Configuration d'un VPN site à site
Cette rubrique fournit des instructions pour construire une connexion VPN site à site IPSec à partir d'un réseau sur site vers un VCN. Pour obtenir des informations générales sur le VPN site à site, reportez-vous à Présentation du VPN site à site.
Avant de commencer
En guise de préparation, effectuez d'abord les opérations suivantes :
- Lisez cette section : Routage du VPN site à site.
-
Répondez aux questions suivantes :
Question Réponse Qu'est-ce que le CIDR du VCN ? Quelle est l'adresse IP publique du dispositif CPE ? Si vous disposez de plusieurs dispositifs à des fins de redondance, obtenez leur adresse IP.
Remarque : si l'appareil CPE se trouve derrière un appareil NAT, reportez-vous à Présentation des composants du VPN site à site et également à Exigences et prérequis.
Voulez-vous utiliser la conversion d'adresse de port (PAT) entre chaque dispositif CPE et le VCN ? Quel type de routage pensez-vous utiliser ? Si vous voulez utiliser un routage dynamique BGP, répertoriez les adresses IP de session BGP à utiliser ainsi que le numéro ASN du réseau sur site. Les adresses IP doivent faire partie du domaine de cryptage du VPN site à site.
Si vous voulez un routage statique, quels sont les routages statiques du réseau sur site ? Reportez-vous à Routage du VPN site à site.
Prévoyez-vous d'utiliser un routage basé sur une stratégie ou plusieurs domaines de cryptage ? Reportez-vous à Domaines de cryptage pour les tunnels basés sur une stratégie.
Souhaitez-vous fournir la clé secrète partagée de chaque tunnel ou laisser Oracle les affecter ? Reportez-vous à Présentation des composants du VPN site à site.
- Dessinez un diagramme de la disposition du réseau (pour obtenir des exemples, reportez-vous à la première tâche dans Exemple : configuration d'un VPN site à site d'évaluation de concept). Réfléchissez aux parties du réseau sur site qui doivent communiquer avec le VCN, et inversement. Mettez en correspondance les règles de routage et de sécurité dont vous avez besoin pour le VCN.
Si vous disposez d'un VPN site à site existant qui utilise le routage statique, vous pouvez modifier les tunnels pour qu'ils utilisent le routage dynamique BGP.
Les plages d'adresses IP locales de liaison suivantes ne peuvent pas être utilisées avec le VPN site à site dans des interfaces de tunnel :
- 169.254.10.0 à 169.254.19.255
- 169.254.100.0 à 169.254.109.255
- 169.254.192.0 à 169.254.201.255
Processus global
Voici le processus global de configuration d'un VPN site à site :
- Exécutez les tâches répertoriées dans Avant de commencer.
- Configurez les composants du VPN site à site (reportez-vous aux instructions dans Example : Setting Up a Proof of Concept Site-to-Site VPN) :
- Création d'un réseau cloud virtuel.
- Créez une passerelle de routage dynamique.
- Connectez le DRG au VCN.
- Créez une table de routage et une règle de routage pour la passerelle de routage dynamique.
- Créez une liste de sécurité et les règles requises.
- Créez un sous-réseau dans le réseau cloud virtuel.
- Créez un objet CPE et indiquez l'adresse IP publique de ce dernier.
- Créez une connexion IPSec à l'objet CPE et fournissez les informations de routage requises.
- Use the CPE Configuration Helper: A network engineer must configure the CPE device with information that Oracle provides during the previous steps. L'application d'aide de configuration de CPE génère les informations nécessaires à l'ingénieurs réseau. Pour plus d'informations, reportez-vous à Utilisation de l'application d'aide de configuration de CPE et à Configuration du CPE.
- Demandez à un ingénieur réseau de configurer le dispositif CPE.
- Validez la connectivité.
Si vous envisagez de configurer des connexions redondantes, reportez-vous au guide pour la redondance de la connectivité (PDF).
