VPN-соединения
In this article:
VPN-соединения#
С помощью услуги облачного VPN (VPN as a Service, VPNaaS) вы можете легко и быстро соединить инфраструктуру, расположенную в К2 Облаке, с удалённой инфраструктурой.
По умолчанию создаётся отказоустойчивое VPN-соединение. Для обеспечения отказоустойчивости создаются два туннеля, которые терминируются в разных зонах доступности. В нормальном режиме работы оба туннеля активны — трафик от виртуальных машин направляется в ближайший из них. При отказе одного из туннелей весь трафик автоматически перенаправляется через второй, так что облачные ресурсы остаются по-прежнему доступны.
Примечание
За использование отказоустойчивого VPN-соединения помимо платы за исходящий трафик взимается почасовая оплата. Информацию о тарифе можно посмотреть на вкладке Сеть в разделе Тарифы.
В К2 Облаке поддерживается два типа VPN-соединения на базе IPSec:
ipsec.1: туннельный режим;ipsec.legacy: транспортный режим.
Важно
Для упрощения в веб-интерфейсе VPN-шлюз не отображается и при создании VPN-соединений выбор VPC эквивалентен выбору VPN-шлюза. Информацию об имеющихся VPN-шлюзах можно получить в явном виде с помощью API.
Чтобы связать ваше оборудование и облачную инфраструктуру, необходимо:
создать клиентский шлюз, указав данные о вашем оборудовании;
создать VPN-соединение с этим шлюзом;
настроить своё оборудование согласно конфигурации, которую можно получить на странице созданного VPN-соединения.
Между клиентским шлюзом и VPC (VPN-шлюзом) может существовать только одно VPN-соединение. При этом вы можете создать несколько VPN-соединений как между одним VPC и разными клиентскими шлюзами, так и одним клиентским шлюзом и разными VPC.
Создание клиентского шлюза#
Чтобы создать клиентский шлюз, перейдите в раздел Сетевые соединения VPN Клиентские шлюзы и нажмите Создать.
При регистрации клиентского шлюза необходимо указать:
Тег Name — Имя шлюза (опционально).
Тип —
ipsec.1(IPsec-соединение в туннельном режиме) иipsec.legacy(IPsec-соединение в транспортном режиме).IP-адрес — адрес шлюза, расположенного в удалённой инфраструктуре.
BGP ASN — номер автономной системы удалённой сети. В случае отсутствия автономной системы следует использовать номер из приватных диапазонов (64512—65535 и 4200000000-4294967294). Если оставить поле незаполненным, будет задано значение по умолчанию — 65000.
Если требуется, вы можете также задать дополнительные теги.
VPN-соединения можно создавать, только если задан клиентский шлюз.
Создание VPN-соединения#
Вы можете создать VPN-соединение в разделе Сетевые соединения VPN VPN-соединения. Для этого нажмите Создать, выберите VPC, с которым необходимо установить соединение, и укажите существующий клиентский шлюз или создайте новый прямо в этом окне. Если вам не подходят заданные по умолчанию туннельные опции, то вы можете их изменить.
По умолчанию создаётся отказоустойчивое соединение с двумя туннелями.
Если вам не требуется отказоустойчивый VPN, то снимите флаг с соответствующей опции.
Для соединения типа ipsec.1 можно также указать подсети со стороны облака (Remote IP Network CIDR) и клиента (Local IP Network CIDR), которым разрешено использовать шифруемый туннель.
VPN-соединение можно также создать в разделе Сетевые соединения VPN Клиентские шлюзы. Для этого создайте клиентский шлюз или выберите его из списка и нажмите Создать VPN-соединение. В появившемся окне выберите VPC, с которым требуется установить соединение, задайте опции соединения и туннеля/туннелей, если необходимо, и нажмите Создать.
При обмене информацией о маршрутах с помощью BGP допускается использование только eBGP. Таким образом, BGP ASN для клиентского шлюза и BGP ASN для VPC (VPN-шлюза) не должны совпадать. При необходимости BGP ASN для VPC можно изменить. Для этого обратитесь в службу поддержки К2 Облака. В обращении укажите идентификатор VPC, а также желаемый номер автономной системы. Рекомендуем использовать номер из приватных диапазонов BGP: 64512—65535 и 4200000000—4294967294.
При создании VPN-соединения облако по умолчанию загружает файл конфигурации, специфичный для вашего клиентского шлюза, который содержит информацию для настройки устройства.
Изменить параметры туннеля#
В К2 Облаке вы можете выбрать, какие туннельные опции использовать при организации VPN-соединения. В случае отказоустойчивого VPN вы можете указать туннельные опции отдельно для каждого туннеля.
Ниже приведены параметры туннеля, которые вы можете настроить.
Общие параметры:
Внутренний IP CIDR для туннеля — блок /30 из подсети 169.254.252.0/22, который будет использоваться внутри IPsec-туннеля VPN-соединения;
Pre-shared Key для туннеля — ключ (PSK), используемый для первичной аутентификации между VPN и пользовательским шлюзами;
ikeVersion — версия протокола обмена ключами
ikev1илиikev2;Replay Window Size — количество пакетов в окне воспроизведения IKE.
