140 lines
9.6 KiB
Markdown
140 lines
9.6 KiB
Markdown
|
# Настройка site-to-site подключения с помощью IPSec
|
|||
|
|
|
|||
|
|
В этой статье описана настройка site-to-site подключения по IPSec между шлюзом в виртуальном дата-центре и вашей собственной инфраструктурой.
|
|||
|
|
|
|||
|
|
## Перед началом работы
|
|||
|
|
|
|||
|
|
- Изучите [типы сетевых адаптеров виртуального дата центра](./about-adapters.md) и определите подходящий для вашего сценария.
|
|||
|
|
- [Создайте локальную сеть](./create-network.md) в виртуальном дата-центре и [подключите ее к шлюзу](./connect-to-edge-gateway.md).
|
|||
|
|
- [Сгенерируйте и сохраните ключ PSK для аутентификации](./create-psk.md).
|
|||
|
|
- Согласуйте параметры шифрования и аутентификации IKE и IPSec, которые будут использоваться на обеих сторонах туннеля.
|
|||
|
|
- Создайте локальную сеть в вашем собственном дата-центре.
|
|||
|
|
- Убедитесь, что на внешних брандмауэрах и межсетевых экранах разрешен трафик для IKE и IPSec по портам UDP 500 и UDP 4500, а также протокол ESP.
|
|||
|
|
|
|||
|
|
## Настройка IPSec VPN
|
|||
|
|
|
|||
|
|
Чтобы настроить IPsec с сетевыми устройствами:
|
|||
|
|
|
|||
|
|
1. [Создать набор IP-адресов](#1-создать-набор-ip-адресов).
|
|||
|
|
2. [Создать правило брандмауэра для трафика из сети вашей инфраструктуры в виртуальный дата-центр](#2-создать-правила-брандмауэра-для-трафика-из-локальной-сети-вашей-инфраструктуры-в-виртуальный-дата-центр).
|
|||
|
|
3. [Создать правило брандмауэра для трафика из виртуального дата-центра в сеть вашей инфраструктуры](#3-создать-правила-брандмауэра-для-трафика-из-виртуального-дата-центра-в-локальную-сеть-вашей-инфраструктуры).
|
|||
|
|
4. [Создать туннель](#4-создать-туннель).
|
|||
|
|
5. [Настроить профиль безопасности](#5-настроит-профиль-безопасности).
|
|||
|
|
6. Настроить сетевое устройство для подключения к виртуальному дата-центру:
|
|||
|
|
|
|||
|
|
- [ASAv](./ipsec/asav.md),
|
|||
|
|
- [CSR 1000v](./ipsec/csr1000v.md),
|
|||
|
|
- [Fortigate](./ipsec/fortigate.md).
|
|||
|
|
|
|||
|
|
### 1. Создать набор IP-адресов
|
|||
|
|
|
|||
|
|
1. Перейдите в раздел **Networking** → **Edge Gateways**.
|
|||
|
|
2. Выберите шлюз из списка, для которого нужно настроить подключение.
|
|||
|
|
3. Перейдите в раздел **Security** → **IP Sets**.
|
|||
|
|
4. Нажмите кнопку **NEW**.
|
|||
|
|
5. В открывшемся окне заполните следующие данные:
|
|||
|
|
|
|||
|
|
- **Name**: введите имя набора IP-адресов.
|
|||
|
|
- (необязательно) **Description**: введите описание, назначение набора IP-адресов.
|
|||
|
|
- **IP Addresses**: Введите IPv4 или IPv6 адрес, диапазон или CIDR (например, `10.0.0.0/24`).
|
|||
|
|
|
|||
|
|
6. Нажмите кнопку **ADD**.
|
|||
|
|
7. Нажмите кнопку **SAVE**.
|
|||
|
|
|
|||
|
|
### 2. Создать правила брандмауэра для трафика из локальной сети вашей инфраструктуры в виртуальный дата-центр
|
|||
|
|
|
|||
|
|
1. Перейдите в раздел **Services** → **Firewall**.
|
|||
|
|
2. Нажмите кнопку **NEW**.
|
|||
|
|
3. В открывшемся окне заполните следующие данные:
|
|||
|
|
|
|||
|
|
- **Name**: введите имя правила брандмауэра.
|
|||
|
|
- **Source**: нажмите на изображение карандаша, выберите из списка созданный ранее набор адресов и нажмите кнопку **KEEP**.
|
|||
|
|
- **Destination**: нажмите на изображение карандаша, выберите из списка локальную сеть в вашем виртуальном дата-центре и нажмите кнопку **KEEP**.
|
|||
|
|
- (необязательно) Включите опцию **Logging** для записи проходящего через правило трафика в журнал.
|
|||
|
|
|
|||
|
|
4. Нажмите кнопку **SAVE**.
|
|||
|
|
|
|||
|
|
### 3. Создать правила брандмауэра для трафика из виртуального дата-центра в локальную сеть вашей инфраструктуры
|
|||
|
|
|
|||
|
|
1. Нажмите кнопку **NEW**.
|
|||
|
|
2. В открывшемся окне заполните следующие данные:
|
|||
|
|
|
|||
|
|
- **Name**: введите имя правила брандмауэра.
