База знаний
Подключиться Консультация
Получить консультацию Подключиться
Облачные сервисы
Виртуальный рабочий стол
Передовые сервисы по предоставлению сотрудникам безопасного удалённого доступа к мощным виртуальным десктопам и корпоративным ресурсам клиента с любого устройства, из любой точки мира.
Корпоративные сервисы
Удобные сервисы для обмена документами или файлами между сотрудниками компании в том числе за пределами организации, а также настройка ИТ‑инфраструктуры «под ключ» для Вашего бизнеса от экспертов облака МТС. Благодаря этим сервисам сотрудники экономят рабочее время на выполнение ежедневным рутинных задач, тем самым повышается их эффективность.
Сетевые сервисы
Мы обеспечиваем комплекс решений по построению и оптимизации сетевой инфраструктуры. Это позволит вам быстро и эффективно реализовать необходимую связность между различными сервисами с определенными параметрами качества.
Хранение и резервирование данных
Надежно и стабильно с МТС Cloud. Мы обеспечиваем хранение любых видов и объемов данных. Это позволит вам быстро и эффективно работать с данными и приложениями.
Аренда оборудования
Сервисы собственной разработки, которые помогут повысить эффективность работы ИТ‑подразделений.
Проектные решения
Партнерские сервисы
Стать партнером
Поддержка
База Знаний #CloudMTS

Настройка Site-To-Site IPsec VPN

NSX-V

IPsec VPN позволяет получить удаленный доступ к виртуальным машинам, расположенным в #CloudMTS, из локальной сети Заказчика. Данный вид VPN обеспечивает возможность безопасного соединения локальной сети Заказчика и сети VDC.

Предполагается, что на шлюзе локальной сети заказчика выполнены соответствующие настройки. В данном руководстве описана только настройка со стороны облака #CloudMTS.

Все настройки на обеих сторонах должны совпадать.


Для настройки IPsec VPN-подключения на виртуальном шлюзе организации #CloudMTS:

  • перейдите в раздел Data Centers
  • выберите виртуальный дата-центр
  • в блоке Networking перейдите в пункт Edges
  • выберите нужный виртуальный шлюз
  • нажмите на кнопку [SERVICES]
  • в окне "Edge Gateway - *название*" перейдите вкладку VPN - IPsec VPN
  • в окне "IPsec VPN Configuration" выберите вкладку IPsec VPN Sites
  • нажмите на кнопку [+]
img Увеличить
  • в окне "Add IPsec VPN":

    • включите опцию "Enabled"
    • включите опцию "Enabled perfect forward secrecy (PFS)"
    • в поле Name введите имя VPN-подключения
    • в полях Local Id и Local Endpoint укажите внешний IP-адрес из списка доступных внешних IP-адресов организаций (Sub-Allocated Pool); как их узнать, описано в данной статье
    • в поле Local Subnets укажите перечень сетей (в формате CIDR с использованием разделителей “;“, если сетей больше чем одна) организации #CloudMTS, доступ к которым требуется из удаленной сети Заказчика
    • в полях Peer Id и Peer Endpoint укажите статический публичный (белый) IP-адрес шлюза удаленной сети
    • в поле Peer Subnets укажите перечень сетей удаленной сети (в формате CIDR с использованием разделителей “;“, если сетей больше чем одна), доступ к которым требуется из сетей организации #CloudMTS
    • в перечне Encryption Algorithm выберите алгоритм шифрования; не рекомендуется выбирать 3DES (Deprecated), т.к. он является устаревшим
    • в перечне Authentication выберите тип аутентификации; доступные варианты:

