Observação:

• Este tutorial requer acesso ao Oracle Cloud. Para se inscrever em uma conta gratuita, consulte Conceitos básicos do Oracle Cloud Infrastructure Free Tier.
• Ele usa valores de exemplo para credenciais, tenancy e compartimentos do Oracle Cloud Infrastructure. Ao concluir seu laboratório, substitua esses valores por valores específicos do seu ambiente de nuvem.

Estabelecer Conexão Local com o OCI usando uma IPSec VPN com Arquitetura de Roteamento de VCN Hub e Spoke

Introdução

A Oracle Cloud Infrastructure (OCI) facilita a configuração da conectividade de VPN entre seu ambiente local e seu ambiente OCI. No entanto, eles podem criar algumas complexidades no roteamento ao usar uma topologia de hub e spoke na OCI. Neste tutorial, configuraremos uma conexão VPN de Segurança de Protocolo de Internet (IPSec) com o OCI e configuraremos o roteamento para garantir que o tráfego do ambiente local seja avaliado por políticas de firewall antes de estabelecer conexão com recursos no OCI.

As imagens a seguir ilustram os fluxos de tráfego.

• Local para Falar uma Conectividade

  

• Conectividade Spoke B para Local

  

Objetivos

• Conecte um local local ao ambiente do OCI usando um túnel IPSec VPN. Como nosso ambiente OCI utiliza uma arquitetura de roteamento de hub e spoke, também configuraremos o roteamento necessário para garantir que o tráfego flua corretamente e verifique a conectividade por meio de testes de ping básicos.

Pré-requisitos

Conclua os seguintes tutoriais:

• Implantar uma Instância do Windows no Oracle Cloud Infrastructure.

• Instale um Firewall pfSense no Oracle Cloud Infrastructure.

• Rotear Hub e Roteamento da VCN Spoke com um Firewall pfSense na VCN do Hub.

Tarefa 1: Preparar o Ambiente Local

• Topologia do OCI

  Neste tutorial, a topologia do OCI é a topologia de roteamento da VCN hub e spoke. Para obter mais informações, consulte Route Hub e Spoke VCN com o Firewall pfSense na VCN do Hub.

  A imagem a seguir ilustra a representação visual do ponto de partida.

  

• Topologia Local

  Para simular um ambiente on-premises, criei uma configuração de amostra, criei duas instâncias VPS e instalei pfSense em cada uma.

  Uma instância pfSense servirá como o ponto de encerramento do CPE (Customer-premises equipment) IPSec, enquanto a outra instância pfSense funcionará como o cliente interno.

  A configuração deste ambiente não está no escopo deste tutorial.

  

• Topologia Final do OCI e Local

  Quando conectarmos o ambiente local com o ambiente OCI, a topologia terá esta aparência:

  

Tarefa 2: Criar um CPE no OCI

Antes de criar uma conexão IPSec VPN, precisamos primeiro criar um objeto CPE no OCI.

• Vá até a Console do OCI.

  1. Clique no menu de hambúrguer (≡) no canto superior esquerdo.
  2. Clique em Rede.
  3. Clique em VPN Site a Site.

  

  1. Clique em Equipamento local do cliente.
  2. Clique em Criar CPE.

  

• Em Criar CPE, digite as informações a seguir.

  1. Informe o Nome do CPE.
  2. Digite o endereço IP, esse endereço IP é o endereço IP público do dispositivo que será usado para configurar a VPN on-premises.
  3. Clique em Criar CPE.

  

  1. Observe que o novo objeto CPE no OCI é criado.
  2. Clique em Conectividade do Cliente para retornar à página de conectividade do cliente.

  

Tarefa 3: Criar uma VPN entre sites no OCI

Para configurar a VPN Site a Site do OCI, precisamos executar a configuração em duas extremidades, no lado do OCI e no local.

• Vamos configurar o lado do OCI.

  1. Clique em VPN Site a Site.
  2. Clique em Criar IPSec conexão.

  

  1. Informe o Nome da conexão IPSec.
  2. Selecione o CPE criado na Tarefa 2.
  3. Selecione o DRG que será usado para encerrar esta conexão IPSec.
  4. Selecione Rotas para sua rede local (LAN) na sua localização local para a qual você deseja rotear o tráfego das suas redes do OCI.
  5. Rolar para Baixo.

