Настройка VPN-тоннеля между маршрутизируемой сетью 1cloud и VyOS

В инструкции рассмотрен процесс настройки маршрутизатора с ОС VyOS удаленной частой сети пользователя для подключения к маршрутизируемой сети 1cloud по VPN.

Сетевая архитектура

В панели управления 1cloud вы можете создать маршрутизируемую сеть и настроить для нее VPN-тоннель непосредственно в свою частную сеть, о том как это сделать подробно описано в нашей инструкции. Для маршрутизации в локальных сетях довольно часто использую программный маршрутизатор VyOS. В нашей инструкции мы подробно рассмотрим конфигурацию маршрутизатора VyOS для создания VPN-туннеля между сетью 1cloud и удаленной сетью.

Схема VPN-тоннеля

Настройка VPN в панели управления 1cloud

Подробная инструкция по настройке по настройке VPN в панели управления 1cloud находится здесь.

В панели управления 1cloud необходимо создать правило, где в качестве значения Peer Ip будет использован внешний IP-адрес VyOS, а значение Peer Network будет соответствовать локальному адресу удаленной сети.

Панель управления - маршрутизируемая сеть

Примечание: не забудьте правильно настроить интерфейсы серверов находящихся в маршрутизируемой сети, указав в качестве шлюза по умолчанию локальный адрес маршрутизатора.

Настройка VyOS

Для того, чтобы перейти к настройке маршрутизатора, перейдите в режим конфигурации:

config

Для настройки VPN-тоннеля будет использоваться протокол IKE набора протоколов IPsec, который имеет две фазы.

Настройка первой фазы:

set vpn ipsec esp-group DevServerESP lifetime 1800
set vpn ipsec esp-group DevServerESP mode tunnel
set vpn ipsec esp-group DevServerESP pfs enable
set vpn ipsec esp-group DevServerESP proposal 1 encryption aes256
set vpn ipsec esp-group DevServerESP proposal 1 hash sha1
set vpn ipsec ipsec-interfaces interface eth0

Примечание: здесь eth0 - имя интерфейса с публичным IP-адресом.

Конфигурация второй фазы:

set vpn ipsec ike-group DevServerESP lifetime 3600
set vpn ipsec ike-group DevServerESP proposal 1 encryption aes256
set vpn ipsec ike-group DevServerESP proposal 1 hash sha1
set vpn ipsec ike-group DevServerESP proposal 1 dh-group 14
set vpn ipsec site-to-site peer <внешний_IP-адрес_шлюза> local-address <внешний_IP-адрес_VyOS>
set vpn ipsec site-to-site peer <внешний_IP-адрес_шлюза> authentication mode pre-shared-secret
set vpn ipsec site-to-site peer <внешний_IP-адрес_шлюза> authentication pre-shared-secret <секретный_ключ>
set vpn ipsec site-to-site peer <внешний_IP-адрес_шлюза> connection-type initiate
set vpn ipsec site-to-site peer <внешний_IP-адрес_шлюза> default-esp-group DevServerESP
set vpn ipsec site-to-site peer <внешний_IP-адрес_шлюза> ike-group DevServerESP
set vpn ipsec site-to-site peer <внешний_IP-адрес_шлюза> tunnel 0 local prefix <Локальная подсеть/маска_подсети>
set vpn ipsec site-to-site peer <внешний_IP-адрес_шлюза> tunnel 0 remote prefix <Удаленная_локальная подсеть/маска_подсети>

Далее необходимо настроить политики маршрутизации:

set policy route TCP-MSS1386-ETH0 rule 1 destination address <Удаленная_локальная подсеть/маска_подсети>
set policy route TCP-MSS1386-ETH0 rule 1 protocol tcp
set policy route TCP-MSS1386-ETH0 rule 1 set tcp-mss 1386
set policy route TCP-MSS1386-ETH0 rule 1 tcp flags SYN
set interfaces ethernet eth0 policy route TCP-MSS1386-ETH0

Для проверки статуса шлюза вы можете выполнить проверку с помощью следующих команд, при этом в панели управления должен отобразиться статус ОК:

show ipsec vpn policy
show vpn ipsec sa

На этом конфигурирование VPN-тоннелирования завершена.

 


Средняя оценка: 5,0, всего оценок: 1