Documentación de Oracle Cloud Infrastructure

Conexión VPN a Google

El servicio VPN de sitio a sitio de Oracle Cloud Infrastructure (OCI) ofrece una conexión IPSec segura entre una red local y una red virtual en la nube (VCN). También puede utilizar la VPN de sitio a sitio para conectar los recursos de OCI a otros proveedores de servicios en la nube.

En este tema se proporciona una configuración de mejores prácticas para un túnel de VPN IPSec entre OCI y Google Cloud Platform (GCP) mediante el servicio de VPN de sitio a sitio de OCI y el servicio de VPN de Google Cloud.

Nota

En este documento se asume que ya ha aprovisionado una VCN y un Gateway de enrutamiento dinámico (DRG), y que también ha configurado todas las Tablas de rutas de VCN y las Listas de seguridad necesarias para este escenario y todos los equivalentes en Google Cloud.

Consideraciones específicas de GCP

Tipo de enrutamiento: este escenario utiliza el protocolo de gateway de borde (BGP) para intercambiar rutas entre GCP y OCI. Se prefiere BGP para la VPN de sitio a sitio siempre que sea posible. Opcionalmente, el enrutamiento estático también se puede utilizar entre GCP y OCI.

Verificación de versión de la VPN de sitio a sitio de OCI

Puede verificar la versión de la VPN de sitio a sitio que utiliza la conexión IPSec en el separador Información de conexión IPSec de una página de conexión IPSec.

Parámetros de IPSec admitidos

Para obtener una lista neutra del proveedor de parámetros IPSec soportados para todas las regiones de OCI, consulte Parámetros IPSec soportados.

Proceso de configuración

GCP: iniciar configuración de VPN
  1. En el portal principal de Google Cloud:
    1. Amplíe el menú principal desde la esquina superior izquierda
    2. Desplácese hacia abajo hasta Hybrid Connectivity
    3. Haga clic en VPN.

  2. En la página siguiente, haga clic en el enlace Create VPN Connection para iniciar el flujo de trabajo y crear una conexión VPN con IPSec.

  3. En VPN Options, seleccione High-availability (HA) VPN y, a continuación, haga clic en el botón Continue situado en la parte inferior.

  4. Cree un gateway de VPN de alta disponibilidad en la nube. Introduzca la siguiente información:

    • Name: asigne un nombre al gateway de VPN.
    • Network: seleccione el VPC al que se conecta la VPN con IPSec.

    • Region: seleccione la región del gateway de VPN

      Cuando haya terminado de configurar el gateway de VPN, haga clic en el botón Create & Continue para continuar.

  5. En la siguiente página se mostrará la IP pública del punto final de VPN de GCP.

    Guarde la IP pública de una de las interfaces y, a continuación, abra la consola de OCI en una ventana independiente y continúe con el proceso de configuración. Vuelva más tarde para completar la configuración de GCP una vez que se ha aprovisionado la conexión IPSec de OCI.

OCI: crear objeto CPE
  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Equipo local de cliente.
  2. Haga clic en Crear equipo local del cliente.

  3. Introduzca los siguientes valores:

    • Crear en compartimento: seleccione el compartimento de la VCN que desee.
    • Nombre: un nombre descriptivo del objeto de CPE. No tiene que ser único y no se puede cambiar posteriormente en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.

      En este ejemplo, se utiliza "TO_GCP" como nombre.

    • Dirección IP: introduzca la dirección IP pública del gateway de VPN de GCP.
    • Proveedor de CPE: seleccione Otro.
  4. Haga clic en Crear CPE.
OCI: crear conexión IPSec
  1. Abra el menú de navegación y haga clic en Redes. En Conexión de cliente, haga clic en VPN de sitio a sitio.
  2. Haga clic en Crear conexión IPSec.

