Настройка IPsec Policy-Based VPN на Huawei AR6120

Демонстрационный стенд

195.19.176.9– внешний IP адрес Edge Gateway

10.177.0.0/16 – локальная сеть, подключенная к Edge Gateway

188.235.1.195 – внешний IP-адрес маршрутизатора Huawei AR6120

10.36.0.0/16 – локальная сеть, подключенная к Huawei AR6120

Настройка VPN-туннеля на Edge Gateway

Откройте портал управления vCloud Director и войдите в систему в качестве администратора организации. Перейдите во вкладку Data Centers и выберите нужный виртуальный ЦОД (vDC).

В открывшемся списке выберите нужный виртуальный ЦОД (Virtual Datacenters) и перейдите в раздел Network – Edges.

Отметьте нужный Edge в списке Edge Gateways и нажмите SERVICES.

В открывшемся окне настроек перейдите на вкладку VPN и включите поддержку VPN, изменив положение переключателя.

Для добавления нового VPN-туннеля перейдите на вкладку IPsec VPN Sites и нажмите

Откроется новое окно:

В появившемся окне выключите пункт «Enabled» и включите «Enable perfect forward secrecy».

В поле «Name» введите название для VPN-туннеля.

В поля «Local Id» и «Local Endpoint» укажите внешний IP-адрес Edge Gateway

В поле «Local Subnets» укажите адрес локальной сети, подключенной к Edge Gateway. В данном случае это будет 0.0.0.0/0.

В полях «Peer Id» и «Peer Endpoint» укажите внешний IP-адрес маршрутизатора Huawei.

В поле «Peer Subnets» укажите адрес локальной сети, подключенной к Huawei. В данном случае это будет 0.0.0.0/0.

Рекомендуется использовать следующие параметры:

  • Encryption Algorithm – AES256
  • Authentication – PSK
  • В поле «Pre-Shared Key» вводим придуманный пароль для подключения.
  • Diffie-Hellman Group – DH14
  • Digest Algorithm – SHA-256
  • IKE Option – IKEv2
  • Session Type – Route Based Session

Tunnel Interface IP CIDR – введите IP – адрес туннельного интерфейса со стороны Edge Gateway. В данном примере используется 172.16.177.177/24

Нажмите кнопку «Keep», чтобы сохранить изменения.

Затем перейдите в Edge Gateway в раздел Routing – Static Routeа нажмите кнопку Add:

Network – укажите сеть, подключенную за Huawei AR.

Next Hop – IP – адрес туннельного интерфейса на стороне маршрутизатора Huawei. В данном примере используется 172.16.177.36/24

Перейдите во вкладку «Activation Status» и включите настройку «IPsec VPN Service Status».

Создание туннельного интерфейса

Перейдите в панели управления маршрутизатором Huawei AR в раздел Advanced – Interface – Logical Interface:

Создайте новый интерфейс типа Tunnel:

Укажите следующие параметры:

  • Interface number – номер туннельного интерфейса. В данном примере используется номер 177.
  • IP address – IP-адрес туннельного интерфейса со стороны Huawei AR. В данном примере используется 172.16.177.36/24.
  • Tunnel Mode – укажите IPSec.
  • Source IP – интерфейс, через который осуществляется выход в Интернет. В данном примере используется интерфейс Dialer.
  • Destination IP – укажите IP – адрес Edge Gateway.

По завершению нажмите Ok.

Создание маршрута до сети Edge Gateway

Зададим маршрут до сети за Edge. Для этого в панели управления Huawei AR в раздел Advanced – IP – Routing раскройте меню Static Route и заполните следующие поля:

Destination IP / Subnet mask – укажите подключенную за Edge Gateway сеть и её маску.

Outbound interface – созданный на предыдущем шагу туннельный интерфейс. В примере используется Tunnel0/0/177.

После нажмите кнопку Add.

Создание политики IPSec

Для этого в панели управления Huawei AR в разделе Advanced – VPN – IPSec создадим новую политику со следующими параметрами:

IKE Parameter setting:

  • IPsec connection name – задайте имя подключения.
  • Interface name – укажите созданный ранее туннельный интерфейс. В данном примере это Tunnel0/0/177.
  • IKE version – укажите v2.
  • Authentication mode – укажите Pre-shared key.
  • Authentication algorithm – укажите SHA2-256.
  • DH group – укажите Group14.
  • Pre-shared key – укажите ключ, заданный при создании VPN – туннеля на Edge Gateway.
  • Encryption algorithm – укажите AES-256.

IPSec Parameter setting:

  • Security Protocol – укажите ESP.
  • ESP authentication algorithm - укажите SHA2-256.
  • Encapsulation mode – укажите Tunnel mode.
  • SHA2 algorithm compatible – переведите в режим ON.
  • ESP encryption algorithm – укажите AES-256.

