Документация по настройке VPN #VEGA-6073

src/.vitepress/config.mts

@@ -215,7 +215,18 @@ export default defineConfig({
                 {text: 'Подключение ВМ в vApp к сети', link: '/vdc/vdc-how-to/networks/connect-vapp-to-network.md'},       
                 {text: 'Подключение ВМ к интернету', link: '/vdc/vdc-how-to/networks/connect-vm-to-network.md'},       
                 {text: 'Создание сети в организации и подключение к Edge Gateway', link: '/vdc/vdc-how-to/networks/create-network.md'},  
-                {text: 'Подключение сети к Edge Gateway', link: '/vdc/vdc-how-to/networks/isolated-to-routed.md'},            
+                {text: 'Подключение сети к Edge Gateway', link: '/vdc/vdc-how-to/networks/connect-to-edge-gateway.md'},
+                {text: 'Создание Pre-Shared Key', link: '/vdc/vdc-how-to/networks/create-psk.md'},     
+                {text: 'Сетевые адаптеры', link: '/vdc/vdc-how-to/networks/about-adapters.md'},     
+                { text: 'Настройка site-to-site подключения с помощью IPSec', link: '/vdc/vdc-how-to/networks/how-to-setup-ipsec-vpn.md',
+                  collapsed: true,
+                  items: [
+                    {text: 'Настройка ASAv', link: '/vdc/vdc-how-to/networks/ipsec/asav.md'},     
+                    {text: 'Настройка CSR 1000v', link: '/vdc/vdc-how-to/networks/ipsec/csr1000v.md'},     
+                    {text: 'Настройка Fortigate', link: '/vdc/vdc-how-to/networks/ipsec/fortigate.md'},
+                    {text: 'Проверить сетевую связанность', link: '/vdc/vdc-how-to/networks/ipsec/check-vpn-status.md'},    
+                  ],  
+                },
               ],  
             },
             { text: 'Пользователи и роли', link: '/vdc/vdc-how-to/users/users-index.md',

src/vdc/vdc-how-to/networks/about-adapters.md

@@ -0,0 +1,67 @@
+# Сетевые адаптеры
+
+В Cloud Director доступны сетевые адаптеры для маршрутизации, защиты трафика и публикации сервисов в частных облачных сетях.
+
+Сетевые адаптеры применяют для организации VPN к инфраструктуре в облаке и других сценариев разграничения и подключения сетей. В этой статье представлено описание решений, поддерживаемые платформой, и сравнение их возможностей.
+
+## ASAv
+
+Виртуальная система безопасности Cisco ASA для разграничения сетей. Обеспечивает защиту трафика и контроль доступа.
+
+Доступны следующие функции:
+
+- Межсетевой экран уровня сети и приложений.
+- IPsec и SSL VPN для удаленного доступа.
+- Сегментация сетей и контроль политик.
+- Активный-резервный режим HA.
+- Управление через Cisco ASDM и API.
+- Масштабирование производительности через лицензии.
+
+## CSR 1000v
+
+Виртуальный маршрутизатор Cisco IOS XE для облачных инфраструктур. Обеспечивает гибкую маршрутизацию и интеграцию с сетевыми сервисами.
+
+Доступны следующие функции:
+
+- BGP, OSPF, IS-IS.
+- NAT и DHCP.
+- VPN и защита канала.
+- Автоматизация через NETCONF, RESTCONF, Ansible.
+- Мониторинг через SNMP и телеметрию.
+
+## Fortigate
+
+Виртуальное устройство Fortinet для комплексной безопасности трафика. Обеспечивает контроль доступа и защиту от угроз.
+
+Доступны следующие функции:
+
+- Межсетевой экран и IPS.
+- Фильтрация URL и контроль приложений.
+- SSL VPN и IPsec.
+- Централизованное управление через FortiManager.
+- Аналитика и журналы через FortiAnalyzer.
+- Инспекция TLS трафика.
+
+## NSX Edge Gateway
+
+Виртуальное устройство в Cloud Director. Обеспечивает публикацию сервисов и разграничение сред.
+
+Доступны следующие функции:
+
+- Статическая и динамическая маршрутизация.
+- NAT и DHCP.
+- Межсетевой экран уровня L4.
+- VPN и балансировка нагрузки.
+- Изоляция сетей и поддержка мультиаренды.
+
+## Сравнительная таблица
+
+| Параметр              | ASAv                   | CSR 1000v                              | Fortigate                            | NSX Edge Gateway                                 |
+| --------------------- | ---------------------- | -------------------------------------- | ------------------------------------ | ------------------------------------------------ |
+| Назначение            | Безопасность периметра | Маршрутизация в частных облачных сетях | Защита трафика и контроль приложений | Сервис периметра в среде «VMWare Cloud Director» |
+| Уровень защиты        | L3–L7                  | L3                                     | L3–L7, IPS, анализ трафика           | L3–L4                                            |
+| VPN                   | IPsec, SSL             | IPsec                                  | IPsec, SSL                           | IPsec                                            |
+| Балансировка нагрузки | Нет                    | Через внешние сетевые сервисы          | В отдельных редакциях                | Встроенная                                       |
+| Маршрутизация         | Статическая            | BGP, OSPF, IS-IS                       | Статическая                          | Статическая, динамическая                        |
+| NAT, DHCP             | Поддерживает           | Поддерживает                           | Поддерживает                         | Поддерживает                                     |
+| Мультиарендность      | Ограниченная изоляция  | Ограниченная изоляция                  | Ограниченная изоляция                | Полная изоляция сетей и политик                  |

