Настроить VPN на Edge-роутере

Последнее изменение: 03 июня 2025

Функция VPN-сервера встроена в Edge-роутеры. Доступны типы VPN:

• IPSec (Site-to-site VPN) — используется для создания защищенного туннеля между площадками. Например, между сетью главного офиса и сетью на удаленной площадке или в облаке;
• SSL VPN (Remote Access VPN) — используется для подключения отдельных пользователей к частным сетям организаций с помощью VPN-клиента;
• L2 VPN — позволяет объединить в один broadcast-домен сети, расположенные на разных площадках (в разных инфраструктурах Cloud Director) — например, при миграции виртуальной машины.

Подключить IPsec⁠

1. Из панели управления откройте панель Cloud Director: в верхнем меню нажмите Продукты → Облако на базе VMware → раздел Cloud Director.
2. Откройте страницу виртуального дата-центра.
3. Перейдите в раздел Networking → Edges.
4. Откройте страницу нужного Edge.
5. Нажмите Services.
6. Откройте вкладку VPN → IPsec VPN → IPsec VPN Sites.
7. Нажмите +.
8. Опционально: чтобы активировать удаленную площадку, включите тумблер Enabled.
9. Опционально: чтобы каждый новый криптографический ключ не был связан с любым предыдущим ключом, включите тумблер PFS.
10. В поле Local Endpoint введите внешний адрес NSX Edge.
11. В поле Local Subnets введите локальные сети в формате CIDR, которые будут использовать IPsec VPN.
12. В поле Peer ID введите адрес удаленной площадки.
13. В поле Peer Endpoint введите адрес удаленной площадки.
14. В поле Peer Subnets введите сети, которые будут использовать IPsec VPN на удаленной стороне.
15. В поле Encryption Algorithm выберите алгоритм шифрования туннеля.
16. В поле Authentication выберите, как будет аутентифицироваться пир — с помощью Pre-Shared Key или сертификата.
17. В поле Pre-Shared Key введите ключ, который будет использоваться для аутентификации. Ключ должен совпадать с обеих сторон.
18. В поле Diffie-Hellman Group выберите номер группы ключей в алгоритме обмена ключами.
19. В поле Digest algorithm выберите алгоритм хеширования контроля целостности пакетов.
20. В поле IKE option выберите версию протокола обмена ключами IKE (Internet Key Exchange).
21. Чтобы при включении Edge не инициировал соединение, а ожидал подключения с удаленной стороны, включите тумблер IKE responder only.
22. В поле Session type выберите тип туннеля. Подробнее о туннелях в инструкциях Policy-Based IPSec VPN или Route-Based IPSec VPN документации VMware.
23. Нажмите Keep.
24. Откройте вкладку VPN → IPsec VPN → Activation Status.
25. Включите тумблер IPsec VPN Service Status.
26. Откройте вкладку Statistics → IPsec VPN.
27. Проверьте, что в столбце Channel Status статус VPN активен.

Посмотреть статус туннеля⁠

Количество IPsec-туннелей зависит от размера развернутого Edge-роутера. По умолчанию доступно 512 IPsec-туннелей.

1. Из панели управления откройте панель Cloud Director: в верхнем меню нажмите Продукты → Облако на базе VMware → раздел Cloud Director.

2. Откройте страницу виртуального дата-центра.

3. Перейдите в раздел Networking → Edges.

4. Откройте страницу нужного Edge.

5. Нажмите Services.

6. Откройте вкладку Edge settings.

7. В блоке SSH Status включите тумблер Enabled.

8. Введите логин и пароль для доступа по SSH и разрешите его в настройках Firewall. Не рекомендуется оставлять SSH включенным.

9. В консоли Edge проверьте состояние сервиса:

   show service ipsec

10. Проверьте состояние сайта и согласованных параметров:

    show service ipsec site

11. Проверьте статус Security Association (SA):

    show service ipsec sa

Подключить SSL VPN⁠

SSL VPN-Plus — один из вариантов Remote Access VPN. Он позволяет отдельным удаленным пользователям безопасно подключаться к частным сетям, находящимся за шлюзом NSX Edge. Зашифрованный туннель в случае SSL VPN-plus устанавливается между клиентом (Windows, Linux, Mac) и VMware NSX® Edge™.

