IBM Cloud Docs
Creazione di un server VPN

Creazione di un server VPN

Crea un server VPN per consentire ai client da Internet di connettersi alla rete VPC mantenendo la connettività sicura.

È possibile creare un server VPN utilizzando la console, la CLI o l'API.

Prima di iniziare

Prima di eseguire il provisioning di un server VPN, completare i seguenti prerequisiti nel seguente ordine:

  1. Consultare Considerazioni sulla pianificazione per i server VPN.

  2. Decidere quale modalità di autenticazione del client VPN utilizzare: basata su certificato, ID utente e codice di accesso o entrambe. Per ulteriori informazioni, consultare Impostazione dell'autenticazione da client a sito.

  3. Crea una istanza del servizio Secrets Manager e gestisci certificati.

    Si consiglia di creare un certificato privato tenendo presente queste considerazioni.

  4. Creare un'autorizzazione IAM da servizio a servizio per il server VPN e IBM Cloud Secrets Manager.

  5. Creare un VPC e almeno una sottorete nel VPC selezionato.

    Per l'alta disponibilità, creare un VPC e due sottoreti in due zone differenti. Il server VPN risiede nelle due sottoreti.

Creazione di un server VPN nella console

Per creare un server VPN client-to-site nella console:

  1. Completare tutti i prerequisiti nella sezione "Prima di iniziare".

  2. Dal browser, aprire la console IBM Cloud e accedere al proprio account.

  3. Selezionare il menu di navigazione Icona del menu di navigazione, quindi fare clic su Icona Infrastruttura VPC > Rete > VPN.

  4. Fare clic su Crea nella parte superiore destra della pagina.

  5. Nella sezione Tipo VPN, fai clic su Client - to - site servers.

    Sezione tipo VPN
    Sezione tipo VPN

    La sezione Ubicazioni mostra la regione in cui si trova il VPC e in cui verrà eseguito il provisioning del server VPN.

  6. Nella sezione Dettagli, specificare le seguenti informazioni:

    • Nome server VPN- Immettere un nome per il server VPN, ad esempio my-vpn-server.

    • Gruppo di risorse- Selezionare un gruppo di risorse per il server VPN.

    • Tag- Facoltativamente, aggiungi le tag per organizzare, tenere traccia dei costi di utilizzo o gestire l'accesso alle tue risorse.

    • Tag di gestione degli accessi- Facoltativamente, aggiungere tag di gestione degli accessi alle risorse per organizzare le relazioni di controllo degli accessi. L'unico formato supportato per le tag di gestione accessi è key:value. Per ulteriori informazioni, vedi Controllo dell'accesso alle risorse utilizzando le tag.

    • Virtual private cloud- seleziona il VPC per il server VPN.

    • Client IPv4 address pool- Immettere un intervallo CIDR. Al client viene assegnato un indirizzo IP per la relativa sessione da questo pool di indirizzi.

      Sezione Dettagli VPN
      sezione Dettagli VPN

  7. Nella sezione Sottoreti, specificare le seguenti informazioni:

    • Selezionare una modalità server VPN:

      • Modalità ad alta disponibilità - Distribuisce il server VPN su due sottoreti in zone diverse. Ideale per le distribuzioni su più zone e le soluzioni in cui l'accesso VPN al client è fondamentale.
      • Modalità stand-alone - Distribuisce il server VPN in una singola subnet e zona. Ideale per le distribuzioni su una singola zona, in cui la resilienza a più zone non è richiesta.

    • Specifica la sottorete (modalità autonoma) o le sottoreti (modalità HA) per il tuo VPC.

      Sezione sottoreti VPN
      Sezione sottoreti VPN

  8. Nella sezione Autenticazione, specificare le seguenti informazioni:

    • Autenticazione server VPN- selezionare il certificato SSL del server da Secrets Manager. Completare tutti i campi obbligatori.

      Sezione di autenticazione server VPN
      Sezione di autenticazione server VPN

    • Modalità di autenticazione client- Selezionare questa opzione per configurare l'autenticazione utente mediante l'utilizzo di un certificato client, di un ID utente e di un codice di accesso o di entrambi.

      • Certificato client - È possibile selezionare un certificato client e configurare un ID utente e un codice di accesso per una sicurezza ottimale. L'ID utente e il codice di accesso costituiscono un ulteriore livello di sicurezza che richiede credenziali di accesso aggiuntive per l'accesso all'account.

