Nota

• Questa esercitazione richiede l'accesso a Oracle Cloud. Per iscriverti a un account gratuito, consulta Inizia a utilizzare Oracle Cloud Infrastructure Free Tier.
• Utilizza valori di esempio per le credenziali, la tenancy e i compartimenti di Oracle Cloud Infrastructure. Al termine del laboratorio, sostituisci questi valori con quelli specifici del tuo ambiente cloud.

Imposta OpenVPN per l'accesso remoto in un'unica area su Oracle Cloud Infrastructure

Introduzione

Con il lavoro da remoto e l'adozione del cloud in aumento, l'accesso sicuro alle risorse aziendali non è mai stato così importante. Una VPN di accesso remoto consente agli utenti di connettersi alla rete della propria organizzazione da qualsiasi luogo, crittografando tutti i dati per proteggerli da accessi non autorizzati. Sia che si lavori da un ufficio remoto, a casa o in viaggio, una rete privata virtuale (VPN) garantisce che le connessioni rimangano private e sicure.

In questa serie di tutorial, ti guideremo passo dopo passo attraverso il processo di costruzione dell'architettura delineata nella seguente immagine.

VPN in Oracle Cloud Infrastructure (OCI)

La VPN è essenziale per stabilire una comunicazione sicura tra il tuo data center on-premise, un altro ambiente cloud utilizzato dalla tua organizzazione o uffici remoti con l'impostazione OCI. In OCI, ci sono due tipi di VPN di cui potresti aver bisogno, ognuna adatta a diversi casi d'uso.

• VPN site-to-site: connette intere reti, rendendola ideale per collegare più uffici o filiali in modo sicuro con OCI. La VPN da sito a sito è un servizio nativo disponibile in OCI e utilizza il protocollo IPSec standard del settore per fornire connettività privata e sicura dalle reti e dai siti aziendali a OCI utilizzando la connessione Internet esistente.

• Remote Access VPN (VPN point-to-site): a differenza di Site-to-Site VPN, che connette intere reti tra loro, Remote Access VPN stabilisce una connessione sicura tra un singolo dispositivo (utente) e la rete di destinazione utilizzando un'applicazione client VPN. Al momento, OCI non offre un servizio VPN di accesso remoto nativo. Tuttavia, può essere raggiunto utilizzando immagini di marketplace come OpenVPN che puoi distribuire su un'istanza di computazione.

Nota: questa esercitazione si concentra solo sull'impostazione della VPN di accesso remoto utilizzando OpenVPN.

Panoramica di OpenVPN

OpenVPN è una soluzione VPN ampiamente utilizzata che è disponibile in più versioni per soddisfare esigenze diverse. In questo tutorial ci concentreremo su:

• OpenVPN Access Server: progettato specificamente per le aziende, protegge la comunicazione dei dati, protegge l'Internet of Things (IoT) e fornisce accesso remoto sicuro alle risorse on-premise, al data center o al cloud pubblico. Include un'interfaccia di gestione basata sul Web ed è ideale per le aziende che cercano una VPN affidabile e di livello enterprise. OpenVPN Access Server è gratuito da installare e utilizzare per due connessioni VPN simultanee. La distribuisci su un'istanza di OCI Compute dal marketplace in questa esercitazione.

• OpenVPN Connect: il client VPN ufficiale per Windows, macOS, iOS e Android. Al termine di questa esercitazione, si installerà OpenVPN Connect e lo si utilizzerà per connettersi al server di accesso OpenVPN, quindi si verificherà la connettività alle risorse private di destinazione nel cloud.

Per ulteriori informazioni sui diversi prodotti OpenVPN, vedere Quale prodotto OpenVPN è adatto alle tue esigenze?.

Obiettivi

• Eseguire il provisioning di OpenVPN Access Server dal marketplace OCI ed eseguire l'impostazione iniziale.

• Configurare OpenVPN Access Server per l'accesso remoto.

• Configura l'instradamento e la sicurezza OCI necessari per accedere alla virtual machine (VM) di destinazione nella stessa area di OpenVPN (Toronto).

• Installare OpenVPN Connect sul PC ed eseguire il test dell'accesso alla VM di destinazione.

Architettura finale per la prima parte del tutorial

L'ambiente seguente verrà creato da zero.

Prerequisiti

• Accesso a una tenancy OCI e autorizzazioni per gestire la rete e i servizi di computazione necessari.

• Conoscenza di base della VPN.

