Настройка Site-To-Site IPsec VPN

IPsec VPN позволяет получить удаленный доступ к виртуальным машинам, расположенным в #CloudMTS, из локальной сети Заказчика. Данный вид VPN обеспечивает возможность безопасного соединения локальной сети Заказчика и сети VDC. 

Для настройки IPsec VPN-подключения на виртуальном шлюзе организации #CloudMTS:

• перейдите в раздел Data Centers
• выберите виртуальный дата-центр
• в блоке Networking перейдите в пункт Edges
• выберите нужный виртуальный шлюз
• нажмите на кнопку [SERVICES]
• в окне "Edge Gateway - *название*" перейдите вкладку VPN - IPsec VPN
• в окне "IPsec VPN Configuration" выберите вкладку IPsec VPN Sites
• нажмите на кнопку [+]

• в окне "Add IPsec VPN":
  • включите опцию "Enabled"
  • включите опцию "Enabled perfect forward secrecy (PFS)"
  • в поле Name введите имя VPN-подключения
  • в полях Local Id и Local Endpoint укажите внешний IP-адрес из списка доступных внешних IP-адресов организаций (Sub-Allocated Pool); как их узнать, описано в данной статье
  • в поле Local Subnets укажите перечень сетей (в формате CIDR с использованием разделителей “,“ без пробела, если сетей больше чем одна) организации #CloudMTS, доступ к которым требуется из удаленной сети Заказчика
  • в полях Peer Id и Peer Endpoint укажите статический публичный (белый) IP-адрес шлюза удаленной сети
  • в поле Peer Subnets укажите перечень сетей удаленной сети (в формате CIDR с использованием разделителей “,“ без пробела, если сетей больше чем одна), доступ к которым требуется из сетей организации #CloudMTS
  • в перечне Encryption Algorithm выберите алгоритм шифрования; не рекомендуется выбирать 3DES (Deprecated), т.к. он является устаревшим
  • в перечне Authentication выберите тип аутентификации; доступные варианты:
    • PSK - Pre Shared Key (PSK) - секретный ключ, который используется между Edge Gateway и удаленной стороной для аутентификации
    • Certificate - авторизация по сертификату; данная опция будет недоступна для включения до тех пор, пока глобальный сертификат не будет добавлен на экране Global Configuration вкладки IPsec VPN
  • опциональный переключатель "Change Shared Key" отвечает за смену Pre-Shared Key во время редактирования существующего подключения
  • если вы выбрали тип "PSK" в перечне Authentication , то в поле Pre-Shared Key введите ключ (латинские буквы и цифры), аналогичный указанному в настройках IPsec VPN соединения на шлюзе удаленной сети клиента (максимальная длина ключа 128 байт)
  • опциональный переключатель Display Shared Key включает отображение введенного ключа на экране
  • в перечне Diffie-Hellman Group выберите криптографическую схему, которая позволит установить шифрованное подключение между удаленной площадкой и Edge Gateway; доступные варианты:
    • DH-2 (Diffie-Hellman group 2) - алгоритм 1024-bit MODP
    • DH-5 (Diffie-Hellman group 5) - алгоритм 1536-bit MODP
    • DH-14 (Diffie-Hellman group 14) - алгоритм 2048-bit MODP
    • DH-15 (Diffie-Hellman group 15) - алгоритм 3072-bit MODP
    • DH-16 (Diffie-Hellman group 16) - алгоритм 4096-bit MODP
  • в поле Extension возможно исключить локальные сети, которые не должны попадать в туннель
  • в перечне Digest Algorithm выберите один из следующих алгоритмов хэширования: SHA1 / SHA-256
  • в перечне IKE Option выберите нужную версию протокола согласования ключей в рамках ISAKMP; доступные варианты: IKEv1, IKEv2 или IKE-Flex
  • включите опцию IKE Responder Onlyдля включения режима ответа на инициализацию установки туннеля (Edge Gateway не будет инициировать подключение)
  • в перечне Session Type необходимо выбрать тип VPN-подключения; доступные варианты: Policy based session и Route based session
  • если вы выбрали "Route based session" в перечне Session Type, то введите данные в поля Tunnel Interface IP CIDR (IP-адрес туннельного интерфейса в формате CIDR) и Tunnel Interface MTU (Maximum Transmission Unit -  максимальный размер полезного блока данных)
• для сохранения настроек нажмите на кнопку [KEEP]
• для сохранения изменений нажмите на кнопку [Save changes]

