VPN Site-to-Site (VPN-шлюзы)

VPN Site-to-Site способ безопасного соединения двух и более территориально распределённых узлов через сеть Интернет путём создания зашифрованного канала между VPN-шлюзами, расположенными на каждом из этих узлов.

VPN-туннель шифрует трафик на одном конце и отправляет его на другой сайт через Интернет, где он расшифровывается и направляется к месту назначения.

VPN-туннель используется для безопасной передачи данных между двумя площадками (например, офисами, филиалами, подразделениями организации):

Настройка передачи данных через VPN-туннель

Чтобы настроить безопасную передачу данных через VPN-туннель:

  1. Убедитесь, что у вас подключен сервис Cloud Compute. Если нет, подключите его в каждом узле, участвующем в передаче данных посредством VPN-туннелей. 
  2. Создайте сеть и подсеть.
  3. Создайте сервер
  4. Создайте VPN-шлюз.
  5. Настройте маршрутизацию.
  6. Создайте VPN-туннель.

Создание сети и подсети

В каждом узле, участвующем в передаче данных посредством VPN-туннелей, создайте сеть и подсеть.

Примечание

Можно использовать сеть default и подсеть default-ru-central1, созданные по умолчанию. Тогда новые сеть и подсеть создавать не нужно.

Чтобы создать сеть:

  1. Выберите проект, в котором нужно создать сеть.
  2. В главном меню портала перейдите в раздел Ресурсы Cloud Engine Сети.
  3. Нажмите на кнопку Создать сеть.
  4. Заполните поля Имя, Описание и нажмите на кнопку Добавить:

Созданная сеть отобразится на портале со статусом Доступно:

В каждом узле в выбранной сети создайте подсеть, в которой будет размещаться сервер VPN-шлюза и сервер, выполняющий роль узла.

Чтобы создать подсеть:

  1. Выберите проект, в котором нужно создать подсеть.
  2. В главном меню портала перейдите в раздел Ресурсы Cloud Engine Сети.
  3. Нажмите на строку с нужной сетью.
  4. На вкладке Подсети нажмите на кнопку + Добавить.
  5. В открывшемся окне заполните поля:

    • Имя — наименование подсети;

    • Описание — описание подсети, заполняется при необходимости;

    • Регион — регион расположения сервера;

    • IPv4 CIDR — адрес подсети;

    • Prefix — длина префикса в битах (зависит от размера подсети);

    • DHCP — флажок не доступен для изменения. IP-адреса присваиваются автоматически.

  6. Нажмите на кнопку Добавить.

Созданная подсеть отобразится на портале со статусом Доступно:

Группы безопасности VPN-шлюза

Группа безопасности — правила, контролирующие входящий и исходящий трафик VPN-шлюза.

После создания VPN-шлюза автоматически создаётся группа безопасности sg-<имя VPN-шлюза>:

Группа безопасности для VPN-шлюза содержит правила для входящего и исходящего трафика:

Правила группы безопасности VPN-шлюза можно изменять.

Создание VPN-шлюза

В каждом узле, участвующем в передаче данных посредством VPN-туннелей, создайте VPN-шлюз.

Чтобы создать VPN-шлюз в узле А:

  1. Выберите проект, в котором нужно создать VPN-шлюз.
  2. В главном меню портала перейдите в раздел Ресурсы Cloud Engine VPN Site-to-Site.
  3. Нажмите на кнопку Добавить.

  4. Заполните поля:

    • Название шлюза — имя VPN-шлюза.

      1. Длина имени от 3 до 30 символов.
      2. Может содержать строчные буквы латинского алфавита, цифры, дефисы.
      3. Название должно начинаться с буквы.
    • Регион — регион расположения ресурсов, на которых будет развёрнут VPN-шлюз;
    • Зона доступности — зона доступности (ЦОД) в рамках региона, в котором будет развёрнут VPN-шлюз;
    • Подсеть для VPN-шлюза — подсеть узла А, к которой будет подключен VPN-шлюз с сетевым интерфейсом. Маршрутизация пакетов будет доступна ко всем подсетям, входящим в сеть.
  5. Нажмите на кнопку Создать.
  6. Аналогично создайте VPN-шлюз в узле Б.

