Documentação do Oracle Cloud Infrastructure

Conexão VPN com o Azure

O serviço de VPN Site a Site do OCI (Oracle Cloud Infrastructure) oferece uma conexão IPSec segura entre uma rede on-premises e uma VCN (Virtual Cloud Network). Você também pode usar a VPN Site a Site para conectar recursos da OCI a outros provedores do serviço de nuvem.

Este tópico fornece uma configuração de melhores práticas para um túnel IPSec VPN entre o OCI e o Microsoft Azure usando o serviço OCI Site-to-Site VPN e o serviço Azure IPSec VPN.

Observação

Este documento pressupõe que você já tenha provisionado uma Rede Virtual em Nuvem (VCN) e o Gateway de Roteamento Dinâmico (DRG), além de ter configurado todas as Tabelas de Roteamento de VCN e Listas da Segurança necessárias para este cenário e todos os equivalentes no Azure.

Considerações específicas do Microsoft Azure

Versão do IKE: Uma conexão IPSec VPN entre o OCI e o Microsoft Azure deve usar o IKE versão 2 para interoperabilidade.

Tipo de Roteamento: Esse cenário usa o BGP (BGP) para trocar rotas entre o Azure e o OCI. O BGP é preferencial para a VPN Site a Site sempre que possível. Se desejar, o roteamento estático também poderá ser usado entre o Azure e o OCI.

Perfect Forward Secrecy: Com PFS (perfect forward secretcy), novas chaves Diffie-Hellman são geradas na fase 2 e as chaves de fase 2 são reutilizadas, em vez de usar a mesma chave gerada durante o estágio 1. Ambos os pareamentos de VPN devem corresponder à definição escolhida do grupo PFS para a fase 2. Por padrão, o Azure (grupos 1, 2, 14 e 24 somente para IKEv2) e a OCI (grupo 5) têm uma incompatibilidade do PFS. O grupo PFS do OCI pode ser alterado para corresponder ao CPE.

Verificar a Versão da VPN Site a Site do OCI

Você pode verificar a versão da VPN Site a Site usada pela conexão IPSec na guia IPSec Informações da Conexão na página da conexão IPSec.

Parâmetros IPSec Suportados

Para obter uma lista não dependente de fornecedor com parâmetros IPSec suportados para todas as regiões do OCI, consulte Parâmetros IPSec Suportados.

Processo de Configuração

Azure - Criar Gateway de VPN
  1. No portal principal do Azure, procure o serviço Virtual Network Gateway. Selecione-o nos resultados da pesquisa.
  2. Na próxima página, selecione o botão Criar para criar um novo Gateway de Rede Virtual.
  3. Você foi levado para a página Criar Gateway de Rede Virtual.
    • Nome: Dê um nome ao gateway.
    • Região: Selecione uma região do Azure. A região deve ser a mesma da rede virtual.
    • Tipo de Gateway: Selecione VPN.
    • Tipo de VPN: Selecione Baseado em rota.
    • SKU e Geração: Selecione uma SKU de gateway que suporte IKEv2 e atenda aos requisitos de throughput. Para obter mais informações sobre SKUs de gateway, consulte a documentação do Azure no VPN Gateways.
    • Rede virtual: Selecione a rede virtual do gateway. Essa rede virtual também precisa de uma sub-rede de gateway.
    • Faixa de endereços da sub-rede de gateway: Se a rede virtual já tiver um GatewaySubnet, selecione-o. Caso contrário, selecione um intervalo de endereços não utilizado.
    • Endereço IP Público: O Gateway de Rede Virtual precisa de um endereço IP privado. Se um já tiver sido criado, selecione-o. Caso contrário, selecione Criar novo e dê um nome ao endereço IP Público.
    • Ativar modo ativo-ativo: Deixe esta opção desativada.
    • Configurar BGP: Selecione Ativado. Deixe esta opção como desativada para usar o roteamento estático.
    • Número de sistema Autônomo (ASN): Por padrão, o Azure usa BGP ASN 65515. Selecione o padrão.

    • Endereço IP BGP do Azure APIPA Personalizado: Selecione uma sub-rede /30 em 169.254.21.0/24 ou 169.254.22.0/24. Esses endereços são os endereços IP BGP do Azure e do OCI. Informe aqui um dos dois IPs disponíveis do /30 escolhido. Este cenário usa 169.254.21.1 para OCI e 169.254.21.2 para Azure.

