Documentación de Oracle Cloud Infrastructure

Conexión VPN a Azure

El servicio Oracle Cloud Infrastructure (OCI) Site-to-Site VPN ofrece una conexión IPSec segura entre una red local y una red virtual en la nube (VCN). También puede utilizar una VPN de sitio a sitio para conectar los recursos en la nube a otros proveedores de servicios de la nube.

En este tema se proporciona una configuración de mejores prácticas para un túnel de VPN IPSec entre OCI y Microsoft Azure mediante el servicio de VPN de sitio a sitio de OCI y el servicio de VPN IPSec de Azure.

Nota

En esta documentación se asume que ya ha aprovisionado una red virtual en el nube (VCN) y un gateway de enrutamiento dinámico (DRG), y también que ha configurado todas las tablas del enrutamiento de VCN y las listas del sistema de seguridad necesarias para este escenario y todos los equivalentes en Azure,

Consideraciones específicas de Microsoft Azure

Versión IKE: una conexión VPN IPSec entre OCI y Microsoft Azure debe utilizar IKE versión 2 para la interoperabilidad.

Tipo de enrutamiento: este escenario utiliza el protocolo de gateway de borde (BGP) para intercambiar rutas entre Azure y OCI. Se prefiere BGP para la VPN de sitio a sitio siempre que es posible. Opcionalmente, también se puede utilizar el enrutamiento estático entre Azure y OCI.

Confidencialidad directa perfectamente: con confidencialidad frontal perfecta (PFS) se generan nuevas claves Diffie-Hellman en las fases 2 y las claves de fase 2 en lugar de utilizar la misma clave generada durante las fases 1. Ambos peers de VPN deben coincidir con el valor de grupo de PFS seleccionado para la fase 2. Por defecto, Azure (grupos 1, 2, 14 y 24 solo para IKEv2) y OCI (grupo 5) tienen una discrepancia de PFS. El grupo de PFS de OCI se puede cambiar para que coincida con el CPE.

Verificación de versión de la VPN de sitio a sitio de OCI

Puede verificar la versión de la VPN de sitio a sitio utilizada por la conexión IPSec en el separador Información de conexión IPSec de las páginas de conexión IPSec.

Parámetros de IPSec admitidos

Para obtener una lista neutra del proveedor de parámetros IPSec soportados para todas las regiones de OCI, consulte Parámetros IPSec soportados.

Proceso de configuración

Azure: crear gateway de VPN
  1. En el portal principal de Azure, busque Puerta de enlace de red virtual. Selecciónelo en los resultados de búsqueda.
  2. En la página siguiente, seleccione el botón Crear para crear una nueva Puerta de enlace de red virtual.
  3. Accederá a la página Crear puerta de enlace de red virtual.
    • Name: asigne un nombre al gateway.
    • Región: seleccione una región de Azure. La región debe ser la misma que el red virtual.
    • Tipo de puerta de enlace: seleccione VPN.
    • Tipo de VPN: seleccione Basada en rutas.
    • SKU y Generación: seleccione un SKU de gateway que soporte IKEv2 y cumpla con sus requisitos de rendimiento. Para obtener más información sobre la SKU del gateway, consulte la documentación de Azure en VPN Gateways.
    • Red virtual: seleccione la red virtual para el gateway. Esta red virtual también necesita una subred de gateway.
    • Rango de direcciones del subred del gateway: si la red virtual ya tiene un valor de GatewaySubnet, selecciónelo. De lo contrario, seleccione un rango de direcciones no utilizado.
    • Dirección IP pública: el gateway de red virtual necesita una dirección IP pública. Si ya se ha creado una, selecciónela. De lo contrario, seleccione Crear nuevo y asigne un nombre a la dirección IP pública.
    • Hable active-active mode: deje esta opción desactivada.
    • Configurar BGP: seleccione Activado. Deje esta opción desactivada para utilizar el enrutamiento estático.
    • Número de sistema autónomo (ASN): por defecto, Azure utiliza la ASN 65515 de BGP. Seleccione el valor por defecto.

    • Dirección IP BGP de APIPA de Azure personalizada: seleccione una subred /30 desde 169.254.21.0/24 o 169.254.22.0/24. Estas direcciones son las direcciones IP del BGP para Azure y OCI. Introduzca aquí una de las dos IP disponibles de la opción /30 seleccionada. En este escenario se utiliza 169.254.21.1 para OCI y 169.254.21.2 para Azure.