Параметры фазы 1:
Encryption Algorithms — алгоритмы шифрования, разрешённые для туннеля VPN для первой фазы IKE;
Integrity Algorithms — алгоритмы обеспечения целостности, разрешённые для туннеля VPN для первой фазы IKE;
DH Group Numbers — номера групп Диффи-Хеллмана, разрешённые для туннеля VPN для первой фазы IKE;
Lifetime Seconds — время жизни в секундах для первой фазы IKE.
Параметры фазы 2:
Encryption Algorithms — алгоритмы шифрования, разрешённые для туннеля VPN для второй фазы IKE;
Integrity Algorithms — алгоритмы обеспечения целостности, разрешённые для туннеля VPN для второй фазы IKE;
Включить режим PFS — режим Perfect Forward Secrecy (PFS), его включение гарантирует, что сессионные ключи шифрования не будут скомпрометированы;
Внимание
По умолчанию режим PFS включён. Во избежание компрометации сессионного ключа шифрования не рекомендуем его отключать.
DH Group Numbers — номера групп Диффи-Хеллмана, разрешённые для туннеля VPN для второй фазы IKE;
Примечание
При отключённом режиме PFS выбор групп Диффи-Хеллмана невозможен.
Lifetime Seconds — время жизни в секундах для второй фазы IKE.
С поддерживаемыми туннельными опциями, ограничениями и совместимостью алгоритмов для разных версий IKE можно ознакомиться в документации.
Настройка удалённого оборудования#
Настроить своё оборудование в удалённой инфраструктуре (клиентский шлюз) можно при помощи настроек, предоставляемых К2 Облаком для каждого VPN-соединения.
Получить настройки клиентского шлюза можно в разделе Сетевые соединения VPN VPN-соединения. Для этого создайте VPN-соединение, выберите его в списке или перейдите на его страницу и нажмите Получить настройки.
Поддерживаются следующие форматы генерируемых настроек:
типовая (generic) конфигурация с текстовым описанием всех параметров;
конфигурация для Cisco IOS версии 12.4 и выше;
Generic Linux Openswan/Libreswan with Quagga/FRR;
RedHat Linux Openswan/Libreswan with Quagga/FRR.
Чтобы сохранить настройки клиентского шлюза на локальном компьютере в формате .cfg, нажмите Скачать.
Маршрутизация через VPN-соединение#
Статическую маршрутизацию между подсетями К2 Облака и приватными сетями, расположенными в удалённой инфраструктуре (за клиентским шлюзом), можно настроить при помощи таблиц маршрутизации.
Для динамической маршрутизации используйте протокол BGP. Это избавит вас от ручной настройки статических маршрутов через VPN-соединение, повысит отказоустойчивость и позволит автоматически переключаться при использовании нескольких VPN-соединений.
Важно
Для отказоустойчивых VPN-соединений доступна только маршрутизация с помощью BGP — статическая маршрутизация не поддерживается.
Чтобы маршруты, полученные по протоколу BGP, устанавливались в VPC, включите распространение маршрутов. Для этого перейдите на страницу VPC и на вкладке Информация укажите целевую таблицу маршрутизации для параметра Распространение маршрутов.
Функция распространения маршрутов#
Пользователь может выбрать одну таблицу маршрутизации для VPC, в которую должны устанавливаться маршруты BGP, полученные от клиентского шлюза. Распространение маршрутов можно включить через веб-интерфейс на странице VPC или с помощью API-метода EnableVgwRoutePropagation.
При включении распространения маршрутов для выбранной таблицы маршрутизации будут применяться стандартные правила выбора наилучшего маршрута, приоритет получают маршруты c:
большей длиной префикса;
меньшей административной дистанцией;
меньшей метрикой.
При необходимости Распространение маршрутов можно отключить через веб-интерфейс на странице VPC или с помощью API-метода DisableVgwRoutePropagation. При этом BGP продолжит работать между VPN-соединениями и анонсировать маршруты, но маршруты BGP не будут устанавливаться в таблицу маршрутизации, поэтому экземпляры в VPC не смогут получить доступ к сетям, расположенным за клиентским шлюзом. В такой ситуации необходимо воспользоваться статической маршрутизацией.
Важно
Обратите внимание на сетевую недоступность до 1 мин. между VPN и облаком при включении распространения маршрутов или при смене таблицы маршрутизации, в которую необходимо устанавливать маршруты BGP, полученные от клиентского шлюза.
Удаление VPN-соединения и клиентского шлюза#
Чтобы удалить VPN-соединение, перейдите в раздел Сетевые соединения VPN VPN-соединения, выберите VPN-соединение в списке и нажмите Удалить.
Кроме того, удалить VPN-соединение можно в разделе Сетевые соединения VPN Клиентские шлюзы. Для этого выберите клиентский шлюз в списке и нажмите Удалить VPN-соединение. В появившемся окне выберите VPC, соединение с которым необходимо удалить, и нажмите Удалить.
Важно
Клиентский шлюз можно удалить, только если у него нет активного VPN-соединения. Поэтому перед удалением клиентского шлюза удалите соответствующее VPN-соединение.
Чтобы удалить клиентский шлюз, перейдите в раздел Сетевые соединения VPN Клиентские шлюзы и выберите клиентский шлюз в списке, либо перейдите на его страницу и нажмите Удалить.