Remarques :

• Ce tutoriel nécessite l'accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction à Oracle Cloud Infrastructure Free Tier.
• Il utilise des exemples de valeur pour les informations d'identification, la location et les compartiments Oracle Cloud Infrastructure. Lorsque vous terminez votre atelier, remplacez ces valeurs par celles propres à votre environnement cloud.

Set up an Oracle Cloud Infrastructure Site-to-Site VPN with Static Routing Between two OCI Regions

Introduction

Lorsque vos applications, bases de données ou services sont distribués dans différentes régions ou locataires Oracle Cloud Infrastructure (OCI), la méthode préférée pour activer la communication réseau entre eux est l'appairage RPC (Remote Peering Connection). Si l'appairage RPC n'est pas faisable, vous pouvez également établir une connexion IPSec de VPN site à site OCI. Bien qu'OCI ne prenne pas directement en charge la création d'un VPN site à site OCI IPSec à l'aide de la passerelle de routage dynamique (DRG), vous pouvez configurer une adresse VPN personnalisée (comme Libreswan) d'un côté et utiliser le DRG de l'autre pour atteindre cette connexion.

Vous pouvez également utiliser cette méthode si vous devez configurer un VPN site à site OCI entre sur site et OCI et que vous ne voulez pas utiliser le DRG en tant qu'adresse de réseau privé virtuel (VPN) mais votre propre adresse VPN personnalisée.

Objectifs

• Configurez un VPN site à site OCI avec routage statique entre deux régions OCI en utilisant Libreswan en tant qu'équipement client (CPE) d'un côté et DRG de l'autre.

  Nous connecterons deux régions OCI différentes à l'aide d'un VPN IPSec avec deux tunnels et avec ECMP (Equal Cost Multi-Path) activé. Nous utiliserons un CPE avec le logiciel Libreswan dans une région OCI et le VPN site à site OCI configuré sur le DRG dans l'autre région.

Prérequis

• Créez deux régions OCI.

  • Région OCI 1 (destination) :

    • Réseau cloud virtuel
    • Sous-réseau privé
    • Passerelle de routage dynamique
    • Attachements de réseau cloud virtuel
    • Instances

    Dans cette région, le DRG sera l'adresse VPN et tout le trafic sera acheminé à l'aide de la connexion Internet du DRG.

  • Région OCI 2 (source) :

    • VCN
    • Sous-réseau public
    • Passerelle Internet
    • Instances

    Dans cette région, le CPE Libreswan (instance dans OCI) sera l'adresse VPN et tout le trafic sera acheminé à l'aide de la connexion Internet de la passerelle Internet.

  L'image suivante illustre ce dont nous avons discuté jusqu'à présent.

  Remarque : le CPE Libreswan ne figure pas encore sur cette image.

  

Tâche 1 : vérification de la région OCI de destination (VCN, sous-réseau, DRG, pièces jointes et instances VCN)

Dans cette tâche, nous allons vérifier ce que nous avons en place pour commencer.

• VCN

  1. Vérifiez la région OCI de destination. Pour ce tutoriel, il s'agit de la région OCI d'Allemagne centrale (Francfort).

  2. Passez en revue le VCN, le sous-réseau et l'instance.

     

• Sous-réseaux

  • Vérifiez le sous-réseau privé auquel les instances seront attachées.

    

• Passerelle de routage dynamique

  • Consultez le DRG qui sera utilisé en tant qu'adresse VPN pour mettre fin au VPN.

    

• Attachement de réseau cloud virtuel

  • Vérifiez l'attachement VCN pour vous assurer que le VCN est attaché au DRG afin que le DRG puisse acheminer le trafic VPN vers le VCN, le sous-réseau et l'instance corrects.

    

• Instance

  • Examinez l'instance que nous allons utiliser en tant qu'adresse réseau pour effectuer nos tests réseau.

    

L'image suivante illustre ce que nous avons créé jusqu'à présent.

