Note :

Ce tutoriel nécessite l'accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, voir Démarrer avec le niveau gratuit d'Oracle Cloud Infrastructure.
Il utilise des exemples de valeurs pour les données d'identification, la location et les compartiments d'Oracle Cloud Infrastructure. À la fin de votre laboratoire, remplacez ces valeurs par celles qui sont propres à votre environnement en nuage.

Configurer OpenVPN pour l'accès à distance entre plusieurs régions sur Oracle Cloud Infrastructure

Présentation

Avec le travail à distance et l'adoption croissante du nuage, l'accès sécurisé aux ressources de l'entreprise n'a jamais été aussi essentiel. Un VPN d'accès distant permet aux utilisateurs de se connecter au réseau de leur organisation de n'importe où, en chiffrant toutes les données pour les protéger contre les accès non autorisés. Que vous travailliez depuis un bureau distant, à domicile ou en déplacement, un VPN garantit que les connexions restent privées et sécurisées.

Dans cette série de tutoriels, nous allons vous guider étape par étape dans le processus de construction de l'architecture décrite dans l'image suivante.

Objectifs

Configurez le serveur d'accès OpenVPN pour un accès distant au nouveau VCN dans la région RS.
Configurez le routage et la sécurité OCI requis pour accéder à votre machine virtuelle cible dans la région de récupération après sinistre (Montréal), que nous connecterons à Toronto à l'aide de la connexion d'appairage distant (RPC).
Tester l'accès à la machine virtuelle cible.

Architecture finale pour la deuxième partie du tutoriel

Vous allez continuer à partir de la dernière tâche du tutoriel 1 : Configurer OpenVPN pour l'accès distant dans une seule région sur Oracle Cloud Infrastructure et terminer la création de l'environnement suivant.

Préalables

Accès à une location OCI et autorisations pour gérer le réseau et les services de calcul requis.
Connaissance de base du VPN.
Comprendre de base le routage et la sécurité du réseau OCI et leurs fonctionnalités : réseau en nuage virtuel (VCN), tables de routage, passerelle de routage dynamique (DRG) et listes de sécurité.
Tutoriel complet 1 : Configurer OpenVPN pour l'accès à distance dans une seule région sur Oracle Cloud Infrastructure, où vous auriez déjà créé l'architecture suivante.

Tâche 1 : Créer une passerelle de routage dynamique (DRG)

Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
1. Cliquez sur Réseau.
2. Cliquez sur Passerelle de routage dynamique.
Cliquez sur Créer une passerelle de routage dynamique.
1. Entrez un nom pour la passerelle DRG.
2. Cliquez sur Créer une passerelle de routage dynamique.
La passerelle DRG a été créée.
Nous ajoutons chaque composant que nous provisionnons à la fin de chaque tâche à l'architecture. Vous pouvez donc voir à quoi ressemble l'environnement jusqu'à présent.

Tâche 2 : Établir une connexion d'appairage distant (RPC) entre les régions principale et DR

La connexion d'appairage distant (RPC) permet aux réseaux en nuage virtuels de différentes régions de communiquer en privé au moyen de leurs passerelles DRG respectives. Dans cette tâche, nous créerons une connexion d'appairage distant dans chacune des passerelles de routage dynamique afin d'établir la connexion, ce qui permettra une connectivité privée transparente entre les réseaux en nuage virtuels des deux régions.