  

  1. Na versão IKE, selecione IKEv1.
  2. Em Tipo de Roteamento, selecione Roteamento estático.
  3. Rolar para Baixo.

  

  1. Clique em Mostrar opções avançadas.
  2. Rolar para Baixo.

  

• No OCI, precisamos criar e configurar dois túneis por padrão. Vamos configurar o primeiro túnel.

  1. Clique no colchete de ângulo direito (>) para Fase um (ISAKMP).configuration.
  2. Rolar para Baixo.

  

• Na seção Phase one (ISAKMP) configuration, insira as informações a seguir.

  1. Selecione Definir configurações personalizadas.
  2. Em Algoritmo de criptografia personalizado, selecione AES_256_CBC.
  3. Em Algoritmo de autenticação personalizado, selecione SHA_256.
  4. Em Grupo Diffie-Hellman Personalizado, selecione GROUP 2.
  5. Deixe o padrão IKE session key life in seconds como 288500 seconds.
  6. Clique no colchete de ângulo direito (>) para Configuração da fase dois (IPSec).
  7. Rolar para Baixo.

  

• Na seção Fase dois (IPSec) de configuração, insira as informações a seguir.

  1. Selecione Definir configurações personalizadas.
  2. Em Algoritmo de criptografia personalizado, selecione AES_256_CBC.
  3. Em Algoritmo de autenticação personalizado, selecione HMAC_SHA2_256_128.
  4. Deixe o padrão de IPSec duração da chave de sessão em segundos como 3600 segundos.
  5. Selecione Ativar perfect forward secrecy.
  6. Em Perfect forward secrecy Diffie-Hellman Group, selecione GROUP 5.

  

• Configure o segundo túnel.

  1. Use os mesmos detalhes de configuração usados pelo primeiro túnel.
  2. Rolar para Baixo.

  

• Clique em Criar IPSec conexão.

  

• Observe que o Estado do ciclo de vida dos túneis IPSec é PROVISIONING.

  

  1. Observe que o estado é alterado para AVAILABLE.
  2. Observe o endereço IP da VPN da Oracle que precisamos salvar. Esses endereços IP serão necessários para configurar o túnel local.

  

  Observação: Faremos uso apenas de um dos dois túneis IPSec e, portanto, focaremos apenas na configuração do primeiro túnel; portanto, coletaremos e salvaremos apenas o primeiro endereço IP do primeiro túnel IPSec.

• Clique em Informações de CPE e Túneis.

  

• Clique em Mostrar.

  

  1. Observe que a Chave Secreta Compartilhada é gerada automaticamente. Salve esta chave secreta. Isso é necessário para configurar o outro lado do túnel (on-premises).
  2. Clique em Fechar.

  

Tarefa 4: Configurar o Roteamento da VCN Hub e Spoke para a Sub-rede Local

Para rotear o tráfego de rede proveniente da rede local dentro de nossa arquitetura de rede Hub e Spoke, precisamos fazer algumas alterações nas tabelas de roteamento DRG (Dynamic Routing Gateways) e VCN.

A imagem a seguir ilustra as tabelas de roteamento, portanto, esse é nosso ponto de partida.

Tarefa 4.1: Atualizar a Importação de Rota

• Atualize o grupo de distribuição de rotas (DRG_RDG_IMPORT) no DRG. Adicione o tipo de anexo de túnel IPSec (prioridade 4).

  Prioridade	Tipo de Correspondência	Critérios Correspondentes	Ação
  1	Anexo	SPOKE_VCN-A_ANEXO	ACCEPT
  2	Anexo	SPOKE_VCN-B_ANEXO	ACCEPT
  3	Anexo	SPOKE_VCN-C_ANEXO	ACCEPT
  4	Tipo de Anexo	Túnel IPSec	ACCEPT

• Vá até a Console do OCI.

  1. Clique no menu de hambúrguer (≡) no canto superior esquerdo.
  2. Clique em Rede.
  3. Clique em Dynamic Routing Gateway.