        Facoltativamente, è possibile caricare un CRL (Certificate Revocation List) in formato PEM. Dopo aver caricato una CRL, il file PEM viene visualizzato come nome del server VPN.

      • ID utente e codice di accesso - Configurare l'autenticazione aggiunta per gli utenti client VPN. Questo metodo di autenticazione offre un ulteriore livello di sicurezza che si integra con IBM Cloud IAM per completare l'autenticazione client. Al termine dell'autenticazione, il sistema passa il codice al client openVPN per l'autenticazione.

      Sezione autenticazione client VPN
      Sezione autenticazione client VPN

  9. Nella sezione Gruppi di sicurezza, selezionare almeno un gruppo di protezione.

    Per configurare uno o più gruppi di sicurezza e le relative regole o, facoltativamente, per configurare le liste di controllo degli accessi (ACL) sulla sottorete in cui si intende distribuire il server VPN e sulle altre sottoreti VPC che comunicano attraverso il tunnel VPN, vedere Configurazione delle ACL da utilizzare con un server VPN.

    Sezione Gruppi di sicurezza VPN
    Sezione Gruppi di sicurezza VPN

    Puoi collegare i gruppi di sicurezza dopo il provisioning dalla pagina dei dettagli del server VPN (scheda Gruppi di protezione).

  10. Nella sezione Configurazione aggiuntiva, specificare le seguenti informazioni:

    • Indirizzo IP del server DNS- Facoltativamente, specificare uno o due indirizzi IP del server DNS per la risoluzione del nome dominio.

    • Sessione di timeout inattiva (secondi)- Se il server VPN non ha traffico prima dello scadere di questo intervallo, viene disconnesso automaticamente. Questo valore può variare da 0 a 28800 secondi. Il valore predefinito è 600 secondi.

    • Protocollo di trasporto- Selezionare uno dei seguenti protocolli e immettere una porta VPN valida (1 - 65535).

      • UDP è un protocollo senza connessione che esegue una verifica degli errori ma elimina i pacchetti con errori. Più rapido rispetto a TCP.
      • TCP è un protocollo orientato alla connessione con la verifica degli errori e il ripristino da essi. Più affidabile rispetto a UDP.

    • Modalità tunnel- Specificare uno dei seguenti:

      • Tunnel completo - Tutto il traffico scorre attraverso l'interfaccia VPN verso il tunnel VPN.

      • Tunnel diviso - Il traffico privato scorre attraverso l'interfaccia VPN verso il tunnel VPN, mentre il traffico pubblico scorre attraverso l'interfaccia LAN esistente.

        Sezione di configurazione aggiuntiva VPN
        Sezione di configurazione aggiuntiva VPN

Creazione di un server VPN dalla CLI

Prima di iniziare, configura il tuo ambiente CLI.

Per creare un server VPN dalla CLI, immetti il seguente comando:

ibmcloud is vpn-server-create --subnets SUBNETS --client-ip-pool CLIENT_IP_POOL --cert CERT (--client-auth-methods certificate | username | certificate,username | username,certificate) [--client-ca CLIENT_CA] [--client-crl CLIENT_CRL] [--client-dns CLIENT_DNS] [--client-idle-timeout CLIENT_IDLE_TIMEOUT] [--enable-split-tunnel false | true] [--port PORT] [--protocol udp | tcp] [--security-group SECURITY_GROUP1 --security-group SECURITY_GROUP2 ...] [--name NAME] [--resource-group-id RESOURCE_GROUP_ID | --resource-group-name RESOURCE_GROUP_NAME] [--output JSON] [-q, --quiet]