Allez à DRG-1 dans la région principale (Toronto) créée dans le tutoriel 1.
1. Cliquez sur Attachements de connexion d'appairage distant.
2. Cliquez sur Créer une connexion d'appairage distant.
1. Entrez un nom pour la connexion d'appairage distant.
2. Cliquez sur Créer une connexion d'appairage distant.
Le fichier joint RPC a été créé.
Cliquez sur le nom de la connexion d'appairage distant.
1. Notez que le statut est Nouveau (non appairé), après avoir créé l'autre connexion d'appairage distant dans la région de Montréal et établi la connexion, le statut est Appairé.
2. Copiez l'OCID de la connexion d'appairage distant dans un fichier texte. Nous l'utiliserons lors de l'établissement de la connexion au cours des prochaines étapes.
Allez à DRG-2 dans la région de Montréal créée dans la tâche 1.
1. Cliquez sur Attachements de connexion d'appairage distant.
2. Cliquez sur Créer une connexion d'appairage distant.
1. Entrez un nom pour la connexion d'appairage distant.
2. Cliquez sur Créer une connexion d'appairage distant.
Le fichier joint RPC a été créé.
Cliquez sur le nom de la connexion d'appairage distant, car nous allons établir la connexion avec RPC-1.
1. Notez que le statut est Nouveau (non appairé).
2. Cliquez sur Établir la connexion.
Notez que nous pouvons établir la connexion à partir de l'une ou l'autre région. Ici, nous allons le faire à partir de la région de récupération après sinistre (Montréal).
1. Sélectionnez ca-toronto-1 comme région.
2. Dans OCID de la connexion d'appairage distant, collez l'OCID RPC-1 copié à l'étape précédente.
3. Cliquez sur Établir la connexion.
Le statut est En attente.
La connexion a été établie. Vous pouvez voir que le statut est maintenant Appairé.
Vous verrez le même statut Appairé dans la région de Toronto.
L'environnement actuel devrait ressembler à cela.

Tâche 3 : Configurer le réseau en nuage virtuel (VCN) satellite

Tâche 3.1 : Créer un VCN

Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
1. Cliquez sur Réseau.
2. Cliquez sur Réseaux en nuage virtuels.
Cliquez sur Créer un VCN.
1. Entrez un nom pour le réseau VCN.
2. Entrez 10.2.0.0/24 comme bloc IPv4 CIDR.
3. Cliquez sur Créer un VCN.
Le VCN Spoke-VCN-2 a été créé.

Tâche 3.2 : Attacher le VCN à la passerelle DRG

Allez à la page Détails du VCN.
1. Cliquez sur Attachements de passerelle de routage dynamique.
2. Cliquez sur Créer un attachement de passerelle DRG.
1. Entrez un nom pour l'attachement.
2. Sélectionnez Location courante comme Emplacement de la passerelle de routage dynamique.
3. Sélectionnez la passerelle DRG créée dans la tâche 1.
4. Cliquez sur Créer un attachement de passerelle DRG.
Le VCN est attaché à la passerelle DRG.

Tâche 3.3 : Créer un sous-réseau privé

Dans la page Détails du VCN, cliquez sur Créer un sous-réseau.
1. Entrez un nom pour le sous-réseau.
2. Sélectionnez Régional comme Type de sous-réseau.
3. Entrez 10.2.0.0/27 comme bloc IPv4 CIDR.
1. Sélectionnez Table de routage par défaut dans Table de routage.
2. Sélectionnez Sous-réseau privé comme accès au sous-réseau.
1. Sélectionnez Liste de sécurité par défaut dans Liste de sécurité.
2. Cliquez sur Créer un sous-réseau.
Le sous-réseau privé a été créé.

Tâche 3.4 : Configurer le routage et la sécurité sur le sous-réseau

Allez à la page Détails du VCN et cliquez sur le sous-réseau privé.
Cliquez sur Table de routage qui est une table de routage affectée.
Assurez-vous d'ajouter la règle suivante.
- 192.168.0.0/24 - DRG : Achemine le trafic destiné à Hub-Public-Subnet, qui contient le serveur d'accès OpenVPN à la passerelle DRG.
Comme nous avons terminé la partie de routage pour le sous-réseau Spoke-VCN-2, faisons la sécurité maintenant. Allez à la page Détails du sous-réseau et cliquez sur la liste de sécurité affectée.
Assurez-vous d'autoriser le trafic entrant.
- Demandes d'écho (ping de trafic) à partir de Hub-Public-Subnet (ICMP, type 8). C'est pour tester à la fin.
Assurez-vous d'autoriser tout le trafic sortant.
L'environnement actuel devrait ressembler à cela.

Tâche 4 : Provisionner une machine virtuelle de test (`Target-Instance-2`)

Nous avons généré une paire de clés SSH dans le tutoriel 1. Vous pouvez utiliser la même clé publique lors de la création de Target-Instance-2.

