CloudLite

8 (495) 784-61-39

Array
(
    [ELEMENT_CODE] => Kak_nastroit_site-to-site_VPN_seti_ispolzuya_VyOS
)
ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ

ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ

Общие вопросы

Где размещается оборудование?

Как переехать с сайтом к нам?

Тарифицируется ли трафик?

Входит ли IP адрес в стоимость тарифа?

Какая панель управления используется в CloudLITE.ru?

Как установить Samba4 на Ubuntu Server

Samba-клиент

Как поддерживать архивные копии файлов в Samba

Файловый сервер для Windows на Ubuntu

Установка Dropbox на сервере с systemd

Как настроить site-to-site VPN сети, используя VyOS

КАК НАСТРОИТЬ SITE-TO-SITE VPN СЕТИ, ИСПОЛЬЗУЯ VYOS



Сегодня мы расскажем, как объединить частную и внешнюю сети серверов Site-to-Site VPN на базе программного маршрутизатора VyOS



Site-to-site VPN (Virtual Private Network) представляет собой вариант реализации технологии OpenVPN. VPN-соединение между сетями позволяет расположенным в различных местах офисам использовать безопасные соединения друг с другом через общую сеть интернет. Такие VPN-соединения делают сеть компании значительно шире, при этом компьютерные ресурсы одного офиса становятся доступными для сотрудников в другом.

 

Генерация ключей

Для начала сгенерируйте ключ для vpn на vyos, который отразится в директории /config/auth:

generate openvpn key <filename>

Копию сгенерированного файла следует поместить на удаленный маршрутизатор, для этого воспользуйтесь утилитой scp. Например:

generate openvpn key my-key.key

 

Настройте маршрутизаторы

Подключите сервер vyos к частной сети и откройте режим настройки vyos:

config

Внимание: в обычном режиме приглашение командной строки завершается символом $ (доллар), а в режиме настройки символом # (решетка).

 

Будут использованы такие обозначения и значения:

xxx.xxx.xxx.xxx - внешний ip-адрес сервера-маршрутизатора локальной инфраструктуры, например 185.158.152.144

yyy.yyy.yyy.yyy - внешний ip-адрес сервера-маршрутизатора удаленной инфраструктуры, например 188.227.75.105

172.16.4.1 - oppenvpn ip-адрес сервера-маршрутизатора локальной инфраструктуры, должен быть выбран из диапазона 172.16.0.0 — 172.31.255.255

172.16.4.2 - oppenvpn ip-адрес сервера-маршрутизатора удаленной инфраструктуры, должен быть выбран из диапазона 172.16.0.0 — 172.31.255.255

10001 - номер порта, произвольный

 

Активизируйте такие команды на сервере локальной инфраструктуры:

set interfaces openvpn vtun1 local-address 172.16.4.1
set interfaces openvpn vtun1 local-host xxx.xxx.xxx.xxx
set interfaces openvpn vtun1 local-port 10001
set interfaces openvpn vtun1 mode site-to-site
set interfaces openvpn vtun1 protocol udp
set interfaces openvpn vtun1 remote-address 172.16.4.2
set interfaces openvpn vtun1 remote-host yyy.yyy.yyy.yyy
set interfaces openvpn vtun1 remote-port 10001
set interfaces openvpn vtun1 shared-secret-key-file /config/auth/my-key.key

Активизируйте также следующие команды на удаленном сервере-маршрутизаторе:

set interfaces openvpn vtun1 local-address 172.16.4.2
set interfaces openvpn vtun1 local-host yyy.yyy.yyy.yyy
set interfaces openvpn vtun1 local-port 10001
set interfaces openvpn vtun1 mode site-to-site
set interfaces openvpn vtun1 protocol udp
set interfaces openvpn vtun1 remote-address 172.16.4.1
set interfaces openvpn vtun1 remote-host xxx.xxx.xxx.xxx
set interfaces openvpn vtun1 remote-port 10001
set interfaces openvpn vtun1 shared-secret-key-file /config/auth/my-key.key

Внимание: при необходимости поменяйте путь до файла с ключом, маску подсети, порты и ip-адреса для vpn.