Tâche 2 : vérification de la région OCI source (VCN, sous-réseau public, passerelle Internet et instances)

• VCN

  1. Consultez la région OCI source. Pour ce tutoriel, il s'agit de la région OCI du nord-ouest des Pays-Bas (Amsterdam).

  2. Passez en revue le VCN, le sous-réseau et l'instance.

  

• Sous-réseau public

  1. Vérifiez le sous-réseau public auquel les instances et l'adresse VPN Libreswan seront attachées.

  2. Consultez la table de routage par défaut pour le VCN.

  

  Remarque : nous devons disposer d'un sous-réseau public ici, car nous devons nous assurer que l'adresse VPN Libreswan peut communiquer sur Internet pour configurer la connexion VPN de l'autre côté.

• Passerelle Internet

  1. Passerelle Internet en revue pour permettre la connectivité Internet

  2. Consultez la table de routage par défaut pour le VCN.

  

• Table de routage

  • Vérifiez la table de routage VCN et assurez-vous que tout le trafic est acheminé vers la passerelle Internet.

    

• Instances

  • Passez en revue l'instance à utiliser en tant qu'adresse réseau pour effectuer nos tests réseau.

  • Pour le CLIENT et le CPE, nous avons utilisé Oracle Linux 8 comme système d'exploitation principal.

    

L'image suivante illustre ce que nous avons créé jusqu'à présent.

Tâche 3 : collecte de l'adresse IP publique de l'instance de CPE à partir de la région OCI source

• Accédez à la console OCI.

  1. Dans la région OCI source, nous avons déployé une instance qui sera responsable de la terminaison VPN (adresse VPN).

  2. Collectez l'adresse IP publique configurée sur cette adresse VPN. Pour ce tutoriel, cette adresse IP publique commence par 143.

  

• L'image suivante illustre ce que nous avons créé jusqu'à présent.

  

Tâche 4 : créer un CPE dans la région OCI de destination

• Accédez à la console OCI, accédez à Fonctions de réseau, Connectivité client, Passerelle de routage dynamique et cliquez sur le DRG.

  

  1. Cliquez sur CPE (Customer Premise Equipment).
  2. Cliquez sur Créer un CPE.

  

• Saisissez les informations suivantes .

  1. Nom : entrez un nom pour le CPE,
  2. Adresse IP publique : entrez l'adresse IP publique collectée dans la tâche 3.
  3. Fournisseur : sélectionnez Libreswan.
  4. Plate-forme/Version : sélectionnez la version de plate-forme CPE.
  5. Cliquez sur Créer un CPE.

  

  1. Notez que le CPE est maintenant créé.
  2. Notez l'adresse IP publique du CPE.

  

Tâche 5 : configuration du VPN site à site OCI dans la région OCI de destination

• Accédez à la console OCI.

  1. Cliquez sur VPN site à site.
  2. Cliquez sur Créer une connexion IPSec.

  

• Sur la page Créer une connexion IPSec, entrez les informations suivantes.

  1. Nom : entrez un nom pour la connexion IPSec.
  2. Equipement client sur site : sélectionnez le CPE créé dans la tâche 4.
  3. Passerelle de routage dynamique : sélectionnez le DRG.
  4. Routes vers le réseau sur site : entrez le réseau distant à acheminer via la connexion IPSec. Pour ce tutoriel, il s'agit du réseau 10.222.10.0/24.
  5. Faites défiler vers le bas.

  

  1. Nom : entrez le nom du premier tunnel.
  2. Version IKE : entrez la version IKE IKEv1.
  3. Type de routage : sélectionnez Routage statique.
  4. Faites défiler vers le bas.

  

  1. Nom : entrez le nom du second tunnel.
  2. Version IKE : entrez la version IKE IKEv1.
  3. Type de routage : sélectionnez Routage statique.
  4. Cliquez sur Créer une connexion IPSec.

  

Tâche 6 : collecte de l'adresse IP publique des tunnels IPSec dans la région OCI de destination et téléchargement de la configuration de CPE

• La connexion IPSec est créée, les adresses IP publiques des deux tunnels IPSec seront disponibles et nous devrons configurer l'autre côté du VPN.

• Cliquez sur le VPN site-à-site créé dans la tâche 5.