src/vdc/vdc-how-to/networks/create-psk.md

@@ -0,0 +1,33 @@
+# Создание Pre-Shared Key
+
+Pre-Shared Key (PSK) — общий секретный ключ для проверки сторон при установке IPSec VPN соединения. Pre-shared key нужен для защиты при обмене ключами.
+
+:::tabs
+== Windows
+
+1. Откройте **PowerShell**.
+2. Выполните следующую команду:
+
+   ```powershell
+   Add-Type -AssemblyName System.Web
+   [System.Web.Security.Membership]::GeneratePassword(32,0)
+   ```
+
+3. Скопируйте результат или сохраните в хранилище секретов. Используйте сгенерированный PSK при [создании туннеля](./how-to-setup-ipsec-vpn.md#4-создать-туннель).
+
+== Linux/macOS
+
+1. Откройте **Терминал**.
+2. Выполните команду:
+
+   ```bash
+   openssl rand -base64 32
+   ```
+
+3. Скопируйте результат или сохраните в хранилище секретов. Используйте сгенерированный PSK при [создании туннеля](./how-to-setup-ipsec-vpn.md#4-создать-туннель).
+
+:::
+
+::: warning Внимание
+Не передавайте ключ третьим лицам.
+:::

src/vdc/vdc-how-to/networks/how-to-setup-ipsec-vpn.md

@@ -0,0 +1,139 @@
+# Настройка site-to-site подключения с помощью IPSec
+
+В этой статье описана настройка site-to-site подключения по IPSec между шлюзом в виртуальном дата-центре и вашей собственной инфраструктурой.
+
+## Перед началом работы
+
+- Изучите [типы сетевых адаптеров виртуального дата центра](./about-adapters.md) и определите подходящий для вашего сценария.
+- [Создайте локальную сеть](./create-network.md) в виртуальном дата-центре и [подключите ее к шлюзу](./connect-to-edge-gateway.md).
+- [Сгенерируйте и сохраните ключ PSK для аутентификации](./create-psk.md).
+- Согласуйте параметры шифрования и аутентификации IKE и IPSec, которые будут использоваться на обеих сторонах туннеля.
+- Создайте локальную сеть в вашем собственном дата-центре.
+- Убедитесь, что на внешних брандмауэрах и межсетевых экранах разрешен трафик для IKE и IPSec по портам UDP 500 и UDP 4500, а также протокол ESP.
+
+## Настройка IPSec VPN
+
+Чтобы настроить IPsec с сетевыми устройствами:
+
+1. [Создать набор IP-адресов](#1-создать-набор-ip-адресов).
+2. [Создать правило брандмауэра для трафика из сети вашей инфраструктуры в виртуальный дата-центр](#2-создать-правила-брандмауэра-для-трафика-из-локальной-сети-вашей-инфраструктуры-в-виртуальный-дата-центр).
+3. [Создать правило брандмауэра для трафика из виртуального дата-центра в сеть вашей инфраструктуры](#3-создать-правила-брандмауэра-для-трафика-из-виртуального-дата-центра-в-локальную-сеть-вашей-инфраструктуры).
+4. [Создать туннель](#4-создать-туннель).
+5. [Настроить профиль безопасности](#5-настроит-профиль-безопасности).
+6. Настроить сетевое устройство для подключения к виртуальному дата-центру:
+
+    - [ASAv](./ipsec/asav.md),
+    - [CSR 1000v](./ipsec/csr1000v.md),
+    - [Fortigate](./ipsec/fortigate.md).
+
+### 1. Создать набор IP-адресов
+
+1. Перейдите в раздел **Networking** → **Edge Gateways**.
+2. Выберите шлюз из списка, для которого нужно настроить подключение.
+3. Перейдите в раздел **Security** → **IP Sets**.
+4. Нажмите кнопку **NEW**.
+5. В открывшемся окне заполните следующие данные:
+
+   - **Name**: введите имя набора IP-адресов.
+   - (необязательно) **Description**: введите описание, назначение набора IP-адресов.
+   - **IP Addresses**: Введите IPv4 или IPv6 адрес, диапазон или CIDR (например, `10.0.0.0/24`).
+
+6. Нажмите кнопку **ADD**.
+7. Нажмите кнопку **SAVE**.
+
+### 2. Создать правила брандмауэра для трафика из локальной сети вашей инфраструктуры в виртуальный дата-центр
+
+1. Перейдите в раздел **Services** → **Firewall**.
+2. Нажмите кнопку **NEW**.
+3. В открывшемся окне заполните следующие данные:
+
+   - **Name**: введите имя правила брандмауэра.
