tocdepth

2

Настройка доступа в интернет через NGFW в удаленном VPC в Advanced

В этом разделе приведен пример сетевой топологии для доступа в интернет через NGFW в удаленном VPC, а также описан процесс настройки этого доступа.

Сетевая топология

Пример настройки для сетевой топологии:

• В инфраструктуре присутствуют два VPC:

  • VPC, в котором расположен кластер NGFW — «vpс-usergate-test».

  • VPC, в котором расположена виртуальная машина ECS на базе Windows Server — «vpc-usergate-test2».

• Развернут кластер NGFW на базе UserGate. Инструкция по развертыванию кластера.

• Внешние интерфейсы UserGate расположены в подсети под названием «subnet-outside» и имеют адресацию в сети 192.168.0.0/24:

  • 192.168.0.11 — адрес ВМ «ecs-UserGate_Pri».

  • 192.168.0.12 — адрес ВМ «ecs-UserGate_Sec».

  • 192.168.0.250 — виртуальный IP-адрес кластера.

• В сети «subnet-outside» создан Virtual IP, соответствующий виртуальному IP-адресу кластера — 192.168.0.250.

• К внешним интерфейсам каждой ноды UserGate привязаны EIP. EIP обеспечивают независимый доступ в интернет для каждого узла кластера и из внутренних подсетей.

• Кластерные интерфейсы UserGate расположены в подсети под названием «subnet-cluster» и имеют адресацию в сети 192.168.255.0/24:

  • 192.168.255.11 — адрес ВМ «ecs-UserGate_Pri».

  • 192.168.255.12 — адрес ВМ «ecs-UserGate_Sec».

• Внутренние интерфейсы UserGate расположены в подсети под названием «subnet-usergate-in3» и имеют адресацию в сети 192.168.3.0/24:

  • 192.168.3.11 — адрес ВМ «ecs-UserGate_Pri».

  • 192.168.3.12 — адрес ВМ «ecs-UserGateSec».

  • 192.168.3.150 — виртуальный IP кластера.

• В удаленном VPC под названием «vpc-usergate-test2» присутствует одна подсеть «subnet-inside10-1» c адресацией 10.10.1.0/24. IP-адрес ECS в этой подсети 10.10.1.10.

  Внимание

  В этой инструкции описан процесс настройки маршрутизации для организации доступа в интернет для ECS в удаленном VPC. На схеме это «ecs-WinSrv».

  Перед дальнейшей работой необходимо заранее настроить NAT-правила и Firewall на UserGate. Подробнее об этом в инструкциях:

  • Трансляция сетевых адресов NAT

  • Создание политики сети в UserGate

Настройка Custom Route Table для внешних интерфейсов UserGate

1. Войдите в консоль управления Advanced:

   • через личный кабинет Cloud.ru;

   • как IAM-пользователь.

2. В списке сервисов выберите Virtual Private Cloud.

3. В левой части экрана выберите Route Tables.

4. В правом верхнем углу нажмите Create Route Table.

5. Заполните необходимые параметры и нажмите OK:

   • Name — укажите название Route Table. Например, «rtb-UG-outside».

   • VPC — выберите сеть.

6. В списке таблиц маршрутизации напротив созданной таблицы «rtb-UG-outside» нажмите Associate Subnet.

7. Выберите подсеть внешних интерфейсов UserGate. В примере это «subnet-outside».

   

Создание Virtual IP во внутренней сети UserGate

В этом примере кластер UserGate имеет виртуальный IP-адрес на внутренних интерфейсах — 192.168.3.150. Необходимо создать соответствующий данному IP-адресу экземпляр Virtual IP.

1. В списке сервисов выберите Virtual Private Cloud.

2. В левой части экрана выберите Subnets.

3. Выберите подсеть для внутренних интерфейсов UserGate. В этом примере это подсеть «subnet-usergate-in3».

4. Перейдите на вкладку IP Addresses.

5. Выберите Assign Virtual IP Address.

6. Укажите параметры и нажмите OK:

   • Assignment mode — выберите Manual.

   • IP Address — укажите 192.168.3.150.

7. В списке подсетей выберите нужную и нажмите More → Bind to Server.

8. Поочередно выберите ноды кластера UserGate и соответствующие внутренние интерфейсы UserGate.

9. Проверьте настройки Virtual IP Address. В этом примере используются значения:

   • Virtual IP Address — 192.168.3.150. Этот адрес будет использоваться для UserGate.

   • Bound Server (NIC) — 192.168.3.11 (12).

