Configuración de una VPN para su Plan de Recuperación ante Desastres con Zerto OVHcloud

Esta guía explica cómo cofigurar una VPN para conectar su plataforma Zerto local con su Private Cloud de OVHcloud.

Última actualización: 30/06/2020

Objetivo:

El objetivo de esta guía es ayudarle a configurar la red privada virtual (VPN) para conectar su plataforma local con su Hosted Private Cloud OVHcloud y así implementar la solución de recuperación ante desastres Zerto. Para mostrar el procedimiento, vamos a utilizar como ejemplo la solución VPN de OPNSense, una plataforma firewall/VPN open source. Para facilitar la explicación, vamos a describir la forma más sencilla de establecer un túnel VPN con la red de la interfaz Zerto Virtual Manager (ZVM).

Requisitos:

  • Una dirección IP pública disponible en el Private Cloud de destino para el punto de conexión VPN.
  • Una plataforma Zerto instalada y operativa en la infraestructura del cliente.
  • Las máquinas de replicación Zerto (VRA: Virtual Replication Appliance) tanto del lado del cliente como del lado de OVHcloud deben poder intercambiar datos en los puertos TCP 4007 y 4008.
  • Las máquinas de administración Zerto (ZVM: Zerto Virtual Manager) del lado del cliente y del lado de OVHcloud deben poder intercambiar datos en los puertos TCP 9081.

Procedimiento

Presentación de la arquitectura de la solución

zerto vpn

Definición de los parámetros de esta arquitectura:

Del lado del cliente:

  • Dirección pública del punto de conexión VPN (1)
  • Dirección interna del punto de conexión VPN (2)
  • Dirección interna de la ZVM (3)
  • Plan de direccionamiento de la red ZVM (4)

Del lado de OVHcloud:

  • Dirección pública del punto de conexión VPN (5)
  • Plan de direccionamiento de la red ZVM (6)
  • Dirección de la ZVM (7)

Debe elegir el rango de red en el que desea que OVHcloud despliegue la ZVM remota, para evitar que interfiera con sus direcciones internas.

Si le conviene, puede simplemente aceptar la que se propone por defecto en la interfaz del área de cliente.

1: Activar la función Zerto en sentido cliente - OVHcloud

La activación se lleva a cabo directamente desde el área de cliente de OVHcloud. Primero debe seleccionar el datacenter asociado al Private Cloud, y hacer clic en la pestaña Plan de Recuperación ante desastres (DRP).

zerto vpn

Seleccione la opción Entre su infraestructura y un Private Cloud OVHcloud y haga clic en Activar Zerto DRP.

zerto vpn

Seleccione una dirección pública disponible dentro del rango propuesto.

zerto vpn

Introduzca el rango de red deseado para el despliegue de la ZVM.

zerto vpnzerto vpn

Haga clic en Instalar para continuar.

zerto vpn

2: Activar el servicio IPSec

En la consola OPNSense, diríjase al menú VPN de la izquierda, y en IPSec seleccione Tunnel Setting.

zerto vpn

Active la casilla Enable IPsec.

zerto vpn

Haga clic en Save para guardar.

3: Configurar el túnel IPSec

Para configurar el túnel hay que completar dos conjuntos de parámetros llamados Fase 1 y Fase 2.

3.1. Añadir la Fase 1

En el menú VPN, vaya a la sección Tunnel setting y haga clic en el icono + a la derecha de la pantalla.

zerto vpn

3.1.1 Fase 1: añadir información general

Puede mantener los valores por defecto:

  • Método de conexión: Default
  • Protocolo de intercambio de claves: V2
  • Protocolo de Internet: IPv4
  • Interfaz: WAN

Hay que rellenar obligatoriamente la IP del punto de conexión IPSec de OVHcloud, en el campo Remote gateway.

3.1.2.Fase 1: Autenticación

En este apartado también se puede mantener la configuración por defecto. Solo hay que introducir la contraseña compartida en el campo Pre-Shared Key.

zerto vpn

3.1.3 Fase 1: elección de los algoritmos de cifrado

zerto vpn

Los valores admitidos para cada parámetro son:

  • Algoritmo de cifrado: AES 256 bits
  • Algoritmo de hash: SHA256
  • Grupo de claves Diffie-Hellman: 14 (2048 bits)
  • Vida útil: 28 800 segundos

En la configuración avanzada se pueden mantener los valores por defecto. Haga clic en Save y en aplicar los cambios.

La Fase 1 estará ahora disponible en la interfaz.

zerto vpn

3.2 Añadir una entrada Fase 2

Haga clic en el botón Mostrar las entradas Fase 2.

zerto vpn

No aparece disponible ninguna fase 2, hay que añadir una:

zerto vpn

Haga clic en el icono +.

zerto vpn

3.2.1 Fase 2: Información general

zerto vpn

Compruebe que el modo está en «Túnel IPv4».

3.2.2 Fase 2: Red Local

zerto vpn

El tipo de red local seleccionado debe ser «Subred Local».

3.2.3 Fase 2: Red remota

En este paso hay que introducir el plan de direccionamiento de la red en la que se encuentra la ZVM OVHcloud.

La red deberá ser /23 (512 direcciones IP).

Asegúrese de comprobar dos veces la configuración, porque si se comete algún error en este paso, la VPN no funcionará.

zerto vpn

3.2.4 Fase 2: Intercambio de claves

Los valores admitidos para cada parámetro son:

  • Protocolo: ESP
  • Algoritmos de cifrado: AES 256 bits
  • Algoritmos de hash: SHA256
  • PFS: Off

zerto vpn

No es necesario modificar las opciones avanzadas. Haga clic en Save y en Aplicar los cambios.