  

  1. Notez le tunnel 1 de la connexion IPSec.
  2. Notez l'adresse IP publique du tunnel 1. Pour ce tutoriel, cette adresse IP commence par 193.
  3. Notez le tunnel 2 de la connexion IPSec.
  4. Notez l'adresse IP publique du tunnel 2. Pour ce tutoriel, cette adresse IP commence par 130.

  

• L'image suivante illustre ce que nous avons créé jusqu'à présent.

  

Tâche 7 : configurer l'instance de CPE dans la région OCI source, et installer et configurer Libreswan

• Configurez l'instance de CPE.

  1. Configurez une session SSH pour le CPE situé dans la région OCI ou le VCN source.
  2. Assurez-vous d'être connecté.

  

• Exécutez la commande suivante pour mettre à niveau le logiciel.

  [opc@cpe ~]$ sudo dnf upgrade -y
  

  

• Assurez-vous que la mise à niveau est terminée.

  

• Exécutez la commande suivante pour exécuter la commande dans laquelle des privilèges plus élevés sont requis.

  [opc@cpe ~] sudo su
  

  

  1. Exécutez la commande suivante pour installer le logiciel Libreswan.

     [root@cpe opc]# sudo yum install libreswan -y
     

  2. Notez que le logiciel a été correctement installé.

  

• Modifiez le fichier suivant pour activer le transfert IP.

  [root@cpe etc]# nano /etc/sysctl.conf
  

  

• Assurez-vous que le fichier /etc/sysctl.conf contient le contenu suivant.

  kernel.unknown_nmi_panic = 1
  net.ipv4.ip_forward = 1
  net.ipv4.conf.all.accept_redirects = 0
  net.ipv4.conf.all.send_redirects = 0
  net.ipv4.conf.default.send_redirects = 0
  net.ipv4.conf.ens3.send_redirects = 0
  net.ipv4.conf.default.accept_redirects = 0
  net.ipv4.conf.ens3.accept_redirects = 0
  

  

• Enregistrez le fichier à l'aide de Ctrl + X et entrez Y.

  1. Exécutez la commande suivante pour vérifier le contenu du fichier.

     [root@cpe opc]# more /etc/sysctl.conf
     

  2. Notez que la sortie sera la même que le contenu du fichier.

  

• Exécutez la commande suivante pour recharger et appliquer le fichier pour activer le transfert.

  [root@cpe etc]# sudo sysctl -p
  

  

  1. Exécutez la commande suivante pour vérifier si le transfert IP est activé.

     cat /proc/sys/net/ipv4/ip_forward
     

  2. La valeur d'ID renvoyée est 1, ce qui signifie que le transfert IP est activé et 0 signifie que le transfert IP est désactivé.

  

  1. Exécutez la commande suivante pour modifier le répertoire dans lequel vous devez configurer les tunnels IPSec.

     [root@cpe opc]# cd /etc/ipsec.d/
     

  2. Créez et modifiez le fichier suivant (tunnel1.conf) pour configurer le premier tunnel IPSec dans le tunnel 1.

     [root@cpe ipsec.d]# nano /etc/ipsec.d/tunnel1.conf
     

  

• Assurez-vous que le fichier /etc/ipsec.d/tunnel1.conf contient le contenu suivant.

  conn tunnel1
      keyexchange=ike
      pfs=yes
      ikev2=no
      ike=aes256-sha2_256;modp1536
      phase2alg=aes256-sha1;modp1536
      left=10.222.10.70
      leftid=143.xxx.xxx.xxx
      right=193.xxx.xxx.xxx
      rightid= 193.xxx.xxx.xxx
      authby=secret
      leftsubnet=0.0.0.0/0
      rightsubnet=0.0.0.0/0
      auto=start
      mark=5/0xffffffff
      vti-interface=vti1
      vti-routing=no
      encapsulation=auto
      ikelifetime=28800s
  

  

• Enregistrez le fichier à l'aide de Ctrl + X et entrez Y.

• Créez et modifiez le fichier suivant (tunnel2.conf) pour configurer le deuxième tunnel IPSec dans tunnel2.

