Настройка EDGE СЕРВЕРА для создания Site-to-Site VPN

НАСТРОЙКА EDGE СЕРВЕРА для создания Site-to-Site VPN

Вернуться в Базу знаний

Мск / Регионы

Для Москвы

При развертывании Edge сервера в виртуальном ЦОД организации все настройки VPN туннелей должны выполняться только из консоли vCloud Director, т.к. настройки, выполняемые из vShield Manager, не синхронизируются с БД vCloud Director и могут быть перезаписаны.   

Откройте консоль управления vCloud Director. Войдите в систему в качестве   администратора организации. Перейдите во вкладку администрирования (Administration), в списке слева выберите нужный виртуальный ЦОД (Virtual Datacenters) и перейдите на вкладку Edge Gateways.

Выберите нужный сервер Edge, щелкните правой кнопкой мыши и выберите Edge Gateway Services.

 

Перейдите на вкладку VPN и включите поддержку VPN на сервере, выбрав Enable VPN.

 

Нажмите кнопку Add для создания нового VPN туннеля.

В окне Add a Site-to-Site VPN configuration задайте имя (Name) туннеля, а также описание (Description).

В списке Establish VPN to выберите a remote network.

В списке Local Networks выберите локальную сеть, подключенную к серверу Edge, для которой требуется организовать VPN туннель.

В поле Peer Networks укажите в формате CIDR (например, 192.168.10.0/24) удаленную сеть, подключенную к Windows Server, до которой требуется организовать VPN туннель.

Если сервер Edge подключен к нескольким внешним (External) сетям, то в списке Local Endpoint выберите внешнюю сеть, через которую Edge будет подключаться к серверу Windows Server.

В поле Local ID укажите IP адрес внешнего интерфейса Edge сервера.

Примечание: В некоторых случаях Edge сервер может быть подключен к Интернет не напрямую, а находиться за NAT устройством, которое осуществляет проброс необходимых портов для организации VPN. В любом случае, в данном поле указывается IP адрес внешнего интерфейса Edge сервера, неважно, из публичного или из частного диапазона.

В поле Peer ID укажите IP адрес внешнего интерфейса Windows Server.

Примечание: В некоторых случаях удаленный Windows Server может быть подключен к Интернет не напрямую, а находиться за NAT устройством, которое осуществляет проброс необходимых портов для организации VPN. В любом случае, в данном поле указывается IP адрес внешнего интерфейса Windows сервера, неважно, из публичного или из частного диапазона. 

 

В поле Peer IP задайте IP адрес внешнего интерфейса Windows Server.

Примечание: В случае, если удаленный сервер находится за NAT устройством, данном поле потребуется ввести IP адрес внешнего интерфейса NAT устройства.

В списке Encryption protocol выберите протокол шифрования. Edge сервер поддерживает протоколы шифрования AES-256 (256 бит), AES (128 бит). В качестве примера здесь и далее используется протокол шифрования AES-256 (256 бит),

Выберите Show key для показа общего ключа. Скопируйте общий ключ, т.к. он потребуется при настройке Windows Server.

При необходимости измените значение MTU во избежание фрагментации пакетов из-за ограничений внешнего канала.

Нажмите OK для создания VPN туннеля.

Нажмите OK еще раз для сохранения настроек. Если все все было сделано правильно, то после повторного открытия окна Edge Gateway Services на вкладке VPN появится новый туннель.

Не забудьте настроить брандмауэр Edge на вкладке Firewall. Для тестовых целей вы можете разрешить весь входящий и исходящий трафик, выбрав Default action: Allow, или отключив брандмауэр.

На этом настройки со стороны Edge сервера закончены.

Рекомендации и ограничения

Phase 1 Mode:  IKE with pre-shared Key (32-128 symbols)
Phase 1 DH Group: Group 14
Phase 1 Encryption: AES/AES-256
Phase 1 Authentication: SHA1
Phase 1 SA Life: 28800

Phase 2 DH Group: Group 14
Phase 2 Encryption: AES/AES-256
Phase 2 Authentication: SHA1
Phase 2 SA Life: 3600

 

Для регионов

Откройте консоль управления vCloud Director. Войдите в систему в качестве   администратора организации. Перейдите во вкладку администрирования (Administration), в списке слева выберите нужный виртуальный ЦОД (Virtual Datacenters) и перейдите на вкладку Edge Gateways.