  

  1. Clique em Dynamic Routing Gateway.
  2. Clique no DRG que estamos usando para nosso ambiente de roteamento da VCN.

  

  1. Clique em Importar distribuição de rota.
  2. Clique na distribuição da rota de importação (DRG_RDG_IMPORT).

  

• Certifique-se de adicionar a nova instrução de distribuição de rota.

  1. Observe que a instrução de distribuição de rota foi adicionada com sucesso.
  2. Clique em Detalhes dos gateways de roteamento dinâmico para retornar à página de detalhes do DRG.

  

• A imagem a seguir ilustra a representação visual do que criamos até agora.

  

• Já importamos a rota na tabela de roteamento do DRG DRG_RT_HUB_VCN_3.

  Observação: Esta tabela de roteamento do DRG (DRG_RT_HUB_VCN_3) e o anexo da tabela de roteamento garantirão que todas as redes dos porta-vozes e locais (IPSec) sejam conhecidas e aprendidas no DRG para que o DRG saiba quais redes estão disponíveis nos porta-vozes e para onde rotear as redes spoke.

  1. Clique em tabelas de roteamento de DRG para verificar.
  2. Clique na tabela de roteamento DRG_RT_HUB_VCN_3.

  

• Clique em Obter todas as regras de roteamento.

  

  1. Observe que a rota do local (10.222.10.0/24) está visível na tabela. Isso significa que o DRG sabe como acessar a rede local (10.222.10.0/24) que é por meio do túnel IPSec.
  2. Clique em Fechar.

  

• Clique em DRG para retornar à página de detalhes do DRG.

  

Tarefa 4.2: Criar uma nova Tabela de Roteamento da VCN do Hub e Associar-se ao Anexo do DRG IPSec

• Crie uma nova tabela de roteamento (DRG_RT_IPSEC_VC_1) no DRG.

  CIDR de Destino	Próximo Tipo de Anexo de Hop	Próximo Nome de Anexação de Hop
  172.16.0.0/24	Rede Virtual na Nuvem	HUB_VCN_ATTACHMENT
  172.16.1.0/24	Rede Virtual na Nuvem	HUB_VCN_ATTACHMENT
  172.16.2.0/24	Rede Virtual na Nuvem	HUB_VCN_ATTACHMENT
  172.16.3.0/24	Rede Virtual na Nuvem	HUB_VCN_ATTACHMENT

• Vá até a Console do OCI.

  1. Clique em Tabela de roteamento de DRG.
  2. Clique em Criar tabela de roteamento do DRG.

  

  1. Informe o Nome da tabela de roteamento do DRG.
  2. Em Regra de roteamento estático, digite as informações a seguir para adicionar uma nova regra estática.
     • Bloco CIDR de Destino: Digite 172.16.0.0/24.
     • Tipo de anexo de próximo salto: Selecione Rede Virtual na Nuvem.
     • Próximo anexo de salto: Selecione a VCN do hub.
  3. Clique em + Outra Regra.

  

  1. Adicione uma nova regra estática.
     • Bloco CIDR de Destino: Digite 172.16.1.0/24.
     • Tipo de anexo de próximo salto: Selecione Rede Virtual na Nuvem.
     • Próximo anexo de salto: Selecione a VCN do hub.
  2. Clique em + Outra Regra.

  

  1. Adicione uma nova regra estática.
     • Bloco CIDR de Destino: Digite 172.16.2.0/24.
     • Tipo de anexo de próximo salto: Selecione Rede Virtual na Nuvem.
     • Próximo anexo de salto: Selecione a VCN do hub.
  2. Clique em + Outra Regra.

  

  1. Adicione uma nova regra estática.
     • Bloco CIDR de Destino: Digite 172.16.3.0/24.
     • Tipo de anexo de próximo salto: Selecione Rede Virtual na Nuvem.
     • Próximo anexo de salto: Selecione a VCN do hub.
  2. Clique em Criar tabela de roteamento do DRG.

  

• Após alguns minutos, a tabela de roteamento será criada.