• Comprensione di base dell'instradamento e della sicurezza della rete OCI e relative funzionalità: rete cloud virtuale (VCN), tabelle di instradamento, gateway di instradamento dinamico (DRG) e liste di sicurezza.

Task 1: Creare un gateway di instradamento dinamico

• Accedi a OCI Console e fai clic sul menu hamburger (≡) dall'angolo in alto a sinistra.

  

  1. Fare clic su Networking.
  2. Fare clic su Gateway di instradamento dinamico.

  

• Fare clic su Crea gateway di instradamento dinamico.

  

  1. Immettere un nome per il DRG.
  2. Fare clic su Crea gateway di instradamento dinamico.

  

• Creazione del DRG riuscita.

  

• Stiamo aggiungendo all'architettura ogni componente di cui stiamo eseguendo il provisioning alla fine di ogni attività. Quindi, puoi vedere come appare il nostro ambiente fino ad ora.

  

Task 2: impostare una rete cloud virtuale spoke

Task 2.1: Creare una VCN

• Clicca sul menu hamburger (≡) dall'angolo in alto a sinistra.

  

  1. Fare clic su Networking.
  2. Fare clic su Reti cloud virtuali.

  

• Fare clic su Crea VCN.

  

  1. Immettere un nome per la VCN.
  2. Immettere 10.1.0.0/24 come blocco CIDRIPv4 CIDR IPv4.
  3. Fare clic su Crea VCN.

  

• Creazione della VCN Spoke-VCN-1 riuscita.

  

Task 2.2: collegare la VCN al DRG

• Andare alla pagina Dettagli reti cloud virtuali.

  1. Fare clic su Collegamenti dei gateway di instradamento dinamico.
  2. Fare clic su Crea collegamento DRG.

  

  1. Immettere il nome dell'allegato.
  2. Selezionare Tenancy corrente come Posizione DRG.
  3. Selezionare DRG creato nel task 1.
  4. Fare clic su Crea collegamento DRG.

  

• Collegamento della VCN al DRG riuscito.

  

Task 2.3: Creare una subnet privata

• Nella pagina Dettagli reti cloud virtuali fare clic su Crea subnet.

  

  1. Immettere un nome per la subnet.
  2. Selezionare Regionale.
  3. Immettere 10.1.0.0/27 come blocco CIDRIPv4 CIDR IPv4.

  

  1. Selezionare Tabella di instradamento predefinita in Tabella di instradamento.
  2. Seleziona subnet privata.

  

  1. Selezionare Elenco sicurezza predefinita in Elenco sicurezza.
  2. Fare clic su Crea subnet.

  

• Creazione della subnet privata riuscita.

  

Task 2.4: Configurare l'instradamento e la sicurezza nella subnet

• Nella pagina Dettagli reti cloud virtuali fare clic sulla subnet privata.

  

• Fare clic su Tabella di instradamento, che è una tabella di instradamento assegnata.

  

• Assicurarsi di aggiungere la regola seguente.

  • 192.168.0.0/24 - DRG: instrada il traffico destinato a Hub-Public-Subnet che avrà il server di accesso OpenVPN al DRG.

  

• La parte di instradamento per la sottorete Spoke-VCN-1 è terminata. Eseguire ora la sicurezza. Andare alla pagina Dettagli subnet e fare clic sulla lista di sicurezza assegnata.

  

• Assicurarsi di consentire il traffico in entrata.

  • Richieste Echo (trafficoping) da Hub-Public-Subnet (ICMP, tipo 8). Questo è per i test alla fine.

  

• Assicurarsi di consentire tutto il traffico in uscita.

  

• L'ambiente attuale dovrebbe essere simile a questo.

  

Task 3: provisioning di una VM di test (Target-Instance-1)

Task 3.1: generare una coppia di chiavi SSH con il generatore di chiavi PuTTY (facoltativo)

Note

1. In questa esercitazione viene utilizzato PuTTY per generare chiavi SSH e accedere alle VM, ma è possibile utilizzare qualsiasi altro strumento simile a scelta.
2. Ciò è necessario solo se è richiesto l'accesso SSH all'istanza. In questa esercitazione verrà eseguito il test solo eseguendo il ping dell'istanza.

• Installa PuTTY da qui: Scarica PuTTY.

• Aprire il generatore di chiavi PuTTY e fare clic su Genera.

  

• Passare il cursore del mouse sull'area vuota fino al completamento della generazione dei tasti.

