Conexão VPN com o AWS

A primeira etapa do processo de configuração é criar um gateway de cliente temporário. Este gateway temporário do cliente é usado para provisionar inicialmente a VPN do AWS Site a Site, expondo o ponto final do AWS VPN para esse túnel. O OCI requer o IP público do pareamento de VPN remoto antes de criar uma conexão IPSec. Após a conclusão desse processo, um novo gateway de cliente é configurado representando o IP público real do ponto final da VPN da OCI.

1. No portal principal do AWS, expanda o menu Serviços na parte superior esquerda da tela. Navegue até VPC em rede e Entrega de Conteúdo.
2. No menu à esquerda, role para baixo e selecione Gateways de Cliente em Rede Privada Virtual (VPN).
3. Selecione Criar Gateway de Cliente para criar um Gateway de Cliente.

4. Você foi levado para a página Criar Gateway de Cliente. Informe os seguintes detalhes:

   • Nome: Dê um Nome temporário a este gateway do cliente. Neste exemplo, o nome TempGateway é usado.
   • Encaminhamento: selecione Dinâmico.
   • ASN do BGP: Digite o ASN do BGP do OCI. O ASN BGP da Oracle para a nuvem comercial é 31898, exceto a região Central da Sérvia (Jovanovac), que é 14544.

   • Endereço IP: Use qualquer endereço IPv4 válido para o gateway temporário. Esse exemplo usa 1.1.1.1.

     Quando terminar de configurar seu gateway de cliente temporário, selecione Criar Gateway de Cliente para concluir o provisionamento.

1. No menu esquerdo da AWS, role para baixo e selecione Gateways Virtuais Privados em Rede Privada Virtual (VPN).

2. Selecione o botão Criar Gateway Virtual Privado para criar um novo gateway virtual privado.

3. Você foi levado para a página Criar Gateway Virtual Privado. Informe os seguintes detalhes:

   • Nome: Dê um nome ao VPG (Gateway Virtual Privado).

   • ASN: Selecione ASN padrão Amazon.

     Quando terminar de configurar o gateway privado virtual, selecione o botão Criar Gateway Privado Virtual para concluir o provisionamento.

4. Após o VPG ter sido criado, você precisará anexá-lo ao VPC de sua escolha.

   Enquanto ainda estiver na página Gateway Virtual Privado, verifique se o VPG está selecionado, selecione o menu Ações (três pontos) e, em seguida, Anexar ao VPC.

5. Você foi conduzido à página Anexar à VPC do Gateway Virtual Privado selecionado.

   Selecione a VPC na lista e, em seguida, selecione o botão Sim, Anexar para concluir a anexação do VPG à VPC.

1. No menu esquerdo, role para baixo e selecione Conexões da VPN Site a Local em Rede Privada Virtual (VPN).
2. Selecione Criar Conexão VPN para criar um novo gateway privado virtual.
3. Você foi levado para a página Criar Conexão VPN. Informe os seguintes detalhes:
   • Tag de nome: Dê um nome à conexão VPN.
   • Tipo de Gateway de Destino: Selecione Gateway Virtual Privado e, em seguida, selecione na lista o Gateway Virtual Privado criado anteriormente.
   • Gateway de Cliente: Selecione Existente e, em seguida, selecione o Gateway de Cliente temporário na lista.
   • Opções de Roteamento: Selecione Dinâmico (exige BGP).
   • Versão do Ip interno do Túnel: Selecione IPv4.

   • Cidr de Rede IPv4 Local/Remoto: Deixe ambos os campos em branco, criando uma IPSec VPN baseada em rota ou qualquer outra.

     Prossiga para próxima etapa. NÃO selecione o botão Criar Conexão VPN ainda.

4. Enquanto ainda estiver na página Criar Conexão VPN, role para baixo até Opções de Túnel.

   Selecione um CIDR /30 de dentro da faixa 169.254.0.0/16 local do link. Informe o CIDR completo no campo Inside IPv4 CIDR for Tunnel 1.

   Certifique-se de que o OCI suporte o endereço /30 escolhido para os IPs de túnel internos. A OCI não permite que você use as seguintes faixas de IPs para IPs dentro de um túnel:

   • 169.254.10.0-169.254.19.255
   • 169.254.100.0-169.254.109.255
   • 169.254.192.0-169.254.201.255

   Prossiga para próxima etapa. NÃO selecione o botão Criar Conexão VPN ainda.

