Документация

VPN Site-to-Site (VPN-шлюзы)

VPN Site-to-Site способ безопасного соединения двух и более территориально распределённых узлов через сеть Интернет путём создания зашифрованного канала между VPN-шлюзами, расположенными на каждом из этих узлов.

VPN-туннель шифрует трафик на одном конце и отправляет его на другой сайт через Интернет, где он расшифровывается и направляется к месту назначения.

VPN-туннель используется для безопасной передачи данных между двумя площадками (например, офисами, филиалами, подразделениями организации):

Настройка передачи данных через VPN-туннель

Чтобы настроить безопасную передачу данных через VPN-туннель:

  1. Убедитесь, что у вас подключен сервис Cloud Compute. Если нет, подключите его в каждом узле, участвующем в передаче данных посредством VPN-туннелей. 
  2. Создайте сеть и подсеть.
  3. Создайте сервер
  4. Настройте группу безопасности.
  5. Создайте VPN-шлюз.
  6. Настройте маршрутизацию.
  7. Создайте VPN-туннель.

Создание сети и подсети

В каждом узле, участвующем в передаче данных посредством VPN-туннелей, создайте сеть и подсеть.

Примечание

Можно использовать сеть default и подсеть default-ru-central1, созданные по умолчанию. Тогда новые сеть и подсеть создавать не нужно.

Чтобы создать сеть:

  1. В главном меню портала перейдите в раздел Ресурсы Cloud Engine Сети.
  2. Нажмите на кнопку  Создать сеть.
  3. Заполните поля Имя, Описание и нажмите на кнопку Добавить:

Созданная сеть отобразится на портале со статусом Доступно:

В каждом узле в выбранной сети создайте подсеть, в которой будет размещаться сервер шлюза и сервер, выполняющий роль узла.

Чтобы создать подсеть:

  1. В главном меню портала перейдите в раздел Ресурсы Cloud Engine Сети.
  2. Нажмите на строку с нужной сетью.
  3. На вкладке Подсети нажмите на кнопку Добавить.

  4. В открывшемся окне заполните поля:

    • Имя — наименование подсети;
    • Описание — описание подсети, заполняется при необходимости;
    • Регион — регион расположения сервера;
    • IPv4 CIDR — адрес подсети;
    • Prefix — длина префикса в битах (зависит от размера подсети);
    • DHCP — флажок не доступен для изменения. IP-адреса присваиваются автоматически.
  5. Нажмите на кнопку Добавить.

Созданная подсеть отобразится на портале со статусом Доступно:

Настройка группы безопасности

Создание группы безопасности

Примечание

Можно использовать группу безопасности default, созданную по умолчанию, и не создавать новую.

Для разрешения трафика между узлами создайте группу безопасности с правилами для входящего и исходящего трафика в каждом узле.

Чтобы создать группу безопасности:

  1. В главном меню портала перейдите в раздел Ресурсы → Cloud Engine Группы безопасности.
  2. Нажмите на кнопку  Создать группу безопасности.
  3. Заполните поля Имя, Описание и нажмите на кнопку Добавить:

Созданная группа безопасности отобразится на портале со статусом Доступно:

Настройка правил группы безопасности

В каждом узле настройте следующие правила группы безопасности:

  1. Нажмите на строку с созданной группой безопасности или группой безопасности default.
  2. Нажмите на кнопку Добавить и заполните поля для исходящего трафика, как на скриншоте:

  • Направление назначение трафика:
    • Исходящее для исходящего трафика;
  • Описание описание правила, заполняется при необходимости;
  • Протокол технологии передачи данных;
  • Тип подсети IPv4;
  • Открыть порт порт используется для приёма и передачи данных определённого вида. Отображается в виде 16-ти битного числа от 1 до 65535:
    • Все правило применимо для всех портов;
  • Назначение IP-адреса получателей трафика;
  • Любой — установите флажок, чтобы применить правило на любой CIDR.

3. Нажмите на кнопку Добавить.

4. Добавьте аналогичное правило для исходящего трафика, указав значение IPv6 в поле Тип подсети.

5. Добавьте правило для входящего трафика, заполнив поля, как на скриншоте:

  • Направление назначение трафика:
    • Входящее для входящего трафика;
  • Описание описание правила, заполняется при необходимости;
  • Протокол технологии передачи данных;
  • Тип подсети IPv4;
  • Назначение IP-адреса получателей трафика;
  • Любой — установите флажок, чтобы применить правило на любой CIDR.

