Documentación de Oracle Cloud Infrastructure

Conexión VPN a Google

El servicio VPN de sitio a sitio de Oracle Cloud Infrastructure (OCI) ofrece una conexión IPSec segura entre una red local y una red virtual en la nube (VCN). También puede utilizar la VPN de sitio a sitio para conectar los recursos de OCI a otros proveedores de servicios en la nube.

En este tema se proporciona una configuración de mejores prácticas para un túnel de VPN IPSec entre OCI y Google Cloud Platform (GCP) mediante el servicio de VPN de sitio a sitio de OCI y el servicio de VPN de Google Cloud.

Nota

En este documento se asume que ya ha aprovisionado una VCN y un Gateway de enrutamiento dinámico (DRG), y que también ha configurado todas las Tablas de rutas de VCN y las Listas de seguridad necesarias para este escenario y todos los equivalentes en Google Cloud.

Consideraciones específicas de GCP

Tipo de enrutamiento: este escenario utiliza el protocolo de gateway de borde (BGP) para intercambiar rutas entre GCP y OCI. Se prefiere BGP para la VPN de sitio a sitio siempre que es posible. Opcionalmente, el enrutamiento estático también se puede utilizar entre GCP y OCI.

Verificación de versión de la VPN de sitio a sitio de OCI

Puede verificar la versión de la VPN de sitio a sitio utilizada por la conexión IPSec en el separador Información de conexión IPSec de una página IPSec.

Parámetros de IPSec admitidos

Para obtener una lista neutra del proveedor de parámetros IPSec soportados para todas las regiones de OCI, consulte Parámetros IPSec soportados.

Proceso de configuración

GCP: iniciar configuración de VPN
  1. En el portal principal de Google Cloud:
    1. Amplíe el menú principal desde la esquina superior izquierda
    2. Acceder a Hybrid Connectivity
    3. Seleccione VPN.

  2. En la página siguiente, seleccione el enlace Create VPN Connection para comenzar el flujo de trabajo y crear una conexión VPN con IPSec.

  3. En Opciones de VPN, seleccione VPN de alta disponibilidad (HA) y, a continuación, seleccione el botón Continuar situado en la parte inferior.

  4. Cree un gateway de VPN de alta disponibilidad en la nube. Introduzca la siguiente información:

    • Nombre: asigne un nombre al gateway de VPN.
    • Red: seleccione el VPC con el que la VPN IPSec se conecta.

    • Región: seleccione la región del gateway de VPN

      Cuando haya terminado de configurar el gateway de VPN, seleccione el botón Crear y continuar para continuar.

  5. En la siguiente página se muestra la IP pública del punto final de VPN de GCP.

    Guarde la IP pública de una de las interfaces, a continuación, abra la Consola de OCI en una ventana independiente y continúe con el proceso de configuración. Vuelva más tarde para completar la configuración de GCP después de que se haya aprovisionado la conexión IPSec de OCI.

OCI: crear objeto CPE
  1. Abra el menú de navegación y seleccione Red. En Conectividad de cliente, seleccione Equipo local de cliente.
  2. Seleccione Crear equipo local del cliente.

  3. Introduzca los siguientes valores:

    • Crear en compartimento: seleccione el compartimento de la VCN que desee.
    • Nombre: un nombre descriptivo del objeto de CPE. No es necesario que sea único y no se puede cambiar posteriormente en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.

      En este ejemplo, se utiliza "TO_GCP" como nombre.

    • Dirección IP: introduzca la dirección IP pública del gateway de VPN de GCP.
    • Proveedor de CPE: seleccione Otro.
  4. Seleccione Crear CPE.
OCI: crear conexión IPSec
  1. Abra el menú de navegación y seleccione Red. En Conectividad de cliente, seleccione VPN de sitio a sitio.
  2. Select Create IPSec Connection.

