Connessione VPN a Google

1. Dal portale principale di Google Cloud:

   1. Espandere il menu principale dall'angolo in alto a sinistra
   2. Scorri verso il basso fino alla connettività ibrida
   3. Seleziona VPN

2. Nella pagina successiva, selezionare il collegamento Crea connessione VPN per avviare il workflow e creare una connessione IPSec VPN.

3. Per le opzioni VPN, selezionare VPN ad alta disponibilità (HA), quindi selezionare il pulsante Continua in basso.

4. Creare un gateway VPN HA cloud. Immettere i dettagli riportati di seguito.

   • Nome: assegnare un nome al gateway VPN.
   • Rete: selezionare il VPC a cui si connette IPSec VPN.

   • Area: selezionare l'area per il gateway VPN

     Al termine della configurazione del gateway VPN, selezionare il pulsante Crea e continua per continuare.

5. La pagina successiva espone l'IP pubblico dell'endpoint VPN GCP.

   Salvare l'IP pubblico di una delle interfacce, quindi aprire OCI Console in una finestra separata e continuare il processo di configurazione. Si torna in seguito per completare la configurazione GCP dopo il provisioning della connessione IPSec OCI.

1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare Attrezzatura cliente-premise.
2. Selezionare Crea Customer-Premises Equipment.

3. Immettere i valori seguenti:

   • Crea nel compartimento: selezionare il compartimento per la VCN desiderata.
   • Nome: un nome descrittivo per l'oggetto CPE. Non deve essere univoco e non può essere modificato in un secondo momento nella console (ma puoi modificarlo con l'API). Evitare di fornire informazioni riservate.

     In questo esempio viene utilizzato il nome "TO_GCP".

   • Indirizzo IP: immettere l'indirizzo IP pubblico del gateway VPN GCP.
   • Fornitore CPE: selezionare Altro.
4. Selezionare Crea CPE.

1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare VPN Site-to-Site.
2. Selezionare Crea connessione IPSec.

3. Immettere i valori seguenti:

   • Crea nel compartimento: non modificare (compartimento della VCN).
   • Nome: immettere un nome descrittivo per la connessione IPSec. Non deve essere unico e puoi cambiarlo in seguito. Evitare di inserire informazioni riservate.
   • Comparto Customer-Premises Equipment: lasciare così com'è (compartimento della VCN).
   • Customer-Premises Equipment: selezionare l'oggetto CPE creato in precedenza, denominato TO_GCP.
   • Compartimento del gateway di instradamento dinamico: lasciare invariato (il compartimento della VCN).
   • Gateway di instradamento dinamico: selezionare il DRG creato in precedenza.
   • CIDR instradamento statico: immettere un instradamento predefinito, 0.0.0.0/0. Poiché BGP viene utilizzato per il tunnel attivo, OCI ignora questo instradamento. Questa voce è necessaria per il secondo tunnel della connessione IPSec che per impostazione predefinita utilizza l'instradamento statico e non è utilizzato in questo scenario. Se si prevede di utilizzare l'instradamento statico per questa connessione, immettere instradamenti statici che rappresentano le reti virtuali GCP. È possibile configurare fino a 10 instradamenti statici per ogni connessione IPSec.

   • Assicurarsi che OCI supporti l'indirizzo /30 scelto per gli IP tunnel interni. OCI non consente di utilizzare i seguenti intervalli IP per gli IP tunnel interni:

     • 169.254.10.0-169.254.19.255
     • 169.254.100.0-169.254.109.255
     • 169.254.192.0-169.254.201.255

