Настройка VPN соединения в VPNaaS без использования «Endpoint Groups» (legacy way)

«Endpoint Groups» -это сущности позволяющие группировать локальные сети, после чего использовать эти группы при настройке IPSec соединения. Здесь будет описана настройка соединения без использования «Endpoint Groups». Локальные сети участвующие в настройке будут указаны непосредственно, в соответствующих полях.

Примечание

Для установления IPSec VPN-соединения необходимо обеспечить выполнения обязательных условий:

• Сетевая доступность между маршрутизаторами:

  • Protocol: UDP, port 500 (for IKE, to manage encryption keys).
  • Protocol: UDP, port 4500 (for IPSEC NAT-Traversal mode).
  • Protocol: ESP, value 50 (for IPSEC).
  • Protocol: AH, value 51 (for IPSEC).

• Правила фаерволов не должны блокировать сетевой трафик между маршрутизаторами и приватными подсетями.

• Приватные подсети, которые будут соединяться средствами IPSec, должны быть разными, а также не включать в себя друг друга.

Настройка сервиса VPN состоит из следующих шагов:

• Добавим политику IKE
• Добавим политику IPSec
• Добавим сервис VPN
• Добавим IPSec подключение
• Настрока VPN соединения с помощью Opencstack CLI

Добавим политику IKE

1. Перейти «PROJECT» → «NETWORK» → «VPN» в панели управления SIM-Cloud.
2. Открыть вкладку «IKE POLICIES».
3. Нажать «ADD IKE POLICY».
4. В появившейся форме заполним следующие поля:

«Add IKE Policy»

Name	ввести имя политики
Encryption algorithm	выбрать необходимый алгоритм шифрования
IKE version	выбрать необходимую версию IKE

Остальные настройки оставляем по умолчанию.

5. Нажимаем «ADD».

Добавим политику IPSec

1. Перейти «PROJECT» → «NETWORK» → «VPN» в панели управления SIM-Cloud.
2. Открыть вкладку «IPSEC POLICIES».
3. Нажать «ADD IPSEC POLICY».
4. В появившейся форме заполним следующие поля:

«Add IPSec Policy»

Name	ввести имя политики
Encryption algorithm	выбрать необходимый алгоритм шифрования

Остальные настройки оставляем по умолчанию.

5. Нажимаем «ADD».

Добавим сервис VPN

1. Перейти «PROJECT» → «NETWORK» → «VPN» в панели управления SIM-Cloud.
2. Открыть вкладку «VPN SERVICES».
3. Нажать «ADD VPN SERVICE».
4. В появившейся форме заполним следующие поля:

«Add IKE Policy»

Name	ввести имя сервиса
Router	выбрать маршрутизатор проекта, который будет использоваться
Subnet	выбрать необходимую подсеть

Остальные настройки оставляем по умолчанию.

5. Нажимаем «ADD».

Предупреждение

Обязательно нужно убедиться, что маршрутизатору добавлен интерфейс из приватной сети, которая будет указана в Subnet. Иначе сервис VPN не добавится.

Примечание

После создания, сервис VPN появится со статусом «PENDING_CREATE». Статус сменится на «ACTIVE» после успешного создания IPSec подключения. Поэтому, не ожидая его изменения, переходим к следующему пункту.

Добавим IPSec подключение

1. Перейти «PROJECT» → «NETWORK» → «VPN» в панели управления SIM-Cloud.
2. Открыть вкладку «IPSEC SITE CONNECTIONS».
3. Нажать «ADD IPSEC SITE CONNECTIONS».
4. В появившейся форме заполним следующие поля:

«Add IPSec Site Connection»

Name	ввести имя соединения
VPN service associated with this connection	Сервис VPN, который был создан в предыдущем шаге
IKE policy associated with this connection	Политика IKE, которая была создана на предыдущих шагах
IPsec policy associated with this connection	Политика IPSec, которая была создана на предыдущих шагах
Peer gateway public IPv4/IPv6 Address or FQDN	Публичный IP-адрес удаленной стороны
Peer router identity for authentication (Peer ID)	Может быть IPv4/IPv6 адрес, адрес электронной почты, ID ключа или FQDN. Обычно используем IP из предыдущего поля
Remote peer subnet(s)	Прописываем локальную сеть(и) удаленной стороны для маршрутизации. Если подсетей несколько - нужно разделить их запятыми
Pre-Shared Key (PSK) string	ключ PSK, требуемый между двумя точками VPN-соединения

Остальные настройки оставляем по умолчанию.

5. Нажимаем «ADD».

Предупреждение

Обязательно нужно убедиться, что маршрутизатору добавлен интерфейс из приватной сети, которая будет указана в Subnet. Иначе сервис VPN не добавится.

Примечание

После создания, сервис VPN появится со статусом «PENDING_CREATE». Статус сменится на «ACTIVE» после успешного создания IPSec подключения. Поэтому, не ожидая его изменения, переходим к следующему пункту.

Настрока VPN соединения с помощью Opencstack CLI

Все описанные шаги также можно выполнить с помощью интерфейса командной строки Openstack CLI.

Подробное описание всех шагов по настройке VPNaaS можно взять из официальной документации Openstack

Cоздание VPN соединения со стороны сервиса VPNaaS закончено.

Теперь требуется произвести настройку со второй стороны. При этом параметры используемые при настройке политик должны быть идентичными.

Предупреждение

Протокол IPSec предусматривает, что создаваемые политики и алгоритмы шифрования должны быть одинаковыми с обоих сторон туннеля. Если они не будут совпадать, то туннель не будет создаваться.