Действия с VPN-шлюзом

Для просмотра доступных действий с VPN-шлюзом нажмите на кнопку в строке с нужным VPN-шлюзом:

Перезапуск VPN-шлюза

Перезапуск VPN-шлюза используется для массового перезапуска VPN-туннелей, созданных внутри VPN-шлюза, или для разрешения нештатных ситуаций при работе оборудования.

Чтобы перезапустить VPN-шлюз:

  1. Выберите проект, в котором создан VPN-шлюз.
  2. В главном меню портала перейдите в раздел Ресурсы Cloud Engine VPN Site-to-Site.
  3. В строке с VPN-шлюзом, который нужно перезапустить, нажмите на кнопку и выберите пункт Перезапустить шлюз.

Статус VPN-шлюза изменится с Работает на Выполняется действие.... Перезапуск займёт 1-2 минуты, после чего статус VPN-шлюза снова изменится на Работает

Удаление VPN-шлюза

Чтобы удалить VPN-шлюз:

  1. Выберите проект, в котором создан VPN-шлюз.
  2. В главном меню портала перейдите в раздел Ресурсы Cloud Engine VPN Site-to-Site.
  3. В строке с VPN-шлюзом, который нужно удалить, нажмите на кнопку и выберите пункт Удалить шлюз.
  4. Нажмите на кнопку Удалить.
  5. Удалите группу безопасности sg-<имя удалённого VPN-шлюза>.

При удалении VPN-шлюза автоматически удаляется сервер VPN-шлюза.

Настройка маршрутизации

Чтобы пользователи могли обмениваться данными через VPN-туннель, добавьте в маршрутизаторы статические маршруты между двумя узлами.

В каждом узле, участвующем в передаче данных посредством VPN-туннелей, создайте таблицу маршрутизации и привяжите её к сети.

В качестве примера настроим маршрутизацию в узле А.

Создание таблицы маршрутизации

Чтобы создать таблицу маршрутизации для узла А:

  1. Выберите проект, в котором нужно создать таблицу маршрутизации.
  2. В главном меню портала перейдите в раздел Ресурсы Cloud Engine  Таблицы маршрутизации.
  3. Нажмите на кнопку Создать таблицу маршрутизации.
  4. Заполните поля:

    • Регион * — регион размещения сети VPN-шлюза узла А;
    • Название таблицы *уникальное название таблицы маршрутизации в рамках системы;
    • Описание — описание таблицы, заполняется при необходимости;
    • Адрес сети * — IP-адрес сети узла Б;

      1. В главном меню портала перейдите в раздел Ресурсы  Cloud Engine Сети.
      2. Нажмите на строку с сетью VPN-шлюза Б.
      3. IP-адрес сети узла Б указан на вкладке Подсети:
    • Шлюз * — значение параметра Внутренний IP-адрес VPN-шлюза узла А.

      1. В главном меню портала перейдите в раздел Ресурсы Cloud Engine VPN Site-to-Site.
      2. В строке с VPN-шлюзом узла А нажмите на кнопку .
      3. Внутренний IP-адрес VPN-шлюза узла А указан в столбце Внутренний IP-адрес:
  5. Нажмите на кнопку Добавить.
  6. Привяжите таблицу маршрутизации к сети.
  7. Аналогично создайте таблицу маршрутизации для узла Б.

Привязка таблицы маршрутизации к сети

Чтобы привязать созданную таблицу маршрутизации для узла А к сети:

  1. Выберите проект.
  2. В главном меню портала перейдите в раздел Ресурсы Cloud Engine Сети.
  3. Нажмите на строку с нужной сетью.
  4. На вкладке Связки с таблицами маршрутизации нажмите на кнопку + Добавить.
  5. Заполните поля:

    • Регион * — регион, в котором создана таблица маршрутизации узла А;

    • Таблица маршрутизации * — таблица маршрутизации узла А.

  6. Нажмите на кнопку Добавить.
  7. Аналогично привяжите созданную таблицу маршрутизации для узла Б к сети.

В результате серверы, входящие в сеть, которая связана с таблицей маршрутизации, получат статический маршрут для подключения к этой сети.

Создание VPN-туннелей

Существует два режима протокола:

  • транспортный — шифруется сообщение в пакете данных;
  • туннельный — шифруется весь пакет данных.

Каждый протокол служит для защиты передачи данных между сетями.