5. Em Opções Avançadas para o Túnel 1, selecione o botão de rádio para Editar Opções do Túnel 1. Um conjunto extra de opções é expandido.

   Se você quiser restringir os algoritmos de criptografia usados para esse túnel, configure as opções de Fase 1 e Fase 2 desejadas aqui. Recomendamos o uso de IKEv2 para esta conexão. Desative a caixa de seleção IKEv1 para impedir que o IKEv1 seja usado. Para saber quais opções da Fase 1 e da Fase 2 a OCI suporta, consulte Parâmetros IPSec Suportados.

   Depois de terminar de configurar todas as opções desejadas, selecione o botão Criar Conexão VPN na parte inferior para finalizar o provisionamento da conexão VPN.

Embora a conexão VPN esteja sendo provisionada, faça download da configuração de todas as informações de túnel. Este arquivo do texto é necessário para concluir a configuração do túnel na Console do OCI.

1. Certifique-se de que a conexão VPN esteja selecionada e, em seguida, selecione o botão Fazer Download da Configuração.
2. Selecione a configuração "Genérico" do Fornecedor e da Plataforma e selecione o botão Fazer Download para salvar uma cópia de texto da configuração em um disco rígido local.
3. Abra o arquivo de configuração baixado em qualquer editor de texto.

   Procure em IPSec Tunnel #1, seção #1 Internet Key Exchange Configuration. Aqui você encontra uma chave pré-compartilhada gerada automaticamente para o túnel. Salve esse valor.

   O AWS pode gerar uma chave pré-compartilhada usando os caracteres de ponto ou sublinhado (. ou _). A OCI não suporta o uso desses caracteres em uma chave pré-compartilhada. Uma chave que inclua esses valores deve ser alterada. Para alterar a chave pré-compartilhada no AWS para um túnel, selecione a conexão VPN, selecione o menu Ações (três pontos) e, em seguida, Modificar Opções de Túnel de VPN.

4. Enquanto ainda estiver no Túnel 1 da configuração baixada, role para baixo até a seção #3 Tunnel Interface Configuration.

   Anote os seguintes valores para concluir a configuração da VPN Site a Site no OCI:

   • Endereço IP externo do Gateway Virtual Privado
   • IP Interno do Gateway de Cliente
   • IP interno do Gateway Virtual Privado
   • ASN do BGP do Gateway Virtual Privado. O ASN padrão é 64512.

1. Abra o menu de navegação e selecione Rede. Em Conectividade do cliente, selecione Equipamento local do cliente.
2. Select Create Customer-Premises Equipment.

3. Informe os seguintes valores:

   • Criar no Compartimento: selecione o compartimento da VCN desejada.
   • Nome: um nome descritivo para o objeto CPE. Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.

     Este exemplo usa "TO_AWS" como nome.

   • Endereço IP: Digite o endereço IP externo do Gateway Virtual Privado mostrado na configuração baixada do AWS.
   • Fornecedor do CPE: Selecione Outro.
4. Selecione Criar CPE.

1. Abra o menu de navegação e selecione Rede. Em Conectividade do cliente, selecione VPN Site a Site.
2. Selecione Criar Conexão IPSec.

3. Informe os seguintes valores:

   • Criar no Compartimento: deixe como está (o compartimento da VCN).
   • Nome: Digite um nome descritivo para a conexão IPSec (por exemplo: OCI-AWS-1). Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. Evite inserir informações confidenciais.
   • Compartimento do CPE (Customer Premises Equipment): deixe como está (o compartimento da VCN).
   • Customer-Premises Equipment: Selecione o objeto CPE que você criou anteriormente, chamado TO_AWS.
   • Compartimento do Gateway de Roteamento Dinâmico: deixe como está (o compartimento da VCN).
   • Gateway de Roteamento Dinâmico: selecione o DRG criado anteriormente.
   • CIDR de Rota Estática: Informe uma rota padrão, 0.0.0.0/0. Como o túnel ativo usa BGP, o OCI ignora essa rota. Uma entrada é obrigatória para o segundo túnel da conexão IPSec, que por padrão usa roteamento estático, mas o endereço não é usado nesse cenário. Se você planeja usar o roteamento estático para esta conexão, insira rotas estáticas que representem as redes virtuais da AWS Até 10 rotas estáticas podem ser configuradas para cada conexão IPSec.

