Conexión VPN a Azure

1. En el portal principal de Azure, busque Puerta de enlace de red virtual. Selecciónelo en los resultados de búsqueda.
2. En la página siguiente, haga clic en el botón Crear para crear una nueva Puerta de enlace de red virtual.
3. Accederá a la página Crear puerta de red virtual.
   • Name: asigne un nombre al gateway.
   • Región: seleccione su región de Azure. La región debe ser la misma que la red virtual.
   • Tipo de puerta de enlace: seleccione VPN.
   • Tipo de VPN: seleccione Basada en rutas.
   • SKU y generación: seleccione una SKU de gateway que soporte IKEv2 y cumpla sus requisitos de rendimiento. Para obtener más información sobre los SKU de gateway, consulte la documentación de Azure en VPN Gateways.
   • Virtual network: seleccione la red virtual para su gateway. Esta red virtual también necesita una subred de gateway.
   • Intervalo de direcciones de subred de puerta de enlace: si la red virtual ya tiene un valor GatewaySubnet, selecciónelo. De lo contrario, elija un rango de direcciones no utilizado.
   • Dirección IP pública: el gateway de red virtual necesita una dirección IP pública. Si ya se ha creado una, selecciónela. De lo contrario, seleccione Crear y asigne un nombre a su dirección IP pública.
   • Hable active-active mode: deje esta opción desactivada.
   • Configurar BGP: seleccione Activado. Deje esta opción desactivada si desea utilizar el enrutamiento estático.
   • Número de sistema autónomo (ASN): por defecto, Azure utiliza el ASN 65515 de BGP. Seleccione el valor por defecto.

   • Dirección IP BGP de APIPA de Azure personalizada: seleccione una subred /30 en 169.254.21.0/24 o 169.254.22.0/24. Estas direcciones son sus direcciones IP de BGP para Azure y OCI. Introduzca aquí una de las dos IP disponibles de la opción /30 seleccionada. En este escenario se utiliza 169.254.21.1 para OCI y 169.254.21.2 para Azure.

     Cuando termine de configurar el gateway de red virtual, haga clic en el botón Revisar y crear y, a continuación, en el botón Crear de la página siguiente.

4. Examine el gateway de red virtual recién creado y guarde la dirección IP pública. Se utiliza la dirección IP para crear la conexión IPSec en OCI.

1. Abra el menú de navegación y seleccione Red. En Conectividad de cliente, seleccione Equipo local de cliente.
2. Haga clic en Crear equipo local del cliente.

3. Introduzca los siguientes valores:

   • Crear en compartimento: seleccione el compartimento de la VCN que desee.
   • Nombre: un nombre descriptivo del objeto de CPE. No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.

     En este ejemplo, se utiliza "TO_Azure" como nombre.

   • Dirección IP: introduzca la IP pública del gateway de red virtual de Azure. Puede encontrar esta IP pública en la consola de Azure desplazándose hasta la página de visión general del gateway de red virtual creado en la tarea anterior.
   • Proveedor de CPE: seleccione Otro.
4. Haga clic en Crear CPE.

1. Abra el menú de navegación y seleccione Red. En Conectividad de cliente, seleccione VPN de sitio a sitio.
2. Haga clic en Crear conexión IPSec.

3. Introduzca los siguientes valores:

   • Crear en compartimiento: déjelo tal cual (el compartimiento de la VCN).
   • Nombre: introduzca un nombre descriptivo para la conexión de IPSec. No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
   • Compartimiento del equipo local del cliente: déjelo tal cual (compartimiento de la VCN).
   • Equipo local de cliente: seleccione el objeto CPE que ha creado antes, denominado TO_Azure.
   • Compartimiento de gateway de enrutamiento dinámico: déjelo tal cual (compartimiento de la VCN).
   • Gateway de enrutamiento dinámico: seleccione el DRG creado anteriormente.
   • CIDR de ruta estática: introduzca una ruta por defecto, 0.0.0.0/0. Dado que BGP se utiliza para el túnel activo, OCI ignora esta ruta. Esta entrada es necesaria para el segundo túnel de la conexión IPSec que, por defecto, utiliza el enrutamiento estático y no se utiliza en este escenario. Si tiene previsto utilizar el enrutamiento estático para esta conexión, introduzca rutas estáticas que representen las redes virtuales de Azure. Se pueden configurar hasta 10 rutas estáticas para cada conexión IPSec.

4. Introduzca los siguientes detalles en el separador Túnel 1 (requerido):

   • Nombre: introduzca un nombre descriptivo para el túnel (por ejemplo, Azure-TUNNEL-1). No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
   • Proporcionar secreto compartido personalizado: clave compartida previamente por IPSec para este túnel. Seleccione esta casilla de control si desea utilizar una clave personalizada. Si se deja sin seleccionar, se generará una.
   • Versión de IKE: seleccione IKEv2.
   • Tipo de enrutamiento: seleccione envío dinámico de BGP. Seleccione Envío estático si desea utilizar el enrutamiento estático.
   • ASN de BGP: introduzca el ASN de BGP que utiliza Azure. El ASN de Azure BGP se configura durante el paso 3 de la sección Azure: crear gateway de VPN. En este escenario se utiliza el ASN de BGP de Azure por defecto 65515.
   • IPv4 Interfaz de túnel interna - CPE: dirección IP de BGP que utiliza Azure. Utilice la notación CIDR completa para esta dirección IP. La dirección IP BGP de Azure se configura durante el paso 3 de la sección Azure: crear gateway de VPN.
   • IPv4 Interfaz de túnel interna - Oracle: dirección IP de BGP que utiliza OCI. Utilice la notación CIDR completa para esta dirección IP. Esta dirección IP es la otra dirección IP utilizable que queda de la opción /30 seleccionada.
5. Haga clic en Mostrar opciones avanzadas y amplíe Configuración de la segunda fase (IPSec). Seleccione un grupo Diffie-Hellman de confidencialidad directa perfecta. Seleccione GROUP2, GROUP14 o GROUP24.