      • PSK - Pre Shared Key (PSK) - секретный ключ, который используется между Edge Gateway и удаленной стороной для аутентификации
      • Certificate - авторизация по сертификату; данная опция будет недоступна для включения до тех пор, пока глобальный сертификат не будет добавлен на экране Global Configuration вкладки IPsec VPN
    • опциональный переключатель "Change Shared Key" отвечает за смену Pre-Shared Key во время редактирования существующего подключения
    • если вы выбрали тип "PSK" в перечне Authentication , то в поле Pre-Shared Key введите ключ (латинские буквы и цифры), аналогичный указанному в настройках IPsec VPN соединения на шлюзе удаленной сети клиента (максимальная длина ключа 128 байт)
    • опциональный переключатель Display Shared Key включает отображение введенного ключа на экране
    • в перечне Diffie-Hellman Group выберите криптографическую схему, которая позволит установить шифрованное подключение между удаленной площадкой и Edge Gateway; доступные варианты:

      • опциональный переключатель "Change Shared Key" отвечает за смену Pre-Shared Key во время редактирования существующего подключения
      • если вы выбрали тип "PSK" в перечне Authentication , то в поле Pre-Shared Key введите ключ (латинские буквы и цифры), аналогичный указанному в настройках IPsec VPN соединения на шлюзе удаленной сети клиента (максимальная длина ключа 128 байт)
      • опциональный переключатель Display Shared Key включает отображение введенного ключа на экране
      • в перечне Diffie-Hellman Group выберите криптографическую схему, которая позволит установить шифрованное подключение между удаленной площадкой и Edge Gateway; доступные варианты:
    • в поле Extension возможно исключить локальные сети, которые не должны попадать в туннель
    • в перечне Digest Algorithm выберите один из следующих алгоритмов хэширования: SHA1 / SHA-256
    • в перечне IKE Option выберите нужную версию протокола согласования ключей в рамках ISAKMP; доступные варианты: IKEv1, IKEv2 или IKE-Flex
    • включите опцию IKE Responder Only для включения режима ответа на инициализацию установки туннеля (Edge Gateway не будет инициировать подключение)
    • в перечне Session Type необходимо выбрать тип VPN-подключения; доступные варианты: Policy based session и Route based session
    • если вы выбрали "Route based session" в перечне Session Type, то введите данные в поля Tunnel Interface IP CIDR (IP-адрес туннельного интерфейса в формате CIDR) и Tunnel Interface MTU (Maximum Transmission Unit - максимальный размер полезного блока данных)
  • для сохранения настроек нажмите на кнопку [KEEP]
  • для сохранения изменений нажмите на кнопку [Save changes]

img Увеличить

Чтобы включить сервис IPsec VPN:

  • в окне "Edge Gateway - *название*" выберите вкладку VPN - IPsec VPN
  • в окне "IPsec VPN Configuration" выберите вкладку Activation Status
  • включите опцию "IPsec VPN Service Status"
  • для сохранения изменений нажмите на кнопку [Save Changes]
img Увеличить

Все необходимые для IPsec VPN правила Firewall и NAT на виртуальном шлюзе организации #CloudMTS добавляются автоматически при включении сервиса.


Необходимо создать правило на Edge Gateway, которое разрешит прохождение трафика со стороны Peer Subnets (локальная сеть удаленной стороны) до Local Subnets (локальная сеть Organization VDC Edge Gateway).


На шлюзе локальной сети организации Заказчика необходимо добавить разрешающие правила на межсетевом экране для следующих IP-протоколов и портов:

  • IP-протокол ID 50 (ESP)
  • IP-протокол ID 51 (AH)
  • UDP-порт 500 (IKE)
  • UDP-порт 4500

Чтобы проверить, установлено ли соединение:

  • в окне "Edge Gateway - *название*" выберите вкладку Statistics - IPsec VPN
  • в окне "IPsec VPN Statistics" в полях Channel Status и Tunnel Status таблиц "IPsec VPN Statistics" и "IPsec VPN Tunnel Statistics & Status" соответственно должны стоять галочки, если туннель успешно установлен
img Увеличить
NSX-T

IPsec VPN позволяет получить удаленный доступ к расположенным в #CloudMTS виртуальным машинам из локальной сети Заказчика. Данный вид VPN обеспечивает возможность безопасного соединения локальной сети Заказчика и сети VDC.

