VMware - Настройка Site-to-Site IPSec VPN. Route Policy.

Настройка IPsec VPN-подключения из удаленной сети к VMware Cloud Director вашей организации – наиболее распространенный сценарий. Программное обеспечение предоставляет возможности IPsec VPN для пограничного шлюза, включая поддержку аутентификации сертификатов, режима предварительного ключа и одноадресного IP-трафика между ним и удаленными VPN-маршрутизаторами. Вы также можете настроить несколько подсетей для подключения через туннели IPsec к внутренней сети за пограничным шлюзом. Когда вы настраиваете несколько подсетей для подключения через туннели IPsec к внутренней сети, эти подсети и внутренняя сеть за пограничным шлюзом не должны иметь перекрывающихся диапазонов адресов.

Настроим IPsec VPN в режиме предварительного ключа (PSK). Route Policy.

Route-based IPsec (IPsec на основе маршрутизации) — это метод построения VPN, при котором трафик шифруется на основе записей в таблице маршрутизации, а не политик безопасности. 
Преимущества route-based IPsec:
- Гибкость маршрутизации: Возможность использования динамических протоколов маршрутизации (OSPF, BGP, RIP) через туннель, что упрощает масштабирование сетей.
- Упрощение настройки: Не требуется прописывать сложные списки доступа (ACL) для определения трафика; достаточно направить трафик в виртуальный туннельный интерфейс.
- Независимость от подсетей: Нет жесткой привязки к конкретным локальным и удаленным подсетям, что облегчает изменение топологии сети.
Этот подход обеспечивает более надежную и управляемую структуру VPN по сравнению с политиками (Policy-based), особенно в сложных корпоративных сетях.

В данной статье рассмотрим настройку между двумя VDC:
VDC1 (vdc_supportdemo-01) - на базе с edge NSX-V.
VDC2 (vdc_supportdemo-03) - на базе c edge NSX-T
Другой стороной может быть любое другое устройство, которое поддерживает данную технологию.


VDC1:
внешний IP:
193.176.182.27

локальные подсети:
192.168.25.0/24
192.168.1.0/24


VDC2:
внешний IP:
185.47.152.84

локальная подсеть:
172.22.17.0/24

Внимание! Локальные подсети не должны пересекаться.

Настраиваем VCD1 NSX-V.

1. Перейдите в VDC1 (Datacenter)

2. Перейдите в Networking и выберите Edge Gateways. И нажмите на внешний интерфейс, в данном случае gw_supportdemo-01

3. В открывшемся окне выберите Services.

4. В открывшемся окне перейдите на вкладку VPN

5. Перейдите на вкладку IPsec VPN Sites и нажмите +

6. Задайте необходимые параметры туннеля

Enabled: Включите.

Если активно, то туннель активируется

Enable perfect forward secrecy (PFS): Включите.

Рекомендуем.

Name: укажите понятное вам имя.

Enable perfect forward secrecy (PFS): Включите.

Рекомендуем.

Local ID: укажите ваш внешний IP, в данном случае 193.176.182.27

Local Endpoint: тоже самое что и в Local ID, в данном случае 193.176.182.27

Local Subnets:0.0.0.0/0

Указываем 0.0.0.0/0, а какие подсети будут уходить в туннель укажем с помощью маршрутов.

Peer ID: укажите внешний IP другой стороны, в данном случае 185.47.152.84

Peer Endpoint: тоже самое что и в Peer ID, в данном случае 185.47.152.84

Peer Subnets: 0.0.0.0/0

Указываем 0.0.0.0/0, а какие подсети будут уходить в туннель укажем с помощью маршрутов.

Encryption Algorithm: AES256

С другой стороны должен быть точно такой же encryption algorithm.

Authentication: PSK

Сертификаты тоже поддерживаются, но здесь рассматриваем настройку с PSK.

Pre-Shared Key: укажите PSK ключ

С двух сторон ключи должны совпадать.

Diffie-Hellman Group: DH14

С другой стороны должен быть точно такой же dh group.

Digest Algorithm: sha-256

С другой стороны должен быть точно такой же digest algorithm.

IKE Option: IKEv2

Session Type: Route Based Session

Tunnel Interface IP CIDR: 172.16.254.254/31

Tunnel Interface MTU: 1400

7. Сохраните настройки нажав Keep

8. Сохраните конфигурацию туннеля нажав Save changes

9. Нужно запустить сервис IPsec VPN Service. Для этого перейдите на вкладку Activation Status и активируйте и сохраните нажав Save changes

10. В firewall разрешите хождение нужного трафика между сетями.

Обратите внимание, что в firewall появилось 2 правила ipsec, в данном случае под номером 2 и 3, они не редактируются.

В данном примере создали 2 правила, которые разрешают весь трафик в 2-стороны.

11. Добавляем маршруты, для того, чтобы нужный трафик направлялся в туннель. Для этого перейдите на вкладку Routing - Static Routes. Нажмите кнопку +. Создайте маршрут к сети, которая находится с другой стороны.

Сохраните изменения нажав Save changes

Настройка в VDC1 закончена.

Настраиваем VCD2 NSX-T.

1. Перейдите в VDC2 (Datacenter)

2. Перейдите в Networking и выберите Edge. И нажмите на внешний интерфейс, в данном случае gw_supportdemo-03

3. Перейдите на вкладку IPSec VPN и нажмите NEW

4. Задайте необходимые параметры туннеля

Name: укажите понятное вам имя.

Descruption: добавьте описание, если требуется.

Type: Policy Based

Status: Включите.

Если активно, то туннель активируется

Security Profile: вы можете выбрать подходящий профиль.

В большинстве случаях оставляйте Default. Возможность внести изменения в настройки security profile появится после создания туннеля.

5. Нажмите Next

Pre-Shared Key: укажите PSK ключ

С двух сторон ключи должны совпадать.

6. Нажмите Next

Local Endpoint

IP Address: укажите ваш внешний IP, в данном случае 185.47.152.84

Remote Endpoint

IP Address: укажите внешний IP другой стороны, в данном случае 193.176.182.27

Remote ID: 193.176.182.27

Tunnel Interface: 172.16.254.255/31

7. Нажмите Next

8. Для сохранения настроек нажмите Finish

9. Для изменения настроек Security Profile нажмите на 3 точки у нужного IPsec VPN и выберите Security Profile Customization

Установите нужные параметры. Параметры с 2-х сторон должны быть одинаковые.

10. Сохраните настройки нажав Save

11. В firewall разрешите хождение нужного трафика между сетями. В данном примере создали 2 правила, которые разрешают весь трафик в 2-стороны.

Обратите внимание, что в отличие от NSX-V в firewall правила для ipsec в firewall не отображаются.

12. Добавляем маршруты, для того, чтобы нужный трафик направлялся в туннель. Для этого перейдите на вкладку Routing - Static Routes. Нажмите New. Создайте маршруты к сети, которые находятся с другой стороны.

В нашем случае создаем 2 маршрута.

Настройка в VDC2 закончена.