Creare un gateway VPN classica mediante routing statico

Questa pagina descrive come utilizzare il routing statico per creare un gateway VPN classica e un tunnel. Questo tunnel è un tunnel basato su criteri o su route.

Con la VPN basata su route, specifichi solo il selettore di traffico remoto. Se devi specificare un selettore di traffico locale, crea un tunnel Cloud VPN che utilizzi routing basato su criteri.

La VPN classica non supporta IPv6.

Per ulteriori informazioni su Cloud VPN, consulta le seguenti risorse:

Per le best practice da considerare prima di configurare Cloud VPN, consulta la sezione Best practice.
Per ulteriori informazioni su Cloud VPN, consulta la panoramica di Cloud VPN.
Per le definizioni dei termini utilizzati in questa pagina, consulta la sezione Termini chiave.

Opzioni di routing

Quando utilizzi la console Google Cloud per creare un tunnel basato su criteri, VPN classica esegue le seguenti attività:

Imposta il selettore di traffico locale del tunnel sull'intervallo IP che specifichi.
Imposta il selettore di traffico remoto del tunnel sugli intervalli IP che specifichi nel campo Intervalli IP della rete remota.
Per ogni intervallo in Intervalli IP della rete remota, Google Cloud crea una route statica personalizzata la cui destinazione (prefisso) è il CIDR dell'intervallo e il cui hop successivo è il tunnel.

Dopo aver creato un tunnel VPN classica basato su criteri, gli intervalli IP inseriti nel campo Intervalli IP di rete remota vengono visualizzati come Intervalli IP pubblicizzati nella pagina dei dettagli del tunnel VPN.

Quando utilizzi la console Google Cloud per creare un tunnel basato su route, VPN classicaN esegue le seguenti attività:

Imposta i selettori del traffico locale e remoto del tunnel su qualsiasi indirizzo IP (0.0.0.0/0).
Per ogni intervallo in Intervalli IP rete remota, Google Cloud crea una route statica personalizzata la cui destinazione (prefisso) è il CIDR dell'intervallo e il cui hop successivo è il tunnel.

Quando utilizzi Google Cloud CLI per creare un tunnel basato su policy o un tunnel basato su route, i selettori di traffico per il tunnel vengono definiti nello stesso modo. Tuttavia, poiché la creazione di route statiche personalizzate viene eseguita con comandi separati, hai un maggiore controllo su queste route.

Il numero di CIDR che puoi specificare in un selettore di traffico dipende dalla versione di IKE.

Per informazioni di base importanti, consulta le seguenti risorse:

Prima di iniziare

Configura i seguenti elementi in Google Cloud per semplificare la configurazione di Cloud VPN:

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Per inizializzare gcloud CLI, esegui questo comando:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Per inizializzare gcloud CLI, esegui questo comando:

gcloud init

Se utilizzi Google Cloud CLI, imposta l'ID progetto con il seguente comando. Le istruzioni gcloud in questa pagina presuppongono che tu abbia impostato l'ID progetto prima di eseguire i comandi.
```
    gcloud config set project PROJECT_ID
    
```

Puoi anche visualizzare un ID progetto già impostato eseguendo questo comando:
```
    gcloud config list --format='text(core.project)'
    
```

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Autorizzazioni

compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.targetVpnGateways.create
compute.targetVpnGateways.delete
compute.targetVpnGateways.use
compute.targetVpnGateways.setLabels

Ruoli

roles/compute.networkAdmin

Crea una rete VPC e una subnet personalizzate

Prima di creare un gateway e un tunnel VPN classica, crea una rete Virtual Private Cloud (VPC) e almeno una subnet nella Google Cloud regione in cui si trova il gateway VPN classica.

Per creare una rete VPC in modalità personalizzata (opzione consigliata), consulta Creare una rete VPC in modalità personalizzata.
Per creare subnet, consulta Utilizzare le subnet.

Crea un gateway e un tunnel

Console

Configurare il gateway

Nella console Google Cloud , vai alla pagina VPN.

Vai alla VPN
Se crei un gateway per la prima volta, fai clic su Crea connessione VPN.
Seleziona la Configurazione guidata VPN.
Seleziona il pulsante di opzione VPN classica.
Fai clic su Continua.
Nella pagina Crea una connessione VPN, specifica le seguenti impostazioni del gateway:
- Nome: il nome del gateway VPN. Il nome non può essere modificato in un secondo momento.
- Descrizione: (facoltativo) aggiungi una descrizione.
- Rete: specifica una rete VPC esistente in cui creare il gateway VPN e il tunnel.
- Regione: i gateway e i tunnel Cloud VPN sono oggetti regionali. Scegli una regioneGoogle Cloud in cui si troverà il gateway. Le istanze e altre risorse in regioni diverse possono utilizzare il tunnel per il traffico in uscita in base all'ordine delle route. Per ottenere le prestazioni migliori, individua il gateway e il tunnel nella stessa regione delle risorse Google Cloud pertinenti.
- Indirizzo IP: crea o scegli un indirizzo IP esterno regionale esistente.

