Если стандартных профилей безопасности недостаточно, создайте пользовательский.
Порядок действий
Выберите сервис VPN.
Перейдите на вкладку Профили безопасности.
Нажмите Создать.
Введите Название профиля безопасности.
В поле Версия IKE выберите версию протокола IKE:
IKE v1 — устаревшая версия протокола. Используйте, если ваше сетевое оборудование не поддерживает IKE v2.
IKE v2 — обновленная версия протокола с повышенной надежностью и защищенностью. Рекомендуем использовать IKE v2.
В поле Rekey time, сек укажите время жизни ключа шифрования.
По истечении указанного времени стороны автоматически заменяют старые ключи шифрования на новые без разрыва VPN-туннеля. Диапазон значений 0 – 604800.
В поле Reauth time, сек укажите время повторной аутентификации.
Параметр определяет, как часто VPN-туннель должен полностью пересоздаваться с повторным обменом ключами и подтверждением подлинности сторон. Диапазон значений 0 – 604800.
Если требования к полной повторной аутентификации отсутствуют, рекомендуем использовать значение по умолчанию 0.
Настройте параметры DPD timeout:
В поле DPD delay, сек введите интервал времени, через который на удаленный узел отправляется запрос, чтобы убедиться, что VPN-туннель все еще активен и связь не пропала.
Диапазон значений 0 – 86400.
В поле DPD lost count, шт укажите количество потерянных пакетов подряд, после которого VPN-туннель перейдет в статус «Не активен».
Автоматически будет выполнена попытка переустановить соединение.
Значение в поле DPD timeout будет рассчитано автоматически как произведение полей DPD delay, сек и DPD lost count, шт.
Настройте IKE proposals — укажите, какие алгоритмы будут использоваться при обмене ключами шифрования и установке безопасного туннеля IKE‑SA:
Чтобы использовать проверку подлинности, выберите опцию С проверкой подлинности (AEAD). Если проверка подлинности не нужна, выберите Только шифрование.
В поле Шифрование выберите один или несколько алгоритмов шифрования трафика.
Если проверка подлинности выключена, в поле Целостность выберите один или несколько алгоритмов целостности.
Алгоритмы целостности проверяют, что полученные данные не были изменены, повреждены или подменены.
В поле Обмен ключами выберите один или несколько алгоритмов обмена ключами Диффи-Хеллмана.
Алгоритм позволяет двум сторонам согласовать общий секрет, не передавая его по сети.
Соответствие номера группы Диффи-Хеллмана и алгоритма Номер группы Диффи-Хеллмана
Алгоритм
14
modp2048
15
modp3072
16
modp4096
17
modp6144
18
modp8192
19
ecp256
20
ecp384
В поле Псевдослучайная функция выберите один или несколько алгоритмов псевдослучайной функции.
Алгоритм гарантирует равномерное распределение случайных чисел и делает данные устойчивыми к криптоанализу.
ПодсказкаЕсли в полях Шифрование, Целостность, Обмен ключами и Псевдослучайная функция указано несколько алгоритмов, то каждому алгоритму будет присвоен Приоритет.
Приоритет определяет, в каком порядке использовать алгоритмы. Чтобы изменить приоритет, зажмите значок
и перетащите строку вверх или вниз.При необходимости добавьте еще IKE proposals. Каждому IKE proposals будет присвоен Приоритет: он определяет, в каком порядке будут применяться IKE proposals. Чтобы изменить приоритет, зажмите значок
и перетащите строку вверх или вниз.Настройте ESP proposals — укажите, какие алгоритмы будут использоваться при шифровании пользовательского трафика. Настройка параметров аналогична п. 9.
При необходимости добавьте еще IKE proposals и настройте приоритет.
Нажмите Создать.
Результат
Профиль безопасности создан. Вы можете посмотреть его параметры.
Что дальше
Создайте VPN-туннель, указав созданный профиль безопасности в параметрах туннеля.