Exemple : configuration d'un VPN site à site d'étude de faisabilité
Oracle offre un workflow de démarrage rapide qui permet de configurer plus facilement le VPN site à site. Pour plus d'informations, reportez-vous à Assistant VPN site à site.
Cet exemple de scénario montre comment configurer un VPN site à site avec une disposition que vous pouvez utiliser pour une étude de faisabilité. Il suit les tâches 1 et 2 du processus global et montre chaque composant de la disposition en cours de création. Pour plus d'informations sur les dispositions plus complexes, reportez-vous à Exemple de disposition avec différentes zones géographiques ou Exemple de disposition avec une opérations PAT.
| Question | Réponse |
|---|---|
| Qu'est-ce que le CIDR du VCN ? | 172.16.0.0/16 |
|
Quelle est l'adresse IP publique du dispositif CPE ? Si vous disposez de plusieurs dispositifs à des fins de redondance, obtenez leur adresse IP. Remarque : si l'appareil CPE se trouve derrière un appareil NAT, reportez-vous à Présentation des composants du VPN site à site et également à Exigences et prérequis. |
142.34.145.37 |
| Voulez-vous effectuer la traduction d'adresse de port (PAT) entre chaque dispositif CPE et le VCN ? | Non |
|
Quel type de routage pensez-vous utiliser ? Trois choix s'excluent mutuellement : Si vous envisagez d'utiliser un routage dynamique BGP, répertoriez les adresses IP de session BGP à utiliser ainsi que le numéro ASN du réseau sur site. Si vous envisagez d'utiliser un routage statique, répertoriez les routages statiques du réseau sur site. Reportez-vous à Routage du VPN site à site. Si vous envisagez d'utiliser un routage basé sur une stratégie ou que vous avez besoin de plusieurs domaines de cryptage, répertoriez les blocs CIDR IPv4 ou de préfixes IPv6 employés à chaque extrémité de la connexion. Reportez-vous à Domaines de cryptage pour les tunnels basés sur une stratégie. |
Exemple de routage dynamique BGP : Tunnel 1 :
Tunnel 2 :
Numéro ASN du réseau : 12345 Exemple de routage statique : Utilisez 10.0.0.0/16 pour le routage statique d'une étude de cas. |
| Souhaitez-vous fournir la clé secrète partagée de chaque tunnel ou laisser Oracle les affecter ? Reportez-vous à Présentation des composants du VPN site à site. | Laisser Oracle réaliser l'affectation. |
Voici un exemple de diagramme pour la tâche 1 qui utilise le routage dynamique BGP :
| CIDR de destination | Cible du routage |
|---|---|
| 10.0.0.0/16 | Passerelle de routage dynamique |
| CIDR de destination | Droit d'accès |
|---|---|
| 10.0.0.0/16 | Autorisé |
| Numéro | Fonction | Adresse IP |
|---|---|---|
| 3 | Adresse IP publique du CPE | 142.34.145.37 |
| 4a | Tunnel 1 : interface de tunnel interne BGP |
CPE - 10.0.0.16/31 Oracle - 10.0.0.17/31 |
| 4b | Tunnel 2 : interface de tunnel interne BGP |
CPE - 10.0.0.18/31 Oracle - 10.0.0.19/31 |
| 5 |
Tunnel 1 : adresse IP de VPN Oracle |
129.213.240.50 |
| 6 |
Tunnel 2 : adresse IP de VPN Oracle |
129.213.240.53 |
Voici un exemple de diagramme pour la tâche 1 qui utilise le routage statique :
| CIDR de destination | Cible du routage |
|---|---|
| 10.0.0.0/16 | Passerelle de routage dynamique |
| CIDR de destination | Droit d'accès |
|---|---|
| 10.0.0.0/16 | Autorisé |
| Numéro | Fonction | Adresse IP |
|---|---|---|
| 3 | Adresse IP publique du CPE | 142.34.145.37 |
| 4 | Routage statique de la connexion IPSec | 10.0.0.0/16 |
| 5 |
Tunnel 1 : adresse IP de VPN Oracle |
129.213.240.50 |
| 6 |
Tunnel 2 : adresse IP de VPN Oracle |
129.213.240.53 |
Si vous disposez déjà d'un réseau cloud virtuel, passez à la tâche suivante.