  

  1. Observe que a nova tabela de roteamento do DRG (DRG_RT_IPSEC_VC_1) é criada.

  

• A imagem a seguir ilustra a representação visual do que criamos até agora.

  

• Precisamos associar/anexar/vincular a tabela de roteamento aos anexos de túnel IPSec do DRG.

  Observação: Esta tabela de roteamento do DRG (DRG_RT_IPSEC_VC_1) e o anexo da tabela de roteamento garantirão que todas as redes dos porta-vozes estejam acessíveis no local. Essa também é uma maneira de controlar o roteamento e permitir apenas o roteamento para os raios para os quais você deseja rotear.

  1. Clique em IPSec anexos de túnel.
  2. Clique no primeiro anexo.

  

  1. Observe que o anexo IPSec está usando a tabela de roteamento do DRG padrão gerada automaticamente.
  2. Clique em Editar.

  

  1. Selecione a tabela de roteamento do DRG criada acima (DRG_RT_IPSEC_VC_1).
  2. Clique em Salvar alterações.

  

  1. Observe que uma nova tabela de roteamento do DRG está ativa no anexo IPSec do primeiro túnel IPSec.
  2. Clique em DRG para retornar à página de detalhes do DRG.

  

• A imagem a seguir ilustra a representação visual do que criamos até agora.

  

  Observação: Não atualizaremos a tabela de roteamento do DRG no segundo anexo de túnel IPSec, pois não usamos o segundo túnel neste tutorial.

Tarefa 4.3: Atualizar a Tabela de Roteamento de Sub-rede Privada da VCN do Hub

A última tabela de roteamento a ser atualizada é a tabela de roteamento da VCN associada à sub-rede privada na VCN hub.

• Atualize a tabela de roteamento (VCN_RT_HUB_PRIVATE_SUBNET) na VCN hub.

  Adicione a rede local à tabela (VCN_RT_HUB_PRIVATE_SUBNET).

  Destino	Tipo de Alvo	Target	Tipo de Rota
  0.0.0.0/0	Gateway NAT	hub-nat-gw	Estática
  172.16.1.0/24	Gateway de Rota Dinâmica	DRG	Estática
  172.16.2.0/24	Gateway de Rota Dinâmica	DRG	Estática
  172.16.3.0/24	Gateway de Rota Dinâmica	DRG	Estática
  10.222.10.0/24	Gateway de Rota Dinâmica	DRG	Estática

  Observação: Essa tabela de roteamento da VCN (VCN_RT_HUB_PRIVATE_SUBNET) roteará o tráfego destinado à rede IPSec de porta-vozes e local para o firewall. O tráfego destinado à internet (todo o tráfego que não seja redes spoke) para o gateway NAT também será roteado por essa tabela de roteamento.

• Vá até a Console do OCI.

  1. Clique no menu de hambúrguer (≡) no canto superior esquerdo.
  2. Clique em Rede.
  3. Clique em Redes virtuais na nuvem.

  

• Clique na VCN do hub.

  

  1. Clique em Tabela de Roteamento.
  2. Clique na tabela de roteamento VCN_RT_HUB_PRIVATE_SUBNET.

  

• Já adicionei a nova regra de roteamento. Portanto, certifique-se de adicioná-la. Quando você adicionar com sucesso a regra de roteamento, ela deverá ter esta aparência.

  

• A imagem a seguir ilustra a representação visual do que criamos até agora.

  

Tarefa 5: Criar uma VPN Site a Site no Local usando pfSense

Configuramos o lado do OCI do túnel IPSec. Vamos configurar o lado local. Estamos usando um firewall pfSense como ponto final de encerramento IPSec.

Tarefa 5.1: Criar o Túnel IPSec (Fase 1 ISAKMP)

• Vá para o portal pfSense.

  1. Clique no menu suspenso VPN.
  2. Clique em IPSec.

  

  1. Clique em Túneis.
  2. Clique em + Adicionar P1.

  

  1. Digite uma Descrição.
  2. Em Versão do intercâmbio de chaves, selecione IKEv1.
  3. Em Protocolo de Internet, selecione IPv4.
  4. Em Interface, selecione WAN.
  5. Em Gateway Remoto, informe o endereço IP público, que pode ser recuperado na Console do OCI. Vá para Rede, Conectividade do Cliente, VPN Site a Site e clique em VPN.
  6. Rolar para Baixo.