6. Нажмите на кнопку Добавить.

7. Добавьте аналогичное правило для входящего трафика, указав значение IPv6 в поле Тип подсети.

8. Добавьте правило для входящего трафика, заполнив поля, как на скриншоте:

  • Направление назначение трафика:
    • Входящее для входящего трафика;
  • Описание описание правила, заполняется при необходимости;
  • Протокол технологии передачи данных;
  • Тип подсети IPv4;
  • Открыть порт порт используется для приёма и передачи данных определённого вида. Отображается в виде 16-ти битного числа от 1 до 65535:
    • Порт  правило применимо для порта 500;
  • Назначение IP-адреса получателей трафика;
  • Любой — установите флажок, чтобы применить правило на любой CIDR.

9. Нажмите на кнопку Добавить.

10. Добавьте аналогичное правило для входящего трафика, указав значение 4500 в поле Порт.

11. Добавьте аналогичное правило для входящего трафика, указав значение IPv6 в поле Тип подсети и значение 500 в поле Порт.

12. Добавьте аналогичное правило для входящего трафика, указав значение IPv6 в поле Тип подсети и значение 4500 в поле Порт.

Создание VPN-шлюза

В каждом узле, участвующем в передаче данных посредством VPN-туннелей, создайте шлюз.

Чтобы создать VPN-шлюз в узле А:

  1. В главном меню портала перейдите в раздел Ресурсы Cloud Engine VPN Site-to-Site.

  2. Нажмите на кнопку  Создать.

  3. Заполните поля:

    • Название шлюза  — имя шлюза.

      1. Длина имени от 3 до 30 символов.
      2. Может содержать строчные буквы латинского алфавита, цифры, дефис.
      3. Название должно начинаться с буквы.
    • Регион — регион расположения ресурсов, на которых будет развёрнут шлюз;
    • Зона доступности — зона доступности (ЦОД) в рамках региона, в котором будет развёрнут шлюз;
    • Подсеть для VPN-шлюза — подсеть узла А, к которой будет подключен шлюз с сетевым интерфейсом. Маршрутизация пакетов будет доступна ко всем подсетям, входящим в сеть.
  4. Нажмите на кнопку Создать.
  5. Аналогично создайте VPN-шлюз в узле Б.

Действия с VPN-шлюзом

Для просмотра доступных действий с VPN-шлюзом нажмите на кнопку  в строке с нужным VPN-шлюзом:

Перезапуск VPN-шлюза

Перезапуск VPN-шлюза используется для массового перезапуска VPN-туннелей, созданных внутри VPN-шлюза, или для разрешения нештатных ситуаций при работе оборудования.

Чтобы перезапустить VPN-шлюз, выберите пункт Перезапустить шлюз. Статус VPN-шлюза изменится с Работает на Перезапуск. Перезапуск займёт 1-2 минуты, после чего статус VPN-шлюза снова изменится на Работает

Удаление VPN-шлюза

Чтобы удалить VPN-шлюз:

  1. Выберите пункт Удалить шлюз.
  2. Нажмите на кнопку Удалить.

При удалении VPN-шлюза автоматически удаляется сервер шлюза.

Настройка маршрутизации

Чтобы пользователи могли обмениваться данными через VPN-туннель, добавьте в маршрутизаторы статические маршруты между двумя узлами.

В каждом узле, участвующем в передаче данных посредством VPN-туннелей, создайте таблицу маршрутизации и привяжите её к сети.

В качестве примера настроим маршрутизацию в узле А.

Создание таблицы маршрутизации

Чтобы создать таблицу маршрутизации для узла А:

  1. В главном меню портала перейдите в раздел Ресурсы  Cloud Engine  Таблицы маршрутизации.
  2. Нажмите на кнопку  Создать таблицу маршрутизации.

  3. Заполните поля:

    • Регион * — регион размещения сети шлюза узла А;
    • Название таблицы *уникальное название таблицы маршрутизации в рамках системы;
    • Описание — описание таблицы, заполняется при необходимости;

    • Адрес сети * — IP-адрес сети узла Б;

      1. В главном меню портала перейдите в раздел Ресурсы  Cloud Engine  Сети.
      2. Нажмите на строку с сетью шлюза Б.
      3. IP-адрес сети узла Б указан на вкладке Подсети:

    • Шлюз * — значение параметра Внутренний IP-адрес шлюза узла А.