Lorsque vous utilisez la console pour créer un VCN, vous pouvez créer uniquement le VCN, ou vous pouvez créer le VCN avec plusieurs ressources associées. Cette tâche crée uniquement le VCN, et les tâches suivantes créent les autres ressources requises.
Reportez-vous à Création d'un VCN pour connaître les étapes détaillées de création d'un VCN dans la console.
Assurez-vous que le VCN a terminé le provisionnement avant de continuer. Dans cet exemple, nous utilisons 172.16.0.0/16 comme CIDR pour le VCN, mais ce que vous sélectionnez n'a pas d'importance tant qu'il est cohérent.
Pour plus d'informations sur la création d'un DRG, reportez-vous à Création d'un DRG.
La passerelle de routage dynamique est créée et affichée sur la page. Assurez-vous que son provisionnement est terminé avant de continuer.
Vous pouvez également utiliser ce DRG comme passerelle pour Oracle Cloud Infrastructure FastConnect, qui est un autre moyen de connecter un réseau sur site à un VCN.
Reportez-vous à Attachement d'un DRG à un VCN pour connaître les étapes détaillées de l'attachement d'un DRG à un VCN.
Avant d'être prêt, l'attachement présente l'état Attachement pendant une courte période.
Bien que le VCN soit fourni avec une table de routage par défaut (sans règles), dans cette tâche, vous créez une table de routage VCN personnalisée avec une règle de routage pour le DRG en tant que cible. Dans cet exemple, le réseau sur site est 10.0.0.0/16. Vous créez une règle de routage qui prend en charge le trafic destiné à 10.0.0.0/16 et l'achemine vers la passerelle de routage dynamique. Lorsque vous créez un sous-réseau dans la tâche 2f, vous associez cette table de routage personnalisée au sous-réseau.
Si vous disposez déjà d'un réseau cloud virtuel existant avec un sous-réseau, vous n'avez pas besoin de créer de table de routage ou de sous-réseau. Au lieu de cela, vous pouvez mettre à jour la table de routage du sous-réseau existant afin d'inclure la règle de routage pour la passerelle de routage dynamique.
| CIDR de destination | Table de routage |
|---|---|
| 10.0.0.0/16 | Passerelle de routage dynamique |
Reportez-vous à Création d'une table de routage VCN pour obtenir des étapes détaillées sur la création de tables de routage VCN dans la console. Utilisez les paramètres suivants pour la règle de routage :
- Type de cible : passerelle de routage dynamique. La passerelle de routage dynamique attachée du réseau cloud virtuel est automatiquement sélectionnée en tant que cible. Vous n'avez pas besoin d'indiquer de cible.
- Bloc CIDR de destination : CIDR du réseau sur site (ici, 10.0.0.0/16).
La table de routage est créée et affichée sur la page. Toutefois, elle ne fonctionne que si vous l'associez à un sous-réseau lors de la création de celui-ci (reportez-vous à la tâche 2f).
Par défaut, le trafic entrant vers les instances d'un VCN est défini sur DENY sur tous les ports et tous les protocoles. Dans cette tâche, vous configurez deux règles entrantes et une règle sortante pour autoriser le trafic réseau requis de base. Un VCN est livré avec une liste de sécurité par défaut avec un ensemble de règles par défaut. Cependant, dans cette tâche, vous créez une liste de sécurité distincte avec un ensemble plus restrictif de règles centrées sur le trafic d'un réseau sur site. Lorsque vous créez un sous-réseau dans la tâche 2f, vous lui associez cette liste de sécurité.