  

• Fare clic su Salva chiave privata. Verrà utilizzato durante l'accesso all'istanza.

  

  1. Immettere un nome per il file di chiavi private.
  2. Fare clic su Salva.

  

• Copiare la chiave pubblica e incollarla in un file di testo, che è necessario durante la creazione della VM.

  

Task 3.2: eseguire il provisioning dell'istanza di computazione Target-Instance-1

• Clicca sul menu hamburger (≡) dall'angolo in alto a sinistra.

  

  1. Fare clic su Compute.
  2. Fare clic su Istanze.

  

• Fare clic su Crea istanza.

  

• Immettere un nome per l'istanza.

  

• Mantenere le impostazioni Immagine e forma come predefinite.

  

• In Rete primaria, immettere le informazioni riportate di seguito.

  1. Selezionare la VCN Spoke-VCN-1.
  2. Selezionare la subnet privata.

  

  1. Selezionare Assegna manualmente indirizzo IPv4 privato.
  2. Immettere l'indirizzo IPv4 privato per l'istanza 10.1.0.30.

  

  1. Incollare la chiave pubblica generata nel task 3.1.
  2. Fare clic su Crea.

  

Nota: nel passo precedente, selezionare l'opzione "Nessuna chiave SSH" se non si prevede di accedere all'istanza.

• Creazione dell'istanza di computazione Target-Instance-1 riuscita.

  

• L'ambiente attuale dovrebbe essere simile a questo.

  

Task 4: Impostazione della rete cloud virtuale hub

Task 4.1: Creare una VCN

• Clicca sul menu hamburger (≡) dall'angolo in alto a sinistra.

  

  1. Fare clic su Networking.
  2. Fare clic su Reti cloud virtuali.

  

• Fare clic su Crea VCN.

  

  1. Immettere un nome per la VCN.
  2. Immettere 192.168.0.0/16 come blocco CIDRIPv4 CIDR IPv4.
  3. Fare clic su Crea VCN.

  

• Creazione della VCN Hub-VCN riuscita.

  

Task 4.2: collegare la VCN al DRG

• Andare alla pagina Dettagli reti cloud virtuali.

  1. Fare clic su Collegamenti dei gateway di instradamento dinamico.
  2. Fare clic su Crea collegamento DRG.

  

  1. Immettere il nome dell'allegato.
  2. Selezionare Tenancy corrente come Posizione DRG.
  3. Selezionare DRG creato nel task 1.
  4. Fare clic su Crea collegamento DRG.

  

• Collegamento della VCN al DRG riuscito.

  

Task 4.3: Creare un gateway Internet

• Andare alla pagina Dettagli reti cloud virtuali.

  1. Fare clic su Gateway Internet.
  2. Fare clic su Crea gateway Internet.

  

  1. Immettere un nome per il gateway Internet.
  2. Fare clic su Crea gateway Internet.

  

• Creazione del gateway Internet riuscita.

  

Task 4.4: Creare una subnet pubblica

• Nella pagina Dettagli reti cloud virtuali fare clic su Crea subnet.

  

  1. Immettere un nome per la subnet.
  2. Selezionare Regionale.
  3. Immettere 192.168.0.0/24 come blocco CIDRIPv4 CIDR IPv4.

  

  1. Selezionare Tabella di instradamento predefinita in Tabella di instradamento.
  2. Selezionare Subnet pubblica.

  

  1. Selezionare Elenco sicurezza predefinita in Elenco sicurezza.
  2. Fare clic su Crea subnet.

  

• Creazione della subnet pubblica riuscita.

  

Task 4.5: Configurare l'instradamento e la sicurezza nella subnet

• Nella pagina Dettagli reti cloud virtuali, fare clic sulla subnet pubblica.

  

• Fare clic su Tabella di instradamento, che è una tabella di instradamento assegnata.

  

• Assicurarsi di aggiungere le regole riportate di seguito.

  • 0.0.0.0/0 - IGW: per l'accesso bidirezionale a Internet, è necessario per l'accesso al server OpenVPN pubblico.

  • 10.1.0.0/27 - DRG: instrada il traffico destinato a Spoke-Private-Subnet che dispone dell'istanza di test di destinazione nel DRG.

  

• Una volta terminata la parte di instradamento per la subnet Hub-VCN, è possibile eseguire la sicurezza ora. Andare alla pagina Dettagli subnet e fare clic sulla lista di sicurezza assegnata.

