Gestione degli instradamenti VPN
Ogni VPN da client a sito utilizza una tabella di instradamento per elencare gli instradamenti di rete di destinazione, a cui è indirizzato il traffico di rete. Per specificare quali client hanno accesso alla rete di destinazione, configurare le regole di autorizzazione per ciascun instradamento VPN da client a sito.
Gli IP privati non sono statici e possono cambiare in qualsiasi momento. Non creare instradamenti e provare a utilizzare gli indirizzi IP privati.
Utilizzo di split - tunnel sulle VPN da client a sito
Quando la VPN viene stabilita nella configurazione split - tunnel, tutti gli instradamenti nelle tabelle di instradamento del server VPN da client a sito vengono aggiunti alla tabella di instradamento del client. È necessario reimpostare la connessione se si aggiungono instradamenti in un secondo momento, per assicurarsi che il nuovo instradamento venga consegnato al client.
Per evitare di esaurire gli instradamenti, prendere nota della capacità di instradamento della periferica client prima di modificare la tabella di instradamento del server VPN da client a sito.
Creare un percorso nella console
Specificare come viene indirizzato il traffico di rete di destinazione creando un instradamento. Per creare un instradamento, il server client VPN deve avere uno stato di integrità "Integro" e uno stato server "Stabile".
Aggiungi 0.0.0.0/0
come instradamento per abilitare l'accesso dei clienti a internet.
- Dal browser, aprire la console IBM Cloud e accedere al proprio account.
- Selezionare il menu di navigazione
, quindi fare clic su Icona Infrastruttura
> Rete > VPN.
- Selezionare la scheda Server da client a sito.
- Selezionare il server VPN in cui si desidera aggiungere un instradamento. Quindi, selezionare la scheda Instradamenti server VPN.
- Selezionare Crea +.
- Assegnare un nome al percorso.
- Specificare un intervallo CIDR di destinazione per la rete di destinazione. Ad esempio:
- Per l'accesso a Internet, immettere
0.0.0.0/0
. - Per una rete in loco, immetti l'intervallo CIDR IPv4 della connessione gateway site - to - site.
- Per la sottorete VPC, immettere il CIDR della sottorete VPC.
- Per l'accesso a Internet, immettere
- Scegliere un'azione:
- Consegna- da utilizzare quando la destinazione della rotta è nel VPC o una sottorete privata in loco connessa utilizzando il gateway VPN. Quando gli instradamenti VPN utilizzano l'azione Consegna, l'IP client viene conservato.
- Rilascia- utilizzare quando si desidera bloccare il traffico dal client, per inoltrare il traffico di rete indesiderato o indesiderato a un percorso null o "black hole".
- Translate- Utilizzare per convertire l'IP di origine nell'IP privato del server VPN prima che venga inviato dal server VPN, rendendo l'IP del client VPN invisibile ai dispositivi di destinazione.
- Fai clic su Crea.
Puoi selezionare Modifica dal menu Azioni dell'instradamento del server VPN per modificare il nome del tuo instradamento.
Eliminazione di un percorso nella console
Per eliminare una rotta utilizzando la IU, attieniti alla seguente procedura:
- Dal browser, aprire la console IBM Cloud e accedere al proprio account.
- Selezionare il menu di navigazione
, quindi fare clic su Icona Infrastruttura
> Rete > VPN.
- Selezionare la scheda Server da client a sito.
- Selezionare il server VPN in cui si desidera eliminare un instradamento. Quindi, dal menu Azioni, selezionare Elimina.
- Selezionare nuovamente Elimina per confermare l'eliminazione.
Creazione di una rotta dalla CLI
Prima di iniziare, configura il tuo ambiente CLI.
Per creare una rotta del server VPN dalla CLI, immetti il seguente comando:
ibmcloud is vpn-server-route-create VPN_SERVER_ID --destination DESTINATION_CIDR [--action translate | deliver | drop] [--name NAME] [--output JSON] [-q, --quiet]
Dove:
- VPN_SERVER_ID: l'ID del server VPN.
- -- azione: L'azione da eseguire con un pacchetto che corrisponde alla rotta. Uno tra: translate, deliver, drop. (valore predefinito: consegna).
- -- Destinazione: è la destinazione da utilizzare per questa rotta VPN nel server VPN. Deve essere univoco nel server VPN. Se un pacchetto in arrivo non corrisponde a nessuna destinazione, viene eliminato.
- -- name: il nome dell'instradamento VPN.
- -- output: specifica il formato di output, è supportato solo JSON. Uno tra: JSON.
- -q, --quiet: sopprime l'output verboso.
Ad esempio:
-
ibmcloud is vpn-server-route-create r006-77e21079-7291-44c2-866a-8f1848bc10f0 --name myroute --action deliver --destination 10.0.0.0/24
-
ibmcloud is vpn-server-route-create r006-77e21079-7291-44c2-866a-8f1848bc10f0 --name myroute --action drop --destination 10.0.0.0/24
Aggiornamento di una rotta dalla CLI
Per aggiornare una rotta del server VPN dalla CLI, immetti il seguente comando:
ibmcloud is vpn-server-route-update VPN_SERVER_ID ROUTE_ID [--name NAME] [--output JSON] [-q, --quiet]
Dove:
- VPN_SERVER_ID: l'ID del server VPN.
- ROUTE_ID: l'ID della rotta VPN.
- -- Nome: il nuovo nome della rotta VPN.