  

• Na seção Proposta da Fase 1, especifique as informações a seguir.

  1. Em Método de Autenticação, selecione PSK Mútuo.
  2. Em Modo de negociação, selecione Principal.
  3. Em Meu Identificador, selecione Endereço IP e informe seu endereço IP público local do lado local recuperado na Tarefa 3.
  4. Em Identificador de Par, selecione Endereço IP e digite seu endereço IP público remoto do lado do OCI.
  5. Informe a Chave secreta (Pré) Compartilhada recuperada na Tarefa 3.
  6. Configure o Algoritmo de Criptografia:
     • Algoritmo: Selecione AES.
     • Tamanho da Chave: Selecione256 bits.
     • Hash: Selecione SHA256.
     • Grupo DH: Selecione 2 (1024 bits). - Role para baixo.

  

  1. Em Tempo de Vida, digite 28800 segundos.
  2. Em Ação de Fechamento do Acordo de Serviço Filho, selecione Reiniciar/Reconectar.
  3. Rolar para Baixo.

  

• Clique em Salvar.

  

  1. Observe que a configuração IPSec da fase 1 foi configurada.
  2. Clique em Aplicar Alterações para efetuar commit das alterações.

  

  1. Observe que as alterações foram aplicadas com sucesso.
  2. Clique em Mostrar Entradas da Fase 2.

  

Tarefa 5.2: Criar o Túnel IPSec (Fase 2 IPSec)

• Clique em + Adicionar P2.

  

  1. Digite uma Descrição.
  2. Em Modo, selecione Roteado (VTI).
  3. Selecione a rede local (local).
  4. Selecione a rede remota (OCI).
  5. Rolar para Baixo.

  

  1. Em Protocolo, selecione ESP.
  2. Em Algoritmo de Criptografia, selecione AES 256 bits.
  3. Em Algoritmo de Hash, selecione SHA256.
  4. No grupo de chaves PFS, selecione 5 (1536 bits).
  5. Em Tempo de Vida, insira 3600 segundos.
  6. Rolar para Baixo.

  

• Clique em Salvar.

  

  1. Observe que a configuração IPSec da fase 1 foi configurada.
  2. Clique nas estatísticas.

  

• Observe que o status é Estabelecido.

  

• Vamos verificar o estado do túnel no lado do OCI. Vá para a Console do OCI, navegue até Rede, Conectividade do Cliente, VPN Site a Site e clique na VPN. Observe que o status IPSec do primeiro túnel é Ativo.

  

Tarefa 5.3: Ativar a Interface de Túnel

• Precisamos ativar as interfaces de túnel no lado local. Vá para o Portal pfSense.

  1. Clique no menu suspenso Interfaces.
  2. Clique em Designações.
  3. Observe que uma nova interface VTI está disponível.
  4. Clique em + Adicionar para adicionar a interface.

  

  1. Observe que a interface foi adicionada.
  2. Clique na interface de túnel adicionada (OPT1).

  

  1. Selecione Ativar interface para ativar a interface.
  2. Clique em Salvar.

  

Tarefa 5.4: Abrir as Regras do Firewall para IPSec

• Para permitir que o tráfego IPSec flua pelo túnel, precisamos adicionar algumas regras de firewall.

  1. Clique no menu drop-down Firewall.
  2. Clique em Regras.

  

  1. Clique em IPSec.
  2. Observe que não há regras de firewall relacionadas a IPSec.
  3. Clique em Adicionar.

  

• Digite as seguintes informações.

  1. Ação: Selecione Passar.
  2. Interface: Selecione IPSec.
  3. Família de Endereços: Selecione IPv4.
  4. Protocol: Selecione Any.
  5. Origem: Selecione Qualquer.
  6. Destino: Selecione Qualquer.
  7. Rolar para Baixo.

  

• Clique em Salvar.