4. Informe os seguintes detalhes na guia Túnel 1 (necessário):

   • Nome: Digite um nome descritivo para o túnel (Exemplo: AWS-TUNNEL-1). Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. Evite inserir informações confidenciais.
   • Informar segredo compartilhado personalizado: Informe a chave pré-compartilhada usada por IPSec para esse túnel. Marque essa caixa de seleção e informe a chave pré-compartilhada do arquivo de configuração da VPN do AWS.
   • Versão doIKE: Selecione IKEv2.
   • Tipo de Roteamento: Selecione Roteamento Dinâmico BGP.
   • ASN do BGP: Informe o ASN do BGP usado pelo AWS conforme encontrado no arquivo de configuração da VPN do AWS. O ASN padrão do BGP do AWS é 64512.
   • IPv4 Dentro da Interface de Túnel - CPE: Informe o Gateway Virtual Privado dentro do endereço IP do arquivo de configuração da VPN do AWS. Use a notação CIDR completa para esse endereço IP.
   • IPv4 Dentro da Interface de Túnel - Oracle: Informe o endereço IP interno usado pelo OCI. Consulte o arquivo de configuração da VPN do AWS e digite o endereço IP interno do Gateway de Cliente. Use a notação CIDR completa para esse endereço IP.

5. Selecione Criar Conexão IPSec.

   A conexão IPSec é criada e exibida na página. A conexão fica no estado Provisionando por pouco tempo.

6. Depois que a conexão IPSec for provisionada, anote o Endereço IP da Oracle VPN do túnel. Esse endereço é usado para criar um novo gateway do cliente no portal da AWS.
   1. Abra o menu de navegação e selecione Rede. Em Conectividade do cliente, selecione VPN Site a Site.

      É exibida uma lista das conexões IPSec no compartimento que você está acessando. Se você não vir a política que está procurando, verifique se está exibindo o compartimento correto. Para exibir políticas anexadas a outro compartimento, em Escopo da lista, selecione esse compartimento na lista.

   2. Selecione a conexão IPSec na qual você está interessado (Exemplo: OCI-AWS-1).
   3. Encontre o Endereço IP da VPN da Oracle do AWS-TUNNEL-1.

Na console do AWS, navegue até Gateways de Cliente e crie um Gateway de Cliente usando os seguintes detalhes:

• Nome: Dê um nome a esse gateway de cliente.
• Encaminhamento: selecione Dinâmico.
• ASN do BGP: Digite o ASN do BGP do OCI. O ASN BGP da Oracle para a nuvem comercial é 31898, exceto a região Central da Sérvia (Jovanovac), que é 14544.

• Endereço IP: Digite o endereço IP da VPN da Oracle para o túnel 1. Use o IP salvo na tarefa anterior.

  Selecione Criar Gateway de Cliente para concluir o provisionamento.

Essa tarefa substitui o Gateway de Cliente temporário por um que usa o endereço IP da VPN do OCI.

1. Navegue até Conexões da VPN Site a Site na console da AWS e selecione a conexão da VPN.

2. Selecione o menu Ações (três pontos) e, em seguida, Modificar Conexão VPN.

3. Você foi levado para a página Modificar Conexão VPN. Informe os seguintes detalhes:

   • Tipo de Destino: Selecione Gateway de Cliente na lista.

   • ID do Gateway de Cliente de Destino: Selecione na lista o novo Gateway de Cliente com o endereço IP da VPN do OCI.

     Selecione o botão Salvar para salvar a configuração quando tiver terminado.

     Após alguns minutos, a AWS conclui o provisionamento da conexão VPN e a IPSec VPN entre a AWS e a OCI aparece.

4. Nesse ponto, você pode excluir o gateway de cliente temporário.

Navegue até a conexão IPSec no OCI e as conexões de VPN Site a Site na AWS para verificar o status de túnel.

• O túnel do OCI sob a conexão IPSec exibe o status Ativo para IPSec para confirmar um túnel operacional.
• O Status do BGP IPv4 também exibe Ativo indicando uma sessão BGP estabelecida.
• O status do túnel, na guia Detalhes do Túnel da conexão VPN Site a Site na AWS, exibe Ativo.

Um serviço Monitoring também está disponível no OCI para monitorar ativa e passivamente os recursos da nuvem. Para obter informações sobre como monitorar a VPN entre Sites do OCI, consulte Métricas da VPN entre Sites.

Se você tiver problemas, consulte Diagnóstico e Solução de Problemas da VPN Site a Site.