Создать VPN Connection
-
Войдите в консоль управления Advanced:
-
В списке сервисов выберите Virtual Private Network.
-
В меню слева перейдите в раздел Classic.
-
Переключитесь на вкладку VPN Connections.
-
Нажмите Create VPN Connection.
-
Задайте параметры соединения:
-
Name — введите название VPN-соединения.
-
VPN Gateway — выберите созданный ранее VPN-шлюз.
-
Local Subnet — укажите подсеть, которая будет соединена с вашим ЦОД или частной сетью:
-
Select subnet — выберите подсеть из списка;
-
Specify CIDR block — укажите одну или несколько подсетей или диапазон IP-адресов.
-
-
Remote Gateway — укажите адрес удаленного шлюза.
-
Remote Subnet — укажите подсеть в вашем ЦОДе или частной сети, которые будут взаимодействовать с VPC по VPN.
ПримечаниеУдаленная и локальная подсети не могут пересекаться друг с другом. Удаленная подсеть не может пересекаться с CIDR-блоками существующих подключений VPC Peering и Direct Connect, созданных для локального VPC.
-
PSK (Pre-shared key) и Confirm PSK — введите и подтвердите ключ. Он используется для IKE-согласования между устройствами на обоих сторонах VPN-соединения. Убедитесь, что с обоих сторон используется один и тот же PSK.
Требования к PSK:
-
6–128 символов;
-
буквы;
-
цифры;
-
специальные символы: ~, !, @, #, $, %, ^, (, ), -, _, +, =, {, }, ,, ., /, :, ;.
-
-
Advanced Setting — настройки протокола шифрования данных IKE и политики шифрования IPsec:
-
Default — оставить настройки по умолчанию;
-
Custom — настроить политики шифрования данных вручную.
-
-
-
Если вы выбрали вкладку Custom, задайте дополнительные параметры.
Параметры в блоке IKE Policy:
-
Authentication Algorithm — выберите алгоритм авторизации: SHA1, SHA2-256, SHA2-384, SHA2-512 или MD5.
-
Encryption Algorithm — укажите алгоритм шифрования: AES-128, AES-192, AES-256 или 3DES.
ПримечаниеНе рекомендуется использовать алгоритм 3DES, потому что он недостаточно надежен для защиты данных.
-
DH Algorithm — выберите алгоритм обмена ключом шифрования. Алгоритм используется на двух сторонах VPN-соединения и должен быть одинаковым.
-
Version — выберите версию протокола IKE.
-
Lifecycle — укажите величину жизненного цикла ключа в секундах. Ассоциация безопасности (Security Association) будет пересмотрена, если ее жизненный цикл истечет. Значение по умолчанию — 86400.
-
Negotiation Mode — при выборе версии 1 в поле Version можно указать режим согласования — Main или Aggressive. Значение по умолчанию — Main.
Параметры в блоке IPsec Policy:
-
Authentication Algorithm — выберите алгоритм авторизации: SHA1, SHA2-256, SHA2-384, SHA2-512 или MD5.
-
Encryption Algorithm — укажите алгоритм шифрования: AES-128, AES-192, AES-256 или 3DES.
ПримечаниеНе рекомендуется использовать алгоритм 3DES, потому что он недостаточно надежен для защиты данных.
-
- PFS — совершенно прямая секретность (Perfect Forward Secrecy).
Используется для согласования туннеля IPsec.
-
Transfer Protocol — выберите протокол безопасности, используемый для передачи и инкапсуляции пользовательских данных: AH, ESP или AH-ESP.
-
Lifecycle — укажите величину жизненного цикла ключа в секундах. Ассоциация безопасности (Security Association) будет пересмотрена, если ее жизненный цикл истечет. Значение по умолчанию — 3 600.
-
-
Нажмите Create Now.
VPN-соединение создано.