Evolution
Тема интерфейса

Настройка site-to-site VPN с помощью strongSwan

В разделе описано, как настроить сетевую связность между инфраструктурой в облаке Cloud.ru Evolution и некоторой удаленной стороной. На практике в качестве удаленной стороны может выступать, например, сетевая инфраструктура в офисе или в другом облаке.

Для организации защищенного соединения будет настроен IPsec-туннель с помощью ПО strongSwan, где в качестве одной из сторон выступает инфраструктура в облаке Cloud.ru Evolution. Виртуальная машина в облаке используется как VPN-шлюз, через который другие машины из этого облака отправляют трафик в удаленную подсеть. Такой туннель позволяет безопасно передавать трафик между приватными сетями через интернет.

В качестве удаленной стороны развернем аналогичную инфраструктуру на платформе Cloud.ru Advanced.

../_images/schm__site-to-site-vpn.svg

Перед началом работы

  1. Если вы уже зарегистрированы, войдите под своей учетной записью.

  2. Убедитесь, что для вашей учетной записи достаточно прав на проект. При необходимости настройте права или запросите их у администратора.

Разверните инфраструктуру на стороне Evolution

На стороне облака Evolution необходимо развернуть следующие ресурсы:

  • подсеть «cloud-subnet», в которой размещаются виртуальные машины;

  • группу безопасности «cloud-sg» для управления трафиком виртуальных машин;

  • ВМ «cloud-gateway» с публичным IP-адресом, которая выполняет роль облачного VPN-шлюза;

  • ВМ «cloud-vm» без публичного IP-адреса, которая выполняет роль клиентской машины в облаке.

Создайте VPC

  1. Перейдите в личный кабинет платформы Evolution.

  2. На верхней панели слева нажмите Кнопка с изображением девяти точек и выберите Сеть → VPC.

  3. Нажмите Создать VPC.

  4. Укажите название VPC — «cloud-vpc».

  5. Нажмите Создать.

Создайте подсеть

  1. На верхней панели слева нажмите Кнопка с изображением девяти точек и выберите Сеть → Подсети.

  2. Нажмите Создать подсеть.

  3. Укажите настройки:

    • Название — «cloud-subnet».

    • VPC — «cloud-vpc».

    • Зона доступности — «ru.AZ-1».

    • Адрес — 172.16.0.0/24.

  4. Нажмите Создать.

  5. Скопируйте и сохраните адрес подсети: он потребуются для дальнейшей настройки.

Создайте группу безопасности для VPN-шлюза

Группы безопасности в облаке Evolution позволяют контролировать входящий и исходящий трафик для создаваемых ресурсов.

  1. На верхней панели слева нажмите Кнопка с изображением девяти точек и выберите Сеть → Группы безопасности.

  2. Нажмите Создать группу безопасности.

  3. В поле Зона доступности выберите «ru.AZ-1».

  4. Укажите название группы безопасности — «cloud-sg».

  5. Добавьте правила для исходящего трафика:

    1. В блоке Правила исходящего трафика нажмите Добавить правило.

    2. Создайте правило со следующими параметрами:

      • Протокол — «Любой».

      • Порт — оставьте пустым.

      • Тип источника — «IP-адрес».

      • Источник — «0.0.0.0/0».

    3. Нажмите Создать.

  6. Нажмите Создать.

После создания удаленного VPN-шлюза на платформе Advanced в эту группу необходимо добавить правила для входящего трафика.

Создайте облачный VPN-шлюз

Облачный VPN-шлюз будет принимать трафик от клиентских ВМ и направлять его в удаленную подсеть.

  1. На верхней панели слева нажмите Кнопка с изображением девяти точек и выберите Инфраструктура → Виртуальные машины.

  2. Нажмите Создать виртуальную машину.

  3. Введите название виртуальной машины — «cloud-gateway».

  4. Укажите настройки:

    • Зона доступности — «ru.AZ-1».

    • Образ — на вкладке Маркетплейс выберите «strongSwan».

    • Гарантированная доля vCPU — 10%.

  5. Нажмите Продолжить.

  6. Подключите ВМ к подсети:

    1. В блоке Сетевые настройки нажмите Подключить к подсети.

    2. В поле Подсети выберите подсеть «cloud-subnet».

    3. В поле Группы безопасности выберите группу «cloud-sg».

    4. Нажмите Подключить.

