Перейти к содержимому

Настройка Site-To-Site IPSec VPN

Site-To-Site IPSec VPN — это тип VPN-соединения, при котором создается защищенный туннель между фиксированными сетями для безопасной передачи данных через публичные сети. Например, между вашей локальной сетью и виртуальными машинами в облаке VDC.

В зависимости от требований к сети, уровню детализации управления трафиком и сложности конфигурации вы также можете использовать другие способы организации безопасных туннелей для соединения сетей: Policy-Based IPSec VPN и Route-Based IPSec VPN.

Важно

Предполагается, что на шлюзе вашей локальной сети выполнены соответствующие настройки. В данной статье описана только настройка со стороны облака MWS.

Все настройки на обеих сторонах должны совпадать.

Примечание

Описанные настройки доступны, если вы используете версию 10.4 или 10.5.

Чтобы настроить IPSec VPN-подключение на маршрутизаторе:

  1. Перейдите в Data Centers и выберите виртуальный дата-центр.
  2. Перейдите в Edges и выберите Edge Gateway.
  3. Перейдите в Services > IPSec VPN > Нажмите NEW.
  4. Откроется окно Add IPSec VPN Tunnel. Заполните поля.
  5. General Settings:
    • Name — введите имя IPSec VPN туннеля;
    • Description — введите описание;
    • Нажмите NEXT.
  6. Peer Authentication Mode:
    • Pre-Shared Key — укажите ключ аутентификации;
    • Нажмите NEXT.
  7. Endpoint Configuration:
    • Local Endpoint > IP-адрес — введите публичный IP-адрес в формате x.x.x.x.
      Используйте адрес, не задействованный в сервисах DNAT, которые транслируют трафик без указанных External Port и Application;
    • Local Endpoint > IP-адрес — ведите внутренний IP-адрес или диапазон IP-адресов в формате a.a.a.0/24.
      Не используйте адреса, задействованные в других IPSec-туннелях.
  8. Remote Endpoint > IP Address — укажите IP-адрес удаленной площадки в формате y.y.y.y.
  9. Remote Endpoint > Network — укажите частную подсеть, которая будет туннелироваться IPSec VPN, в формате b.b.b.0/24.
  10. (опционально) Remote Endpoint > Remote ID — введите идентификатор удаленной площадки.
    В ином случае идентификатор будет совпадать с IP-адресом удаленной площадки.
  11. Нажмите SAVE.

Настройка параметров Security Profile

Заголовок раздела «Настройка параметров Security Profile»

  1. Перейдите в Services > IPSec VPN > выберите созданный ранее IPSec-канал.

  2. Нажмите SECURITY PROFILE CUSTOMIZATION.

  3. Откроется окно Customize Security Profile. Заполните поля.
    Значения должны соответствовать поддерживаемым оборудованием на вашей площадке.

  4. IKE Profiles:

    • Version — версия протокола Internet Key Exchange (IKE). Например, IKE v2;
    • Encryption — алгоритм шифрования. Например, AES 256;
    • Digest — алгоритм аутентификации. Например, SHA 2 – 256;
    • Diffie-Hellman Group — алгоритм обмена ключами. Например, Group 14;
    • (опционально) Association Life Time (seconds) — количество секунд, по истечении которых канал IPSec переустановится. Например, 86400.

  5. Tunnel Configuration:

    • Enable Perfect Forward Secrecy — активируйте переключатель;
    • Defragmentation Policy — выберите политику дефрагментации. Например, Copy;
    • Encryption — алгоритм шифрования. Например, AES 256;
    • Digest — алгоритм аутентификации. Например, SHA 2 – 256;
    • Diffie-Hellman Group — алгоритм обмена ключами. Например, Group 14;
    • (опционально) Association Life Time (seconds) — количество секунд, по истечении которых канал IPSec переустановится. Например, 3600.

  6. DPD Configuration:

    • Probe Interval (seconds) — оставьте по умолчанию.

  7. Нажмите FINISH.

Проверка работоспособности

Заголовок раздела «Проверка работоспособности»

  1. Перейдите в Services > IPSec VPN > выберите созданный ранее IPSec-канал.

  2. В блоке Services перейдите в пункт IPSec VPN.

  3. Нажмите VIEW STATISTICS.

  4. Если в Tunnel Status и IKE service Status указано Up, канал IPSec появился.

Важно

После проверки необходимо создать правило Firewall, которое разрешит прохождение трафика от локальной сети удаленной стороны до локальной сети организации.