Сегодня расскажем, как строить site-to-site VPN-соединение, используя vShield Edge в панели vCloud Director. В конце расскажем про новые возможности, которые появились с этой недели в CloudLITE, летних ценах и скидках. Дочитайте до конца).
Virtual Private Network, или виртуальная частная сеть, позволяет строить виртуальные (логические) соединения «поверх» сетей (того же Интернет). Чтобы защитить данные от посторонних (есть способы перехватить сообщения между узлами VPN) используются механизмы шифрования, аутентификации, инфраструктура открытых ключей, средства для защиты от повторов и изменений, передаваемых по логической сети сообщений. Эти механизмы, в свою очередь используют криптографические алгоритмы, которых сейчас имеется великое множество.
По типу доступа VPN можно разделить на 2 группы: site-to-site и remote access. Первый используется, когда необходим доступ из одной локальной сети в другую, например, соединение между главным офисом, офисом и коммерческим дата-центром/ облаком. Второй тип подразумевает, что отдельный хост получает доступ к локальной сети — например, отдельное устройство подключается к сети офиса. Это ситуация, когда сотрудник работает из дома по мобильному устройству.
Устройств и софта позволяющего строить VPN-соединения огромное количество. Это может быть, как маршрутизатор Cisco, так и сервер на FreeBSD. В нашем случае сегодня в качестве узлов VPN выступают два vShield Edge организаций, располагающихся в разных облаках.
Сначала настроим все на стороне организации, находящейся в облаке CloudLITE.
1. В панели управления vCloud Director переходим в раздел Administration, щелкаем мышкой на виртуальный дата-центр. Во вкладке Edge Gateway Services выбираем нужный vShield Edge. Кликаем на него правой кнопкой мыши и выбираем Edge Gateway Services.
2. В новом окне переходим во вкладку VPN и активируем VPN в чекбоксе Enable VPN. Для создания нового туннеля нажимаем кнопку Add.
3. По кнопке Configure Public IP можно поменять внешний IP, который выделен для пула по умолчанию, на другой.
4. В окне Add a Site-to-Site VPN configuration задаем имя (Name) VPN и описание (Description), если требуется.
В поле Establish VPN to выбираем a remote network, поскольку VPN Gateway (второй vShield Edge) находится в другой локальной сети.
В поле Local Networks указываем ту локальную сеть, которая будет участвовать в VPN-соединении и которая подключается к Edge.
В поле Peer Networks указываем в форматеСИДР CIDR (например, 192.168.10.0/24) сеть внутренней адресации, подключенную к точке, до которой мы настраиваем VPN.
В поле Local Endpoint выбираем внешнюю сеть (Интернет), через которую мы будем подключаться от нашей организации к другой. В нашем случае это может быть cloudlite-Internet или cloudlite-internet 2.
В поле Local ID указываем внешний IP-адрес нашего vShield Edge, который используется для создания VPN-соединения.
В поле Peer ID указываем внешний IP-адрес удаленного VPN Gateway (шлюза).
Скроллим и заполняем дальше.
В поле Peer IP задаем внешний IP-адрес VPN Gateway (в нашем случае Edge другой организации).
В списке Encryption protocol выбираем протокол шифрования (AES-256, AES, 3 DES).
Ставим галку в чекбоксе Show key. Копируем этот ключ: он понадобится нам для настроек на принимающей стороне VPN-туннеля.
В поле MTU при необходимости поменяйте дефолтное значение размера пакета.
5. Жмем OK, на нашей стороне CloudLITE все настроено. Созданный VPN-туннель появится в Edge Gateway Services во вкладке VPN.
6. Теперь аналогичные настройки нужно произвести на принимающей стороне.
В настройках второго vShield Edge, находящегося в другом облаке: делаем все то же самое, что и на первом этапе, только все параметры, которые были Peer, теперь становятся Local, и наоборот.
7. Вставляем ключ, который мы скопировали ранее.
Наглядно получившуюся схему можно представить в следующем виде:
На этом все.Задавайте свои вопросы в комментариях. Если нашли неточность или ошибку, пожалуйста, пишите в личку.
Можно сходить и попробовать применить теорию на практике в сервисе CloudLITE (есть тестовый период для экспериментов).
Из новостей сервиса:
1. С этой недели можно регистрировать и оплачивать свои ресурсы в статусе юридического лица со всеми вытекающими: безналичный банковский перевод, оригиналы закрывающих документов. Подробнее о том, как это сделать читайте здесь.
2. Мы снизили цены на фиксированные тарифы (скидка более 40%). Пока без дедлайна акции, но могу сказать точно, долго это не продлиться :).
3. Заканчивает свое действие акция по удвоению ваших платежей. В августе ее уже точно не будет.
