Создать VPN Connection

Чтобы с помощью Enterprise Edition VPN подключить локальный ЦОД или частную сеть к ресурсам в облачной сети, после создания VPN Gateway и Customer Gateway нужно создать VPN Connection. Для этого:

1. Войдите в консоль управления Advanced:

   • через личный кабинет Cloud.ru;

   • как IAM-пользователь.

2. В списке сервисов выберите Virtual Private Network.

3. В меню слева перейдите в раздел Virtual Private Network → Enterprise — VPN Connections.

4. В правом верхнем углу нажмите Create VPN Connection.

5. В поле Name задайте название VPN Connection.

   Требования к названию

6. В поле VPN Gateway выберите VPN Gateway, для которого будет создан VPN Connection.

7. В Gateway IP Address выберите доступный IP-адрес.

8. В Customer Gateway выберите Customer Gateway, который будет соединен с VPN Gateway с помощью создаваемого VPN Connection.

   Если Customer Gateway подключается к нескольким VPN Gateway, у всех VPN Gateway должны совпадать BGP ASN и VPN Type.

9. В VPN Type выберите тип маршрутизации:

   • Static routing — статическая маршрутизация.

   • BGP routing — динамическая BPG-маршрутизация.

   • Policy-based — маршрутизация на основе политик.

   Значение VPN Type должно совпадать с типом маршрутизации на устройстве клиента.

10. В поле Customer Subnet введите до 50 подсетей локального ЦОДа или частной сети, которым нужен доступ к облачной сети через VPN Connection. Если подсетей несколько, введите их через запятую.

    Примечание

    • Customer Subnet может пересекаться с Local Subnet, но они не должны совпадать.

    • Customer Subnet не может быть включена в существующие подсети той сети VPC, которая связана с VPN Gateway.

    • Customer Subnet не может совпадать с адресом назначения в таблице маршрутизации той сети VPC, которая связана с VPN Gateway.

    • Customer Subnet не может совпадать с зарезервированным подсетями:

      • 100.64.0.0/10

      • 127.0.0.0/8

      • 169.254.0.0/16

      • 198.19.128.0/20

      • 214.0.0.0/8

    • Если подсеть Interconnection Subnet связана с правилами Network ACL, убедитесь, что эти правила разрешают TCP-трафик между всеми подсетями Local Subnets и Customer Subnets.

    • IP Address Groups не могут быть использованы для настройки подсетей Source и Destination в политиках безопасности на Customer Gateway устройствах.

11. Параметр Interface IP Address Assignment доступен, если в качестве VPN Type выбран тип маршрутизации Static routing или BGP routing.

    Выберите способ назначения IP-адресов для интерфейсов:

    ---

    Вручную

    Автоматически

    Выберите Manually specify и задайте IP-адреса интерфейсов:

    • В поле Local Tunnel Interface Address задайте IP-адрес туннельного интерфейса, настроенного на VPN Gateway. Допустимое значение — 169.254.X.X/30, кроме 169.254.195.X/30.

      Если в качестве VPN Type выбран тип маршрутизации BGP routing, после создания VPN Connection убедитесь, что на устройстве Customer Gateway IP-адреса туннельных интерфейсов настроены в соответствии с настройками со стороны VPN Connection.

    • В поле Customer Tunnel Interface Address будет указан IP-адрес туннельного интерфейса, настроенного на устройстве Customer Gateway. Он зависит от IP-адреса, указанного в поле Local Tunnel Interface Address.

12. Параметр Link Detection доступен, если в качестве VPN Type выбран тип маршрутизации Static routing.

    С этой опцией VPN Gateway будет автоматически выполнять Network Quality Analysis (NQA) — анализ качества сети по IP-адресу Customer Gateway для определения надежности маршрута при наличии нескольких каналов.

    При включении опции Link Detection убедитесь, что Customer Gateway поддерживает ICMP и правильно сконфигурирован с IP-адресом интерфейса со стороны клиента для VPN Connection, иначе трафик не будет переадресован.

13. В полях PSK и Confirm PSK — введите и подтвердите Pre-shared key (PSK). Убедитесь, что с обоих сторон соединения используется один и тот же ключ.

    Требования к PSK

14. Параметр Policy доступен, если в качестве VPN Type выбран тип маршрутизации Policy-based.

    Раздел Policy содержит правила политики маршрутизации. Они определяют потоки данных, которые проходят через VPN-соединение между облачными и клиентскими подсетями.

    В правилах политики маршрутизации укажите:

    • Source CIDR Block — облачную подсеть.

    • Destination CIDR Block — клиентские подсети через запятую.

      Максимальное количество клиентских подсетей в одном правиле — 50.

    Максимальное количество правил — 5.

    Суммарно в правилах должны быть отражены:

    • хотя бы несколько облачных подсетей;

    • все клиентские подсети.

15. В Policy Settings выберите способ настройки IKE и IPsec-политик:

    • Default — использовать стандартные политики.

    • Custom — использовать собственные политики.

      Настроить IKE Policy Настроить IPsec Policy
      Настроить IKE Policy Настроить IPsec Policy

16. (Опционально) Чтобы добавить теги сервиса TMS, нажмите Advanced Settings.

17. Нажмите Buy Now.

18. Проверьте конфигурацию VPN Connection и нажмите Submit.