Настройка VPC peering

1. В списке сервисов выберите Virtual Private Cloud.

2. В левой части экрана выберите VPC Peering.

3. В правом верхнем углу нажмите Create VPC Peering Connection.

4. Заполните параметры:

   • Name — название для соединения VPC Peering.

   • Local VPC — созданная ранее локальная сеть VPC.

   • Account — My Account.

   • Peer VPC — нужное соединение.

5. Нажмите OK.

   

6. Выберите Add Later.

7. В левой части экрана выберите Route Tables.

8. Выберите таблицу маршрутизации по умолчанию (Default) для VPC, в котором расположен UserGate (в примере это «rtb-vpc-usergate-test»).

9. Добавьте маршрут в удаленный VPC:

   • Destination — укажите 10.10.0.0/16.

   • Next Hop Type — выберите VPC peering connection.

   • Next Hop — выберите созданное ранее пиринговое соединение.

10. Добавьте маршрут по умолчанию в таблицу маршрутизации для VPC, в которой расположен UserGate (в этом примере «rtb-vpc-usergate-test»). Это необходимо для организации маршрутизации через UserGate.

    Для того, чтобы маршрут по умолчанию указывал на виртуальный IP-адрес кластера UserGate, укажите в качестве Next Hop созданный ранее Virtual IP (в нашем примере это 192.168.3.150).

    

11. Проверьте созданные маршруты в таблице маршрутизации. В нашем примере это «rtb-vpc-usergate-test»:

    

12. Перейдите к настройке маршрутов для удаленной VPC (vpc-usergate-test2). Потребуется создать маршрут по умолчанию c next hop, указывающим в VPC peering. Выберите таблицу маршрутизации по умолчанию (Type = Default) для VPC, в которой расположена виртуальная машина WinSrv (в примере это «rtb-vpc-usergate-test2»).

13. Добавьте маршрут по умолчанию как показано на скриншоте ниже.

    

14. Проверьте созданный маршрут в таблице маршрутизации «rtb-vpc-usergate-test2».

Настройка маршрута к удаленному VPC в UserGate

1. Подключитесь в браузере к графическому интерфейсу UserGate.

2. Перейдите на вкладку Настройки.

3. Перейдите в раздел Сеть → Виртуальные маршрутизаторы.

4. Выберите используемый виртуальный маршрутизатор для основной ноды UserGate.

   Примечание

   В большинстве случаев используется виртуальный маршрутизатор по умолчанию.

5. Выберите в выпадающем меню Статические маршруты.

6. Настройте статический маршрут в удаленную VPC.

7. Next Hop — укажите VPC Gateway для внутренней подсети. В этом примере это «subnet-usergate-in3».

   По умолчанию это IP-адрес подсети имеющий в последнем октете значение «.1»

   

8. Повторите настройку статического маршрута в удаленную VPC для резервной ноды UserGate.

Проверка сетевого доступа со стороны UserGate

1. Подключитесь в браузере к графическому интерфейсу UserGate.

2. Перейдите на вкладку Диагностика и мониторинг.

3. Перейдите в раздел Мониторинг → Маршруты.

4. Убедитесь в наличии маршрута в удаленную VPC в таблице маршрутизации UserGate:

   

5. Перейдите в раздел Сеть → Ping.

6. На странице Настройка Ping укажите параметры:

   • Ping host — IP-адрес целевого хоста в удаленном VPC (в этом примере — 10.10.1.10).

   • Интерфейс — внутренний интерфейс UserGate.

7. Нажмите Старт.

8. Убедитесь в получении ответов от удаленного хоста как показано на скриншоте.

Внимание

Для успешного прохождения ping убедитесь, что соответствующий трафик (ICMP Requests) разрешен:

• в Security Group в интерфейсе целевой ECS;

• в настройках Firewall операционной системы.

Проверка сетевого доступа со стороны ECS

1. Подключитесь к созданной виртуальной машине ECS.

2. Запустите командную строку (cmd).

3. Запустите ping и убедитесь в получении ответов:

   • Ping до виртуального IP-адреса кластера UserGate (в этом примере — 192.168.3.150)

     

   • Ping до 8.8.8.8:

     

4. Запустите tracert до 8.8.8.8. Убедитесь, что запросы проходят через интерфейсы UserGate.

   

5. Запустите браузер, чтобы проверить доступность сайтов в интернете.

Была ли статья полезной?

Да Нет

Предыдущая статья

Доступ пользователей в интернет

Следующая статья

Управление NGFW

Запустили Evolution free tier
для Dev & Test

Получить