VK Cloud logo
Обновлена19 марта 2024 г. в 14:14

Управление VPN-туннелями

Сервис VPN доступен в Neutron и Sprut SDN. Управление VPN-туннелями в Sprut SDN доступно только через интерфейс личного кабинета.

Вы можете управлять VPN-туннелями: просматривать, добавлять в проект и удалять их из проекта, а также редактировать и перезапускать туннели.

Просмотр списка VPN-туннелей и информации о них

  1. Перейдите в личный кабинет VK Cloud.

  2. Выберите проект.

  3. Перейдите в раздел Виртуальные сетиVPN.

    Будет отображен список VPN-туннелей.

  4. Нажмите на имя VPN-туннеля.

    Откроется страница с подробной информацией о нем. Переходите между вкладками страницы для просмотра информации о параметрах IKE и IPsec, endpoint-групп и туннеля. На этой странице можно также редактировать параметры VPN-туннеля.

Добавление VPN-туннеля

  1. Перейдите в личный кабинет VK Cloud.

  2. Выберите проект.

  3. Перейдите в раздел Виртуальные сетиVPN.

  4. Нажмите кнопку Добавить VPN или Добавить. Откроется мастер создания нового VPN-туннеля.

  5. Выберите SDN, в которой будет создан VPN:

  6. Настройте IKE:

    1. IKE-политика — выберите IKE-политику из выпадающего списка. Если нужной политики нет, создайте новую:

      1. Выберите из выпадающего списка пункт Новая IKE-политика.

      2. Задайте настройки политики:

        • Имя политики.
        • Время жизни ключа (в секундах).
        • Алгоритм авторизации — рекомендуется выбрать sha256.
        • Алгоритм шифрования — рекомендуется выбрать aes256.
        • Версия IKE — рекомендуется выбрать версию v2.
        • Группа Диффи-Хеллмана — рекомендуется выбрать группу group14.
    2. Нажмите кнопку Следующий шаг.

  7. Настройте IPsec:

    1. IPsec-политика — выберите IPsec-политику из выпадающего списка. Если нужной политики нет, создайте новую:

      1. Выберите из выпадающего списка пункт Новая IPsec-политика.

      2. Задайте настройки политики:

        • Имя политики.
        • Время жизни ключа (в секундах).
        • Алгоритм авторизации — рекомендуется выбрать sha256.
        • Алгоритм шифрования — рекомендуется выбрать aes256.
        • Группа Диффи-Хеллмана — рекомендуется выбрать группу group14.
    2. Нажмите кнопку Следующий шаг.

  8. Настройте endpoint-группы:

    1. Маршрутизатор — выберите маршрутизатор, подсети которого должны быть доступны через VPN-туннель. Доступные опции зависят от выбранной SDN, и среди них только те маршрутизаторы, которые подключены к внешней сети и имеют назначенный внешний IP-адрес.
    1. Local Endpoint — выберите локальную endpoint-группу из выпадающего списка. Если нужной группы нет, создайте новую:

      1. Выберите из выпадающего списка пункт Новая endpoint-группа.

      2. Задайте настройки группы:

        • Имя — имя локальной endpoint-группы.
        • Подсети — выберите одну или несколько подсетей, подключенных к выбранному ранее маршрутизатору. Эти подсети будут доступны через VPN-туннель.
    2. Remote Endpoint — выберите удаленную (remote) endpoint-группу из выпадающего списка. Если нужной группы нет, создайте новую:

      1. Выберите из выпадающего списка пункт Новая endpoint-группа.

      2. Задайте настройки группы:

        • Имя группы.

        • Адрес подсети — адрес удаленной (remote) подсети, которая будет доступна через VPN-туннель.

          При необходимости добавить еще несколько подсетей, нажмите на ссылку Добавить подсеть.

    3. Нажмите кнопку Следующий шаг.

  9. Настройте VPN-туннель:

    1. Укажите базовые настройки:

      • Имя туннеля.

      • Публичный IPv4 адрес пира (Peer IP).

      • Ключ совместного использования (PSK).

        При необходимости сгенерируйте ключ, нажав соответствующую кнопку.

    2. (Опционально) укажите расширенные настройки:

      • Идентификатор маршрутизатора пира для аутентификации (Peer ID) — по умолчанию совпадает с адресом пира.

      • (Только для VPN в SDN Sprut) Селектор потоков траффика:

        • Объединить — не расщеплять трафик-селекторы, то есть оборачивать все адресные префиксы в один туннель передачи данных;
        • Разделить — расщеплять трафик-селекторы, то есть для каждой пары адресных префиксов создавать отдельный туннель передачи данных.
      • Состояние инициатора — поведение при установке IPsec-соединения:

        • bi-directional (по умолчанию) — со стороны платформы VK Cloud будут производиться попытки установления соединения с удаленным пиром (remote peer).
        • response-only — платформа ожидает, что VPN-соединение будет инициировано удаленным пиром, и не пытается установить его самостоятельно.
      • Настройки обнаружения недоступности удаленного пира (Dead Peer Detection, DPD):

        • При обнаружении недоступности пира — определяет поведение платформы VK Cloud, если удаленный пир недоступен:

          • hold (по умолчанию) — при обнаружении недоступности IPsec-соединение разрывается. Соединение может быть переустановлено только удаленным пиром.
          • clear — при обнаружении недоступности IPsec-соединение разрывается. Соединение не будет переустановлено, даже если удаленный пир будет пытаться это сделать.
          • restart — при обнаружении недоступности IPsec-соединение разрывается. Платформа VK Cloud будет пытаться переустановить соединение с удаленным пиром.
        • Интервал обнаружения недоступности пира — с каким интервалом (в секундах) отправлять проверочные DPD-сообщения.

