На открывшейся странице необходимо навести курсор на существующий роутер Test-Edge и нажать правой кнопкой мыши. В открывшемся меню надо выбрать «Edge Gateways Services…».
В окне «Edge Gateway» надо перейти на вкладку «VPN» и перевести ползунок «IPsec VPN Service Status» в положение «Enable». После этого важно сохранить изменения, нажав Save Changes.
Далее необходимо перейти на вкладку «IPsec VPN Sites» и нажать +. После этого откроется окно «Add IPsec VPN».
В открывшемся окне «Add IPsec VPN» заполните следующие поля:
Enabled – Переведите ползунок в состояние Enabled
Enable Perfect Forward Sercecy - Выберите должен ли быть PFS включен. В нашем случае ползунок в состояние Enabled
Name – Произвольное имя туннеля.
Local ID - Уникальный идентификатор. В данном случае совпадает с Local Endpoint.
Local Endpoint - Необходимо указать в этом поле один из публичных адресов вашего VDC.
Local Subnets - Необходимо указать к каким приватным сетям вашего VDC будет осуществлен доступ.
Peer ID – Уникальный идентификатор. В данном случае совпадает с Peer IP.
Peer IP - Необходимо указать публичный ip адрес оборудования в вашей организации, куда будет установлено соединение.
Peer Subnets – Необходимо указать CIDR сети(ей) вашей организации через запятую.
Encryption Algorithm – Выберите из возможных вариантов шифрования(AES256, AES), которое поддерживает ваше оборудование. В нашем случае AES256.
Authentication - Выберите из возможных типов аутентификации(PSK, Certificate). В нашем случае PSK.
Change Shared Key - Включите для использования своего ключа
Pre-Shared Key - Укажите свой ключ
Display Shared Key - Включите для показа текстового ключа
Diffie-Hellman Group - Выберите из возможных вариантов(DH2, DH5, DH14, DH15, DH16).В нашем случае выбираем DH2.
Далее нажимаем Keep и сохраняем изменения.
Важно! Данная конфигурация не является обязательной, а показывает лишь пример настройки!
Дополнительная информация:
Приблизительный конфиг для настройки оборудования Cisco ASA:
#=========================================================
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
#global setting for crypto isakmp
crypto isakmp identity auto
crypto isakmp enable OUTSIDE
#=========================================================
# Start setting for site mapVSE_172.159.33.133
#=========================================================
#isakmp policy for site
crypto isakmp policy 1
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
#crypto map for site
access-list acl_172.159.33.133_0 extended permit ip 192.168.3.0 255.255.255.0 10.0.0.0 255.255.255.0
access-list acl_172.159.33.133_1 extended permit ip 192.168.2.0 255.255.255.0 10.0.0.0 255.255.255.0
crypto map mapVSE_172.159.33.133 1 annotation Auto_Generated_By_Vshield_Edge
crypto map mapVSE_172.159.33.133 1 match address acl_172.159.33.133_0
crypto map mapVSE_172.159.33.133 1 match address acl_172.159.33.133_1
crypto map mapVSE_172.159.33.133 1 set pfs
crypto map mapVSE_172.159.33.133 1 set peer 178.159.33.133
crypto map mapVSE_172.159.33.133 1 set transform-set ESP-AES-256-SHA
crypto map mapVSE_172.159.33.133 interface OUTSIDE
# tunnel-group (key) setting for site
crypto isakmp key myExtraSicretString address 178.159.33.133
#=========================================================