Настройка IPSec VPN-туннеля (AZ0)

Чтобы настроить безопасную передачу данных через IPSec VPN-туннель между виртуальными дата-центрами А и Б, в каждом виртуальном дата-центре:

1. Создайте хотя бы одну виртуальную машину. 
2. Создайте маршрутизатор (Edge Gateway) одним из способов:
   • при создании виртуального дата-центра;
   • в созданном виртуальном дата-центре.
3. Создайте Routed-сеть.
4. Создайте IPSec VPN-туннель.
5. Активируйте IPSec VPN Service Status.

Создание IPSec VPN-туннеля

Для примера создадим IPSec VPN-туннель между двумя виртуальными дата-центрами внутри одной VMware-организации. Маршрутизатор виртуального дата-центра А — локальный, маршрутизатор виртуального дата-центра Б — удалённый.

Чтобы создать IPSec VPN-туннель в локальном маршрутизаторе виртуального дата-центра А:

1. Войдите в VMware-организацию (в зоне доступности AZ0-DC1-DataPro-Moscow1), в которой нужно создать IPSec VPN-туннель.
2. Перейдите в раздел Networking → Edge Gateways и выберите маршрутизатор, в котором нужно создать IPSec VPN-туннель.
3. Нажмите на кнопку SERVICES и перейдите на вкладку VPN.
4. Откройте раздел IPsec VPN Sites и нажмите на кнопку .
5. Заполните поля:
   
   

   • Enabled — активируйте переключатель, чтобы включить IPSec VPN-туннель после создания;

   • Enable perfect forward secrecy (PFS) — активируйте переключатель для генерации уникальных ключей при каждом сеансе соединения через IPSec VPN-туннель;

   • Name — наименование IPSec VPN-туннеля;

   • Local Id * — публичный IP-адрес локального маршрутизатора;

   • Local Endpoint * — публичный IP-адрес локального маршрутизатора. Введите IP-адрес или нажмите на кнопку SELECT, выберите сеть (Network), публичный IP-адрес (IP Address) и нажмите на кнопку KEEP;

   • Local Subnets * — локальная сеть в формате CIDR, которая будет использовать IPSec VPN-туннель;

   • Peer Id * — публичный IP-адрес удалённого маршрутизатора;

   • Peer Endpoint * — публичный IP-адрес удалённого маршрутизатора; 

   • Peer Subnets * — удалённая сеть, которая будет использовать IPSec VPN-туннель в виртуальном дата-центре Б;
   • Extension — дополнительные параметры, указываются при необходимости:
     • securelocaltrafficbyip=IPAddress — перенаправление локального трафика через IPSec VPN-туннель;
     • passthroughSubnets=PeerSubnetIPAddress — поддержка перекрываемых подсетей.
       
       

   • Encryption Algorithm — алгоритм шифрования IPSec VPN-туннеля:

     • AES — AES128-CBC;

     • AES256 — AES256-CBC;

     • AES-GCM — AES128- GCM;

     • 3DES (Deprecated) — 3DES192 -CBC;

   • Authentication — метод аутентификации удалённого маршрутизатора:

     • PSK — аутентификация по ключу совместного использования;
     • Certificate — аутентификация по сертификату. Этот вариант доступен, если вы настроили сертификаты в разделе Global Configuration вкладки VPN;

   • Pre-Shared Key * — ключ совместного использования. Используется для шифрования данных перед их отправкой и для расшифровки при их открытии. Ключ должен совпадать в виртуальных дата-центрах А и Б. Длина ключа — до 128 байт;

   • Display Shared Key — активируйте переключатель, чтобы показать ключ, введённый в поле Pre-Shared Key *.
     
     
   • Diffie-Hellman Group — группа определяет длину ключа, используемого для передачи ключа сеанса:
     • DH2 — длина ключа 1024 бита;
     • DH5 — длина ключа 1536 бит;
     • DH14 — длина ключа 2048 бит;
     • DH15 — длина ключа 3072 бита;
     • DH16 — длина ключа 4096 бит;
   • Digest Algorithm — алгоритм хэширования:
     • SHA1 — фиксированный размер хэша для любого сообщения равен 160 бит;
     • SHA-256 — фиксированный размер хэша для любого сообщения равен 256 бит;
   • IKE Option — версия протокола обмена ключами IKE (Internet Key Exchange):
     • IKEv1;
     • IKEv2;
     • IKEFlex;
   • IKE Responder Only — активируйте переключатель, чтобы при включении локального маршрутизатора не инициировать соединение, а ожидать подключения с удалённой стороны;
   • Session Type — тип IPSec VPN-туннеля:
     • Policy Based Session — IPSec VPN-туннель на основе политик;
     • Route Based Session — возможность назначить IPSec VPN-туннелю собственный IP-адрес.

       Если выбрано значение Route Based Session, заполните поля:

       • Tunnel Interface IP CIDR * — адрес подсети в формате CIDR;
       • Tunnel Interface MTU * — максимальный размер полезного блока данных, который может быть передан на канальном уровне сетевой модели OSI.
6. Нажмите на кнопку KEEP.
7. Нажмите на кнопку Save changes.
8. Аналогично создайте IPSec VPN-туннель в удалённом маршрутизаторе виртуального дата-центра Б.

Созданный VPN-туннель отображается на платформе VMware Cloud Director: 

Активация IPSec VPN Service Status

Чтобы активировать IPSec VPN Service Status:

1. Войдите в VMware-организацию (в зоне доступности AZ0-DC1-DataPro-Moscow1), в которой нужно активировать IPSec VPN Service Status.
2. Перейдите в раздел Networking → Edge Gateways и выберите маршрутизатор, в котором нужно активировать IPSec VPN Service Status.
3. Нажмите на кнопку SERVICES и перейдите на вкладку VPN.
4. Активируйте переключатель IPsec VPN Service Status.
5. Нажмите на кнопку Save changes.