Note : Nous n'allons pas accéder à l'instance avec SSH, nous allons simplement effectuer une commande ping. Vous pouvez donc simplement sélectionner Aucune clé SSH pour ce tutoriel. Si un accès SSH est nécessaire, suivez les étapes de ce lien pour générer les clés Tâche 3.1 : Générer une paire de clés SSH avec le générateur de clés PuTTY
Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
1. Cliquez sur Calculer.
2. Cliquez sur Instances.
Cliquez sur Créer une instance.
Entrez un nom pour l'instance.
Conservez les paramètres Image et forme par défaut.
Dans Réseau principal, entrez les informations suivantes.
1. Sélectionnez Spoke-VCN-2.
2. Sélectionnez le sous-réseau privé.
1. Sélectionnez Affecter manuellement une adresse IPv4 privée.
2. Entrez l'adresse IPv4 privée pour l'instance 10.2.0.30.
1. Collez la clé publique.
2. Cliquez sur Créer.
L'instance de calcul Target-Instance-2 a été créée.
L'environnement actuel devrait ressembler à cela.

Tâche 5 : Configurer l'acheminement sur `Hub-VCN`

Allez à la page Détails du VCN et cliquez sur le sous-réseau public.
Cliquez sur Table de routage qui est une table de routage affectée.
Assurez-vous d'ajouter la règle suivante.
- 10.2.0.0/27 - DRG : Achemine le trafic destiné à Spoke-Private-Subnet dans la région de Montréal qui a la deuxième instance de test cible vers la passerelle DRG.
Nous avons déjà une règle de sécurité de trafic sortant par défaut qui autorise tout le trafic.

Tâche 6 : Configurer l'accès distant sur OpenVPN vers VCN `Spoke-VCN-2`

Ouvrez un onglet du navigateur.
1. Accédez à l'URL suivante : https://<publicip>/admin, assurez-vous de remplacer <publicip> par l'adresse IP publique de l'instance OpenVPN que vous avez créée.
2. Cliquez sur Avancé.
3. Cliquez sur Continuer.
1. Entrez openvpn dans le champ Nom d'utilisateur.
2. Entrez le mot de passe.
3. Cliquez sur Connexion.
1. Cliquez sur Configuration.
2. Cliquez sur Paramètres du RPV.
3. Sous Routage, ajoutez le sous-réseau privé Spoke-VCN-2 (10.2.0.0/27) auquel nous prévoyons d'accéder au moyen d'un RPV.
4. Cliquez sur enregistrer les paramètres.
Cliquez sur Mettre à jour le serveur en cours d'exécution.

Tâche 7 : Tester et valider

L'image suivante montre le scénario de test que nous voulons réaliser.
Nous utiliserons OpenVPN Connect que vous avez installé et configuré sur votre PC dans le tutoriel 1 : Configurer OpenVPN pour l'accès distant dans une seule région sur Oracle Cloud Infrastructure.
Ouvrez OpenVPN Connect et connectez-vous au profil que vous avez déjà créé.
1. Vous êtes maintenant CONNECTÉ.
2. Notez que vous serez déconnecté d'Internet lorsqu'il sera connecté au moyen d'un RPV.
Effectuer une commande ping sur Target-Instance-2 (10.2.0.30). Comme vous pouvez le constater, le test est réussi.
Si vous vérifiez les journaux du sous-réseau satellite, vous pouvez voir le trafic provenant de OpenVPN (192.168.0.2) vers Target-Instance-2 (10.2.0.30) et la réponse renvoyée.

Conclusion

Dans cette série de tutoriels, vous avez appris à déployer et configurer OpenVPN pour un accès distant à vos ressources OCI, que vous ayez besoin d'un accès à partir d'un bureau distant, d'un domicile ou pendant vos déplacements. Nous avons décrit comment configurer OpenVPN pour nous connecter aux ressources de la même région que OpenVPN ou d'une autre région. Des explications détaillées ont été fournies pour les configurations OCI nécessaires, notamment pour permettre la communication de votre PC vers le serveur public OpenVPN, et de là vers des machines virtuelles dans la région principale ou de reprise après sinistre, nous avons également exploré les composants OCI clés tout en le faisant, tels que la passerelle de routage dynamique et la façon de l'exploiter pour une connexion d'appairage distant entre les régions.

Remerciements

Auteur - Anas Abdallah (spécialiste des réseaux en nuage)

Autres ressources d'apprentissage

Explorez d'autres laboratoires sur le site docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal Oracle Learning YouTube. De plus, visitez education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir la documentation sur le produit, visitez Oracle Help Center.

Informations sur le titre et les droits d'auteur

Set up OpenVPN for Remote Access Across Multiple Regions on Oracle Cloud Infrastructure

G27948-02