Как настроить Site-to-Site IPSec VPN?

Чаще всего IPSec используется для создания защищенного туннеля, например, между сетью главного офиса и сетью на удаленной площадке или в облаке.

1. Зайдите в раздел Networking, пункт Edges. Выберите необходимый Edge и нажмите кнопку Configure services.

2. В интерфейсе NSX Edge переходим во вкладку VPN, далее заходим во вкладку IPsec VPN, затем – в раздел IPsec VPN Sites и жмем +, чтобы добавить новую площадку.

3. Заполняем необходимые поля:

  • Enabled – активирует удаленную площадку.
  • PFS – гарантирует, что каждый новый криптографический ключ не связан с любым предыдущим ключом.
  • Local ID и Local Endpoint – внешний адрес NSX Edge.
  • Local Subnets – локальные сети, которые будет использовать IPsec VPN.
  • Peer ID и Peer Endpoint – внешний адрес удаленной площадки.
  • Peer Subnets – сети, которые будут использовать IPsec VPN на удаленной стороне.
  • Encryption Algorithm – алгоритм шифрования туннеля.
  • Authentication – как мы будем аутентифицировать пир. Можно использовать Pre-Shared Key либо сертификат.
  • Pre-Shared Key – указываем ключ, который будет использоваться для аутентификации и должен совпадать с обеих сторон.
  • Diffie-Hellman Group – алгоритм обмена ключами.

После заполнения необходимых полей нажимаем Keep.

Сохраняем изменения.

4. Готово.

5. После добавления площадки переходим на вкладку Activation Status и активируем IPsec Service. После этого сохраняем изменения, нажав Save changes.

6. После того, как настройки будут применены, переходим во вкладку Statistics —> IPsec VPN и проверяем статус туннеля. Видим, что туннель поднялся.

7. Проверим работу туннеля из виртуальной машины:

8. Все готово, site-to-site IPsec VPN настроен и работает.

 

В этом примере мы использовали PSK для аутентификации пира, но возможен также вариант с аутентификацией по сертификатам. Для этого нужно перейти во вкладку Global Configuration, включить аутентификацию по сертификатам и выбрать сам сертификат.

Кроме того, в настройках сайта необходимо будет поменять метод аутентификации.

Отмечу, что количество IPsec-туннелей зависит от форм-фактора развернутого Edge Gateway.

Телеграм канал
Салатовая телега
Полезные статьи и анонсы бесплатных вебинаров про дата-центры, облака, ИБ и телеком