Чтобы включить сервис IPsec VPN:

• в окне "Edge Gateway - *название*" выберите вкладку VPN - IPsec VPN
• в окне "IPsec VPN Configuration" выберите вкладку Activation Status
• включите опцию "IPsec VPN Service Status"
• для сохранения изменений нажмите на кнопку [Save Changes]

Чтобы проверить, установлено ли соединение:

• в окне "Edge Gateway - *название*" выберите вкладку Statistics - IPsec VPN
• в окне "IPsec VPN Statistics" в полях Channel Status и Tunnel Status таблиц "IPsec VPN Statistics" и "IPsec VPN Tunnel Statistics & Status" соответственно должны стоять галочки, если туннель успешно установлен

IPsec VPN позволяет получить удаленный доступ к расположенным в #CloudMTS виртуальным машинам из локальной сети Заказчика. Данный вид VPN обеспечивает возможность безопасного соединения локальной сети Заказчика и сети VDC. 

В NSX-T Edge вы можете самостоятельно настроить IPSec-канал с типом сессий policy-based.

Для настройки IPsec VPN-подключения на виртуальном шлюзе организации #CloudMTS:

• перейдите в раздел Data Centers
• выберите виртуальный дата-центр
• в блоке Networking перейдите в пункт Edges
• выберите нужный Edge Gateway
• в блоке Services перейдите в пункт IPSec VPN
• нажмите на кнопку [NEW]
• в окне "Add IPSec VPN Tunnel":
  • на вкладке General Settings введите имя IPSec VPN туннеля в поле Name и описание в поле Description, если это необходимо, нажмите на кнопку [NEXT]
  • на вкладке Peer Authentication Mode укажите ключ аутентификации в поле Pre-Shared Key, нажмите на кнопку [NEXT]
  • на вкладке Endpoint Configuration:
    • в блоке Local Endpoint введите публичный IP-адрес: 193.8.211.235 в поле IP Address, введите внутренний IP-адрес или диапазон IP-адресов: 10.0.0.0/24 - в поле Networks
    • в блоке Remote Endpoint укажите IP-адрес удаленной площадки в формате «y.y.y.y» в поле IP Address, укажите частную подсеть, которая будет туннелироваться IPsec VPN - в поле Network
  • нажмите на кнопку [NEXT]
  • нажмите на кнопку [FINISH]

Настройка параметров Security Profile

• в блоке Services перейдите в пункт IPSec VPN
• выберите созданный ранее IPSec-канала
• нажмите на кнопку [SECURITY PROFILE CUSTOMIZATION]

• заполните форму "Customize Security Profile":
• значения должны соответствовать поддерживаемым оборудованием на вашей площадке:
  • разделе IKE Profiles:
    • Version — версия IKE, например «IKE v2»
    • Encryption — алгоритм шифрования, например «AES 256»
    • Digest — алгоритм аутентификации, например «SHA 2 - 256»
    • Diffie-Hellman Group — алгоритм обмена ключами, например Group 14
    • Assication Life Time (seconds) — время жизни SA в секундах, например «86400»
  • в разделе Tunnel Configuration:
    • Enable Perfect Forward Secrecy — активируйте переключатель
    • Defragmentation Policy — выберите политику дефрагментации, например «Copy»
    • Encryption — алгоритм шифрования, например «AES 256»
    • Digest — алгоритм аутентификации, например «SHA 2 - 256»
    • Diffie-Hellman Group — алгоритм обмена ключами, например Group 14
    • Assication Life Time (seconds) — время жизни SA в секундах, например «3600»
  • в разделе DPD Configuration:
    • Probe Interval (seconds) — оставьте по умолчанию
  • нажмите на кнопку [NEXT]

Проверка работоспособности

• в блоке Services перейдите в пункт IPSec VPN
• выберите созданный ранее IPSec-канал
• нажмите на кнопку [VIEW STATISTICS]