Documentación de Oracle Cloud Infrastructure

Conexión VPN a Azure

El servicio VPN de sitio a sitio de Oracle Cloud Infrastructure (OCI) ofrece una conexión IPSec segura entre la red local y una red virtual en la nube (VCN). También puede utilizar la VPN de sitio a sitio para conectar los recursos de OCI a otros proveedores de servicios en la nube.

En este tema se proporciona una configuración de mejores prácticas para un túnel de VPN IPSec entre OCI y Microsoft Azure mediante el servicio de VPN de sitio a sitio de OCI y el servicio de VPN IPSec de Azure.

Nota

En este documento se asume que ya ha aprovisionado una Red virtual en la nube (VCN) y un Gateway de enrutamiento dinámico (DRG), así como todas las Tablas de rutas de VCN y las Listas de seguridad necesarias para este escenario y todos los equivalentes en Azure.

Consideraciones específicas de Microsoft Azure

Versión IKE: una conexión VPN con IPSec entre OCI y Microsoft Azure debe utilizar IKE versión 2 para la interoperabilidad.

Tipo de enrutamiento: este escenario utiliza el protocolo de gateway de borde (BGP) para intercambiar rutas entre Azure y OCI. Se prefiere BGP para la VPN de sitio a sitio siempre que sea posible. Opcionalmente, también se puede utilizar el enrutamiento estático entre Azure y OCI.

Confidencialidad directa perfecta: con confidencialidad directa perfecta (PFS) se generan nuevas claves Diffie-Hellman en la fase 2, y la fase 2 genera nuevas claves en lugar de utilizar la misma clave generada durante la fase 1. Ambos peers de VPN deben coincidir con el valor de grupo de PFS seleccionado para la fase 2. Por defecto, Azure (grupos 1, 2, 14 y 24 solo para IKEv2) y OCI (grupo 5) tienen una discrepancia de PFS. El grupo de PFS del lado de OCI se puede modificar para que coincida con su CPE.

Verificación de versión de la VPN de sitio a sitio de OCI

Puede verificar la versión de la VPN de sitio a sitio que utiliza la conexión IPSec en el separador IPSec Información de conexión de la página de conexión IPSec.

Parámetros de IPSec admitidos

Para obtener una lista neutra del proveedor de parámetros IPSec soportados para todas las regiones de OCI, consulte Parámetros IPSec soportados.

Proceso de configuración

Azure: crear gateway de VPN
  1. En el portal principal de Azure, busque Puerta de enlace de red virtual. Selecciónelo en los resultados de búsqueda.
  2. En la página siguiente, haga clic en el botón Crear para crear una nueva Puerta de enlace de red virtual.
  3. Accederá a la página Crear puerta de enlace de red virtual.
    • Nombre: asigne un nombre a la puerta de enlace.
    • Región: seleccione su región de Azure. La región debe ser la misma que la red virtual.
    • Tipo de puerta de enlace: seleccione VPN.
    • Tipo de VPN: seleccione Basada en rutas.
    • SKU y Generación: seleccione una SKU de gateway que soporte IKEv2 y cumpla sus requisitos de rendimiento. Para obtener más información sobre los SKU de gateway, consulte la documentación de Azure en VPN Gateways.
    • Red virtual: seleccione la red virtual para su gateway. Esta red virtual también necesita una subred de gateway.
    • Intervalo de direcciones de subred de puerta de enlace: si la red virtual ya tiene un valor GatewaySubnet, selecciónelo. De lo contrario, elija un rango de direcciones no utilizado.
    • Dirección IP pública: el gateway de red virtual necesita una dirección IP pública. Si ya se ha creado una, selecciónela. De lo contrario, seleccione Crear y asigne un nombre a su dirección IP pública.
    • Habilitar el modo activo/activo: deje esta opción desactivada.
    • Configurar BGP: seleccione Activado. Deje esta opción desactivada si desea utilizar el enrutamiento estático.
    • Número de sistema autónomo (ASN): por defecto, Azure utiliza el ASN 65515 de BGP. Seleccione el valor por defecto.

    • Custom Azure APIPA BGP IP address (Dirección IP de BGP APIPA personalizada de Azure): seleccione una subred /30: 169.254.21.0/24 o 169.254.22.0/24. Estas direcciones son sus direcciones IP de BGP para Azure y OCI. Introduzca aquí una de las dos IP disponibles de la opción /30 seleccionada. En este escenario se utiliza 169.254.21.1 para OCI y 169.254.21.2 para Azure.