|
|||
|
|
- **Source**: нажмите на изображение карандаша, выберите из списка локальную сеть в вашем виртуальном дата-центре и нажмите кнопку **KEEP**.
|
|||
|
|
- **Destination**: нажмите на изображение карандаша, выберите из списка созданный ранее набор адресов и нажмите кнопку **KEEP**.
|
|||
|
|
- (необязательно) Включите опцию **Logging** для записи проходящего через правило трафика в журнал.
|
|||
|
|
|
|||
|
|
3. Нажмите кнопку **SAVE**.
|
|||
|
|
|
|||
|
|
### 4. Создать туннель
|
|||
|
|
|
|||
|
|
1. Перейдите в раздел **Services** → **IPSec VPN**.
|
|||
|
|
2. Нажмите кнопку **NEW**.
|
|||
|
|
3. В открывшемся окне на шаге **General Settings** заполните следующие данные:
|
|||
|
|
|
|||
|
|
- **Name**: введите имя туннеля.
|
|||
|
|
- (необязательно) **Description**: введите описание, назначение туннеля.
|
|||
|
|
- **Type**: выберите опцию `Policy Based`.
|
|||
|
|
- **Security Profile**: выберите опцию `Default`.
|
|||
|
|
- (необязательно) Включите опцию **Logging** для записи проходящего через туннель трафика в журнал.
|
|||
|
|
|
|||
|
|
4. Нажмите кнопку **NEXT**.
|
|||
|
|
5. На шаге **Peer Authentication Mode** заполните следующие данные:
|
|||
|
|
|
|||
|
|
- **Authentication Mode**: выберите опцию **Pre-Shared Key**.
|
|||
|
|
- **Pre-Shared Key**: укажите созданный ранее ключ.
|
|||
|
|
|
|||
|
|
6. Нажмите кнопку **NEXT**.
|
|||
|
|
7. На шаге **Endpoint Configuration** заполните следующие данные:
|
|||
|
|
|
|||
|
|
В подразделе **Local Endpoint**:
|
|||
|
|
|
|||
|
|
- **IP Address**: введите внешний IP-адрес виртуального дата-центра. Доступные внешние IP-адреса можно посмотреть, нажав на иконку ⓘ в этом поле.
|
|||
|
|
- **Networks**: укажите IP-адрес локальной сети в вашем виртуальном дата-центре, например, `10.0.0.0/24`.
|
|||
|
|
|
|||
|
|
В подразделе **Remote Endpoint**:
|
|||
|
|
|
|||
|
|
- **IP Address**: введите внешний IP-адрес устройства в вашей инфраструктуре.
|
|||
|
|
- **Networks**: укажите IP-адрес локальной сети в вашей инфраструктуре.
|
|||
|
|
- **Remote ID**: введите внешний IP-адрес устройства в вашей инфраструктуре.
|
|||
|
|
|
|||
|
|
8. Нажмите кнопку **NEXT**.
|
|||
|
|
9. Проверьте данные туннеля.
|
|||
|
|
10. Нажмите кнопку **FINISH**.
|
|||
|
|
|
|||
|
|
### 5. Настроит профиль безопасности
|
|||
|
|
|
|||
|
|
::: info Примечание
|
|||
|
|
Значения параметров, приведенные ниже, не являются универсальными. Замените их на значения, актуальные для вашей конфигурации, инфраструктуры и сетевого оборудования.
|
|||
|
|
:::
|
|||
|
|
|
|||
|
|
1. В таблице в строчке с созданным туннелем нажмите на **…**.
|
|||
|
|
2. Нажмите кнопку **Security Profile Customization**.
|
|||
|
|
3. В разделе **IKE Profiles** задайте следующие параметры:
|
|||
|
|
|
|||
|
|
- **Version**: `IKE v2`.
|
|||
|
|
- **Encryption**: `AES 128`.
|
|||
|
|
- **Digest**: `SHA 2 - 256`.
|
|||
|
|
- **Diffie-Hellman Group**: `Group 14`.
|
|||
|
|
- **Association Life Time (seconds)**: `86400`.
|
|||
|
|
|
|||
|
|
4. В разделе **Tunnel Configuration** задайте следующие параметры:
|
|||
|
|
|
|||
|
|
- **Enable Perfect Forward Secrecy**: включите опцию.
|
|||
|
|
- **Defragmentation Policy**: `Copy`.
|
|||
|
|
- **Encryption**: `AES GCM 128`.
|
|||
|
|
- **Digest**: оставьте пустым.
|
|||
|
|
- **Diffie-Hellman Group** `Group 14`.
|
|||
|
|
- **Association Life Time (seconds)**: `3600`.
|
|||
|
|
|
|||
|
|
5. В разделе **DPD Configuration** задайте значение параметра **Probe Interval (seconds)**: `60`.
|
|||
|
|
6. Нажмите **SAVE**.
|
|||
|
|
|
|||
|
|
### 6. Настроить адаптер
|
|||
|
|
|
|||
|
|
Настройте один из адаптеров:
|
|||
|
|
|
|||
|
|
- [ASAv](./ipsec/asav.md),
|
|||
|
|
- [CSR 1000v](./ipsec/csr1000v.md),
|
|||
|
|
- [Fortigate](./ipsec/fortigate.md).
|