IBM Cloud Docs
Aggiunta di connessioni a un gateway VPN

Aggiunta di connessioni a un gateway VPN

Puoi aggiungere connessioni quando crei un gateway VPN o dopo averne eseguito il provisioning. Quando si configura una connessione VPN, è possibile scegliere di connettersi con la negoziazione automatica o utilizzare una politica IPsec o IKE personalizzata predefinita. Per ulteriori informazioni, consultare Informazioni sulla negoziazione della politica.

Le opzioni di sicurezza IKE Fase 1 e Fase 2 (IPsec) specificate per la connessione devono essere le stesse impostate sul gateway peer per la rete esterna alla VPC.

Aggiunta di una connessione nella console

Per aggiungere una connessione VPN a un gateway VPN esistente, attenersi alla seguente procedura:

  1. Evidenziare la riga del gateway con cui si desidera lavorare nella tabella dei gateway VPN, quindi fare clic su Nuova connessione dal menu Azioni Menu Azioni Azioni.

    In alternativa, nella pagina dei dettagli del gateway, puoi fare clic su Crea nella sezione delle connessioni VPN.

  2. Definisci una connessione tra questo gateway e una rete esterna al tuo VPC specificando le seguenti informazioni:

    • Nome della connessione VPN- Inserire un nome per la connessione, ad esempio my-connection.

    • Indirizzo gateway peer- Specificare l'indirizzo IP del gateway VPN per la rete esterna alla VPC.

      Dopo il provisioning della connessione VPN, non è possibile modificare il tipo di indirizzo del gateway peer da indirizzo IP a FQDN o da FQDN a indirizzo IP.

    • Stabilisci modalità- Selezionare Bidirezionale o Solo peer.

      • La modalità bidirezionale avvia le negoziazioni del protocollo IKE (o i processi di rekeying) da entrambi i lati del gateway VPN.
      • La modalità Solo peer consente al peer di avviare le negoziazioni del protocollo IKE per questa connessione gateway VPN. Il peer è anche responsabile dell'avvio del processo di rekeying dopo che è stato stabilito il collegamento.

      Se il tuo dispositivo peer è dietro un dispositivo NAT e non ha un indirizzo IP pubblico, assicurati di specificare Solo peer.

    • Chiave preshared- Specificare la chiave di autenticazione del gateway VPN per la rete esterna alla VPC. La chiave precondivisa è una stringa di cifre esadecimali o una passphrase di caratteri ASCII stampabili. Per essere compatibile con la maggior parte dei tipi di gateway peer, questa stringa deve seguire queste regole:

      • Può essere una combinazione di cifre, caratteri minuscoli o maiuscoli o i seguenti caratteri speciali: - + & ! @ # $ % ^ * ( ) . , :
      • La lunghezza della stringa deve essere compresa tra 6 e 128 caratteri.
      • Non può iniziare con 0x o 0s.

    • Distribuisci traffico (solo VPN basate su rotte)- Abilita la distribuzione del traffico tra le Up gallerie della connessione del gateway VPN quando l'hop successivo di una rotta VPC è la connessione VPN. Se questa casella di controllo non è selezionata, il gateway VPN utilizza il tunnel con l'IP pubblico piccolo come percorso di uscita primario e solo quando il percorso di uscita primario è disabilitato, il traffico passa attraverso il percorso secondario. Per ulteriori informazioni, vedere Caso d'uso 4: Distribuzione del traffico per una VPN basata su percorsi.

    • CIDR IBM locali (solo VPN basate sulla politica)- Specifica uno o più CIDR nel VPC che vuoi connettere tramite il tunnel VPN.

    • CIDR peer (solo VPN basate sulla politica)- Specificare uno o più CIDR nell'altra rete che si desidera connettere tramite il tunnel VPN. La sovrapposizione dell'intervallo di sottoreti tra sottoreti locali e peer non è consentita.

  3. Per configurare il modo in cui il gateway VPN invia i messaggi per verificare che il gateway peer sia attivo, specificare le seguenti informazioni nella sezione Rilevamento del peer morto.