+   - **Source**: нажмите на изображение карандаша, выберите из списка созданный ранее набор адресов и нажмите кнопку **KEEP**.
+   - **Destination**: нажмите на изображение карандаша, выберите из списка локальную сеть в вашем виртуальном дата-центре и нажмите кнопку **KEEP**.
+   - (необязательно) Включите опцию **Logging** для записи проходящего через правило трафика в журнал.
+
+4. Нажмите кнопку **SAVE**.
+
+### 3. Создать правила брандмауэра для трафика из виртуального дата-центра в локальную сеть вашей инфраструктуры
+
+1. Нажмите кнопку **NEW**.
+2. В открывшемся окне заполните следующие данные:
+
+   - **Name**: введите имя правила брандмауэра.
+   - **Source**: нажмите на изображение карандаша, выберите из списка локальную сеть в вашем виртуальном дата-центре и нажмите кнопку **KEEP**.
+   - **Destination**: нажмите на изображение карандаша, выберите из списка созданный ранее набор адресов и нажмите кнопку **KEEP**.
+   - (необязательно) Включите опцию **Logging** для записи проходящего через правило трафика в журнал.
+
+3. Нажмите кнопку **SAVE**.
+
+### 4. Создать туннель
+
+1. Перейдите в раздел **Services** → **IPSec VPN**.
+2. Нажмите кнопку **NEW**.
+3. В открывшемся окне на шаге **General Settings** заполните следующие данные:
+
+   - **Name**: введите имя туннеля.
+   - (необязательно) **Description**: введите описание, назначение туннеля.
+   - **Type**: выберите опцию `Policy Based`.
+   - **Security Profile**: выберите опцию `Default`.
+   - (необязательно) Включите опцию **Logging** для записи проходящего через туннель трафика в журнал.
+
+4. Нажмите кнопку **NEXT**.
+5. На шаге **Peer Authentication Mode** заполните следующие данные:
+
+   - **Authentication Mode**: выберите опцию **Pre-Shared Key**.
+   - **Pre-Shared Key**: укажите созданный ранее ключ.
+
+6. Нажмите кнопку **NEXT**.
+7. На шаге **Endpoint Configuration** заполните следующие данные:
+
+   В подразделе **Local Endpoint**:
+
+   - **IP Address**: введите внешний IP-адрес виртуального дата-центра. Доступные внешние IP-адреса можно посмотреть, нажав на иконку ⓘ в этом поле.
+   - **Networks**: укажите IP-адрес локальной сети в вашем виртуальном дата-центре, например, `10.0.0.0/24`.
+
+   В подразделе **Remote Endpoint**:
+
+   - **IP Address**: введите внешний IP-адрес устройства в вашей инфраструктуре.
+   - **Networks**: укажите IP-адрес локальной сети в вашей инфраструктуре.
+   - **Remote ID**: введите внешний IP-адрес устройства в вашей инфраструктуре.
+
+8. Нажмите кнопку **NEXT**.
+9. Проверьте данные туннеля.
+10. Нажмите кнопку **FINISH**.
+
+### 5. Настроит профиль безопасности
+
+::: info Примечание
+Значения параметров, приведенные ниже, не являются универсальными. Замените их на значения, актуальные для вашей конфигурации, инфраструктуры и сетевого оборудования.
+:::
+
+1. В таблице в строчке с созданным туннелем нажмите на **…**.
+2. Нажмите кнопку **Security Profile Customization**.
+3. В разделе **IKE Profiles** задайте следующие параметры:
+
+   - **Version**: `IKE v2`.
+   - **Encryption**: `AES 128`.
+   - **Digest**: `SHA 2 - 256`.
+   - **Diffie-Hellman Group**: `Group 14`.
+   - **Association Life Time (seconds)**: `86400`.
+
+4. В разделе **Tunnel Configuration** задайте следующие параметры:
+
+   - **Enable Perfect Forward Secrecy**: включите опцию.
+   - **Defragmentation Policy**: `Copy`.
+   - **Encryption**: `AES GCM 128`.
+   - **Digest**: оставьте пустым.
+   - **Diffie-Hellman Group** `Group 14`.
+   - **Association Life Time (seconds)**: `3600`.
+
+5. В разделе **DPD Configuration** задайте значение параметра **Probe Interval (seconds)**: `60`.
+6. Нажмите **SAVE**.
+
+### 6. Настроить адаптер
+
+Настройте один из адаптеров:
+
+- [ASAv](./ipsec/asav.md),
+- [CSR 1000v](./ipsec/csr1000v.md),
+- [Fortigate](./ipsec/fortigate.md).

