Connexion VPN à AWS

Le service VPN site à site Oracle Cloud Infrastructure (OCI) offre une connexion IPSec sécurisée entre un réseau sur site et un réseau cloud virtuel (VCN). Vous pouvez également utiliser un VPN site à site pour connecter des ressources Oracle Cloud Infrastructure à d'autres fournisseurs de services cloud.

Cette rubrique propose les meilleures pratiques à suivre pour configurer un tunnel VPN IPSec entre OCI et AWS à l'aide du service de VPN site à site OCI et du service de VPN site à site AWS.

Remarque

Ce document part du principe que vous avez déjà provisionné un réseau cloud virtuel (VCN) et une passerelle de routage dynamique (DRG), et que vous avez également configuré toutes les tables de routage VCN et les listes de sécurité requises pour ce scénario et tous les équivalents dans AWS.

Remarques propres à AWS

Pré-clé partagée : si vous utilisez AWS afin de générer automatiquement une clé pré-partagée pour un tunnel, la clé générée peut contenir des points ou des traits de soulignement (. ou _). OCI ne prend pas en charge ces caractères dans les clés prépartagées. Si le mot de passe généré automatiquement par AWS contient ces caractères, modifiez la clé prépartagée du tunnel concerné avant de terminer la configuration VPN.

Type de routage : ce scénario utilise BGP (Border Gateway Protocol) pour échanger des routages entre AWS et OCI. Dans la mesure du possible, utilisez BGP pour les tunnels IPSec. Le routage statique peut également être utilisé entre AWS et OCI.

Vérification de la version du VPN site à site OCI

Vous pouvez vérifier la version du VPN site à site utilisée par les connexions IPSec dans l'onglet Informations sur IPSec d'une page de connexion IPSec.

Paramètres IPSec pris en charge

Pour obtenir la liste des paramètres IPSec pris en charge indépendamment du fournisseur pour toutes les régions OCI, reportez-vous à Paramètres IPSec pris en charge.

Processus de configuration

AWS - Création d'une passerelle client temporaire

La première étape du processus de configuration consiste à créer une passerelle client temporaire. Cette passerelle client temporaire est utilisée pour provisionner initialement le VPN site à site AWS, affichant l'adresse VPN AWS du tunnel. OCI exige l'adresse IP publique de l'homologue VPN distant pour pouvoir créer une connexion IPSec. Une fois ce processus terminé, une nouvelle passerelle client est configurée. Elle représente l'adresse IP publique d'adresse VPN OCI réelle.

  1. A partir du portail AWS principal, développez le menu Services en haut à gauche de l'écran. Accédez à VPC sous Fonctions de réseau et transmission de contenu.
  2. Dans le menu de gauche, faites défiler le menu vers le bas et sélectionnez Passerelles client sous Réseau privé réel (VPN).
  3. Sélectionnez Créer un client Gateway pour créer une passerelle client.
  4. Vous pouvez accéder à la page Créer la passerelle client. Entrez les informations suivantes :

    • Nom : attribuez au client le nom temporaire. Dans cet exemple, le nom TempGateway est utilisé.
    • Racheminement : sélectionnez Dynamique.
    • ASN BGP : saisissez le numéro ASN BGP OCI. Le numéro ASN BGP d'Oracle pour le cloud commercial est 31898, à l'exception de la région Centre de la Serbie (Jovanovac), qui est 14544.
    • Adresse IP : utilisez toute adresse IPv4 valide pour la passerelle temporaire. Cet exemple utilise 1.1.1.1.

      Lorsque vous avez terminé la configuration de votre passerelle client temporaire, sélectionnez Créer une passerelle client pour terminer le provisionnement.

AWS - Création et attachement d'une passerelle privée virtuelle
  1. Dans le menu AWS de gauche, faites défiler le menu vers le bas et sélectionnez Passerelles réseau privé virtuelles sous Réseau privé virtuelle (VPN).
  2. Sélectionnez le bouton Créer la passerelle privée virtuelle pour créer une passerelle privée virtuelle.

  3. Vous pouvez accéder à la page Créer la passerelle privée virtuelle. Entrez les informations suivantes :

    • Nom : attribuez un nom à la passerelle privée virtuelle.
    • avis d'expédition : sélectionnez avis d'expédition Amazon par défaut.

