oracle
Cloud
oraclecloud

Oracle Cloud VPNaaS Classic 相互接続

Oracle Cloud VPN as a Service(VPNaaS)は顧客データセンターとOracle Cloud間のVPN接続するためのサービスです。
異なるOracle Cloud Region間VPNaaS同士接続できるかどうかを検証してみました。無事に接続できました。

構成

 今回uscom-central-1(以下US2に略)と US006_Z61(以下US6に略)間下記の構成のVPNを構築してみました。
image.png

構築手順

US6側の作業

IPネットワーク 作成 (US6)

image.png

名前 NET_VPN_US006_TEST
IPアドレス接頭辞 192.168.106.0/24

仮想NICセット作成 (US6)

image.png

名前 NIC_VPN_TEST

アクセス制御リスト作成 (US6)

image.png

名前 ACL_VPN_TEST
ステータス 有効

セキュリティ・プロトコル 作成 (US6)

image.png

名前 ipsec
IPプロトコル UDP
宛先ポート・セット 500, 4500

セキュリティ・ルール 作成 (US6)

image.png

名前 SS_VPN_TEST
ステータス 有効
タイプ 受信
アクセス制御リスト ACL_VPN_TEST
セキュリティ・プロトコル ipsec
ソースvNICset 未設定
宛先vNICset NIC_VPN_TEST

vNICsetにアクセス制御リストを追加 (US6)

image.png

対象vNICset NIC_VPN_TEST
追加するアクセス制御リスト ACL_VPN_TEST

VPN接続を作成 (US6)

image.png

名前 VPN_006_TO_002
IPネットワーク NET_VPN_US006_TEST(192.168.106.0/24)
vNICset NIC_VPN_TEST
カスタマ・ゲートウェイ 一旦dummyのIPを入力。対向側のVPN 設定終わりましたら、正しいIPに変更
dummyのIPなので、存在しないプライベートIPアドレスでも構わない。
例:192.168.50.50
顧客が到達可能なルート 192.168.102.0/24
事前共有鍵 ********
フェーズ1 IKE提案の指定 (IKE暗号化、ハッシュ、DHグループおよび存続期間)
※IKE関連各種設定ディフォルトまま
フェーズ2 ESP提案の指定 (ESP暗号化、ハッシュおよび存続期間)
※ESP関連各種設定ディフォルトまま
前方秘匿性が必須

しばらくしたら下記のように VPN Gateway にPublic IP 割り当てられる。そのPublic IPをメモして、US2の設定を行う

image.png

US2側の作業

IPネットワーク 作成 (US2)

image.png

名前 NET_VPN_US002_TEST
IPアドレス接頭辞 192.168.102.0/24

仮想NICセット作成 (US2)

image.png

名前 NIC_VPN_TEST

アクセス制御リスト作成 (US2)

image.png

名前 ACL_VPN_TEST
ステータス 有効

セキュリティ・プロトコル 作成 (US2)

image.png

名前 ipsec
IPプロトコル UDP
宛先ポート・セット 500, 4500

セキュリティ・ルール 作成 (US2)

image.png

名前 SS_VPN_TEST
ステータス 有効
タイプ 受信
アクセス制御リスト ACL_VPN_TEST
セキュリティ・プロトコル ipsec
ソースvNICset 未設定
宛先vNICset NIC_VPN_TEST

vNICsetにアクセス制御リストを追加 (US2)

image.png

対象vNICset NIC_VPN_TEST
追加するアクセス制御リスト ACL_VPN_TEST

VPN接続を作成 (US2)

image.png

名前 VPN_002_TO_006
IPネットワーク NET_VPN_US002_TEST(192.168.102.0/24)
vNICset NIC_VPN_TEST
カスタマ・ゲートウェイ bbb.bbb.bbb.bbb ←メモしたUS6のVPN GATEWAYのpublic IP を入力
顧客が到達可能なルート 192.168.106.0/24
事前共有鍵 ********
フェーズ1 IKE提案の指定 (IKE暗号化、ハッシュ、DHグループおよび存続期間)
※IKE関連各種設定ディフォルトまま
フェーズ2 ESP提案の指定 (ESP暗号化、ハッシュおよび存続期間)
※ESP関連各種設定ディフォルトまま
前方秘匿性が必須

しばらくしたら下記のように VPN Gateway にPublic IP 割り当てられる。そのPublic IPをメモして、US6側VPNaaSの設定を修正

image.png

US6側の作業

VPN接続の設定変更(US6)

image.png

更新対象VPN接続 VPN_006_TO_002
カスタマ・ゲートウェイ aaa.aaa.aaa.aaa ←メモしたUS2のVPN GATEWAYのpublic IP を入力

ライフサイクルステータスが「準備完了」になるまでに更新できないので、ステータス変更まで待ちます。検証時VPNの作成からステータスが「準備完了」は30-40分かかった。(LOGを確認するとVPNaaSはかなりの回数のリトライを実施するみたい)

トンネル・ライフサイクルステータス 更新可能かどうか
保留中 / プロビジョニング中 更新不可
停止中 / プロビジョニング中 更新不可
保留中 / 準備完了 更新可

動作確認

VPN接続ステータス(US6 、US2)

image.png

US2,US6両方VPN接続のトンネル・ライフサイクルステータスは 【稼働中/準備完了】になっていること確認。
※問題ある場合イベント・ログを確認して調査。

接続テスト

Oracle Linux インスタンス作成 (US2, US6)

作成手順省略
注意点:VPN GATEWAYと同じIPネットワークを選択、構成する必要がある。
image.png

ルーティングテーブルにエントリを追加する(US2)

[opc@c85e22 ~]$ sudo su -
[root@c85e22 ~]# ip route add 192.168.106.0/24 via 192.168.102.254 dev eth0

ルーティングテーブルにエントリを追加する(US6)

[opc@a48b9d ~]$ sudo su -
[root@a48b9d ~]# ip route add 192.168.102.0/24 via 192.168.106.254 dev eth0

 疎通テスト(US2 -> US6)

local ipからUS2のインスタンスにログインしていること確認

image.png

US2 -> US6 VPN Gateway
image.png

US2 -> US6 Compute instance
image.png

US6 -> US2 省略

※gateway までpingが通る,インスタンスにping通らない場合、インスタンスのACL設定を確認。

参考資料

VPNaaSを使用したVPN接続の設定-Oracle 公式資料