+375 29 600 02 25
Заказать звонок
Все технические события
База знаний
  • Cloud Flex
  • IaaS
  • BaaS
  • DRaaS
  • CloudConnect
  • Объектное хранилище

Настройка IPSec VPN

VM  (Virtual Machine) –  виртуальная машина.

PFS (Perfect Forward Secrecy)  - свойство некоторых протоколов согласования ключа, которое гарантирует, что сессионные ключи, полученные при помощи набора ключей долговременного пользования, не будут скомпрометированы при компрометации одного из долговременных ключей.
Encryption Algorithm – алгоритм шифрования, который будет использоваться при передаче данных через туннель.
Authentication – метод аутентификации пиров.
Pre-Shared Key – общий секретный ключ. Это обычный способ аутентификации, когда нужно задать только пароль (ключ) и потом использовать его для подключения. Данный пароль (ключ) должен совпадать с обеих сторон.
Diffie-Hellman Group – криптографический протокол, позволяющий двум и более сторонам получить общий секретный ключ, используя незащищенный от прослушивания канал связи. Полученный ключ используется для шифрования дальнейшего обмена с помощью алгоритмов симметричного шифрования.
Digest Algorithm – алгоритм криптографического хеширования. Возможны варианты использования sha1 и sha256.
IKE – стандартный протокол набора протоколов IPsec, используемый для обеспечения безопасности взаимодействия в виртуальных частных сетях. Предназначение IKE – защищенное согласование и доставка идентифицированного материала для "ассоциации безопасности". 



В этом руководстве вы узнаете о:


Настройка IPsec VPN

  1. Для настройки IPsec VPN переходим в Edges, выделяем необходимый виртуальный маршрутизатор, затем выше выбираем Services


1.png

  1. Переходим во вкладку VPN → IPsec VPN → IPsec VPN Sites и добавляем новое соединение.

    2.png

    В появившемся окне настраиваем следующие параметры:

    3.png

    Enabled – включаем состояние.

    Enable PFS (опционально) – включаем состояние для обеспечения дополнительной защиты соединения (функция должна быть или включена или отключена с обеих сторон туннеля).

    Name – задаём имя для нового IPsec соединения.

    Local Id – локальный идентификатор. В качестве идентификатора может использоваться любое символьное значение (в том числе и доменное имя), зачастую используется IP адрес, указанный в Local Id. На стороне удалённого хоста данные параметры будут использоваться в качестве Peer ID.

    Local Ednpoint – внешний IP адрес Edge Gateway, для которого будет применимо IPSec соединение. В текущем примере используется значение 126.125.124.123. На стороне удалённого хоста данные параметры будут использоваться в качестве Peer Endpoint.

    Local Subnets – локальные сети инфраструктуры, которые должны быть доступны для удаленного хоста. В текущем примере используется значение 192.168.252.0/24 (есть возможность указания как одной сети, так и нескольких).

    Peer ID и Peer Endpoint – идентификатор и адрес конечной точки (удалённого хоста). В свою очередь, данные параметры, на стороне удалённого хоста, будут использованы в качестве Local Id и Local Ednpoint.

    Peer Subnets – удалённые сети инфраструктуры, которые должны быть доступны для локального хоста. В текущем примере используется значение 192.168.200.0/24 (есть возможность указания как одной сети, так и нескольких).

    Encryption Algorithm – возможные варианты AES, AES256, AES-GCM, 3DES (устаревший). В данном примере настройка предполагает использование AES256.

    Authentication – возможные варианты - PSK  и Certificate. В данном примере рассматриваем настройку с использованием PSK .

    Pre-Shared Key – вводим пароль (ключ). Для повышения защиты рекомендуется использовать минимум 16 символов, как в нижнем так и верхнем регистре, преимуществом будет использование спецсимволов.

    Diffie-Hellman Group – возможные варианты DH2, DH5, DH14, DH15, DH16. В данном примере настройка предполагает использование DH14.

    Digest Algorithm – возможные варианты sha1, sha-256. В данном примере настройка предполагает использование sha-256.

    IKE Option – возможные варианты IKEv1, IKEv2, IKEFlex. В данном примере настройка предполагает использование IKEv1.

    Для применения настройки нажмите Keep.

     

    Далее переходим в раздел Activation Status и активируем IPsec VPN Service Status.

    4.png

Настройка Firewall

После настройки IPSEC VPN переходим к настройке Firewall.

Это необходимо сделать для того, что бы убедиться – присутствует ли правило разрешающие/открывающее порты UDP/500,UDP/4500. Как правило, данное правило создаётся автоматически, при настройке IPsec, если по какой-то причине оно отсутствует – создаём вручную.

5.png

Что бы проверить статус и в целом понять были ли установлено IPsec соединение, необходимо перейти во вкладку Statistics -> IPsec VPN.

Если всё хорошо, в поле Channel Status и Tunel Status должны отображаться символы как на изображении ниже. В противном случае необходимо проверять настройки для выявления проблем с соединением.

6.png

IPSec VPN Overview

Configure IPSec VPN Parameters


Возврат к списку

Техническая поддержка
Видеоруководство по порталу поддержки

Видеоинструкция покажет как зайти на портал, какие виды запросов можно оформлять и как отлеживать статус обработки запросов.