Для решения задачи настройки подключения VPN IPSEC Site-to-Site визуализируем условный пример такого подключения:

Site-to-site-ipsec-example

На приведенной выше схеме видим два виртуальных роутера, каждый из которых имеет публичный адрес и локальную подсеть.

Задача состоит в том, чтобы с помощью VPN IPSec-тоннеля организовать защищенный канал передачи данных между локальными подсетями.

Настройки IKEPolicy и IPSec политики для обоих  IPSec-подключений должны быть идентичными друг другу. Значения параметров мы выбрали произвольно.

Настройки сервиса VPN и подключения IPSec для каждого роутера: https://www.sim-networks.com/wiki/vpn-service-settings-and-ipsec-connections-for-each-router

АЛГОРИТМ ПОСТРОЕНИЯ СОЕДИНЕНИЯ VPN IPSEC Site-to-Site

Перед началом построения соединения VPN IPSEC Site-to-Site  вам понадобится уже созданный и настроенный виртуальный роутер.

Все манипуляции при создании VPN IPSEC Site-to-Site соединения производятся в меню «Сеть – VPN»

1. Первым делом добавим IKEPolicy.

Обязательные поля:

  • Название : понятное имя для IKEPolicy
  • Алгоритм авторизации: доступен только один алгоритм – sha1
  • Алгоритм шифрования: выберите из списка необходимый алгоритм шифрования.
  • Версия ike: оставить по умолчанию v1
  • Совершенная прямая секретность: необходимо выбрать одну из групп Диффи-Хеллмана (группа должна быть одинаковой для обоих роутеров, между которыми строится тоннель).

2. Далее необходимо создать IPSec-политику.

Обязательные поля:

  • Название: понятное имя для IPsecPolicy
  • Алгоритм авторизации: доступен только один алгоритм – sha
  • Алгоритм шифрования: выберите из списка необходимый алгоритм шифрования – он должен совпадать с выбранным в IKEPolicy
  • Режим инкапсуляции: tunnel
  • Протокол трансформации: ‘ESP’, ‘AH’ or ‘AH-ESP’

 3. Далее нам необходимо добавить VPN-сервис

  • Название: понятное имя для сервиса VPN
  • Маршрутизатор: из списка доступных вам виртуальных маршрутизаторов необходимо выбрать тот, для которого настраивается IPSec site-to-site тоннель
  • Подсеть: из списка подсетей выбрать вашу виртуальную локальную подсеть, с которой будет построено IPSec-соединение
  • Административное состояние: UP

4. И последнее – добавляем IPSec-подключение.

  • Название: понятное имя для нового IPSec-подключения
  • Сервис VPN для данного подключения: выбираем созданный ранее
  • Политика IKE для данного подключения: выбираем созданную ранее
  • Политика IPSec для данного подключения: выбираем созданную ранее
  • Публичный IPv4/IPv6 адрес или FQDN шлюза пира: указываем IPv4/IPv6 адрес или FQDN маршрутизатора, с которым строим тоннель
  • Идентификатор маршрутизатора пира для аутентификации (Peer ID): указываем IPv4/IPv6 адрес или FQDN маршрутизатора, с которым строим тоннель
  • Подсеть(и) удаленного пира: указываем адрес подсети, которая находится за удаленным маршрутизатором
  • Строка заранее установленного ключа совместного использования (PSK): секретный ключ, который должен быть одинаковым на обоих маршрутизаторах

Видеодемонстрация описанного выше алгоритма — в нашем шестом видеоуроке по управлению облаком в панели SIM-Cloud Dashboard