VPN-соединения

С помощью услуги облачного VPN (VPN as a Service, VPNaaS) вы можете легко и быстро соединить инфраструктуру, расположенную в К2 Облаке, с удалённой инфраструктурой.

Если в регионе есть несколько зон доступности, по умолчанию создаётся отказоустойчивое VPN-соединение. Для обеспечения отказоустойчивости создаются два туннеля, которые терминируются в разных зонах доступности. В нормальном режиме работы оба туннеля активны — трафик от виртуальных машин направляется в ближайший из них. При отказе одного из туннелей весь трафик автоматически перенаправляется через второй, так что облачные ресурсы остаются по-прежнему доступны.

Примечание

За использование VPN-соединения помимо платы за исходящий трафик взимается почасовая оплата. Информацию о тарифе можно посмотреть на вкладке Сеть в разделе Тарифы.

В К2 Облаке поддерживается два типа VPN-соединения на базе IPSec:

• ipsec.1: туннельный режим;

• ipsec.legacy: транспортный режим.

VPN-соединение устанавливается между VPN-шлюзом К2 Облака и клиентским шлюзом, также имеется возможность установить VPN-соединение с AWS.

Клиентский шлюз — точка подключения к удалённой инфраструктуре. Создаётся пользователем и содержит данные об удалённом оборудовании, с которым необходимо установить соединение.

VPN-шлюз — точка подключения к К2 Облаку. Для каждого виртуального частного облака (VPC) автоматически создаётся один VPN-шлюз.

Важно

Для упрощения в веб-интерфейсе VPN-шлюз не отображается и при создании VPN-соединений выбор VPC эквивалентен выбору VPN-шлюза. Информацию об имеющихся VPN-шлюзах можно получить в явном виде с помощью API.

Чтобы связать ваше оборудование и облачную инфраструктуру, необходимо:

• создать клиентский шлюз, указав данные о вашем оборудовании;

• создать VPN-соединение с этим шлюзом;

• настроить своё оборудование согласно конфигурации, которую можно получить на странице созданного VPN-соединения.

Между клиентским шлюзом и VPC (VPN-шлюзом) может существовать только одно VPN-соединение. При этом вы можете создать несколько VPN-соединений как между одним VPC и разными клиентскими шлюзами, так и одним клиентским шлюзом и разными VPC.

Создание клиентского шлюза

1. Перейдите в раздел Сетевые соединения VPN Клиентские шлюзы.

2. Нажмите Создать.

3. В открывшемся окне укажите следующие параметры:

   • Тег Name (Опционально).

   • Тип — ipsec.1 (IPsec-соединение в туннельном режиме) и ipsec.legacy (IPsec-соединение в транспортном режиме).

   • IP-адрес — адрес шлюза, расположенного в удалённой инфраструктуре.

   • BGP ASN — номер автономной системы удалённой сети. В случае отсутствия автономной системы следует использовать номер из приватных диапазонов (64512—65535 и 4200000000-4294967294). Если оставить поле незаполненным, будет задано значение по умолчанию — 65000.

4. Если необходимо назначить теги, перейдите на следующий шаг, нажав Добавить теги. Укажите ключ тега и его значение.

5. После задания всех необходимых параметров нажмите Создать.

Создание VPN-соединения

Примечание

VPN-соединения можно создавать, только если задан клиентский шлюз.

1. Перейдите в раздел Сетевые соединения VPN VPN-соединения.

2. Нажмите Создать. Откроется мастер создания VPN-соединения.

3. В поле Тег Name укажите тег Name (Опционально).

4. В поле VPC выберите VPC, с которым необходимо установить соединение.

5. По умолчанию создаётся отказоустойчивое соединение с двумя туннелями. Чтобы отключить отказоустойчивый VPN, снимите флажок с соответствующей опции.

6. В поле Клиентский шлюз укажите существующий клиентский шлюз или создайте новый прямо в этом окне, указав следующие параметры:

   • Тип — ipsec.1 (IPsec-соединение в туннельном режиме) и ipsec.legacy (IPsec-соединение в транспортном режиме).

   • IP-адрес — адрес шлюза, расположенного в удалённой инфраструктуре.