  [root@cpe ipsec.d]# nano /etc/ipsec.d/tunnel2.conf
  

  

• Assurez-vous que le fichier /etc/ipsec.d/tunnel2.conf contient le contenu suivant.

  conn tunnel2
      keyexchange=ike
      pfs=yes
      ikev2=no
      ike=aes256-sha2_256;modp1536
      phase2alg=aes256-sha1;modp1536
      left=10.222.10.70
      leftid=143.xxx.xxx.xxx
      right=130.xxx.xxx.xxx
      rightid=130.xxx.xxx.xxx
      authby=secret
      leftsubnet=0.0.0.0/0
      rightsubnet=0.0.0.0/0
      auto=start
      mark=6/0xffffffff
      vti-interface=vti2
      vti-routing=no
      encapsulation=auto
      ikelifetime=28800s
  

  

• Enregistrez le fichier avec Ctrl + X, puis appuyez sur Y.

  1. Exécutez la commande suivante pour vérifier le contenu du fichier pour tunnel1.

     [root@cpe ipsec.d]# more /etc/ipsec.d/tunnel1.conf
     

  2. Notez que la sortie sera la même que le contenu du fichier.

  3. Exécutez la commande suivante pour vérifier le contenu du fichier pour tunnel2.

     [root@cpe ipsec.d]# more /etc/ipsec.d/tunnel2.conf
     

  4. Notez que la sortie sera identique au contenu du fichier.

  

• Nous avons configuré les tunnels IPSec. Désormais, nous devons également configurer les clés secrètes partagées car nous utilisons une clé secrète pour l'authentification.

  Lorsque nous avons créé le VPN site à site OCI dans la tâche 5, les tunnels ont été créés et, dans ce processus, OCI a également généré les clés secrètes partagées par tunnel. Pour les obtenir et les configurer dans Libreswan afin qu'ils correspondent à la même clé secrète partagée, nous devons revenir à la console OCI.

  1. Accédez à la console OCI, accédez à Fonctions de réseau, à Connectivité client, à VPN site à site et cliquez sur le VPN configuré.
  2. Cliquez sur la première configuration de tunnel.

  

• Pour obtenir la clé secrète partagée, cliquez sur show.

  

  1. Copiez la clé secrète partagée pour le tunnel 1 et enregistrez-la sur un bloc-notes pour y accéder ultérieurement.
  2. Cliquez sur Fermer.

  

  1. Accédez à la console OCI, accédez à Fonctions de réseau, à Connectivité client, à VPN site à site et cliquez sur le VPN configuré.
  2. Cliquez sur la deuxième configuration de tunnel.

  

• Pour obtenir la clé secrète partagée, cliquez sur show.

  

  1. Copiez la clé secrète partagée pour le tunnel 2 et enregistrez-la sur un bloc-notes pour y accéder ultérieurement.
  2. Cliquez sur Fermer.

  

• Configurez les clés secrètes partagées sur Libreswan. Créez et modifiez le fichier suivant (shared.secrets) afin de configurer les clés secrètes partagées pour les deux tunnels.

  [root@cpe ipsec.d]# nano /etc/ipsec.d/shared.secrets
  

  

• Assurez-vous que le fichier /etc/ipsec.d/shared.secrets contient le contenu suivant.

  143.xxx.xxx.xxx 193.xxx.xxx.xxx : PSK "1blwzMdgQ5XXXoiQwF96tqc7c7"
  143.xxx.xxx.xxx 130.xxx.xxx.xxx : PSK "npLt23Ym6E1XXXhr5egvYSuzKC"
  

  

  1. Exécutez la commande suivante pour vérifier le contenu du fichier.
  2. Notez que la sortie sera identique au contenu du fichier.

  [root@cpe ipsec.d]# more /etc/ipsec.d/shared.secrets
  

  

• Exécutez la commande suivante pour démarrer le service IPSec sur Libreswan. Cela n'établira pas encore les tunnels.

  [root@cpe ipsec.d]# ipsec start
  

  

  1. Exécutez la commande suivante pour vérifier le statut des connexions IPSec.

     [root@cpe ipsec.d]# ipsec verify
     

  2. Notez que la vérification semble correcte, sans aucune erreur.

  

Tâche 8 : ouvrir le pare-feu sur l'instance de CPE dans la région OCI source et configurer les listes de sécurité de VCN et de sous-réseau

Configurez les listes de sécurité VCN et de sous-réseau pour autoriser les ports entrants requis pour la connexion IPSec. Pour que les tunnels soient correctement établis, vous devez vous assurer que la sécurité du réseau des deux côtés autorise les ports requis.