Configurare i tunnel

Per il nuovo tunnel, nella sezione Tunnel, specifica le seguenti impostazioni:
- Nome: il nome del tunnel VPN. Il nome non può essere modificato in un secondo momento.
- Descrizione: (facoltativo) digita una descrizione.
- Indirizzo IP peer remoto: specifica l'indirizzo IP esterno del gateway VPN peer.
- Versione IKE: scegli la versione IKE appropriata supportata dal gateway VPN peer. IKEv2 è preferito se è supportato dal dispositivo peer.
  Problema noto: quando configuri tunnel VPN su AWS, utilizza il protocollo di crittografia IKEv2 e seleziona meno set di trasformazione sul lato AWS; in caso contrario, il tunnel Cloud VPN potrebbe non riuscire a eseguire il rekey. Ad esempio, seleziona una combinazione di algoritmi di crittografia di fase 1 e fase 2, algoritmi di integrità e numeri di gruppo DH.
  
  Questo problema di riassegnazione delle chiavi è causato da una dimensione del payload di Security Association (SA) elevata per il set predefinito di set di trasformazione AWS. Questa dimensione del payload elevata comporta la frammentazione IP dei pacchetti IKE sul lato AWS, che Cloud VPN non supporta.
- Chiave precondivisa IKE: fornisci una chiave precondivisa (segreto condiviso) utilizzata per l'autenticazione. La chiave precondivisa per il tunnel Cloud VPN deve corrispondere a quella utilizzata quando configuri il tunnel corrispondente sul gateway VPN peer. Per generare una chiave precondivisa crittograficamente efficace, segui le istruzioni in Generare una chiave precondivisa efficace.
Per i tunnel basati su criteri
1. In Opzioni di routing, seleziona Basato su policy.
2. In Intervalli IP della rete remota, fornisci un elenco separato da spazi degli intervalli IP utilizzati dalla rete peer. Questo è il selettore di traffico remoto o il lato destro dal punto di vista di Cloud VPN.
  
  Dopo aver creato un tunnel VPN classica basato su criteri, gli intervalli IP inseriti nel campo Intervalli IP rete remota vengono visualizzati come Intervalli IP pubblicizzati nella pagina dei dettagli del tunnel VPN.
3. In Intervalli IP locali, seleziona uno dei seguenti metodi:
  - Per scegliere un intervallo IP locale esistente, utilizza il menu Subnet locali.
  - Per inserire un elenco di intervalli IP separati da spazi utilizzati nella rete VPC, utilizza il campo Intervalli IP locali. Per considerazioni importanti, consulta Tunnel basati su criteri e selettori di traffico.
Per i tunnel basati su route
1. Nella sezione Opzioni di routing, seleziona Basato sul percorso.
2. In Intervalli IP della rete remota, fornisci un elenco separato da spazi degli intervalli IP utilizzati dalla rete peer. Questi intervalli vengono utilizzati per creare route statiche personalizzate il cui hop successivo è questo tunnel VPN.
(Facoltativo) Seleziona la configurazione della crittografia. Seleziona Predefinito per le impostazioni di sicurezza automatiche e consigliate oppure Personalizzato per ordinare e configurare manualmente le cifrature. Per i passaggi su come configurare le cifrature, vedi Configurare le cifrature.
Se devi creare altri tunnel sullo stesso gateway, fai clic su Aggiungi tunnel e ripeti il passaggio precedente. Puoi anche aggiungere altri tunnel in un secondo momento.
Fai clic su Crea.

Configurare le cifrature

Puoi configurare le suite di crittografia quando crei tunnel Cloud VPN. Se non configuri le cifrature, il sistema utilizza i valori predefiniti. Per configurare le cifrature:

Vai alla sezione Selezione della crittografia VPN.
Seleziona Personalizzato.
Configura le cifrature per la fase 1 di IKE.
1. Nella riga Crittografia, fai clic su .
2. Nella sezione Nuova cifra, seleziona la cifra di crittografia.
3. Fai clic su Fine.
4. Per aggiungere altre cifrature, fai clic su Aggiungi cifratura e seleziona la cifratura, poi fai clic su Fine.
Nota: puoi modificare l'ordine di priorità delle cifrature utilizzando le frecce.
Fai clic su Salva.
Allo stesso modo, configura quanto segue:
- Integrità: nella riga Integrità, fai clic su , seleziona le cifrature e poi fai clic su Salva.
- PRF: nella riga PRF, fai clic su , seleziona le cifrature e poi fai clic su Salva.
- Diffie-Hellman (DH): nella riga Diffie-Hellman (DH), fai clic su , seleziona le cifrature e poi fai clic su Salva.
Fai clic su Salva.
Nella sezione Fase 2 di IKE, configura quanto segue:
- Crittografia: seleziona uno o più algoritmi di crittografia.
- Integrità: seleziona uno o più algoritmi di integrità.
- PFS: seleziona uno o più algoritmi PFS.
Fai clic su Salva.