      1. В главном меню портала перейдите в раздел Ресурсы  Cloud Engine  VPN Site-to-Site.
      2. В строке со шлюзом узла А нажмите на кнопку .
      3. Внутренний IP шлюза узла А указан в столбце Внутренний IP-адрес:
  4. Нажмите на кнопку Добавить.
  5. Привяжите таблицу маршрутизации к сети.
  6. Аналогично создайте таблицу маршрутизации для узла Б.

Привязка таблицы маршрутизации к сети

Чтобы привязать созданную таблицу маршрутизации для узла А к сети:

  1. В главном меню портала перейдите в раздел Ресурсы  Cloud Engine  Сети.
  2. Нажмите на строку с нужной сетью.
  3. На вкладке Связки с таблицами маршрутизации нажмите на кнопку Добавить.

  4. Заполните поля:

    • Регион * — регион, в котором создана таблица маршрутизации узла А;
    • Таблица маршрутизации * — таблица маршрутизации узла А.
  5. Нажмите на кнопку Добавить.
  6. Аналогично привяжите созданную таблицу маршрутизации для узла Б к сети.

В результате серверы, входящие в сеть, которая связана с таблицей маршрутизации, получат статический маршрут для подключения к этой сети.

Создание VPN-туннелей

Существует два режима протокола:

  • транспортный — шифруется сообщение в пакете данных;
  • туннельный — шифруется весь пакет данных.

Каждый протокол служит для защиты передачи данных между сетями.

В каждом развёрнутом шлюзе создайте по одному VPN-туннелю.

Чтобы создать VPN-туннель в узле А:

  1. В главном меню портала перейдите в раздел Ресурсы  Cloud Engine  VPN Site-to-Site.
  2. В строке с нужным шлюзом нажмите на кнопку .
  3. Нажмите на кнопку Создать туннель.
  4. Заполните поля:

Примечание

При создании VPN-туннеля в обоих узлах укажите одинаковые значения в полях PSK, Время жизни ключа IKE, Алгоритм хэширования, Алгоритм шифрования, Группа Диффи-Хеллмана и Время жизни ключа.

Настройки туннеля:

  • Имя туннеля — наименование туннеля;

    1. Длина имени  от 3 до 30 символов.
    2. Может содержать строчные буквы латинского алфавита, цифры и дефис.
    3. Имя должно начинаться с буквы. 

  • Peer IP значение параметра Публичный IP-адрес шлюза узла Б. Используется вместе с ключом PSK для идентификации удалённого шлюза;

    1. В главном меню портала перейдите в раздел Ресурсы  Cloud Engine  VPN Site-to-Site.
    2. В строке со шлюзом узла Б нажмите на кнопку .
    3. Публичный IP-адрес шлюза узла Б указан в столбце Публичный IP-адрес:

  • PSK ключ совместного использования. Используется для шифрования данных перед их отправкой и для расшифровки при их открытии. Сгенерируйте ключ по кнопке Сгенерировать.

    1. Длина ключа 16 символов.
    2. Может содержать заглавные и строчные буквы латинского алфавита, цифры, символы -+&!@#$%^*(),.:;_=<>{}
    3. Ключ должен содержать хотя бы одну букву или цифру.

IPSec 1 фаза — IKE:

IPsec (Internet Protocol Security) — пакет протоколов, обеспечивающий безопасность связи по Интернет‑протоколу (IP) за счёт аутентификации и шифрования всех IP‑пакетов в потоке данных. Протокол устанавливает туннель до удалённого узла, обеспечивает высокий уровень безопасности соединения, т.к. каждая сессия проверяется, а пакеты данных шифруются.

  • Время жизни ключа IKE (IKE SA) в секундах время в диапазоне от 1 до 84600 секунд включительно;
  • Алгоритм хэширования:
    • sha1 — фиксированный размер хэша для любого сообщения равен 160 бит;
    • sha256 — фиксированный размер хэша для любого сообщения равен 256 бит;
  • Алгоритм шифрования:
    • 3des в качестве алгоритма шифрования используется 168-bit DES-CBC (3DES);
    • aes128 в качестве алгоритма шифрования используется 128-bit AES;
    • aes192 в качестве алгоритма шифрования используется 192-bit AES;
    • aes256 в качестве алгоритма шифрования используется 256-bit AES;
  • Группа Диффи-Хеллмана — группа определяет длину ключа, используемого для передачи ключа сеанса:
    • group2 длина ключа 1024 бит;
    • group5 длина ключа 1536 бит;
    • group14 длина ключа 2048 бит.