1. Из панели управления откройте панель Cloud Director: в верхнем меню нажмите Продукты → Облако на базе VMware → раздел Cloud Director.

2. Откройте страницу виртуального дата-центра.

3. Перейдите в раздел Networking → Edges.

4. Откройте страницу нужного Edge.

5. Нажмите Services.

6. Откройте вкладку SSL VPN-Plus → Authentication.

7. Нажмите +Local.

8. Настройте и включите сервер аутентификации. При настройке можно выбрать политики для генерирования новых паролей и настроить опции по блокировке пользовательских аккаунтов (например, количество повторных попыток при неправильном вводе пароля), подробнее в инструкции Configure an Authentication Service for SSL VPN-Plus on an NSX Data Center for vSphere Edge Gateway документации VMware.

9. Нажмите Keep.

10. Откройте вкладку SSL VPN-Plus → Server Settings.

11. В полях IP Address и Port укажите адрес и порт, на котором сервер будет слушать входящие соединения.

12. Включите тумблер Enable Logging.

13. В блоке Cipher List отметьте необходимые алгоритмы шифрования.

14. Опционально: чтобы изменить сертификат, который будет использовать сервер, нажмите CHANGE SERVER CERTIFICATE.

15. Включите тумблер Enable.

16. Нажмите Save changes.

17. Откройте вкладку SSL VPN-Plus → Users.

18. Нажмите +.

19. В поле User ID введите идентификатор пользователя.

20. В поле Password введите пароль пользователя.

21. Чтобы включить пользователя, включите тумблер Enabled.

22. Нажмите Keep.

23. Откройте вкладку SSL VPN-Plus → Installation Packages.

24. Для создания инсталлятора, который сможет скачать для установки удаленный сотрудник, нажмите +.

25. В поле Profile Name введите название профиля инсталляционного пакета.

26. В поле Gateway введите адрес сервера, его можно посмотреть на вкладке SSL VPN-Plus → Server Settings → IP Address.

27. В поле Port введите порт сервера, его можно посмотреть на вкладке SSL VPN-Plus → Server Settings → Port.

28. Выберите инсталляционные пакеты для различных ОС. Пакет для Windows создается по умолчанию и доступен всегда.

29. Опционально: чтобы VPN-клиент был добавлен в автозагрузку на удаленной машине, отметьте чекбокс start client on logon (только для Windows).

30. Опционально: чтобы создать иконку VPN-клиента на рабочем столе, отметьте чекбокс create desktop icon (только для Windows).

31. Опционально: чтобы валидировать сертификат сервера при подключении, отметьте чекбокс server security certificate validation (только для Windows).

32. Откройте вкладку SSL VPN-Plus → IP Pools.

33. Нажмите +.

34. В поле IP Range укажите диапазон адресов, которые будут выдаваться пользователям при подключении.

35. В поле Netmask укажите маску сети.

36. В поле Gateway укажите шлюз сети.

37. Опционально: настройте серверы DNS и WINS.

38. Откройте вкладку Private Networks.

39. Нажмите +.

40. В поле Network добавьте локальную сеть, к которой будет доступ у удаленных пользователей.

41. В поле Send traffic выберите способ отправки трафика:

    • over tunnel — через туннель;
    • bypass tunnel — напрямую в обход туннеля.

42. Если вы выбрали способ отправки трафика выбрали вариант over tunnel, отметьте чекбокс Enable TCP Optimization.

Подключить созданный установочный пакет⁠

1. Откройте веб-браузер, используя заданные при настройке Firewall внешний адрес и порт.
2. Введите учетные данные пользователя. После успешной авторизации откроется список созданных установочных пакетов, доступных для загрузки.
3. Скачайте созданный установочный пакет.
4. Распакуйте скачанный архив.
5. Установите клиент.
6. Запустите клиент.
7. В окне авторизации нажмите Login.
8. В окне проверки сертификата нажмите Yes.
9. Введите учетные данные пользователя.