3.3 Comprobación del estado de la VPN:

zerto vpn

Haga clic en el triángulo naranja de la derecha para iniciar la conexión.

zerto vpn

Si la configuración es correcta, el túnel se establecerá. Aparecerán dos nuevos iconos:

  • Desactivar el túnel
  • Obtener información sobre el estado del túnel

zerto vpn

Haga clic en el icono de información.

zerto vpn

El túnel está ahora operativo. No olvide añadir, en caso necesario, una ruta de la ZVM local hacia la red ZVM OVHcloud.

En caso de fallo:

Si no se establece el túnel, verifique que se han introducido correctamente los siguientes parámetros:

  • La contraseña compartida
  • La IP del punto de conexión remota.
  • El rango IP de la red remota

Compruebe además que no haya un firewall bloqueando el tráfico entre los dos extremos de la VPN.

También puede consultar el archivo de log IPSec en /var/log/ipsec.log.

4: Configuración del firewall

Para permitir el emparejamiento de la infraestructura del cliente con la de OVHcloud, se debe autorizar el tráfico entre:

  • El puerto 9081 y las ZVM
  • Los puertos 4007/4008 y las vRAs

4.1 Abrir puertos en ZVM

Diríjase al menú Firewall, y en la sección Rules seleccione IPSec.

zerto vpn

Haga clic en Add para crear una nueva regla.

zerto vpn

zerto vpn

Esta regla debe tener la siguiente configuración:

  • Acción: «Pass» (Autorizar el tráfico)
  • Interfaz: «IPSec» (el tráfico entrante que se debe autorizar proviene de la VPN)
  • Protocolo: «TCP»

En los campos «Source» y «Destination» seleccione el tipo «Single host or Network». Estos campos hacen referencia respectivamente a las direcciones IP de la ZVM OVHcloud hacia la ZVM del cliente.

zerto vpn

El puerto TCP de destino autorizado es el 9081.

Guarde la regla y aplique los cambios.

4.2 Abrir puertos en vRA

Abrir puertos en vRa es un poco más complejo ya que hay tantas vRA como ESXi, tanto del lado del cliente como del lado de OVHcloud.

Todas deben comunicarse por los puertos TCP 4007 y 4008.

Para simplificar esta configuración, OPNSense ofrece los alias. Un alias es un grupo de objetos (direcciones IP, redes, URL, etc.) que se pueden usar para definir reglas de firewall.

En nuestro caso, necesitamos 3 alias:

  • Uno para las direcciones IP de las vRA del lado del cliente
  • Uno para las direcciones IP de las vRA del lado de OVHcloud
  • Uno para los puertos que se deben autorizar

La dirección IP de las vRA del lado de OVHcloud se puede consultar en la interfaz vSphere del Private Cloud de destino:

zerto vpn

Cree el alias OVH_VRA para los vRA del lado de OVHcloud:

zerto vpn

Hay que crear un alias para las máquinas del lado del cliente de la misma forma:

zerto vpn

Y por último, hay que crear el alias para los puertos:

zerto vpn

Ahora ya tiene todos los elementos para poder crear las reglas firewall que autoricen el tráfico desde OVHcloud hacia la plataforma del cliente. El procedimiento es el mismo, tan solo hay que utilizar los alias en la configuración:

zerto vpn

Ahora la conexión VPN es segura y está operativa.

zerto vpn

5: Emparejar las ZVM

Una vez instalada la ZVM en la infraestructura del cliente, ya se puede conectar a la interfaz Zerto.

Aparecerá la siguiente pantalla.

zerto vpn

Elija la opción Pair to a site with a licence. Introduzca la dirección IP de la ZVM de OVHcloud y haga clic en Start.

En el panel de control, aparecerá un mensaje informando de que el emparejamiento está en curso.

zerto vpn

Si la operación se ha desarrollado correctamente, aparecerá el siguiente mensaje:

zerto vpn

Compruebe que el nombre de su Private Cloud OVHcloud aparece ahora en la pestaña Sites.

zerto vpn

Su solución Zerto ya está operativa y se pueden crear grupos de protección virtual. (VPG).

Diagnóstico:

En caso de que sea imposible establecer un diálogo entre las ZVM (sobre todo en caso de haber configurado erróneamente las reglas de firewall), aparecerá el siguiente mensaje:

zerto vpn

Será redirigido a la pantalla de acceso a la ZVM con el siguiente mensaje de error.

zerto vpn

La causa más probable es que la ZVM OVHcloud no pueda comunicarse con la ZVM del cliente en el puerto TCP 9081. Es necesario que se pueda iniciar la conexión.

Más información

Interactúe con nuestra comunidad de usuarios en https://community.ovh.com/en/.


Did you find this guide useful?

Please feel free to give any suggestions in order to improve this documentation.

Whether your feedback is about images, content, or structure, please share it, so that we can improve it together.

Your support requests will not be processed via this form. To do this, please use the "Create a ticket" .

Thank you. Your feedback has been received.


These guides might also interest you...

OVHcloud Community

¡Acceda al espacio de la OVHcloud Community! Resuelva sus dudas, busque información, publique contenido e interactúe con otros miembros de la comunidad.

Discuss with the OVHcloud community