IPSec 2 фаза — ESP:

  • Время жизни ключа время, в течение которого ключ может использоваться для защиты соединения. Возможное значение от 1 до 84600 секунд включительно, но не более значения поля Время жизни ключа IKE (IKE SA) в секундах;
  • Алгоритм хэширования:
    • sha1 — фиксированный размер хэша для любого сообщения равен 160 бит;
    • sha256 — фиксированный размер хэша для любого сообщения равен 256 бит; 
  • Алгоритм шифрования:
    • 3des в качестве алгоритма шифрования используется 168-bit DES-CBC (3DES);
    • aes128 в качестве алгоритма шифрования используется 128-bit AES;
    • aes192 в качестве алгоритма шифрования используется 192-bit AES;
    • aes256 в качестве алгоритма шифрования используется 256-bit AES;
  • Группа Диффи-Хеллмана группа определяет длину ключа, используемого для передачи ключа сеанса:
    • group2 длина ключа 1024 бит;
    • group5 длина ключа 1536 бит;
    • group14 длина ключа 2048 бит;
    • Без ограничений длина ключа без ограничений.

Настройки туннеля:

  • Подсети — локальные подсети, у которых будет доступ к VPN-туннелю;
  • Адрес подсети адрес подсети узла Б. Адрес не должен совпадать с адресами, указанными в поле Подсети

    Допустимы подсети из диапазона:

    • 10.0.0.0/8;
    • 172.16.0.0/12;
    • 192.168.0.0/16.

При необходимости нажмите на кнопку Добавить подсеть и укажите адрес подсети, которая расположена за удалённым шлюзом и до которой будет осуществляться маршрутизация по туннелю.

5. Нажмите на кнопку Создать.

6. Аналогично создайте VPN-туннель в узле Б.

Созданный VPN-туннель отобразится на портале:

Важно

Перед использованием VPN-туннеля убедитесь, что:

  • статус созданного VPN-туннеля — ESTABLISHED;
  • между узлами туннелирования выполняется команда ping.

Чтобы посмотреть подробную информацию о VPN-туннеле, нажмите на кнопку  в строке с нужным VPN-туннелем. Откроется страница с информацией о VPN-туннеле:

Созданный VPN-туннель можно перезапустить, изменить или удалить, посмотреть его статус и лог-файл. Подробнее см. раздел Действия с VPN-туннелем.

Действия с VPN-туннелем

Для просмотра доступных действий с VPN-туннелем нажмите на кнопку  в строке с нужным VPN-туннелем:

Перезапуск

Чтобы перезапустить VPN-туннель, выберите пункт Перезапустить.

Редактирование

Чтобы изменить параметры VPN-туннеля:

  1. Выберите пункт Изменить.
  2. В открывшемся окне измените параметры VPN-туннеля.
  3. Нажмите на кнопку Сохранить.

Удаление

Чтобы удалить VPN-туннель:

  1. Выберите пункт Удалить.
  2. Нажмите на кнопку Удалить.

Просмотр статуса

Чтобы посмотреть статус VPN-туннеля:

  1. Нажмите на кнопку  в строке с нужным VPN-туннелем.
  2. Нажмите на кнопку Получить статус.

Статус отображается на портале:

Статусы VPN-туннеля:

СтатусОписание
CREATEDVPN-туннель создан
CONNECTINGВыполняется подключение между узлами А и Б
REKEYINGПроцесс перевыпуска ключей
ESTABLISHEDСоединение между узлами А и Б установлено. VPN-туннель работает
DELETINGУдаление VPN-туннеля
Иное значениеОшибка подключения. Перезапустите VPN-туннель

Просмотр лог-файлов

Чтобы посмотреть лог-файл:

  1. Нажмите на кнопку  в строке с нужным VPN-туннелем.
  2. Нажмите на кнопку Получить лог.

В этой статье

Мы ответили на ваш вопрос?