  7. Назначьте ВМ публичный IP-адрес:

    1. В поле Тип IP выберите Плавающий.

    2. Нажмите Арендовать новый.

    3. В поле Интерфейс выберите сетевой интерфейс, подключенный к подсети «cloud-subnet».

  8. Настройте параметры авторизации пользователя:

    1. В поле Логин введите имя пользователя виртуальной машины: например, «cloud-user».

    2. Выберите пароль в качестве метода аутентификации.

    3. Укажите пароль пользователя.

  9. Нажмите Создать.

  10. В строке созданной ВМ скопируйте и сохраните адреса из столбцов Внутренний IP и Публичный IP: они потребуются для дальнейшей настройки.

Создайте клиентскую ВМ

Клиентская ВМ будет отправлять трафик в удаленную подсеть через облачный VPN-шлюз.

  1. На странице сервиса «Виртуальные машины» нажмите Создать виртуальную машину.

  2. Введите название виртуальной машины — «cloud-vm».

  3. Укажите настройки:

    • Зона доступности — «ru.AZ-1».

    • Образ — на вкладке Публичные выберите «Ubuntu 22.04».

    • Гарантированная доля vCPU — 10%.

  4. Нажмите Продолжить.

  5. Подключите ВМ к подсети:

    1. В блоке Сетевые настройки нажмите Подключить к подсети.

    2. В поле Подсети выберите подсеть «cloud-subnet».

    3. В поле Группы безопасности выберите группу «cloud-sg».

    4. Нажмите Подключить.

  6. Отключите опцию Подключить публичный IP.

  7. Настройте параметры авторизации пользователя:

    1. В поле Логин введите имя пользователя виртуальной машины: например, «client».

    2. Выберите пароль в качестве метода аутентификации.

    3. Укажите пароль пользователя.

  8. Нажмите Создать.

  9. В строке созданной ВМ скопируйте и сохраните адрес из столбца Внутренний IP: он потребуется для дальнейшей настройки.

Настройте сетевой интерфейс облачного VPN-шлюза

На сетевом интерфейсе облачного VPN-шлюза необходимо отключить проверку адресов источника и назначения.

  1. На странице сервиса «Виртуальные машины» выберите виртуальную машину «cloud-gateway».

  2. Перейдите на вкладку Сетевые параметры.

  3. В разделе Подсети нажмите на название подсети «cloud-subnet».

  4. Перейдите на вкладку Интерфейсы.

  5. В строке нужного интерфейса нажмите Горизонтальное меню и выберите Свойства.

  6. Отключите опцию Проверка адреса источника/назначения.

  7. Подтвердите отключение.

Разверните инфраструктуру на стороне Advanced

На стороне платформы Advanced необходимо развернуть следующие ресурсы:

  • подсеть «remote-subnet», в которой размещаются виртуальные машины;

  • группу безопасности «remote-sg» для управления трафиком виртуальных машин;

  • ВМ «remote-gateway» с публичным IP-адресом, которая выполняет роль удаленного VPN-шлюза;

  • ВМ «remote-vm» без публичного IP-адреса, которая выполняет роль клиентской машины на удаленной стороне.

Создайте сеть VPC и подсеть

  1. Войдите в консоль управления Advanced:

  2. В списке сервисов выберите Virtual Private Cloud.

  3. В правом верхнем углу нажмите Create VPC.

  4. Укажите параметры сети и подсети:

    • В блоке Basic Information:

      • Name — «remote-vpc».

      • IPv4 CIDR Block — «10.0.0.0/8-24».

      • Enterprise Project — выберите существующий проект из списка или нажмите Create Enterprise Project, чтобы создать новый.

    • В блоке Subnet Setting:

      • Subnet Name — «remote-subnet».

      • IPv4 CIDR Block — «10.0.0.0/24». Сохраните адрес подсети — он потребуется для дальнейшей настройки.

  5. Нажмите Create Now.

    Новая сеть VPC появится на вкладке My VPCs.

Создайте группу безопасности

Для работы strongSwan и проверки доступности виртуальных машин необходимо:

  • разрешить входящий трафик со стороны облачного VPN-шлюза через порты UDP 500 и 4500;

  • разрешить входящий трафик из облачной подсети по протоколу ICMP.

  1. В списке сервисов выберите Virtual Private Cloud.

  2. В меню слева выберите Security Groups.