    • Azione- L'azione da intraprendere se un gateway peer smette di rispondere. Ad esempio, seleziona Restart se vuoi che il gateway rinegozi immediatamente la connessione.
    • Intervallo (sec)- Con quale frequenza controllare che il gateway peer sia attivo. Per impostazione predefinita, i messaggi vengono inviati ogni 2 secondi.
    • Timeout (sec)- Tempo di attesa per una risposta dal gateway peer. Per impostazione predefinita, un gateway peer viene considerato inattivo se non riceve una risposta entro 10 secondi.

  4. Nella sezione Criteri, specificare le opzioni Internet Key Exchange (IKE) e Internet Protocol Security (IPsec) da utilizzare per la negoziazione della fase 1 e della fase 2 della connessione.

    • Selezionare Auto se si desidera che il gateway cerchi di stabilire automaticamente la connessione.
    • Selezionare o creare criteri personalizzati se è necessario applicare particolari requisiti di sicurezza o se il gateway VPN dell'altra rete non supporta le proposte di sicurezza tentate dalla negoziazione automatica.

  5. Nella sezione Opzioni avanzate, è possibile personalizzare le identità IKE locali e peer invece di utilizzare l'identità IKE predefinita. È possibile specificare al massimo un'identità IKE peer.

    Per i gateway VPN basati su criteri, puoi configurare al massimo un'identità IKE locale. Per i gateway VPN basati sull'instradamento, se vuoi configurare un'identità IKE locale, devi fornirne due. È possibile fornire valori per i membri o lasciare vuoti i campi di immissione.

    • Identità IKE locali- Selezionare un tipo per l'identità IKE locale, quindi immetterne il valore. Ad esempio, è possibile inserire un singolo indirizzo 4 octe IPv4 (9.168.3.4), un FQDN (my-vpn.example.com), un hostname (my-host) o un ID chiave base64-encoded (MTIzNA==).

      • La modalità di instradamento statico è composta da due membri in modalità attivo - attivo, dove la prima identità si applica al primo membro e la seconda identità si applica al secondo membro. Se non si specificano identità IKE locali, il tipo è un indirizzo IPv4 e il valore è l'indirizzo IP pubblico del tunnel di connessione VPN del membro.

      • La modalità politica è composta da due membri in modalità standby attivo. L'identità IKE locale si applica al membro attivo. Se non si specifica un valore, l'identità IKE locale è l'indirizzo IP pubblico del gateway VPN.

    • Identità IKE peer- Selezionare un tipo per l'identità IKE peer, quindi immetterne il valore. Ad esempio, è possibile inserire un indirizzo IPv4 (9.168.3.4), un FQDN (my-vpn.example.com), un hostname (my-host) o un ID chiave base64-encoded (MTIzNA==).

      L'identità IKE del peer si applica al membro attivo. Se non si specifica un valore, utilizzare l'indirizzo IPv4 o l'FQDN del gateway peer.

  6. Esaminare il pannello Riepilogo, quindi fare clic su Crea connessione VPN.

Aggiunta di una connessione dalla CLI

Prima di iniziare, configura il tuo ambiente CLI.

Per creare una connessione VPN dalla CLI, immetti il seguente comando:

ibmcloud is vpn-gateway-connection-create CONNECTION_NAME VPN_GATEWAY PEER PRESHARED_KEY
[--vpc VPC] [--admin-state-up true | false] [--dead-peer-detection-action restart | clear | hold | none]
[--distribute-traffic true | false]
[--dead-peer-detection-interval INTERVAL] [--dead-peer-detection-timeout TIMEOUT] [--ike-policy IKE_POLICY_ID]
[--ipsec-policy IPSEC_POLICY_ID] [--peer-cidr CIDR1 --peer-cidr CIDR2 ... --local-cidr CIDR1 --local-cidr CIDR2 ...]
[[--local-ike-identity-type fqdn | hostname | ipv4_address | key_id --local-ike-identity-value VALUE] |
[--local-ike-identities LISTENER_POLICIES_JSON | @LISTENER_POLICIES_JSON_FILE]]
[--peer-ike-identity-type fqdn | hostname | ipv4_address | key_id --peer-ike-identity-value VALUE]
[--establish-mode bidirectional | peer_only] [--output JSON] [-q, --quiet]
ibmcloud is vpn-gateway-connection-create CONNECTION_NAME VPN_GATEWAY PEER PRESHARED_KEY

