| title | excerpt | updated |
|---|---|---|
Configuración de una VPN para su Plan de Recuperación ante Desastres con Zerto OVHcloud |
Esta guía explica cómo cofigurar una VPN para conectar su plataforma Zerto local con su Managed Bare Metal de OVHcloud. |
2020-11-18 |
El objetivo de esta guía es ayudarle a configurar la red privada virtual (VPN) para conectar su plataforma local con su Managed Bare Metal OVHcloud y así implementar la solución de recuperación ante desastres Zerto. Para mostrar el procedimiento, vamos a utilizar como ejemplo la solución VPN de OPNSense, una plataforma firewall/VPN open source. Para facilitar la explicación, vamos a describir la forma más sencilla de establecer un túnel VPN con la red de la interfaz Zerto Virtual Manager (ZVM).
- Una dirección IP pública disponible en el Managed Bare Metal de destino para el punto de conexión VPN.
- Una plataforma Zerto instalada y operativa en la infraestructura del cliente.
- Las máquinas de replicación Zerto (VRA: Virtual Replication Appliance) tanto del lado del cliente como del lado de OVHcloud deben poder intercambiar datos en los puertos TCP 4007 y 4008.
- Las máquinas de administración Zerto (ZVM: Zerto Virtual Manager) del lado del cliente y del lado de OVHcloud deben poder intercambiar datos en los puertos TCP 9071.
{.thumbnail}
Definición de los parámetros de esta arquitectura:
Del lado del cliente:
- Dirección pública del punto de conexión VPN (1)
- Dirección interna del punto de conexión VPN (2)
- Dirección interna de la ZVM (3)
- Plan de direccionamiento de la red ZVM (4)
Del lado de OVHcloud:
- Dirección pública del punto de conexión VPN (5)
- Plan de direccionamiento de la red ZVM (6)
- Dirección de la ZVM (7)
[!primary]
Debe elegir el rango de red en el que desea que OVHcloud despliegue la ZVM remota, para evitar que interfiera con sus direcciones internas.
Si le conviene, puede simplemente aceptar la que se propone por defecto en la interfaz del área de cliente.
La activación se lleva a cabo directamente desde el área de cliente de OVHcloud. Primero debe seleccionar el datacenter asociado al Managed Bare Metal, y hacer clic en la pestaña Plan de Recuperación ante desastres (DRP){.action}.
{.thumbnail}
Seleccione la opción Entre su infraestructura y un Managed Bare Metal OVHcloud{.action} y haga clic en Activar Zerto DRP{.action}.
{.thumbnail}
Seleccione una dirección pública disponible dentro del rango propuesto.
{.thumbnail}
Introduzca el rango de red deseado para el despliegue de la ZVM.
{.thumbnail}
Haga clic en Instalar{.action} para continuar.
{.thumbnail}
En la consola OPNSense, diríjase al menú VPN{.action} de la izquierda, y en IPSec{.action} seleccione Tunnel Setting{.action}.
{.thumbnail}
Active la casilla Enable IPsec{.action}.
{.thumbnail}
Haga clic en Save{.action} para guardar.
Para configurar el túnel hay que completar dos conjuntos de parámetros llamados Fase 1 y Fase 2.
En el menú VPN{.action}, vaya a la sección Tunnel setting{.action} y haga clic en el icono +{.action} a la derecha de la pantalla.
{.thumbnail}
{.thumbnail}
Puede mantener los valores por defecto:
- Método de conexión: Default
- Protocolo de intercambio de claves: V2
- Protocolo de Internet: IPv4
- Interfaz: WAN
Hay que rellenar obligatoriamente la IP del punto de conexión IPSec de OVHcloud, en el campo Remote gateway{.action}.
En este apartado también se puede mantener la configuración por defecto. Solo hay que introducir la contraseña compartida en el campo Pre-Shared Key{.action}.
{.thumbnail}
{.thumbnail}
Los valores admitidos para cada parámetro son:
- Algoritmo de cifrado: AES 256 bits
- Algoritmo de hash: SHA256
- Grupo de claves Diffie-Hellman: 14 (2048 bits)
- Vida útil: 28 800 segundos
En la configuración avanzada se pueden mantener los valores por defecto. Haga clic en Save{.action} y en aplicar los cambios{.action}.
La Fase 1 estará ahora disponible en la interfaz.
{.thumbnail}
Haga clic en el botón Mostrar las entradas Fase 2{.action}.
{.thumbnail}
No aparece disponible ninguna fase 2, hay que añadir una:
{.thumbnail}
Haga clic en el icono + {.action}.
{.thumbnail}
{.thumbnail}
Compruebe que el modo está en «Túnel IPv4».
{.thumbnail}
El tipo de red local seleccionado debe ser «Subred Local».
En este paso hay que introducir el plan de direccionamiento de la red en la que se encuentra la ZVM OVHcloud.
La red deberá ser /23 (512 direcciones IP).
Warning
Asegúrese de comprobar dos veces la configuración, porque si se comete algún error en este paso, la VPN no funcionará.
