Configuração de um túnel VPN entre as instâncias primária e de réplica do RDS Custom para Oracle

Como configurar um túnel VPN entre uma instância primária e uma réplica no RDS Custom para Oracle

1. Adicione os grupos de segurança da instância primária e da instância em espera à lista de permissões usando as seguintes regras:

   ACTION FLOW SOURCE PROTO PORT
   
   ALLOW ingress this-SG 50 (ESP) all (N/A)
   ALLOW egress this-SG 50 (ESP) all (N/A)
   
   ALLOW ingress this-SG 17 (UDP) 500 (IKE)
   ALLOW egress this-SG 17 (UDP) 500 (IKE)

2. Mude para o usuário raiz.

   $ sudo su – root

3. Execute os comandos a seguir na instância primária e na instância em espera para inicializar o banco de dados do Network Security Services (NSS) sob o usuário root.

   ipsec initnss --nssdir /etc/ipsec.d

4. Gere chaves RSA da seguinte forma:

   1. Na instância primária, gere as chaves usando um dos comandos ipsec a seguir, dependendo da versão do seu sistema operacional.

      ipsec newhostkey --nssdir /etc/ipsec.d       ## for Oracle Linux Version 8
      ipsec newhostkey --output /etc/ipsec.secrets ## for Oracle Linux version 7.9

   2. Obtenha a chave pública, de que você precisa para criar a configuração. No exemplo a seguir, a instância primária é left porque na linguagem ipsec, left refere-se ao dispositivo que você está configurando no momento e right refere-se ao dispositivo na outra extremidade do túnel.

      ipsec showhostkey --left --ckaid ckaid-returned-in-last-statement

   3. Na instância em espera, gere chaves para a instância em espera.

      ipsec newhostkey --nssdir /etc/ipsec.d       ## for Oracle Linux Version 8
      ipsec newhostkey --output /etc/ipsec.secrets ## for Oracle Linux version 7.9

   4. Obtenha a chave pública para a instância em espera, de que você precisa para criar a configuração. No exemplo a seguir, a instância em espera é right porque se refere ao dispositivo na outra extremidade do túnel.

      ipsec showhostkey --right --ckaid ckaid-returned-in-last-statement

5. Com base nas chaves RSA que você obteve, gere a configuração. A configuração é idêntica tanto para a instância primária quanto para a instância em espera. Você pode encontrar o endereço IPv4 da instância primária e o endereço IPv4 da instância em espera no console da AWS.

   Tanto na instância primária quanto na instância em espera, salve a configuração a seguir no arquivo /etc/ipsec.d/custom-fb-tunnel.conf.

   conn custom-db-tunnel
    type=transport
    auto=add
    authby=rsasig
    left=IPV4-for-primary 
    leftrsasigkey=RSA-key-generated-on-primary
    right=IPV4-for-standby
    rightrsasigkey=RSA-key-generated-on-standby

6. Tanto na instância primária quanto na instância em espera, inicie o daemon ipsec nos dois hosts.

   ipsec setup start

7. Inicie o túnel na instância primária ou na instância em espera. A saída deve ser semelhante à seguinte.

   [root@ip-172-31-6-81 ~]# ipsec auto --up custom-db-tunnel
   181 "custom-db-tunnel" #1: initiating IKEv2 connection
   181 "custom-db-tunnel" #1: sent IKE_SA_INIT request to 172.31.32.196:500
   182 "custom-db-tunnel" #1: sent IKE_AUTH request {cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_512 group=DH19}
   003 "custom-db-tunnel" #1: initiator established IKE SA; authenticated peer '3584-bit PKCS#1 1.5 RSA with SHA1' signature using preloaded certificate '172.31.32.196'
   004 "custom-db-tunnel" #2: initiator established Child SA using #1; IPsec transport [172.31.6.81-172.31.6.81:0-65535 0] -> [172.31.32.196-172.31.32.196:0-65535 0] {ESP/ESN=>0xda9c4815 <0xb742ca42 xfrm=AES_GCM_16_256-NONE DPD=passive}
   [root@ip-172-31-6-81 ~]#