• Commencez par la région OCI source qui héberge Libreswan en tant que CPE.

  1. Accédez à la console OCI, accédez à Networking, Réseaux cloud virtuels, sélectionnez le VCN et cliquez sur Listes de sécurité.
  2. Sélectionnez la liste de sécurité par défaut.
  3. Faites défiler vers le bas.

  

• Assurez-vous d'avoir ajouté les règles de sécurité entrantes suivantes.

  Source	Protocole IP	Port source	Port de destination
  0.0.0.0/0	UDP	Toutes	500
  0.0.0.0/0	UDP	Toutes	4 500

  

• Ouvrez les ports de pare-feu sur le CPE Libreswan.

  1. Exécutez la commande suivante pour vérifier les règles de pare-feu configurées existantes.

     [root@cpe ipsec.d]# sudo firewall-cmd --list-all
     

  2. Aucune règle n'est configurée pour les ports IPSec.

  3. Exécutez la commande suivante pour autoriser le port UDP 500 sur le CPE.

     [root@cpe ipsec.d]# sudo firewall-cmd --add-port=500/udp
     

  4. Exécutez la commande suivante pour autoriser le port UDP 4500 sur le CPE.

     [root@cpe ipsec.d]# sudo firewall-cmd --add-port=4500/udp
     

  5. Exécutez la commande suivante pour rendre les règles de pare-feu permanentes afin qu'elles restent après une réinitialisation.

     [root@cpe ipsec.d]# sudo firewall-cmd --runtime-to-permanent
     

  6. Exécutez la commande suivante pour vérifier les règles de pare-feu configurées existantes.

     [root@cpe ipsec.d]# sudo firewall-cmd --list-all
     

  7. Aucune règle n'est configurée pour les ports IPSec.

  

  1. Exécutez la commande suivante pour vous assurer que le service de pare-feu pour Libreswan est en cours d'exécution.

     [root@cpe ipsec.d]# systemctl status firewalld
     

  2. Le service de pare-feu est actif et en cours d'exécution.

  

• Exécutez la commande suivante pour redémarrer le service IPSec.

  [root@cpe ipsec.d]# service ipsec restart
  

  

Désactivation du pare-feu Linux sur le CPE

Dans certains cas (à des fins de test), il peut être préférable de désactiver complètement le pare-feu Linux de l'instance de CPE sur laquelle Libreswan est exécuté. Pour ce faire, utilisez la commande suivante :

[root@cpe ipsec.d]# systemctl disable --now firewalld

Exécutez la commande suivante pour vous assurer que le service de pare-feu pour Libreswan n'est PAS en cours d'exécution.

[root@cpe ipsec.d]# systemctl status firewalld

Tâche 9 : activer et vérifier si le tunnel IPSec est actif des deux côtés

• Exécutez la commande suivante pour vérifier le statut IPSec pour les deux tunnels.

  [root@cpe ipsec.d]# ipsec status
  

  

  1. Notez la configuration et le statut du premier tunnel IPSec.
  2. Notez la configuration et le statut du deuxième tunnel IPSec.
  3. Notez que le nombre de IPSec chargé est 2 et que le nombre actif est 0.

  

• Exécutez la commande suivante pour ajouter tunnel1.

  [root@cpe ipsec.d]# ipsec auto --add tunnel1
  

• Notez la sortie fournie par le terminal lors de l'ajout de tunnel1.

  002 "tunnel1": terminating SAs using this connection
  002 "tunnel1" #3: deleting state (STATE_QUICK_I2) aged 3.504567s and sending notification
  005 "tunnel1" #3: ESP traffic information: in=0B out=0B
  002 "tunnel1" #1: deleting state (STATE_MAIN_I4) aged 3.541172s and sending notification
  002 "tunnel1": added IKEv1 connection
  

• Exécutez la commande suivante pour activer tunnel1.