src/vdc/vdc-how-to/networks/ipsec/asav.md

@@ -0,0 +1,110 @@
+# Настройка ASAv для IPsec VPN
+
+<!--@include: ../about-adapters.md{7,14}-->
+
+::: info Примечание
+Значения параметров, приведенные ниже, не являются универсальными. Замените их на значения, актуальные для вашей конфигурации, инфраструктуры и сетевого оборудования.
+:::
+
+## 1. Подключиться к ASAv
+
+1. Подключитесь к устройству ASAv через SSH или консоль.
+
+2. Перейдите в режим конфигурации.
+
+   ```bash
+   configure terminal
+   ```
+
+## 2. Настроить ACL для трафика VPN
+
+Создайте ACL для трафика, который нужно отправлять в IPsec туннель:
+
+```bash
+access-list NSX-T-T1-VPN extended permit ip 10.0.0.0 255.255.255.0 192.168.0.0 255.255.255.0
+```
+
+## 3. Настроить IKE (фаза 1)
+
+1. Укажите peer и аутентификацию по Pre-Shared Key. Выполните последовательно следующие команды:
+
+   ```bash
+   tunnel-group 193.3.230.4 type ipsec-l2l
+   tunnel-group 193.3.230.4 ipsec-attributes ikev1 pre-shared-key XXXX
+   ```
+
+2. Задайте параметры первой фазы IKE:
+
+   ```bash
+   crypto ikev1 policy 1
+      authentication pre-share
+      encryption aes-256
+      hash sha
+      group 2
+      lifetime 28800
+   ```
+
+## 4. Настроить IPsec и cryptomap (фаза 2)
+
+1. Определите алгоритмы шифрования для второй фазы:
+
+   ```bash
+   crypto ipsec ikev1 transform-set ESP-AES256-SHA esp-aes-256 esp-sha-hmac
+   ```
+
+2. Создайте криптокарту и назначьте ACL, PFS, peer и набор шифрования. Выполните последовательно следующие команды:
+
+   ```bash
+   crypto map outsidemap 10 match address NSX-T-T1-VPN
+   crypto map outsidemap 10 set pfs
+   crypto map outsidemap 10 set peer 193.3.230.4
+   crypto map outsidemap 10 set ikev1 transform-set ESP-AES256-SHA
+   ```
+
+3. Назначьте криптокарту на внешний интерфейс OUTSIDE:
+
+   ```bash
+   crypto map outsidemap interface OUTSIDE
+   ```
+
+4. Включите IKEv1 на интерфейсе OUTSIDE:
+
+   ```bash
+   crypto ikev1 enable OUTSIDE
+   ```
+
+## 5. Настроить NAT для исключения трафика VPN
+
+1. Определите локальную сеть для VPN:
+
+   ```bash
+   object-group network NSX-T-VPN-LOCAL network-object 10.0.0.0 255.255.255.0
+   ```
+
+2. Определите удаленную сеть для VPN:
+
+   ```bash
+   object-group network NSX-T-VPN-REMOTE network-object 192.168.0.0 255.255.255.0
+   ```
+
+3. Настройте NAT-исключение для трафика между локальной и удаленной сетями:
+
+   ```bash
+   nat (INSIDE,OUTSIDE) source static NSX-T-VPN-LOCAL NSX-T-VPN-LOCAL destination static NSX-T-VPN-REMOTE NSX-T-VPN-REMOTE
+   ```
+
+## 6. Сохранить конфигурации
+
+1. Выйдите из режима конфигурации.
+
+   ```bash
+   end
+   ```
+
+2. Сохраните конфигурацию.
+
+   ```bash
+   write memory
+   ```
+
+3. Перезагрузите устройство.

src/vdc/vdc-how-to/networks/ipsec/check-vpn-status.md

@@ -0,0 +1,6 @@
+# Проверить сетевую связанность
+
+1. Перейдите в раздел **Networking** → **Edge Gateways**.
+2. Выберите из списка шлюз, к которому настроено подключение.
+3. Перейдите в раздел **Services** → **IPSec VPN**.
+4. В колонке **Connectivity Status** будет указан статус подключения.