Dove:

CONNECTION_NAME
Il nome della connessione.
VPN_GATEWAY
L'ID del gateway VPN.
PEER
L'indirizzo IP o FQDN del gateway VPN peer.
PRESHARED_KEY
La chiave preshared.
--vpc
L'ID o il nome del VPC. Questo è necessario solo per specificare la risorsa unica con il suo nome all'interno di questa VPC.
--admin-state-up
Se impostato su false, la connessione al gateway VPN viene interrotta. Può essere true o false.
--dead-peer-detection-action
L'azione di rilevamento del peer morto. Può essere restart, clear, hold o none. (valore predefinito restart).
--dead-peer-detection-interval
L'intervallo di rilevamento dei peer morti in secondi (valore predefinito: 2).
--dead-peer-detection-timeout
Il timeout di rilevamento dei peer morti in secondi (valore predefinito: 10).
--distribute-traffic
Impostare su true per distribuire il traffico tra i Up tunnel della connessione gateway VPN quando il next hop di una rotta VPC è la VPN connection.This può essere true o false. Per ulteriori informazioni, vedere Distribuzione del traffico per una VPN basata su route.
--ike-policy
L'ID del criterio IKE.
--ipsec-policy
L'ID del criterio IPsec.
--local-ike-identity-type
Il tipo di identità IKE locale. Può essere fqdn, hostname, ipv4_address o key_id.
--local-ike-identity-value
Il valore dell'identità IKE locale.
--local-ike-identities
L'ID dell'identità IKE locale. LOCAL_IKE_IDENTITIES_JSON | @LOCAL_IKE_IDENTITIES_JSON_FILE in JSON o in un file JSON.
-peer-cidr
I CIDR dei peer per la risorsa.
-local-cidr
Il CIDR locale della risorsa.
-peer-ike-identity-type
Il tipo di identità IKE peer. Può essere ipv4_address, fqdn, hostname o key_id.
--peer-ike-identity-value
Il valore dell'identità IKE peer.

I gateway VPN basati sulla politica possono avere solo un'identità IKE locale.

Se un gateway VPN basato sull'instradamento ha identità IKE locali specificate, devono essere almeno due; la prima identità si applica al primo membro del gateway VPN e la seconda si applica al secondo membro.

--establish-mode
Può essere bidirectional o peer_only. La modalità bidirezionale avvia le negoziazioni del protocollo IKE (o i processi di rekeying) da entrambi i lati del gateway VPN. La modalità solo peer consente al peer di avviare le negoziazioni del protocollo IKE per questa connessione gateway VPN. Il peer è anche responsabile dell'avvio del processo di rekeying dopo che è stato stabilito il collegamento. Se la rekeying non si verifica, la connessione del gateway VPN viene rimossa dopo la scadenza della sua durata.
-output
Specifica che l'output sarà in formato JSON.
-q, --quiet
Sopprime l'output dettagliato.

Esempi di comando

  • Creare una connessione VPN per uno specifico ID gateway con i valori di configurazione richiesti: ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 169.21.50.5 lkj14b1oi0alcniejkso --local-cidr 10.240.0.0/24 --peer-cidr 192.168.1.0/24

  • Creare una connessione VPN per un gateway VPN basato su route con la funzione di distribuzione del traffico abilitata: ibmcloud is vpn-gateway-connection-create CONNECTION_NAME VPN_GATEWAY PEER PRESHARED_KEY --distribute-traffic true

