Remarques :
- Ce tutoriel nécessite un accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction au niveau gratuit d'Oracle Cloud Infrastructure.
- Il utilise des exemples de valeur pour les informations d'identification, la location et les compartiments Oracle Cloud Infrastructure. A la fin de l'exercice, remplacez ces valeurs par des valeurs propres à votre environnement cloud.
Connexion sur site à OCI à l'aide d'un VPN IPSec avec une architecture de routage VCN Hub et Spoke
Introduction
Oracle Cloud Infrastructure (OCI) facilite la configuration de la connectivité VPN entre votre environnement sur site et votre environnement OCI. Toutefois, ils peuvent créer des complexités dans le routage lors de l'utilisation d'une topologie hub et spoke dans OCI. Dans ce tutoriel, nous allons configurer une connexion VPN Internet Protocol Security (IPSec) à OCI et configurer le routage pour nous assurer que le trafic de l'environnement sur site est évalué par des stratégies de pare-feu avant de nous connecter aux ressources dans OCI.
Les images suivantes illustrent les flux de trafic.
-
Sur site pour lancer une connectivité
-
Spoke B vers la connectivité sur site
Objectifs
- Connectez un emplacement sur site à l'environnement OCI à l'aide d'un tunnel VPN IPSec. Etant donné que notre environnement OCI utilise une architecture de routage hub et spoke, nous allons également configurer le routage nécessaire pour garantir que le trafic circule correctement et vérifier la connectivité via des tests ping de base.
Prérequis
Effectuez les tutoriels suivants :
-
Déployer une instance Windows dans Oracle Cloud Infrastructure
-
Installez un pare-feu pfSense dans Oracle Cloud Infrastructure.
-
Routage du hub de routage et du VCN satellite avec un pare-feu pfSense dans le VCN du hub.
Tâche 1 : préparation de l'environnement sur site
-
Topologie OCI
Dans ce tutoriel, la topologie OCI est la topologie de routage VCN hub et spoke. Pour plus d'informations, reportez-vous à Route Hub and Spoke VCN avec pfSense Firewall dans le VCN Hub.
L'image suivante illustre la représentation visuelle du point de départ.
-
Topologie sur site
Pour simuler un environnement sur site, j'ai créé un exemple de configuration, créé deux instances VPS et installé pfSense sur chacune d'elles.
Une instance pfSense servira de point de terminaison CPE (Customer-Premise Equipment) IPSec, tandis que l'autre instance pfSense fonctionnera en tant que client interne.
La configuration de cet environnement n'est pas dans le cadre de ce tutoriel.
-
Topologie finale OCI et sur site
Lorsque nous connectons un environnement sur site à l'environnement OCI, la topologie se présente comme suit :
Tâche 2 : créer un CPE dans OCI
Avant de créer une connexion VPN IPSec, nous devons d'abord créer un objet CPE dans OCI.
-
Accédez à la console OCI.
- Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
- Cliquez sur Fonctions de réseau.
- Cliquez sur VPN site à site.
- Cliquez sur Customer-premises Equipment.
- Cliquez sur Créer un CPE.
-
Dans Créer un CPE, saisissez les informations suivantes.
- Entrez le nom du CPE.
- Saisissez l'adresse IP. Il s'agit de l'adresse IP publique de l'appareil qui va être utilisée pour configurer le VPN on-premise.
- Cliquez sur Créer un CPE.
- Le nouvel objet CPE dans OCI est créé.
- Cliquez sur Connexion client pour revenir à la page de connectivité client.
Tâche 3 : création d'un VPN site à site dans OCI
Pour configurer le VPN site à site OCI, nous devons effectuer la configuration à deux extrémités, côté OCI et côté sur site.
-
Configurez le côté OCI.
- Cliquez sur VPN site à site.
- Cliquez sur Créer une connexion IPSec.
- Entrez le nom de la connexion IPSec.
- Sélectionnez le CPE créé dans la tâche 2.
- Sélectionnez le DRG qui sera utilisé pour mettre fin à cette connexion IPSec.
- Sélectionnez Routages vers votre réseau sur site (LAN) sur votre emplacement sur site vers lequel acheminer le trafic à partir de vos réseaux OCI.
