VPN Site-to-Site entre VPCs en Nube ARSAT
3 mayo, 2024
Compartir:
Comercial
VPN Site-to-Site entre VPCs en Nube ARSAT

 

Introducción

 

Conectar 2 o más VPCs alojados en la Nube ARSAT puede llevarse a cabo mediante el uso de “Private Gateways” que deben ser configurados mediante la intervención de especialistas en redes de comunicación de ARSAT, dedicando gran cantidad de recursos, así como segmentos de red dedicados, vlans, etc. Sin embargo, también podemos realizar esta interconexión mediante conexiones VPN Site to Site (S2S) de “VPC a VPC” las cuales pueden ser configuradas por el usuario final sin intervención de personal de ARSAT.

En esta publicación de blog, cubriremos cómo configurar conexiones VPN S2S de VPC a VPC en la Nube ARSAT, garantizando que las mismas se mantengan activas y funcionando correctamente.

 

Descripción general de las redes

 

Para poder enrutar el tráfico desde una VM que reside en un VPC a otra VM residente en otro VPC, los rangos de IP utilizados en las dos VPC deben ser únicos y no deben superponerse. Si se utilizaran los mismos rangos de IP, el tráfico de un lado del túnel VPN al otro no se enrutaría a través del túnel en sí, por lo que no se podría establecer la conectividad.

 

Como ejemplo, las dos redes VPC podrían configurarse de la siguiente manera:

 

VPC1:

 

  • Super CIDR: 10.1.0.0/16
  • Subred 1: 10.1.0.0/24 (tier1)
  • Subred 2: 10.1.1.0/24 (tier2)

 

VPC2:

 

  • Super CIDR: 10.2.0.0/16
  • Subred 1: 10.2.0.0/24 (tier1)
  • Subred 2: 10.2.1.0/24 (tier2)

 

Aparte de esto, el túnel VPN de VPC a VPC utilizará la red pública de la Nube ARSAT; por lo tanto, las dos redes del VPC pueden:

 

Estar en la misma infraestructura de la Nube ARSAT, usando el mismo tenant/dominio.
Estar la misma infraestructura de la Nube ARSAT, usando diferentes tenant/dominio.
Estar en infraestructuras de la Nube ARSAT completamente diferentes

En este último caso siempre hay que tener en consideración que pueden existir diferentes versiones del servicio VPN que pueden provocar incompatibilidades para establecer conexiones en algunas circunstancias.

Esquema

Para los fines de este artículo, utilizaremos la siguiente topología de red:

Términos utilizados

VPN Gateway: es el término utilizado para el terminador VPN local. El VPN Gateway se habilita en la dirección IP Pública que funciona como “Source NAT” en el router virtual VPC y permite que el VR local acepte conexiones VPN entrantes.

** VPN Customer Gateway:** es el término para referirse al terminador VPN remoto. Cuando configuramos este elemento, debemos especificar todos los detalles de esta conexión VPN.

Configurando los túneles VPN

En primer lugar, configure las subredes (tiers) del VPC en cada extremo con las listas de ACL que se ajusten a las necesidades de cada VPC.

 

 

Crear VPN Customer Gateway

Navegue hasta el menú “Network” y seleccione “VPN Customer Gateway” y aquí se debe hacer un clic en el botón “Add VPN Customer Gateway”.

 

 

En este ejemplo, asumimos que las máquinas virtuales existentes en el VPC1 que residen en las subredes “Tier 1 (VPC1)” y “Tier 2 (VPC1)” consumirán servicios del VPC2.
Tenga en cuenta que en este caso solo configuramos el nombre del VPN Customer Gateway, la IP Pública del VPC2, la lista CIDR y la clave IPsec pre-compartida; todos los demás campos se dejan como predeterminados.

 

 

Repita este paso para el VPN Customer Gateway en el VPC2, colocando la IP Pública:

 

 

Habilitar VPN Gateway en cada VPC
Para habilitar el servicio VPN Site-to-Site en un VPC hay que dirigirse al menú “Network” – “VPC” y haciendo clic en el nombre del VPC que se desea configurar y luego en el submenú “VPN Gateway” tocamos el botón “Create site-to-site VPN connection” y de esta forma quedan habilitas las conexiones VPN S2S.

 

 

Esto simplemente configurará el “VPN Gateway” local, y no se requerirá ninguna configuración adicional. Las únicas acciones que se pueden realizar contra un “VPN Gateway” es eliminarlo/desactivarlo del VPC.
Repita el paso anterior en el VPC2 para dejar activo el servicio VPN S2S en el otro VPC.

Configurar las conexiones VPN

En primer lugar, se debe configurar la conexión activa. En este ejemplo vamos a realizar la configuración para que la conexión activa sea desde el VPC1 al VPC2.
Dirigirse al menú “Network” – “VPC” y haciendo clic en el nombre del VPC que se desea configurar (VPC1 en este caso) y luego en el submenú “VPN Connection”; tocamos en el botón “Create site-to-site VPN connection” y seleccionamos del menú desplegable la conexión VPN Customer Gateway denominada “VPC2CustGW” creada en pasos anteriores. Como esta conexión la declaramos como la conexión activa, dejamos sin marcar la casilla “pasiva”.

 

 

Una vez que se hayan configurado ambas conexiones VPN, actualice la pantalla con el botón “Refresh” de la UI y asegúrese de que el estado de la conexión VPN sea “conectado”. Si la conexión VPN no aparece automáticamente, simplemente regrese a la conexión activa (de VPC1 a VPC2) y haga clic en el botón “Reset VPN connection”.

¡Listo! Ahora tienes establecido un túnel VPN entre los VPC y las máquinas virtuales en la VPC1 deberían poder conectarse a las máquinas virtuales en la VPC2.