Questa pagina è stata tradotta dall'API Cloud Translation.

Configura il gateway VPN peer

Questa pagina descrive i passaggi per completare la configurazione della VPN.

Per completare la configurazione, configura le seguenti risorse sul gateway VPN peer:

Tunnel VPN corrispondenti a Cloud VPN
Sessioni Border Gateway Protocol (BGP) se utilizzi il routing dinamico con router Cloud
Regole firewall
Impostazioni IKE

Per le best practice per la configurazione del gateway peer, consulta la documentazione o il produttore del gateway peer. Per le guide che descrivono alcuni dispositivi e servizi VPN di terze parti supportati, consulta Utilizzare VPN di terze parti. Inoltre, alcuni modelli di configurazione dei dispositivi di terze parti sono disponibili per il download dalla console Google Cloud. Per ulteriori informazioni, consulta Scaricare un modello di configurazione VPN peer.

Per ulteriori informazioni su Cloud VPN, consulta le seguenti risorse:

Per le best practice da prendere in considerazione prima di configurare Cloud VPN, consulta Best practice.
Per ulteriori informazioni su Cloud VPN, consulta la panoramica di Cloud VPN.
Per le definizioni dei termini utilizzati in questa pagina, consulta Termini chiave.

Configura le risorse gateway VPN peer esterno per la VPN ad alta disponibilità

Per la VPN ad alta disponibilità, configuri una risorsa gateway VPN peer esterno che rappresenta il tuo gateway peer fisico in Google Cloud. Puoi anche creare questa risorsa come risorsa autonoma e utilizzarla in un secondo momento.

Per creare una risorsa gateway VPN peer esterno, devi disporre dei seguenti valori dal tuo gateway peer fisico, che può anche essere un gateway basato su software di terze parti. Affinché la VPN venga stabilita, i valori della risorsa gateway VPN peer esterno devono corrispondere alla configurazione sul gateway peer fisico:

Il numero di interfacce sul gateway VPN fisico
Indirizzo o indirizzi IP esterni per uno o più gateway o interfacce peer
Indirizzo o indirizzi IP dell'endpoint BGP
La chiave precondivisa IKE (segreto condiviso)
Il numero ASN

Quando configuri le sessioni BGP per la VPN ad alta disponibilità e attivi IPv6, hai la possibilità di configurare gli indirizzi hop successivo IPv6. Se non li configuri manualmente, Google Cloud li assegna automaticamente.

Per consentire il traffico IPv4 e IPv6 (stack doppio) nei tunnel VPN ad alta disponibilità, devi ottenere l'indirizzo dell'hop successivo IPv6 assegnato al peer BGP. Poi, devi configurare l'indirizzo del successivo hop IPv6 quando configuri i tunnel VPN sul dispositivo VPN peer. Sebbene tu configuri gli indirizzi IPv6 sulle interfacce dei tunnel di ciascun dispositivo, gli indirizzi IPv6 vengono utilizzati esclusivamente per la configurazione del successivo hop IPv6. Le route IPv6 vengono annunciate tramite NLRI IPv6 tramite peering BGP IPv4. Per esempi di configurazioni degli indirizzi hop successivo IPv6, consulta Configurare VPN di terze parti per il traffico IPv4 e IPv6.

Per creare una risorsa gateway VPN peer esterno autonomo, segui la procedura riportata di seguito.

Console

Nella console Google Cloud, vai alla pagina VPN.

Vai a VPN
Fai clic su Crea gateway VPN peer.
Assegna un nome al gateway peer.
Seleziona il numero di interfacce del tuo gateway peer fisico: one, two o four.
Aggiungi l'indirizzo IP dell'interfaccia per ogni interfaccia sul gateway VPN fisico.
Fai clic su Crea.

gcloud

Quando esegui il comando seguente, inserisci l'ID interfaccia e l'indirizzo IP per il gateway VPN fisico. Puoi inserire 1, 2 o 4 interfacce.

gcloud compute external-vpn-gateways create mygateway \
  --interfaces 0=35.254.128.120,1=35.254.128.121

L'output del comando dovrebbe essere simile all'esempio seguente:

Creating external VPN gateway...done.
NAME       REDUNDANCY_TYPE
mygateway  TWO_IPS_REDUNDANCY

API

Per questo comando, puoi utilizzare questo elenco di tipi di ridondanza del gateway.

Effettua una richiesta POST utilizzando il metodo externalVpnGateways.insert.

  POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
  {
    "name": "mygateway",
    "interfaces": [
      {
        "id": 0,
        "ipAddress": "35.254.128.120"
      },
      {
        "id": 1,
        "ipAddress": "35.254.128.121"
      },
    ],
    "redundancyType": "TWO_IPS_REDUNDANCY"
  }

Configura i tunnel VPN

Per creare tunnel corrispondenti per ogni tunnel Cloud VPN che hai creato, consulta la documentazione del tuo gateway VPN peer.

Per la VPN ad alta disponibilità, configura due tunnel sul gateway peer. Un tunnel sul gateway peer deve corrispondere al tunnel Cloud VPN su interface 0. Un altro tunnel sul gateway peer deve corrispondere al tunnel Cloud VPN su interface 1.