  [root@cpe ipsec.d]# ipsec auto --up tunnel1
  

• Notez la sortie fournie par le terminal lorsque tunnel1 est affiché.

  002 "tunnel1" #5: initiating IKEv1 Main Mode connection
  102 "tunnel1" #5: sent Main Mode request
  104 "tunnel1" #5: sent Main Mode I2
  106 "tunnel1" #5: sent Main Mode I3
  002 "tunnel1" #5: Peer ID is ID_IPV4_ADDR: '193.122.0.91'
  004 "tunnel1" #5: IKE SA established {auth=PRESHARED_KEY cipher=AES_CBC_256 integ=HMAC_SHA2_256 group=MODP1536}
  002 "tunnel1" #6: initiating Quick Mode IKEv1+PSK+ENCRYPT+TUNNEL+PFS+UP+IKE_FRAG_ALLOW+ESN_NO+ESN_YES {using isakmp#5 msgid:b6364de1 proposal=AES_CBC_256-HMAC_SHA1_96-MODP1536 pfsgroup=MODP1536}
  115 "tunnel1" #6: sent Quick Mode request
  002 "tunnel1" #6: up-client output: vti interface "vti1" already exists with conflicting setting (perhaps need vti-sharing=yes ?
  002 "tunnel1" #6: prepare-client output: vti interface "vti1" already exists with conflicting setting (perhaps need vti-sharing=yes ?
  004 "tunnel1" #6: IPsec SA established tunnel mode {ESPinUDP=>0x5036cdcc <0x33c964f9 xfrm=AES_CBC_256-HMAC_SHA1_96 NATD=193.122.0.91:4500 DPD=passive}
  

• Exécutez la commande suivante pour ajouter tunnel2.

  [root@cpe ipsec.d]# ipsec auto --add tunnel2
  

• Notez la sortie fournie par le terminal lors de l'ajout de tunnel2.

  002 "tunnel2": terminating SAs using this connection
  002 "tunnel2" #4: deleting state (STATE_QUICK_I2) aged 25.694856s and sending notification
  005 "tunnel2" #4: ESP traffic information: in=0B out=0B
  002 "tunnel2" #2: deleting state (STATE_MAIN_I4) aged 25.731704s and sending notification
  002 "tunnel2": added IKEv1 connection
  

• Exécutez la commande suivante pour activer tunnel2.

  [root@cpe ipsec.d]# ipsec auto --up tunnel2
  

• Notez la sortie fournie par le terminal lorsque tunnel2 est affiché.

  002 "tunnel2" #7: initiating IKEv1 Main Mode connection
  102 "tunnel2" #7: sent Main Mode request
  104 "tunnel2" #7: sent Main Mode I2
  106 "tunnel2" #7: sent Main Mode I3
  002 "tunnel2" #7: Peer ID is ID_IPV4_ADDR: '130.61.66.255'
  004 "tunnel2" #7: IKE SA established {auth=PRESHARED_KEY cipher=AES_CBC_256 integ=HMAC_SHA2_256 group=MODP1536}
  002 "tunnel2" #8: initiating Quick Mode IKEv1+PSK+ENCRYPT+TUNNEL+PFS+UP+IKE_FRAG_ALLOW+ESN_NO+ESN_YES {using isakmp#7 msgid:aeb4eb18 proposal=AES_CBC_256-HMAC_SHA1_96-MODP1536 pfsgroup=MODP1536}
  115 "tunnel2" #8: sent Quick Mode request
  002 "tunnel2" #8: up-client output: vti interface "vti2" already exists with conflicting setting (perhaps need vti-sharing=yes ?
  002 "tunnel2" #8: prepare-client output: vti interface "vti2" already exists with conflicting setting (perhaps need vti-sharing=yes ?
  004 "tunnel2" #8: IPsec SA established tunnel mode {ESPinUDP=>0x8bef7076 <0xe27d84a0 xfrm=AES_CBC_256-HMAC_SHA1_96 NATD=130.61.66.255:4500 DPD=passive}
  [root@cpe ipsec.d]#
  

• Exécutez la commande suivante pour vérifier le statut IPSec pour les deux tunnels.