  3. Introduzca los siguientes valores:

    • Crear en compartimiento: déjelo tal cual (el compartimiento de la VCN).
    • Nombre: introduzca un nombre descriptivo para la conexión de IPSec. No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
    • Compartimiento del equipo local del cliente: déjelo tal cual (compartimiento de la VCN).
    • Equipo local de cliente: seleccione el objeto CPE que ha creado antes, denominado TO_GCP.
    • Compartimiento de gateway de enrutamiento dinámico: déjelo tal cual (compartimiento de la VCN).
    • Gateway de enrutamiento dinámico: seleccione el DRG creado anteriormente.
    • CIDR de ruta estática: introduzca una ruta por defecto, 0.0.0.0/0. Debido a que BGP se utiliza para el túnel activo, OCI ignora esta ruta. Esta entrada es necesaria para el segundo túnel de la conexión IPSec que, por defecto, utiliza el enrutamiento estático y no se utiliza en este escenario. Si tiene previsto utilizar un enrutamiento estático para esta conexión, introduzca rutas estáticas que representen la red virtual de GCP. Se pueden configurar hasta 10 rutas estáticas para cada conexión IPSec.

    • Asegúrese de que OCI soporte la dirección /30 elegida para las IP de túnel internas. OCI no permite utilizar los siguientes rangos IP para los IP de túnel internos:

      • 169.254.10.0-169.254.19.255
      • 169.254.100.0-169.254.109.255
      • 169.254.192.0-169.254.201.255

  4. Introduzca los siguientes detalles en el separador Túnel 1 (requerido):

    • Nombre: introduzca un nombre descriptivo para el túnel (por ejemplo, GCP-TUNNEL-1). No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
    • Proporcionar secreto compartido personalizado: clave compartida previamente que utiliza IPSec para este túnel. Seleccione esta casilla de control si desea utilizar una clave personalizada. Si no se proporciona ninguna selección, se genera una.
    • Versión de IKE: seleccione IKEv2.
    • Tipo de enrutamiento: seleccione envío dinámico de BGP. Seleccione Envío estático si desea utilizar el enrutamiento estático.
    • ASN de BGP: introduzca el ASN de BGP que utiliza GCP. El ASN de BGP de GCP se configura en pasos posteriores. Este escenario utiliza una ASN de BGP de 65000 para GCP.
    • IPv4 Interfaz de túnel interna - CPE: introduzca la dirección IP de BGP que utiliza GCP. Utilice la notación CIDR completa para esta dirección IP. Esta debe ser una dirección local de enlace. Este escenario utiliza el CIDR 169.254.20.0/30 para las direcciones IP de BGP.
    • IPv4 Interfaz de túnel interna - Oracle: introduzca la dirección IP de BGP que utiliza OCI. Incluya esta dirección IP en notación CIDR. Esta debe ser una dirección local de enlace. Este escenario utiliza el CIDR 169.254.20.0/30 para las direcciones IP de BGP.
  5. Seleccione Mostrar opciones avanzadas para el túnel y cambie las duraciones de la fase 1 y de la fase 2 para que coincidan con el lado de GCP, como se muestra aquí https://cloud.google.com/network-connectivity/docs/vpn/concepts/supported-ike-ciphers.

    La duración de las fases 1 y 2 tiene valores diferentes en el lado de GCP dependiendo de si está utilizando IKEv1 o IKEv2. Estos son los siguientes:

    • Duración de clave de sesión IKE de fase 1 en segundos = 36 000 segundos
    • Duración de clave de sesión IPSec de fase 2 en segundos = 10 800 segundos

    Deje los demás valores por defecto.

  6. Select Create IPSec Connection.

    La conexión de IPSec se crea y se muestra en la página. La conexión tendrá el estado Aprovisionando durante un período corto.

OCI: guardar la dirección IP de la VPN de Oracle y el secreto compartido

Una vez aprovisionada las conexiones IPSec, guarde la dirección IP de la VPN de sitio a sitio para utilizarla como IP de CPE en el portal de GCP y el secreto compartido para el túnel.

  1. Busque la conexión IPSec en la consola de OCI.

    Decida qué túnel utilizar como principal. Guarde la dirección IP de esa VPN del sitio a la ubicación de ese túnel. A continuación, seleccione el nombre de túnel del túnel para ir a la vista de túnel.

  2. En el túnel, seleccione el enlace para ver el secreto compartido. Guárdelo. El secreto compartido se utiliza para completar la configuración de la VPN con IPSec en GCP.
GCP: crear un gateway de peer de VPN

  1. Vuelva a la ventana de configuración de VPN de GCP.
  2. En Peer VPN Gateway, seleccione On-prem or Non Google Cloud.
  3. Amplíe la lista Peer VPN gateway name y seleccione Crear nuevo gateway de peer de VPN.
  4. Accederá a la página Agregar un gateway de VPN peer. Introduzca la siguiente información:
  5. Seleccione el botón de creación situado en la parte inferior para continuar. Volverá al flujo de trabajo de Create a VPN.
GCP: crear un enrutador en la nube

  1. Amplíe la lista Cloud Router y seleccione Create new router.

  2. Accederá a la página Create a router. Introduzca la siguiente información:

    • Nombre: asigne un nombre al enrutador en la nube.

