Настройка IPsec site-to-site с Cisco Router

Для использования защищённого доступа к виртуальной инфраструктуре IaaS под управлением VMware vCloud Director рекомендуем использовать туннелирование трафика с помощью алгоритмов шифрования данных. В данной статье представлена информация по настройке IPsec site-to-site VPN.

Используемая топология:

Публичный IP в офисе - 91.10.20.254
Публичный IP vShield Edge - 109.248.46.105
Адресация используемая в облачной инфраструктуре - 10.50.100.0/24
Адресация используемая в офисе - 192.168.0.0/24

1. В разделе «Administration» перейдите в ваш виртуальный дата-центр. В появившемся меню настроек перейдите во вкладку «Edge Gateways». Выберите нужный «vShield Edge». Нажмите правой кнопкой мыши и в появившемся меню выберите опцию «Edge Gateway Services».

2. Откройте вкладку VPN и нажмите на «Enable VPN». Для смены IP-адреса с которого будет устанавливаться VPN-соединение, нажмите на кнопку «Configure Public IPs». Для создание нового VPN-соединения нажмите кнопку «Add».

3. В открывшемся окне настройте следующие параметры:

  • Name – имя VPN-соединения;
  • Establish VPN to – с кем установить соединение:
    • A remote network – удалённая сеть, например ваш офис;

Для установки соединения с удалённой сетью, требуется настроить следующие параметры.

  • Local Networks – указываем сеть в облачной инфраструктуре: 10.50.100.0/24
  • Peer Networks – указываем офисную сеть: 192.168.0.0/24
  • Local Endpoint – по умолчанию OutsideZone
  • Local ID – 109.248.46.105
  • Peer ID – 91.10.20.254
  • Peer IP – 91.10.20.254
  • Encryption protocol – алгоритм шифрования, для примера выбираем AES
  • Shared key – общий секретный ключ;

Важно: по умолчанию используется в PFS и DH group 2.

Для применения настроек нажмите кнопку ОК.

Настройка VPN для Cisco:
crypto isakmp policy 10
encr aes
hash sha
authentication pre-share
group 2
set pfs group2
crypto isakmp key #key address 109.248.46.105
crypto ipsec transform-set MCLOUDS-TS esp-aes esp-sha-hmac

ip access-list extended MCLOUDS-VPN-TRAFFIC
remark traffic for tunnel
permit ip 192.168.0.0 0.0.0.255 10.50.100.0 0.0.0.255
exit

ip access-list extended MCLOUDS-VPN-NO-NAT
deny  192.168.0.0 0.0.0.255 10.50.100.0 0.0.0.255
permit ip 192.168.0.0 0.0.0.255 any
exit

ip nat inside source list MCLOUDS-VPN-NO-NAT interface #interface overload

crypto map MCLOUDS-VPN-MAP 10 ipsec-isakmp
set peer 109.248.46.105
set transform-set MCLOUDS-TS
match address MCLOUDS-VPN-TRAFFIC

interface public
crypto map MCLOUDS-VPN-MAP

 

Управление IaaS
Настройка доступа к виртуальной машине через RDP