VK Cloud logo

Организация VPN-туннеля

Далее вы научитесь организовывать взаимодействие виртуальной сети VK Cloud с внешней (клиентской) сетью через VPN-туннель. Также будут созданы несколько виртуальных машин для проверки работоспособности туннеля.

Далее будет построен VPN-туннель до другой сети платформы VK Cloud, в качестве VPN-эндпоинта будет использоваться виртуальная машина. Приведенную информацию по настройке VPN-туннеля можно адаптировать под работу с любым другим VPN-эндпоинтом, например, корпоративным межсетевым экраном или другим сетевым оборудованием.

1. Подготовительные шаги

  1. Убедитесь, что OpenStack CLI установлен и вы можете авторизоваться в нем.

  2. Создайте сети.

    Можно создать сеть с любыми параметрами на ваш выбор. Скорректируйте дальнейшие шаги в этом сценарии при необходимости.

    Эта сеть будет выступать в роли клиентской сети.

    При создании сети задайте следующие параметры:

    • Имя сети: clientNet.

    • Доступ в интернет: убедитесь, что эта опция выбрана. Она позволит назначить виртуальным машинам в этой сети публичные плавающие IP-адреса.

    • Маршрутизатор: Создать новый.

    • Список подсетей: отредактируйте единственную подсеть в списке. Задайте следующие параметры для подсети:

      • Имя: clientSubnet.
      • Адрес: 172.16.0.0/29.
      • Шлюз: 172.16.0.1.
      • Включить DHCP: убедитесь, что эта опция выбрана.
      • Пул DHCP IP-адресов: 172.16.0.2 - 172.16.0.6.
      • Приватный DNS: убедитесь, что эта опция выбрана.
  3. Определите, какие маршрутизаторы были созданы для этих сетей. Эта информация понадобится при дальнейшей настройке VPN.

    Далее предполагается, что:

    • для сети clientNet был создан маршрутизатор router_1234;
    • для сети vkcloudNet был создан маршрутизатор router_5678.
  4. Определите IP-адрес интерфейса SNAT для маршрутизатора router_5678:

    1. Откройте страницу со списком подсетей для сети vkcloudNet.
    2. Нажмите на имя подсети vkcloudSubnet.
    3. Перейдите на вкладку Порты.
    4. Найдите в списке портов порт устройства SNAT и скопируйте его IP-адрес.
  5. Создайте виртуальную машину, которая будет выступать в качестве VPN-шлюза в клиентской сети clientNet, со следующими параметрами:

    • Имя виртуальной машины: client_vpn_gw.
    • Тип виртуальной машины: Basic-1-2.
    • Количество машин в конфигурации: одна.
    • Операционная система: Ubuntu 22.04.
    • Сеть: клиентская сеть и соответствующая подсеть clientNet: clientSubnet.
    • Ключ виртуальной машины: ключ, с помощью которого будет выполняться подключение по SSH.
    • Настройки Firewall: все разрешено (all).
    • Назначить внешний IP: убедитесь, что эта опция выбрана.

    Прочие параметры виртуальной машины выберите на свое усмотрение.

  6. Соберите сведения, необходимые для дальнейшей работы. Далее предполагается, что:

    ОбъектЗначение
    Публичный IP-адрес маршрутизатора router_5678
    192.0.2.100
    IP-адрес виртуальной машины client_vpn_gw в подсети clientSubnet
    172.16.0.5
    Плавающий публичный IP-адрес виртуальной машины client_vpn_gw
    192.0.2.200
    Клиентская подсеть со стороны клиентского VPN-шлюза client_vpn_gw
    172.16.0.0/29
    Виртуальная подсеть со стороны облачного VPN-шлюза
    10.0.0.0/29
    IP-адрес порта SNAT в облачной подсети
    10.0.0.5

2. Настройте VPN-туннель на стороне облачной сети

Создайте VPN со следующими параметрами:

Выберите IKE-политикаНовая IKE-политика, и задайте:

  • Имя политики: vkcloud-client-ike.
  • Время жизни ключа: 3600 секунд.
  • Алгоритм авторизации: sha256.
  • Алгоритм шифрования: aes-256.
  • Версия IKE: v2.
  • Группа Диффи-Хеллмана: group14.

3. Настройте VPN-туннель на стороне клиентской сети

  1. Отключите IP Source Guard для порта VPN-шлюза, чтобы он мог пересылать любой трафик:

    1. Найдите порт с приватным IP-адресом 172.16.0.5 виртуальной машины client_vpn_gw. Получите идентификатор этого порта.

