Связать филиалы и ЦОД: VPN Site-to-Site
В примере настраивается межсетевой экран Selectel, который находится со стороны дата-центра. Если межсетевой экран установлен в филиале, вы можете настроить его по документации производителя.
Чтобы связать филиалы и ЦОД, настройте туннель VPN Site-to-Site по протоколу IPsec.
- Подключитесь к межсетевому экрану Selectel.
- Настройте параметры первой фазы IKE для каждого устройства.
- Настройте параметры второй фазы IKE для каждого устройства.
- Настройте разрешающие правила на межсетевом экране для работы протокола IPsec.
- Поднимите туннель между устройствами.
1. Подключитесь к межсетевому экрану Selectel
-
Откройте в браузере страницу:
https://<ip_address>:5443Укажите
<ip_address>— IP-адрес межсетевого экрана. -
Введите логин и пароль, полученные в тикете после заказа межсетевого экрана. Откроется главная страница графического интерфейса с дашбордом.
2. Настроить параметры первой фазы IKE
Параметры необходимо настраивать для всех устойств, между которыми создается туннель. Значения параметров должны быть одинаковыми.
-
В меню VPN перейдите в раздел IPsec.
-
Откройте вкладку Tunnels.
-
Нажмите Add P1.
-
В поле Key Exchange Version выберите версию протокола для обмена ключами — IKEv2.
-
В поле Internet Protocol выберите интернет протокол — IPv4.
-
В поле Interface выберите сетевой интерфейс, с которого будет строиться туннель.
-
В поле Remote Gateway введите IP-адрес удаленного устройства.
-
В поле Authentication Method выберите метод аутентификации:
- Mutual PSK;
- или Mutual Certificate и заполните поля My Certificate и Peer Certificate Authority.
-
В поле My Identifier выберите тип и введите идентификатор устройства, с которого вы настраиваете туннель.
-
В поле Peer Identifier выберите тип и введите идентификатор удаленного устройства.
-
В поле Pre-Shared key введите код для аутентификации. Используется при настройке и подключении удаленного устройства.
-
В блоке Encryption Algorithm настройте алгоритм шифрования:
12.1. В поле Algorithm выберите — AES.
12.2. В поле Key Length выберите — 256 bits.
12.3. В поле HASH выберите — SHA512.
12.4. В поле DH Group выберите — 14.
-
Нажмите Save → Apply Changes.
3. Настроить параметры второй фазы IKE
Настройте параметры для каждого устройства, между которыми создается туннель. Значения параметров должны быть одинаковыми.
-
В меню VPN перейдите в раздел IPsec.
-
Откройте вкладку Tunnels.
-
Под строкой первой фазы IKE нажмите Show Phase 2 Entries.
-
Нажмите Add P2.
-
В поле Mode выберите режим работы туннеля — Tunnel IPv4.
-
В поле Local Network выберите тип локальной сети за VPN-шлюзом — Network и введите IP-адрес локальной подсети.
-
В поле Remote Network выберите тип удаленной сети за VPN-шлюзом — Network и введите IP-адрес удаленной подсети.
-
В поле Protocol выберите протокол защиты передаваемых данных — ESP.
-
В блоке Encryption Algorithm настройте алгоритм шифрования:
9.1. Отметьте чекбокс AES и выберите Key Length — 128 bits.
9.2. Отметьте чекбокс AES256-GCM и выберите Key Length — 128 bits.
-
В поле Hash Algorithms выберите хэш-алгоритм — SHA512.
-
В поле PFS Key Group выберите параметры дополнительной защиты ключей шифрования — 14.
-
Нажмите Save → Apply Changes.
4. Настроить разрешающие правила на межсетевом экране
Разрешающее правило для протоколов IPSEC нужно создать для интерфейсов WAN и IPSEC.
- В меню Firewall перейдите в раздел Rules.
- Откройте вкладку с именем интерфейса.
- Нажмите Add.
- В поле Action выберите действие при получении или отправке пакетов данных — Pass.
- В поле Interface выберите сетевой интерфейс — WAN или IPsec.
- В поле Source выберите источник сетевого трафика. Выберите подсеть, если на шаге 6 вы выбрали IPsec.
- В поле Destination выберите адрес назначения, к которому разрешен сетевой трафик.
- Нажмите Save.
- Перетащите разрешающее правило выше запрещающих. Правила выполняются по порядку в списке — сверху вниз.
- Нажмите Apply Changes.
5. Поднять туннель между устройствами
- В меню Status перейдите в раздел IPsec.
- Откройте вкладку Overview.
- Нажмите Сonnect P1 and P2.