Conexión VPN a AWS

El primer paso del proceso de configuración es crear un gateway de cliente temporal. Esta puerta de enlace de cliente temporal se utiliza para aprovisionar inicialmente la VPN del sitio al sitio de AWS, mostrando el punto final de la VPN del túnel. OCI requiere la IP pública del par de VPN remoto antes de crear una conexión IPSec. Una vez completado este proceso, se configura un nuevo gateway en el cliente que representa la IP pública del punto final VPN real de OCI.

1. En el portal principal de AWS, amplíe el menú Services (Servicios) en la parte superior izquierda de la pantalla. Vaya a VPC en Networking & Content Delivery.
2. En el menú de la izquierda, desplácese hacia abajo y seleccione Customer Gateways en Virtual Private Network (VPN).
3. Seleccione Create Customer Gateway para crear un gateway de cliente.

4. Accederá a la página Create Customer Gateway. Introduzca la siguiente información:

   • Name: asigne a esta puerta de enlace de cliente el nombre temporal. En este ejemplo, se usa el nombre TempGateway.
   • Routing: seleccione Dynamic.
   • BGP ASN: introduzca el ASN de BGP de OCI. El ASN de BGP de Oracle para la nube comercial es 31898, excepto la región Serbia Central (Jovanovac), que es 14544.

   • IP Address: utilice cualquier dirección IPv4 válida para el gateway temporal. En este ejemplo se utiliza 1.1.1.1.

     Cuando haya terminado de configurar el gateway de cliente temporal, seleccione Crear gateway de cliente para completar el aprovisionamiento.

1. En el menú de La izquierda de AWS, desplácese hacia abajo y seleccione Virtual Private Gateways en Virtual Private Network (VPN).

2. Seleccione el botón Crear gateway privado virtual para crear un nuevo gateway privado virtual.

3. Accederá a la página Create Virtual Private Gateway. Introduzca la siguiente información:

   • Name: asigne un nombre al gateway privado virtual (VPG).

   • ASN: seleccione Amazon default ASN.

     Cuando haya terminado de configurar el gateway privado virtual, seleccione el botón Crear gateway privado virtual para completar el aprovisionamiento.

4. Una vez creado el VPG, debe asociarlo al VPC que desee.

   Mientras se encuentre en la página Virtual Private Gateway, asegúrese que el VPG esté seleccionado, seleccione el menú Actions y, a continuación, Attach to VPC.

5. Accederá a la página Attach to VPC del gateway privado virtual seleccionado.

   Seleccione la VPC de la lista y, a continuación, seleccione el botón Yes, Attach (Sí, adjuntar) para terminar de asociar el VPG a la VPC.

1. En el menú de la izquierda, desplácese hacia abajo y seleccione Site-to-Site VPN Connections en Virtual Private Network (VPN).
2. Seleccione Create VPN Connection para crear un nuevo gateway privado virtual.
3. Accederá a la página Create VPN Connection. Introduzca la siguiente información:
   • Etiqueta de nombre: asigne un nombre a la conexión VPN.
   • Tipos de gateway de destino: seleccione Gateway Privado Virtual y, a continuación, seleccione el gateway privado virtual creado anteriormente en la lista.
   • Customer Gateway: seleccione Existing y, a continuación, seleccione el gateway de cliente temporal en la lista.
   • Routing Options: seleccione Dynamic (requires BGP).
   • Tunnel inside Ip Version: seleccione IPv4.

   • Local/Remote IPv4 Network Cidr: deje ambos campos en blanco y cree una VPN IPSec basada en cualquier ruta.

     Vaya al paso siguiente. NO seleccione el botón Crear conexión VPN todavía.

4. Mientras sigue en la página Create VPN Connection, vaya a Tunnel Options.

   Seleccione un CIDR /30 dentro del rango local de 169.254.0.0/16 del enlace. Introduzca el CIDR completo en el campo Inside IPv4 CIDR for Tunnel 1.

   Asegúrese de que OCI soporte la dirección /30 elegida para las IP de túnel internas. OCI no permite utilizar los siguientes rangos IP para los IP de túnel internos:

   • 169.254.10.0-169.254.19.255
   • 169.254.100.0-169.254.109.255
   • 169.254.192.0-169.254.201.255

   Vaya al paso siguiente. NO seleccione el botón Crear conexión VPN todavía.