      Quando terminar de configurar o Gateway de Rede Virtual, selecione o botão Revisar + criar e o botão Criar na página a seguir.

  4. Navegue até o Virtual Network Gateway recém-criado e salve o endereço IP público. O endereço IP é usado para criar a conexão IPSec no OCI.
OCI - Criar Objeto CPE
  1. Abra o menu de navegação e selecione Rede. Em Conectividade do cliente, selecione Equipamento local do cliente.
  2. Select Create Customer-Premises Equipment.

  3. Informe os seguintes valores:

    • Criar no Compartimento: selecione o compartimento da VCN desejada.
    • Nome: um nome descritivo para o objeto CPE. Esse nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.

      Este exemplo usa "TO_Azure" como o nome.

    • Endereço IIP: Informe o IP público do Azure Virtual Network Gateway. Você pode encontrar esse IP público na console do Azure navegando até a página de visão geral do Gateway de Rede Virtual criado na tarefa anterior.
    • Fornecedor do CPE: Selecione Outro.
  4. Selecione Criar CPE.
OCI - Criar Conexão IPSec
  1. Abra o menu de navegação e selecione Rede. Em Conectividade do cliente, selecione VPN Site a Site.
  2. Selecione Criar Conexão IPSec.

  3. Informe os seguintes valores:

    • Criar no Compartimento: deixe como está (o compartimento da VCN).
    • Nome: informe um nome descritivo para a conexão IPSec. Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. Evite inserir informações confidenciais.
    • Compartimento do CPE (Customer Premises Equipment): deixe como está (o compartimento da VCN).
    • Customer-Premises Equipment: Selecione o objeto CPE que você criou anteriormente, chamado TO_Azure.
    • Compartimento do Gateway de Roteamento Dinâmico: deixe como está (o compartimento da VCN).
    • Gateway de Roteamento Dinâmico: selecione o DRG criado anteriormente.
    • CIDR de Rota Estática: informe uma rota padrão, 0.0.0.0/0. Como BGP é usado para o túnel ativo, o OCI ignora essa rota. Essa entrada é obrigatória para o segundo túnel da conexão IPSec que, por padrão, usa roteamento estático e não é usado nesse cenário. Se você planeja usar o roteamento estático para essa conexão, insira rotas estáticas que representem essas redes virtuais doAzure. Até 10 rotas estáticas podem ser configuradas para cada conexão IPSec.

  4. Informe os seguintes detalhes na guia Túnel 1 (necessário):

    • Nome: Digite um nome descritivo para o túnel (Exemplo: Azure-TUNNEL-1). Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. Evite inserir informações confidenciais.
    • Forneça um segredo compartilhado personalizado: A chave pré-compartilhada usada por IPSec para este túnel. Marque esta caixa de seleção se quiser usar uma chave personalizada. Se nada for selecionado, um será gerado para você.
    • Versão doIKE: Selecione IKEv2.
    • Tipo de Roteamento: Selecione Roteamento Dinâmico BGP. Selecione Encaminhamento Estático se quiser usar o roteamento estático.
    • ASN do BGP: Informe o ASN do BGP usado pelo Azure. O ASN do BGP do Azure é configurado durante a Etapa 3 da Seção Azure - Criar Gateway de VPN. Este cenário usa o ASN 65515 padrão do BGP do Azure.
    • IPv4 Dentro da Interface de Túnel - CPE: O endereço IP do BGP usado pelo Azure. Use a notação CIDR completa para esse endereço IP. O endereço IP do BGP do Azure é configurado durante a Etapa 3 da Seção Azure - Criar Gateway de VPN.
    • IPv4 Dentro da Interface de Túnel - Oracle: O endereço IP do BGP usado pelo OCI. Use a notação CIDR completa para esse endereço IP. Esse endereço IP é o outro IP utilizável restante do /30 escolhido.
  5. Selecione Mostrar opções avançadas e Expanda a Configuração da Segunda Fase (IPSec). Selecione um grupo Diffie-Hellman de perfect forward secrecy. Escolha entre GROUP2, GROUP14 ou GROUP24.

  6. Selecione Criar Conexão IPSec.

    A conexão IPSec é criada e exibida na página. A conexão fica no estado Provisionando por pouco tempo.