  • Creare una connessione VPN con gli stessi parametri principali e le configurazioni DPD specificate: ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 169.21.50.5 lkj14b1oi0alcniejkso --local-cidr 10.240.0.0/24 --peer-cidr 192.168.1.0/24 --dead-peer-detection-action clear --dead-peer-detection-interval 33 --dead-peer-detection-timeout 100

  • Crea una connessione VPN con gli stessi parametri principali e politiche personalizzate con gli ID specificati: ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 169.21.50.5 lkj14b1oi0alcniejkso --local-cidr 10.240.0.0/24 --peer-cidr 192.168.1.0/24 --ipsec-policy 72251a2e-d6c5-42b4-97b0-b5f8e8d1f479 --ike-policy 72251a2e-d6c5-42b4-97b0-b5f8e8d1f480

  • Creare una connessione VPN con l'FQDN peer e specificare l'identità IKE locale e peer: ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 on-prem.my-company.com lkj14b1oi0alcniejkso --local-cidr 10.240.0.0/24 --peer-cidr 192.168.1.0/24 --local-ike-identities '[{"type":"key_id","value":"MTIzNA=="}]' --peer-ike-identity-type fqdn --peer-ike-identity-value on-prem.my-company.com --establish-mode peer_only

  • Creare una connessione VPN che consenta al peer di avviare le negoziazioni del protocollo IKE per questa connessione gateway VPN: ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 169.21.50.5 lkj14b1oi0alcniejkso --establish-mode peer_only --local-ike-identities '[{type:ipv4_address,value:2.2.2.2},{type:fqdn,value:sadsadasd.com}]' --peer-ike-identity-type key_id --peer-ike-identity-value MTIzNA==

  • Creare una connessione VPN utilizzando le opzioni di configurazione avanzata: ibmcloud is vpn-gateway-connection-create to-prem ${gateway_id} on-prem.test.com test123 --local-cidr 10.10.20.0/28 --peer-cidr 192.168.0.0/24 --peer-ike-identity-type ipv4_address --peer-ike-identity-value 192.168.0.1 --establish-mode peer_only

Aggiunta di un CIDR locale a una connessione gateway VPN dalla CLI

Prima di iniziare, configura il tuo ambiente CLI.

Per aggiungere un CIDR locale a una connessione gateway VPN dalla CLI, immetti il seguente comando:

Questo comando è supportato solo dai gateway VPN in modalità politica.

ibmcloud is vpn-gateway-connection-local-cidr-add VPN_GATEWAY CONNECTION PREFIX_ADDRESS PREFIX_LENGTH [--vpc VPC] [--output JSON] [-q, --quiet]

Dove:

VPN_GATEWAY
L'ID del gateway VPN.
CONNECTION
L'ID o il nome della connessione VPN.
PREFIX_ADDRESS
La parte di indirizzo del prefisso del CIDR.
PREFIX_LENGTH
La parte di lunghezza del prefisso del CIDR.
--output value
L'output in formato JSON.
-q, --quiet
Sopprime l'output dettagliato.

Esempio di comando

Aggiungere un CIDR locale per un nome di connessione specifico con i valori di configurazione richiesti: ibmcloud is vpn-gateway-connection-local-cidr-add my-vpn-gateway my-connection 3.3.3.0/24

Aggiunta di un CIDR peer a una connessione gateway VPN dalla CLI

Prima di iniziare, configura il tuo ambiente CLI.

Per aggiungere un CIDR peer a una connessione gateway VPN dalla CLI, immettere il seguente comando:

Questo comando è supportato solo dal gateway VPN in modalità normativa.

ibmcloud is vpn-gateway-connection-peer-cidr-add VPN_GATEWAY CONNECTION PREFIX_ADDRESS PREFIX_LENGTH [--vpc VPC] [--output JSON] [-q, --quiet]

Dove:

VPN_GATEWAY
ID del gateway VPN.
CONNECTION
ID o nome della connessione VPN.
PREFIX_ADDRESS
Parte dell'indirizzo del prefisso CIDR.
PREFIX_LENGTH
Parte della lunghezza del prefisso del CIDR.
--output value
Uscita in formato JSON.
-q, --quiet
Sopprimi l'output dettagliato.