        • Время для обнаружения недоступности пира — если по истечении этого таймаута (в секундах) не было получено ни одного проверочного DPD-сообщения от удаленного пира, то он признается недоступным (dead).

          По умолчанию значение этого параметра в четыре раза больше, чем Интервал обнаружения недоступности пира.

  10. Нажмите кнопку Создать VPN-туннель.

Редактирование VPN-туннеля

  1. Перейдите в личный кабинет VK Cloud.

  2. Выберите проект.

  3. Перейдите в раздел Виртуальные сетиVPN.

  4. Раскройте меню нужного VPN-туннеля и выберите пункт Редактировать VPN.

  5. При необходимости отредактируйте локальную или удаленную endpoint-группу:

    1. Local Endpoint — выберите локальную endpoint-группу из выпадающего списка. Если нужной группы нет, создайте новую:

      1. Выберите из выпадающего списка пункт Новая endpoint-группа.

      2. Задайте настройки группы:

        • Имя — имя локальной endpoint-группы.
        • Подсети — выберите одну или несколько подсетей, подключенных к выбранному ранее маршрутизатору. Эти подсети будут доступны через VPN-туннель.
    2. Remote Endpoint — выберите удаленную (remote) endpoint-группу из выпадающего списка. Если нужной группы нет, создайте новую:

      1. Выберите из выпадающего списка пункт Новая endpoint-группа.

      2. Задайте настройки группы:

        • Имя группы.

        • Адрес подсети — адрес удаленной (remote) подсети, которая будет доступна через VPN-туннель.

          При необходимости добавить еще несколько подсетей, нажмите на ссылку Добавить подсеть.

  6. Нажмите кнопку Следующий шаг.

  7. Отредактируйте настройки VPN-туннеля:

    1. Базовые настройки:

      • Имя туннеля.

      • Публичный IPv4 адрес пира (Peer IP).

      • Ключ совместного использования (PSK).

        При необходимости сгенерируйте ключ, нажав соответствующую кнопку.

    2. (Опционально) расширенные настройки:

      • Идентификатор маршрутизатора пира для аутентификации (Peer ID) — по умолчанию совпадает с адресом пира.

      • (Только для VPN в SDN Sprut) Селектор потоков траффика:

        • Объединить — не расщеплять трафик-селекторы, то есть оборачивать все адресные префиксы в один туннель передачи данных;
        • Разделить — расщеплять трафик-селекторы, то есть для каждой пары адресных префиксов создавать отдельный туннель передачи данных.
      • Состояние инициатора — поведение при установке IPsec-соединения:

        • bi-directional (по умолчанию) — со стороны платформы VK Cloud будут производиться попытки установления соединения с удаленным пиром (remote peer).
        • response-only — платформа ожидает, что VPN-соединение будет инициировано удаленным пиром, и не пытается установить его самостоятельно.
      • Настройки обнаружения недоступности удаленного пира (Dead Peer Detection, DPD):

        • При обнаружении недоступности пира — определяет поведение платформы VK Cloud, если удаленный пир недоступен:

          • hold (по умолчанию) — при обнаружении недоступности IPsec-соединение разрывается. Соединение может быть переустановлено только удаленным пиром.
          • clear — при обнаружении недоступности IPsec-соединение разрывается. Соединение не будет переустановлено, даже если удаленный пир будет пытаться это сделать.
          • restart — при обнаружении недоступности IPsec-соединение разрывается. Платформа VK Cloud будет пытаться переустановить соединение с удаленным пиром.
        • Интервал обнаружения недоступности пира — с каким интервалом (в секундах) отправлять проверочные DPD-сообщения.

        • Время для обнаружения недоступности пира — если по истечении этого таймаута (в секундах) не было получено ни одного проверочного DPD-сообщения от удаленного пира, то он признается недоступным (dead).

          По умолчанию значение этого параметра в четыре раза больше, чем Интервал обнаружения недоступности пира.

  8. Нажмите кнопку Сохранить.

Перезапуск VPN-туннеля

  1. Перейдите в личный кабинет VK Cloud.
  2. Выберите проект.
  3. Перейдите в раздел Виртуальные сетиVPN.
  4. Раскройте меню нужного VPN-туннеля и выберите пункт Перезапустить VPN.
  5. Прочитайте предупреждение.
  6. Нажмите кнопку Перезагрузить.

Удаление VPN-туннеля

  1. Перейдите в личный кабинет VK Cloud.

  2. Выберите проект.

  3. Перейдите в раздел Виртуальные сетиVPN.

  4. Раскройте меню нужного VPN-туннеля и выберите пункт Удалить VPN.

  5. Ознакомьтесь со списком удаляемых объектов.

    При удалении VPN-туннеля также будут удалены объекты, связанные с ним (если они не используются другими VPN-туннелями):

    • VPN-сервис, обслуживающий туннель;
    • IKE-политика и IPsec-политика;
    • локальная и удаленная endpoint-группы.
  6. Нажмите кнопку Подтвердить.