Opzioni comando

  • -- Sottoreti: ID separati da virgole delle sottoreti in cui fornire il server VPN. Utilizzare sottoreti in zone diverse per l'alta disponibilità; è possibile impostare al massimo due sottoreti.
    • -client-ip-pool: Il pool di indirizzi del client VPN IPv4, espresso in formato CIDR. La richiesta non deve sovrapporsi ad alcun prefisso di indirizzo esistente nel VPC o ad uno dei seguenti intervalli di indirizzi riservati: 127.0.0.0/8 (indirizzi di loopback IPv4), 161.26.0.0/16 (servizi IBM), 166.8.0.0/14 (endpoint del servizio cloud), 169.254.0.0/16 (indirizzi IPv4 locali rispetto al collegamento), 224.0.0.0/4 (indirizzi multicast IPv4). La lunghezza del prefisso del CIDR del pool di indirizzi IP del client deve essere compreso tra /9 (8.388.608 indirizzi) e /22 (1024 indirizzi). È consigliato un blocco CIDR che contiene due volte il numero degli indirizzi IP richiesti per abilitare il numero massimo di connessioni simultanee.
    • -cert: L'istanza di certificato CRN per questo server VPN.
  • - - client - auth - methods: elenco separato da virgole di metodi di autenticazione client. Uno tra: certificate, username, certificate, username, username, certificate.
    • -client-ca: Il CRN dell'istanza di certificato da utilizzare per l'autorità di certificazione (CA) del client VPN.
  • -- client-crl: CRL | @CRL-file. Il contenuto dell'elenco di revoca dei certificati, codificato in formato PEM.
    • -client-dns: Separato da virgole degli indirizzi dei server DNS che saranno forniti ai client VPN connessi a questo server VPN. È possibile impostare al massimo due server DNS.
  • -- timeout di inattività del client: I secondi in cui un client VPN può rimanere inattivo prima che il server VPN lo disconnetta. Specificare 0 per evitare che il server disconnetta i client inattivi (valore predefinito: 600 ).
    • -enable-split-tunnel: Indica se lo split tunneling è abilitato su questo server VPN. Uno tra: false, true (valore predefinito: false).
  • -- Porta: Il numero di porta da utilizzare per questo server VPN (valore predefinito: 443 ).
  • -- Protocollo: Il protocollo di trasporto da utilizzare per questo server VPN. Uno tra: udp, tcp (valore predefinito udp).
  • -- Gruppo di sicurezza: ID del gruppo di sicurezza.
  • -- Nome: nuovo nome per il server vpn.
  • --resource-group-id: ID del gruppo di risorse. Questa opzione è reciprocamente esclusiva con --resource-group-name.
  • --resource-group-name: nome del gruppo di risorse. Questa opzione è reciprocamente esclusiva con --resource-group-id.
    • -output: Specifica il formato di uscita; è supportato solo JSON. Uno tra: JSON.
  • -q, --quiet: Sopprime l'output verboso.

Esempi di comando

  • ibmcloud is vpn-server-create --subnets 0717-a7191f77-7c87-4ad4-bb11-a37f9e9fc0f0,0736-4b871e22-e819-4f87-bb17-e457a88246a2 --cert crn:v1:bluemix:public:cloudcerts:us-south:a/aa5a471f75bc456fac416bf02c4ba6de:1862b0b4-c1f8-4eef-a6b5-e9c00c9f593d:certificate:6c801ef768c139d986b4c6f91175e8cc --client-ip-pool 190.165.7.0/20 --client-auth-methods certificate --client-ca crn:v1:bluemix:public:cloudcerts:us-south:a/aa5a471f75bc456fac416bf02c4ba6de:1862b0b4-c1f8-4eef-a6b5-e9c00c9f593d:certificate:6c801ef768c139d986b4c6f91175e8cc
  • ibmcloud is vpn-server-create --name myvpnserver --subnets 0717-a7191f77-7c87-4ad4-bb11-a37f9e9fc0f0,0736-4b871e22-e819-4f87-bb17-e457a88246a2 --cert crn:v1:bluemix:public:cloudcerts:us-south:a/aa5a471f75bc456fac416bf02c4ba6de:1862b0b4-c1f8-4eef-a6b5-e9c00c9f593d:certificate:6c801ef768c139d986b4c6f91175e8cc --client-ip-pool 190.166.7.0/20 --client-auth-methods username
  • ibmcloud is vpn-server-create --name myvpnserver2 --subnets 0717-a7191f77-7c87-4ad4-bb11-a37f9e9fc0f0 --cert crn:v1:bluemix:public:cloudcerts:us-south:a/aa5a471f75bc456fac416bf02c4ba6de:1862b0b4-c1f8-4eef-a6b5-e9c00c9f593d:certificate:6c801ef768c139d986b4c6f91175e8cc --client-ip-pool 190.167.7.0/20 --client-auth-methods username --client-dns 9.9.9.9,8.8.8.8 --protocol tcp --port 8888 --enable-split-tunnel true --client-idle-timeout 1200
  • ibmcloud is vpn-server-create --name myvpnserver3 --subnets 0717-a7191f77-7c87-4ad4-bb11-a37f9e9fc0f0 --cert crn:v1:bluemix:public:cloudcerts:us-south:a/aa5a471f75bc456fac416bf02c4ba6de:1862b0b4-c1f8-4eef-a6b5-e9c00c9f593d:certificate:6c801ef768c139d986b4c6f91175e8cc --client-ip-pool 190.168.7.0/20 --client-auth-methods username --security-group r006-e32f671c-463d-4f93-88e3-2dd0413476b4 --security-group r006-3af7a9db-d9bc-43d4-bced-93e0a33fee25
  • ibmcloud is vpn-server-create --subnets 0736-4b871e22-e819-4f87-bb17-e457a88246a2 --client-ip-pool 192.170.0.0/22 --client-dns 172.34.1.100 --cert crn:v1:bluemix:public:cloudcerts:us-south:a/0046b57b897f419080c4ed3e011b86d4:5f1a72bc-b4c2-413f-bd22-011cfa4be5db:certificate:c81627a1bf6f766379cc4b98fd21ccd6 --client-auth-methods certificate,username --client-ca crn:v1:bluemix:public:cloudcerts:us-south:a/0046b57b897f419080c4ed3e011b86d4:5f1a72bc-b4c2-413f-bd22-011cfa4be5db:certificate:c81627a1bf6f766379cc4b98fd21ccd6 --client-crl @./openvpn/crl.pem --name vpnswithcrl --security-group r006-5744b689-e5c4-461d-9f9b-ce5e7e8dbed6