   • BGP ASN — номер автономной системы удалённой сети. В случае отсутствия автономной системы следует использовать номер из приватных диапазонов (64512—65535 и 4200000000-4294967294). Если оставить поле незаполненным, будет задано значение по умолчанию — 65000.

7. Для соединения типа ipsec.1 можно также указать подсети, которым разрешено использовать шифруемый туннель:

   • Local IP Network CIDR — подсеть клиента

   • Remote IP Network CIDR — подсеть со стороны облака.

8. Если вам не подходят заданные по умолчанию туннельные опции, то вы можете их изменить.

9. Если необходимо назначить теги, перейдите на следующий шаг, нажав Добавить теги. Укажите ключ тега и его значение.

10. После задания всех необходимых параметров нажмите Создать.

VPN-соединение можно также создать в разделе Клиентские соединения. Для этого:

1. Перейдите в раздел Сетевые соединения VPN Клиентские шлюзы

2. Создайте клиентский шлюз или выберите его в таблице ресурса.

3. Нажмите Создать VPN-соединение. Откроется мастер создания VPN-соединения.

4. Укажите параметры, которые указаны в инструкции, начиная с 3 пункта.

5. Нажмите Создать.

При обмене информацией о маршрутах с помощью BGP допускается использование только eBGP. Таким образом, BGP ASN для клиентского шлюза и BGP ASN для VPC (VPN-шлюза) не должны совпадать. При необходимости BGP ASN для VPC можно изменить. Для этого обратитесь в службу поддержки К2 Облака. В обращении укажите идентификатор VPC, а также желаемый номер автономной системы. Рекомендуем использовать номер из приватных диапазонов BGP: 64512—65535 и 4200000000—4294967294.

При создании VPN-соединения облако по умолчанию загружает файл конфигурации, специфичный для вашего клиентского шлюза, который содержит информацию для настройки устройства.

Изменить параметры туннеля

В К2 Облаке вы можете выбрать, какие туннельные опции использовать при организации VPN-соединения. В случае отказоустойчивого VPN вы можете указать туннельные опции отдельно для каждого туннеля.

Ниже приведены параметры туннеля, которые вы можете настроить.

Общие параметры:

• Внутренний IP CIDR для туннеля — блок /30 из подсети 169.254.252.0/22, который будет использоваться внутри IPsec-туннеля VPN-соединения;

• Pre-shared Key для туннеля — ключ (PSK), используемый для первичной аутентификации между VPN и пользовательским шлюзами;

• ikeVersion — версия протокола обмена ключами ikev1 или ikev2;

• Replay Window Size — количество пакетов в окне воспроизведения IKE.

Параметры фазы 1:

• Encryption Algorithms — алгоритмы шифрования, разрешённые для туннеля VPN для первой фазы IKE;

• Integrity Algorithms — алгоритмы обеспечения целостности, разрешённые для туннеля VPN для первой фазы IKE;

• DH Group Numbers — номера групп Диффи-Хеллмана, разрешённые для туннеля VPN для первой фазы IKE;

• Lifetime Seconds — время жизни в секундах для первой фазы IKE.

Параметры фазы 2:

• Encryption Algorithms — алгоритмы шифрования, разрешённые для туннеля VPN для второй фазы IKE;

• Integrity Algorithms — алгоритмы обеспечения целостности, разрешённые для туннеля VPN для второй фазы IKE;

• Включить режим PFS — режим Perfect Forward Secrecy (PFS), его включение гарантирует, что сессионные ключи шифрования не будут скомпрометированы;

  Внимание

  По умолчанию режим PFS включён. Во избежание компрометации сессионного ключа шифрования не рекомендуем его отключать.

• DH Group Numbers — номера групп Диффи-Хеллмана, разрешённые для туннеля VPN для второй фазы IKE;

  Примечание

  При отключённом режиме PFS выбор групп Диффи-Хеллмана невозможен.

• Lifetime Seconds — время жизни в секундах для второй фазы IKE.

С поддерживаемыми туннельными опциями, ограничениями и совместимостью алгоритмов для разных версий IKE можно ознакомиться в документации.

Настройка удалённого оборудования

Настроить своё оборудование в удалённой инфраструктуре (клиентский шлюз) можно при помощи настроек, предоставляемых К2 Облаком для каждого VPN-соединения.