      Lorsque vous avez terminé la configuration de la passerelle privée virtuelle, cliquez sur le bouton Créer une passerelle privée virtuelle pour terminer le provisionnement.

  4. Une fois la passerelle privée virtuelle créée, vous devez l'attacher au catalogue virtuel de ce choix.

    Toujours sur la page Passerelle privée virtuelle, assurez-vous que la passerelle virtuelle est sélectionnée, sélectionnez le menu Actions (trois points), puis Attacher au catalogue privé virtuel.

  5. Vous pouvez accéder à la page Attacher au VPC de la passerelle privée virtuelle sélectionnée.

    Sélectionnez le VPC dans la liste, puis cliquez sur le bouton Yes, Attach pour terminer la connexion du VPG au VPC.

AWS - Création d'une connexion VPN
  1. Faites défiler le menu de gauche jusqu'au bas et sélectionnez Connexions Site-to-Site VPN sous Réseau privé virtuelle (VPN).
  2. Sélectionnez Créer la connexion VPN pour créer une passerelle privée virtuelle.
  3. Vous pouvez accéder à la page Créer la connexion VPN. Entrez les informations suivantes :
    • Balise de noms : attribuez un nom à la connexion VPN.
    • Type de passerelle cible : sélectionnez Passerelle privée virtuelle, puis sélectionnez la passerelle privée virtuelle créée précédemment dans la liste.
    • Passerelle client : sélectionnez existante, puis sélectionnez la passerelle client temporaire dans la liste.
    • Options de routage : sélectionnez Dynamique (nécessite BGP).
    • Version des adresses IP internes du tunnel : sélectionnez IPv4.
    • CIDr de réseau IPv4 local/distant : laissez ces deux champs vides. Vous créez ainsi un VPN IPSec basé sur un routage de type Tout/Tout.

      Passez à l'étape suivante. Ne sélectionnez pas le bouton Créer une connexion VPN pour l'instant.

  4. Toujours sur la page Créer une connexion VPN, accédez plus bas à Options de tunnel.

    Sélectionnez un CIDR /30 dans la plage 169.254.0.0/16 locale de liaison. Entrez le CIDR complet dans le champ Inside IPv4 CIDR for Tunnel 1.

    Assurez-vous qu'OCI prend en charge l'adresse /30 choisie pour les IP de tunnel internes. OCI ne vous autorise pas à utiliser les plages d'adresses IP suivantes pour les adresses IP de tunnel internes :

    • 169.254.10.0-169.254.19.255
    • 169.254.100.0-169.254.109.255
    • 169.254.192.0-169.254.201.255

    Passez à l'étape suivante. Ne sélectionnez pas le bouton Créer une connexion VPN pour l'instant.

  5. Sous Options avancées pour Le Tunnel 1, sélectionnez le bouton radio Modifier les options Du Tunnel 1. Un ensemble d'options supplémentaire apparaît.

    Si vous souhaitez appliquer des restrictions aux algorithmes cryptographiques utilisés pour le tunnel, configurez ici les options de phase 1 et de phase 2 voulues. Nous vous recommandons d'utiliser IKEv2 pour cette connexion. Désactivez la case à cocher IKEv1 pour empêcher l'utilisation d'IKEv1. Pour connaître les options de phase 1 et de phase 2 prises en charge par OCI, reportez-vous à la section Paramètres IPSec pris en compte.

    Une fois que vous avez configuré toutes les options souhaitées, sélectionnez le bouton Créer une connexion VPN en bas pour terminer la mise en service de la connexion VPN.

AWS - Téléchargement de la configuration

Pendant la mise en service du provisionnement de la connexion VPN, téléchargez l'ensemble des informations de configuration de tunnel. Ce fichier texte est requis pour terminer la configuration du tunnel dans la console OCI.

  1. Vérifiez que la connexion VPN est sélectionnée, puis cliquez sur le bouton Télécharger la configuration.
  2. Sélectionnez le paramètre Fournisseur et le paramètre Plate-forme "Générique", puis sélectionnez le bouton Télécharger afin d'enregistrer une copie texte de la configuration sur un disque dur local.
  3. Ouvrez le fichier de configuration téléchargé dans un éditeur de texte.

