OCIと社内ネットワークをVPN接続してみた

 2020.12.25  株式会社テリロジー 技術統括部

みなさまこんにちは🎄
Tachanです。

今回は、オラクルクラウドとオンプレ環境間にVPNを作成してみたいと思います。

VPN接続とは

Virtual Private Networkの略で仮想の専用線のことを指します。
一般のIPSecは以下の2つのモードで構成されています

  1. トランスポート・モード
    パケットの実際のペイロードのみを暗号化して認証する。ヘッダー情報は元のまま。
  2. トンネル・モード
    パケット全体を暗号化して認証する。暗号化の後、パケットはカプセル化されて、異なるヘッダー情報を持つ新しいIPパケットを形成する。

Oracle Cloud InfrastructureのVPNでは、トンネル・モードのみサポートしています。

また、OCIでのIPSec VPNでは、複数の冗長IPSecトンネルで構成されます。

トンネルを使った通信は、BGPによる動的ルーティング、または静的ルーティングを使用してトラフィックをルーティングします。

VPN接続設定方法

以下の手順で作成します。

1. VPNに必要な設定を作成(OCI側)

・VCNを作成

・VCN内にサブネットを作成

・セキュリティ・リストおよび必要なルールを作成

・DRGを作成
※DRGは動的ルーティング・ゲートウェイのことで、VCNとVCNのリージョン外のネットワーク間のトラフィックをプライベートの空間で提供する仮想ルーターを指します。
「ネットワーキング > 動的ルーティング・ゲートウェイ」から作成できます。

DRGを作成

・DRGをVCNにアタッチ
該当DRGをクリックし、左のリソース欄から「仮想クラウド・ネットワーク」を選択しVCNにアタッチすることができます。

DRGをVCNにアタッチ

・VCNのルート・ルールにDRGのルーティングを設定
これでVCNから該当セグメントの通信を、DRG経由のVPNで通信することができます。

VCNのルート・ルールにDRGのルーティングを設定

・CPE(顧客構内機器)を作成し、CPEデバイスのパブリックIPアドレスを指定
※CPEとはIPSec VPNの終端にあるオンプレミス・デバイスを指します。
「ネットワーキング > 顧客構内機器」から作成できます。

CPE(顧客構内機器)を作成し、CPEデバイスのパブリックIPアドレスを指定

2.VPN接続を作成し、必要なルーティング情報を指定

VPN接続を作成し、必要なルーティング情報を指定

3.CPEデバイス側の設定

VPNの終端にあるオンプレミス・デバイスに、OCI側で作成した「VPN IPアドレス」および「共有シークレット」を設定します。
共有シークレットは、作成したVPNを選択し、「CPEおよびトンネル情報」から確認することができます。

また、各デバイスのドキュメントを参考にし、その他必要な通信制御の設定を行います。

CPEデバイス側の設定

上記の設定が終わりましたら、通信の検証を行ってください。

最後までお読みいただきありがとうございました。

お問い合わせはこちら


RECENT POST「OCIで作ってみた」の最新記事


OCIで作ってみた

OCVSにブロック・ボリュームをアタッチして、vSphereのデータストアに追加してみた

OCIで作ってみた

Fn Projectを使用したAPI開発

OCIで作ってみた

OCVSをデプロイしてみた 前半

OCIで作ってみた

OCVSをデプロイしてみた 後半

OCIと社内ネットワークをVPN接続してみた