Creazione di un server VPN con l'API

Per creare un server VPN client - to - site con l'API, attieniti alla seguente procedura:

  1. Configura il tuo ambiente API con le variabili corrette.

  2. Memorizzare eventuali variabili aggiuntive da utilizzare nei comandi API; ad esempio:

    • ResourceGroupId- Trova l'ID gruppo di risorse utilizzando il comando get resource groups e popola la variabile:

      export ResourceGroupId=<your_resourcegroup_id>

    • SubnetId- Trova l'ID sottorete utilizzando il comando get subnet e popola la variabile:

      export SubnetId=<your_subnet_id>

  3. Quando tutte le variabili vengono avviate, creare il server VPN:

       curl -X POST "$vpc_api_endpoint/v1/vpn_servers?version=$api_version&generation=2" \
     -H "Authorization: $iam_token" \
     -d '{
        "certificate": {
            "crn": "crn:v1:bluemix:public:cloudcerts:us-south:a/aa5a471f75bc456fac416bf02c4ba6de:1862b0b4-c1f8-4eef-a6b5-e9c00c9f593d:certificate:6c801ef768c139d986b4c6f91175e8cc"
         },
        "client_ip_pool": "192.168.50.0/22",
        "name": "my-new-vpn-server",
        "subnets": [
            {
                  "id": "0716-046c3fd3-1cc5-40f6-b0ad-bbc305308f6d"
            },
            {
                  "id": "0717-30ff71ff-3e90-42a9-aa93-96a062081f18"
            }
         ],
        "client_authentication": [
            {
                  "method": "certificate",
                  "client_ca": {
                     "crn": "crn:v1:bluemix:public:cloudcerts:us-south:a/aa5a471f75bc456fac416bf02c4ba6de:1862b0b4-c1f8-4eef-a6b5-e9c00c9f593d:certificate:6c801ef768c139d986b4c6f91175e8cc"
                  }
            },
            {
                  "method": "username",
                  "identity_provider": {
                     "provider_type": "iam"
                  }
            }
         ]
        "resource_group": {
          "id": "'$ResourceGroupId'"
        }
      }'

Passi successivi

  1. Per convalidare che il server VPN è stato creato correttamente, attendere alcuni minuti e passare quindi alla tabella Server da client a sito per garantire che lo stato del server VPN sia Stable e che lo stato di integrità sia Healthy.
  2. Crea instradamenti VPN.
  3. Impostare un ambiente client VPN e connettersi al server VPN.