  3. Introduzca los siguientes valores:

    • Crear en compartimiento: déjelo tal cual (el compartimiento de la VCN).
    • Nombre: introduzca un nombre descriptivo para la conexión de IPSec. No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
    • Compartimiento del equipo local del cliente: déjelo tal cual (compartimiento de la VCN).
    • Equipo local de cliente: seleccione el objeto CPE que ha creado antes, denominado TO_GCP.
    • Compartimiento de gateway de enrutamiento dinámico: déjelo tal cual (compartimiento de la VCN).
    • Gateway de enrutamiento dinámico: seleccione el DRG creado anteriormente.
    • CIDR de ruta estática: introduzca una ruta por defecto, 0.0.0.0/0. Dado que BGP se utiliza para el túnel activo, OCI ignora esta ruta. Esta entrada es necesaria para el segundo túnel de la conexión IPSec que, por defecto, utiliza el enrutamiento estático y no se utiliza en este escenario. Si tiene previsto utilizar un enrutamiento estático para esta conexión, introduzca rutas estáticas que representen sus redes virtuales de GCP. Se pueden configurar hasta 10 rutas estáticas para cada conexión IPSec.

    • Asegúrese de que OCI soporte la dirección /30 elegida para las IP de túnel internas. OCI no permite utilizar los siguientes rangos de IP para las IP de túnel internas:

      • 169.254.10.0-169.254.19.255
      • 169.254.100.0-169.254.109.255
      • 169.254.192.0-169.254.201.255

  4. Introduzca los siguientes detalles en el separador Túnel 1 (necesario):

    • Nombre: introduzca un nombre descriptivo para el túnel (por ejemplo, GCP-TUNNEL-1). No tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
    • Proporcionar secreto compartido personalizado: clave compartida previamente que utiliza IPSec para este túnel. Seleccione esta casilla de control si desea utilizar una clave personalizada. Si se deja sin seleccionar, se generará una.
    • Versión de IKE: seleccione IKEv2.
    • Tipo de enrutamiento: seleccione Enrutamiento dinámico de BGP. Seleccione Enrutamiento estático si desea utilizar el enrutamiento estático.
    • ASN de BGP: introduzca el ASN de BGP que utiliza GCP. El ASN de BGP de GCP se configura en pasos posteriores. Este escenario utiliza una ASN de BGP de 65000 para GCP.
    • Interfaz de túnel interna IPv4 - CPE: introduzca la dirección IP de BGP que utiliza GCP. Utilice la notación CIDR completa para esta dirección IP. Esta debe ser una dirección local de enlace. Este escenario utiliza el CIDR 169.254.20.0/30 para las direcciones IP de BGP.
    • Interfaz de túnel interna IPv4 - Oracle: introduzca la dirección IP de BGP que utiliza OCI. Incluya esta dirección IP en notación CIDR. Esta debe ser una dirección local de enlace. Este escenario utiliza el CIDR 169.254.20.0/30 para las direcciones IP de BGP.
  5. Haga clic en Mostrar opciones avanzadas para el túnel y modifique las duraciones de la fase 1 y la fase 2 para que coincidan con el lado de GCP, como se muestra aquí: https://cloud.google.com/network-connectivity/docs/vpn/concepts/supported-ike-ciphers.

    Las duraciones de las fases 1 y 2 serán valores diferentes en el lado de GCP dependiendo de si está utilizando IKEv1 o IKEv2. Serán:

    • Duración de clave de sesión IKE de fase 1 en segundos = 36 000 segundos
    • Duración de clave de sesión IPSec de fase 2 en segundos = 10 800 segundos

    Deje los demás valores por defecto.

  6. Haga clic en Crear conexión IPSec.

    La conexión de IPSec se crea y se muestra en la página. La conexión tendrá el estado Aprovisionando durante un período corto.

OCI: guardar la dirección IP de la VPN de Oracle y el secreto compartido

Una vez aprovisionada la conexión IPSec, guarde la dirección IP de la VPN de sitio a sitio para utilizarla como IP de CPE en el portal de GCP y el secreto compartido para el túnel.

  1. Busque la conexión IPSec en la consola de OCI.

    Seleccione el túnel que desea utilizar como principal. Guarde la dirección IP de la VPN de sitio a sitio de ese túnel. A continuación, haga clic en el nombre de túnel de ese túnel para ir a la vista de túnel.

  2. En el túnel, seleccione el enlace para ver el secreto compartido. Guárdelo. El secreto compartido se utiliza para completar la configuración de la VPN con IPSec en GCP.
GCP: crear un gateway de peer de VPN

  1. Vuelva a la ventana de configuración de VPN de GCP.
  2. En Peer VPN Gateway, seleccione On-prem or Non Google Cloud.
  3. Amplíe la lista Peer VPN gateway name y seleccione Create new VPN peer gateway.
  4. Accederá a la página Add a peer VPN gateway. Introduzca la siguiente información:
  5. Haga clic en el botón Create situado en la parte inferior para continuar. Volverá al flujo de trabajo Create a VPN.
GCP: crear un enrutador en la nube

  1. Amplíe la lista Cloud Router y seleccione Create new router.

  2. Accederá a la página Create a router. Introduzca la siguiente información:

    • Name: asigne un nombre al enrutador en la nube.