      Cuando haya terminado de configurar el gateway de red virtual, haga clic en el botón Revisar y crear y, a continuación, en el botón Crear de la página siguiente.

  4. Examine el gateway de red virtual recién creado y guarde la dirección IP pública. La dirección IP se utiliza para crear la conexión IPSec en OCI.
OCI: crear objeto CPE
  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Equipo local de cliente.
  2. Haga clic en Crear equipo local del cliente.

  3. Introduzca los siguientes valores:

    • Crear en compartimento: seleccione el compartimento de la VCN que desee.
    • Nombre: un nombre descriptivo del objeto de CPE. No tiene que ser único y no se puede cambiar posteriormente en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.

      En este ejemplo, se utiliza "TO_Azure" como nombre.

    • Dirección IP: introduzca la IP pública del gateway de red virtual de Azure. Puede encontrar esta IP pública en la consola de Azure desplazándose hasta la página de visión general del gateway de red virtual creado en la tarea anterior.
    • Proveedor de CPE: seleccione Otro.
  4. Haga clic en Crear CPE.
OCI: crear conexión IPSec
  1. Abra el menú de navegación y haga clic en Redes. En Conexión de cliente, haga clic en VPN de sitio a sitio.
  2. Haga clic en Crear conexión IPSec.

  3. Introduzca los siguientes valores:

    • Crear en compartimiento: déjelo tal cual (el compartimiento de la VCN).
    • Nombre: introduzca un nombre descriptivo para la conexión de IPSec. No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
    • Compartimiento del equipo local del cliente: déjelo tal cual (compartimiento de la VCN).
    • Equipo local de cliente: seleccione el objeto CPE que ha creado antes, denominado TO_Azure.
    • Compartimiento de gateway de enrutamiento dinámico: déjelo tal cual (compartimiento de la VCN).
    • Gateway de enrutamiento dinámico: seleccione el DRG creado anteriormente.
    • CIDR de ruta estática: introduzca una ruta por defecto, 0.0.0.0/0. Dado que BGP se utiliza para el túnel activo, OCI ignora esta ruta. Esta entrada es necesaria para el segundo túnel de la conexión IPSec que, por defecto, utiliza el enrutamiento estático y no se utiliza en este escenario. Si tiene previsto utilizar el enrutamiento estático para esta conexión, introduzca rutas estáticas que representen las redes virtuales de Azure. Se pueden configurar hasta 10 rutas estáticas para cada conexión IPSec.

  4. Introduzca los siguientes detalles en el separador Túnel 1 (necesario):

    • Nombre: introduzca un nombre descriptivo para el túnel (por ejemplo: Azure-TUNNEL-1). No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
    • Proporcionar secreto compartido personalizado: clave compartida previamente que utiliza IPSec para este túnel. Seleccione esta casilla de control si desea utilizar una clave personalizada. Si se deja sin seleccionar, se generará una.
    • Versión de IKE: seleccione IKEv2.
    • Tipo de enrutamiento: seleccione Enrutamiento dinámico de BGP. Seleccione Enrutamiento estático si desea utilizar el enrutamiento estático.
    • ASN de BGP: introduzca el ASN de BGP que utiliza Azure. El ASN de BGP de Azure se configura durante el paso 3 de la sección Azure: crear gateway de VPN. En este escenario se utiliza el ASN de BGP de Azure por defecto 65515.
    • Interfaz de túnel interna IPv4 - CPE: dirección IP de BGP que utiliza Azure. Utilice la notación CIDR completa para esta dirección IP. La dirección IP BGP de Azure se configura durante el paso 3 de la sección Azure: crear gateway de VPN.
    • Interfaz de túnel interna IPv4 - Oracle: dirección IP de BGP que utiliza OCI. Utilice la notación CIDR completa para esta dirección IP. Esta dirección IP es la otra dirección IP utilizable que queda de la opción /30 seleccionada.
  5. Haga clic en Mostrar opciones avanzadas y amplíe Configuración de segunda fase (IPSec). Seleccione un grupo Diffie-Hellman de confidencialidad directa perfecta. Seleccione GROUP2, GROUP14 o GROUP24.

  6. Haga clic en Crear conexión IPSec.

    La conexión de IPSec se crea y se muestra en la página. La conexión tendrá el estado Aprovisionando durante un período corto.