Esempio di comando

Aggiungere un CIDR peer per un nome di connessione specifico con i relativi valori di configurazione richiesti: ibmcloud is vpn-gateway-connection-peer-cidr-add my-vpn-gateway my-connection 4.4.4.0/24

Aggiunta di una connessione con l'API

Per creare una connessione VPN con l'API, attieniti alla seguente procedura:

  1. Configura il tuo ambiente API con le variabili corrette.

  2. Memorizzare eventuali variabili aggiuntive da utilizzare nei comandi API, ad esempio:

    • vpnGatewayId- L'identificativo del gateway VPN.

      export vpnGatewayId=<your_vpn_gateway_id>

    • ikePolicyId- L'identificativo univoco per questa normativa IKE.

      export ikePolicyId=<your_ike_policy_id>

    • ipsecPolicyId- L'identificativo univoco per questa politica IPsec.

      export ipsecPolicyId=<your_ipsec_policy_id>

  3. Quando tutte le variabili vengono avviate, creare la connessione gateway VPN. Ad esempio:

       curl -X POST "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections?version=$api_version&generation=2" \
     -H "Authorization: $iam_token" \
     -d '{
         "name": "my-vpn-connection",
         "psk": "'$psk'",
         "dead_peer_detection": {
             "action": "restart",
             "interval": 2,
             "timeout": 10
         },
         "local": {
             "cidrs": "'$localCidrs'"
         },
         "peer": {
             "cidrs": "'$remoteCidrs'",
             "address": "7.8.9.10"
         }
         "ike_policy": {
             "id": "'$ikePolicyId'"
         },
         "ipsec_policy": {
             "id": "'$ipsecPolicyId'"
         }
     }'

  4. (Facoltativo) Per creare una connessione utilizzando le opzioni di configurazione avanzata:

    curl -X POST "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections?version=$api_version&generation=2"  \
      -H "Authorization: $iam_token"      -d '{  \
      "name": "my-advanced-vpn-connection",
      "establish_mode": "peer_only",
      "psk": "'$psk'",
      "dead_peer_detection": {
          "action": "restart",
          "interval": 2,
          "timeout": 10
      },
      "local": {
          "cidrs": "'$localCidrs'",
          "ike_identities": [
              {
                  "type": "key_id",
                  "value": "dGVzdGtleQ=="
              }
          ]
      },
      "peer": {
          "cidrs": "'$remoteCidrs'",
          "ike_identity": {
              "type": "hostname",
              "value": "cisco-asa"
          },
          "fqdn": "on-prem.test.com"
      }
      "ike_policy": {
          "id": "'$ikePolicyId'"
      },
      "ipsec_policy": {
          "id": "'$ipsecPolicyId'"
      },
      "distribute_traffic":true
  }'

Aggiunta di un CIDR locale a una connessione gateway VPN con l'API

Per aggiungere un CIDR locale a una connessione gateway VPN con l'API, attieniti alla seguente procedura:

Questa API è supportata solo dai gateway VPN in modalità politica.

  1. Configura il tuo ambiente API con le variabili corrette.

  2. Memorizzare eventuali variabili aggiuntive da utilizzare nei comandi API, ad esempio:

    • vpnGatewayId- L'identificativo del gateway VPN.

      export vpnGatewayId=<your_vpn_gateway_id>

    • connectionId- L'identificativo univoco per questa connessione VPN.

      export connectionId=<your_connection_id>

    • cidr_prefix- La parte di indirizzo del prefisso CIDR.

      export cidr_prefix=<your_cidr_prefix>

    • prefix_length- La parte di lunghezza del prefisso del CIDR.

      export prefix_length=<your_prefix_length>

  3. Quando tutte le variabili vengono avviate, aggiungere un CIDR locale a una connessione gateway VPN. Ad esempio:

       curl -X PUT "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections/$connectionId/local_cidrs/${cidr_prefix}/${prefix_length}?version=$api_version&generation=2" \
     -H "Authorization: $iam_token"

Aggiunta di un CIDR peer a una connessione gateway VPN con l'API

Per aggiungere un CIDR peer a una connessione gateway VPN con l'API, attieniti alla seguente procedura:

Questa API è supportata solo dai gateway VPN in modalità politica.