OCI - Alterar PFS

Por padrão, a VPN Site a Site do OCI usa o grupo PFS 5 para todos os túneis IPSec VPN. Para IKEv2, o Azure envia propostas com os grupos1, 2, 14 e 24 do PFS.

Você pode usar a Console do OCI para definir a política de Fase 2 IPSec de um túnel para usar um valor de grupo PFS personalizado de 2, 14 ou 24. A OCI não suporta o grupo PFS 1.

OCI - Salvar Endereço IP da VPN Site a Site e Segredo Compartilhado

Após o provisionamento da conexão IPSec, salve o endereço IP da VPN Site a Site para usar como o IP do CPE no portal do Azure e o segredo compartilhado do túnel.

  1. Navegue até a conexão IPSec na Console do OCI.

    Selecione qual túnel usar como principal. Salve o endereço IP da VPN Site a Local desse túnel. Em seguida, selecione o nome do túnel a ser levado para a view do túnel.

  2. No túnel, selecione o link para exibir o segredo compartilhado. Salve-o. O segredo compartilhado é usado para concluir a configuração da VPN IPSec no Azure.
Azure - Criar Gateway de Rede Local

  1. No portal principal do Azure, procure o Gateway de Rede Local. Selecione-o nos resultados da pesquisa.

  2. Na próxima página, selecione o botão Criar para criar um Gateway de Rede Local.

  3. Você foi levado para a página Criar Gateway de Rede Local. Informe os seguintes detalhes:

    • Região: Selecione uma região do Azure. A região deve ser igual à rede virtual e ao Gateway de Rede Virtual.
    • Nome: Dê um nome ao gateway de rede local.
    • Endereço IP: Informe o endereço IP salvo da VPN do OCI para o Túnel 1.
    • Espaço de endereçamento: Deixe em branco se você estiver usando a entrada de roteamento estático dos CIDRs das VCNs do OCI.
    • Configurar Definições de BGP: Marque esta caixa de seleção. Se estiver usando o roteamento estático, deixe a opção desmarcada.
    • Número do sistema autônomo (ASN): Informe o ASN do BGP do OCI. O ASN BGP da Oracle para a nuvem comercial é 31898, exceto a região Central da Sérvia (Jovanovac), que é 14544.
    • Endereço IP de pareamento do BGP: O endereço IP do BGP do OCI. O mesmo endereço IP usado para IPV4 Dentro da Interface de Túnel - Oracle na Etapa 4 de OCI - Criar Conexão IPSec.
Azure - Criar uma Conexão VPN

  1. Navegue até o Gateway de Rede Virtual criado anteriormente. No menu esquerdo, selecione Conexões e, em seguida, o botão Adicionar para adicionar uma conexão.

  2. Você foi levado para a página Adicionar Conexão. Informe os seguintes detalhes:

    • Nome: Atribua um nome à conexão.
    • Tipo de conexão: Selecione Site a Site (IPsec)
    • Gateway de rede local: Selecione o gateway de rede local criado anteriormente.
    • Chave Compartilhada (PSK) - Informe o segredo compartilhado do túnel do OCI. Consulte OCI - Salvar Endereço IP da VPN Site a Local e Segredo Compartilhado se precisar identificar onde a chave compartilhada é encontrada na Console do OCI.
    • Ativar BGP: Marque esta caixa de seleção. Deixe desmarcada se estiver usando o roteamento estático.

    • IKE Protocol: Selecione IKEv2

      Deixe todas as outras opções como padrão. Quando terminar de configurar a conexão VPN, selecione o botão OK na parte inferior da página.

      Após alguns minutos, o Azure conclui o provisionamento da nova conexão VPN e a IPSec VPN entre o Azure e a OCI aparece.

Verificação

Navegue até uma conexão IPSec no OCI e a conexão do Gateway de Rede Virtual no Azure para verificar o status do túnel.

O túnel do OCI sob a conexão IPSec exibe o status Ativo para IPSec para confirmar um túnel operacional.

O Status do BGP IPV4 também exibe Ativo indicando uma sessão BGP estabelecida.

O status da conexão no Gateway de Rede Virtual desse túnel exibe Conectado para confirmar um túnel operacional.

Um serviço Monitoring também está disponível no OCI para monitorar ativa e passivamente os recursos da nuvem. Para obter informações sobre como monitorar a VPN Site a Local do OCI, consulte Métricas de VPN Site a Local.

Se você tiver problemas, consulte Diagnóstico e Solução de Problemas da VPN Site a Site.