В каждом развёрнутом VPN-шлюзе создайте по одному VPN-туннелю.

Чтобы создать VPN-туннель в узле А:

  1. Выберите проект, в котором нужно создать VPN-туннель.
  2. В главном меню портала перейдите в раздел Ресурсы  Cloud Engine VPN Site-to-Site.
  3. В строке с нужным VPN-шлюзом нажмите на кнопку .
  4. Нажмите на кнопку + Создать туннель.
  5. Заполните поля:

Примечание

При создании VPN-туннеля в обоих узлах укажите одинаковые значения в полях PSK, Время жизни ключа IKE, Алгоритм хэширования, Алгоритм шифрования, Группа Диффи-Хеллмана и Время жизни ключа.

Настройки туннеля:

  • Имя туннеля — наименование туннеля;

    1. Длина имени от 3 до 30 символов.
    2. Может содержать строчные буквы латинского алфавита, цифры и дефис.
    3. Имя должно начинаться с буквы. 
  • Peer IP значение параметра Публичный IP-адрес VPN-шлюза узла Б. Используется вместе с ключом PSK для идентификации удалённого VPN-шлюза;

    1. В главном меню портала перейдите в раздел Ресурсы Cloud Engine VPN Site-to-Site.
    2. В строке с VPN-шлюзом узла Б нажмите на кнопку .
    3. Публичный IP-адрес VPN-шлюза узла Б указан в столбце Публичный IP-адрес:
  • PSK  ключ совместного использования. Используется для шифрования данных перед их отправкой и для расшифровки при их открытии. Сгенерируйте ключ по кнопке Сгенерировать.

    1. Длина ключа 16 символов.
    2. Может содержать заглавные и строчные буквы латинского алфавита, цифры, символы -+&!@#$%^*(),.:;_=<>{}
    3. Ключ должен содержать хотя бы одну букву или цифру.

IPSec 1 фаза — IKE:

IPsec (Internet Protocol Security) — пакет протоколов, обеспечивающий безопасность связи по Интернет‑протоколу (IP) за счёт аутентификации и шифрования всех IP‑пакетов в потоке данных. Протокол устанавливает туннель до удалённого узла, обеспечивает высокий уровень безопасности соединения, т.к. каждая сессия проверяется, а пакеты данных шифруются.

  • Время жизни ключа IKE (IKE SA) в секундах время в диапазоне от 1 до 84600 секунд включительно;
  • Алгоритм хэширования:
    • sha1 — фиксированный размер хэша для любого сообщения равен 160 бит;
    • sha256 — фиксированный размер хэша для любого сообщения равен 256 бит;
  • Алгоритм шифрования:
    • 3des в качестве алгоритма шифрования используется 168-bit DES-CBC (3DES);
    • aes128 в качестве алгоритма шифрования используется 128-bit AES;
    • aes192 в качестве алгоритма шифрования используется 192-bit AES;
    • aes256 в качестве алгоритма шифрования используется 256-bit AES;
  • Группа Диффи-Хеллмана — группа определяет длину ключа, используемого для передачи ключа сеанса:
    • group2 длина ключа 1024 бит;
    • group5 длина ключа 1536 бит;
    • group14 длина ключа 2048 бит.

IPSec 2 фаза — ESP:

  • Время жизни ключа время, в течение которого ключ может использоваться для защиты соединения. Возможное значение от 1 до 84600 секунд включительно, но не более значения поля Время жизни ключа IKE (IKE SA) в секундах;
  • Алгоритм хэширования:
    • sha1 — фиксированный размер хэша для любого сообщения равен 160 бит;
    • sha256 — фиксированный размер хэша для любого сообщения равен 256 бит; 
  • Алгоритм шифрования:
    • 3des в качестве алгоритма шифрования используется 168-bit DES-CBC (3DES);
    • aes128 в качестве алгоритма шифрования используется 128-bit AES;
    • aes192 в качестве алгоритма шифрования используется 192-bit AES;
    • aes256 в качестве алгоритма шифрования используется 256-bit AES;
  • Группа Диффи-Хеллмана группа определяет длину ключа, используемого для передачи ключа сеанса:
    • group2 длина ключа 1024 бит;
    • group5 длина ключа 1536 бит;
    • group14 длина ключа 2048 бит;
    • Без ограничений длина ключа без ограничений.