  3. В правом верхнем углу нажмите Create Security Group.

  4. Укажите параметры группы:

    • Name — «remote-sg».

    • Enterprise Project — выберите существующий проект из списка или нажмите Create Enterprise Project, чтобы создать новый.

    • Template — «Fast-add rule».

  5. Нажмите ОК.

  6. Настройте правила группы:

    1. Напротив созданной группы безопасности нажмите Manage Rules.

    2. На вкладке Inbound Rules нажмите Add Rule.

    3. Добавьте правила согласно таблице:

      Priority

      Action

      Type

      Protocol & Port

      Source

      1

      Allow

      IPv4

      UDP: 500

      <cloud_gateway_public_IP>

      1

      Allow

      IPv4

      UDP: 4500

      <cloud_gateway_public_IP>

      1

      Allow

      IPv4

      ICMP: All

      <cloud_subnet_IP>

      Где:

      • <cloud_gateway_public_IP> — публичный IP-адрес ВМ «cloud-gateway» на платформе Evolution.

      • <cloud_subnet_IP> — адрес подсети «cloud-subnet» на платформе Evolution.

Создайте удаленный VPN-шлюз

Удаленный VPN-шлюз будет принимать трафик от клиентских ВМ и направлять его в подсеть на стороне Evolution.

  1. В списке сервисов выберите Elastic Cloud Server.

  2. Нажмите Create ECS.

  3. Задайте основные параметры на этапе Configure Basic Settings:

    • AZ — «AZ1».

    • Specifications — выберите спецификацию «General-Purpose» и флейвор «s6.small.1».

    • Image — «Ubuntu 22.04».

  4. Нажмите Next: Configure Network.

  5. Задайте параметры сети на этапе Configure Network:

    • Network — выберите облачную сеть «remote-vpc» и подсеть «remote-subnet».

    • Source/Destination Check — отключите опцию.

    • Security Group — выберите группу «remote-sg».

    • EIP — «Auto assign».

    • Billed By — «By Traffic».

  6. Нажмите Next: Configure Advanced Settings.

  7. Задайте расширенные параметры на этапе Configure Advanced Settings:

    • ECS Name — «remote-gateway».

    • Login Mode — «Password».

    • Password — введите пароль пользователя.

    • Confirm Password — повторите введенный ранее пароль.

  8. Нажмите Next: Confirm.

  9. На заключительном этапе Confirm проверьте настройки виртуальной машины и в поле Enterprise Project выберите проект, в котором она будет создана.

  10. Завершите создание виртуальной машины, нажав Apply Now.

  11. Сохраните IP-адреса виртуальной машины из столбца IP Address: публичный (EIP) и внутренний (Private IP). Они потребуются для дальнейшей настройки.

Создайте удаленную клиентскую ВМ

Клиентская ВМ будет отправлять трафик в подсеть на стороне Evolution через удаленный VPN-шлюз.

  1. В списке сервисов выберите Elastic Cloud Server.

  2. Нажмите Create ECS.

  3. Задайте основные параметры на этапе Configure Basic Settings:

    • AZ — «AZ1».

    • Specifications — выберите спецификацию «General-Purpose» и флейвор «s6.small.1».

    • Image — «Ubuntu 22.04».

  4. Нажмите Next: Configure Network.

  5. Задайте параметры сети на этапе Configure Network:

    • Network — выберите облачную сеть «remote-vpc» и подсеть «remote-subnet».

    • Security Group — выберите группу «remote-sg».

    • EIP — «Do not use».

  6. Нажмите Next: Configure Advanced Settings.

  7. Задайте расширенные параметры на этапе Configure Advanced Settings:

    • ECS Name — «remote-vm».

    • Login Mode — «Password».

    • Password — введите пароль пользователя.

    • Confirm Password — повторите введенный ранее пароль.

  8. Нажмите Next: Confirm.

  9. На заключительном этапе Confirm проверьте настройки виртуальной машины и в поле Enterprise Project выберите проект, в котором она будет создана.

  10. Завершите создание виртуальной машины, нажав Apply Now.

  11. Сохраните внутренний IP-адрес виртуальной машины из столбца IP Address: он потребуется для дальнейшей настройки.

Добавьте правила в группу безопасности облачного VPN-шлюза

Для работы strongSwan и проверки доступности виртуальных машин необходимо:

  • разрешить входящий трафик со стороны удаленного VPN-шлюза через порты UDP 500 и 4500;

  • разрешить входящий трафик из удаленной подсети по протоколу ICMP.

