fox/src/vdc/vdc-how-to/networks/how-to-setup-ipsec-vpn.md

# Настройка site-to-site подключения с помощью IPSec

В этой статье описана настройка site-to-site подключения по IPSec между шлюзом в виртуальном дата-центре и вашей собственной инфраструктурой.

## Перед началом работы

- Изучите [типы сетевых адаптеров виртуального дата центра](about.md#сетевые-адаптеры) и определите подходящий для вашего сценария.
- [Создайте локальную сеть](./create-network.md) в виртуальном дата-центре и [подключите ее к шлюзу](./connect-to-edge-gateway.md).
- [Сгенерируйте и сохраните ключ PSK для аутентификации](./create-psk.md).
- Согласуйте параметры шифрования и аутентификации IKE и IPSec, которые будут использоваться на обеих сторонах туннеля.
- Создайте локальную сеть в вашем собственном дата-центре.
- Убедитесь, что на внешних брандмауэрах и межсетевых экранах разрешен трафик для IKE и IPSec по портам UDP 500 и UDP 4500, а также протокол ESP.

## Настройка IPSec VPN

Чтобы настроить IPsec с сетевыми устройствами:

1. [Создать набор IP-адресов](#1-создать-набор-ip-адресов).
2. [Создать правило брандмауэра для трафика из сети вашей инфраструктуры в виртуальный дата-центр](#2-создать-правила-брандмауэра-для-трафика-из-локальной-сети-вашей-инфраструктуры-в-виртуальный-дата-центр).
3. [Создать правило брандмауэра для трафика из виртуального дата-центра в сеть вашей инфраструктуры](#3-создать-правила-брандмауэра-для-трафика-из-виртуального-дата-центра-в-локальную-сеть-вашей-инфраструктуры).
4. [Создать туннель](#4-создать-туннель).
5. [Настроить профиль безопасности](#5-настроит-профиль-безопасности).
6. Настроить сетевое устройство для подключения к виртуальному дата-центру:

    - [ASAv](./ipsec/asav.md),
    - [CSR 1000v](./ipsec/csr1000v.md),
    - [Fortigate](./ipsec/fortigate.md).

### 1. Создать набор IP-адресов

1. Перейдите в раздел **Networking** → **Edge Gateways**.
2. Выберите шлюз из списка, для которого нужно настроить подключение.
3. Перейдите в раздел **Security** → **IP Sets**.
4. Нажмите кнопку **NEW**.
5. В открывшемся окне заполните следующие данные:

   - **Name**: введите имя набора IP-адресов.
   - (необязательно) **Description**: введите описание, назначение набора IP-адресов.
   - **IP Addresses**: Введите IPv4 или IPv6 адрес, диапазон или CIDR (например, `10.0.0.0/24`).

6. Нажмите кнопку **ADD**.
7. Нажмите кнопку **SAVE**.

### 2. Создать правила брандмауэра для трафика из локальной сети вашей инфраструктуры в виртуальный дата-центр

1. Перейдите в раздел **Services** → **Firewall**.
2. Нажмите кнопку **NEW**.
3. В открывшемся окне заполните следующие данные:

   - **Name**: введите имя правила брандмауэра.
   - **Source**: нажмите на изображение карандаша, выберите из списка созданный ранее набор адресов и нажмите кнопку **KEEP**.
   - **Destination**: нажмите на изображение карандаша, выберите из списка локальную сеть в вашем виртуальном дата-центре и нажмите кнопку **KEEP**.
   - (необязательно) Включите опцию **Logging** для записи проходящего через правило трафика в журнал.

4. Нажмите кнопку **SAVE**.

### 3. Создать правила брандмауэра для трафика из виртуального дата-центра в локальную сеть вашей инфраструктуры

1. Нажмите кнопку **NEW**.
2. В открывшемся окне заполните следующие данные:

   - **Name**: введите имя правила брандмауэра.
   - **Source**: нажмите на изображение карандаша, выберите из списка локальную сеть в вашем виртуальном дата-центре и нажмите кнопку **KEEP**.
   - **Destination**: нажмите на изображение карандаша, выберите из списка созданный ранее набор адресов и нажмите кнопку **KEEP**.
   - (необязательно) Включите опцию **Logging** для записи проходящего через правило трафика в журнал.

3. Нажмите кнопку **SAVE**.

### 4. Создать туннель

1. Перейдите в раздел **Services** → **IPSec VPN**.
2. Нажмите кнопку **NEW**.
3. В открывшемся окне на шаге **General Settings** заполните следующие данные:

   - **Name**: введите имя туннеля.
   - (необязательно) **Description**: введите описание, назначение туннеля.
   - **Type**: выберите опцию `Policy Based`.
   - **Security Profile**: выберите опцию `Default`.
   - (необязательно) Включите опцию **Logging** для записи проходящего через туннель трафика в журнал.

4. Нажмите кнопку **NEXT**.
5. На шаге **Peer Authentication Mode** заполните следующие данные:

   - **Authentication Mode**: выберите опцию **Pre-Shared Key**.
   - **Pre-Shared Key**: укажите созданный ранее ключ.

6. Нажмите кнопку **NEXT**.
7. На шаге **Endpoint Configuration** заполните следующие данные:

   В подразделе **Local Endpoint**:

   - **IP Address**: введите внешний IP-адрес виртуального дата-центра. Доступные внешние IP-адреса можно посмотреть, нажав на иконку ⓘ в этом поле.
   - **Networks**: укажите IP-адрес локальной сети в вашем виртуальном дата-центре, например, `10.0.0.0/24`.

   В подразделе **Remote Endpoint**:

   - **IP Address**: введите внешний IP-адрес устройства в вашей инфраструктуре.
   - **Networks**: укажите IP-адрес локальной сети в вашей инфраструктуре.
   - **Remote ID**: введите внешний IP-адрес устройства в вашей инфраструктуре.

8. Нажмите кнопку **NEXT**.
9. Проверьте данные туннеля.
10. Нажмите кнопку **FINISH**.

### 5. Настроит профиль безопасности

::: tip Информация
Значения параметров, приведенные ниже, не являются универсальными. Замените их на значения, актуальные для вашей конфигурации, инфраструктуры и сетевого оборудования.
:::

1. В таблице в строчке с созданным туннелем нажмите на **…**.
2. Нажмите кнопку **Security Profile Customization**.
3. В разделе **IKE Profiles** задайте следующие параметры:

   - **Version**: `IKE v2`.
   - **Encryption**: `AES 128`.
   - **Digest**: `SHA 2 - 256`.
   - **Diffie-Hellman Group**: `Group 14`.
   - **Association Life Time (seconds)**: `86400`.

4. В разделе **Tunnel Configuration** задайте следующие параметры:

   - **Enable Perfect Forward Secrecy**: включите опцию.
   - **Defragmentation Policy**: `Copy`.
   - **Encryption**: `AES GCM 128`.
   - **Digest**: оставьте пустым.
   - **Diffie-Hellman Group** `Group 14`.
   - **Association Life Time (seconds)**: `3600`.

5. В разделе **DPD Configuration** задайте значение параметра **Probe Interval (seconds)**: `60`.
6. Нажмите **SAVE**.

### 6. Настроить адаптер

Настройте один из адаптеров:

- [ASAv](./ipsec/asav.md),
- [CSR 1000v](./ipsec/csr1000v.md),
- [Fortigate](./ipsec/fortigate.md).