- Descendre.
- Dans Version IKE, sélectionnez
IKEv1
. - Dans Type de routage, sélectionnez Routage statique.
- Descendre.
- Cliquez sur Afficher les options avancées.
- Descendre.
-
Dans OCI, nous devons créer et configurer deux tunnels par défaut. Configurez le premier tunnel.
- Cliquez sur le crochet ouvrant (>) pour Phase one (ISAKMP).configuration.
- Descendre.
-
Dans la section Configuration de la première phase (ISAKMP), saisissez les informations suivantes.
- Sélectionnez Définir des configurations personnalisées.
- Dans Algorithme de cryptage personnalisé, sélectionnez
AES_256_CBC
. - Dans Algorithme d'authentification personnalisé, sélectionnez
SHA_256
. - Dans Groupe Diffie-Hellman personnalisé, sélectionnez
GROUP 2
. - Laissez IKE session key life in seconds par défaut sur
288500
seconds. - Cliquez sur l'angle droit (>) pour Configuration de la deuxième phase (IPSec).
- Descendre.
-
Dans la section Configuration de la deuxième phase (IPSec), saisissez les informations suivantes.
- Sélectionnez Définir des configurations personnalisées.
- Dans Algorithme de cryptage personnalisé, sélectionnez
AES_256_CBC
. - Dans Algorithme d'authentification personnalisé, sélectionnez
HMAC_SHA2_256_128
. - Laissez IPSec session key life in seconds par défaut sur
3600
seconds. - Sélectionnez Activer la confidentialité persistante parfaite.
- Dans Groupe Diffie-Hellman de confidentialité persistante, sélectionnez
GROUP 5
.
-
Configurez le second tunnel.
- Utilisez les mêmes détails de configuration que ceux utilisés par le premier tunnel.
- Descendre.
-
Cliquez sur Créer une connexion IPSec.
-
Notez que l'état de cycle de vie des tunnels IPSec est PROVISIONING.
- Notez que l'état devient AVAILABLE.
- Notez l'adresse IP du VPN Oracle que nous devons enregistrer. Ces adresses IP seront requises pour configurer le tunnel sur site.
Remarque : nous utiliserons uniquement l'un des deux tunnels IPSec. Par conséquent, nous ne nous concentrerons que sur la première configuration de tunnel. Par conséquent, collectez et enregistrez uniquement la première adresse IP du premier tunnel IPSec.
-
Cliquez sur Informations sur le CPE et les tunnels.
-
Cliquez sur Afficher.
- Notez que la clé secrète partagée est générée automatiquement. Enregistrez cette clé secrète. Cette opération est requise pour configurer l'autre côté du tunnel (sur site).
- Cliquez sur Fermer.
Tâche 4 : configuration du routage VCN hub et satellite pour le sous-réseau sur site
Pour acheminer le trafic réseau provenant du réseau sur site au sein de notre architecture réseau Hub et Spoke, nous devons apporter des modifications aux passerelles de routage dynamique (DRG) et aux tables de routage VCN.
L'image suivante illustre les tables de routage. Il s'agit donc de notre point de départ.
Tâche 4.1 : Mettre à jour l'import de routage
-
Mettez à jour le groupe de distribution de routage (
DRG_RDG_IMPORT
) dans le DRG. Ajoutez le type d'attachement de tunnel IPSec (priorité 4).Priorité Type de correspondance Critères de correspondance Action 1 Pièce jointe SPOKE_VCN-A_ATTACHEMENT ACCEPT 2 Pièce jointe SPOKE_VCN-B_ATTACHMENT ACCEPT 3 Pièce jointe SPOKE_VCN-C_ATTACHEMENT ACCEPT 4 Type de pièce jointe Tunnel IPsec ACCEPT -
Accédez à la console OCI.
- Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
- Cliquez sur Fonctions de réseau.
- Cliquez sur Passerelle de routage dynamique.
- Cliquez sur Passerelle de routage dynamique.
- Cliquez sur le DRG que nous utilisons pour notre environnement de routage VCN.
- Cliquez sur Importer la distribution de routage.