    2. Разрешите прохождение трафика с любых адресов через этот порт:

      openstack port set <идентификатор порта> --allowed-address ip-address=0.0.0.0/0
  2. Подключитесь к виртуальной машине client_vpn_gw по SSH. Все дальнейшие действия должны выполняться на этой виртуальной машине.

  3. Включите IP Forwarding, чтобы виртуальная машина могла маршрутизировать трафик из приватной сети в VPN-туннель:

    1echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf
    2sudo sysctl -p
  4. Установите StrongSwan — реализацию IPsec VPN для Linux:

    1sudo apt update
    2sudo apt install -y strongswan libcharon-extra-plugins libcharon-extauth-plugins libstrongswan-extra-plugins
  5. Добавьте параметры VPN-соединения со стороны клиентской сети в файл /etc/ipsec.conf. Эти параметры — зеркальное отражение настроек туннеля, сделанных на предыдущем шаге.

    1conn client-vkcloud-vpn
    2   authby=secret
    3   left=%defaultroute
    4   leftid=192.0.2.200
    5   leftsubnet=172.16.0.0/29
    6   right=192.0.2.100
    7   rightsubnet=10.0.0.0/29
    8   ike=aes256-sha2_256-modp2048!
    9   esp=aes256-sha2_256!
    10   keyingtries=0
    11   ikelifetime=3600
    12   lifetime=8h
    13   dpddelay=30
    14   dpdtimeout=120
    15   dpdaction=hold
    16   auto=start

    Для группы Диффи-Хеллмана group14 эквивалентное обозначение — modp_2048. Соответствие modp именам групп приводится в RFC 3526.

  6. Укажите в файле /etc/ipsec.secret ключ совместного использования (PSK). Ключ должен совпадать с ключом, указанным ранее:

    192.0.2.200 192.0.2.100 : PSK "<pre-shared key, заданный ранее>"
  7. Перезапустите сервис StrongSwan:

    sudo systemctl restart strongswan-starter

4. Добавьте статические маршруты

Чтобы трафик проходил через VPN-туннель, требуется добавить статические маршруты:

  1. Откройте в личном кабинете страницу со списком подсетей для сети vkcloudNet.

  2. Раскройте меню подсети vkcloudSubnet и выберите пункт Редактировать подсеть.

  3. Убедитесь, что выбрана опция Показывать поле статических маршрутов.

  4. В поле пропишите статический маршрут до клиентской сети 172.16.0.0/29. В качестве next hop требуется указать IP-адрес интерфейса SNAT маршрутизатора router_5678 в облачной подсети vkcloudSubnet.

    172.16.0.0/29 - 10.0.0.5

5. Проверьте работоспособность VPN-туннеля

  1. Посмотрите состояние VPN-туннеля со стороны платформы VK Cloud.

    Для этого откройте страницу VPN vkcloud-client-vpn в личном кабинете и перейдите на вкладку Параметры туннеля. VPN должен находиться в статусе ACTIVE.

  2. Создайте группу правил файервола icmp, разрешающую ICMP-трафик.

    В этой группе создайте входящее правило:

    • Тип: ICMP.
    • Удаленный адрес: Все IP-адреса.

    Это нужно, чтобы тестовые виртуальные машины могли пинговать друг друга.

  3. Создайте две виртуальные машины:

    • clientVM:

      • в сети clientNet, подсети clientSubnet;
      • с плавающим IP-адресом для подключения к ней по SSH;
      • с группами правил файервола default, ssh, icmp.
    • vkcloudVM:

      • в сети vkcloudNet, подсети vkcloudSubnet;
      • с плавающим IP-адресом для подключения к ней по SSH;
      • с группами правил файервола default, ssh, icmp.
  4. Определите приватные IP-адреса виртуальных машин в соответствующих подсетях. Пусть:

    • clientVM имеет IP-адрес 172.16.0.4;
    • vkcloudVM имеет IP-адрес 10.0.0.4.
  5. Подключитесь к виртуальной машине vkcloudVM по SSH.

  6. Выполните пинг виртуальной машины clientVM с виртуальной машины vkcloudVM:

    ping 172.16.0.4

    Хост clientVM должен отвечать на пинг.

Проконтролируйте использование ресурсов

Если созданные ресурсы вам больше не нужны, удалите их:

  1. Удалите виртуальные машины.
  2. Удалите VPN на платформе VK Cloud.
  3. Удалите прописанные статические маршруты.
  4. Удалите маршрутизаторы.
  5. Удалите сети и подсети.
  6. Удалите плавающие IP-адреса.