Перейти к основному содержимому
Связать филиалы и ЦОД: VPN Site-to-Site
Последнее изменение:

Связать филиалы и ЦОД: VPN Site-to-Site

к сведению

Это инструкция для настройки межсетевого экрана Selectel при создании VPN-туннеля Site-to-Site между дата-центром и внешней площадкой, например вашим офисом или другим дата-центром. В инструкции рассматривается настройка по протоколу IPsec.

Оборудование на другой стороне туннеля вам необходимо настроить самостоятельно по документации производителя. Перед настройкой убедитесь, что ваше оборудование поддерживает протокол IPsec.

  1. Подключитесь к межсетевому экрану Selectel.
  2. Настройте параметры первой фазы IKE для каждого устройства.
  3. Настройте параметры второй фазы IKE для каждого устройства.
  4. Настройте разрешающие правила на межсетевом экране для работы протокола IPsec.
  5. Поднимите туннель между устройствами.

1. Подключиться к межсетевому экрану Selectel

  1. Откройте в браузере страницу:

    https://<ip_address>:5443

    Укажите <ip_address> — IP-адрес межсетевого экрана.

  2. Введите логин и пароль, полученные в тикете после заказа межсетевого экрана. Откроется главная страница графического интерфейса с дашбордом.

2. Настроить параметры первой фазы IKE

Настройте параметры на межсетевом экране Selectel. На вашем оборудовании с другой стороны туннеля необходимо задать аналогичные значения параметров.

  1. В меню VPN перейдите в раздел IPsec.

  2. Откройте вкладку Tunnels.

  3. Нажмите Add P1.

  4. В поле Key Exchange Version выберите версию протокола для обмена ключами — IKEv2.

  5. В поле Internet Protocol выберите интернет-протокол — IPv4.

  6. В поле Interface выберите сетевой интерфейс, с которого будет строиться туннель.

  7. В поле Remote Gateway введите IP-адрес удаленного устройства.

  8. В поле Authentication Method выберите метод аутентификации:

    • Mutual PSK;
    • или Mutual Certificate и заполните поля My Certificate и Peer Certificate Authority.

  9. В поле My Identifier выберите тип и введите идентификатор устройства, с которого вы настраиваете туннель.

  10. В поле Peer Identifier выберите тип и введите идентификатор удаленного устройства.

  11. В поле Pre-Shared key введите код для аутентификации. Используется при настройке и подключении удаленного устройства.

  12. В блоке Encryption Algorithm настройте алгоритм шифрования:

    12.1. В поле Algorithm выберите — AES.

    12.2. В поле Key Length выберите — 256 bits.

    12.3. В поле HASH выберите — SHA512.

    12.4. В поле DH Group выберите — 14.

  13. Нажмите SaveApply Changes.

3. Настроить параметры второй фазы IKE

Настройте параметры на межсетевом экране Selectel. На вашем оборудовании с другой стороны туннеля необходимо задать аналогичные значения параметров.

  1. В меню VPN перейдите в раздел IPsec.

  2. Откройте вкладку Tunnels.

  3. Под строкой первой фазы IKE нажмите Show Phase 2 Entries.

  4. Нажмите Add P2.

  5. В поле Mode выберите режим работы туннеля — Tunnel IPv4.

  6. В поле Local Network выберите тип локальной сети за VPN-шлюзом — Network и введите IP-адрес локальной подсети.

  7. В поле Remote Network выберите тип удаленной сети за VPN-шлюзом — Network и введите IP-адрес удаленной подсети.

  8. В поле Protocol выберите протокол защиты передаваемых данных — ESP.

  9. В блоке Encryption Algorithm настройте алгоритм шифрования:

    9.1. Отметьте чекбокс AES и выберите Key Length — 128 bits.

    9.2. Отметьте чекбокс AES256-GCM и выберите Key Length — 128 bits.

  10. В поле Hash Algorithms выберите хэш-алгоритм — SHA512.

  11. В поле PFS Key Group выберите параметры дополнительной защиты ключей шифрования — 14.

  12. Нажмите SaveApply Changes.

4. Настроить разрешающие правила на межсетевом экране

Создайте разрешающее правило для протокола IPsec на интерфейсах WAN и IPsec.

  1. В меню Firewall перейдите в раздел Rules.
  2. Откройте вкладку с интерфейсом WAN.
  3. Нажмите Add.
  4. В поле Action выберите действие при получении или отправке пакетов данных — Pass.
  5. В поле Interface выберите сетевой интерфейс — IPsec.
  6. В поле Source выберите подсеть-источник сетевого трафика.
  7. В поле Destination выберите адрес назначения, к которому разрешен сетевой трафик.
  8. Нажмите Save.
  9. Нажмите Add.
  10. В поле Action выберите действие при получении или отправке пакетов данных — Pass.
  11. В поле Interface выберите сетевой интерфейс — WAN.
  12. В поле Source выберите источник сетевого трафика.
  13. В поле Destination выберите адрес назначения, к которому разрешен сетевой трафик.
  14. Нажмите Save.
  15. Перетащите созданные правила выше запрещающих. Правила выполняются по порядку в списке — сверху вниз.
  16. Нажмите Apply Changes.

5. Поднять туннель между устройствами

  1. В меню Status перейдите в раздел IPsec.
  2. Откройте вкладку Overview.
  3. Нажмите Сonnect P1 and P2.