Conexión VPN a AWS

El primer paso del proceso de configuración es crear un gateway de cliente temporal. Este gateway de cliente temporal se utiliza para aprovisionar inicialmente la VPN de sitio a sitio de AWS, mostrando el punto final de VPN de AWS para el túnel. OCI requiere la IP pública del peer de VPN remoto para poder crear una conexión IPSec. Una vez completado este proceso, se configura un nuevo gateway de cliente que representa la IP pública del punto final de VPN de OCI real.

1. En el portal principal de AWS, amplíe el menú Services situado en la parte superior izquierda de la pantalla. Desplácese hasta VPC en Networking & Content Delivery.
2. En el menú de la izquierda, desplácese hacia abajo y haga clic en Customer Gateways en Virtual Private Network (VPN).
3. Haga clic en Create Customer Gateway para crear un gateway de cliente.

4. Accederá a la página Create Customer Gateway. Introduzca la siguiente información:

   • Name: asigne a este gateway de cliente un nombre obviamente temporal. En este ejemplo, se utiliza el nombre TempGateway.
   • Routing: seleccione Dynamic.
   • BGP ASN: introduzca el ASN de BGP de OCI. El ASN de BGP de Oracle para la nube comercial es 31898, excepto la región Serbia Central (Jovanovac), que es 14544.

   • IP Address: utilice cualquier dirección IPv4 válida para el gateway temporal. En este ejemplo se utiliza 1.1.1.1.

     Cuando haya terminado de configurar el gateway de cliente temporal, haga clic en Create Customer Gateway para completar el aprovisionamiento.

1. En el menú de la izquierda de AWS, desplácese hacia abajo y haga clic en Virtual Private Gateways en Virtual Private Network (VPN).

2. Haga clic en el botón Create Virtual Private Gateway para crear un nuevo gateway privado virtual.

3. Accederá a la página Create Virtual Private Gateway. Introduzca la siguiente información:

   • Name: asigne un nombre al gateway privado virtual (VPG).

   • ASN: seleccione Amazon default ASN.

     Cuando haya terminado de configurar el gateway privado virtual, haga clic en el botón Create Virtual Private Gateway para completar el aprovisionamiento.

4. Una vez creado el VPG, debe asociarlo al VPC que desee.

   Mientras esté en la página Virtual Private Gateway, asegúrese de que su VPG esté seleccionado, haga clic en el menú Actions () y, a continuación, en Asociación a VPC.

5. Accederá a la página Attach to VPC del gateway privado virtual seleccionado.

   Seleccione su VPC en la lista y, a continuación, haga clic en el botón Yes, Attach para completar la asociación del VPG a su VPC.

1. En el menú de la izquierda, desplácese hacia abajo y haga clic en Site-to-Site VPN Connections en Virtual Private Network (VPN).
2. Haga clic en Create VPN Connection para crear un nuevo gateway privado virtual.
3. Accederá a la página Create VPN Connection. Introduzca la siguiente información:
   • Name tag: asigne un nombre a su conexión VPN.
   • Target Gateway Type: seleccione Virtual Private Gateway y, a continuación, seleccione el gateway privado virtual creado anteriormente en la lista.
   • Customer Gateway: seleccione Existing y, a continuación, seleccione el gateway de cliente temporal en la lista.
   • Routing Options: seleccione Dynamic (requires BGP).
   • Tunnel inside Ip Version: seleccione IPv4.

   • Local/Remote IPv4 Network Cidr: deje ambos campos en blanco y cree una VPN con IPSec basada en cualquier ruta.

     Vaya al paso siguiente. NO haga clic en el botón Create VPN Connection aún.

4. Mientras sigue en la página Create VPN Connection, desplácese hacia abajo hasta Tunnel Options.

   Seleccione un CIDR /30 dentro del rango local de enlaces 169.254.0.0/16. Introduzca el CIDR completo en el campo Inside IPv4 CIDR for Tunnel 1.

   Asegúrese de que OCI soporte la dirección /30 elegida para las IP de túnel internas. OCI no permite utilizar los siguientes rangos de IP para las IP de túnel internas:

   • 169.254.10.0-169.254.19.255
   • 169.254.100.0-169.254.109.255
   • 169.254.192.0-169.254.201.255

   Vaya al paso siguiente. NO haga clic en el botón Create VPN Connection aún.