Advanced:

  • DPD - переведите в режим ON.
  • DPD idle time – укажите 150.
  • DPD packet retransmission interval – 30.
  • PFS – укажите Group14.
  • IKE SA duration – укажите 28800.

После указания перечисленных выше параметров нажмите Ok.

Затем перейдите в раздел IPSec Global Setting и установите следующие параметры:

DF bit setting – установите опцию clear.

Fragment before encryption - переведите в режим ON.

Нажмите Apply.

Конфигурация для данного туннеля для настройки через CLI:

#

ipsec proposal msk02-routevpn

esp authentication-algorithm sha2-256

esp encryption-algorithm aes-256

#

ike proposal 4

encryption-algorithm aes-256

dh group14

authentication-algorithm sha2-256

sa duration 28800

authentication-method pre-share

integrity-algorithm hmac-sha2-256

prf hmac-sha2-256

#

ike peer msk02-routevpn

undo version 1

pre-shared-key cipher PASSWORD_CLOUD_VPN

ike-proposal 4

remote-id-type ip

dpd type periodic

dpd idle-time 150

dpd retransmit-interval 30

rsa encryption-padding oaep

rsa signature-padding pss

ikev2 authentication sign-hash sha2-256

#

ipsec profile msk02-routevpn

ike-peer msk02-routevpn

proposal msk02-routevpn

pfs dh-group14

#

interface Tunnel0/0/177

description MSK02

ip address 172.16.177.36 255.255.255.0

tunnel-protocol ipsec

source Dialer2

destination 195.19.176.9

ipsec profile msk02-routevpn

#

ip route-static 10.177.0.0 255.255.0.0 Tunnel0/0/177

Включение VPN – туннеля

Перейдите в настройки VPN – туннеля на Edge Gateway и включите созданный ранее туннель:

Для просмотра состояния туннеля перейдите в раздел Edge Gateway – Statistics – IPSec VPN. В данном разделе можно отслуживать состояние как самого туннеля, так и сетей пиров:

Для проверки состояния со стороны Huawei AR6120 перейдите в панели управления маршрутизатором в раздел Advanced – Interface – Logical Interface – Configured Logical Interface List:

Если конфигурация туннеля как на Edge Gateway, так и на Huawei AR задана верно, туннельный интерфейс будет находиться в состоянии UP.

Если туннельный интерфейс находится в состоянии DOWN, ошибку подключения можно посмотреть в Advanced – VPN – IPSec – Tunnel Down Reason:

Для проверки маршрутов, запустите пинг как из локальной сети в сеть облака, так и из сети облака в локальную сеть. При наличии ошибок необходимо будет еще раз проверить корректность статических маршрутов.

Важное замечание

Описание проблемы:

Недоступны либо долго отвечают на запросы ресурсы за Edge Gateway, при обращении к ним через VPN-туннель.

При этом пинг и трассировка до ресурсов ошибок не показывают.

Решение:

Данная проблема связана с фрагментацией пакетов, получаемых через VPN-туннель.

Проверить фрагментацию пакетов:

ping XXX.XXX.XXX.XXX -l 1500 -f

Где XXX.XXX.XXX.XXX - IP за Edge Gateway

Для решения проблемы с фрагментацией вендором рекомендуется установить для туннеля значение MSS 1200.

Подробнее с информацией Вы можете ознакомиться в статье официального справочника Huawei: https://info.support.huawei.com/network/ptmngsys/Web/tsrev_ar/en/content/ar/26_edesk_unable_to_websurf/AR_edesk_unable_to_websurf_edesk008.html

Консультация Настройка IPsec Policy-Based VPN на Huawei AR6120

Не нашли инструкцию?

Заполните форму, и наш специалист свяжется с вами.

Мы дополним информацию и ответим на ваш вопрос.

Оставить заявку

Установка модуля ADSync

Установить на все контроллеры домена программное обеспечение «Microsoft Visual C++ 2010» в зависимости от разрядности системы (x64;x86)

Восстановление vApp - Self Service Portal

Сбор диагностических данных Cloud Windows Client

Восстановление файлов и/или папок гостевой ОС из панели Enterprise Manager

Перед тем как приступить к процессу восстановления файлов гостевой операционной системы, необходимо выбрать ВМ путем поиска в специальном поле (возможен поиск по части имени) либо из списка, нажав на кнопку «Pick from List…»

Термины и определения IaaS vCloud Public

vDC – пул ресурсов, использующийся для размещения в нем vApp. vApp – логически выделенный объект, содержащий в себе одну или несколько виртуальных машин.
VM – программная система, эмулирующая аппаратное обеспечение некоторой платформы;