5. En Opciones avanzadas para túnel 1, seleccione el botón de radio de Editar opciones de túnel 1. Se ampliará un juego adicional de opciones.

   Si desea ser restrictivo con los algoritmos de criptografía utilizados para este túnel, configure aquí las opciones de fase 1 y fase 2 deseadas. Recomendamos utilizar IKEv2 para esta conexión. Desactive la casilla de control IKEv1 para evitar que se utilice IKEv1. Para ver las opciones fase 1 y fase 2 que soporta OCI, consulte Parámetros IPSec soportados.

   Cuando haya terminado de configurar todas las opciones deseadas, seleccione el botón Create VPN Connection (Crear conexión VPN) en la parte inferior para terminar de aprovisionar la conexión VPN.

Mientras se aprovisiona la conexión VPN, descargue la configuración de toda la información del túnel. Este archivo es necesario para completar la configuración del túnel en la consola de OCI.

1. Asegúrese de que la conexión VPN esté seleccionada y, a continuación, seleccione el botón Download Configuration (Descargar configuración).
2. Seleccione el valor "Genérico" de Vendor y Plataforma y, por último, seleccione el botón Descargar para guardar una copia de texto de la configuración en el disco duro local.
3. Abra el archivo de configuración descargado en cualquier editor de texto.

   Consulte IPSec Tunnel #1, sección #1 Internet Key Exchange Configuration. Aquí encontrará una clave compartida previamente generada automáticamente para el túnel. Guarde este valor.

   AWS puede generar una clave compartida previamente con los caracteres de punto o guion bajo (. o _). OCI no soporta el uso de esos caracteres en una clave compartida previamente. Es necesario cambiar una clave que incluya estos valores. Para cambiar la clave compartida previamente en AWS para un túnel, seleccione la conexión VPN, seleccione el menú Acciones y, a continuación, Modificar opciones de túnel VPN.

4. Mientras se encuentra en Tunnel 1 en la configuración descargada, vaya a la sección #3 Tunnel Interface Configuration.

   Anote los siguientes valores para completar la configuración de la VPN de sitio a sitio en OCI:

   • Dirección IP externa del gateway privado virtual
   • IP interna del gateway de cliente
   • IP interna del gateway privado virtual
   • ASN de BGP del gateway privado virtual. El valor de ASN por defecto 64512.

1. Abra el menú de navegación y seleccione Red. En Conectividad de cliente, seleccione Equipo local de cliente.
2. Seleccione Crear equipo local del cliente.

3. Introduzca los siguientes valores:

   • Crear en compartimento: seleccione el compartimento de la VCN que desee.
   • Nombre: un nombre descriptivo del objeto de CPE. No es necesario que sea único y no se puede cambiar posteriormente en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.

     En este ejemplo se utiliza "TO_AWS" como nombre.

   • Dirección IP: introduzca la dirección IP externa del gateway privado virtual que se muestra en la configuración descargada desde AWS.
   • Proveedor de CPE: seleccione Otro.
4. Seleccione Crear CPE.

1. Abra el menú de navegación y seleccione Red. En Conectividad de cliente, seleccione VPN de sitio a sitio.
2. Select Create IPSec Connection.

3. Introduzca los siguientes valores:

   • Crear en compartimiento: déjelo tal cual (el compartimiento de la VCN).
   • Nombre: introduzca un nombre descriptivo para la conexión IPSec ( ejemplo: OCI-AWS-1). No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
   • Compartimiento del equipo local del cliente: déjelo tal cual (compartimiento de la VCN).
   • Equipo local de cliente: seleccione el objeto CPE que ha creado antes, denominado TO_AWS.
   • Compartimiento de gateway de enrutamiento dinámico: déjelo tal cual (compartimiento de la VCN).
   • Gateway de enrutamiento dinámico: seleccione el DRG creado anteriormente.
   • CIDR de ruta estática: introduzca una ruta por defecto, 0.0.0.0/0. Dado que el túnel activo utiliza BGP, OCI ignora esta ruta. Se necesita una entrada para el segundo túnel de la conexión IPSec, que utiliza por defecto el enrutamiento estático, pero la dirección no se utiliza en este escenario. Si tiene previsto utilizar un enrutamiento estático para esta conexión, introduzca rutas estáticas que representan las redes virtuales AWS. Se pueden configurar hasta 10 rutas estáticas para cada conexión IPSec.