src/vdc/vdc-how-to/networks/ipsec/csr1000v.md

@@ -0,0 +1,108 @@
+# Настройка CSR 1000v для IPsec VPN
+
+<!--@include: ../about-adapters.md{18,24}-->
+
+::: info Примечание
+Значения параметров, приведенные ниже, не являются универсальными. Замените их на значения, актуальные для вашей конфигурации, инфраструктуры и сетевого оборудования.
+:::
+
+## 1. Подключиться к CSR 1000v
+
+1. Подключитесь к устройству CSR 1000v по SSH или через консоль.
+
+2. Перейдите в режим конфигурации:
+
+   ```bash
+   configure terminal
+   ```
+
+## 2. Настроить ACL для трафика VPN
+
+Создайте ACL для трафика, который нужно направлять в IPsec туннель:
+
+```bash
+ip access-list extended NSX-T-T1-VPN
+   permit ip 10.0.1.0 0.0.0.255 192.168.0.0 0.0.0.255
+```
+
+## 3. Настроить IKE (фаза 1)
+
+1. Задайте Pre-Shared Key и адрес peer:
+
+   ```bash
+   crypto isakmp key XXXX address 193.3.230.4
+   ```
+
+2. Настройте политику IKE фазы 1:
+
+   ```bash
+   crypto isakmp policy 1
+      encr aes 256
+      hash sha256
+      authentication pre-share
+      group 14
+   ```
+
+## 4. Настроить IPsec и cryptomap (фаза 2)
+
+1. Создайте transform-set для второй фазы:
+
+   ```bash
+   crypto ipsec transform-set ESP-AES256-SHA256 esp-aes 256 esp-sha256-hmac mode tunnel
+   ```
+
+2. Создайте криптокарту и назначьте ACL, PFS, peer и набор шифрования:
+
+   ```bash
+   crypto map NSX-T-T1-VPN 10 ipsec-isakmp
+      set peer 193.3.230.4
+      set transform-set ESP-AES256-SHA256
+      set pfs group14
+      match address NSX-T-T1-VPN
+   ```
+
+## 5. Привязать криптокарту к внешнему интерфейсу
+
+1. Перейдите в конфигурацию внешнего интерфейса, подключенного к интернету (например, `GigabitEthernet2`):
+
+   ```bash
+   interface GigabitEthernet2
+   ```
+
+2. Привяжите криптокарту к интерфейсу:
+
+   ```bash
+   crypto map NSX-T-T1-VPN
+   ```
+
+## 6. Настроить NAT для исключения трафика VPN
+
+1. Создайте ACL для NAT исключения:
+
+   ```bash
+   ip access-list extended NAT-Exemption
+      deny ip 10.0.1.0 0.0.0.255 192.168.0.0 0.0.0.255
+      permit ip 10.0.1.0 0.0.0.255 any
+   ```
+
+2. Настройте NAT с использованием ACL NAT-Exemption и внешнего интерфейса `GigabitEthernet2`.
+
+   ```bash
+   ip nat inside source list NAT-Exemption interface GigabitEthernet2 overload
+   ```
+
+## 7. Сохранить конфигурацию
+
+1. Выйдите из режима конфигурации.
+
+   ```bash
+   end
+   ```
+
+2. Сохраните конфигурацию.
+
+   ```bash
+   write memory
+   ```
+
+3. Перезагрузите устройство.