4. Immettere i seguenti dettagli nella scheda Tunnel 1 (obbligatorio):

   • Nome: immettere un nome descrittivo per il TUNNEL, ad esempio GCP-TUNNEL-1. Non deve essere unico e puoi cambiarlo in seguito. Evitare di inserire informazioni riservate.
   • Fornire un segreto condiviso personalizzato: la chiave precondivisa utilizzata da IPSec per questo tunnel. Selezionare questa casella di controllo se si desidera utilizzare una chiave personalizzata. Se non viene fornita alcuna selezione, ne viene generata una per te.
   • Versione IKE: selezionare IKEv2.
   • Tipo di instradamento: selezionare Instradamento dinamico BGP. Selezionare instradamento statico se si desidera utilizzare il routing statico.
   • ASN BGP: immettere l'ASN BGP utilizzato da GCP. L'ASN BGP GCP viene configurato nei passi futuri. Questo scenario utilizza un ASN BGP di 65000 per GCP.
   • IPv4 Interfaccia tunnel interna - CPE: immettere l'indirizzo IP BGP utilizzato da GCP. Utilizzare la notazione CIDR completa per questo indirizzo IP. Deve essere un indirizzo locale del link. Questo scenario utilizza il CIDR 169.254.20.0/30 per gli indirizzi IP BGP.
   • IPv4 Interno all'interfaccia tunnel - Oracle: immettere l'indirizzo IP BGP utilizzato da OCI. Includere questo indirizzo IP nella notazione CIDR. Deve essere un indirizzo locale del link. Questo scenario utilizza il CIDR 169.254.20.0/30 per gli indirizzi IP BGP.
5. Selezionare Mostra opzioni avanzate per il tunnel e modificare la durata della fase 1 e della fase 2 in modo che corrisponda al lato GCP, come indicato qui https://cloud.google.com/network-connectivity/docs/vpn/concepts/supported-ike-ciphers.

   Le vite di fase 1 e fase 2 hanno valori diversi sul lato GCP, a seconda che si stia utilizzando IKEv1 o IKEv2. Di seguito sono riportati i parametri.

   • Durata della chiave di sessione IKE di fase 1 in secondi = 36.000 secondi
   • Durata della chiave di sessione IPSec di fase 2 in secondi = 10.800 secondi

   Lasciare tutte le altre impostazioni predefinite.

6. Selezionare Crea connessione IPSec.

   La connessione IPSec viene creata e visualizzata nella pagina. La connessione si trova nello stato Provisioning per un breve periodo.

Dopo aver eseguito il provisioning della connessione IPSec, salvare l'indirizzo IP VPN da sito a sito da utilizzare come IP CPE nel portale GCP e il segreto condiviso per il tunnel.

1. Cercare la connessione IPSec in OCI Console.

   Decidere quale tunnel utilizzare come primario. Salvare l'indirizzo IP VPN Site-to-Site del tunnel. Successivamente, selezionare il nome del tunnel da portare alla vista tunnel.

2. Sotto il tunnel, selezionare il collegamento per visualizzare il segreto condiviso. Salva. Il segreto condiviso viene utilizzato per completare la configurazione di IPSec VPN in GCP.

1. Tornare alla finestra di configurazione VPN GCP.
2. In Gateway VPN peer, selezionare On premise o Non Google Cloud.
3. Espandere la lista Nome gateway VPN peer e selezionare Crea nuovo gateway peer VPN.
4. Viene visualizzata la pagina Aggiungi un gateway VPN peer. Immettere i dettagli riportati di seguito.
   • Nome: assegnare un nome al gateway VPN peer.
   • Interfacce: selezionare un'interfaccia.

   • Indirizzo IP dell'interfaccia 0: immettere qui l'indirizzo IP VPN Oracle. Questo indirizzo IP è stato salvato in OCI - Salva indirizzo IP VPN Oracle e segreto condiviso.

5. Selezionare il pulsante Crea nella parte inferiore per continuare. Si è tornati al workflow Crea una VPN.

1. Espandere la lista Router cloud e selezionare Crea nuovo router.

2. Viene visualizzata la pagina Crea un router. Immettere i dettagli riportati di seguito.

   • Nome: assegnare un nome al router cloud.