  [root@cpe ipsec.d]# ipsec status
  

• Les tunnels actifs sont passés de 0 à 2.

  

• Accédez à la destination sur la console OCI et vérifiez.

  1. Accédez à la console OCI, accédez à Networking, à Customer Connectivity et à Site-to-Site VPN.
  2. Cliquez sur la connexion VPN.

  

• Notez que Tunnel 1 et Tunnel 2 sont à la fois Disponibles et Haut.

  

• L'image suivante illustre ce que nous avons créé jusqu'à présent.

  

Tâche 10 : configurer le routage statique

• Les tunnels sont en marche, maintenant nous devons nous assurer que le trafic requis est acheminé à travers le tunnel.

  1. Exécutez la commande suivante pour vérifier les interfaces de tunnel configurées.

     [root@cpe ipsec.d]# ifconfig
     

  2. Notez que vti1 est responsable du tunnel 1.

  3. Notez que vti2 est responsable du tunnel 2.

  

• Exécutez la commande suivante pour router le réseau 172.16.0.0/16 via les interfaces vti1 et vti2.

  [root@cpe ipsec.d]# ip route add 172.16.0.0/16 nexthop dev vti1 weight 1 nexthop dev vti2 weight 1
  

  

  1. Exécutez la commande suivante pour vérifier si la route est ajoutée.

     [root@cpe ipsec.d]# ip route
     

  2. Notez que les routes sont ajoutées.

  

Tâche 11 : lancer la commande ping finale à partir des instances source et de destination

• Lancez le ping final à partir de la source.

  1. Exécutez la commande suivante à partir du CPE (Source) pour vérifier si le ping fonctionne à partir de la région OCI source vers la région OCI de destination.

     [root@cpe ipsec.d]# ping 172.16.1.93 -c 4
     

  2. Notez que nous avons 0 % de perte de paquets.

  

• L'image suivante illustre ce que nous avons créé jusqu'à présent.

  

• Lancez le ping final à partir de la destination.

  1. Exécutez la commande suivante à partir de la destination pour vérifier si la commande ping fonctionne à partir de la région OCI de destination vers la région OCI source (CPE).

     [opc@ih-instance-vcn-a ~]$ ping 10.222.10.70 -c 4
     

  2. Notez que nous avons 0 % de perte de paquets.

  

• L'image suivante illustre ce que nous avons créé jusqu'à présent.

  

  Si vous voulez acheminer tout le trafic à partir des autres instances du même sous-réseau sur la région OCI source via les tunnels, vous devez ajouter un routage statique sur la table de routage VCN. Ce routage achemine tout le trafic destiné à 172.16.0.0/24 vers le CPE 10.222.10.70.

• L'image suivante illustre ce que nous avons créé jusqu'à présent avec la table de routage complète.

  

• Pour pouvoir ajouter une route vers un CPE Libreswan, vous devez d'abord activer la vérification de la source/destination ignorée sur la carte vNIC de l'instance (CPE Libreswan).

  1. Accédez à Compute et à Instances.
  2. Sélectionnez CPE.
  3. Faites défiler vers le bas.

  

  1. Cliquez sur VNIC attachées.
  2. Cliquez sur les trois points.
  3. Cliquez sur Modifier la carte d'interface réseau virtuelle.

  

  1. Sélectionnez Ignorer la vérification d'origine/de destination.
  2. Cliquez sur Sauvegarder les modifications.

  

• Ajoutez la route.

  1. Accédez à Fonctions de réseau, Réseaux cloud virtuels, sélectionnez le VCN et cliquez sur Tables de routage.
  2. Sélectionnez Table de routage par défaut.
  3. Ajoutez une règle de routage pour la destination 172.16.0.0/16 avec le type de cible comme adresse IP privée et la cible comme 10.222.10.70 (CPE Libreswan).

  

  1. Exécutez la commande suivante pour vérifier l'adresse IP du CLIENT.

     [opc@client ~]$ ip a
     

  2. Notez que l'adresse IP du CLIENT est 10.222.10.19.

  3. Exécutez la commande suivante à partir de la source (CLIENT) pour vérifier si le ping fonctionne à partir de la région OCI source vers la région OCI de destination.