src/vdc/vdc-how-to/networks/ipsec/fortigate.md

@@ -0,0 +1,100 @@
+# Настройка Fortigate для IPsec VPN
+
+<!--@include: ../about-adapters.md{28,35}-->
+
+::: info Примечание
+Значения параметров, приведенные ниже, не являются универсальными. Замените их на значения, актуальные для вашей конфигурации, инфраструктуры и сетевого оборудования.
+:::
+
+## 1. Создать туннель IPsec
+
+1. В веб-интерфейсе Fortigate перейдите в раздел **VPN** → **IPsec Tunnels**.
+2. Нажмите кнопку **Create New** и выберите тип настроек **Custom**.
+3. В блоке **Network** задайте параметры:
+
+   - **IP Version**: `IPv4`.
+   - **Remote Gateway**: `Static IP Address`.
+   - **IP Address**: введите внешний IP-адрес шлюза.
+   - **Interface**: выберите внешний интерфейс, например `OUTSIDE (port1)`.
+   - **NAT Traversal**: `Enable`.
+   - **Keepalive Frequency**: `10`.
+   - **Dead Peer Detection**: `On Demand`.
+   - **DPD retry count**: `3`.
+   - **DPD retry interval (s)**: `20`.
+
+## 2. Настроить аутентификацию и фазу 1
+
+1. В блоке **Authentication** задайте следующие параметры:
+
+   - **Method**: `Pre-shared Key`.
+   - **Pre-shared Key**: введите заранее сгенерированный PSK.
+   - **IKE Version**: `1`.
+   - **Mode**: `Main (ID protection)`.
+
+2. В блоке **Phase 1 Proposal** задайте следующие параметры:
+   - **Encryption**: `AES256`.
+   - **Authentication**: `SHA256`.
+   - **Diffie-Hellman Group**: `14`.
+   - **Key Lifetime (seconds)**: `28800`.
+
+## 3. Настроить фазу 2
+
+1. В блоке **Phase 2 Selectors** добавьте запись с параметрами:
+
+   - **Name**: введите имя селектора, например, `NSX-T-T1-VPN`.
+   - **Local Address**: укажите локальную подсеть, например `10.0.2.0/255.255.255.0`.
+   - **Remote Address**: укажите удаленную подсеть, например `192.168.0.0/255.255.255.0`.
+
+2. В области **Edit Phase 2** задайте параметры:
+
+   - **Encryption**: `AES256`.
+   - **Authentication**: `SHA256`.
+   - **Enable Replay Detection**: включите опцию.
+   - **Enable Perfect Forward Secrecy (PFS)**: включите опцию.
+   - **Diffie-Hellman Group**: `14`.
+   - **Local Port**: `All`.
+   - **Remote Port**: `All`.
+   - **Protocol**: `All`.
+   - **Key Lifetime**: `Seconds`.
+   - **Seconds**: `3600`.
+
+3. Сохраните настройки туннеля.
+
+## 4. Настроить статический маршрут
+
+1. Перейдите в раздел **Network** → **Static Routes**.
+2. Нажмите **Create New** и задайте следующие параметры:
+   - **Destination**: выберите Subnet и укажите адрес в вашей сети, например, `192.168.0.0/255.255.255.0`.
