Создание соединения

Linx Cloud предоставляет Site-to-Site IPsec VPN как сервис, позволяющий связать удаленную сеть клиента и приватную сеть проекта.

Сервис работает для сетей, подключенных к маршрутизатору Linx Cloud, основан на программном обеспечении strongSwan.

Информация

Получить лог сервиса со стороны Linx Cloud возможно с помощью обращения в техническую поддержку.

Для создания соединения в личном кабинете Linx Cloud требуется перейти на страницу «VPN» сервиса «Виртуальные Сети» и выбрать «Добавить» в верхнем меню. Откроется мастер создания нового VPN:

На первом шаге потребуется настроить параметры IKE соединения. Со стороны сервиса поддерживается только main режим установления соединения.

Второй шаг требует настройки времени жизни ключа, выбор группы Диффи-Хеллмана и алгоритма шифрования.

На третьем шаге нужно выбрать существующий маршрутизатор, указать параметры локальной endpoint группы со стороны проекта Linx Cloud и удаленной — со стороны сети клиента:

На четвертом шаге настраивается имя туннеля, адрес удаленного маршрутизатора — маршрутизируемый адрес оборудования клиента и PSK ключ:

Разрешенные символы PSK:

Заглавные и строчные буквы латинского алфавита, цифры, символы !»#$%&()*+,-.:;<=>?@[]^_`{}~

Ключ должен содержать хотя бы одну букву или цифру, помимо специальных символов.

После нажатия «Создать VPN-туннель» начнется процесс создания туннеля.

Для корректной работы соединения помимо настройки оборудования удаленной стороны необходимо настроить маршруты для сети клиента и проектной сети Linx Cloud: трафик в сеть клиента от виртуальных машин должен идти через порт c IP-адресом, соответствующим порту маршрутизатора «SNAT».

Найти порт и его IP-адрес возможно в разделе Сети → <название приватной сети> → Выбрать требуемую подсеть → Порты (Устройство имеет обозначение «SNAT»).

После получения адреса SNAT порта следует указать маршрут в свойствах сети:В разделе «Сети» следует выбрать сеть, перейти в настройки требуемой подсети. В окне конфигурирования подсети выбрать элемент «Показать поле статических маршрутов» и ввести маршрут до удаленной сети в формате <адрес сети> — <адрес SNAT порта>:

После сохранения параметров следует обновить аренду DHCP на виртуальных машинах указанной подсети.

Как правило, при использовании Terraform возникает необходимость прокладывания VPN между Terraform и другими сетями на сервисе Linx Cloud, которые используют протокол IPSec.

Используя Terraform, необходимо создать VPN-шлюз и клиентский шлюз с параметрами удаленной сети в той мере, в какой это возможно.

Затем создать VPN-соединение и соответствующий маршрут.

Код создания VPN в Terraform выглядит следующим образом:

Создаем IKE политику:

Создаем IPSEC политику:

Добавляем роутер который будет использоваться как шлюз для доступа во внутреннею сеть проекта:

Добавляем local endpoint группу:

Добавляем remote endpoint группу:

Создаем соединение: