Observação:

Este tutorial requer acesso ao Oracle Cloud. Para se inscrever em uma conta gratuita, consulte Conceitos Básicos do Oracle Cloud Infrastructure Free Tier.
Ele usa valores de exemplo para credenciais, tenancy e compartimentos do Oracle Cloud Infrastructure. Ao concluir seu laboratório, substitua esses valores por valores específicos do seu ambiente de nuvem.

Configurar OpenVPN para Acesso Remoto em uma Única Região no Oracle Cloud Infrastructure

Introdução

Com o trabalho remoto e a adoção da nuvem em ascensão, o acesso seguro aos recursos da empresa nunca foi tão crítico. Uma VPN de Acesso Remoto permite que os usuários se conectem à rede de sua organização de qualquer lugar, criptografando todos os dados para protegê-los contra acesso não autorizado. Seja trabalhando em um escritório remoto, em casa ou em qualquer lugar, uma Rede Privada Virtual (VPN) garante que as conexões permaneçam privadas e seguras.

Nesta série de tutoriais, vamos levá-lo passo a passo através do processo de construção da arquitetura delineada na imagem a seguir.

VPN no Oracle Cloud Infrastructure (OCI)

A VPN é essencial para estabelecer uma comunicação segura entre seu data center on-premises, outro ambiente de nuvem que sua organização usa ou escritórios remotos com sua configuração da OCI. Na OCI, há dois tipos de VPNs que você pode precisar, cada um adequado para diferentes casos de uso.

VPN Site a Site: Conecta redes inteiras, tornando-a ideal para vincular vários escritórios ou filiais com segurança com a OCI. A VPN Site a Site é um serviço nativo disponível no OCI, que usa o protocolo IPSec padrão do setor para fornecer conectividade privada e segura de suas redes corporativas e sites para o OCI usando sua conexão de internet existente.
VPN de Acesso Remoto (VPN Ponto a Site): Ao contrário da VPN Site a Site, que conecta redes inteiras entre si, a VPN de Acesso Remoto estabelece uma conexão segura entre um único dispositivo (usuário) e a rede de destino usando um aplicativo cliente VPN. No momento, o OCI não oferece um serviço VPN de Acesso Remoto nativo. No entanto, isso pode ser obtido utilizando imagens de marketplace como OpenVPN, que você pode implantar em uma instância de computação.

Observação: Este tutorial se concentra apenas na configuração da VPN de Acesso Remoto usando OpenVPN.

Visão Geral do OpenVPN

OpenVPN é uma solução de VPN amplamente utilizada que está disponível em vários tipos para atender a diferentes necessidades. Neste tutorial, vamos nos concentrar em:

OpenVPN Access Server: Projetado especificamente para empresas, ele protege a comunicação de dados, protege a Internet of Things (IoT) e fornece acesso remoto seguro a recursos locais, de data center ou de nuvem pública. Ele inclui uma interface de gerenciamento baseada na web e é ideal para empresas que buscam uma VPN confiável e de nível empresarial. OpenVPN O Access Server está livre para instalar e usar para duas conexões VPN simultâneas. Você o implantará em uma instância do OCI Compute no marketplace neste tutorial.
OpenVPN Connect: O cliente VPN oficial para Windows, macOS, iOS e Android. No final deste tutorial, você instalará o OpenVPN Connect e o usará para estabelecer conexão com o Access Server OpenVPN e, em seguida, testará a conectividade com seus recursos privados de destino na nuvem.

Para obter mais informações sobre diferentes produtos OpenVPN, consulte Qual produto OpenVPN é ideal para você?.

Objetivos

Provisione o OpenVPN Access Server no marketplace do OCI e faça a configuração inicial.
Configure o Servidor de Acesso OpenVPN para acesso remoto.
Configure o roteamento e a segurança necessários do OCI para acessar sua máquina virtual (VM) de destino na mesma região que o OpenVPN (Toronto).
Instale o OpenVPN Connect no seu PC e teste o acesso à VM de destino.

Arquitetura final para a primeira parte do tutorial

Você criará o ambiente a seguir do zero.

Pré-requisitos

Acesso a uma tenancy e permissões do OCI para gerenciar a rede e os serviços de computação necessários.
Entendimento básico de VPN.
Compreensão básica do roteamento e da segurança de rede do OCI e suas funcionalidades: Rede Virtual na Nuvem (VCN), Tabelas de Roteamento, Gateway de Roteamento Dinâmico (DRG) e Listas de Segurança.

Tarefa 1: Criar um Gateway de Roteamento Dinâmico

Faça log-in na Console do OCI e clique no menu de hambúrguer (≡) no canto superior esquerdo.
1. Clique em Rede.
2. Clique em Gateway de roteamento dinâmico.
Clique em Criar gateway de roteamento dinâmico.
1. Informe um Nome para o DRG.
2. Clique em Criar gateway de roteamento dinâmico.
O DRG foi criado com sucesso.
Estamos adicionando todos os componentes que estamos provisionando no final de cada tarefa à arquitetura. Então, você pode ver como nosso ambiente se parece até agora.

Tarefa 2: Configurar uma Rede Virtual na Nuvem Spoke

Tarefa 2.1: Criar uma VCN

Clique no menu de hambúrguer (≡) no canto superior esquerdo.
1. Clique em Rede.
2. Clique em Redes virtuais na nuvem.
Clique em Criar VCN.
1. Digite um Nome para a VCN.
2. Digite 10.1.0.0/24 como Bloco IPv4 CIDR.
3. Clique em Criar VCN.
A VCN Spoke-VCN-1 foi criada com sucesso.

Tarefa 2.2: Anexar a VCN ao DRG

Vá para a página Detalhes das Redes Virtuais na Nuvem.
1. Clique em Anexos de Gateways de roteamento dinâmico.
2. Clique em Criar Anexo do DRG.
1. Informe um Nome para o anexo.
2. Selecione Tenancy atual como Local do DRG.
3. Selecione o DRG criado na Tarefa 1.
4. Clique em Criar Anexo do DRG.
A VCN é anexada com sucesso ao DRG.

Tarefa 2.3: Criar uma Sub-rede Privada

Na página Detalhes das Redes Virtuais na Nuvem, clique em Criar Sub-rede.
1. Digite um Nome para a sub-rede.
2. Selecione Regional.
3. Digite 10.1.0.0/27 como Bloco IPv4 CIDR.
1. Selecione Tabela de Roteamento Padrão em Tabela de Roteamento.
2. Selecionar Sub-rede Privada.
1. Selecione Lista de Segurança Padrão em Lista de Segurança.
2. Clique em Criar Sub-rede.
A sub-rede privada foi criada com sucesso.

Tarefa 2.4: Configurar Roteamento e Segurança na Sub-rede

Na página Detalhes das Redes Virtuais na Nuvem, clique na sub-rede privada.
Clique em Tabela de Roteamento, que é uma tabela de roteamento designada.
Certifique-se de adicionar a regra a seguir.
- 192.168.0.0/24 - DRG: Rotear o tráfego destinado a Hub-Public-Subnet que terá o Access Server OpenVPN para o DRG.
A parte de roteamento da sub-rede Spoke-VCN-1 foi concluída, vamos fazer a segurança agora. Vá para a página Detalhes da Sub-rede e clique na lista de segurança designada.
Certifique-se de permitir tráfego de entrada.
- Solicitações de eco (ping traffic) de Hub-Public-Subnet (ICMP, tipo 8). Isso é para testes no final.
Certifique-se de permitir todo o tráfego de saída.
O ambiente atual deve ter esta aparência.

Tarefa 3: Provisionar uma VM de Teste (`Target-Instance-1`)

Tarefa 3.1: Gerar Par de Chaves SSH com o Gerador de Chaves PuTTY (Opcional)

Observações:

Estamos usando PuTTY neste tutorial para gerar chaves SSH e acessar as VMs, mas sinta-se à vontade para usar qualquer outra ferramenta semelhante à sua escolha.

Isso só será necessário se o acesso SSH for necessário à instância. Neste tutorial, vamos testar apenas fazendo ping da instância.

Instale PuTTY a partir daqui: Faça download de PuTTY.
Abra o Gerador de Chaves PuTTY e clique em Gerar.
Continue passando o cursor do mouse sobre a área em branco até que a geração da chave seja concluída.
Clique em Salvar chave privada. Isso será usado ao acessar a instância.
1. Informe um Nome para o arquivo de chave privada.
2. Clique em Salvar.
Copie a Chave pública e cole-a em um arquivo de texto. Precisamos dela durante a criação da VM.

Tarefa 3.2: Provisionar Instância de Computação `Target-Instance-1`

Clique no menu de hambúrguer (≡) no canto superior esquerdo.
1. Clique em Calcular.
2. Clique em Instâncias.
Clique em Criar instância.
Informe um Nome para a instância.
Mantenha as definições de Imagem e Forma como padrão.
Em Rede principal, especifique as informações a seguir.
1. Selecione a VCN Spoke-VCN-1.
2. Selecione a sub-rede privada.
1. Selecione Designar endereço IPv4 privado manualmente.
2. Digite o IPv4 address privado da instância 10.1.0.30.
1. Cole a chave pública gerada na Tarefa 3.1.
2. Clique em Criar.

Observação: Na etapa anterior, selecione a opção "Sem chaves SSH" se você não estiver planejando acessar a instância.

A instância de computação Target-Instance-1 foi criada com sucesso.
O ambiente atual deve ter esta aparência.

Tarefa 4: Configurar a Rede Virtual na Nuvem do Hub

Tarefa 4.1: Criar uma VCN

Clique no menu de hambúrguer (≡) no canto superior esquerdo.
1. Clique em Rede.
2. Clique em Redes virtuais na nuvem.
Clique em Criar VCN.
1. Digite um Nome para a VCN.
2. Digite 192.168.0.0/16 como Bloco IPv4 CIDR.
3. Clique em Criar VCN.
A VCN Hub-VCN foi criada com sucesso.

Tarefa 4.2: Anexar a VCN ao DRG

Vá para a página Detalhes das Redes Virtuais na Nuvem.
1. Clique em Anexos de Gateways de roteamento dinâmico.
2. Clique em Criar Anexo do DRG.
1. Informe um Nome para o anexo.
2. Selecione Tenancy atual como Local do DRG.
3. Selecione o DRG criado na Tarefa 1.
4. Clique em Criar Anexo do DRG.
A VCN é anexada com sucesso ao DRG.

Tarefa 4.3: Criar um Gateway de Internet

Vá para a página Detalhes das Redes Virtuais na Nuvem.
1. Clique em Gateways de Internet.
2. Clique em Criar Gateway de Internet.
1. Informe um Nome para o gateway de internet.
2. Clique em Criar Gateway de Internet.
O gateway de internet foi criado com sucesso.

Tarefa 4.4: Criar uma Sub-rede Pública

Na página Detalhes das Redes Virtuais na Nuvem, clique em Criar Sub-rede.
1. Digite um Nome para a sub-rede.
2. Selecione Regional.
3. Digite 192.168.0.0/24 como Bloco IPv4 CIDR.
1. Selecione Tabela de Roteamento Padrão em Tabela de Roteamento.
2. Selecione Sub-rede Pública.
1. Selecione Lista de Segurança Padrão em Lista de Segurança.
2. Clique em Criar Sub-rede.
A sub-rede pública foi criada com sucesso.

Tarefa 4.5: Configurar Roteamento e Segurança na Sub-rede

Na página Detalhes das Redes Virtuais na Nuvem, clique na sub-rede pública.
Clique em Tabela de Roteamento, que é uma tabela de roteamento designada.
Certifique-se de adicionar as regras a seguir.
- 0.0.0.0/0 - IGW: Para ter acesso bidirecional à Internet, isso é necessário para acessar o servidor público OpenVPN.
- 10.1.0.0/27 - DRG: Roteie o tráfego destinado a Spoke-Private-Subnet que tem a instância de teste de destino para o DRG.
Quando terminarmos a parte de roteamento da sub-rede Hub-VCN, vamos fazer a segurança agora. Vá para a página Detalhes da Sub-rede e clique na lista de segurança designada.
Certifique-se de permitir o tráfego de entrada relacionado ao Access Server OpenVPN.
- Tráfego TCP de em qualquer lugar (porta 443 e porta 943).
- Tráfego UDP de qualquer lugar (porta 1194).
Certifique-se de permitir todo o tráfego de saída.
O ambiente atual deve ter esta aparência.

Tarefa 5: Provisionar e Configurar o Servidor de Acesso OpenVPN

Tarefa 5.1: Provisão OpenVPN do marketplace

Clique no menu de hambúrguer (≡) no canto superior esquerdo.
1. Clique em Marketplace.
2. Clique em Todos os Aplicativos.
1. Digite OpenVPN na barra de pesquisa.
2. Selecione OpenVPN Access Server BYOL.
1. Observe que com esta imagem você obterá duas conexões simultâneas para GRÁTIS.
2. Selecione versão.
3. Clique em Iniciar Instância.
Informe um Nome para a instância.
Mantenha as definições de Imagem e Forma como padrão.
Em Rede principal, especifique as informações a seguir.
1. Selecione a VCN Hub-VCN.
2. Selecione a sub-rede pública.
1. Selecione Designar endereço IPv4 privado manualmente.
2. Informe 192.168.0.2 como o endereço IPv4 privado da instância.
3. Selecione Designar endereço IPv4 público automaticamente.
1. Cole a chave pública gerada na Tarefa 3.1.
2. Clique em Criar.
A instância de computação OpenVPN foi criada com sucesso.
1. Observe o Endereço IP público da instância.
2. O Nome de Usuário default é ubuntu. No entanto, não o usaremos ao fazer log-in na instância.

Tarefa 5.2: Acessar a VM OpenVPN em PuTTY e Concluir a Configuração Inicial

Abra a Configuração do PuTTY.
1. Clique em Credenciais.
2. Faça upload da chave privada baixada na Tarefa 3.1.
1. Clique em Sessão.
2. Digite as seguintes informações.
  - Nome do Host: Informe o endereço IP público da instância OpenVPN.
  - Tipo de conexão: Selecione SSH.
  - Porta: Digite 22.
3. Clique em Abrir.
Clique em Aceitar.
Informe openvpnas como Nome do Usuário.
1. Informe sim para concordar com os termos.
2. Pressione Enter, pois não pretendemos ter mais de um servidor de acesso.
3. Pressione Enter.
1. Pressione Enter para selecionar o algoritmo padrão (RSA).
2. Pressione Enter para selecionar o tamanho de chave padrão (2048).
3. Pressione Enter para selecionar o algoritmo padrão (RSA).
1. Pressione Enter para selecionar o tamanho de chave padrão (2048).
2. Pressione Enter para selecionar o número de porta padrão (943).
3. Pressione Enter para selecionar o número de porta padrão (443).
4. Pressione Enter para confirmar.
5. Pressione Enter para confirmar.
6. Pressione Enter para confirmar.
1. Pressione Enter para usar openvpn como o nome de usuário padrão ao fazer log-in na IU de Administração.
2. Preencha sua nova Senha e pressione Enter.
3. Preencha a senha novamente e pressione Enter.
4. Pressione Enter.
1. A configuração foi feita.
2. Anote o URL da IU Admin: https://192.168.0.2:943/admin.
3. Anote o URL da IU do Cliente: https://192.168.0.2:943/.
Observação: Usaremos o endereço IP público para acessar a UI Admin em vez do endereço privado mostrado na captura de tela a seguir.

Tarefa 5.3: Configurar Acesso Remoto

Abra uma aba do navegador.
1. Acesse o seguinte URL: https://<publicip>/admin; certifique-se de substituir <publicip> pelo endereço IP público da instância OpenVPN criada.
2. Clique em Avançado.
3. Clique em Continuar.
1. Informe openvpn como Nome do Usuário.
2. Informe a senha.
3. Clique em Acessar.
Clique em Concordar.
Como mencionamos anteriormente, você recebe duas conexões VPN gratuitas ao mesmo tempo.
1. Clique em Configuração.
2. Clique em Definições de Rede.
3. Informe o endereço IP público da instância OpenVPN em Nome do Host ou Endereço IP.
4. Clique em Salvar Definições.
Clique em Atualizar Servidor em Execução.
1. Clique em Configuração.
2. Clique em Definições de VPN.
3. Em Roteamento, adicione a sub-rede privada Spoke-VCN-1 (10.1.0.0/27) que planejamos acessar por meio da VPN.
4. Clique em Salvar Definições.
Clique em Atualizar Servidor em Execução.
Configure seu nome de usuário que você usará ao se conectar à VPN do OpenVPN Client em seu dispositivo.
1. Clique em Gerenciamento de Usuários.
2. Clique em Permissões do Usuário.
3. Informe o novo Nome do Usuário.
4. Selecione Permitir Log-in Automático.
5. Clique em Mais Definições.
6. Informe a Senha.
7. Clique em Salvar Definições.
Clique em Atualizar Servidor em Execução.
O nome de usuário foi criado com sucesso.
Agora todos os componentes são provisionados conforme mostrado na arquitetura e prontos para teste.

Tarefa 6: Testar e Validar

A imagem a seguir mostra o cenário de teste que queremos concluir.

Tarefa 6.1: Instalar o OpenVPN Connect

Faça download do OpenVPN Connect na sua máquina local a partir daqui: OpenVPN Connect for Windows.
1. Execute o arquivo .msi submetido a download.
2. Clique em Próximo.
1. Selecione Aceito os termos do Acordo de Licença.
2. Clique em Próximo.
Clique em Instalar.
Clique em Finalizar.

Tarefa 6.2: Configurar o OpenVPN Connect

Clique em Concordar.
1. Em Digitar Endereço do Servidor ou ID da Nuvem, informe o endereço IP público do servidor OpenVPN como https://<publicip>.
2. Clique em Próximo.
Clique em Aceitar.
Em Importar Perfil, use as informações de perfil fornecidas na Tarefa 5.3.
1. Digite o Nome do Usuário.
2. Informe a Senha.
3. Nome do Perfil é preenchido automaticamente.
4. Selecione Importar perfil de login automático.
5. Selecione Conectar após a importação.
6. Clique em Importar.
1. Você está CONECTADO agora.
2. Observe que você será desconectado da Internet quando conectado por meio da VPN.

Tarefa 6.3: Instância de Ping `Target-Instance-1`

Ping Target-Instance-1 (10.1.0.30). Como você vê, o teste teve êxito.
Desative a VPN quando terminar de testar.
Clique em Confirmar.
Você está DISCONNECTADO agora.
Se você tentar ping novamente, você notará que o ping falha.
Se você verificar os logs da sub-rede spoke, poderá ver o tráfego proveniente de OpenVPN (192.168.0.2) para Target-Instance-1 (10.1.0.30) e a resposta enviada de volta.

Próximas Etapas

Na segunda parte do tutorial Configurar OpenVPN para Acesso Remoto em Várias Regiões no Oracle Cloud Infrastructure, estenderemos a mesma configuração para incluir outra região com a qual estabeleceremos conexão de pareamento remoto. Você usará o mesmo Access Server OpenVPN para estabelecer conexão com recursos na nova região de Recuperação de Desastres após configurar a configuração de rede necessária.

Confirmações

Autor - Anas abdallah (Especialista em Rede em Nuvem)

Mais Recursos de Aprendizagem

Explore outros laboratórios em docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal Oracle Learning YouTube. Além disso, visite education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.

Para obter a documentação do produto, visite o Oracle Help Center.

Título e Informações de Copyright

Set up OpenVPN for Remote Access in a Single Region on Oracle Cloud Infrastructure

G27744-02