Настройка VPN Site-to-Site выполняется только из Advanced режима Edge Gateway. Для перевода в Advanced Gateway выберите нужный Edge Gateway, щелкните правой кнопкой мыши и выберите пункт Convert to Advanced Gateway.

 

Настройка VPN тоннеля

Выберите нужный сервер Edge, щелкните правой кнопкой мыши и выберите Edge Gateway Services.


Откроется новая вкладка браузера, перейдите на вкладку VPN и включите поддержку VPN изменив положение переключателя.


Для добавления нового VPN тоннеля перейдите на вкладку IPsec VPN Sites и нажмите 


Откроется новое окно:

Укажите название тоннеля в поле Name.
Выберите использование функции PFS если вторая точка IPsec тоннеля её поддерживает. По умолчанию большинство устройств данную функцию используют.
В поле Local ID и Local Endpoint укажите IP адрес внешнего интерфейса Edge Gateway.

Примечание: В некоторых случаях Edge сервер может быть подключен к Интернет не напрямую, а находиться за NAT устройством, которое осуществляет проброс необходимых портов для организации VPN. В любом случае, в данном поле указывается IP адрес внешнего интерфейса Edge сервера, неважно, из публичного или из частного диапазона.

В списке Local Subnets выберите локальную сеть, подключенную к серверу Edge, для которой требуется организовать VPN туннель.
В поле Peer ID и Peer Endpoint укажите IP адрес внешнего интерфейса второй точки IPsec тоннеля.

Примечание: В некоторых случаях сервер IPsec может быть подключен к Интернет не напрямую, а находиться за NAT устройством, которое осуществляет проброс необходимых портов для организации VPN. В любом случае, в данном поле указывается IP адрес внешнего интерфейса Windows сервера, неважно, из публичного или из частного диапазона. 

В поле Peer Subnets укажите в формате CIDR (например, 10.0.1.0/24) удаленную сеть, до которой требуется организовать VPN туннель.
Если сервер Edge подключен к нескольким внешним (External) сетям, то в списке Local Endpoint выберите внешнюю сеть, через которую Edge будет подключаться к удаленному IPsec серверу.
В списке Encryption protocol выберите протокол шифрования. Edge сервер поддерживает протоколы шифрования AES-256 (256 бит), AES (128 бит), использование протокола 3DES не рекомендуется.
Заполните поле Pre-Shared key. Скопируйте общий ключ, т.к. он потребуется при настройке VPN тоннеля на удаленной точке.
Выберите diffie hellman group в соответствии с тем, который поддерживает вторая точка IPsec тоннеля.
Нажмите    для создания VPN туннеля.
Если все было сделано правильно, то на вкладке VPN появится новый туннель.
После чего сохраните внесенные изменения нажав кнопку Save Changes.

Не забудьте настроить брандмауэр Edge Gateway на вкладке Firewall. Для тестовых целей вы можете разрешить весь входящий и исходящий трафик установив значения Any-Any-Any-Accept для правила default rule for ingress traffic на вкладке Firewall

На этом настройки со стороны Edge сервера закончены.

Рекомендации и ограничения
 

Phase 1 Mode:  IKE with pre-shared Key (32-128 symbols)
Phase 1 DH Group: Group 2,5,14,15,16
Phase 1 Encryption: AES/AES-256
Phase 1 Authentication: SHA1
Phase 1 SA Life: 28800

Phase 2 DH Group: Group 2,5,14,15,16
Phase 2 Encryption: AES/AES-256
Phase 2 Authentication: SHA1
Phase 2 SA Life: 3600

 

Заголовок формы
Настоящим в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» от 27.07.2006, отправляя данную форму, вы подтверждаете свое согласие на обработку персональных данных. Мы, ЗАО «СофтЛайн Интернейшнл» и аффилированные к нему лица, гарантируем конфиденциальность получаемой нами информации. Обработка персональных данных осуществляется в целях эффективного исполнения заказов, договоров и пр. в соответствии с «Политикой конфиденциальности персональных данных».