В NSX-T Edge вы можете самостоятельно настроить IPSec-канал с типом сессий policy-based.

Предполагается, что на шлюзе локальной сети заказчика выполнены соответствующие настройки. В данном руководстве описана лишь настройка со стороны облака #CloudMTS.

Все настройки на обеих сторонах должны совпадать.


Для настройки IPsec VPN-подключения на виртуальном шлюзе организации #CloudMTS:

  • перейдите в раздел Data Centers
  • выберите виртуальный дата-центр
  • в блоке Networking перейдите в пункт Edges
  • выберите нужный Edge Gateway
  • в блоке Services перейдите в пункт IPSec VPN
  • нажмите на кнопку [NEW]
  • в окне "Add IPSec VPN Tunnel":

    • на вкладке General Settings введите имя IPSec VPN туннеля в поле Name и описание в поле Description, если это необходимо, нажмите на кнопку [NEXT]
    • на вкладке Peer Authentication Mode укажите ключ аутентификации в поле Pre-Shared Key, нажмите на кнопку [NEXT]
    • на вкладке Endpoint Configuration:

      • в блоке Local Endpoint введите публичный IP-адрес: 193.8.211.235 в поле IP Address, введите внутренний IP-адрес или диапазон IP-адресов: 10.0.0.0/24 - в поле Networks
      • в блоке Remote Endpoint укажите IP-адрес удаленной площадки в формате «y.y.y.y» в поле IP Address, укажите частную подсеть, которая будет туннелироваться IPsec VPN - в поле Networ
    • нажмите на кнопку [NEXT]
    • нажмите на кнопку [FINISH]
img Увеличить
Настройка параметров Security Profile

  • в блоке Services перейдите в пункт IPSec VPN
  • выберите созданный ранее IPSec-канала
  • нажмите на кнопку [SECURITY PROFILE CUSTOMIZATION]
img Увеличить
  • заполните форму "Customize Security Profile":
  • значения должны соответствовать поддерживаемым оборудованием на вашей площадке:

    • разделе IKE Profiles:

      • Version — версия IKE, например «IKE v2»
      • Encryption — алгоритм шифрования, например «AES 256»
      • Digest — алгоритм аутентификации, например «SHA 2 - 256»
      • Diffie-Hellman Group — алгоритм обмена ключами, например Group 14
      • Assication Life Time (seconds) — время жизни SA в секундах, например «86400»
    • в разделе Tunnel Configuration:

      • Enable Perfect Forward Secrecy — активируйте переключатель
      • Defragmentation Policy — выберите политику дефрагментации, например «Copy»
      • Encryption — алгоритм шифрования, например «AES 256»
      • Digest — алгоритм аутентификации, например «SHA 2 - 256»
      • Diffie-Hellman Group — алгоритм обмена ключами, например Group 14
      • Assication Life Time (seconds) — время жизни SA в секундах, например «3600»
    • в разделе DPD Configuration:

      • Probe Interval (seconds) — оставьте по умолчанию
    • нажмите на кнопку [NEXT]
Проверка работоспособности

  • в блоке Services перейдите в пункт IPSec VPN
  • выберите созданный ранее IPSec-канал
  • нажмите на кнопку [VIEW STATISTICS]
img Увеличить

Необходимо создать правило на Edge Gateway, которое разрешит прохождение трафика со стороны Peer Subnets (локальная сеть удаленной стороны) до Local Subnets (локальная сеть Organization VDC Edge Gateway).


Описания и инструкции, размещаемые на данном ресурсе, носят исключительно информационный характер и не могут рассматриваться в качестве гарантий, заверений, рекомендаций или документа, порождающего какие-либо обязательства МТС. Конкретные условия использования сервисов определяются договорами с клиентом. МТС не несет ответственности за содержание публикуемых инструкций и результаты их применения клиентом. Актуальность отдельных положений публикуемых описаний и инструкций необходимо уточнять у аккаунт-менеджера или службы технической поддержки hub-support@cloud.mts.ru