- -- output: specifica il formato di output, è supportato solo JSON. Uno tra: JSON.
- -q, --quiet: sopprime l'output verboso.
Ad esempio:
ibmcloud is vpn-server-route-update r006-77e21079-7291-44c2-866a-8f1848bc10f0 1233a60b-fc95-4dbc-96ab-a976b723bfb0 --name myroute
Visualizzazione dei dettagli della rotta VPN dalla CLI
Per visualizzare i dettagli di un instradamento VPN, immetti il seguente comando:
ibmcloud is vpn-server-route VPN_SERVER_ID ROUTE_ID [--output JSON] [-q, --quiet]
Dove:
- VPN_SERVER_ID: l'ID del server VPN.
- ROUTE_ID: l'ID della rotta VPN.
- -- output: specifica il formato di output, è supportato solo JSON. Uno tra: JSON.
- -q, --quiet: sopprime l'output verboso.
Visualizzazione di tutte le rotte utilizzando la CLI
Prima di iniziare, configura il tuo ambiente CLI.
Per visualizzare un elenco di instradamenti del server VPN per un server VPN dalla CLI, immetti il seguente comando:
ibmcloud is vpn-server-routes VPN_SERVER_ID [--resource-group-id RESOURCE_GROUP_ID | --resource-group-name RESOURCE_GROUP_NAME | --all-resource-groups] [--output JSON] [-q, --quiet]
Dove:
- VPN_SERVER_ID: l'ID del server VPN.
- -- ID del gruppo di risorse: L'ID del gruppo di risorse. Questa opzione è reciprocamente esclusiva con --resource-group-name.
- -- Nome del gruppo di risorse: Il nome del gruppo di risorse. Questa opzione è reciprocamente esclusiva con --resource-group-id.
- - - all - resource - groups: Query di tutti i gruppi di risorse.
- -- output: specifica il formato di output, è supportato solo JSON. Uno tra: JSON.
- -q, --quiet: sopprime l'output verboso.
Eliminazione di una rotta tramite la CLI
Per eliminare una rotta del server VPN dalla CLI, immetti il seguente comando:
ibmcloud is vpn-server-route-delete VPN_SERVER_ID (ROUTE_ID1 ROUTE_ID2 ...) [--output JSON] [-f, --force] [-q, --quiet]
Dove:
- VPN_SERVER_ID: l'ID del server VPN.
- ROUTE_ID1: l'ID dell'instradamento VPN.
- ROUTE_ID2: l'ID dell'instradamento VPN.
- -- output: specifica il formato di output, è supportato solo JSON. Uno tra: JSON.
-
- -force, -f: forza l'operazione senza conferma.
- -q, --quiet: sopprime l'output verboso.
Creazione di una rotta utilizzando l'API
Per creare un instradamento VPN nel server VPN con l'API, attieniti alla seguente procedura:
-
Configura il tuo ambiente API con le variabili corrette.
-
Eseguire un POST a
/vpn_servers/{vpn_server_id}/routes
.curl -X POST "$vpc_api_endpoint/v1/vpn_servers/$vpn_server_id/routes?version=$api_version&generation=2" \ -H "Authorization: $iam_token" \ -d '{ "name":"my-route-1", "destination": "10.10.10.0/24", "action": "translate" }'
Aggiornamento di una rotta utilizzando l'API
Per aggiornare un instradamento sul server VPN con l'API, attieniti alla seguente procedura:
-
Configura il tuo ambiente API con le variabili corrette.
-
Eseguire un PATCH su
/vpn_servers/{vpn_server_id}/routes/{id}
curl -X PUT "$vpc_api_endpoint/v1/vpn_servers/$vpn_server_id/routes/$route_id?version=$api_version&generation=2" \ -H "Authorization: $iam_token" \ -d '{ "name":"new-route-name" }'
Visualizzazione di una rotta utilizzando l'API
Per visualizzare un instradamento su un server VPN con l'API, segui questa procedura:
-
Configura il tuo ambiente API con le variabili corrette.
-
Quando vengono avviate tutte le variabili, elencare gli instradamenti:
curl -sS -X GET \ -H "Authorization: $iam_token" \ "$vpc_api_endpoint/v1/vpn_servers/$vpn_server_id/routes?version=$api_version&generation=2" | jq
L'esempio utilizza come parser
jq
, uno strumento di terze parti con licenza MIT.jq
potrebbe non essere preinstallato su tutte le immagini VPC disponibili al momento della creazione di un'istanza. Potrebbe essere necessario installarejq
prima dell'uso o utilizzare un altro parser di propria scelta. -
Eseguire un GET su
/vpn_servers/{vpn_server_id}/routes/{id}
. Per dettagli, consultarelist_vpn-server_routes
.curl -sS -X GET \ -H "Authorization: $iam_token" \ "$vpc_api_endpoint/v1/vpn_servers/$vpn_server_id/routes/$route_id?version=$api_version&generation=2" | jq
Eliminazione di una rotta utilizzando l'API
Per eliminare un instradamento su un server VPN con l'API, attieniti alla seguente procedura:
-
Configura il tuo ambiente API con le variabili corrette.
-
Eseguire un'operazione DELETE su
/vpn_servers/{vpn_server_id}/routes/{id}
.curl -sS -X DELETE \ -H "Authorization: $iam_token" \ "$vpc_api_endpoint/v1/vpn_servers/$vpn_server_id/routes/$route_id?version=$api_version&generation=2"