Для контроля vpn сети передайте пакеты с удаленного сервера на локальный:

ping 172.16.4.1

При правильной настройке появятся ICMP-ответы.

 

Как настроить FireWall

Когда частные сети «увидели» друг друга, следует настроить OSPF для распространения маршрутов с одного маршрутизатора vyos на другой. Для начала настройте определенные политики для доступа только нужных диапазов ip. Введите правила на обоих маршрутизаторах:

 

set policy prefix-list RFC1918PREFIXES rule 1 action permit
set policy prefix-list RFC1918PREFIXES rule 1 le 32
set policy prefix-list RFC1918PREFIXES rule 1 prefix 10.0.0.0/8
set policy prefix-list RFC1918PREFIXES rule 2 action permit
set policy prefix-list RFC1918PREFIXES rule 2 le 32
set policy prefix-list RFC1918PREFIXES rule 2 prefix 172.16.0.0/12
set policy prefix-list RFC1918PREFIXES rule 3 action permit
set policy prefix-list RFC1918PREFIXES rule 3 le 32
set policy prefix-list RFC1918PREFIXES rule 3 prefix 192.168.0.0/16

Внимание: OSPF (Open Shortest Path First) - это протокол динамической маршрутизации, базирующийся на технологии отслеживания состояния канала и использующий для нахождения кратчайшего пути алгоритм Дейкстры.

Включите карту маршрутов для сгенерированных правил и удалите остальные:

set policy route-map ONLYRFC1918PREFIXES rule 10 action permit
set policy route-map ONLYRFC1918PREFIXES rule 10 match ip address prefix-list RFC1918PREFIXES
set policy route-map ONLYRFC1918PREFIXES rule 90 action deny

Настройте OSPF:

set firewall all-ping '1enable'
set protocols ospf area 172.16.0.0 authentication md5
set protocols ospf area 172.16.0.0 network 172.16.4.0/30
set protocols ospf redistribute connected metric-type 2
set protocols ospf redistribute connected route-map ONLYRFC1918PREFIXES

 

Проверка Site-to-site vpn

Выполните передачу пакетов с удаленного сервера одной сети на локальный сервер другой сети для контроля.




Что еще может OpenVPN для безопасности Вашей виртуальной сети?

Как подключиться и настроить IPv6 к серверам

Как настроить IPv6 на Ubuntu/Debian

Разбираемся в законе о персональных данных

Как установить и защитить Redis на Ubuntu 18.04

Как установить R на Ubuntu 18.04

Как установить и настроить OrientDB на Ubuntu 16.04

Устаналиваем язык Go на Ubuntu 18.04

Как установить PostgreSQL на Ubuntu 18.04

Как установить и использовать панель BrainyCP

Как сгенерировать CSR-запрос в IIS 8

Как генерировать CSR-запроси на Linux/MacOS

Как использовать демон Auditd для настройки и проверки системы Linux

Как создать шифрованный LUKS раздел на Linux

Google Authenticator: установка и использование

Применение VeraCrypt для шифрования ОС Windows

Как установить и настроить tripwire для контроля целостности файлов

Утилита Autrace для аудита процессов Linux

Как использовать улититу UFW на Linux

Как установить Java для Windows

Как настроить и установить SMTP сервер на Windows

Настраиваем FTP-сервер в Windows Server 2012

Как установить язык R на Windows Server

Как установить язык Go на Windows Server

Как установить и использовать системы контроля версий Git в Windows

Как создать контроллер домена Active Directory Domain Services

Как настроить таймауты RDP-сессий на сервере Windows

Находим и редактируем файл Hosts

Как работать со службой DNS?

Есть ли бесплатный тестовый период?

Не нашли ответа на Ваш вопрос? Напишите нам!

techsupport@cloudlite.ru - служба техподдержки

sales@cloudlite.ru - вопросы по услугам, оплате, документам и партнерству

partner@cloudlite.ru - партнерская программа