      Cuando haya terminado de configurar el gateway de red virtual, seleccione el botón Revisar + crear y, a continuación, el botón Crear en la siguiente página.

  4. Examine el gateway de red virtual recién creado y guarde la dirección IP pública. La dirección IP se utiliza para crear la conexión IPSec en OCI.
OCI: crear objeto CPE
  1. Abra el menú de navegación y seleccione Red. En Conectividad de cliente, seleccione Equipo local de cliente.
  2. Seleccione Crear equipo local del cliente.

  3. Introduzca los siguientes valores:

    • Crear en compartimento: seleccione el compartimento de la VCN que desee.
    • Nombre: un nombre descriptivo del objeto de CPE. No es necesario que sea único y no se puede cambiar posteriormente en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.

      En este ejemplo, se utiliza "TO_Azure" como nombre.

    • Dirección de IP: introduzca la IP pública de Azure Virtual Network Gateway. Puede encontrar esta IP pública en la consola de Azure desplazándose hasta la página de visión general del gateway de red virtual creado en la tarea anterior.
    • Proveedor de CPE: seleccione Otro.
  4. Seleccione Crear CPE.
OCI: crear conexión IPSec
  1. Abra el menú de navegación y seleccione Red. En Conectividad de cliente, seleccione VPN de sitio a sitio.
  2. Select Create IPSec Connection.

  3. Introduzca los siguientes valores:

    • Crear en compartimiento: déjelo tal cual (el compartimiento de la VCN).
    • Nombre: introduzca un nombre descriptivo para la conexión de IPSec. No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
    • Compartimiento del equipo local del cliente: déjelo tal cual (compartimiento de la VCN).
    • Equipo local de cliente: seleccione el objeto CPE que ha creado antes, denominado TO_Azure.
    • Compartimiento de gateway de enrutamiento dinámico: déjelo tal cual (compartimiento de la VCN).
    • Gateway de enrutamiento dinámico: seleccione el DRG creado anteriormente.
    • CIDR de ruta estática: introduzca una ruta por defecto, 0.0.0.0/0. Debido a que BGP se utiliza para el túnel activo, OCI ignora esta ruta. Esta entrada es necesaria para el segundo túnel de la conexión IPSec que, por defecto, utiliza el enrutamiento estático y no se utiliza en este escenario. Si tiene previsto utilizar un enrutamiento estático para esta conexión, introduzca rutas estáticas que representen esas redes virtuales Azure. Se pueden configurar hasta 10 rutas estáticas para cada conexión IPSec.

  4. Introduzca los siguientes detalles en el separador Túnel 1 (requerido):

    • Nombre: introduzca un nombre descriptivo para el túnel (por ejemplo, Azure-TUNNEL-1). No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
    • Proporcionar secreto compartido personalizado: clave compartida previamente que utiliza IPSec para este túnel. Seleccione esta casilla de control si desea utilizar una clave personalizada. Si no se selecciona nada, se genera uno.
    • Versión de IKE: seleccione IKEv2.
    • Tipo de enrutamiento: seleccione envío dinámico de BGP. Seleccione Envío estático si desea utilizar el enrutamiento estático.
    • ASN de BGP: introduzca el ASN de BGP que utiliza Azure. El ASN de Azure BGP se configura durante el paso 3 de la sección Azure: crear gateway de VPN. En este escenario se utiliza el ASN de BGP de Azure por defecto 65515.
    • IPv4 Interfaz de túnel interna - CPE: dirección IP de BGP que utiliza Azure. Utilice la notación CIDR completa para esta dirección IP. La dirección IP BGP de Azure se configura durante el paso 3 de la sección Azure: crear gateway de VPN.
    • IPv4 Interfaz de túnel interna - Oracle: dirección IP de BGP que utiliza OCI. Utilice la notación CIDR completa para esta dirección IP. Esta dirección IP es la otra dirección IP utilizable que queda de la opción /30 seleccionada.
  5. Seleccione Mostrar opciones avanzadas y amplíe Configuración de la segunda fase (IPSec). Seleccione un grupo Diffie-Hellman de confidencialidad directa perfecta. Seleccione GROUP2, GROUP14 o GROUP24.

  6. Select Create IPSec Connection.

    La conexión de IPSec se crea y se muestra en la página. La conexión tendrá el estado Aprovisionando durante un período corto.