Les listes de sécurité constituent un moyen de contrôler le trafic entrant et sortant des ressources du réseau cloud virtuel. Vous pouvez également utiliser des groupes de sécurité réseau
| CIDR de destination | Table de routage |
|---|---|
| 10.0.0.0/16 | Passerelle de routage dynamique |
| Entrant/Sortant | CIDR | Protocole : port |
|---|---|---|
| Entrant | 10.0.0.0/16 | TCP : 22 |
| Entrant | 10.0.0.0/16 | ICMP : tous |
| Sortant | 10.0.0.0/16 | TCP : tous |
Dans la procédure suivante, assurez-vous que le CIDR sur site que vous indiquez dans les règles d'une liste de sécurité est identique (ou inférieur) au CIDR que vous avez spécifié dans la règle de routage de la tâche précédente. Sinon, le trafic est bloqué par les listes de sécurité.
Pour plus d'informations sur la création d'une liste de sécurité dans un VCN à l'aide de la console, reportez-vous à Création d'une liste de sécurité.
-
Ajoutez une règle entrante avec les valeurs suivantes, qui autorise le port SSH entrant sur le port TCP 22 à partir d'un réseau sur site :
- Type de source : CIDR
- CIDR source : CIDR d'un réseau sur site (ici, 10.0.0.0/16).
- Protocole IP : TCP.
- Plage de ports source : conservez la valeur telle quelle (Tous).
- Plage de ports de destination : 22 (pour le trafic SSH).
- Description : description facultative de la règle.
-
Ajoutez une règle sortante avec les valeurs suivantes, qui autorise le trafic TCP sortant sur tous les ports vers un réseau sur site :
- Type de destination : CIDR
- CIDR de destination : CIDR d'un réseau sur site (ici, 10.0.0.0/16).
- Protocole IP : TCP.
- Plage de ports source : conservez la valeur telle quelle (Tous).
- Plage de ports de destination : conservez la valeur telle que (Tous).
- Description : description facultative de la règle.
Lorsque la liste de sécurité est créée, elle s'affiche sur la page. Toutefois, elle ne fonctionne que si vous l'associez à un sous-réseau lors de la création de celui-ci (reportez-vous à la tâche 2f).
Dans cette tâche, vous créez un sous-réseau dans le réseau cloud virtuel. En général, un sous-réseau dispose d'un bloc CIDR inférieur au CIDR du réseau cloud virtuel. Toute instance que vous créez dans ce sous-réseau a accès à un réseau sur site. Nous vous recommandons d'utiliser des sous-réseaux régionaux. Ici, vous créez un sous-réseau privé régional.
| CIDR de destination | Table de routage |
|---|---|
| 10.0.0.0/16 | Passerelle de routage dynamique |
| Entrant/Sortant | CIDR | Protocole : port |
|---|---|---|
| Entrant | 10.0.0.0/16 | TCP : 22 |
| Entrant | 10.0.0.0/16 | ICMP : tous |
| Sortant | 10.0.0.0/16 | TCP : tous |
See Creating a Subnet for detailed information on creating a subnet a VCN using the Console. Utilisez les valeurs suivantes :
- Sous-réseau régional ou propre à un domaine de disponibilité : sélectionnez le bouton radio Régional. Nous vous recommandons d'utiliser des sous-réseaux régionaux.
- Bloc CIDR : bloc CIDR unique et contigu pour le sous-réseau (par exemple, 172.16.0.0/24). Il doit se trouver dans le bloc CIDR du réseau cloud et ne peut chevaucher aucun autre sous-réseau. Vous ne pouvez pas modifier cette valeur ultérieurement. Reportez-vous à Taille de réseau cloud virtuel et plages d'adresses autorisées. Pour référence, utilisez un calculateur de CIDR.