4. Зато продолжится до 10 августа акция «Приведи друга, получи 300 рублей». В свете временно низких цен особенно заманчиво.
Вместо предисловия
Virtual Private Network, или виртуальная частная сеть, позволяет строить виртуальные (логические) соединения «поверх» сетей (того же Интернет). Чтобы защитить данные от посторонних (есть способы перехватить сообщения между узлами VPN) используются механизмы шифрования, аутентификации, инфраструктура открытых ключей, средства для защиты от повторов и изменений, передаваемых по логической сети сообщений. Эти механизмы, в свою очередь используют криптографические алгоритмы, которых сейчас имеется великое множество.
По типу доступа VPN можно разделить на 2 группы: site-to-site и remote access. Первый используется, когда необходим доступ из одной локальной сети в другую, например, соединение между главным офисом, офисом и коммерческим дата-центром/ облаком. Второй тип подразумевает, что отдельный хост получает доступ к локальной сети — например, отдельное устройство подключается к сети офиса. Это ситуация, когда сотрудник работает из дома по мобильному устройству.
Устройств и софта позволяющего строить VPN-соединения огромное количество. Это может быть, как маршрутизатор Cisco, так и сервер на FreeBSD. В нашем случае сегодня в качестве узлов VPN выступают два vShield Edge организаций, располагающихся в разных облаках.
Инструкция
Сначала настроим все на стороне организации, находящейся в облаке CloudLITE.
1. В панели управления vCloud Director переходим в раздел Administration, щелкаем мышкой на виртуальный дата-центр. Во вкладке Edge Gateway Services выбираем нужный vShield Edge. Кликаем на него правой кнопкой мыши и выбираем Edge Gateway Services.
2. В новом окне переходим во вкладку VPN и активируем VPN в чекбоксе Enable VPN. Для создания нового туннеля нажимаем кнопку Add.
3. По кнопке Configure Public IP можно поменять внешний IP, который выделен для пула по умолчанию, на другой.
4. В окне Add a Site-to-Site VPN configuration задаем имя (Name) VPN и описание (Description), если требуется.
В поле Establish VPN to выбираем a remote network, поскольку VPN Gateway (второй vShield Edge) находится в другой локальной сети.
В поле Local Networks указываем ту локальную сеть, которая будет участвовать в VPN-соединении и которая подключается к Edge.
В поле Peer Networks указываем в формате
В поле Local Endpoint выбираем внешнюю сеть (Интернет), через которую мы будем подключаться от нашей организации к другой. В нашем случае это может быть cloudlite-Internet или cloudlite-internet 2.
В поле Local ID указываем внешний IP-адрес нашего vShield Edge, который используется для создания VPN-соединения.
В поле Peer ID указываем внешний IP-адрес удаленного VPN Gateway (шлюза).
Скроллим и заполняем дальше.
В поле Peer IP задаем внешний IP-адрес VPN Gateway (в нашем случае Edge другой организации).
В списке Encryption protocol выбираем протокол шифрования (AES-256, AES, 3 DES).
Ставим галку в чекбоксе Show key. Копируем этот ключ: он понадобится нам для настроек на принимающей стороне VPN-туннеля.
В поле MTU при необходимости поменяйте дефолтное значение размера пакета.
5. Жмем OK, на нашей стороне CloudLITE все настроено. Созданный VPN-туннель появится в Edge Gateway Services во вкладке VPN.
6. Теперь аналогичные настройки нужно произвести на принимающей стороне.
В настройках второго vShield Edge, находящегося в другом облаке: делаем все то же самое, что и на первом этапе, только все параметры, которые были Peer, теперь становятся Local, и наоборот.
7. Вставляем ключ, который мы скопировали ранее.
Наглядно получившуюся схему можно представить в следующем виде:
На этом все.Задавайте свои вопросы в комментариях. Если нашли неточность или ошибку, пожалуйста, пишите в личку.
Можно сходить и попробовать применить теорию на практике в сервисе CloudLITE (есть тестовый период для экспериментов).
Из новостей сервиса:
1. С этой недели можно регистрировать и оплачивать свои ресурсы в статусе юридического лица со всеми вытекающими: безналичный банковский перевод, оригиналы закрывающих документов. Подробнее о том, как это сделать читайте здесь.
2. Мы снизили цены на фиксированные тарифы (скидка более 40%). Пока без дедлайна акции, но могу сказать точно, долго это не продлиться :).
3. Заканчивает свое действие акция по удвоению ваших платежей. В августе ее уже точно не будет.
4. Зато продолжится до 10 августа акция «Приведи друга, получи 300 рублей». В свете временно низких цен особенно заманчиво.