  

• Assicurarsi di consentire il traffico in entrata relativo al server di accesso OpenVPN.

  • Traffico TCP da ovunque (porta 443 e porta 943).
  • Traffico UDP da ovunque (porta 1194).

  

• Assicurarsi di consentire tutto il traffico in uscita.

  

• L'ambiente attuale dovrebbe essere simile a questo.

  

Task 5: Provisioning e configurazione di OpenVPN Access Server

Task 5.1: eseguire il provisioning di OpenVPN dal marketplace

• Clicca sul menu hamburger (≡) dall'angolo in alto a sinistra.

  

  1. Fare clic su Marketplace.
  2. Fare clic su Tutte le applicazioni.

  

  1. Immettere OpenVPN nella barra di ricerca.
  2. Selezionare OpenVPN Access Server BYOL.

  

  1. Tenere presente che con questa immagine si otterranno due connessioni simultanee per GRATIS.
  2. Selezionare versione.
  3. Fare clic su Avvia istanza.

  

• Immettere un nome per l'istanza.

  

• Mantenere le impostazioni Immagine e forma come predefinite.

  

• In Rete primaria, immettere le informazioni riportate di seguito.

  1. Selezionare la VCN Hub-VCN.
  2. Selezionare la subnet pubblica.

  

  1. Selezionare Assegna manualmente indirizzo IPv4 privato.
  2. Immettere 192.168.0.2 come indirizzo IPv4 privato per l'istanza.
  3. Selezionare Automatically Assign IPv4 address.

  

  1. Incollare la chiave pubblica generata nel task 3.1.
  2. Fare clic su Crea.

  

• Creazione dell'istanza di computazione OpenVPN riuscita.

  1. Prendere nota dell'indirizzo IP pubblico dell'istanza.
  2. L'impostazione predefinita Nome utente è ubuntu. Tuttavia, non verrà utilizzato quando si esegue il login all'istanza.

  

Task 5.2: accedere alla VM OpenVPN da PuTTY e completare l'impostazione iniziale

• Aprire la configurazione PuTTY.

  1. Fare clic su Credenziali.
  2. Caricare la chiave privata scaricata nel task 3.1.

  

  1. Fare clic su Sessione.
  2. Immettere le informazioni riportate di seguito.
     • Nome host: immettere l'indirizzo IP pubblico dell'istanza OpenVPN.
     • Tipo di connessione: selezionare SSH.
     • Porta: immettere 22.
  3. Fare clic su Apri.

  

• Fare clic su Accetta.

  

• Immettere openvpnas come nome utente.

  

  1. Immettere Sì per accettare i termini.
  2. Premere Invio perché non si intende disporre di più server di accesso.
  3. Premere Invio.

  

  1. Premere Invio per selezionare l'algoritmo predefinito (RSA).
  2. Premere Invio per selezionare la dimensione predefinita del tasto (2048).
  3. Premere Invio per selezionare l'algoritmo predefinito (RSA).

  

  1. Premere Invio per selezionare la dimensione predefinita del tasto (2048).
  2. Premere Invio per selezionare il numero di porta predefinito (943).
  3. Premere Invio per selezionare il numero di porta predefinito (443).
  4. Premere Invio per confermare.
  5. Premere Invio per confermare.
  6. Premere Invio per confermare.

  

  1. Premere Invio per utilizzare openvpn come nome utente predefinito quando si esegue il login all'interfaccia utente di amministrazione.
  2. Compilare la nuova password e premere Invio.
  3. Compilare di nuovo la password e premere Invio.
  4. Premere Invio.

  

  1. La configurazione è stata completata.
  2. Prendere nota dell'URL dell'interfaccia utente di amministrazione: https://192.168.0.2:943/admin.
  3. Prendere nota dell'URL dell'interfaccia utente client: https://192.168.0.2:943/.

  Nota: l'indirizzo IP pubblico verrà utilizzato per accedere all'interfaccia utente di amministrazione anziché a quello privato mostrato nello screenshot riportato di seguito.

  

Task 5.3: Configurare l'accesso remoto

• Aprire una scheda del browser.

  1. Accedere all'URL seguente: https://<publicip>/admin, assicurarsi di sostituire <publicip> con l'indirizzo IP pubblico dell'istanza OpenVPN creata.
  2. Fare clic su Avanzate.
  3. Fare clic su Procedi.

