VPNaaS — настройка VPN IPSEC Site-to-Site

Перед началом построения VPN IPSEC Site-to-Site соединения вам понадобится уже созданный и настроенный виртуальный роутер.

Все манипуляции при создании VPN IPSEC Site-to-Site соединения производятся в меню «Сеть – VPN»

1. Первым делом добавим IKEPolicy.

Обязательные поля:

  • Название : понятное имя для IKEPolicy
  • Алгоритм авторизации: доступен только один алгоритм sha1
  • Алгоритм шифрования: выберите со списка необходимый алгоритм шифрования.
  • Версия ike: оставить по умолчанию v1
  • Совершенная прямая секретность: необходимо выбрать одну из групп Диффи-Хеллмана (группа должна быть одинаковой для обеих роутеров, между которыми строится тоннель).

1

2. Далее необходимо создать IPSec политику.

Обязательные поля:

  • Название: понятное имя для IPsecPolicy
  • Алгоритм авторизации: доступен только один алгоритм sha
  • Алгоритм шифрования: выберите со списка необходимый алгоритм шифрования. Должен совпадать с выбранным в IKEPolicy
  • Режим инкапсуляции: tunnel
  • Протокол трансформации: ‘ESP’, ‘AH’ or ‘AH-ESP’

2

 3. Далее нам необходимо добавить VPN сервис

  • Название: понятное имя для сервиса VPN
  • Маршрутизатор: со списка доступных вам виртуальных маршрутизаторов, необходимо выбрать тот, для которого мы настраиваем IPSec site-to-site тоннель
  • Подсеть: со списка подсетей выбрать вашу виртуальную локальную подсеть с которой будет построено IPSec соединение
  • Административное состояние: UP

3

4. И последнее – добавляем IPSec подключение.

  • Название: понятное имя для нового IPSec подключения
  • Сервис VPN для данного подключения: выбираем созданный ранее
  • Политика IKE для данного подключения: выбираем созданную ранее
  • Политика IPSec для данного подключения: выбираем созданную ранее
  • Публичный IPv4/IPv6 адрес или FQDN шлюза пира: указываем IPv4/IPv6 адрес или FQDN маршрутизатора, с которым строим тоннель
  • Идентификатор маршрутизатора пира для аутентификации (Peer ID): указываем IPv4/IPv6 адрес или FQDN маршрутизатора, с которым строим тоннель
  • Подсеть(и) удаленного пира: указываем адрес подсети, которая находится за удаленным маршрутизатором
  • Строка заранее установленного ключа совместного использования (PSK): секретный ключ, который должен быть одинаковым на обеих маршрутизаторах

4

Пример

Site-to-site-ipsec-example

На приведенной выше схемы видно два виртуальных роутера, каждый из которых имеет публичный адрес и локальную подсеть.

Задача сводится к тому, чтобы с помощью VPN IPSec  тоннеля организовать защищенный канал передачи данных между локальными подсетями.

Настройки IKEPolicy и IPSec политики для обеих  IPSec подключений должны быть идентичны друг другу. Значения параметров мы выбрали произвольно.

5

6

 

Настройки сервиса VPN и Подключения IPSec для каждого роутера: http://www.sim-networks.com/wiki/vpn-service-settings-and-ipsec-connections-for-each-router

Если у Вас остались вопросы, обращайтесь в нашу службу поддержки — мы всегда рады помочь!