OCI - Cambiar PFS

Por defecto, la VPN de sitio a sitio de OCI utiliza el grupo PFS 5 para todos los túneles de VPN IPSec. Para IKEv2, Azure envía propuestas con los grupos de PFS 1, 2, 14 y 24.

Puede utilizar la consola de OCI para definir la política IPSec de fase 2 de un túnel para utilizar un valor de grupo de PFS personalizado de 2, 14 o 24. OCI no admite el grupo 1 de PFS.

OCI: guardar la dirección IP de la VPN de sitio a sitio y el secreto compartido

Una vez aprovisionada, guarde la dirección IP de la VPN de sitio a sitio para utilizarla como IP de CPE en el portal de Azure y el secreto compartido para el túnel. IPSec

  1. Busque la conexión IPSec en la consola de OCI.

    Seleccione el túnel que desea utilizar como principal. Guarde la dirección IP de esa VPN del sitio a la ubicación de ese túnel. A continuación, seleccione el nombre de túnel del túnel para ir a la vista de túnel.

  2. En el túnel, seleccione el enlace para ver el secreto compartido. Guárdelo. El secreto compartido se utiliza para completar la configuración de VPN con IPSec en Azure.
Azure: crear gateway de red local

  1. En el portal principal de Azure, busque Puerta de enlace de red local. Selecciónelo en los resultados de búsqueda.

  2. En la página siguiente, seleccione el botón Crear para crear una puerta de enlace de red local.

  3. Accederá a la página Crear puerta de enlace de redes local. Introduzca la siguiente información:

    • Región: seleccione una región de Azure. La región debe ser la misma que el gateway de red virtual y la red virtual.
    • Nombre: asigne un nombre al gateway de red local.
    • Dirección IP: introduzca la dirección IP VPN de OCI guardada para el túnel 1.
    • Espacio de dirección: déjelo en blanco si está utilizando la entrada de enrutamiento estático de los CIDR de las redes virtuales en la nube de OCI.
    • Configurar valores de BGP: seleccione esta casilla de control. Si utiliza el enrutamiento estático, deje la opción desactivada.
    • Número de sistema autónomo (ASN): introduzca el ASN de BGP de OCI. El ASN de BGP de Oracle para la nube comercial es 31898, excepto la región Serbia Central (Jovanovac), que es 14544.
    • Dirección IP del peer de BGP: dirección IP de BGP de OCI. La misma dirección IP utilizada para IPV4 Interfaz de túnel interna - Oracle en el paso 4 de OCI - Crear conexión IPSec.
Azure: crear una conexión VPN

  1. Busque la puerta de enlace de red virtual creada anteriormente. En el menú de la izquierda, seleccione Conexiones y, a continuación, en el botón Agregar para agregar una conexión.

  2. Accederá a la página Agregar conexión. Introduzca la siguiente información:

    • Nombre: proporcione un nombre a la conexión.
    • Tipo de conexión: seleccione De sitio a sitio (IPsec)
    • Puerta de enlace de red local: seleccione el gateway de red local creado anteriormente.
    • Clave Compartida (PSK): introduzca el secreto compartido del túnel de OCI. Consulte OCI - Save Site-to-Site VPN IP Address and Shared Secret si necesita identificar dónde se encuentra la clave compartida en la consola de OCI.
    • Activar BGP: seleccione esta casilla de control. Déjela sin seleccionar si utiliza un enrutamiento estático.

    • Protocolo IKE: seleccione IKEv2

      Deje todas las demás opciones por defecto. Cuando haya terminado de configurar la conexión VPN, seleccione el botón OK (Aceptar) en la parte inferior de la página.

      Después de un par de minutos, Azure completa el aprovisionamiento de la nueva conexión VPN y aparece la VPN IPSec entre Azure y OCI.

Verificación

Busque la conexión IPSec en OCI y la conexión Puerta de enlace de red virtual en Azure para verificar la situación del túnel.

El túnel de OCI en la conexión IPSec muestra Activo para el estado IPSec para confirmar un túnel operativo.

El estado de BGP de IPV4 también muestra Activo, que indica una sesión de BGP establecida.

El estado de la conexión en Gateway de red virtual para este túnel muestra Conectado para confirmar un túnel operativo.

También hay disponible un servicio de supervisión en OCI para supervisar de modo activo y pasivo los recursos en la nube. Para obtener información sobre la supervisión de la VPN de sitio a página de OCI, consulte Métricas de VPN de sitio a página.

Si tiene alguna incidencia, consulte Solución de problemas de VPN de sitio a sitio.