4. Introduzca los siguientes detalles en el separador Túnel 1 (requerido):

   • Nombre: introduzca un nombre descriptivo para el túnel (por ejemplo, AWS-TUNNEL-1). No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
   • Proporcionar secreto compartido personalizado: introduzca la clave precompartida que utiliza IPSec para este túnel. Seleccione esta casilla de control e introduzca la clave compartida previamente desde el archivo de configuración de VPN de AWS.
   • Versión de IKE: seleccione IKEv2.
   • Tipo de enrutamiento: seleccione envío dinámico de BGP.
   • ASN de BGP: introduzca el ASN de BGP utilizado por AWS tal y como se ha encontrado en el archivo de configuración de VPN de AWS. El ASN de BGP de AWS por defecto es 64512.
   • IPv4 Interfaz de túnel interna - CPE: introduzca la dirección IP interna del gateway privado virtual en el archivo de configuración de VPN de AWS. Utilice la notación CIDR completa para esta dirección IP.
   • IPv4 Interfaz de túnel interna - Oracle: introduzca la dirección IP interna que utiliza OCI. En referencia al archivo de configuración de VPN de AWS, introduzca la dirección IP interna del gateway de cliente. Utilice la notación CIDR completa para esta dirección IP.

5. Select Create IPSec Connection.

   Se creará la conexión IPSec y se mostrará en la página. La conexión tendrá el estado Aprovisionando durante un período corto.

6. Después de aprovisionar la conexión IPSec, anote la Dirección IP Oracle VPN del túnel. Esta direccin se utiliza para crear un nuevo gateway del cliente en el portal de AWS.
   1. Abra el menú de navegación y seleccione Red. En Conectividad de cliente, seleccione VPN de sitio a sitio.

      Se muestra una lista de las conexiones de IPSec en el compartimiento que esté viendo. Si no ve la política que está buscando, verifique que está viendo el compartimento correcto. Para ver las políticas asociadas a un compartimento diferente, en Ámbito de lista, seleccione ese compartimento en la lista.

   2. Seleccione la conexión IPSec que le interese (ejemplo: OCI-AWS-1).
   3. Busque la Dirección IP de VPN de Oracle de AWS-TUNNEL-1.

En la consola de AWS, vaya a Customer Gateways y cree un gateway de cliente con los siguientes detalles:

• Name: asigne un nombre a este gateway de cliente.
• Routing: seleccione Dynamic.
• BGP ASN: introduzca el ASN de BGP de OCI. El ASN de BGP de Oracle para la nube comercial es 31898, excepto la región Serbia Central (Jovanovac), que es 14544.

• IP Address: introduzca la dirección IP de la VPN de Oracle para el túnel 1. Utilice la IP guardada en la tarea anterior.

  Seleccione Create Customer Gateway para completar el aprovisionamiento.

Esta tarea sustituye el gateway de cliente temporal por uno que utiliza la dirección IP de la VPN de OCI.

1. Busque Site-to-Site VPN Connections en la consola de AWS y seleccione la conexión VPN.

2. Seleccione el menú Acciones y, a continuación, Modificar conexión VPN.

3. Accederá a la página Modify VPN Connection (Modificar conexión VPN). Introduzca la siguiente información:

   • Tipo de destino: seleccione Cliente Puerta de enlace en la lista.

   • Target Gateway ID: seleccione el nuevo gateway de cliente con la dirección IP de VPN de OCI en la lista.

     Seleccione el botón Save (Guardar) para guardar la configuración cuando haya finalizado.

     Después de un par de minutos, AWS completa el aprovisionamiento de la conexión VPN y aparece la VPN IPSec entre AWS y OCI.

4. En este punto, puede suprimir el gateway de cliente temporal.

Busque la conexión IPSec en OCI y las conexiones VPN de sitio a sitio en AWS para verificar la situación del túnel.

• El túnel de OCI en la conexión IPSec muestra Activo para el estado IPSec para confirmar un túnel operativo.
• El estado de BGP de IPv4 también muestra Activo, que indica una sesión de BGP establecida.
• El estado de túnel en el separador Detalles de túnel de la conexión VPN de sitio a sitio en AWS muestra Activo.

También hay disponible un servicio de supervisión en OCI para supervisar de modo activo y pasivo los recursos en la nube. Para obtener información sobre la supervisión de la VPN de sitio a página de OCI, consulte Métricas de VPN de sitio a página.

Si tiene alguna incidencia, consulte Solución de problemas de VPN de sitio a sitio.