Настройки туннеля:

  • Подсети — локальные подсети, у которых будет доступ к VPN-туннелю;
  • Адрес подсети адрес подсети узла Б. Адрес не должен совпадать с адресами, указанными в поле Подсети

    Допустимы подсети из диапазона:

    • 10.0.0.0/8;
    • 172.16.0.0/12;
    • 192.168.0.0/16.

При необходимости нажмите на кнопку + Добавить подсеть и укажите адрес подсети, которая расположена за удалённым VPN-шлюзом и до которой будет осуществляться маршрутизация по туннелю.

6. Нажмите на кнопку Создать.

7. Аналогично создайте VPN-туннель в узле Б.

Созданный VPN-туннель отобразится на портале:

Важно

Перед использованием VPN-туннеля убедитесь, что:

  • статус созданного VPN-туннеля — ESTABLISHED;
  • между узлами туннелирования выполняется команда ping.

Чтобы посмотреть подробную информацию о VPN-туннеле, нажмите на кнопку в строке с нужным VPN-туннелем. Откроется страница с информацией о VPN-туннеле:

Созданный VPN-туннель можно перезапустить, изменить, удалить, а также посмотреть его статус и лог-файл.

Действия с VPN-туннелем

Для просмотра доступных действий с VPN-туннелем нажмите на кнопку в строке с нужным VPN-туннелем:

Перезапуск

Чтобы перезапустить VPN-туннель:

  1. Выберите проект, в котором создан VPN-туннель.
  2. В главном меню портала перейдите в раздел Ресурсы Cloud Engine VPN Site-to-Site.
  3. В строке с VPN-шлюзом, VPN-туннель которого нужно перезапустить, нажмите на кнопку .
  4. В строке с нужным VPN-туннелем нажмите на кнопку и выберите пункт Перезапустить.

Редактирование

Чтобы изменить параметры VPN-туннеля:

  1. Выберите проект, в котором создан VPN-туннель.
  2. В главном меню портала перейдите в раздел Ресурсы Cloud Engine VPN Site-to-Site.
  3. В строке с VPN-шлюзом, параметры VPN-туннеля которого нужно изменить, нажмите на кнопку .
  4. В строке с нужным VPN-туннелем нажмите на кнопку и выберите пункт Изменить.
  5. В открывшемся окне измените параметры VPN-туннеля.
  6. Нажмите на кнопку Сохранить.

Удаление

Чтобы удалить VPN-туннель:

  1. Выберите проект, в котором создан VPN-туннель.
  2. В главном меню портала перейдите в раздел Ресурсы Cloud Engine VPN Site-to-Site.
  3. В строке с VPN-шлюзом, VPN-туннель которого нужно удалить, нажмите на кнопку .
  4. В строке с нужным VPN-туннелем нажмите на кнопку и выберите пункт Удалить.
  5. Нажмите на кнопку Удалить.

Просмотр статуса

Чтобы посмотреть статус VPN-туннеля:

  1. Выберите проект, в котором создан VPN-туннель.
  2. В главном меню портала перейдите в раздел Ресурсы Cloud Engine VPN Site-to-Site.
  3. В строке с VPN-шлюзом, статус VPN-туннеля которого нужно посмотреть, нажмите на кнопку .
  4. В строке с нужным VPN-туннелем нажмите на кнопку .
  5. Нажмите на кнопку Получить статус.

Статус отображается на портале:

Статусы VPN-туннеля:

Статус Описание
CREATED VPN-туннель создан
CONNECTINGВыполняется подключение между узлами А и Б
REKEYING Процесс перевыпуска ключей
ESTABLISHED Соединение между узлами А и Б установлено. VPN-туннель работает
DELETINGУдаление VPN-туннеля
Иное значениеОшибка подключения. Перезапустите VPN-туннель

Просмотр лог-файлов

Чтобы посмотреть лог-файл:

  1. Выберите проект, в котором создан VPN-туннель.
  2. В главном меню портала перейдите в раздел Ресурсы Cloud Engine VPN Site-to-Site.
  3. В строке с нужным VPN-шлюзом нажмите на кнопку .
  4. В строке с нужным VPN-туннелем нажмите на кнопку .
  5. Нажмите на кнопку Получить лог.