Ogni tunnel sul gateway peer deve utilizzare anche un indirizzo IP esterno univoco per il gateway VPN ad alta disponibilità.

Configura le sessioni BGP per il routing dinamico

Solo per il routing dinamico, configura il gateway VPN peer in modo da supportare le sessioni BGP per le sottoreti peer che vuoi pubblicizzare al router Cloud.

Per configurare il gateway peer, utilizza gli ASN e gli indirizzi IP del tuo router Cloud e le informazioni del gateway Cloud VPN. Per ottenere l'ASN di Google, gli ASN della rete peer configurati e gli indirizzi IP BGP, consulta le informazioni di riepilogo del router Cloud.

Se stai configurando la VPN ad alta disponibilità per consentire il traffico IPv4 e IPv6 (stack doppio), devi configurare il gateway peer con l'indirizzo dell'hop successivo IPv6 assegnato al peer BGP.

Per la VPN ad alta disponibilità, l'ASN di Google, ovvero l'ASN peer dal punto di vista del gateway VPN peer, è lo stesso per entrambi i tunnel.

Facoltativamente, puoi configurare le sessioni BGP in modo che utilizzino l'autenticazione MD5.

Configurazione delle regole del firewall

Per le connessioni VPN ad alta disponibilità che utilizzano IPv6, devi configurare i firewall per consentire il traffico IPv6.

Per istruzioni sulla configurazione delle regole del firewall per la rete peer, consulta Configurare le regole del firewall.

Configura IKE

Puoi configurare IKE sul gateway VPN peer per il routing dinamico, basato su route e basato su criteri.

I tunnel VPN ad alta disponibilità devono utilizzare IKE v2 per supportare il traffico IPv6.

Per configurare il gateway VPN peer e il tunnel per IKE, utilizza i parametri riportati nella tabella seguente.

Per informazioni su come collegare Cloud VPN ad alcune soluzioni VPN di terze parti, consulta Utilizzare VPN di terze parti con Cloud VPN. Per informazioni sulle impostazioni di crittografia e autenticazione IPsec, consulta Algoritmi di crittografia IKE supportati.

Per IKEv1 e IKEv2

Impostazione	Valore
Modalità IPsec	Modalità tunnel ESP+Auth (da sito a sito)
Protocollo di autenticazione	`psk`
Secret condiviso	Chiamata anche chiave precondivisa IKE. Scegli una password efficace seguendo queste linee guida. La chiave pre-condivisa è sensibile perché consente l'accesso alla tua rete.
Inizia	`auto` (se il dispositivo peer si disconnette, la connessione dovrebbe riavviare automaticamente)
PFS (Perfect Forward Secrecy)	`on`
DPD (Dead Peer Detection)	Quantità consigliata: `Aggressive`. DPD rileva quando la VPN si riavvia e utilizza tunnel alternativi per instradare il traffico.
INITIAL_CONTACT (a volte chiamato `uniqueids`)	Consigliato: `on` (a volte chiamato `restart`). Scopo: rilevare più rapidamente i riavvii in modo da ridurre il tempo di riposo percepito.
TSi (Traffic Selector - Initiator)	Reti di subnet:gli intervalli specificati dal flag `--local-traffic-selector`. Se `--local-traffic-selector` non è specificato perché la VPN è in una rete VPC in modalità automatica e annuncia solo la subnet del gateway, viene utilizzato l'intervallo della subnet. Reti precedenti:l'intervallo della rete.
TSr (Traffic Selector - Responder)	IKEv2: gli intervalli di destinazione di tutte le route per le quali è impostato `--next-hop-vpn-tunnel` su questo tunnel. IKEv1: in modo arbitrario, l'intervallo di destinazione di uno dei percorsi che ha impostato `--next-hop-vpn-tunnel` su questo tunnel.
MTU	L'unità massima di trasmissione (MTU) del dispositivo VPN peer non deve superare i 1460 byte. Attiva la pre-frammentazione sul dispositivo in modo che i pacchetti vengano prima frammentati e poi incapsulati. Per ulteriori informazioni, consulta Considerazioni sulla MTU.

Parametri aggiuntivi solo per IKEv1

Impostazione	Valore
IKE/ISAKMP	`aes128-sha1-modp1024`
ESP	`aes128-sha1`
Algoritmo PFS	Gruppo 2 (`MODP_1024`)

Configurazione dei selettori di traffico

Per supportare sia il traffico IPv4 sia quello IPv6, imposta i selettori di traffico sul gateway VPN peer su 0.0.0.0/0,::/0.

Per supportare solo il traffico IPv4, imposta i selettori di traffico sul gateway VPN peer su 0.0.0.0/0.

Passaggi successivi

Per scaricare un modello di configurazione per il tuo dispositivo VPN peer, consulta Scarica un modello di configurazione VPN peer.
Per configurare le regole firewall per la rete peer, consulta Configurare le regole del firewall.
Per utilizzare scenari di alta disponibilità e ad alto throughput o scenari con più reti secondarie, consulta Configurazioni avanzate.
Per aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo di Cloud VPN, consulta la sezione Risoluzione dei problemi.