6. Haga clic en Crear conexión IPSec.

   La conexión de IPSec se crea y se muestra en la página. La conexión tendrá el estado Aprovisionando durante un período corto.

Por defecto, la VPN de sitio a sitio de OCI utiliza el grupo PFS 5 para todos los túneles de VPN IPSec. Para IKEv2, Azure envía propuestas con los grupos de PFS 1, 2, 14 y 24.

Puede utilizar la consola de OCI para definir la política IPSec de fase 2 de un túnel para utilizar un valor de grupo de PFS personalizado de 2, 14 o 24. OCI no soporta el grupo de PFS 1.

Una vez aprovisionada la conexión IPSec, guarde la dirección IP de la VPN de sitio a sitio para utilizarla como IP de CPE en el portal de Azure y el secreto compartido para el túnel.

1. Busque la conexión IPSec en la consola de OCI.

   Seleccione el túnel que desea utilizar como principal. Guardar la dirección IP de la VPN de sitio a sitio de ese túnel. A continuación, haga clic en el nombre de túnel de ese túnel para ir a la vista de túnel.

2. En el túnel, seleccione el enlace para ver el secreto compartido. Guárdelo. El secreto compartido se utiliza para completar la configuración de VPN con IPSec en Azure.

1. En el portal principal de Azure, busque Puerta de enlace de red local. Selecciónelo en los resultados de búsqueda.

2. En la página siguiente, haga clic en el botón Crear para crear un gateway de red local.

3. Accederá a la página Crear puerta de enlace de red local. Introduzca la siguiente información:

   • Región: seleccione su región de Azure. La región debe ser la misma que la red virtual y el gateway de red virtual.
   • Nombre: asigne un nombre al gateway de red local.
   • Dirección IP: introduzca la dirección IP VPN de OCI guardada para el túnel 1.
   • Espacio de dirección: déjelo en blanco si está utilizando la entrada de enrutamiento estático de los CIDR de sus redes virtuales en la nube de OCI.
   • Configurar valores de BGP: seleccione esta casilla de control. Si utiliza el enrutamiento estático, deje la opción desactivada.
   • Número de sistema autónomo (ASN): introduzca el ASN de BGP de OCI. El ASN de BGP de Oracle para la nube comercial es 31898, excepto la región Serbia Central (Jovanovac), que es 14544.
   • Dirección IP del peer de BGP: dirección IP de BGP de OCI. La misma dirección IP utilizada para IPV4 Interfaz de túnel interna - Oracle en el paso 4 de OCI - Crear conexión IPSec.

1. Busque el gateway de red virtual creado anteriormente. En el menú de la izquierda, haga clic en Conexiones y, a continuación, en el botón Agregar para agregar una conexión.

2. Accederá a la página Agregar conexión. Introduzca la siguiente información:

   • Name: proporcione un nombre a la conexión.
   • Tipo de conexión: seleccione De sitio a sitio (IPsec)
   • Puerta de enlace de red local: seleccione el gateway de red local creado anteriormente.
   • clave compartida (PSK): introduzca el secreto compartido del túnel de OCI. Consulte OCI: guardar la dirección IP de la VPN de sitio a sitio y el secreto compartido si necesita identificar dónde se encuentra la clave compartida en la consola de OCI.
   • Activar BGP: seleccione esta casilla de control. Déjela sin seleccionar si utiliza un enrutamiento estático.

   • Protocolo IKE: seleccione IKEv2

     Deje todas las demás opciones por defecto. Cuando finalice la configuración de la conexión VPN, haga clic en el botón Aceptar situado al final de la página.

     Tras un par de minutos, Azure completará el aprovisionamiento de la nueva conexión VPN y aparecerá la VPN IPSec entre Azure y OCI.

Busque la conexión IPSec en OCI y la conexión Gateway de red virtual en Azure para verificar el estado del túnel.

El túnel de OCI en la conexión IPSec muestra Activo para el estado IPSec para confirmar un túnel operativo.

El estado de BGP de IPV4 también muestra Activo, que indica una sesión de BGP establecida.

El estado de la conexión en Gateway de red virtual para este túnel muestra Conectado para confirmar un túnel operativo.

También hay disponible un servicio de supervisión en OCI para supervisar de forma activa y pasiva los recursos en la nube. Para obtener información sobre la supervisión de la VPN de sitio a sitio de OCI, consulte Métricas de VPN de sitio a sitio .

Si tiene alguna incidencia, consulte Solución de problemas de VPN de sitio a sitio.