OCI - Cambiar PFS

Por defecto, la VPN de sitio a sitio de OCI utiliza el grupo PFS 5 para todos los túneles de VPN con IPSec. Para IKEv2, Azure envía propuestas con los grupos de PFS 1, 2, 14 y 24.

Puede utilizar la consola de OCI para definir la política IPSec de fase 2 de un túnel para utilizar un valor de grupo de PFS personalizado de 2, 14 o 24. OCI no soporta el grupo de PFS 1.

OCI: guardar la dirección IP de la VPN de sitio a sitio y el secreto compartido

Una vez aprovisionada la conexión IPSec, guarde la dirección IP de la VPN de sitio a sitio para utilizarla como IP de CPE en el portal de Azure y el secreto compartido para el túnel.

  1. Busque la conexión IPSec en la consola de OCI.

    Seleccione el túnel que desea utilizar como principal. Guarde la dirección IP de la VPN de sitio a sitio de ese túnel. A continuación, haga clic en el nombre de túnel de ese túnel para ir a la vista de túnel.

  2. En el túnel, seleccione el enlace para ver el secreto compartido. Guárdelo. El secreto compartido se utiliza para completar la configuración de VPN con IPSec en Azure.
Azure: crear gateway de red local

  1. En el portal principal de Azure, busque Puerta de enlace de red local. Selecciónelo en los resultados de búsqueda.

  2. En la página siguiente, haga clic en el botón Crear para crear un gateway de red local.

  3. Accederá a la página Crear puerta de enlace de red local. Introduzca la siguiente información:

    • Región: seleccione su región de Azure. La región debe ser la misma que la red virtual y el gateway de red virtual.
    • Nombre: asigne un nombre al gateway de red local.
    • Dirección IP: introduzca la dirección IP de VPN de OCI guardada para el túnel 1.
    • Espacio de direcciones: déjelo en blanco si utiliza la entrada de enrutamiento estático de los CIDR de las VCN de OCI.
    • Configurar valores de BGP: seleccione esta casilla de control. Si utiliza el enrutamiento estático, deje la opción desactivada.
    • Número de sistema autónomo (ASN): introduzca el ASN de BGP de OCI. El ASN de BGP de Oracle para la nube comercial es 31898, excepto la región Serbia Central (Jovanovac), que es 14544.
    • Dirección IP del par BGP: dirección IP de BGP de OCI. La misma dirección IP utilizada para Interfaz de túnel interna IPv4 - Oracle en el paso 4 de OCI: crear conexión IPSec.
Azure: crear una conexión VPN

  1. Busque el gateway de red virtual creado anteriormente. En el menú de la izquierda, haga clic en Conexiones y, a continuación, en el botón Agregar para agregar una conexión.

  2. Accederá a la página Agregar conexión. Introduzca la siguiente información:

    • Nombre: proporcione un nombre a la conexión.
    • Tipo de conexión: seleccione De sitio a sitio (IPsec)
    • Puerta de enlace de red local: seleccione el gateway de red local creado anteriormente.
    • Clave compartida (PSK): introduzca el secreto compartido del túnel de OCI. Consulte OCI: guardar la dirección IP de la VPN de sitio a sitio y el secreto compartido si necesita identificar dónde se encuentra la clave compartida en la consola de OCI.
    • Activar BGP: seleccione esta casilla de control. Déjela sin seleccionar si utiliza un enrutamiento estático.

    • Protocolo IKE: seleccione IKEv2

      Deje todas las demás opciones por defecto. Cuando haya terminado de configurar la conexión VPN, haga clic en el botón Aceptar situado en la parte inferior de la página.

      Tras unos minutos, Azure completará el aprovisionamiento de la nueva conexión VPN y aparecerá la VPN con IPSec entre Azure y OCI.

Verificación

Busque la conexión IPSec en OCI y la conexión Puerta de enlace de red virtual en Azure para verificar el estado del túnel.

El túnel de OCI en la conexión IPSec muestra Activo para el estado de IPSec para confirmar un túnel operativo.

El estado de BGP de IPV4 también muestra Activo, lo que indica una sesión de BGP establecida.

El estado de la conexión en Puerta de enlace de red virtual para este túnel muestra Conectado para confirmar un túnel operativo.

También hay disponible un servicio de supervisión en OCI para supervisar de forma activa y pasiva los recursos en la nube. Para obtener información sobre la supervisión de la VPN de sitio a sitio de OCI, consulte Métricas de VPN de sitio a sitio.

Si tiene alguna incidencia, consulte Solución de problemas de VPN de sitio a sitio.