- Table de chemin d'accès : table de chemin d'accès créée dans la tâche 2d.
- Sous-réseau privé : sélectionnez cette option. Pour plus d'informations, reportez-vous à Accès à Internet.
- Utiliser les noms d'hôte DNS dans ce sous-réseau : conservez la valeur telle quelle (sélectionnée).
- Options DHCP : ensemble d'options DHCP à associer au sous-réseau. Sélectionnez l'ensemble d'options DHCP par défaut pour le réseau cloud virtuel.
- Listes de sécurité : liste de sécurité créée précédemment.
Le sous-réseau est créé et affiché sur la page. Le VCN de base dans cet exemple est maintenant configuré et vous êtes prêt à créer les composants restants pour le VPN site à site.
Dans cette tâche, vous créez l'objet CPE, qui est une représentation virtuelle d'un dispositif CPE réel. L'objet CPE existe dans un compartiment d'une location. Lorsque vous configurez un VPN site à site, vous devez modifier la configuration de l'appareil en périphérie réel du réseau sur site afin qu'elle corresponde à celle de l'objet CPE.
| CIDR de destination | Table de routage |
|---|---|
| 10.0.0.0/16 | Passerelle de routage dynamique |
| Entrant/Sortant | CIDR | Protocole : port |
|---|---|---|
| Entrant | 10.0.0.0/16 | TCP : 22 |
| Entrant | 10.0.0.0/16 | ICMP : tous |
| Sortant | 10.0.0.0/16 | TCP : tous |
Pour plus d'informations sur la création d'un objet CPE, reportez-vous à Création d'un CPE. Dans cet exemple, l'adresse IP la plus importante à fournir est 142.34.145.37, l'adresse IP publique ou privée du périphérique CPE physique.
Dans cette tâche, vous créez les tunnels IPSec et configurez le type de routage pour ceux-ci (routage statique, routage dynamique BGP ou routage dynamique BGP) Pour plus d'informations sur les étapes détaillées, reportez-vous à Création d'une connexion IPSec.
Si vous disposez d'un VPN site à site existant qui utilise le routage statique, vous pouvez modifier les tunnels pour qu'ils utilisent le routage dynamique BGP.
Utilisez l'application d'aide de configuration de CPE afin de générer le contenu de configuration que l'ingénieur réseau peut utiliser pour configurer le CPE.
Le contenu inclut les éléments suivants :
- Pour chaque tunnel IPSec, adresse IP VPN Oracle et clé secrète partagée.
- Valeurs de paramètre IPSec prises en charge.
- Informations sur le réseau cloud virtuel.
- Informations de configuration propres au CPE.
Pour plus d'informations, reportez-vous à Utilisation de l'application d'aide de configuration de CPE.
Fournissez à l'ingénieur réseau les éléments suivants :
- Contenu généré par l'application d'aide de configuration de CPE.
- Paramètres IPSec généraux pris en charge par Oracle.
Assurez-vous que l'ingénieur réseau configure un dispositif CPE de sorte qu'il prenne en charge les deux tunnels au cas où l'un d'eux tomberait en panne ou qu'Oracle en arrêterait un à des fins de maintenance. Si vous utilisez BGP, reportez-vous à Routage du VPN site à site.
Une fois que l'ingénieur réseau a configuré le dispositif CPE, vous pouvez vérifier que le statut IPSec du tunnel est Démarré et Vert. Ensuite, vous pouvez créer une instance Linux dans le sous-réseau d'un VCN. Utilisez ensuite SSH pour vous connecter à l'adresse IP privée de l'instance à partir d'un hôte du réseau sur site. Pour plus d'informations, reportez-vous à Création d'une instance.