  1. Перейдите в личный кабинет платформы Evolution.

  2. На верхней панели слева нажмите Кнопка с изображением девяти точек и выберите Сеть → Группы безопасности.

  3. Выберите группу безопасности «cloud-sg».

  4. Перейдите на вкладку Правила.

  5. Добавьте правила для входящего трафика:

    1. В блоке Правила входящего трафика нажмите Добавить правило.

    2. Добавьте правила согласно таблице:

      Протокол

      Порт

      Тип источника

      Источник

      UDP

      500

      IP-адрес

      <remote_gateway_public_IP>

      UDP

      4500

      IP-адрес

      <remote_gateway_public_IP>

      ICMP

      Любой

      IP-адрес

      <remote_subnet_IP>

      Где:

      • <remote_gateway_public_IP> — публичный IP-адрес ВМ «remote-gateway» на платформе Advanced.

      • <remote_subnet_IP> — адрес подсети «remote-subnet» на платформе Advanced.

Настройте VPN-шлюзы

Для установления IPsec-туннеля необходимо настроить VPN-шлюзы на стороне Evolution и Advanced.

Настройте облачный VPN-шлюз

  1. Перейдите в личный кабинет платформы Evolution.

  2. На верхней панели слева нажмите Кнопка с изображением девяти точек и выберите Инфраструктура → Виртуальные машины.

  3. Выберите виртуальную машину «cloud-gateway» в списке.

  4. Перейдите на вкладку Серийная консоль.

  5. Введите логин и пароль, указанные при создании виртуальной машины.

  6. Включите маршрутизацию пакетов и отключите функциональность ICMP Redirects:

    1. Откройте файл /etc/sysctl.conf для редактирования. В терминале выполните команду:

      sudo nano /etc/sysctl.conf
    2. Добавьте в файл параметры:

      net.ipv4.ip_forward = 1
      net.ipv4.conf.all.accept_redirects = 0
      net.ipv4.conf.all.send_redirects = 0
      net.ipv4.conf.enp3s0.accept_redirects = 0
      net.ipv4.conf.enp3s0.send_redirects = 0
    3. Примените изменения:

      sudo sysctl -p /etc/sysctl.conf
  7. Заполните файл конфигурации IPsec-туннеля:

    1. Откройте файл /etc/ipsec.conf для редактирования:

      sudo nano /etc/ipsec.conf
    2. Вставьте конфигурацию в файл:

      config setup
      strictcrlpolicy=yes
      uniqueids=yes
      conn evo-to-advanced
      type=tunnel
      auto=start
      keyexchange=ikev2
      authby=secret
      left=<left_internal_IP>
      leftid=<left_public_IP>
      leftsubnet=<left_subnet>
      right=<right_public_IP>
      rightsubnet=<right_subnet>
      ike=aes256-sha2_256-modp1024!
      esp=aes256-sha2_256!

      Где:

      • <left_internal_IP> — внутренний IP-адрес ВМ «cloud-gateway».

      • <left_public_IP> — публичный IP-адрес ВМ «cloud-gateway».

      • <left_subnet> — адрес подсети «cloud-subnet».

      • <right_public_IP> — публичный IP-адрес ВМ «remote-gateway» на платформе Advanced.

      • <right_subnet> — адрес подсети «remote-subnet» на платформе Advanced.

      Подробное описание параметров файла /etc/ipsec.conf смотрите в документации strongSwan.

  8. Заполните файл секретов:

    1. Откройте файл /etc/ipsec.secrets для редактирования:

      sudo nano /etc/ipsec.secrets
    2. Вставьте в файл ключевую фразу (PSK, Pre-Shared Key) туннеля:

      <left_public_IP> <right_public_IP> : PSK "<secret_phrase>"

      Где:

      • <left_public_IP> — публичный IP-адрес ВМ «cloud-gateway».

      • <right_public_IP> — публичный IP-адрес ВМ «remote-gateway» на платформе Advanced.

      • <secret_phrase> — ключ для установки IPsec-соединения. Значение ключа необходимо придумать самостоятельно.

