Настройка IPSec VPN-туннеля в AZ1/AZ2

Чтобы настроить безопасную передачу данных через IPSec VPN-туннель между виртуальными дата-центрами А и Б, в каждом виртуальном дата-центре:

1. Создайте хотя бы одну виртуальную машину. 
2. Создайте маршрутизатор (Edge Gateway) одним из способов:
   • при создании виртуального дата-центра;
   • при создании виртуального дата-центра с GPU;
   • в созданном виртуальном дата-центре;
   • в созданном виртуальном дата-центре с GPU.
3. Создайте Routed-сеть.
4. Создайте IPSec VPN-туннель.
5. Проверьте работоспособность IPSec VPN-туннеля.

Создание IPSec VPN-туннеля

Для примера создадим IPSec VPN-туннель между двумя виртуальными дата-центрами внутри одной VMware-организации. Маршрутизатор виртуального дата-центра А — локальный, маршрутизатор виртуального дата-центра Б — удалённый.

Чтобы создать IPSec VPN-туннель в локальном маршрутизаторе виртуального дата-центра А:

1. Войдите в VMware-организацию (в зоне доступности AZ1-DC3-RTK-Moscow-V или AZ2-DC4-RTK-Moscow-VI (присутствует GPU)), в которой нужно создать IPSec VPN-туннель.
2. Перейдите в раздел Networking → Edge Gateways и выберите маршрутизатор, в котором нужно создать IPSec VPN-туннель.
3. В разделе IPSec VPN нажмите на кнопку NEW.
4. Заполните поля:

   • Name * — наименование IPSec VPN-туннеля;

   • Description — описание IPSec VPN-туннеля, заполняется при необходимости;
   • Security Profile — профиль безопасности IPSec VPN-туннеля. Выберите значение по умолчанию Default. После создания IPSec VPN-туннеля его профиль безопасности можно изменить;
   • Status — оставьте переключатель активированным, чтобы включить IPSec VPN-туннель после создания; 
   • Logging — активируйте переключатель, чтобы включить логирование.
5. Нажмите на кнопку NEXT. 
6. Заполните поля:
   • Authentication Mode — метод аутентификации удалённого маршрутизатора:
     • Pre-Shared Key — ключ совместного использования. Укажите ключ в поле Pre-Shared Key *. Используется для шифрования данных перед их отправкой и для расшифровки при их открытии. Ключ должен совпадать в виртуальных дата-центрах А и Б;
     • Certificate — выберите сертификаты:
       • Server Certificate * — сертификат сервера. Нажмите на кнопку SELECT, выберите сертификат и нажмите на кнопку USE CERTIFIСATE. Как загрузить сертификат сервера, см. в разделе Импорт сертификата на платформу VMware Cloud Director;
       • CA Certificate * — корневой сертификат. Нажмите на кнопку SELECT, выберите сертификат и нажмите на кнопку USE CERTIFIСATE.
7. Нажмите на кнопку NEXT. 
8. Заполните поля:

   Local Endpoint — локальный маршрутизатор:

   • IP Address * — публичный IP-адрес локального маршрутизатора;
   • Networks * — локальная сеть или сети в формате CIDR, которые будут использовать IPSec VPN-туннель.

   Remote Endpoint — удалённый маршрутизатор:

   • IP Address * — публичный IP-адрес удалённого маршрутизатора;
   • Networks * — локальная сеть или сети удалённой стороны в формате CIDR, которые будут использовать IPSec VPN-туннель;
   • Remote ID — публичный IP-адрес удалённого маршрутизатора.
9. Нажмите на кнопку NEXT. 
10. Проверьте данные и нажмите на кнопку FINISH.
11. Аналогично создайте VPN-туннель в удалённом маршрутизаторе виртуального дата-центра Б.

Созданный IPSec VPN-туннель отображается на платформе VMware Cloud Director: 

Проверка работоспособности IPSec VPN-туннеля

Чтобы проверить работоспособность IPSec VPN-туннеля:

1. Войдите в VMware-организацию (в зоне доступности AZ1-DC3-RTK-Moscow-V или AZ2-DC4-RTK-Moscow-VI (присутствует GPU)), в которой нужно проверить работоспособность IPSec VPN-туннеля.
2. Перейдите в раздел Networking → Edge Gateways и выберите нужный маршрутизатор.
3. В разделе IPSec VPN выберите IPSec VPN-туннель, работоспособность которого нужно проверить.
4. Нажмите на кнопку VIEW STATISTICS.