gcloud

Per creare un gateway Cloud VPN, completa la seguente sequenza di comandi. Nei comandi, sostituisci quanto segue:

PROJECT_ID: l'ID del progetto
NETWORK: il nome della tua Google Cloud rete
REGION: la Google Cloud regione in cui crei il gateway e il tunnel
GW_NAME: il nome del gateway
GW_IP_NAME: un nome per l'indirizzo IP esterno utilizzato dal gateway
(Facoltativo) --target-vpn-gateway-region è la regione del gateway VPN classica su cui operare. Il suo valore deve essere uguale a --region. Se non specificata, questa opzione viene impostata automaticamente. Questa opzione sostituisce il valore predefinito della proprietà compute/region per questa chiamata di comando.

Configurare le risorse del gateway

Crea l'oggetto gateway VPN di destinazione:

gcloud compute target-vpn-gateways create GW_NAME \
   --network=NETWORK \
   --region=REGION \
   --project=PROJECT_ID

Prenota un indirizzo IP esterno (statico) regionale:

gcloud compute addresses create GW_IP_NAME \
   --region=REGION \
   --project=PROJECT_ID

Prendi nota dell'indirizzo IP (in modo da poterlo utilizzare quando configuri il gateway VPN peer):

gcloud compute addresses describe GW_IP_NAME \
   --region=REGION \
   --project=PROJECT_ID \
   --format='flattened(address)'

Crea tre regole di forwarding; queste regole indicano a Google Cloud di inviare il traffico ESP (IPsec), UDP 500 e UDP 4500 al gateway:

gcloud compute forwarding-rules create fr-GW_NAME-esp \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=ESP \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

gcloud compute forwarding-rules create fr-GW_NAME-udp500 \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=UDP \
   --ports=500 \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=UDP \
   --ports=4500 \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

Crea il tunnel Cloud VPN

Nei comandi, sostituisci quanto segue:
- TUNNEL_NAME: un nome per il tunnel
- ON_PREM_IP: l'indirizzo IP esterno del gateway VPN peer
- IKE_VERS: 1 per IKEv1 o 2 per IKEv2
  Problema noto: quando configuri tunnel VPN su AWS, utilizza il protocollo di crittografia IKEv2 e seleziona meno set di trasformazione sul lato AWS; in caso contrario, il tunnel Cloud VPN potrebbe non riuscire a eseguire il rekey. Ad esempio, seleziona una combinazione di algoritmi di crittografia di Fase 1 e Fase 2, algoritmi di integrità e numeri di gruppo DH.
  
  Questo problema di riassegnazione delle chiavi è causato da una dimensione del payload SA elevata per il set predefinito di set di trasformazione AWS. Questa dimensione del payload elevata comporta la frammentazione IP dei pacchetti IKE sul lato AWS, che Cloud VPN non supporta.
- SHARED_SECRET: la chiave precondivisa (segreto condiviso). La chiave precondivisa per il tunnel Cloud VPN deve corrispondere a quella utilizzata quando configuri il tunnel corrispondente sul gateway VPN peer. Per generare una chiave precondivisa crittograficamente efficace, segui le istruzioni in Generare una chiave precondivisa efficace.
- Di seguito sono riportati i parametri facoltativi per la configurazione degli algoritmi di crittografia. Se non specificato, il sistema utilizza i valori predefiniti.
  - PH1_ENCRYPT_ALGRTHS: un elenco separato da virgole di algoritmi di crittografia supportati per le negoziazioni dell'associazione di sicurezza (SA) IKE fase 1. Puoi elencare gli algoritmi nell'ordine di preferenza.
  - PH1_INTEGRITY_ALGRTHS: un elenco separato da virgole di algoritmi di integrità supportati per le negoziazioni IKE SA di fase 1. Puoi elencare gli algoritmi in ordine di preferenza.
  - PH1_PRF_ALGRTHS: un elenco separato da virgole di algoritmi di funzione pseudocasuale (PRF) supportati per le negoziazioni SA IKE di fase 1. Puoi elencare gli algoritmi nell'ordine di preferenza.
  - PH1_DH_GROUP: un elenco separato da virgole di algoritmi Diffie-Hellman (DH) supportati per le negoziazioni SA IKE di fase 1. Puoi elencare gli algoritmi in ordine di preferenza.
  - PH2_ENCRYPT_ALGRTHS: un elenco separato da virgole di algoritmi di crittografia supportati per le negoziazioni SA IKE di fase 2. Puoi elencare gli algoritmi in ordine di preferenza.
  - PH2_INTEGRITY_ALGRTHS: un elenco separato da virgole di algoritmi di integrità supportati per le negoziazioni SA IKE di fase 2. Puoi elencare gli algoritmi in ordine di preferenza.
  - PH2_PFS_ALGRTHS: un elenco separato da virgole degli algoritmi PFS supportati per le negoziazioni IKE SA di fase 2. Puoi elencare gli algoritmi in ordine di preferenza.
Per la VPN basata su criteri:
- LOCAL_IP_RANGES: un elenco delimitato da virgole degli intervalli IPGoogle Cloud . Ad esempio, puoi fornire il blocco CIDR per ogni subnet in una rete VPC. Questo è il lato sinistro dal punto di vista di Cloud VPN.
- REMOTE_IP_RANGES: un elenco delimitato da virgole degli intervalli di indirizzi IP della rete peer. Questo è il lato destro dal punto di vista di Cloud VPN.
Per configurare un tunnel VPN basato su policy, esegui questo comando:
```
gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=LOCAL_IP_RANGES \
    --remote-traffic-selector=REMOTE_IP_RANGES \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID
```
Per la VPN basata su route, i selettori di traffico locale e remoto sono 0.0.0.0/0 come definito in Opzioni di routing e selettori di traffico.