   • ASN Google: immettere l'ASN BGP di Google, utilizzato anche durante la configurazione della connessione IPSec in OCI.

     Lasciare tutte le altre opzioni come predefinite.

3. Al termine della configurazione del router cloud, selezionare il pulsante Crea per continuare.

   Si è tornati al workflow Crea una VPN.

Completare la configurazione del tunnel VPN. Immettere i dettagli riportati di seguito.

• Router cloud: selezionare il router cloud configurato nel passo precedente.
• IP gateway VPN cloud associato: corrisponde all'indirizzo IP dell'oggetto CPE configurato in OCI.
• Interfaccia gateway VPN peer associata: corrisponde all'indirizzo IP VPN Oracle del tunnel VPN OCI. Vedere OCI - Salva indirizzo IP VPN Oracle e segreto condiviso.
• Nome: assegnare un nome al tunnel VPN.
• Versione IKE: selezionare IKEv2 (consigliato). Se si utilizza IKEv1, assicurarsi che anche IKEv1 sia configurato per il tunnel VPN sotto la connessione IPSec in OCI.

• Chiave precondivisa IKE: corrisponde al segreto condiviso del tunnel VPN nella connessione IPSec in OCI. Vedere OCI - Salva indirizzo IP VPN Oracle e segreto condiviso. Lasciare tutte le altre opzioni come predefinite.

  Al termine della configurazione del tunnel VPN, selezionare Crea e continua.

Questo passo prevede la configurazione della sessione BGP per un tunnel IPSec. Le impostazioni BGP devono corrispondere al lato OCI della configurazione configurata in OCI - Crea connessione IPSec.

1. Selezionare il pulsante Configura nella sessione BGP per il tunnel VPN.
2. Nella pagina Crea sessione BGP per il tunnel immettere i dettagli riportati di seguito.
   • Nome: assegnare un nome alla sessione BGP.
   • ASN peer: immettere l'ASN BGP. L'ASN BGP di Oracle per il cloud commerciale è 31898, ad eccezione dell'area centrale della Serbia (Jovanovac), che è 14544.
   • IP BGP Cloud Router: corrisponde all'indirizzo IP configurato per IPV4 Inside Tunnel Interface - CPE del tunnel 1 in OCI - Crea connessione IPSec. Non utilizzare la notazione CIDR in questo campo.
   • IP peer BGP: corrisponde all'indirizzo IP configurato per l'IPV4 Inside Tunnel Interface - Oracle del tunnel 1 in OCI - Crea connessione IPSec. Non utilizzare la notazione CIDR in questo campo.

   • Peer BGP: selezionare Abilitato.

     Lasciare tutte le altre opzioni come predefinite.

3. Al termine della configurazione della sessione BGP, selezionare Salva e continua per tornare alla pagina Configura sessioni BGP.

4. Selezionare il pulsante Salva configurazione BGP per continuare.

5. Si è giunti alla pagina Riepilogo e promemoria.

   Lo stato del tunnel VPN e lo stato BGP vengono visualizzati come "stabilito".

6. Selezionare OK nella parte inferiore per completare la configurazione.

Cercare la connessione IPSec in OCI e le connessioni VPN da sito a sito in GCP per verificare lo stato del tunnel.

Il tunnel OCI sotto la connessione IPSec visualizza lo stato Su per IPSec per confermare un tunnel operativo.

Lo stato BGP IPV4 visualizza anche Su per indicare una sessione BGP stabilita.

Sfoglia i tunnel VPN cloud nella console GCP. Sia lo stato del tunnel VPN che lo stato della sessione BGP devono indicare Stabilito.

Un servizio di monitoraggio è disponibile anche da OCI per monitorare attivamente e passivamente le risorse cloud. Per informazioni sul monitoraggio della VPN da sito a sito OCI, vedere Metriche VPN da sito a sito.

In caso di problemi, vedere Risoluzione dei problemi delle VPN da sito a sito.