Чтобы настроить VPN IPsec зайдите в раздел «Administration», в правом меню выберите «Virtual Datacenters», зайдите в ваш Виртуальный Дата центр, щелкнув левой кнопкой мыши. Далее необходимо выбрать в верхнем меню «Edge Gateways».




На открывшейся странице необходимо навести курсор на существующий роутер Test-Edge и нажать правой кнопкой мыши. В открывшемся меню надо выбрать «Edge Gateways Services…».



В окне «Edge Gateway» надо перейти на вкладку «VPN» и перевести ползунок «IPsec VPN Service Status» в положение «Enable». После этого важно сохранить изменения, нажав Save Changes.







Далее необходимо перейти на вкладку «IPsec VPN Sites» и нажать +. После этого откроется окно «Add IPsec VPN».

В открывшемся окне «Add IPsec VPN» заполните следующие поля:

Enabled – Переведите ползунок в состояние Enabled

Enable Perfect Forward Sercecy - Выберите должен ли быть PFS включен. В нашем случае ползунок в состояние Enabled

Name – Произвольное имя туннеля.

Local ID - Уникальный идентификатор. В данном случае совпадает с Local Endpoint.

Local Endpoint - Необходимо указать в этом поле один из публичных адресов вашего VDC.

Local Subnets - Необходимо указать к каким приватным сетям вашего VDC будет осуществлен доступ.

Peer ID – Уникальный идентификатор. В данном случае совпадает с Peer IP.

Peer IP - Необходимо указать публичный ip адрес оборудования в вашей организации, куда будет установлено соединение.

Peer Subnets – Необходимо указать CIDR сети(ей) вашей организации через запятую.

Encryption Algorithm – Выберите из возможных вариантов шифрования(AES256, AES), которое поддерживает ваше оборудование. В нашем случае AES256.

Authentication - Выберите из возможных типов аутентификации(PSK, Certificate). В нашем случае PSK.

Change Shared Key - Включите для использования своего ключа

Pre-Shared Key - Укажите свой ключ

Display Shared Key - Включите для показа текстового ключа

Diffie-Hellman Group - Выберите из возможных вариантов(DH2, DH5, DH14, DH15, DH16).В нашем случае выбираем DH2.







Далее нажимаем Keep и сохраняем изменения.





Важно! Данная конфигурация не является обязательной, а показывает лишь пример настройки!

Дополнительная информация:

Приблизительный конфиг для настройки оборудования Cisco ASA:

#=========================================================

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac

crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac

#global setting for crypto isakmp

crypto isakmp identity auto

crypto isakmp enable OUTSIDE

#=========================================================

# Start setting for site mapVSE_172.159.33.133

#=========================================================

#isakmp policy for site

crypto isakmp policy 1

authentication pre-share

encryption aes-256

hash sha

group 2

lifetime 86400

#crypto map for site

access-list acl_172.159.33.133_0 extended permit ip 192.168.3.0 255.255.255.0 10.0.0.0 255.255.255.0

access-list acl_172.159.33.133_1 extended permit ip 192.168.2.0 255.255.255.0 10.0.0.0 255.255.255.0

crypto map mapVSE_172.159.33.133 1 annotation Auto_Generated_By_Vshield_Edge

crypto map mapVSE_172.159.33.133 1 match address acl_172.159.33.133_0

crypto map mapVSE_172.159.33.133 1 match address acl_172.159.33.133_1

crypto map mapVSE_172.159.33.133 1 set pfs

crypto map mapVSE_172.159.33.133 1 set peer 178.159.33.133

crypto map mapVSE_172.159.33.133 1 set transform-set ESP-AES-256-SHA

crypto map mapVSE_172.159.33.133 interface OUTSIDE

# tunnel-group (key) setting for site

crypto isakmp key myExtraSicretString address 178.159.33.133

#=========================================================