Статус работающего VPN-туннеля отображается в столбцах Tunnel Status и IKE service Status — Up.

Настройка параметров Security Profile

Чтобы настроить профиль безопасности Default созданного IPSec VPN-туннеля:

1. Войдите в VMware-организацию (в зоне доступности AZ1-DC3-RTK-Moscow-V или AZ2-DC4-RTK-Moscow-VI (присутствует GPU)), в которой нужно настроить профиль безопасности IPSec VPN-туннеля.
2. Перейдите в раздел Networking → Edge Gateways и выберите нужный маршрутизатор.
3. В разделе IPSec VPN выберите IPSec VPN-туннель, профиль безопасности которого нужно настроить.
4. Нажмите на кнопку SECURITY PROFILE CUSTOMIZATION.
5. Измените настройки профиля безопасности Default:

   IKE Profiles — профили обмена ключами в Интернете:
   

   • Version * — версия протокола IKE для настройки безопасности:
     • IKE v1;
     • IKE v2;
     • IKE Flex;
   • Encryption * — алгоритм шифрования IPSec VPN-туннеля:

     • AES 128 — AES128-CBC;

     • AES 256 — AES256-CBC;

     • AES-GCM 128 — AES128-GCM;

     • AES-GCM 192 — AES192-GCM;
     • AES-GCM 256 — AES256-GCM;
   • Digest * — фиксированный размер хэша для любого сообщения:
     • SHA 1 — 160 бит;
     • SHA 2 - 256 — 256 бит;
     • SHA 2 - 384 — 384 бита;
     • SHA 2 - 512 — 512 бит;
   • Diffie-Hellman Group * — группа определяет длину ключа, используемого для передачи ключа сеанса:
     • Group 2 — длина ключа 1024 бита;
     • Group 5 — длина ключа 1536 бит;
     • Group 14 — длина ключа 2048 бит;
     • Group 15 — длина ключа 3072 бита;
     • Group 16 — длина ключа 4096 бит;
     • Group 19 — длина ключа 256 бит;
     • Group 20 — длина ключа 384 бита;
     • Group 21 — длина ключа 521 бит;
   • Association Life Time (seconds) — количество секунд, по истечении которых IPSec VPN-туннель будет переустанавливаться.

   Tunnel Configuration — настройки IPSec VPN-туннеля:
   

   • Enable Perfect Forward Secrecy — оставьте переключатель активированным, если нужно сохранить секретность соединения;

   • Defragmentation Policy — политика дефрагментации. Помогает обрабатывать биты дефрагментации, присутствующие во внутреннем пакете:

     • Copy — копирование бита дефрагментации из внутреннего IP-пакета во внешний IP-пакет;

     • Clear — игнорирование бита дефрагментации, который присутствует во внутреннем IP-пакете;

   • Encryption * — алгоритм шифрования IPSec VPN-туннеля:

     • AES 128 — AES128-CBC;

     • AES 256 — AES256-CBC;

     • AES-GCM 128 — AES128-GCM;

     • AES-GCM 192 — AES192-GCM;
     • AES-GCM 256 — AES256-GCM;
   • Diffie-Hellman Group * — группа определяет длину ключа, используемого для передачи ключа сеанса:
     • Group 2 — длина ключа 1024 бита;
     • Group 5 — длина ключа 1536 бит;
     • Group 14 — длина ключа 2048 бит;
     • Group 15 — длина ключа 3072 бита;
     • Group 16 — длина ключа 4096 бит;
     • Group 19 — длина ключа 256 бит;
     • Group 20 — длина ключа 384 бита;
     • Group 21 — длина ключа 521 бит;
   • Association Life Time (seconds) — количество секунд, по истечении которых IPSec VPN-туннель будет переустанавливаться.

   DPD Configuration — настройки DPD-сессии (обнаружение неработающего IPSec VPN-туннеля):

   • Probe Interval (seconds) — количество секунд отсутствия входящего трафика от удалённого маршрутизатора. По истечении указанного количества секунд активируется DPD-сессия при наличии исходящего трафика от локального маршрутизатора.
6. Нажмите на кнопку SAVE.