- Cliquez sur Distribution de routage d'import (
DRG_RDG_IMPORT
).
-
Veillez à ajouter la nouvelle instruction de distribution de routage.
- Notez que l'instruction de distribution de routage a été ajoutée avec succès.
- Cliquez sur Détails des passerelles de routage dynamique pour revenir à la page de détails du DRG.
-
L'image suivante illustre la représentation visuelle de ce que nous avons créé jusqu'à présent.
-
Nous avons déjà importé le routage dans la table de routage DRG
DRG_RT_HUB_VCN_3
.Remarque : cette table de routage DRG (
DRG_RT_HUB_VCN_3
) et l'attachement de table de routage s'assureront que tous les réseaux des rayons et sur site (IPSec) sont connus et appris sur le DRG afin que le DRG sache quels réseaux sont disponibles sur les rayons et où acheminer les réseaux spoke.- Cliquez sur Tables de routage DRG pour vérifier.
- Cliquez sur la table de routage
DRG_RT_HUB_VCN_3
.
-
Cliquez sur Obtenir toutes les règles de routage.
- Le routage à partir de l'environnement sur site (
10.222.10.0/24
) est visible dans la table. Cela signifie que le DRG sait comment atteindre le réseau sur site (10.222.10.0/24
) via le tunnel IPSec. - Cliquez sur Fermer.
- Le routage à partir de l'environnement sur site (
-
Cliquez sur DRG pour revenir à la page de détails DRG.
Tâche 4.2 : créer une table de routage VCN Hub et l'associer à l'attachement DRG IPSec
-
Créez une table de routage (
DRG_RT_IPSEC_VC_1
) dans le DRG.CIDR de destination Type d'attachement de saut suivant Nom de l'attachement de saut suivant 172.16.0.0/24 Réseau cloud virtuel HUB_VCN_ATTACHMENT 172.16.1.0/24 Réseau cloud virtuel HUB_VCN_ATTACHMENT 172.16.2.0/24 Réseau cloud virtuel HUB_VCN_ATTACHMENT 172.16.3.0/24 Réseau cloud virtuel HUB_VCN_ATTACHMENT -
Accédez à la console OCI.
- Cliquez sur Tables de routage DRG.
- Cliquez sur Créer une table de routage DRG.
- Entrez le nom de la table de routage DRG.
- Dans Règle de routage statique, entrez les informations suivantes pour ajouter une nouvelle règle statique.
- Bloc CIDR de destination : entrez
172.16.0.0/24
. - Type d'association de saut suivant : sélectionnez Réseau cloud virtuel.
- Attachement de saut suivant : sélectionnez le VCN du hub.
- Bloc CIDR de destination : entrez
- Cliquez sur + Une autre règle.
- Ajoutez une nouvelle règle statique.
- Bloc CIDR de destination : entrez
172.16.1.0/24
. - Type d'association de saut suivant : sélectionnez Réseau cloud virtuel.
- Attachement de saut suivant : sélectionnez le VCN du hub.
- Bloc CIDR de destination : entrez
- Cliquez sur + Une autre règle.
- Ajoutez une nouvelle règle statique.
- Bloc CIDR de destination : entrez
172.16.2.0/24
. - Type d'association de saut suivant : sélectionnez Réseau cloud virtuel.
- Attachement de saut suivant : sélectionnez le VCN du hub.
- Bloc CIDR de destination : entrez
- Cliquez sur + Une autre règle.
- Ajoutez une nouvelle règle statique.
- Bloc CIDR de destination : entrez
172.16.3.0/24
. - Type d'association de saut suivant : sélectionnez Réseau cloud virtuel.
- Attachement de saut suivant : sélectionnez le VCN du hub.
- Bloc CIDR de destination : entrez
- Cliquez sur Créer une table de routage DRG.
-
Au bout de quelques minutes, la table de routage sera créée.
- Notez que la nouvelle table de routage DRG (
DRG_RT_IPSEC_VC_1
) est créée.
- Notez que la nouvelle table de routage DRG (
-
L'image suivante illustre la représentation visuelle de ce que nous avons créé jusqu'à présent.
