Configuración de una VPN para su Plan de Recuperación ante Desastres con Zerto OVHcloud

Esta guía explica cómo cofigurar una VPN para conectar su plataforma Zerto local con su Managed Bare Metal de OVHcloud.

Última actualización: 18/11/2020

Objetivo:

El objetivo de esta guía es ayudarle a configurar la red privada virtual (VPN) para conectar su plataforma local con su Managed Bare Metal OVHcloud y así implementar la solución de recuperación ante desastres Zerto. Para mostrar el procedimiento, vamos a utilizar como ejemplo la solución VPN de OPNSense, una plataforma firewall/VPN open source. Para facilitar la explicación, vamos a describir la forma más sencilla de establecer un túnel VPN con la red de la interfaz Zerto Virtual Manager (ZVM).

Requisitos:

Una dirección IP pública disponible en el Managed Bare Metal de destino para el punto de conexión VPN.
Una plataforma Zerto instalada y operativa en la infraestructura del cliente.
Las máquinas de replicación Zerto (VRA: Virtual Replication Appliance) tanto del lado del cliente como del lado de OVHcloud deben poder intercambiar datos en los puertos TCP 4007 y 4008.
Las máquinas de administración Zerto (ZVM: Zerto Virtual Manager) del lado del cliente y del lado de OVHcloud deben poder intercambiar datos en los puertos TCP 9081.

Procedimiento

Presentación de la arquitectura de la solución

Definición de los parámetros de esta arquitectura:

Del lado del cliente:

Dirección pública del punto de conexión VPN (1)
Dirección interna del punto de conexión VPN (2)
Dirección interna de la ZVM (3)
Plan de direccionamiento de la red ZVM (4)

Del lado de OVHcloud:

Dirección pública del punto de conexión VPN (5)
Plan de direccionamiento de la red ZVM (6)
Dirección de la ZVM (7)

Debe elegir el rango de red en el que desea que OVHcloud despliegue la ZVM remota, para evitar que interfiera con sus direcciones internas.

Si le conviene, puede simplemente aceptar la que se propone por defecto en la interfaz del área de cliente.

1: Activar la función Zerto en sentido cliente - OVHcloud

La activación se lleva a cabo directamente desde el área de cliente de OVHcloud. Primero debe seleccionar el datacenter asociado al Managed Bare Metal, y hacer clic en la pestaña Plan de Recuperación ante desastres (DRP).

Seleccione la opción Entre su infraestructura y un Managed Bare Metal OVHcloud y haga clic en Activar Zerto DRP.

Seleccione una dirección pública disponible dentro del rango propuesto.

Introduzca el rango de red deseado para el despliegue de la ZVM.

Haga clic en Instalar para continuar.

2: Activar el servicio IPSec

En la consola OPNSense, diríjase al menú VPN de la izquierda, y en IPSec seleccione Tunnel Setting.

Active la casilla Enable IPsec.

Haga clic en Save para guardar.

3: Configurar el túnel IPSec

Para configurar el túnel hay que completar dos conjuntos de parámetros llamados Fase 1 y Fase 2.

3.1. Añadir la Fase 1

En el menú VPN, vaya a la sección Tunnel setting y haga clic en el icono + a la derecha de la pantalla.

3.1.1 Fase 1: añadir información general

Puede mantener los valores por defecto:

Método de conexión: Default
Protocolo de intercambio de claves: V2
Protocolo de Internet: IPv4
Interfaz: WAN

Hay que rellenar obligatoriamente la IP del punto de conexión IPSec de OVHcloud, en el campo Remote gateway.

3.1.2.Fase 1: Autenticación

En este apartado también se puede mantener la configuración por defecto. Solo hay que introducir la contraseña compartida en el campo Pre-Shared Key.

3.1.3 Fase 1: elección de los algoritmos de cifrado

Los valores admitidos para cada parámetro son:

Algoritmo de cifrado: AES 256 bits
Algoritmo de hash: SHA256
Grupo de claves Diffie-Hellman: 14 (2048 bits)
Vida útil: 28 800 segundos

En la configuración avanzada se pueden mantener los valores por defecto. Haga clic en Save y en aplicar los cambios.

La Fase 1 estará ahora disponible en la interfaz.

3.2 Añadir una entrada Fase 2

Haga clic en el botón Mostrar las entradas Fase 2.

No aparece disponible ninguna fase 2, hay que añadir una:

Haga clic en el icono +.

3.2.1 Fase 2: Información general

Compruebe que el modo está en «Túnel IPv4».

3.2.2 Fase 2: Red Local

El tipo de red local seleccionado debe ser «Subred Local».

3.2.3 Fase 2: Red remota

En este paso hay que introducir el plan de direccionamiento de la red en la que se encuentra la ZVM OVHcloud.

La red deberá ser /23 (512 direcciones IP).

Asegúrese de comprobar dos veces la configuración, porque si se comete algún error en este paso, la VPN no funcionará.

3.2.4 Fase 2: Intercambio de claves

Los valores admitidos para cada parámetro son:

Protocolo: ESP
Algoritmos de cifrado: AES 256 bits
Algoritmos de hash: SHA256
PFS: Off

No es necesario modificar las opciones avanzadas. Haga clic en Save y en Aplicar los cambios.

3.3 Comprobación del estado de la VPN:

Haga clic en el triángulo naranja de la derecha para iniciar la conexión.