+   - **Interface**: выберите интерфейс IPsec туннеля.
+   - **Administrative Distance**: `10`.
+   - **Status**: `Enabled`.
+3. Сохраните маршрут.
+
+## 5. Настроить правила брандмауэра
+
+1. Перейдите в раздел **Policy & Objects** → **IPv4 Policy**.
+2. Создайте правило для трафика из IPsec в локальную сеть. Укажите следующие параметры:
+
+   - **Name**: укажите название правила.
+   - **Incoming Interface**: укажите шлюз виртуального дата-центра.
+   - **Outgoing Interface**: укажите внутренний интерфейс, например `INSIDE (port2)`.
+   - **Source**: укажите подсеть, например, `192.168.0.0/24`.
+   - **Destination**: укажите подсеть, например, `10.0.2.0/24`.
+   - **Schedule**: `always`.
+   - **Service**: `ALL`.
+   - **Action**: `ACCEPT`.
+   - Включите правило.
+
+3. Создайте правило для трафика из локальной сети в IPsec:
+
+   - **Name**: укажите название правила.
+   - **Incoming Interface**: укажите внутренний интерфейс, например, `INSIDE (port2)`.
+   - **Outgoing Interface**: укажите шлюз виртуального дата-центра.
+   - **Source**: укажите подсеть, например, `10.0.2.0/24`.
+   - **Destination**: укажите подсеть, например, `192.168.0.0/24`.
+   - **Schedule**: `always`.
+   - **Service**: `ALL`.
+   - **Action**: `ACCEPT`.
+   - Включите правило.
+
+4. Убедитесь, что оба правила расположены в таблице выше других пересекающихся политик.

src/vdc/vdc-how-to/networks/networks-index.md

@@ -16,7 +16,28 @@ section_links:
     link: /vdc/vdc-how-to/networks/create-network.md
     description: 
   - title: Подключение сети к Edge Gateway
-    link: /vdc/vdc-how-to/networks/isolated-to-routed.md
+    link: /vdc/vdc-how-to/networks/connect-to-edge-gateway.md
+    description: 
+  - title: Настройка site-to-site подключения с помощью IPSec
+    link: /vdc/vdc-how-to/networks/how-to-setup-ipsec-vpn.md
+    description: 
+  - title: Настройка ASAv
+    link: /vdc/vdc-how-to/networks/ipsec/asav.md
+    description: 
+  - title: Настройка CSR 1000v
+    link: /vdc/vdc-how-to/networks/ipsec/csr1000v.md
+    description: 
+  - title: Настройка Fortigate
+    link: /vdc/vdc-how-to/networks/ipsec/fortigate.md
+    description: 
+  - title: Создание Pre-Shared Key
+    link: /vdc/vdc-how-to/networks/create-psk.md
+    description: 
+  - title: Сетевые адаптеры
+    link: /vdc/vdc-how-to/networks/about-adapters.md
+    description: 
+  - title: Проверить сетевую связанность
+    link: /vdc/vdc-how-to/networks/ipsec/check-vpn-status.md
     description: 
 ---