Estabelecer uma conexão VPN site-to-site é crucial para garantir uma ligação segura entre um datacenter corporativo e o restante da sua infraestrutura . Essa solução possibilita que os usuários alcancem as instâncias hospedadas ao estabelecer uma conexão VPN com o roteador virtual da conta, diretamente de um dispositivo no centro de dados da empresa. Ademais, essa conexão segura pode ser configurada entre duas VPCs distintas ou zonas de alta disponibilidade em seu ambiente, eliminando assim a necessidade de conexões VPN individuais com cada instância.

Porque fazer uma VPN site-to-site ao invés da VPN remota?

A diferença da VPN remota para as VPNs site-to-site é que a site-to-site conecta redes inteiras entre si, por exemplo, conectando uma rede de filial a uma rede da sede de uma empresa. Em uma VPN site-to-site, os hosts não possuem software cliente VPN; eles enviam e recebem tráfego TCP/IP normal através de um gateway VPN. 

Caso queira configurar uma VPN remota no seu data center virtual, acesse este link!

Para configurar uma conexão Site-to-Site VPN, realize os seguintes passos: 

• Crie uma nuvem privada virtual (VPC).  
• Crie um gateway de cliente VPN. 
• Crie um gateway VPN para a VPC que você criou. 
• Crie uma conexão VPN do gateway VPN da VPC para o gateway VPN do cliente. 

Crie uma nuvem privada virtual (VPC):

Para aprender a criar uma VPC em seu data center virtual, acesse este link!

Criando e atualizando um gateway de cliente VPN:

Observação: Um gateway de cliente VPN só pode ser conectado a um gateway VPN por vez.

Para adicionar um gateway de cliente VPN: 

1. Faça login no painel da Brasil Cloud como administrador ou usuário final. 

2. Na navegação esquerda, escolha Rede. 

3. Na visualização ‘selecionar’, selecione VPN Customer Gateway. 

4. Clique em Adicionar gateway de cliente VPN. 

Irá abrir a seguinte janela:

Providencie as seguintes informações: 

• Nome : um nome exclusivo para o gateway do cliente VPN que você está criando. 
• Gateway : O endereço IP do gateway remoto. 
• Lista CIDR : a lista CIDR de convidados das sub-redes remotas. Insira um CIDR ou uma lista de CIDRs separados por vírgula. Certifique-se de que uma lista CIDR convidada não esteja sobreposta ao CIDR da VPC ou a outro CIDR convidado. O CIDR deve ser compatível com RFC1918. 
• Chave pré-compartilhada IPsec : A chave pré-compartilhada é um método em que os terminais da VPN compartilham uma chave secreta. Esse valor de chave é usado para autenticar o gateway do cliente e o gateway VPC VPN entre si. A sequência não pode conter nova linha ou aspas duplas. 
• Criptografia IKE : A política Internet Key Exchange (IKE) para a fase 1. Os algoritmos de criptografia suportados são AES128, AES192, AES256 e 3DES. A autenticação é realizada por meio de chaves pré-compartilhadas. 
• Hash IKE : O hash IKE para a fase 1. Os algoritmos de hash suportados são SHA1 e MD5. 
• IKE DH : Um protocolo de criptografia de chave pública que permite que duas partes estabeleçam um segredo compartilhado através de um canal de comunicação inseguro. O grupo Diffie-Hellman de 1536 bits é usado no IKE para estabelecer chaves de sessão. As opções suportadas são Nenhum, Grupo 5 (1536 bits) e Grupo 2 (1024 bits). 
• Criptografia ESP : algoritmo de encapsulamento de carga útil de segurança (ESP) na fase 2. Os algoritmos de criptografia suportados são AES128, AES192, AES256 e 3DES. 
• Hash ESP : encapsulando hash de carga útil de segurança (ESP) para a fase 2. Os algoritmos de hash suportados são SHA1 e MD5. 
• Perfect Forward Secrecy : Perfect Forward Secrecy (ou PFS) é a propriedade que garante que uma chave de sessão derivada de um conjunto de chaves públicas e privadas de longo prazo não será comprometida. Esta propriedade impõe uma nova troca de chaves Diffie-Hellman. Ele fornece o material de chaveamento com maior vida útil e, portanto, maior resistência a ataques criptográficos. As opções disponíveis são Nenhum, Grupo 5 (1536 bits) e Grupo 2 (1024 bits). A segurança das trocas de chaves aumenta à medida que os grupos DH crescem, assim como o tempo das trocas. 
• Tempo de vida do IKE (segundos) : o tempo de vida da fase 1 da associação de segurança em segundos. O padrão é 86.400 segundos (1 dia). Sempre que o tempo expirar, uma nova troca da fase 1 é realizada. 
• Vida útil do ESP (segundos) : a vida útil da fase 2 da associação de segurança em segundos. O padrão é 3.600 segundos (1 hora). Sempre que o valor é excedido, uma nova chave é iniciada para fornecer uma nova criptografia IPsec e chaves de sessão de autenticação. 
• Detecção de peer morto : um método para detectar um peer indisponível do Internet Key Exchange (IKE). Selecione esta opção se desejar que o roteador virtual consulte a atividade de seu par IKE em intervalos regulares. É recomendado ter a mesma configuração de DPD em ambos os lados da conexão VPN. 
• Forçar encapsulamento UDP de pacotes ESP : Forçar encapsulamento para passagem NAT 
• Clique em OK.

Criando um gateway VPN para a VPC:

Primeiramente, faça login no painel do Data Center Virtual como administrador ou usuário final. 

Na navegação esquerda, escolha Rede. 

Na visualização Selecionar, selecione VPC. 

Clique no botão Configurar da VPC

A página VPC é exibida para voce completar as seguintes informações:

Após criar, selecione a sua VPC:

Crie sua nova Rede:

Escolha as definições da sua rede:

Se você estiver criando o gateway VPN pela primeira vez, selecionar Site-to-Site VPN solicitará que você crie um gateway VPN. 

Dentro de alguns instantes, o gateway VPN é criado.

Logo após, crie uma site-to-site VPN connection:

Selecione o seu VPN customer gateway criado anteriormente:

Clique em OK e em alguns segundos sua conexão será criada.

Agora, basta conectar sua VPN usando os dados escolhidos anteriormente.