VMware - Настройка IPsec VPN
Автор: Evgeniy Kolanda
|
|||||||||||||||||||||
Настройка IPsec VPN-подключения из удаленной сети к VMware Cloud Director вашей организации — наиболее распространенный сценарий. Программное обеспечение предоставляет возможности IPsec VPN для пограничного шлюза, включая поддержку аутентификации сертификатов, режима предварительного ключа и одноадресного IP-трафика между ним и удаленными VPN-маршрутизаторами. Вы также можете настроить несколько подсетей для подключения через туннели IPsec к внутренней сети за пограничным шлюзом. Когда вы настраиваете несколько подсетей для подключения через туннели IPsec к внутренней сети, эти подсети и внутренняя сеть за пограничным шлюзом не должны иметь перекрывающихся диапазонов адресов. Настроим IPsec VPN в режиме предварительного ключа (PSK). В данной статье рассмотрим настройку между 2-мя VDC. Но другой стороной может быть любое другое устройство, которое поддерживает данную технологию. VDC1: - внешний 37.230.244.2 - локальная подсеть 192.168.2.0/24 Внимание! локальные подсети не должны пересекаться.
VDC2: - внешний IP 185.47.154.32 - локальная подсеть 172.16.100.0/24
Настраиваем VCD1. 1. Перейдите в VDC1 (Datacenter) 2. Перейдите в Networking и выберите Edge Gateways. И нажмите на внешний интерфейс, в данном случае gw_public-01
3. В открывшемся окне выберите Services.
4. В открывшемся окне перейдите на вкладку VPN
5. Перейдите на вкладку IPsec VPN Sites и нажмите +
6. Задайте необходимые параметры тунеля
Enabled: Включите. Если активно, то тунель активируется Рекомендуем. Опцианально. Локальная подсеть со стороны VDC1, можно указать несколько через запятую. Локальная подсеть со стороны VDC2, можно указать несколько через запятую. С другой стороны должен быть точно такой же encryption algorithm. Сертификаты тоже поддерживаются, но здесь рассматриваем настройку с PSK. С двух сторон ключи должны совпадать. С другой стороны должен быть точно такой же dh group. Digest Algorithm: sha-256 С другой стороны должен быть точно такой же digest algorithm. IKE Option: IKEv2
7. Сохраните настройки нажав Keep
8. Сохраните конфигурацию тунеля нажав Save changes
9. Выполните настройки тунеля во VDC2
10. Если в VDC это первый IPsec VPN тунель, то нужно запустить сервис IPsec VPN Service. Для этого перейдите на вкладку Activation Status и активируйте и сохраните нажав Save changes
11. В Firewall автоматически появится правило c именем ipsec.
Статус IPsec можно смотреть на вкладке Statistics - IPsec VPN. Если есть какие-то проблемы, то можно подключится к EDGE по ssh. Как подключиться смотрите в другой статье. Для работы можно использовать: - посмотреть статус ipsec show service ipsec - посмотреть статус Security Policy show service ipsec sp - посмотреть статус Security Association show service ipsec sa В следующей таблице перечислены возможные причины проблем с подключением к туннелю IPSec, а также сообщения об ошибках, связанные с каждой из них.
| |||||||||||||||||||||
Если решение вопроса найти не удалось, Вы можете отправить нам заявку: |