  

  1. Observe que a nova regra está em vigor.
  2. Clique em Aplicar Alterações para efetuar commit das alterações.

  

• Observe que as alterações foram aplicadas com sucesso.

  

Tarefa 5.5: Configurar Roteamento IPSec

Nesta tarefa, configuraremos o roteamento para que o firewall pfSense saiba como acessar a rede do OCI por meio do túnel IPSec e da interface OPT1.

• Vá para o Portal pfSense.

  1. Clique no menu suspenso Sistema.
  2. Clique em Roteamento.
  3. Em Gateway padrão IPv4, selecione o WAN_DHCP ou seu gateway padrão que você deseja usar como primeira prioridade.
  4. Clique em + Adicionar para adicionar um novo gateway.

  

  1. Em Interface, selecione OPT1 (a interface de túnel).
  2. Em Família de Endereços, selecione IPv4.
  3. Digite um Nome.
  4. No Gateway, não especifique nenhum endereço IP, deixe em branco.
  5. Rolar para Baixo.

  

• Clique em Salvar.

  

  1. Observe que um novo gateway foi adicionado ao nosso túnel IPSec.
  2. Clique em Rotas Estáticas.

  

• Clique em + Adicionar para adicionar uma nova rota estática.

  

  1. Digite a Rede de destino das redes do OCI.
  2. Selecione a Sub-rede de destino das redes do OCI.
  3. Selecione o Gateway criado acima.
  4. Clique em Salvar.

  

• Observe que uma nova rota estática é adicionada e roteará o tráfego destinado às redes do OCI usando a interface de túnel.

  

Tarefa 6: Configurar o Roteamento Local

Temos roteamento trabalhando em pfSense, que é o ponto final da IPSec VPN. Precisamos ter certeza de que o restante da rede local saiba como acessar as redes da OCI. Portanto, precisamos rotear todo o tráfego destinado ao OCI para o ponto final da VPN pfSense.

Configurar o roteamento no cliente de computação local de teste

Estamos usando uma instância pfSense para simular a rede local.

Observação: Esta é uma instância diferente da que acabamos de usar para configurar o túnel IPSec!

• Vá para o Portal PfSense.

  1. Clique no menu suspenso Sistema.
  2. Clique em Encaminhamento.

  

  1. Selecione WAN_DHCP ou seu gateway padrão que será usado como a primeira prioridade.
  2. Clique em + Adicionar para adicionar um novo gateway.

  

  1. Em Interface, selecione LAN.
  2. Em Família de Endereços, selecione IPv4.
  3. Digite um Nome.
  4. Informe o endereço IP da LAN da outra instância pfSense, a que encerra o túnel IPSec.
  5. Rolar para Baixo.

  

• Clique em Salvar.

  

  1. Observe que um novo gateway é adicionado para nossa outra instância pfSense.
  2. Clique em Rotas Estáticas.

  

• Clique em + Adicionar para adicionar uma nova rota estática.

  

  1. Selecione Rede de destino das redes do OCI.
  2. Selecione a Sub-rede de destino das redes do OCI.
  3. Selecione o Gateway criado acima.
  4. Clique em Salvar.

  

• Observe que uma nova rota estática é adicionada e roteará o tráfego destinado às redes do OCI usando a outra instância pfSense.

  

Tarefa 7: Verificar a Conectividade

Configuramos a VPN, adicionamos as regras de firewall corretas e configuramos o roteamento, agora testamos a conectividade.

Tarefa 7.1: Fazer Ping do Local para a VCN Spoke A

• Devido à configuração do roteamento:

  • O tráfego será enviado para a instância da VPN pfSense (local).
  • O tráfego é enviado por meio do túnel IPSec VPN para o DRG.
  • Em seguida, o DRG roteará o tráfego para o firewall pfSense do OCI.
  • O firewall do OCI pfSense permitirá ou negará o tráfego com base nas regras de firewall configuradas.
  • Quando o tráfego ICMP for aceito, ele roteará o tráfego para a instância Spoke.

  

• Execute um teste de ping na instância local da VPN pfSense.