Exemple de mise en page avec plusieurs zones géographiques
Le schéma suivant illustre un autre exemple avec la configuration suivante :
- Deux réseaux dans des zones géographiques distinctes qui se connectent chacun à un VCN
- Un seul dispositif CPE dans chaque zone
- Deux VPN IPSec (un pour chaque dispositif CPE)
Chaque VPN site à site a deux routages associés : un routage pour le sous-réseau de la zone géographique spécifique et un routage 0.0.0.0/0 par défaut. Oracle apprend les routeurs disponibles pour chaque tunnel via BGP ( si les tunnels utilisent BGP), ou parce que vous les avez définis en tant que routeurs statiques pour la connexion IPSec ( si les tunnels utilisent le routage statique).
| CIDR de destination | Cible du routage |
|---|---|
| 10.20.0.0/16 | Passerelle de routage dynamique |
| 0.0.0.0/0 | Passerelle de routage dynamique |
| CIDR de destination | Cible du routage |
|---|---|
| 10.40.0.0/16 | Passerelle de routage dynamique |
| 0.0.0.0/0 | Passerelle de routage dynamique |
Voici quelques exemples de situations dans lesquelles le routage 0.0.0.0/0 peut offrir de la flexibilité :
- Supposons que le dispositif CPE 1 soit arrêté (reportez-vous au diagramme suivant). Si le sous-réseau 1 et le sous-réseau 2 peuvent communiquer entre eux, le VCN peut toujours atteindre les systèmes dans le sous-réseau 1 en raison du routage 0.0.0.0/0 qui va vers le CPE 2.
-
Si une organisation ajoute une nouvelle zone géographique avec le sous-réseau 3 et la connecte initialement au sous-réseau 2 (reportez-vous au diagramme suivant). Si vous avez ajouté une règle de routage à la table de routage du VCN pour le sous-réseau 3, le VCN pourrait atteindre les systèmes dans le sous-réseau 3 en raison de la route 0.0.0.0/0 qui va vers le CPE 2.
Numéro 1 : table de routage de réseau cloud virtuel CIDR de destination Cible du routage 10.20.0.0/16 Passerelle de routage dynamique 10.40.0.0/16 Passerelle de routage dynamique 10.60.0.0/16 Passerelle de routage dynamique
Exemple de disposition avec une opération PAT
Le diagramme suivant présente un exemple avec la configuration ci-après :
- Deux réseaux dans des zones géographiques distinctes qui se connectent chacun à un VCN
- Dispositifs CPE redondants (deux dans chaque zone géographique)
- Quatre VPN IPSec (un pour chaque dispositif CPE)
- Opération PAT (Port Address Translation) pour chaque dispositif CPE
Pour chacune des quatre connexions, le routage qu'Oracle doit connaître est l'adresse IP PAT pour l'appareil CPE spécifique. Oracle apprend le routage d'adresse IP PAT pour chaque tunnel soit par le biais de BGP (si les tunnels utilisent BGP), soit par le biais de la définition de l'adresse appropriée comme routage statique pour la connexion IPSec (si les tunnels utilisent un routage statique).
Lorsque vous configurez les règles de routage pour le VCN, vous spécifiez une règle pour chaque adresse IP PAT (ou un CIDR agrégé qui les couvre tous) avec le DRG comme cible de la règle.
| CIDR de destination | Cible du routage |
|---|---|
| Adresse IP PAT 1 | Passerelle de routage dynamique |
| Adresse IP PAT 2 | Passerelle de routage dynamique |
| Adresse IP PAT 3 | Passerelle de routage dynamique |
| Adresse IP PAT 4 | Passerelle de routage dynamique |
Etapes suivantes
Reportez-vous aux procédures et aux rubriques connexes suivantes :
- Assistant VPN site à site
- Configuration du CPE
- Dispositifs CPE vérifiés
- Utilisation de l'application d'aide de configuration de CPE
- Passage d'un routage statique à un routage dynamique BGP
- Utilisation d'un VPN site à site
- FAQ sur le VPN site à site
- Mesures de VPN site à site
- Dépannage de VPN site à site