     [opc@client ~]$ ping 172.16.1.93 -c 4
     

  4. Notez que nous avons 0 % de perte de paquets.

  

• L'image suivante illustre ce que nous avons créé jusqu'à présent.

  

  1. Exécutez la commande suivante à partir de la destination pour vérifier si la commande ping fonctionne à partir de la région OCI de destination vers la région OCI source (CLIENT).

     [opc@ih-instance-vcn-a ~]$ ping 10.222.10.19 -c 4
     

  2. Notez que nous avons 0 % de perte de paquets.

  

• L'image suivante illustre ce que nous avons créé jusqu'à présent.

  

Tâche 12 : vérification du statut du VPN site à site OCI

• Les tunnels VPN sont démarrés et le trafic circule. Nous pouvons alors examiner les tableaux de bord dans OCI par tunnel.

  1. Accédez à la console OCI, à Networking et à Customer Connectivity, puis cliquez sur VPN site à site.
  2. Cliquez sur la connexion VPN.

  

• Cliquez sur la première configuration de tunnel.

  

• Faites défiler vers le bas.

  

  1. Notez que le graphique d'état du tunnel IPSec est constamment activé sur 1, ce qui indique que le tunnel est actif.
  2. Faites défiler vers le bas.

  

  1. Notez que les paquets reçus sur ce tunnel sont 4, ce qui correspond au nombre de paquets ping envoyés à partir de la source.
  2. Notez que les paquets envoyés sur ce tunnel sont 4, ce qui correspond au nombre de paquets ping envoyés à partir de la destination.
  3. Notez le nombre d'octets reçus de la source.
  4. Notez le nombre d'octets envoyés à partir de la destination.

  

Tâche 13 : Activer l'acheminement à chemins multiples à coût égal (ECMP)

• Par défaut, le trafic est toujours envoyé à l'aide d'une interface de tunnel (vti). Si nous voulons utiliser les deux tunnels pour le transfert de trafic, nous devons activer le routage ECMP des deux côtés.

  Sur le CPE Libreswan, exécutez la commande suivante.

  [root@cpe ipsec.d]# sysctl -w net.ipv4.fib_multipath_hash_policy=1
  

• L'image suivante illustre ce que nous avons créé jusqu'à présent.

  

• Dans la région OCI de destination, accédez à la console OCI, accédez à Fonctions de réseau, à Connectivité client, à Passerelle de routage dynamique, sélectionnez le DRG, les détails de la table de routage DRG et sélectionnez la table de routage DRG responsable du routage.

• Cliquez sur Extraire toutes les règles de routage.

  

  1. Deux routes sont disponibles pour le réseau 10.222.10.0/24.
  2. Notez qu'une règle de routage pour 10.222.10.0/24 est marquée comme Conflit et l'autre comme Actif.
  3. Cliquez sur Fermer.

  

• Cliquez sur Modifier.

  

  1. Sélectionnez Activer ECMP.
  2. Cliquez sur Sauvegarder les modifications.

  

• Cliquez sur Extraire toutes les règles de routage.

  

• Les deux règles de routage pour 10.222.10.0/24 sont désormais marquées comme actives.

  

• L'image suivante illustre ce que nous avons créé jusqu'à présent.

  

Liens connexes

• Création d'une connexion IPSec à OCI à l'aide de Libreswan en tant que CPE

• Utiliser le service Oracle Cloud Infrastructure Site-to-Site VPN en mode HA avec le routage ECMP à partir de Linux et Libreswan

Accusés de réception

• Auteur - Iwan Hoogendoorn (spécialiste réseau OCI)

Ressources de formation supplémentaires

Explorez d'autres ateliers sur le site docs.oracle.com/learn ou accédez à d'autres contenus d'apprentissage gratuits sur le canal Oracle Learning YouTube. En outre, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir de la documentation sur le produit, consultez Oracle Help Center.

---

Informations relatives au titre et au copyright

Set up an Oracle Cloud Infrastructure Site-to-Site VPN with Static Routing Between two OCI Regions

G14520-02

Copyright ©2025, Oracle and/or its affiliates.