    • Google ASN: introduzca el ASN de BGP de Google, que también se utiliza al configurar la conexión IPSec en OCI.

      Deje todas las demás opciones por defecto.

  3. Cuando haya terminado de configurar el enrutador en la nube, haga clic en el botón Create para continuar.

    Volverá al flujo de trabajo Create a VPN.

GCP: completar la configuración del túnel de VPN

Complete la configuración del túnel de VPN. Introduzca la siguiente información:

  • Cloud Router: seleccione el enrutador en la nube configurado en el paso anterior.
  • Associated Cloud VPN gateway IP: debe coincidir con la dirección IP de objeto CPE configurada en OCI.
  • Associated peer VPN Gateway interface: debe coincidir con la dirección IP de VPN de Oracle de su túnel de VPN de OCI. Consulte OCI: guardar la dirección IP de la VPN de Oracle y el secreto compartido.
  • Name: asigne un nombre al túnel de VPN.
  • IKE version: seleccione IKEv2 (recomendado). Si utiliza IKEv1, asegúrese de que IKEv1 también esté configurado para el túnel de VPN en la conexión IPSec en OCI.

  • IKE pre-shared key: debe coincidir con el secreto compartido del túnel de VPN en la conexión IPSec en OCI. Consulte OCI: guardar la dirección IP de la VPN de Oracle y el secreto compartido. Deje todas las demás opciones por defecto.

    Cuando haya terminado de configurar el túnel de VPN, haga clic en Create & Continue.

GCP: configurar sesiones de BGP

Este paso implica la configuración de la sesión de BGP para el túnel de IPSec. Los valores de BGP deben coincidir con el lado de OCI de la configuración configurada en OCI: crear conexión IPSec.

  1. Haga clic en el botón Configure en BGP Session del túnel de VPN.
  2. Accederá a la página Create BGP Session del túnel. Introduzca la siguiente información:
    • Name: asigne un nombre a su sesión de BGP.
    • Peer ASN: introduzca el ASN de BGP. El ASN de BGP de Oracle para la nube comercial es 31898, excepto la región Serbia Central (Jovanovac), que es 14544.
    • Cloud Router BGP IP: debe coincidir con la dirección IP configurada para Interfaz de túnel interna IPv4 - CPE del túnel 1 en OCI: crear conexión IPSec. No utilice la notación CIDR en este campo.
    • BGP peer IP: debe coincidir con la dirección IP configurada para Interfaz de túnel interna IPv4 - Oracle del túnel 1 en OCI: crear conexión IPSec. No utilice la notación CIDR en este campo.

    • BGP peer: seleccione Enabled.

      Deje todas las demás opciones por defecto.

  3. Cuando haya terminado de configurar la sesión de BGP, haga clic en Save & Continue para volver a la página Configure BGP sessions.

  4. Haga clic en el botón Save BGP configuration para continuar.

  5. Accederá a la página Summary and reminder.

    VPN tunnel status y BGP status se mostrarán como "establecidos".

  6. Haga clic en OK en la parte inferior para completar la configuración.
Verificación

Busque la conexión IPSec en OCI y las conexiones de VPN de sitio a sitio en GCP para verificar el estado del túnel.

El túnel de OCI en la conexión IPSec muestra Activo para el estado de IPSec para confirmar un túnel operativo.

El estado de BGP de IPV4 también muestra Activo, lo que indica una sesión de BGP establecida.

Examine sus túneles de VPN en la nube en la consola de GCP. Tanto el estado del túnel de VPN como el estado de la sesión de BGP deben indicar Establecido.

También hay disponible un servicio de supervisión en OCI para supervisar de forma activa y pasiva los recursos en la nube. Para obtener información sobre la supervisión de la VPN de sitio a sitio de OCI, consulte Métricas de VPN de sitio a sitio.

Si tiene alguna incidencia, consulte Solución de problemas de VPN de sitio a sitio.