-
Nous devons associer/attacher/lier la table de routage aux attachements de tunnel IPSec DRG.
Remarque : cette table de routage DRG (
DRG_RT_IPSEC_VC_1
) et cette attachement de table de routage garantissent que tous les réseaux des rayons sont accessibles à partir d'un environnement sur site. Il s'agit également d'un moyen de contrôler le routage et d'autoriser uniquement le routage vers les rayons vers lesquels vous souhaitez pouvoir effectuer le routage.- Cliquez sur IPSec attaches de tunnel.
- Cliquez sur la première pièce jointe.
- La pièce jointe IPSec utilise la table de routage DRG par défaut générée automatiquement.
- Cliquez sur Modifier.
- Sélectionnez la table de routage DRG créée ci-dessus (
DRG_RT_IPSEC_VC_1
). - Cliquez sur Enregistrer les modifications.
- Une nouvelle table de routage DRG est active sur l'attachement IPSec du premier tunnel IPSec.
- Cliquez sur DRG pour revenir à la page de détails DRG.
-
L'image suivante illustre la représentation visuelle de ce que nous avons créé jusqu'à présent.
Remarque : nous ne mettrons pas à jour la table de routage DRG sur la deuxième attachement de tunnel IPSec car nous n'utilisons pas le deuxième tunnel dans ce tutoriel.
Tâche 4.3 : mise à jour de la table de routage du sous-réseau privé VCN du hub
La dernière table de routage à mettre à jour est la table de routage VCN associée au sous-réseau privé dans le VCN hub.
-
Mettez à jour la table de routage (
VCN_RT_HUB_PRIVATE_SUBNET
) dans le VCN hub.Ajoutez le réseau sur site à la table (
VCN_RT_HUB_PRIVATE_SUBNET
).Destination Type de cible Target Type de routage 0.0.0.0/0 Passerelle NAT hub-nat-gw Statique 172.16.1.0/24 Passerelle de routage dynamique Passerelle de routage dynamique Statique 172.16.2.0/24 Passerelle de routage dynamique Passerelle de routage dynamique Statique 172.16.3.0/24 Passerelle de routage dynamique Passerelle de routage dynamique Statique 10.222.10.0/24 Passerelle de routage dynamique Passerelle de routage dynamique Statique Remarque : cette table de routage VCN (
VCN_RT_HUB_PRIVATE_SUBNET
) achemine le trafic destiné aux rayons et au réseau IPSec sur site vers le pare-feu. Le trafic destiné à Internet (tous les trafics autres que les réseaux spoke) vers la passerelle NAT est également acheminé par cette table de routage. -
Accédez à la console OCI.
- Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
- Cliquez sur Fonctions de réseau.
- Cliquez sur Réseaux cloud virtuels.
-
Cliquez sur le VCN hub.
- Cliquez sur Tables de routage.
- Cliquez sur la table de routage
VCN_RT_HUB_PRIVATE_SUBNET
.
-
J'ai déjà ajouté la nouvelle règle de routage, alors assurez-vous de l'ajouter. Lorsque vous ajoutez la règle de routage, elle doit ressembler à ceci.
-
L'image suivante illustre la représentation visuelle de ce que nous avons créé jusqu'à présent.
Tâche 5 : création d'un VPN site à site sur site à l'aide de pfSense
Nous avons configuré le côté OCI du tunnel IPSec. Configurons le côté sur site. Nous utilisons un pare-feu pfSense en tant qu'adresse de terminaison IPSec.
Tâche 5.1 : création du tunnel IPSec (phase 1 ISAKMP)
-
Accédez au portail pfSense.
- Cliquez sur le menu déroulant VPN.
- Cliquez sur IPSec.
- Cliquez sur Tunnels.
- Cliquez sur + Ajouter P1.
- Entrez une description.
- Dans Version d'échange de clés, sélectionnez IKEv1.
- Dans Internet Protocol, sélectionnez IPv4.
- Dans Interface, sélectionnez WAN.
- Dans Passerelle distante, entrez l'adresse IP publique, qui peut être extraite de la console OCI. Accédez à Networking, Connectivité client, VPN site à site et cliquez sur VPN.