Подключить NSX L2 VPN⁠

При переезде на другую географическую площадку виртуальная машина сохранит настройки IP-адресации и не потеряет связность с другими машинами, находящимися в одном с ней L2-домене. Эту функцию можно использовать, если есть две виртуальные машины, находящиеся в разных виртуальных дата-центрах и регионах.

Первая ВМ имеет адрес 10.10.10.2/24, вторая ВМ — 10.10.10.200/24.

Связываемые в один broadcast-домен площадки должны быть построены на платформе NSX. Возможно использование NSX Edge standalone, подробнее в документации VMware Customer Connect (для просмотра требуется регистрация на сайте).

1. Из панели управления откройте панель Cloud Director: в верхнем меню нажмите Продукты → Облако на базе VMware → раздел Cloud Director.

2. Откройте страницу виртуального дата-центра.

3. Перейдите в раздел Networking → Networks.

4. Нажмите New.

5. Создайте сеть с параметрами:

   • Scope — выберите Current Organization Virtual Data Center;
   • Network Type — выберите Routed;
   • Interface Type — выберите subinterface;
   • Gateway CIDR — укажите 10.10.10.1/24.

6. Откройте вкладку Data Centers → Virtual Data Center.

7. Откройте страницу второго виртуального дата-центра.

8. Добавьте сеть с такими же параметрами.

Настроить сервер NSX L2 VPN⁠

1. Из панели управления откройте панель Cloud Director: в верхнем меню нажмите Продукты → Облако на базе VMware → раздел Cloud Director.
2. Откройте страницу виртуального дата-центра.
3. Перейдите в раздел Networking → Edges.
4. Откройте страницу нужного Edge.
5. Нажмите Services.
6. Откройте вкладку VPN → L2VPN.
7. Включите тумблер L2VPN.
8. В поле L2VPN mode выберите Server.
9. На вкладке Server Global введите внешний IP-адрес Egde-роутера, на котором будет слушаться порт для туннеля. По умолчанию сокет откроется на 443 порту, но его можно изменить.
10. Отметьте настройки шифрования для туннеля.
11. Откройте вкладку Server Sites.
12. Нажмите +.
13. Включите тумблер Enabled.
14. Введите название пира.
15. Введите имя и пароль пользователя.
16. В поле Egress Optimization Gateway Address введите адрес шлюза для того, чтобы не происходил конфликт IP-адресов, так как шлюз у созданных сетей имеет один и тот же адрес.
17. Нажмите Select sub-interfaces.
18. Выберите нужный сабинтерфейс.
19. Сохраните настройки. В настройках появится созданный клиентский сайт.

Настроить клиент NSX L2 VPN⁠

1. Из панели управления откройте панель Cloud Director: в верхнем меню нажмите Продукты → Облако на базе VMware → раздел Cloud Director.
2. Откройте страницу виртуального дата-центра.
3. Перейдите в раздел Networking → Edges.
4. Откройте страницу нужного Edge.
5. Нажмите Services.
6. Откройте вкладку VPN → L2VPN.
7. Включите тумблер L2VPN.
8. В поле L2VPN mode выберите Client.
9. На вкладке Client Global укажите адрес и порт NSX Edge первого виртуального дата-центра, который был указан в полях Listening IP и Port на стороне сервера.
10. Настройте шифрование так же, как на сервере, чтобы его настройки согласовались при поднятии туннеля.
11. Нажмите SELECT SUB-INTERFACES.
12. Выберите сабинтерфейс, через который будет строиться туннель для L2VPN.
13. В поле Egress Optimization Gateway Address введите адрес шлюза.
14. В поле User Id введите имя пользователя.
15. В поле Password введите пароль.
16. В поле Confirm Password подтвердите пароль.
17. Сохраните настройки.
18. На любом Edge-роутере на вкладке Statistics → L2VPN проверьте туннель.