1. Перейдите в раздел Сетевые соединения VPN VPN-соединения.

2. Создайте VPN-соединение, если оно ещё не создано.

3. Найдите созданное VPN-соединение в таблице ресурсов и нажмите на его идентификатор для перехода на страницу VPN-соединения.

4. Нажмите Получить настройки. Поддерживаются следующие форматы генерируемых настроек:

   • типовая (generic) конфигурация с текстовым описанием всех параметров;

   • конфигурация для Cisco IOS версии 12.4 и выше;

   • Generic Linux Openswan/Libreswan with Quagga/FRR;

   • RedHat Linux Openswan/Libreswan with Quagga/FRR.

5. Сохраните настройки клиентского шлюза на локальном компьютере в формате .cfg, нажав Скачать.

Маршрутизация через VPN-соединение

Статическую маршрутизацию между подсетями К2 Облака и приватными сетями, расположенными в удалённой инфраструктуре (за клиентским шлюзом), можно настроить при помощи таблиц маршрутизации.

Для динамической маршрутизации используйте протокол BGP. Это избавит вас от ручной настройки статических маршрутов через VPN-соединение, повысит отказоустойчивость и позволит автоматически переключаться при использовании нескольких VPN-соединений.

Важно

Для отказоустойчивых VPN-соединений доступна только маршрутизация с помощью BGP — статическая маршрутизация не поддерживается.

Чтобы маршруты, полученные по протоколу BGP, устанавливались в VPC, включите распространение маршрутов. Для этого перейдите на страницу VPC и на вкладке Информация укажите целевую таблицу маршрутизации для параметра Распространение маршрутов.

Функция распространения маршрутов

Пользователь может выбрать одну таблицу маршрутизации для VPC, в которую должны устанавливаться маршруты BGP, полученные от клиентского шлюза. Распространение маршрутов можно включить через веб-интерфейс на странице VPC или с помощью API-метода EnableVgwRoutePropagation.

При включении распространения маршрутов для выбранной таблицы маршрутизации будут применяться стандартные правила выбора наилучшего маршрута, приоритет получают маршруты c:

• большей длиной префикса;

• меньшей административной дистанцией;

• меньшей метрикой.

При необходимости Распространение маршрутов можно отключить через веб-интерфейс на странице VPC или с помощью API-метода DisableVgwRoutePropagation. При этом BGP продолжит работать между VPN-соединениями и анонсировать маршруты, но маршруты BGP не будут устанавливаться в таблицу маршрутизации, поэтому экземпляры в VPC не смогут получить доступ к сетям, расположенным за клиентским шлюзом. В такой ситуации необходимо воспользоваться статической маршрутизацией.

Важно

Обратите внимание на сетевую недоступность до 1 мин. между VPN и облаком при включении распространения маршрутов или при смене таблицы маршрутизации, в которую необходимо устанавливать маршруты BGP, полученные от клиентского шлюза.

Удаление VPN-соединения

1. Перейдите в раздел Сетевые соединения VPN VPN-соединения.

2. Выберите VPN-соединение в таблице ресурсов и нажмите Удалить.

3. Подтвердите удаление в открывшемся окне.

Кроме того, данную операцию можно выполнить на странице VPN-соединения. Для этого перейдите на вкладку Информация и нажмите Удалить.

Удалить VPN-соединение можно в разделе Клиентские шлюзы. Для этого:

1. Перейдите в раздел Сетевые соединения VPN Клиентские шлюзы.

2. Выберите клиентский шлюз в списке и нажмите Удалить VPN-соединение.

3. В открывшемся окне выберите VPC, соединение с которым необходимо удалить, и нажмите Удалить.

4. Подтвердите удаление в открывшемся окне.

Удаление клиентского шлюза

Важно

Клиентский шлюз можно удалить, только если у него нет активного VPN-соединения. Поэтому перед удалением клиентского шлюза удалите соответствующее VPN-соединение.

1. Перейдите в раздел Сетевые соединения VPN Клиентские шлюзы.

2. Выберите клиентский шлюз в таблице ресурсов и нажмите Удалить.

3. Подтвердите удаление в открывшемся окне.

Кроме того, данную операцию можно выполнить на странице клиентского шлюза. Для этого перейдите на вкладку Информация и нажмите Удалить.