srv-img Virtual Private Network

Как настроить удаленное устройство для VPN-соединения?

Из-за симметричности туннеля параметры VPN-соединения, настроенные в виртуальной инфраструктуре, должны совпадать с параметрами в вашем аппаратном ЦОД. В случае различия параметров, VPN-соединения не будет установлено.

Для успешного VPN-соединения вам также необходимо настроить IPsec VPN на маршрутизаторе или межсетвом экране в вашем аппаратном ЦОД. Метод настройки может различаться в зависимости от используемого сетевого устройства. Подробнее читайте в руководстве по настройке вашего сетевого устройства.

Ниже описано, как настроить IPsec VPN на модели межсетевого экрана Huawei USG6600 (релиз «V100R001C30SPC300»).

Например, подсети центра обработки данных — 192.168.3.0/24 и 192.168.4.0/24, подсети VPC — 192.168.1.0/24 и 192.168.2.0/24, а публичный IP-адрес шлюза в VPC — XXX.XXX.XXX.XXX.

  1. Войдите в интерфейс командной строки (CLI) межсетевого экрана.

  2. Проверьте версию релиза.

    display   version 
     17 : 20 : 502017 / 03 / 09 
     Huawei   Versatile   Security   Platform   Software 
     Software   Version :   USG6600   V100R001C30SPC300   ( VRP   ( R )   Software ,   Version   5.30 )

  3. Создайте и опишите разрешенный список доступа (ACL) и назначьте соответствие целевому инстансу VPN.

    acl   number   3065   vpn - instance   vpn64 
     rule   1   permit   ip   source   192.168.3.0   0.0.0.255   destination   192.168.1.0   0.0.0.255 
     rule   2   permit   ip   source   192.168.3.0   0.0.0.255   destination   192.168.2.0   0.0.0.255 
     rule   3   permit   ip   source   192.168.4.0   0.0.0.255   destination   192.168.1.0   0.0.0.255 
     rule   4   permit   ip   source   192.168.4.0   0.0.0.255   destination   192.168.2.0   0.0.0.255 
     q

  4. Создайте и опишите политику IKE.

    ike   proposal   64 
     dh   group5 
     authentication - algorithm   sha1 
     integrity - algorithm   hmac - sha2 - 256 
     sa   duration   3600 
     q

  5. Создайте описание смежного устройства IKE (в этом случае VPN Gateway в виртуальной инфраструктуре VPC) и укажите ссылку на созданную политику IKE. IP-адрес смежного устройства — 93.188.242.110.

    ike   peer   vpnikepeer_64 
     pre - shared - key   ********   ( ********   specifies   the   pre - shared   key . ) 
     ike - proposal   64 
     undo   version   2 
     remote - address   vpn - instance   vpn64   93.188.242.110 
     sa   binding   vpn - instance   vpn64 
     q

  6. Опишите режим работы протокола IPsec.

    ipsec   proposal   ipsecpro64 
     encapsulation - mode   tunnel 
     esp   authentication - algorithm   sha1 
     q

  7. Создайте и опишите политику IPsec и укажите ссылку на политику IKE и режим работы протокола IPsec.

    ipsec   policy   vpnipsec64   1   isakmp 
     security   acl   3065 
     pfs   dh - group5 
     ike - peer   vpnikepeer_64 
     proposal   ipsecpro64 
     local - address   xx . xx . xx . xx 
     q

  8. Примените политику IPsec к субинтерфейсу.

    interface   GigabitEthernet0 / 0 / 2.64 
     ipsec   policy   vpnipsec64 
     q

  9. Проверьте подключение с помощью утилиты ping. И убедитесь, что удаленный IP-адрес доступен.

Была ли статья полезной ?
Предыдущая статья
Почему у VPN-соединения отображается статус «Not Connected»?
Следующая статья
Что делать, если VPN-соединение прервано или скорость сети низкая?
/ DOCS
Advanced