- Descendre.
-
Dans la section Proposition de phase 1, entrez les informations suivantes.
- Dans Méthode d'authentification, sélectionnez Mutuelle PSK.
- Dans Mode de négociation, sélectionnez Principal.
- Dans Mon identificateur, sélectionnez Adresse IP et entrez l'adresse IP publique locale du côté sur site extraite dans la tâche 3.
- Dans Identificateur d'homologue, sélectionnez Adresse IP et entrez l'adresse IP publique distante côté OCI.
- Entrez la clé secrète partagée (précédente) extraite dans la tâche 3.
- Configurez l'algorithme de cryptage :
- Algorithme : sélectionnez AES.
- Longueur de la clé : sélectionnez256 bits.
- Hachage : sélectionnez SHA256.
- Groupe DH : sélectionnez 2 (1024 bits). - Faites défiler la page vers le bas.
- Dans Durée de vie, entrez
28800
secondes. - Dans Action de clôture d'EdC enfant, sélectionnez Redémarrer/Reconnecter.
- Défilement vers le bas.
-
Cliquez sur Enregistrer.
- Notez que la configuration de la phase 1 IPSec a été configurée.
- Cliquez sur Appliquer les modifications pour valider les modifications.
- Notez que l'application des modifications a réussi.
- Cliquez sur Afficher les entrées de la phase 2.
Tâche 5.2 : création du tunnel IPSec (phase 2 : IPSec)
-
Cliquez sur + Ajouter P2.
- Entrez une description.
- Dans Mode, sélectionnez Routed (VTI).
- Sélectionnez le réseau local (sur site).
- Sélectionnez le réseau distant (OCI).
- Descendre.
- Dans Protocole, sélectionnez ESP.
- Dans Algorithme de cryptage, sélectionnez AES 256 bits.
- Dans Algorithme de hachage, sélectionnez SHA256.
- Dans Groupe de clés PFS, sélectionnez 5 (1536 bits).
- Dans Durée de vie, entrez 3600 secondes.
- Descendre.
-
Cliquez sur Enregistrer.
- Notez que la configuration de la phase 1 IPSec a été configurée.
- Cliquez sur les statistiques.
-
Notez que le statut est Etabli.
-
Vérifions l'état du tunnel côté OCI. Accédez à la console OCI, accédez à Networking, Customer Connectivity, Site-to-Site VPN et cliquez sur le VPN. Notez que le statut IPSec du premier tunnel est Up.
Tâche 5.3 : activation de l'interface de tunnel
-
Nous devons activer les interfaces de tunnel côté site. Accédez au portail pfSense.
- Cliquez sur le menu déroulant Interfaces.
- Cliquez sur Affectations.
- Notez qu'une nouvelle interface VTI est disponible.
- Cliquez sur + Ajouter pour ajouter l'interface.
- Notez que l'interface a été ajoutée.
- Cliquez sur l'interface de tunnel ajoutée (
OPT1
).
- Sélectionnez Activer l'interface pour l'activer.
- Cliquez sur Enregistrer.
Tâche 5.4 : ouvrir les règles de pare-feu pour IPSec
-
Pour permettre au trafic IPSec de circuler dans le tunnel, nous devons ajouter des règles de pare-feu.
- Cliquez sur le menu déroulant Pare-feu.
- Cliquez sur Règles.
- Cliquez sur IPSec.
- Aucune règle de pare-feu n'est liée à IPSec.
- Cliquez sur Ajouter.
-
Saisissez les informations suivantes .
- Action : sélectionnez Transmettre.
- Interface : sélectionnez IPSec.
- Famille d'adresses : sélectionnez IPv4.
- Protocole : sélectionnez N'importe lequel.
- Source : sélectionnez N'importe lequel.
- Destination : sélectionnez N'importe lequel.
- Descendre.
-
Cliquez sur Enregistrer.
- Notez que la nouvelle règle est en place.
- Cliquez sur Appliquer les modifications pour valider les modifications.
-
Notez que les modifications ont été appliquées.
Tâche 5.5 : configurer le routage IPSec
Dans cette tâche, nous allons configurer le routage de sorte que le pare-feu pfSense sache comment atteindre le réseau OCI via le tunnel IPSec et l'interface OPT1
.