  9. Перезапустите strongSwan:

    sudo systemctl restart strongswan-starter.service
  10. Проверьте, что VPN-шлюз на стороне Evolution поднят и находится в ожидании установления IPsec-туннеля c удаленной стороной:

    sudo ipsec status

    Результат:

    Security Associations (0 up, 1 connecting):
    evo-to-advanced[1]: CONNECTING, 172.31.***.***[%any]...37.18.***.***[%any]

Настройте удаленный VPN-шлюз

  1. Войдите в консоль управления Advanced:

  2. В списке сервисов выберите Elastic Cloud Server.

  3. Напротив виртуальной машины «remote-gateway» нажмите Remote Login.

  4. Введите логин и пароль, указанные при создании виртуальной машины.

  5. Обновите версии пакетов. В терминале выполните команду:

    sudo apt update
  6. Установите strongSwan:

    sudo apt install -y strongswan
  7. Включите маршрутизацию пакетов и отключите функциональность ICMP Redirects:

    1. Откройте файл /etc/sysctl.conf для редактирования:

      sudo nano /etc/sysctl.conf
    2. Добавьте в файл параметры:

      net.ipv4.ip_forward = 1
      net.ipv4.conf.all.accept_redirects = 0
      net.ipv4.conf.all.send_redirects = 0
      net.ipv4.conf.eth0.accept_redirects = 0
      net.ipv4.conf.eth0.send_redirects = 0
      Примечание

      На практике имена локальных интерфейсов на удаленной стороне могут отличаться.

    3. Примените изменения:

      sudo sysctl -p /etc/sysctl.conf
  8. Заполните файл конфигурации IPsec-туннеля:

    1. Откройте файл /etc/ipsec.conf для редактирования.

      sudo nano /etc/ipsec.conf
    2. Вставьте конфигурацию в файл:

      config setup
      strictcrlpolicy=yes
      uniqueids=yes
      conn advanced-to-evo
      type=tunnel
      auto=start
      keyexchange=ikev2
      authby=secret
      right=<right_public_IP>
      rightsubnet=<right_subnet>
      left=<left_internal_IP>
      leftid=<left_public_IP>
      leftsubnet=<left_subnet>
      ike=aes256-sha2_256-modp1024!
      esp=aes256-sha2_256!

      Где:

      • <right_public_IP> — публичный IP-адрес ВМ «cloud-gateway» на платформе Evolution.

      • <right_subnet> — адрес подсети «cloud-subnet» на платформе Evolution.

      • <left_internal_IP> — внутренний IP-адрес ВМ «remote-gateway».

      • <left_public_IP> — публичный IP-адрес ВМ «remote-gateway».

      • <left_subnet> — адрес подсети «remote-subnet».

      При настройке удаленной стороны она становится левой стороной туннеля, а сторона облака Evolution становится правой стороной.

      Подробное описание параметров файла /etc/ipsec.conf смотрите в документации strongSwan.

  9. Заполните файл секретов:

    1. Откройте файл /etc/ipsec.secrets для редактирования:

      sudo nano /etc/ipsec.secrets
    2. Вставьте в файл ключевую фразу (PSK, Pre-Shared Key) туннеля:

      <left_public_IP> <right_public_IP> : PSK "<secret_phrase>"

      Где:

      • <left_public_IP> — публичный IP-адрес ВМ «cloud-gateway» на платформе Evolution.

      • <right_public_IP> — публичный IP-адрес ВМ «remote-gateway».

      • <secret_phrase> — ключ для установки IPsec-соединения. Укажите такое же значение, как и в настройках облачного VPN-шлюза.

  10. Перезапустите strongSwan:

    sudo systemctl restart strongswan-starter.service
  11. Проверьте, что VPN-шлюз на стороне Advanced поднят, а IPsec-туннель установлен:

    sudo ipsec status

    Результат:

    Security Associations (1 up, 0 connecting):
    advanced-to-evo[2]: ESTABLISHED 110 seconds ago, 10.0.***.***[37.18.***.***]...176.108.***.***[176.108.***.***]
    advanced-to-evo{1}: INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: c9c35ad9_i c0c7b197_o
    advanced-to-evo{1}: 10.0.***.***/24 === 172.31.***.***/24

Проверьте работу шлюзов

Проверьте, что на обоих VPN-шлюзах появилась возможность пинговать внутренний IP-адрес шлюза с противоположной стороны.

