tocdepth

2

Как настроить удаленное устройство для VPN-соединения?

Из-за симметричности туннеля параметры VPN-соединения, настроенные в виртуальной инфраструктуре, должны совпадать с параметрами в вашем аппаратном ЦОД. В случае различия параметров, VPN-соединения не будет установлено.

Для успешного VPN-соединения вам также необходимо настроить IPsec VPN на маршрутизаторе или межсетвом экране в вашем аппаратном ЦОД. Метод настройки может различаться в зависимости от используемого сетевого устройства. Подробнее читайте в руководстве по настройке вашего сетевого устройства.

Ниже описано, как настроить IPsec VPN на модели межсетевого экрана Huawei USG6600 (релиз «V100R001C30SPC300»).

Например, подсети центра обработки данных — 192.168.3.0/24 и 192.168.4.0/24, подсети VPC — 192.168.1.0/24 и 192.168.2.0/24, а публичный IP-адрес шлюза в VPC — XXX.XXX.XXX.XXX.

  1. Войдите в интерфейс командной строки (CLI) межсетевого экрана.

  2. Проверьте версию релиза.

    display version
    17:20:502017/03/09
    Huawei Versatile Security Platform Software
    Software Version: USG6600 V100R001C30SPC300 (VRP (R) Software, Version 5.30)
    
  3. Создайте и опишите разрешенный список доступа (ACL) и назначьте соответствие целевому инстансу VPN.

    acl number 3065 vpn-instance vpn64
    rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
    rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
    rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
    rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
    q
    
  4. Создайте и опишите политику IKE.

    ike proposal 64
    dh group5
    authentication-algorithm sha1
    integrity-algorithm hmac-sha2-256
    sa duration 3600
    q
    
  5. Создайте описание смежного устройства IKE (в этом случае VPN Gateway в виртуальной инфраструктуре VPC) и укажите ссылку на созданную политику IKE. IP-адрес смежного устройства — 93.188.242.110.

    ike peer vpnikepeer_64
    pre-shared-key ******** (******** specifies the pre-shared key.)
    ike-proposal 64
    undo version 2
    remote-address vpn-instance vpn64 93.188.242.110
    sa binding vpn-instance vpn64
    q
    
  6. Опишите режим работы протокола IPsec.

    ipsec proposal ipsecpro64
    encapsulation-mode tunnel
    esp authentication-algorithm sha1
    q
    
  7. Создайте и опишите политику IPsec и укажите ссылку на политику IKE и режим работы протокола IPsec.

    ipsec policy vpnipsec64 1 isakmp
    security acl 3065
    pfs dh-group5
    ike-peer vpnikepeer_64
    proposal ipsecpro64
    local-address xx.xx.xx.xx
    q
    
  8. Примените политику IPsec к субинтерфейсу.

    interface GigabitEthernet0/0/2.64
    ipsec policy vpnipsec64
    q
    
  9. Проверьте подключение с помощью утилиты ping. И убедитесь, что удаленный IP-адрес доступен.

Запустили Evolution free tier
для Dev & Test
Получить