-
Accédez au portail pfSense.
- Cliquez sur le menu déroulant Système.
- Cliquez sur Gamme.
- Dans Passerelle par défaut IPv4, sélectionnez
WAN_DHCP
ou la passerelle par défaut à utiliser en tant que priorité. - Cliquez sur + Ajouter pour ajouter une nouvelle passerelle.
- Dans Interface, sélectionnez
OPT1
(l'interface de tunnel). - Dans Famille d'adresses, sélectionnez
IPv4
. - Entrez un nom.
- Dans Gateway, ne spécifiez aucune adresse IP. Laissez ce champ vide.
- Descendre.
-
Cliquez sur Enregistrer.
- Une nouvelle passerelle a été ajoutée pour notre tunnel IPSec.
- Cliquez sur Routes statiques.
-
Cliquez sur + Ajouter pour ajouter un nouveau routage statique.
- Entrez le réseau de destination des réseaux OCI.
- Sélectionnez le sous-réseau de destination des réseaux OCI.
- Sélectionnez la passerelle créée ci-dessus.
- Cliquez sur Enregistrer.
-
Notez qu'un nouveau routage statique est ajouté pour acheminer le trafic destiné aux réseaux OCI à l'aide de l'interface de tunnel.
Tâche 6 : configurer le routage sur site
Nous avons un routage fonctionnant sur pfSense, c'est-à-dire l'adresse VPN IPSec. Nous devons nous assurer que le reste du réseau sur site sait comment atteindre les réseaux OCI. Nous devons donc acheminer tout le trafic destiné à OCI vers l'adresse VPN pfSense.
Configurer le routage sur le client de calcul sur site de test
Nous utilisons une instance pfSense pour simuler le réseau sur site.
Remarque : il s'agit d'une instance différente de celle sur laquelle nous venons d'utiliser pour configurer le tunnel IPSec.
-
Accédez au portail PfSense.
- Cliquez sur le menu déroulant Système.
- Cliquez sur le gamme.
- Sélectionnez
WAN_DHCP
ou la passerelle par défaut qui sera utilisée comme première priorité. - Cliquez sur + Ajouter pour ajouter une nouvelle passerelle.
- Dans Interface, sélectionnez
LAN
. - Dans Famille d'adresses, sélectionnez
IPv4
. - Entrez un nom.
- Entrez l'adresse IP LAN de l'autre instance pfSense, celle qui met fin au tunnel IPSec.
- Descendre.
-
Cliquez sur Enregistrer.
- Une nouvelle passerelle est ajoutée pour notre autre instance pfSense.
- Cliquez sur Routes statiques.
-
Cliquez sur + Ajouter pour ajouter un nouveau routage statique.
- Sélectionnez le réseau de destination des réseaux OCI.
- Sélectionnez le sous-réseau de destination des réseaux OCI.
- Sélectionnez la passerelle créée ci-dessus.
- Cliquez sur Enregistrer.
-
Un nouveau routage statique est ajouté pour acheminer le trafic destiné aux réseaux OCI à l'aide de l'autre instance pfSense.
Tâche 7 : vérifier la connectivité
Nous avons configuré le VPN, ajouté les règles de pare-feu correctes et configuré le routage, testons maintenant la connectivité.
Tâche 7.1 : envoyer une commande ping à partir d'un environnement sur site vers Spoke VCN A
-
En raison de la configuration du routage :
- Le trafic sera envoyé à l'instance VPN pfSense (sur site).
- Le trafic est envoyé via le tunnel VPN IPSec vers le DRG.
- Le DRG achemine ensuite le trafic vers le pare-feu OCI pfSense.
- Le pare-feu OCI pfSense autorise ou refuse le trafic en fonction des règles de pare-feu configurées.
- Lorsque le trafic ICMP est accepté, il achemine le trafic vers l'instance Spoke.
-
Effectuez un test ping à partir de l'instance sur site VPN pfSense.
- Cliquez sur le menu déroulant Diagnostics.
- Cliquez sur Ping.