    Sous Tunnel IPSec 1, consultez la section Configuration Internet Key Exchange 1. Vous trouverez ici une clé prépartagée générée automatiquement pour le tunnel. Enregistrez cette valeur.

    AWS peut générer une clé prépartagée utilisant des points ou des traits de soulignement (. ou _). OCI ne prend pas en charge l'utilisation de ces caractères dans une clé prépartagée. Une clé qui inclut ces valeurs doit être modifiée. Pour modifier la clé prépartagée dans AWS pour un tunnel, sélectionnez la connexion VPN, sélectionnez le menu Actions (trois points), puis Modifier les options de tunnel VPN.

  4. Toujours sous Tunnel 1 dans la configuration téléchargée, accédez à la section Configuration de l'interface de tunnel 3.

    Notez les valeurs suivantes pour terminer la configuration du VPN site à site dans OCI :

    • Adresse IP externe de la passerelle privée virtuelle
    • Adresse IP interne de la passerelle client
    • Adresse IP interne de la passerelle privée virtuelle
    • Numéro ASN BGP de la passerelle privée virtuelle. Le numéro ASN par défaut est 64512.
OCI - Création d'un objet CPE
  1. Ouvrez le menu de navigation et sélectionnez Fonctions de réseau. Sous Connectivité client, sélectionnez Equipement client sur site.
  2. Sélectionnez Créer un CPE (Customer-Premise Equipment).
  3. Entrez les valeurs suivantes :

    • Créer dans le compartiment : sélectionnez le compartiment pour le VCN souhaité.
    • Nom : nom descriptif de l'objet CPE. Ce nom ne doit pas nécessairement être unique et ne peut pas être modifié ultérieurement dans la console (vous pouvez toutefois le modifier avec l'API). Evitez de saisir des informations confidentielles.

      Cet exemple utilise le nom "TO_AWS".

    • Adresse IP : entrez l'adresse IP externe de la passerelle privée virtuelle, affichée dans la configuration téléchargée à partir d' AWS.
    • Fournisseur de CPE : sélectionnez Autre.
  4. Sélectionnez Créer un CPE.
OCI - Création d'une connexion IPSec
  1. Ouvrez le menu de navigation et sélectionnez Fonctions de réseau. Sous Connectivité client, sélectionnez VPN site à site.
  2. Sélectionnez Créer une connexion IPSec.
  3. Entrez les valeurs suivantes :

    • Créer dans le compartiment : conservez la valeur telle quelle (compartiment du réseau cloud virtuel).
    • Nom : saisissez le nom descriptif de la connexion IPSec (exemple : OCI-AWS-1). Ce nom ne doit pas nécessairement être unique et peut être modifié ultérieurement. Evitez de saisir des informations confidentielles.
    • Compartiment de CPE (Customer-Premises Equipment) : conservez la valeur telle quelle (compartiment du réseau cloud virtuel).
    • CPE (CPE) : sélectionnez l'objet CPE que vous avez créé précédemment, nommé TO_AWS.
    • Compartiment de la passerelle de routage dynamique : conservez la valeur telle quelle (compartiment du réseau cloud virtuel).
    • Passerelle de routage dynamique : sélectionnez la passerelle de routage dynamique que vous avez créée précédemment.
    • CIDR de routage statique : entrez un routage par défaut, 0.0.0.0/0. Le tunnel actif utilisant BGP, OCI ignore ce routage. Une entrée est requise pour le second tunnel de la connexion IPSec, qui emploie par défaut le routage statique, mais l'adresse n'est pas utilisée dans ce scénario. Si vous prévoyez d'utiliser un routage statique pour cette connexion, saisissez des routages statiques représentant les réseaux virtuels AWS. Vous pouvez configurer jusqu'à 10 routages statiques par connexion IPSec.
  4. Entrez les détails suivants dans l'onglet Tunnel 1 (requis) :