  1. Clique no menu drop-down Diagnóstico.
  2. Clique em Ping.
  3. Digite o Nome do Host, que é um endereço IP da instância da VCN Spoke A.
  4. Em Protocolo IP, selecione IPv4.
  5. Em Endereço de origem, selecione a interface LAN.
  6. Em Número máximo de pings, selecione 3.
  7. Clique em Ping.
  8. Observe que temos 0% de perda de Pacote.

  

• Também podemos fazer um teste na outra instância pfSense (o Cliente). Execute um teste de ping na instância local pfSense do Cliente.

  1. Clique no menu drop-down Diagnóstico.
  2. Clique em Ping.
  3. Digite o Nome do Host, que é um endereço IP da instância da VCN Spoke A.
  4. Em Protocolo IP, selecione IPv4.
  5. Em Endereço de origem, selecione a interface LAN.
  6. Em Número máximo de pings, selecione 3.
  7. Clique em Ping.
  8. Observe que temos 0% de perda de Pacote.

  

Tarefa 7.2: Fazer Ping da VCN B Spoke para o Local

• Devido à configuração do roteamento:

  • O tráfego será enviado para o DRG.
  • Em seguida, o DRG roteará o tráfego para o firewall pfSense do OCI.
  • O firewall do OCI pfSense permitirá ou negará o tráfego com base nas regras de firewall configuradas.
  • Quando o tráfego ICMP for aceito, ele roteará o tráfego de volta para o DRG.
  • O tráfego é enviado por meio do túnel IPSec VPN para a instância pfSense local.

  

  1. Estabeleça conexão com a instância da VCN spoke B.
  2. Faça um ping no endereço IP da LAN da instância da VPN pfSense local (10.222.10.1).
  3. Observe que temos 0% de perda de pacote para que o ping seja bem-sucedido.
  4. Faça um ping no endereço IP da LAN da instância do cliente pfSense local (10.222.10.100).
  5. Observe que temos 0% de perda de pacote para que o ping seja bem-sucedido.

  

Tarefa 7.3: Verificar Estatísticas de Rede da IPSec VPN no OCI

• Vá até a Console do OCI.

  1. Clique no menu de hambúrguer (≡) no canto superior esquerdo.
  2. Clique em Rede.
  3. Clique em VPN Site a Site.

  

• Clique na VPN.

  

• Clique no primeiro túnel.

  

  1. Observe que o estado do túnel mostra uma constante 1 no estado binário, indicando que o túnel está ativo constantemente.
  2. Rolar para Baixo.

  

  1. Observe que o gráfico está atingindo o pico dos Pacotes Recebidos e dos Pacotes Enviados, devido ao ping que fizemos na Tarefa 7.1.
  2. Observe que o gráfico está atingindo o pico dos Pacotes Recebidos e dos Pacotes Enviados, devido ao ping que fizemos na Tarefa 7.2.

  

Tarefa 7.4: Verificar Estatísticas de Rede da IPSec VPN na Instância de VPN pfSense (On-premises)

• Vá para o Portal PfSense.

  1. Clique no menu suspenso Status.
  2. Clique em IPSec.

  

• Clique em Mostrar Entradas de Acordo de Serviço Filho (1 conexão).

  

• Observe que os Pacotes e os Bytes entraram e saíram.

  

Visualizador de Rede

Como adicionamos a VPN, podemos usar o Visualizador de Rede na Console do OCI para obter uma visão geral da rede.

• Vá até a Console do OCI.

  1. Clique no menu de hambúrguer (≡) no canto superior esquerdo.
  2. Clique em Rede.
  3. Clique em Visualizador de Rede.

  

• Você pode ver quatro VCNs (um Hub e três Spokes) e o local conectado à VPN.

  

Reconhecimentos

• Autor - Iwan Hoogendoorn (Especialista em Rede OCI)

Mais Recursos de Aprendizagem

Explore outros laboratórios em docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal Oracle Learning YouTube. Além disso, visite education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.

Para obter a documentação do produto, visite o Oracle Help Center.

---

Título e Informações de Copyright

Connect On-premises to OCI using an IPSec VPN with Hub and Spoke VCN Routing Architecture

G10333-01

June 2024

Copyright ©2024,

Oracle e/ou suas empresas afiliadas.