  1. На стороне платформы Evolution на ВМ «cloud-gateway» выполните команду:

    ping -c4 <remote_gateway_internal_IP>

    Где <remote_gateway_internal_IP> — внутренний IP-адрес ВМ «remote-gateway» на платформе Advanced.

  2. На стороне платформы Advanced на ВМ «remote-gateway» выполните команду:

    ping -c4 <cloud_gateway_internal_IP>

    Где <cloud_gateway_internal_IP> — внутренний IP-адрес ВМ «cloud-gateway» на платформе Evolution.

Настройте маршрутизацию

В виртуальных сетях на обеих сторонах необходимо добавить статические маршруты. Это позволит перенаправлять трафик с клиентских ВМ на противоположную сторону туннеля через внутренний интерфейс VPN-шлюза.

Настройте маршрутизацию в Evolution

  1. Перейдите в личный кабинет платформы Evolution.

  2. На верхней панели слева нажмите Кнопка с изображением девяти точек и выберите Сеть → VPC.

  3. Выберите сеть «cloud-vpc».

  4. Перейдите на вкладку Маршруты.

  5. Нажмите Создать маршрут.

  6. Укажите параметры маршрута:

    • Адрес назначения — адрес подсети «remote-subnet» на платформе Advanced.

    • Next Hop Type — «Виртуальная машина».

    • Виртуальная машина — выберите ВМ «cloud-gateway».

    • Интерфейс — выберите интерфейс ВМ «cloud-gateway», который подключен к подсети «cloud-subnet».

  7. Нажмите Создать.

    Дождитесь, когда статус маршрута сменится на «Активен».

Настройте маршрутизацию в Advanced

  1. Войдите в консоль управления Advanced:

  2. В списке сервисов выберите Virtual Private Cloud.

  3. В меню слева выберите Route Tables.

  4. Нажмите Create Route Table.

  5. Укажите параметры таблицы маршрутизации:

    • Name — «rtb-remote-vpc».

    • VPC — выберите сеть «remote-vpc».

  6. Добавьте маршрут в таблицу:

    1. В блоке Route Settings нажмите Add Route.

    2. Укажите параметры маршрута:

      • Destination Type — «IP address».

      • Destination — адрес подсети «cloud-subnet» на платформе Evolution.

      • Next Hop Type — «Server».

      • Next Hop — выберите ВМ «remote-gateway».

  7. Нажмите OK.

  8. Во всплывающем окне нажмите Associate Subnet.

  9. На вкладке Associated Subnets нажмите Associate Subnet.

  10. Отметьте подсеть «remote-subnet» и нажмите OK.

Проверьте работу клиентских ВМ

  1. Проверьте, что удаленный VPN-шлюз и удаленная клиентская ВМ доступны с облачной клиентской ВМ:

    1. Перейдите в личный кабинет платформы Evolution.

    2. На верхней панели слева нажмите Кнопка с изображением девяти точек и выберите Инфраструктура → Виртуальные машины.

    3. Выберите виртуальную машину «cloud-vm» в списке.

    4. Перейдите на вкладку Серийная консоль.

    5. Введите логин и пароль, указанные при создании виртуальной машины.

    6. В терминале поочередно выполните команды:

      ping -c4 <remote_gateway_internal_IP>
      ping -c4 <remote_vm_internal_IP>

      Где:

      • <remote_gateway_internal_IP> — внутренний IP-адрес ВМ «remote-gateway» на платформе Advanced.

      • <remote_vm_internal_IP> — внутренний IP-адрес ВМ «remote-vm» на платформе Advanced.

  2. Проверьте, что облачный VPN-шлюз и облачная ВМ доступны с удаленной клиентской ВМ:

    1. Войдите в консоль управления Advanced:

    2. В списке сервисов выберите Elastic Cloud Server.

    3. Напротив виртуальной машины «remote-vm» нажмите Remote Login.

    4. Введите логин и пароль, указанные при создании виртуальной машины.

    5. В терминале поочередно выполните команды:

      ping -c4 <cloud_gateway_internal_IP>
      ping -c4 <cloud_vm_internal_IP>

      Где:

      • <cloud_gateway_internal_IP> — внутренний IP-адрес ВМ «cloud-gateway» на платформе Evolution.

      • <cloud_vm_internal_IP> — внутренний IP-адрес ВМ «cloud-vm» на платформе Evolution.

Теперь клиентские ВМ могут обмениваться трафиком с помощью настроенного IPsec-туннеля.