{.thumbnail}
Los valores admitidos para cada parámetro son:
- Protocolo: ESP
- Algoritmos de cifrado: AES 256 bits
- Algoritmos de hash: SHA256
- PFS: Off
{.thumbnail}
No es necesario modificar las opciones avanzadas. Haga clic en Save{.action} y en Aplicar los cambios{.action}.
{.thumbnail}
Haga clic en el triángulo naranja de la derecha para iniciar la conexión.
{.thumbnail}
Si la configuración es correcta, el túnel se establecerá. Aparecerán dos nuevos iconos:
- Desactivar el túnel
- Obtener información sobre el estado del túnel
{.thumbnail}
Haga clic en el icono de información.
{.thumbnail}
El túnel está ahora operativo. No olvide añadir, en caso necesario, una ruta de la ZVM local hacia la red ZVM OVHcloud.
En caso de fallo:
Si no se establece el túnel, verifique que se han introducido correctamente los siguientes parámetros:
- La contraseña compartida
- La IP del punto de conexión remota.
- El rango IP de la red remota
Compruebe además que no haya un firewall bloqueando el tráfico entre los dos extremos de la VPN.
También puede consultar el archivo de log IPSec en /var/log/ipsec.log.
Para permitir el emparejamiento de la infraestructura del cliente con la de OVHcloud, se debe autorizar el tráfico entre:
- El puerto 9071 y las ZVM
- Los puertos 4007/4008 y las vRAs
Diríjase al menú Firewall{.action}, y en la sección Rules{.action} seleccione IPSec{.action}.
{.thumbnail}
Haga clic en Add{.action} para crear una nueva regla.
{.thumbnail}
{.thumbnail}
Esta regla debe tener la siguiente configuración:
- Acción: «Pass» (Autorizar el tráfico)
- Interfaz: «IPSec» (el tráfico entrante que se debe autorizar proviene de la VPN)
- Protocolo: «TCP»
En los campos «Source» y «Destination» seleccione el tipo «Single host or Network». Estos campos hacen referencia respectivamente a las direcciones IP de la ZVM OVHcloud hacia la ZVM del cliente.
{.thumbnail}
El puerto TCP de destino autorizado es el 9071.
Guarde la regla y aplique los cambios.
Abrir puertos en vRa es un poco más complejo ya que hay tantas vRA como ESXi, tanto del lado del cliente como del lado de OVHcloud.
Todas deben comunicarse por los puertos TCP 4007 y 4008.
Para simplificar esta configuración, OPNSense ofrece los alias. Un alias es un grupo de objetos (direcciones IP, redes, URL, etc.) que se pueden usar para definir reglas de firewall.
En nuestro caso, necesitamos 3 alias:
- Uno para las direcciones IP de las vRA del lado del cliente
- Uno para las direcciones IP de las vRA del lado de OVHcloud
- Uno para los puertos que se deben autorizar
La dirección IP de las vRA del lado de OVHcloud se puede consultar en la interfaz vSphere del Managed Bare Metal de destino:
{.thumbnail}
Cree el alias OVH_VRA para los vRA del lado de OVHcloud:
{.thumbnail}
Hay que crear un alias para las máquinas del lado del cliente de la misma forma:
{.thumbnail}
Y por último, hay que crear el alias para los puertos:
{.thumbnail}
Ahora ya tiene todos los elementos para poder crear las reglas firewall que autoricen el tráfico desde OVHcloud hacia la plataforma del cliente. El procedimiento es el mismo, tan solo hay que utilizar los alias en la configuración:
{.thumbnail}
Ahora la conexión VPN es segura y está operativa.
{.thumbnail}
Una vez instalada la ZVM en la infraestructura del cliente, ya se puede conectar a la interfaz Zerto.
Aparecerá la siguiente pantalla.
{.thumbnail}
Elija la opción Pair to a site with a licence{.action}. Introduzca la dirección IP de la ZVM de OVHcloud y haga clic en Start{.action}.
En el panel de control, aparecerá un mensaje informando de que el emparejamiento está en curso.
{.thumbnail}
Si la operación se ha desarrollado correctamente, aparecerá el siguiente mensaje:
{.thumbnail}
Compruebe que el nombre de su Managed Bare Metal OVHcloud aparece ahora en la pestaña Sites{.action}.
{.thumbnail}
Su solución Zerto ya está operativa y se pueden crear grupos de protección virtual. (VPG).
En caso de que sea imposible establecer un diálogo entre las ZVM (sobre todo en caso de haber configurado erróneamente las reglas de firewall), aparecerá el siguiente mensaje:
{.thumbnail}
Será redirigido a la pantalla de acceso a la ZVM con el siguiente mensaje de error.
{.thumbnail}
La causa más probable es que la ZVM OVHcloud no pueda comunicarse con la ZVM del cliente en el puerto TCP 9071. Es necesario que se pueda iniciar la conexión.
Interactúe con nuestra comunidad de usuarios en https://community.ovh.com/en/.