  

  1. Immettere openvpn come nome utente.
  2. Immettere la password.
  3. Fare clic su Accedi.

  

• Fare clic su Accetta.

  

• Come accennato in precedenza, ti vengono concesse due connessioni VPN gratuite allo stesso tempo.

  

  1. Fare clic su Configurazione.
  2. Fare clic su Impostazioni di rete.
  3. Immettere l'indirizzo IP pubblico per l'istanza OpenVPN in Nome host o indirizzo IP.
  4. Fare clic su Salva impostazioni.

  

• Fare clic su Aggiorna server in esecuzione.

  

  1. Fare clic su Configurazione.
  2. Fare clic su Impostazioni VPN.
  3. In Instradamento, aggiungere la subnet privata di Spoke-VCN-1 (10.1.0.0/27) a cui si prevede di accedere tramite VPN.
  4. Fare clic su Salva impostazioni.

  

• Fare clic su Aggiorna server in esecuzione.

  

• Impostare il nome utente che si sta per utilizzare durante la connessione a VPN dal client OpenVPN sul dispositivo.

  1. Fare clic su Gestione utenti.
  2. Fare clic su Autorizzazioni utente.
  3. Immettere il nuovo nome utente.
  4. Selezionare Consenti login automatico.
  5. Fare clic su Altre impostazioni.
  6. Immettere password.
  7. Fare clic su Salva impostazioni.

  

• Fare clic su Aggiorna server in esecuzione.

  

• Creazione del nome utente riuscita.

  

• Ora tutti i componenti vengono forniti come mostrato nell'architettura e pronti per essere testati.

  

Task 6: Esegui test e convalida

• L'immagine seguente mostra lo scenario di test che si desidera completare.

  

Task 6.1: Installare OpenVPN Connect

• Scarica OpenVPN Connetti nel computer locale da qui: OpenVPN Connetti per Windows.

  

  1. Eseguire il file .msi scaricato.
  2. Fare clic su Avanti.

  

  1. Selezionare Accetto i termini del Contratto di licenza.
  2. Fare clic su Avanti.

  

• Fate clic su Installa.

  

• Fare clic su Fine.

  

Task 6.2: Impostare OpenVPN Connect

• Fare clic su Accetta.

  

  1. In Indirizzo server o ID cloud, immettere l'indirizzo IP pubblico del server OpenVPN come https://<publicip>.
  2. Fare clic su Avanti.

  

• Fare clic su Accetta.

  

• In Profilo di importazione utilizzare le informazioni sul profilo fornite nel task 5.3.

  1. Immettere nome utente.
  2. Immettere password.
  3. Il campo Nome profilo viene compilato automaticamente.
  4. Selezionare Importa profilo di login automatico.
  5. Selezionare Connetti dopo l'importazione.
  6. Fare clic su Importa.

  

  1. L'utente è CONNESSO ora.
  2. Si noti che si verrà disconnessi da Internet quando si è connessi tramite VPN.

  

Task 6.3: Ping dell'istanza Target-Instance-1

• Ping di Target-Instance-1 (10.1.0.30). Come vedete il test è riuscito.

  

• Disattiva VPN al termine dei test.

  

• Fare clic su Conferma.

  

• Ora si è DISCONNESSI.

  

• Se si tenta di eseguire nuovamente il ping, si noterà che il ping non riesce.

  

• Se si controllano i log della subnet spoke, è possibile visualizzare il traffico proveniente da OpenVPN (192.168.0.2) a Target-Instance-1 (10.1.0.30) e la risposta inviata di nuovo.

  

Passi successivi

Nella seconda parte dell'esercitazione Imposta OpenVPN per l'accesso remoto in più aree su Oracle Cloud Infrastructure, estenderemo la stessa impostazione per includere un'altra area che si connetterà con la connessione peering remoto. Si utilizzerà lo stesso OpenVPN Access Server per connettersi alle risorse nella nuova area Disaster Recovery dopo aver impostato la configurazione di rete richiesta.

Conferme

• Autore - Anas abdallah (esperto di cloud networking)

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti gratuiti sulla formazione su Oracle Learning YouTube channel. Inoltre, visita education.oracle.com/learning-explorer per diventare un Oracle Learning Explorer.

Per la documentazione del prodotto, visita l'Oracle Help Center.

---

Titolo e informazioni sul copyright

Set up OpenVPN for Remote Access in a Single Region on Oracle Cloud Infrastructure

G27741-02

Copyright ©2025, Oracle and/or its affiliates.