Si la configuración es correcta, el túnel se establecerá. Aparecerán dos nuevos iconos:

Desactivar el túnel
Obtener información sobre el estado del túnel

Haga clic en el icono de información.

El túnel está ahora operativo. No olvide añadir, en caso necesario, una ruta de la ZVM local hacia la red ZVM OVHcloud.

En caso de fallo:

Si no se establece el túnel, verifique que se han introducido correctamente los siguientes parámetros:

La contraseña compartida
La IP del punto de conexión remota.
El rango IP de la red remota

Compruebe además que no haya un firewall bloqueando el tráfico entre los dos extremos de la VPN.

También puede consultar el archivo de log IPSec en /var/log/ipsec.log.

4: Configuración del firewall

Para permitir el emparejamiento de la infraestructura del cliente con la de OVHcloud, se debe autorizar el tráfico entre:

El puerto 9081 y las ZVM
Los puertos 4007/4008 y las vRAs

4.1 Abrir puertos en ZVM

Diríjase al menú Firewall, y en la sección Rules seleccione IPSec.

Haga clic en Add para crear una nueva regla.

Esta regla debe tener la siguiente configuración:

Acción: «Pass» (Autorizar el tráfico)
Interfaz: «IPSec» (el tráfico entrante que se debe autorizar proviene de la VPN)
Protocolo: «TCP»

En los campos «Source» y «Destination» seleccione el tipo «Single host or Network». Estos campos hacen referencia respectivamente a las direcciones IP de la ZVM OVHcloud hacia la ZVM del cliente.

El puerto TCP de destino autorizado es el 9081.

Guarde la regla y aplique los cambios.

4.2 Abrir puertos en vRA

Abrir puertos en vRa es un poco más complejo ya que hay tantas vRA como ESXi, tanto del lado del cliente como del lado de OVHcloud.

Todas deben comunicarse por los puertos TCP 4007 y 4008.

Para simplificar esta configuración, OPNSense ofrece los alias. Un alias es un grupo de objetos (direcciones IP, redes, URL, etc.) que se pueden usar para definir reglas de firewall.

En nuestro caso, necesitamos 3 alias:

Uno para las direcciones IP de las vRA del lado del cliente
Uno para las direcciones IP de las vRA del lado de OVHcloud
Uno para los puertos que se deben autorizar

La dirección IP de las vRA del lado de OVHcloud se puede consultar en la interfaz vSphere del Managed Bare Metal de destino:

Cree el alias OVH_VRA para los vRA del lado de OVHcloud:

Hay que crear un alias para las máquinas del lado del cliente de la misma forma:

Y por último, hay que crear el alias para los puertos:

Ahora ya tiene todos los elementos para poder crear las reglas firewall que autoricen el tráfico desde OVHcloud hacia la plataforma del cliente. El procedimiento es el mismo, tan solo hay que utilizar los alias en la configuración:

Ahora la conexión VPN es segura y está operativa.

5: Emparejar las ZVM

Una vez instalada la ZVM en la infraestructura del cliente, ya se puede conectar a la interfaz Zerto.

Aparecerá la siguiente pantalla.

Elija la opción Pair to a site with a licence. Introduzca la dirección IP de la ZVM de OVHcloud y haga clic en Start.

En el panel de control, aparecerá un mensaje informando de que el emparejamiento está en curso.

Si la operación se ha desarrollado correctamente, aparecerá el siguiente mensaje:

Compruebe que el nombre de su Managed Bare Metal OVHcloud aparece ahora en la pestaña Sites.

Su solución Zerto ya está operativa y se pueden crear grupos de protección virtual. (VPG).

Diagnóstico:

En caso de que sea imposible establecer un diálogo entre las ZVM (sobre todo en caso de haber configurado erróneamente las reglas de firewall), aparecerá el siguiente mensaje:

Será redirigido a la pantalla de acceso a la ZVM con el siguiente mensaje de error.

La causa más probable es que la ZVM OVHcloud no pueda comunicarse con la ZVM del cliente en el puerto TCP 9081. Es necesario que se pueda iniciar la conexión.

Más información

Interactúe con nuestra comunidad de usuarios en https://community.ovh.com/en/.

¿Le ha resultado útil esta guía?

Si lo desea, también puede enviarnos sus sugerencias para ayudarnos a mejorar nuestra documentación.

Imágenes, contenido, estructura...: ayúdenos a mejorar nuestra documentación con sus sugerencias.

No podemos tratar sus solicitudes de asistencia a través de este formulario. Para ello, haga clic en "Crear un tíquet" .

¡Gracias! Tendremos en cuenta su opinión.

Otras guías que podrían interesarle...

Managed Bare Metal
Desplegar una plantilla OVF Windows y SQL Server

Managed Bare Metal
Utilizar el Managed Bare Metal en un vRack

Managed Bare Metal
Restaurar las copias de seguridad a través de la API de OVHcloud

Los tutoriales más consultados

Gestión de direcciones IP

Protección de datos del cliente

Gestión de instancias

Gestión de servidores dedicados

Gestión de VPS

Gestión de Hosted Private Cloud

OVHcloud Community

¡Acceda al espacio de la OVHcloud Community! Resuelva sus dudas, busque información, publique contenido e interactúe con otros miembros de la comunidad.

Discuss with the OVHcloud community

A partir del 1 de enero de 2015, con arreglo a la Directiva 2006/112/CE modificada, los precios IVA incluido pueden variar según el país de residencia del cliente (por defecto, los precios con IVA incluyen el IVA español vigente).