4. Настройка Site-to-site IPSec VPN

Версия 7.1 от Ирина Сафонова на 12.01.2024, 14:11
Содержание

Назначение Site-to-site IPSec VPN

Site-to-site VPN на базе протоколов IPSec — функционал для организации защищенного L3VPN туннеля «точка-точка» между двумя площадками через интернет. IPsec — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP. Набор подтверждает подлинности (аутентификацию), проверку целостности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в интернет.

В отличие от Remote Access VPN, не требуется устанавливать ПО VPN клиент на пользовательские устройства не требуется.

NSX-T Edge поддерживает следующий функционал:

  • IKE версии 1 и 2.
  • Тип сессии VPN — Policy-based.
  • Аутентификация по общему ключу (PSK).

Пример настройки Policy-based IPSec VPN с PSK аутентификацией

1. Перейдите в настройки Services/IPSec VPN выбранного VDC и Edge и нажмите кнопку NEW.

2. В открывшемся окне Edit IPSec VPN Tunnel заполните необходимые параметры:

ПараметрОписание
NameУсловное обозначение удаленной площадки.
EnabledАктивация VPN туннеля
Pre-shared KeyКлюч аутентификации PSK, который должен совпадать с обеих сторон.
Security ProfileПрофиль с настройками алгоритмов шифрования, хеширования и т.д. При создании VPN туннеля по умолчанию можно выбрать только преднастроенный профиль Default. Просмотреть настройки профиля Default можно, нажав на кнопку >. Изменить настройки параметров профиля можно после создания VPN туннеля.
Local EndpointВыбор значения IP Address. IP Address — IP-адрес локального Edge, на котором будет терминироваться IPSec туннель. Чаще всего это IP-адрес из пула «внешних» адресов.
Local EndpointВыбор значения Networks. Список локальных IP-адресов или сетей, из которых необходимо получить доступ в сети удаленной площадки. Адреса и сети разделены запятой.
Remote EndpointВыбор значения IP Address. IP-адрес удаленного VPN-шлюза, на котором терминируется IPSec туннель.
Remote EndpointВыбор значения Networks. Список IP-адресов или сетей удаленной площадки. Адреса и сети разделены запятой.
LoggingАктивация логирования.

4. Нажмите кнопку SAVE.

В результате:

  • Настроен Policy-based IPSec VPN.
  • Доступно меню настройки VPN-туннеля.

5. При необходимости ознакомьтесь с кнопками меню VPN-туннеля и измените параметры:

  • EDIT. Редактирование настроек VPN-туннеля.
  • VIEW STATISTICS. Просмотр состояния VPN-туннеля и различной статистики отправленного и принятого трафика.
  • SECURITY PROFILE CUSTOMIZATION. Редактирование алгоритмов шифрования, хеширования IKE/IPSec фаз,  DPD таймингов и т.д. VPN туннеля.
  • DELETE. Удаление VPN-туннеля.

6. Нажмите кнопку SAVE.

В результате в разделе Services/Firewall появится правило, разрешающее установку соединения IPSec.

Но потребуется создать правило доступа для трафика между сетями Local и Remote Subnets.