5. En Advanced Options for Tunnel 1, haga clic en el botón de radio de Edit Tunnel 1 Options. Se ampliará un juego adicional de opciones.

   Si desea ser restrictivo con los algoritmos de criptografía utilizados para este túnel, configure aquí las opciones de fase 1 y fase 2 deseadas. Oracle recomienda utilizar IKEv2 para esta conexión. Desactive la casilla de control IKEv1 para evitar que se utilice IKEv1. Para consultar las opciones de fase 1 y fase 2 que soporta OCI, consulte Parámetros IPSec soportados.

   Cuando haya terminado de configurar todas las opciones deseadas, haga clic en el botón Create VPN Connection en la parte inferior para terminar el aprovisionamiento de la conexión VPN.

Mientras se aprovisiona su conexión VPN, descargue la configuración de toda la información de túnel. Este archivo de texto es necesario para completar la configuración del túnel en la consola de OCI.

1. Asegúrese de que la conexión VPN esté seleccionada y, a continuación, haga clic en el botón Download Configuration.
2. Seleccione el valor "Genérico" de Vendor y Platform y, a continuación, haga clic en el botón Download para guardar una copia de texto de la configuración en el disco duro local.
3. Abra el archivo de configuración descargado en el editor de texto que desee.

   Consulte IPSec Tunnel #1, sección #1 Internet Key Exchange Configuration. Aquí encontrará la clave compartida previamente generada de forma automática para el túnel. Guarde este valor.

   AWS puede generar una clave compartida previamente con los caracteres de punto o guion bajo (. o _). OCI no soporta el uso de esos caracteres en una clave compartida previamente. Es necesario cambiar una clave que incluya estos valores. Para cambiar la clave compartida previamente en AWS para un túnel, seleccione la conexión VPN, haga clic en el menú Actions () y, a continuación, en Modify VPN Tunnel Options.

4. Mientras se encuentra en Tunnel 1 en la configuración descargada, desplácese hacia abajo hasta la sección #3 Tunnel Interface Configuration.

   Anote los siguientes valores para completar la configuración de la VPN de sitio a sitio en OCI:

   • Dirección IP externa del gateway privado virtual
   • IP interna del gateway de cliente
   • IP interna del gateway privado virtual
   • ASN de BGP del gateway privado virtual. El valor de ASN por defecto 64512.

1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Equipo local de cliente.
2. Haga clic en Crear equipo local del cliente.

3. Introduzca los siguientes valores:

   • Crear en compartimento: seleccione el compartimento de la VCN que desee.
   • Nombre: un nombre descriptivo del objeto de CPE. No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.

     En este ejemplo se utiliza "TO_AWS" como nombre.

   • Dirección IP: introduzca la dirección IP externa del gateway privado virtual que se muestra en la configuración descargada desde AWS.
   • Proveedor de CPE: seleccione Otro.
4. Haga clic en Crear CPE.

1. Abra el menú de navegación y haga clic en Redes. En Conexión de cliente, haga clic en VPN de sitio a sitio.
2. Haga clic en Crear conexión IPSec.

3. Introduzca los siguientes valores:

   • Crear en compartimiento: déjelo tal cual (el compartimiento de la VCN).
   • Nombre: introduzca un nombre descriptivo para la conexión IPSec (ejemplo: OCI-AWS-1). No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
   • Compartimiento del equipo local del cliente: déjelo tal cual (compartimiento de la VCN).
   • Equipo local de cliente: seleccione el objeto CPE que ha creado antes, denominado TO_AWS.
   • Compartimiento de gateway de enrutamiento dinámico: déjelo tal cual (compartimiento de la VCN).
   • Gateway de enrutamiento dinámico: seleccione el DRG creado anteriormente.
   • CIDR de ruta estática: introduzca una ruta por defecto, 0.0.0.0/0. Dado que el túnel activo utiliza BGP, OCI ignora esta ruta. Se necesita una entrada para el segundo túnel de la conexión IPSec, que utiliza por defecto el enrutamiento estático, pero la dirección no se utiliza en este escenario. Si tiene previsto utilizar un enrutamiento estático para esta conexión, introduzca rutas estáticas que representen las redes virtuales de AWS. Se pueden configurar hasta 10 rutas estáticas para cada conexión IPSec.

