hop type:VPN tunnel:

Vai a Routes

Passaggi successivi

Per controllare quali indirizzi IP sono consentiti per i gateway VPN peer, consulta Limitare gli indirizzi IP per i gateway VPN peer.
Per utilizzare scenari di alta disponibilità e velocità effettiva elevata o scenari con più subnet, consulta Configurazioni avanzate.
Per aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo di Cloud VPN, consulta Risoluzione dei problemi.