Настройка виртуального L3 канала на базе IPSec

L3 канал на базе IPSec используется для защиты данных, которые передаются между сайтами вне облака и сетями L3 на удаленной площадке.

../../_images/sch__l3-ipsec.svg

На схеме:

  • x.x.x.x, y.y.y.y — внешние IP-адреса;

  • a.a.a.a/24 — адрес внутренней Routed-сети виртуального ЦОД;

  • b.b.b.b/24 — адрес сети на удаленной площадке.

Вы можете самостоятельно настроить IPSec-канал с типом сессий policy-based. Чтобы настроить IPSec route-based, обратитесь в техническую поддержку.

Создание policy-based IPSec-канала между Edge Gateway в текущем тенанте и Edge Gateway в другом тенанте

  1. В разделе Data Centers нажмите на карточку виртуального ЦОД и в меню слева выберите Edges.

  2. Нажмите на название Edge Gateway.

  3. В разделе Services → IPSec VPN нажмите NEW. Откроется форма Add IPSec VPN Tunnel.

  4. Заполните раздел General Settings:

    • Name — название канала IPSec VPN.

    • (Опционально) Description — описание канала IPSec VPN.

    • Security Profile — оставьте профиль по умолчанию.

    • Status — оставьте активированным.

    • Logging — активируйте при необходимости регистрировать преобразование адресов, выполняемое этим правилом.

  5. Заполните раздел Peer Authentication Mode:

    • Authentication Mode — выберите способ аутентификации.

    • (При выборе Pre-Shared Key) Укажите ключ аутентификации. Необходимо, чтобы ключ был одинаковый на обоих концах канала IPSec VPN.

    • (При выборе Certificate) Загрузите Server Certificate и CA Certificate, нажав SELECT.

  6. Заполните раздел Endpoint Configuration:

    • Local Endpoint → IP Address — публичный IP-адрес Edge Gateway в формате «x.x.x.x».

    • Local Endpoint → Networks — локальная сеть виртуального ЦОД в формате «a.a.a.0/24».

    • Remote Endpoint → IP Address — IP-адрес удаленной площадки в формате «y.y.y.y».

    • Remote Endpoint → Networks — частная подсеть, которая будет туннелироваться IPsec VPN в формате «b.b.b.0/24».

    • (Опционально) Remote Endpoint → Remote ID — идентификатор удаленной площадки. Если оставить поле незаполненным, идентификатор будет совпадать с IP-адресом удаленной площадки.

  7. Нажмите SAVE.

Настройка параметров Security Profile

  1. В разделе Services → IPSec VPN выберите созданный ранее канал IPSec VPN.

    Сверху появится опция SECURITY PROFILE CUSTOMIZATION — нажмите на нее.

    ../../_images/s__security-profile.png
  2. Заполните форму Customize Security Profile:

    В разделе IKE Profiles:

    • Version — версия протокола Internet Key Exchange (IKE).

    • Encryption — алгоритм шифрования.

    • Digest — алгоритм аутентификации.

    • Diffie-Hellman Group — параметр, определяющий надежность ключа шифрования.

    • (Опционально) Assication Life Time (seconds) — количество секунд, по истечении которых канал IPSec переустановится.

    В разделе Tunnel Configuration:

    • Enable Perfect Forward Secrecy — активируйте переключатель.

    • Defragmentation Policy — выберите политику дефрагментации.

    • Encryption — алгоритм шифрования.

    • Digest — алгоритм аутентификации.

    • Diffie-Hellman Group — параметр, определяющий надежность ключа шифрования.

    • (Опционально) Assication Life Time (seconds) — количество секунд, по истечении которых канал IPSec переустановится.

    В разделе DPD Configuration:

    (Опционально) Probe Interval (seconds) — оставьте по умолчанию.

  3. Проверьте указанные данные и нажмите FINISH.

После сохранения изменений Security Profile в канале IPSec поменяется на пользовательский.

Проверка работоспособности

В разделе Services → IPSec VPN выберите созданный ранее канал IPSec VPN.

Сверху появится опция VIEW STATISTICS — нажмите на нее.

../../_images/s__view-statistic.png

Если в полях Tunnel Status и IKE service Status указано «Up», канал IPSec появился.

../../_images/s__view-statistic2.png

Примечание

После проверки работоспособности настройте правила Firewall, разрешающие прохождение трафика между приватными сетями, которые должны быть видны друг для друга через канал, с двух сторон канала.