  1. Configura il tuo ambiente API con le variabili corrette.

  2. Memorizzare eventuali variabili aggiuntive da utilizzare nei comandi API, ad esempio:

    • vpnGatewayId- L'identificativo del gateway VPN

      export vpnGatewayId=<your_vpn_gateway_id>

    • connectionId- L'identificativo univoco per questa connessione VPN

      export connectionId=<your_connection_id>

    • cidr_prefix- La parte dell'indirizzo di prefisso del CIDR

      export cidr_prefix=<your_cidr_prefix>

    • prefix_length- La parte di lunghezza del prefisso del CIDR.

      export prefix_length=<your_prefix_length>

  3. Quando tutte le variabili vengono avviate, aggiungi un CIDR peer a una connessione gateway VPN. Ad esempio:

       curl -X PUT "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections/$connectionId/peer_cidrs/${cidr_prefix}/${prefix_length}?version=$api_version&generation=2" \
     -H "Authorization: $iam_token"

Aggiunta di una connessione utilizzando Terraform

Per aggiungere una connessione utilizzando Terraform, esegui questo comando:

   resource "ibm_is_vpn_gateway_connection" "is_vpn_gateway_connection" {
     name                 = "my-vpn-gateway-connection"
     vpn_gateway    = ibm_is_vpn_gateway.is_vpn_gateway.id
     peer_address   =  "7.8.9.10"
     preshared_key = var.presharedkey
     local_cidrs        = [var.localCIDR]
     peer_cidrs        = [var.peerCIDR]
   }

Il seguente esempio Terraform crea una connessione gateway VPN:

resource "ibm_is_vpn_gateway_connection" "is_vpn_gateway_connection" {
  name           = "my-vpn-gateway-connection"
  vpn_gateway    = ibm_is_vpn_gateway.is_vpn_gateway.id
  preshared_key  = "VPNDemoPassword"
  establish_mode = "bidirectional"
  peer {
    cidrs   = [var.peerCIDR]
    address = "7.8.9.10"
  }
  local {
    cidrs = [var.localCIDR]
  }
  ike_policy   = ibm_is_ike_policy.is_ike_policy.id
  ipsec_policy = ibm_is_ipsec_policy.is_ipsec_policy.id
}

Il seguente esempio di Terraform crea una connessione VPN per un gateway VPN basato su route con la funzione di distribuzione del traffico abilitata:


resource "ibm_is_vpn_gateway_connection" "test_VPNGatewayConnection1" {
    name = "example-vpn-gateway-connection"
    vpn_gateway = "${ibm_is_vpn_gateway.example.id}"
    peer_address = "${ibm_is_vpn_gateway.example.public_ip_address}"
    preshared_key = "VPNDemoPassword"
    distribute-traffic = true
}

Il seguente esempio Terraform crea una connessione VPN utilizzando le opzioni di configurazione avanzata:

resource "ibm_is_vpn_gateway_connection" "is_vpn_gateway_connection" {
  name           = "to-prem"
  vpn_gateway    = ibm_is_vpn_gateway.is_vpn_gateway.id
  preshared_key  = "test123"
  establish_mode = "peer_only"
  peer {
    cidrs   = ["192.168.0.0/24"]
    ike_identity {
      type  = "ipv4_address"
      value = "192.168.0.1"
    }
    fqdn = "on-prem.test.com"
  }
  local {
    cidrs = ["10.10.20.0/28"]
  }
}

Per ulteriori informazioni, vedi Registro Terraform.

Passi successivi

Per creare una VPN basata sull'instradamento, prima crea una tabella di instradamento, quindi crea un instradamento utilizzando il tipo di collegamento VPN.