4. Introduzca los siguientes detalles en el separador Túnel 1 (necesario):

   • Nombre: introduzca un nombre descriptivo para el túnel (por ejemplo, AWS-TUNNEL-1). No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
   • Proporcionar secreto compartido personalizado: introduzca la clave compartida previamente que utiliza IPSec para este túnel. Seleccione esta casilla de control e introduzca la clave compartida previamente desde el archivo de configuración de VPN de AWS.
   • Versión de IKE: seleccione IKEv2.
   • Tipo de enrutamiento: seleccione Enrutamiento dinámico de BGP.
   • ASN de BGP: introduzca el ASN de BGP utilizado por AWS tal y como se ha encontrado en el archivo de configuración de VPN de AWS. El ASN de BGP de AWS por defecto es 64512.
   • IPv4 Interfaz de túnel interna - CPE: introduzca la dirección IP interna del gateway privado virtual en el archivo de configuración de VPN de AWS. Utilice la notación CIDR completa para esta dirección IP.
   • Interfaz de túnel interna IPv4 - Oracle: introduzca la dirección IP interna que utiliza OCI. En referencia al archivo de configuración de VPN de AWS, introduzca la dirección IP interna del gateway de cliente. Utilice la notación CIDR completa para esta dirección IP.

5. Haga clic en Crear conexión IPSec.

   Se creará la conexión IPSec y se mostrará en la página. La conexión tendrá el estado Aprovisionando durante un período corto.

6. Una vez aprovisionada la conexión IPSec, anote la Dirección IP de VPN de Oracle del túnel. Esta dirección se utilizará para crear un nuevo gateway de cliente en el portal de AWS.
   1. Abra el menú de navegación y haga clic en Redes. En Conexión de cliente, haga clic en VPN de sitio a sitio.

      Se muestra una lista de las conexiones de IPSec en el compartimiento que esté viendo. Si no encuentra el que está buscando, verifique que está visualizando el compartimento correcto (selecciónelo en la lista en la parte izquierda de la página).

   2. Haga clic en la conexión IPSec que le interese (ejemplo: OCI-AWS-1).
   3. Busque la Dirección IP de VPN de Oracle de AWS-TUNNEL-1.

En la consola de AWS, vaya a Customer Gateways y cree un gateway de cliente con los siguientes detalles:

• Name: asigne un nombre a este gateway de cliente.
• Routing: seleccione Dynamic.
• BGP ASN: introduzca el ASN de BGP de OCI. El ASN de BGP de Oracle para la nube comercial es 31898, excepto la región Serbia Central (Jovanovac), que es 14544.

• IP Address: introduzca la dirección IP de la VPN de Oracle para el túnel 1. Utilice la IP guardada en la tarea anterior.

  Haga clic en Create Customer Gateway para completar el aprovisionamiento.

Esta tarea sustituye el gateway de cliente temporal por uno que utiliza la dirección IP de la VPN de OCI.

1. Busque Site-to-Site VPN Connections en la consola de AWS y seleccione su conexión VPN.

2. Haga clic en el menú Actions () y, a continuación, en Modify VPN Connection.

3. Accederá a la página Modify VPN Connection. Introduzca la siguiente información:

   • Target Type: seleccione Customer Gateway en la lista.

   • Target Customer Gateway ID: seleccione el nuevo gateway de cliente con la dirección IP de VPN de OCI en la lista.

     Haga clic en el botón Save para guardar la configuración cuando haya terminado.

     Tras unos minutos, AWS completará el aprovisionamiento de la conexión VPN y aparecerá la VPN con IPSec entre AWS y OCI.

4. En este punto, puede suprimir el gateway de cliente temporal.

Busque su conexión IPSec en OCI y las conexiones de VPN de sitio a sitio en AWS para verificar el estado del túnel.

• El túnel de OCI en la conexión IPSec muestra Activo para el estado de IPSec para confirmar un túnel operativo.
• El estado de BGP de IPv4 también muestra Activo, que indica una sesión de BGP establecida.
• El estado del túnel en el separador Detalles del túnel de su conexión VPN de sitio a sitio en AWS muestra Activo.

También hay disponible un servicio de supervisión en OCI para supervisar de forma activa y pasiva los recursos en la nube. Para obtener información sobre la supervisión de la VPN de sitio a sitio de OCI, consulte Métricas de VPN de sitio a sitio.

Si tiene alguna incidencia, consulte Solución de problemas de VPN de sitio a sitio.