Авторизация на портале поддержки осуществляется в личном кабинете my.active.by (my.activecloud.ru), вкладка Поддержка. Благодарим за понимание.
ПОИСК
База знаний
VMware - Настройка Site-to-Site IPSec VPN. Policy Based.

VMware - Настройка Site-to-Site IPSec VPN. Policy-based.

Настройка IPsec VPN-подключения из удаленной сети к VMware Cloud Director вашей организации – наиболее распространенный сценарий.
Программное обеспечение предоставляет возможности IPsec VPN для пограничного шлюза, включая поддержку аутентификации сертификатов,
режима предварительного ключа и одноадресного IP-трафика между ним и удаленными VPN-маршрутизаторами.
Вы также можете настроить несколько подсетей для подключения через туннели IPsec к внутренней сети за пограничным шлюзом.
Когда вы настраиваете несколько подсетей для подключения через туннели IPsec к внутренней сети,
эти подсети и внутренняя сеть за пограничным шлюзом не должны иметь перекрывающихся диапазонов адресов.

Настроим IPsec VPN в режиме предварительного ключа (PSK). Policy-based.
В данной статье рассмотрим настройку между двумя VDC:
VDC1 (vdc_supportdemo-01) - на базе с edge NSX-V.
VDC2 (vdc_supportdemo-03) - на базе c edge NSX-T
Другой стороной может быть любое другое устройство, которое поддерживает данную технологию.


VDC1:
внешний IP:
193.176.182.27

локальные подсети:
192.168.25.0/24
192.168.1.0/24


VDC2:
внешний IP:
185.47.152.84

локальная подсеть:
172.22.17.0/24

Внимание! Локальные подсети не должны пересекаться.

 

Настраиваем VCD1 NSX-V.

1. Перейдите в VDC1 (Datacenter)

2. Перейдите в Networking и выберите Edge Gateways. И нажмите на внешний интерфейс, в данном случае gw_supportdemo-01

3. В открывшемся окне выберите Services.

4. В открывшемся окне перейдите на вкладку VPN

5. Перейдите на вкладку IPsec VPN Sites и нажмите +

6. Задайте необходимые параметры туннеля

 

 

 

Enabled: Включите.

Если активно, то туннель активируется

Enable perfect forward secrecy (PFS): Включите.

Рекомендуем.

Name: укажите понятное вам имя.

Enable perfect forward secrecy (PFS): Включите.

Рекомендуем.


Local ID: укажите ваш внешний IP, в данном случае 193.176.182.27

Local Endpoint: тоже самое что и в Local ID, в данном случае 193.176.182.27

Local Subnets:192.168.25.0/24, 192.168.1.0/24

Локальная подсеть со стороны VDC1, можно указать несколько через запятую.

Peer ID: укажите внешний IP другой стороны, в данном случае 185.47.152.84

Peer Endpoint: тоже самое что и в Peer ID, в данном случае 185.47.152.84

Peer Subnets: 172.22.17.0/24

Локальная подсеть со стороны VDC2, можно указать несколько через запятую.

Encryption Algorithm: AES256

С другой стороны должен быть точно такой же encryption algorithm.

Authentication: PSK

Сертификаты тоже поддерживаются, но здесь рассматриваем настройку с PSK.

Pre-Shared Key: укажите PSK ключ

С двух сторон ключи должны совпадать.

Diffie-Hellman Group: DH14

С другой стороны должен быть точно такой же dh group.

Digest Algorithm: sha-256

С другой стороны должен быть точно такой же digest algorithm.

IKE Option: IKEv2

 

7. Сохраните настройки нажав Keep

8. Сохраните конфигурацию туннеля нажав Save changes

9. Нужно запустить сервис IPsec VPN Service. Для этого перейдите на вкладку Activation Status и активируйте и сохраните нажав Save changes

10. В firewall разрешите хождение нужного трафика между сетями.

Обратите внимание, что в firewall появилось правило ipsec. Оно не редактируется.

В данном примере создали 2 правила, которые разрешают весь трафик в 2-стороны.

 

Настройка в VDC1 закончена.

 

Настраиваем VCD2 NSX-T.

1. Перейдите в VDC2 (Datacenter)

2. Перейдите в Networking и выберите Edge. И нажмите на внешний интерфейс, в данном случае gw_supportdemo-03

3. Перейдите на вкладку IPSec VPN и нажмите NEW

4. Задайте необходимые параметры туннеля

Name: укажите понятное вам имя.

Descruption: добавьте описание, если требуется.

Type: Policy Based

Status: Включите.

Если активно, то туннель активируется

Security Profile: вы можете выбрать подходящий профиль.

В большинстве случаях оставляйте Default. Возможность внести изменения в настройки security profile появиться после создания туннеля.

5. Нажмите Next

Pre-Shared Key: укажите PSK ключ

С двух сторон ключи должны совпадать.

6. Нажмите Next

Local Endpoint

IP Address: укажите ваш внешний IP, в данном случае 185.47.152.84

Networks:172.22.17.0/24

Локальная подсеть со стороны VDC2, можно указать несколько через запятую.

Remote Endpoint

IP Address: укажите внешний IP другой стороны, в данном случае 193.176.182.27

Networks:192.168.25.0/24, 192.168.1.0/24

Локальная подсеть со стороны VDC1, можно указать несколько через запятую.

7. Нажмите Next

8. Для сохранения настроек нажмите Finish

9. Для изменения настроек Security Profile нажмите на 3 точки у нужного IPsec VPN и выберите Security Profile Customization

Установите нужные параметры. Параметры с 2-х сторон должны быть одинаковые.

10. Сохраните настройки нажав Save

11. В firewall разрешите хождение нужного трафика между сетями. В данном примере создали 2 правила, которые разрешают весь трафик в 2-стороны.

В отличие от NSX-V в firewall правила разрешающего ESP и UDP 500 в NSX-T не отображается, но оно есть.

 



Вложения 
 
 ipsec-policy01.png (84.37 КБ)
 ipsec-policy02.png (114.01 КБ)
 ipsec-policy03.png (35.38 КБ)
 ipsec-policy04.png (41.07 КБ)
 ipsec-policy05.png (40.67 КБ)
 ipsec-policy06.png (41.97 КБ)
 ipsec-policy07.png (45.34 КБ)
 ipsec-policy08.png (53.81 КБ)
 ipsec-policy08-2.png (44.23 КБ)
 ipsec-policy08-3.png (53.23 КБ)
 ipsec-policy08-4.png (72.54 КБ)
 ipsec-policy09.png (83.46 КБ)
 ipsec-policy10.png (62.53 КБ)
 ipsec-policy11.png (46.71 КБ)
 ipsec-policy12.png (38.44 КБ)
 ipsec-policy13.png (62.34 КБ)
 ipsec-policy14.png (65.50 КБ)
 ipsec-policy15.png (49.58 КБ)
 ipsec-policy16.png (60.06 КБ)
 ipsec-policy17.png (56.73 КБ)
 ipsec-policy18.png (39.39 КБ)
 ipsec-policy19.png (39.04 КБ)


Если решение вопроса найти не удалось, Вы можете отправить нам заявку:

Отправить заявку


(0 голос(а))
Эта статья помогла
Эта статья не помогла
333
Комментарии (0)
111