    • Google ASN: introduzca el ASN de BGP de Google, que también se utiliza al configurar la conexión IPSec en OCI.

      Deje todas las demás opciones por defecto.

  3. Cuando haya terminado de configurar el enrutador en la nube, seleccione el botón Create (Crear) para continuar.

    Volverá al flujo de trabajo de Create a VPN.

GCP: completar la configuración del túnel de VPN

Complete la configuración del túnel VPN. Introduzca la siguiente información:

  • Cloud Router: seleccione el router en la nube configurado en el paso anterior.
  • Associated Cloud VPN gateway IP: debe coincidir con la dirección IP de objeto CPE configurada en OCI.
  • Interfaz de gateway de VPN peer asociada: debe coincidir con la dirección IP IP Oracle de la VPN de OCI. Consulte OCI - Save Oracle VPN IP Address and Shared Secret.
  • Nombre: asigne un nombre al túnel de VPN.
  • IKE version: seleccione IKEv2 (recomendado). Si utiliza IKEv1, asegúrese de que IKEv1 también esté configurado para el túnel de VPN con la conexión IPSec en OCI.

  • IKE pre-shared key: debe coincidir con el secreto compartido del túnel VPN en el enlace IPSec en OCI. Consulte OCI - Save Oracle VPN IP Address and Shared Secret. Deje todas las demás opciones por defecto.

    Cuando termine de configurar el túnel de VPN, seleccione Crear y continuar.

GCP: configurar sesiones de BGP

Este paso implica la configuración de la sesión de BGP para un túnel IPSec. Los valores del BGP deben coincidir con el lado de OCI de la configuración configurada en OCI: crear conexión IPSec.

  1. Seleccione el botón Configurar en Sesión BGP para el túnel de VPN.
  2. En la página Crear sesión de BGP para el túnel, introduzca los siguientes detalles:
    • Nombre: asigne un nombre a la sesión de BGP.
    • Peer ASN: introduzca el ASN de BGP. El ASN de BGP de Oracle para la nube comercial es 31898, excepto la región Serbia Central (Jovanovac), que es 14544.
    • IP BGP del enrutador en la nube: haga coincidir la dirección IP configurada para IPV4 Inside Tunnel Interface - CPE del túnel 1 en OCI - Create IPSec Connection. No utilice la notación CIDR en este campo.
    • IP de peer de BGP: haga coincidir la dirección IP configurada para IPV4 Inside Tunnel Interface - Oracle del túnel 1 en OCI - Create IPSec Connection. No utilice la notación CIDR en este campo.

    • BGP peer: seleccione Enabled.

      Deje todas las demás opciones por defecto.

  3. Cuando termine de configurar la sesión de BGP, seleccione Guardar y continuar para volver a la página Configurar sesiones de BGP.

  4. Seleccione el botón Guardar configuración de BGP para continuar.

  5. Accederá a la página Resumen y recordatorio.

    VPN tunnel status y BGP status se mostrarán como "establecidos".

  6. Seleccione OK (Aceptar) en la parte inferior para completar la configuración.
Verificación

Busque la conexión IPSec en OCI y las conexiones de VPN de sitio a sitios en GCP para verificar la situación del túnel.

El túnel de OCI en la conexión IPSec muestra Activo para el estado IPSec para confirmar un túnel operativo.

El estado de BGP de IPV4 también muestra Activo, que indica una sesión de BGP establecida.

Examine los túneles VPN en el cloud de la Consola de GCP. Tanto el estado de túnel de VPN como del estado de la sesión de BGP deben indicar Establecido.

También hay disponible un servicio de supervisión en OCI para supervisar de modo activo y pasivo los recursos en la nube. Para obtener información sobre la supervisión de la VPN de sitio a página de OCI, consulte Métricas de VPN de sitio a página.

Si tiene alguna incidencia, consulte Solución de problemas de VPN de sitio a sitio.