База знаний
VMware - настройка IPsec VPN

Настройка IPsec VPN-подключения из удаленной сети к VMware Cloud Director вашей организации — наиболее распространенный сценарий. Программное обеспечение предоставляет возможности IPsec VPN для пограничного шлюза, включая поддержку аутентификации сертификатов, режима предварительного ключа и одноадресного IP-трафика между ним и удаленными VPN-маршрутизаторами. Вы также можете настроить несколько подсетей для подключения через туннели IPsec к внутренней сети за пограничным шлюзом. Когда вы настраиваете несколько подсетей для подключения через туннели IPsec к внутренней сети, эти подсети и внутренняя сеть за пограничным шлюзом не должны иметь перекрывающихся диапазонов адресов.

Настроим IPsec VPN в режиме предварительного ключа (PSK). В данной статье рассмотрим настройку между 2-мя VDC. Но другой стороной может быть любое другое устройство, которое поддерживает данную технологию.

VDC1:

- внешний 37.230.244.2

- локальная подсеть 192.168.2.0/24

Внимание! локальные подсети не должны пересекаться.

 

VDC2:

- внешний IP 185.47.154.32

- локальная подсеть 172.16.100.0/24

 

Настраиваем VCD1.

1. Перейдите в VDC1 (Datacenter)

2. Перейдите в Networking и выберите Edge Gateways. И нажмите на внешний интерфейс, в данном случае gw_public-01

 

3. В открывшемся окне выберите Services.

 

4. В открывшемся окне перейдите на вкладку VPN

 

5. Перейдите на вкладку IPsec VPN Sites и нажмите +

 

6. Задайте необходимые параметры тунеля

 

Enabled: Включите.

Если активно, то тунель активируется

Enable perfect forward secrecy (PFS): Включите.

Рекомендуем.

Name: укажите понятное вам имя.

Опцианально.

Local ID: укажите ваш внешний IP, в данном случае 37.230.244.2

Local Endpoint: тоже самое что и в Local ID, в данном случае 37.230.244.2

Local Subnets:192.168.2.0/24

Локальная подсеть со стороны VDC1, можно указать несколько через запятую.

Peer ID: укажите внешний IP другой стороны, в данном случае 185.47.154.32

Peer Endpoint: тоже самое что и в Peer ID, в данном случае 185.47.154.32

Peer Subnets: 172.16.100.0/24

Локальная подсеть со стороны VDC2, можно указать несколько через запятую.

Encryption Algorithm: AES256

С другой стороны должен быть точно такой же encryption algorithm.

Authentication: PSK

Сертификаты тоже поддерживаются, но здесь рассматриваем настройку с PSK.

Pre-Shared Key: укажите PSK ключ

С двух сторон ключи должны совпадать.

Diffie-Hellman Group: DH14

С другой стороны должен быть точно такой же dh group.

Digest Algorithm: sha-256

С другой стороны должен быть точно такой же digest algorithm.

IKE Option: IKEv2

 

7. Сохраните настройки нажав Keep

 

8. Сохраните конфигурацию тунеля нажав Save changes

 

9. Выполните настройки тунеля во VDC2

 

10. Если в VDC это первый IPsec VPN тунель, то нужно запустить сервис IPsec VPN Service. Для этого перейдите на вкладку Activation Status и активируйте и сохраните нажав Save changes

 

11. В Firewall автоматически появится правило c именем ipsec.

 

Статус IPsec можно смотреть на вкладке Statistics - IPsec VPN.

Если есть какие-то проблемы, то можно подключится к EDGE по ssh. Как подключиться смотрите в другой статье.

Для работы можно использовать:

 - посмотреть статус ipsec

show service ipsec

 - посмотреть статус Security Policy

show service ipsec sp

 - посмотреть статус Security Association

show service ipsec sa

В следующей таблице перечислены возможные причины проблем с подключением к туннелю IPSec, а также сообщения об ошибках, связанные с каждой из них.

 
ПричинаСообщение об ошибке
IKEv1 peer is not reachable. Version-IKEv1 Retransmitting IKE Message as no response from Peer.
Mismatch in IKEv1 Phase 1 proposal. Version-IKEv1 No Proposal Chosen. Check configured Encryption/Authentication/DH/IKE-Version.
Mismatch in any one of the following:
  • IKEv1 PSK
  • IKEv1 ID
  • IKEv1 certificate
Version-IKEv1 Authentication Failed. Check the configured secret or local/peer ID configuration.
Mismatch in IKEv1 Phase 2 proposal. IPSec-SA Proposals or Traffic Selectors did not match.
IKEv2 peer is not reachable. Version-IKEv2 Retransmitting IKE Message as no response from Peer.
Mismatch in IKEv2 IKE SA proposal. Version-IKEv2 No Proposal Chosen. Check configured Encrypt/Authentication/DH/IKEversion.
Mismatch in IKEv2 IPSec SA proposal. IPSec-SA Proposals or Traffic Selectors did not match.
Mismatch in IKEv2 IPSec SA traffic selectors.  Traffic selectors did not match. Check left/right subnet configuration.
Mismatch in any one of the following:
  • IKEv2 PSK
  • IKEv2 ID
  • IKEv2 certificate
Version-IKEv2 Authentication Failed. Check the configured secret or local/peer ID configuration.


Вложения 
 
 ipsec01.png (27.84 КБ)
 ipsec02.png (67.36 КБ)
 ipsec03.png (34.58 КБ)
 ipsec04.png (38.04 КБ)
 ipsec05.png (32.32 КБ)
 ipsec06.png (49.94 КБ)
 ipsec07.png (41.01 КБ)
 ipsec08.png (10.76 КБ)


Если решение вопроса найти не удалось, Вы можете отправить нам заявку:



(0 голос(а))
Эта статья помогла
Эта статья не помогла

Комментарии (0)