    • Nom : entrez le nom descriptif du TUNNEL (exemple) : AWS-TUNNEL-1. Ce nom ne doit pas nécessairement être unique et peut être modifié ultérieurement. Evitez de saisir des informations confidentielles.
    • Indiquer une clé secrète partagée personnalisée : entrez la clé prépartagée utilisée par IPSec pour le tunnel. Cochez cette case et saisissez la clé prépartagée issue du fichier de configuration VPN AWS.
    • Version IKE : sélectionnez IKEv2.
    • Type de routage : sélectionnez Routage dynamique BGP.
    • ASN BGP : entrez le numéro ASN BGP utilisé par AWS tel qu'il figure dans le fichier de configuration VPN AWS. Le numéro ASN BGP AWS par défaut est 64512.
    • IPv4 Interface de tunnel interne - CPE : entrez l'adresse IP interne de passerelle privée virtuelle issue du fichier de configuration VPN AWS. Utilisez la notation CIDR complète pour l'adresse IP.
    • IPv4 Interface de tunnel interne - Oracle : entrez l'adresse IP interne utilisée par OCI. Reportez-vous au fichier de configuration VPN AWS pour saisir l'adresse IP interne de la passerelle client. Utilisez la notation CIDR complète pour l'adresse IP.
  5. Sélectionnez Créer une connexion IPSec.

    La connexion IPSec est créée et affichée sur la page. Elle présente l'état Provisionnement pendant une courte période.

  6. Une fois que la connexion IPSec est provisionnée, notez l'adresse IP du VPN Oracle du tunnel. Cette adresse est utilisée pour créer une passerelle client dans le portail AWS.
    1. Ouvrez le menu de navigation et sélectionnez Fonctions de réseau. Sous Connectivité client, sélectionnez VPN site à site.

      La liste des connexions IPSec du compartiment que vous visualisez apparaît. Si vous ne voyez pas la stratégie que vous recherchez, vérifiez que vous visualisez le compartiment approprié. Pour visualiser les stratégies attachées à un autre compartiment, sous Portée de la liste, sélectionnez ce compartiment dans la liste.

    2. Sélectionnez la connexion IPSec qui vous intéresse (exemple : OCI-AWS-1).
    3. Recherchez l'adresse IP de VPN Oracle d' AWS-TUNNEL-1.
AWS - Création d'une passerelle client

Dans la console AWS, accédez à Passerelles client et créez une passerelle client à l'aide des détails suivants :

  • Nom : attribuez un nom à la passerelle client.
  • Racheminement : sélectionnez Dynamique.
  • ASN BGP : saisissez le numéro ASN BGP OCI. Le numéro ASN BGP d'Oracle pour le cloud commercial est 31898, à l'exception de la région Centre de la Serbie (Jovanovac), qui est 14544.
  • Adresse IP : saisissez l'adresse IP de VPN Oracle du tunnel 1. Utilisez l'adresse IP enregistrée dans la tâche précédente.

    Sélectionnez Créer la passerelle client pour terminer le provisionnement.

AWS - Modification de la connexion VPN pour la nouvelle passerelle client

Cette tâche remplace la passerelle client temporaire par celle qui utilise l'adresse IP de VPN OCI.

  1. Accédez à Connexions VPN site à site dans la console AWS et sélectionnez la connexion VPN.

  2. Sélectionnez le menu Actions (trois points), puis Modifier la connexion VPN.

  3. Vous pouvez accéder à la page Modifier la connexion VPN. Entrez les informations suivantes :

    • Type de cible : sélectionnez Passerelle client dans la liste.
    • ID de passerelle client cible : dans la liste, sélectionnez-la.

      Sélectionnez le bouton Save (Enregistrer) pour enregistrer la configuration lorsque vous avez terminé.

      Après quelques minutes, AWS termine le provisionnement de la connexion VPN et le VPN IPSec entre AWS et OCI apparaît.

  4. A ce stade, vous pouvez supprimer la passerelle client temporaire.
Vérification

Accédez à la connexion IPSec dans OCI et aux connexions VPN site à site dans AWS pour vérifier le statut de tunnel.

  • Le tunnel OCI sous la connexion IPSec affiche Haut sous le statut IPSec, ce qui confirme qu'il est opérationnel.
  • Le statut BGP IPv4 affiche également Démarré, ce qui indique l'établissement d'une session BGP.
  • Le statut du tunnel sous l'onglet Détails de tunnel pour la connexion VPN site à site dans AWS affiche Actif.

Un service Monitoring est également disponible auprès d'OCI pour surveiller activement et passivement les ressources cloud. Pour plus d'informations sur la surveillance d'OCI site-à-site VPN, reportez-vous à Mesures de VPN site-à-site.

Si vous rencontrez des problèmes, reportez-vous à Dépannage de VPN site à site.