VPN типа Site-to-Site, также известный, как VPN-соединение типа Point-to-Point, представляет собой способ организации взаимодействия между двумя (и более) сетями, где узлы общаются напрямую. Этот тип соединения обеспечивает прозрачное подключение между разными офисами, позволяя работать, как одна большая сеть.
Туннель VPN Site-to-Site позволяет создавать безопасные каналы связи между двумя, и более, удалёнными площадками.
Настройка VPN-шлюза
Перейти в раздел – "Network" > "VPNs", на вкладке "VPN Gateways";
Нажать –"Create".
Указать:
1. Name – имя сервиса;
2. Description – описание (при необходимости);
3. Router – выбрать маршрутизатор, который будет использоваться в локальной сети;
4. Нажать – "OK".
Создание группы конечных точек (EndPoints Groups)
Перейти на вкладку "VPN EndPoint Groups", нажать –"Create".
Указать:
- "Name" – имя группы конечных точек;
- Description – описание (при необходимости);
- Type – тип (локальный или удаленный);
- "Router" – маршрутизатор через который будет установлено подключение;
- "Subnet" – подсеть до которой будет открыт доступ;
- Нажать – "OK".
Создание IKE политик
Перейти на вкладку – "IKE Policies";
Нажать –"Create".
Указать:
1. "Name" – имя IKE политики;
2. "Description" – описание (при необходимости);
3. "Auth Algorithm" – алгоритм хэширования (доступны: sha1, 256, 384, 512);
4. "Encryption algorithm" – алгоритм шифрования (доступны: 3DES, AES-128, 192, 256);
5. "PFS" – группы Diffie-Hellman (доступные группы 2, 5, 14);
6. "Lifetime Value" – время жизни ключевой пары до перегенерации (в секундах);
7. "IKE Version" – версия протокола IKE (доступные версии v1/v2);
8. Нажать – "ОК".
Рекомендуется выставлять оптимальные значения, которые соответствуют высокому уровню надёжности и устойчивости, например:
Алгоритм хэширования – sha256 или выше;
Алгоритм шифрования – AES-256 или выше;
IKE версии 2;
Время жизненного цикла – 3600 секунд;
Алгоритм DH – группа 14 (2048 bit). Справочно: группа 2 (1024 bit), группа 5 (1536 bit).
Создание IPsec политик
Перейти на вкладку – "IPsec Policies";
Нажать –"Create".
Указать:
1. "Name" – имя IPsec политики;
2. "Description" – описание (при необходимости);
3. "Auth Algorithm" – алгоритм хэширования (доступны sha1, 256, 384, 512);
4. "Encapsulation mode" – режим инкапсуляции. Режим работы туннеля IPsec (tunnel/transport) который будет использован;
5. "Encryption Algorithm" – алгоритм шифрования (доступны: 3DES, AES-128, 192, 256);
6. "PFS" – группы Diffie-Hellman (доступны: 2, 5, 14);
7. "Lifetime value" время жизни ключевой пары до перегенерации (в секундах);
8. "Transform Protocol" – тип протокола (доступны: esp, ah, ah-esp) используемый в политике IPsec;
9. Нажать – "OK".
Создание IPsec подключения
Перейти на вкладку – "IPsec Site Connections";
Нажать –"Create" .
Указать:
1. "Name" – имя IPsec подключения;
2. "Description" – описание (при необходимости);
3. "VPN Service" – выбрать cервис VPN, который был создан на предыдущем шаге;
4. "IKE Policy" – политика IKE, созданная на предыдущем шаге;
5. "IPsec Policy" политика IPSec, созданная на предыдущем шаге;
6. "Local Endpoint Group" – группа узлов для локальных подключений;
7. "Peer Gateway Public Address" – публичный IP-адрес удаленной стороны;
8. "Peer Endpoint Group" – выбрать созданную раннее "Endpoint Group" для локальных сетей удаленной стороны;
9. "Pre-Shared Key(PSK) String" – ключ PSK, требуемый между двумя точками VPN-соединения;
10. "Confirm Shared Key" – повторить ввод ключа из шага 9;
11. Нажать – "OK".
«Рекомендуется использовать сложный и длинный pre-shared key (PSK), не менее 50 символов.
Сгенерировать пароль можно на ресурсе: https://www.wireshark.org/tools/wpa-psk.html