Per configurare un tunnel VPN basato su route, esegui questo comando:
```
gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=0.0.0.0/0 \
    --remote-traffic-selector=0.0.0.0/0 \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID
```
Puoi anche configurare gli algoritmi di crittografia per i tunnel basati su policy e su route. Ad esempio, per configurare gli algoritmi di crittografia per un tunnel basato su policy, esegui questo comando:
```
gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=LOCAL_IP_RANGES \
    --remote-traffic-selector=REMOTE_IP_RANGES \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID \
    --phase1-encryption=PH1_ENCRYPT_ALGRTHS \
    --phase1-integrity=PH1_INTEGRITY_ALGRTHS \
    --phase1-prf=PH1_PRF_ALGRTHS \
    --phase1-dh=PH1_DH_GROUP \
    --phase2-encryption=PH2_ENCRYPT_ALGRTHS \
    --phase2-integrity=PH2_INTEGRITY_ALGRTHS \
    --phase2-pfs=PH2_PFS_ALGRTHS
```
Per scoprire di più sugli algoritmi di crittografia supportati da Cloud VPN, consulta Crittografie IKE supportate.
Crea una route statica per ogni intervallo IP remoto specificato nell'opzione --remote-traffic-selector nel passaggio precedente. Ripeti questo comando per ogni intervallo IP remoto. Sostituisci ROUTE_NAME con un nome univoco per la route e sostituisci REMOTE_IP_RANGE con l'intervallo IP remoto appropriato.
```
gcloud compute routes create ROUTE_NAME \
    --destination-range=REMOTE_IP_RANGE \
    --next-hop-vpn-tunnel=TUNNEL_NAME \
    --network=NETWORK \
    --next-hop-vpn-tunnel-region=REGION \
    --project=PROJECT_ID
```
Nota: il comando gcloud per creare una route utilizza la priorità predefinita 1000. Se devi creare una route con priorità più elevata, utilizza il flag --priority con un numero inferiore quando crei la route. Non puoi modificare la priorità di una route dopo che è stata creata. Tuttavia, puoi eliminare e sostituire la route statica personalizzata senza dover ricreare il tunnel VPN. Per informazioni dettagliate sul funzionamento delle route nella rete VPC, consulta Panoramica delle route e Ordine delle route.

Completare la configurazione

Prima di poter utilizzare un nuovo gateway Cloud VPN e il relativo tunnel VPN, completa i seguenti passaggi:

Configura il gateway VPN peer e il tunnel corrispondente. Per istruzioni, vedi quanto segue:
- Per indicazioni specifiche sulla configurazione di determinati dispositivi VPN peer, vedi Utilizzare VPN di terze parti.
- Per i parametri di configurazione generali, vedi Configurare il gateway VPN peer.
Configura le regole firewall in Google Cloud e nella tua rete peer in base alle esigenze.
Controlla lo stato del tunnel VPN e delle regole di inoltro.
Visualizza le route VPN andando alla tabella di routing del progetto e filtrando per Next hop type:VPN tunnel:

Vai a Route

Passaggi successivi

Per controllare quali indirizzi IP sono consentiti per i gateway VPN peer, consulta la sezione Limita gli indirizzi IP per i gateway VPN peer.
Per utilizzare scenari di alta disponibilità e throughput elevato o più scenari di subnet, consulta Configurazioni avanzate.
Per aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo di Cloud VPN, consulta la pagina Risoluzione dei problemi.