Настройка виртуального L3 канала на базе IPSec

Создание policy-based IPSec-канала между Edge Gateway в текущем тенанте и Edge Gateway в другом тенанте

1. В разделе Data Centers нажмите на карточку виртуального ЦОД и в меню слева выберите Edges.

2. Нажмите на название Edge Gateway.

3. В разделе Services → IPSec VPN нажмите NEW. Откроется форма Add IPSec VPN Tunnel.

4. Заполните раздел General Settings:

   • Name — название канала IPSec VPN.

   • (Опционально) Description — описание канала IPSec VPN.

   • Security Profile — оставьте профиль по умолчанию.

   • Status — оставьте активированным.

   • Logging — активируйте при необходимости регистрировать преобразование адресов, выполняемое этим правилом.

5. Заполните раздел Peer Authentication Mode:

   • Authentication Mode — выберите способ аутентификации.

   • (При выборе Pre-Shared Key) Укажите ключ аутентификации.

     Необходимо, чтобы ключ был одинаковый на обоих концах канала IPSec VPN.

   • (При выборе Certificate) Загрузите Server Certificate и CA Certificate, нажав SELECT.

6. Заполните раздел Endpoint Configuration:

   • Local Endpoint → IP Address — публичный IP-адрес Edge Gateway в формате «x.x.x.x».

     Необходимо использовать IP-адрес, который не задействован в сервисах DNAT, транслирующих трафик без указанных External Port и Application. В противном случае трансляция DNAT может нарушить работу виртуального канала L3 на базе IPsec и привести к блокировке других DNAT-правил.

   • Local Endpoint → Networks — локальная сеть виртуального ЦОД в формате «a.a.a.0/24».

     Подсети, ранее указанные в других IPsec-туннелях, указать нельзя.

   • Remote Endpoint → IP Address — IP-адрес удаленной площадки в формате «y.y.y.y». IP-адрес 0.0.0.0 указать нельзя.

   • Remote Endpoint → Networks — частная подсеть, которая будет туннелироваться IPsec VPN в формате «b.b.b.0/24».

   • (Опционально) Remote Endpoint → Remote ID — идентификатор удаленной площадки.

     Если оставить поле незаполненным, идентификатор будет совпадать с IP-адресом удаленной площадки.

7. Нажмите SAVE.

При создании IPSec-канала автоматически создаются правила Firewall, по два правила на каждый канал. Создание правил Firewall необходимо для корректной работы IPSec-канала, они обеспечивают функционирование сессий IKE NAT Traversal и Key Exchange.

Настройка параметров Security Profile

1. В разделе Services → IPSec VPN выберите созданный ранее канал IPSec VPN.

   Сверху появится опция SECURITY PROFILE CUSTOMIZATION — нажмите на нее.

   

2. Заполните форму Customize Security Profile:

   В разделе IKE Profiles:

   • Version — версия протокола Internet Key Exchange (IKE).

   • Encryption — алгоритм шифрования.

   • Digest — алгоритм аутентификации.

   • Diffie-Hellman Group — параметр, определяющий надежность ключа шифрования.

   • (Опционально) Assication Life Time (seconds) — количество секунд, по истечении которых канал IPSec переустановится.

   В разделе Tunnel Configuration:

   • Enable Perfect Forward Secrecy — активируйте переключатель.

   • Defragmentation Policy — выберите политику дефрагментации.

   • Encryption — алгоритм шифрования.

   • Digest — алгоритм аутентификации.

   • Diffie-Hellman Group — параметр, определяющий надежность ключа шифрования.

   • (Опционально) Assication Life Time (seconds) — количество секунд, по истечении которых канал IPSec переустановится.

   В разделе DPD Configuration:

   (Опционально) Probe Interval (seconds) — оставьте по умолчанию.

3. Проверьте указанные данные и нажмите FINISH.

После сохранения изменений Security Profile в канале IPSec поменяется на пользовательский.

Проверка работоспособности

В разделе Services → IPSec VPN выберите созданный ранее канал IPSec VPN.

Сверху появится опция VIEW STATISTICS — нажмите на нее.

Если в полях Tunnel Status и IKE service Status указано «Up», канал IPSec появился.