- Entrez le nom d'hôte qui est une adresse IP de l'instance Spoke VCN A.
- Dans Protocole IP, sélectionnez
IPv4
. - Dans Adresse source, sélectionnez l'interface
LAN
. - Dans Nombre maximal de commandes ping, sélectionnez
3
. - Cliquez sur Ping.
- Notez que nous avons 0 % de perte de paquets.
-
Nous pouvons également effectuer un test à partir de l'autre instance pfSense (le client). Effectuez un test ping à partir de l'instance sur site client pfSense.
- Cliquez sur le menu déroulant Diagnostics.
- Cliquez sur Ping.
- Entrez le nom d'hôte qui est une adresse IP de l'instance Spoke VCN A.
- Dans Protocole IP, sélectionnez
IPv4
. - Dans Adresse source, sélectionnez l'interface
LAN
. - Dans Nombre maximal de commandes ping, sélectionnez
3
. - Cliquez sur Ping.
- Notez que nous avons 0 % de perte de paquets.
Tâche 7.2 : ping de Spoke VCN B sur site
-
En raison de la configuration du routage :
- Le trafic sera envoyé au DRG.
- Le DRG achemine ensuite le trafic vers le pare-feu OCI pfSense.
- Le pare-feu OCI pfSense autorise ou refuse le trafic en fonction des règles de pare-feu configurées.
- Lorsque le trafic ICMP est accepté, il redirige le trafic vers le DRG.
- Le trafic est envoyé via le tunnel VPN IPSec vers l'instance pfSense sur site.
- Connectez-vous à l'instance VCN spoke B.
- Effectuez une commande ping vers l'adresse IP LAN de l'instance VPN pfSense sur site (
10.222.10.1
). - Notez que nous avons une perte de paquet de 0%, de sorte que le ping est réussi.
- Effectuez une commande ping sur l'adresse IP LAN de l'instance de client pfSense sur site (
10.222.10.100
). - Notez que nous avons une perte de paquet de 0%, de sorte que le ping est réussi.
Tâche 7.3 : vérifier les statistiques de réseau VPN IPSec sur OCI
-
Accédez à la console OCI.
- Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
- Cliquez sur Fonctions de réseau.
- Cliquez sur VPN site à site.
-
Cliquez sur le VPN.
-
Cliquez sur le premier tunnel.
- L'état du tunnel indique une constante
1
dans l'état binaire, ce qui indique que le tunnel est constamment en fonctionnement. - Descendre.
- Notez que le graphique culmine pour les paquets reçus et les paquets envoyés, en raison du ping que nous avons effectué dans la tâche 7.1.
- Notez que le graphique culmine pour les paquets reçus et les paquets envoyés, en raison du ping que nous avons effectué dans la tâche 7.2.
- L'état du tunnel indique une constante
Tâche 7.4 : vérifiez les statistiques de réseau VPN IPSec sur l'instance VPN pfSense (sur site)
-
Accédez au portail PfSense.
- Cliquez sur le menu déroulant Statut.
- Cliquez sur IPSec.
-
Cliquez sur Afficher les entrées EdC enfant (1 connexion).
-
Notez que les paquets et les octets sont entrés et sont sortis.
Network Visualizer
Au fur et à mesure que nous avons ajouté le VPN, nous pouvons utiliser Network Visualizer sur la console OCI pour obtenir une présentation du réseau.
-
Accédez à la console OCI.
- Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
- Cliquez sur Network.
- Cliquez sur Visualiseur de réseau.
-
Vous pouvez voir quatre réseaux cloud virtuels (un hub et trois canaux) et les réseaux locaux connectés avec un VPN.
Remerciements
- Auteur - Iwan Hoogendoorn (spécialiste du réseau OCI)
Ressources de formation supplémentaires
Parcourez d'autres ateliers sur docs.oracle.com/learn ou accédez à davantage de contenus de formation gratuits sur le canal Oracle Learning YouTube. De plus, rendez-vous sur education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.
Pour obtenir de la documentation sur le produit, visitez Oracle Help Center.
Connect On-premises to OCI using an IPSec VPN with Hub and Spoke VCN Routing Architecture
G10329-01
June 2024