Portal

Redes Privadas Virtuais (VPN)

Sobre a VPN

VPN (rede privada virtual) é uma ferramenta para criar uma conexão de rede segura através de um canal não seguro (internet). Usando a funcionalidade VPN fornecida, você pode criar um canal criptografado entre duas implantações de nuvem diferentes ou entre a nuvem e uma instalação local, para que, por exemplo, as máquinas em um projeto possam ver as máquinas em outro projeto e vice-versa, com o tráfego seguro.

A VPN é entregue na forma de um aplicativo de mercado, usando a solução IPsec chamada strongswan. O dispositivo inclui interface do usuário para configuração básica e define o roteamento adequado para garantir que o tráfego seja roteado corretamente entre dois sites. Uma vez implantado, o dispositivo criará e manterá a conexão ativa com um lado remoto configurado, para que os clientes nos dois segmentos de rede privados possam se comunicar.

O dispositivo VPN também suporta a conexão com outra implantação do mesmo dispositivo, trabalhando em uma nuvem diferente ou em um projeto diferente (como uma alternativa à conexão com um gateway VPN de terceiros). Dessa forma, você pode interconectar facilmente redes privadas de dois projetos diferentes, mesmo quando estiverem executando em diferentes datacenters.

Observe que, enquanto você cria manualmente a mesma configuração (implantação e configuração de instância com strongswan, atribuição de IP público a essa instância, configuração de rotas no roteador etc.), o aplicativo de mercado permite que você facilite e repita essa configuração.

Configuração da VPN

Para configurar uma nova conexão VPN, faça o seguinte:

Na parte esquerda da tela, vá para a seção "Rede" e clique em "VPN". Quando a janela de descrição do aplicativo aparecer, clique no botão "Iniciar agora" para continuar.

Insira os seguintes parâmetros:

  • Nome da instância. Se você usar vários aplicativos em um único projeto, verifique se cada um deles usa um nome exclusivo.
  • Par de chaves para instalar no dispositivo criado (o mesmo que você faria para uma instância regular).
  • IP público. Selecione o IP na lista de IPs públicos disponíveis; se você ainda não possui um, volte à seção "IPs públicos" para alocar um.
  • Roteador para ensinar sobre suas novas rotas para a rede remota e a Sub-rede para o aplicativo se conectar e obter um IP privado. Observe que a rede da sub-rede selecionada deve estar conectada ao roteador, pois o roteador poderá redirecionar o tráfego da VPN para o endereço IP do aplicativo (que será conectado à rede da sub-rede escolhida).
  • Tipo da instância. Para testes, você pode usar o menor sabor disponível; posteriormente, você pode ajustar o sabor, dependendo dos requisitos de conexão (número de conexões ativas, quantidade de tráfego, criptografia usada etc.).
  • Endereço IP destino e Sub-rede destino. Este é o outro lado do canal VPN que construímos - o endereço IP do dispositivo do outro lado ao qual conectar-se e o CIDR da rede privada remota, para configurar o roteamento de forma adequada. Em um cenário em que você gostaria de conectar duas contas na nuvem, usaria IP público e sub-rede do segundo aplicativo como IP destino e Sub-rede destino do primeiro aplicativo.
  • As configurações da versão do protocolo de Troca de chaves, criptografia IKE e ESP (Encapsulating Security Payload) definem a configuração IPsec, correspondendo à configuração do outro lado (como no arquivo /etc/ipsec.conf ou configuração do dispositivo Cisco). Ao criar uma conexão VPN entre duas nuvens, você pode deixar essas configurações inalteradas nos dois lados.
  • Chave Secreta usada para autenticar os dois lados - verifique se a chave é igual nos dois lados.

Depois de concluído, clique no botão "Iniciar agora". Levará alguns minutos para o dispositivo implantar, configurar e conectar. Depois que o status do aplicativo se tornar "Criado com sucesso", você poderá verificar a conexão efetuando login em uma instância conectada ao roteador especificado acima e tentar executar ping nos hosts do outro lado.

Como medida de depuração / solução de problemas, você também pode fazer login diretamente no dispositivo usando o par de chaves especificado e verificar a conexão com o lado remoto a partir daí.

Estabelecendo conexão VPN site a site entre dois dispositivos VPN

O dispositivo VPN também pode conectar-se a um dispositivo idêntico (com configuração diferente), a fim de criar uma conexão VPN site a site entre dois projetos (executando na mesma nuvem ou em nuvens diferentes).

Neste caso, use a seguinte configuração:

  • O IP público de um site se torna "Endereço IP destino" do outro lado e vice-versa. Para conhecer antecipadamente o IP para a criação do aplicativo no Site A, você pode pré-alocá-lo no Site B, anotá-lo e então usá-lo no Site A como "Endereço IP destino". O IP público que o Site A recebe se torna o "Endereço IP destino" para o Site B.
  • Da mesma forma, a sub-rede do Site A se torna a "Sub-rede destino" do Site B e vice-versa. É assim que os dois lados saberão como direcionar o tráfego entre si.
  • Versão do protocolo Troca de chaves, criptografia IKE, e ESP (Encapsulating Security Payload) definem a configuração IPsec e Chave secreta usada para autenticar os dois lados - verifique se esses campos são idênticos em ambos os lados.

Depois de criar dispositivos VPN nos dois lados, a conexão será estabelecida em alguns minutos. Para verificar se a conexão está ativa, execute ping em uma instância do Site A no Site B (ou vice-versa). Verifique se os grupos de segurança e o firewall do sistema operacional (se existir) estão configurados para permitir a passagem do ping. Para solucionar problemas, você pode usar ferramentas de caminho de rede como traceroute, tracert ou tracepath.