VPN

О VPN-сервисе

VPN от Airnode — это простой способ создать VPN-туннель между серверами и клиентской стороной. Преимущества сервиса:

  • Не нужно создавать сервер для настройки VPN — настраиваете все в графическом интерфейсе
  • Для доступа по VPN не обязательно присваить серверу белый IP-адрес. Можно использовать бесплатный IP маршрутизатора дата-центра.

Сервис не предназначен для доступа к заблокированным сайтам.

Настройка VPN

Для настройки VPN нужен маршрутизатор. Создать маршрутизатор вы можете с помощью инструкции.

Настройка VPN производится в панели управления, раздел Сетевые настройки, подраздел VPN-как-сервис. Здесь находятся вкладки:

  • Политики IKE
  • IPsec Policies
  • Сервисы VPN
  • Endpoint Croups
  • IPsec Site Connection

Далее расскажем о настройках в каждой вкладке

Политики IKE

Путь: Раздел Сетевые настройки, подраздел VPN-как-сервис, вкладка «Политики IKE».

Перейдите во вкладку и нажмите кнопку «Добавить политику IKE».

Если вы затрудняетесь с выбором настроек, рекомендуем указать имя, задать описание и поменять алгоритм шифрования на aes-256. После нажмите кнопку «Добавить».

IPsec Policies

Путь: Раздел Сетевые настройки, подраздел VPN-как-сервис, вкладка «IPsec Policies».

Перейдите во вкладку и нажмите кнопку «IPsec Policies».

Как и в прошлом пункте, рекомендуем указать имя, задать описание и поменять алгоритм шифрования на «aes-256». Остальные настройки вы можете не изменять. Для создания нажмите кнопку «Добавить».

Сервисы VPN

Путь: Раздел Сетевые настройки, подраздел VPN-как-сервис, вкладка «Сервисы VPN».

Перейдите во вкладку и нажмите кнопку «Добавить сервис VPN».

В открывшемся окне заполните все пункты и нажмите кнопку «Добавить»:

Имя
Имя для создаваемого VPN.
Описание
Любая дополнительная информация.
Маршрутизатор
Выберите муршрутизатор, который будет использован.
Подсеть
Подсеть, с которой нужно установить соединение. Если вы хотите использовать несколько подсетей, пропустите этот пункт.
Тип
Основной или вторичный тип записи

Статус сервисов VPN сразу после создания — «Pending Create». Это нормальное состоянии при настройке VPN. После того, как будет создано соединение во вкладке «IPsec Site connection», статус сервисов VPN изменится на «Active».

Endpoint Group

Путь: Раздел Сетевые настройки, подраздел VPN-как-сервис, вкладка «Endpoint Group».

Используйте Endpoint Group, если хотите сделать подключения с несколькими подсетями. Для этого создадим две группы: с указанием подсетей со стороны виртуального дата-центра и с клинтской строны.

Сначала создадим группу для назначения подсетей с внешней стороны:

  1. Нажмите кнопку «Add Endpoint Group».
  2. В открывшемся окне укажите имя группы.
  3. Чтобы указать сети с внешний стороны, выберите тип подключения CIDR.
  4. В форме «External Sysytem CIDRs» укажите через запятую IP внешних подсетей.
  5. Нажмите кнопку «Добавить».

Теперь создадим вторую группу для указания подсетей в виртуальном дата центре:

  1. Нажмите кнопку «Add Endpoint Group».
  2. В открывшемся окне укажите имя группы.
  3. Чтобы указать сети со стороны дата центра, выберите тип подключения Subnet.
  4. В подгрузившемся списке выберите нужные подсети
  5. Нажмите кнопку «Добавить».

IPsec Site Connection

Путь: Раздел Сетевые настройки, подраздел VPN-как-сервис, вкладка «IPsec Site Connection».

На заключительном этапе создается IPSec подключение. Перейдите во вкладку и нажмите кнопку «Add IPsec Site Connection».

В открывшемся окне заполните данные и нажмите кнопку «Добавить».

Имя
Имя подключения символами A-z, 0-9, чтобы было легко ориентироваться в списке подключений.
Описание
Любая дополнительная информация о подключении.
VPN service associated with this connection
Созданный вами раннее сервис VPN.
Endpoint Group for local subnet
Если ранее вы создавали Еdpoin Group, выберите в выпадающем списке группу подсетей со стороны виртуального дата-центра.
IKE policy associated with this connection
Созданные вами раннее политики IKE.
IPsec policy associated with this connection
Созданные вами раннее политики IPsec Policies.
Публичный IPv4/IPv6 адрес или FQDN шлюза пира
Публичный IP адрес с клиентской стороны (куда подключаемся) или FQDN шлюза пира.
Идентификатор маршрутизатора пира для аутентификации (Peer ID)
IP-адрес маршрутизатора с клиентской стороны (куда подключаемся), адрес электронной почты, ID ключа или FQDN.
Endpoint Group fore remonte peer CIDR(s)
Если ранее вы создавали Еdpoin Group, выберите в выпадающем списке группу подсетей с внешний стороны.
Подсеть(и) удаленного пира
Адреса подсетей с клиентской стороны (куда подключаемся). Если адресов несколько, используйте запятые для разделения. Пример: 20.1.0.0/24, 21.1.0.0./24
Строка заранее установленного ключа совместного использования (PSK)
Нужно задать пароль ключа PSK. Не забудьте, что такой же ключ нужно использовать на другом конце VPN-соединения.

Настройка VPN с клиентской стороны

Настройки VPN на клиентской стороне должны быть идеинтичны настройкам дата-центра: политики IKE, политики IPsec. Также должен быть корректно указан PSK-ключ.

Для подключения понадобится прописать сетевой адрес виртуального дата-центра. Посмотреть его можно в панели управления, раздел Сетевые настройки, подраздел Маршрутизаторы:

  • Кликните на имя маршрутизатора.
  • В открывшейся вкладке посмотрите IP-адрес в разделе «Внешние фиксированные IP-адресы, внешний шлюз». Если на виртуальном сервере используется публичный IP-адрес, вы также можете задать его напрямую.

Проверка соединения

Для проверки используйте команду ping {ip-адрес сервера} Где адрес — IP сервера, на который выполняется подключение.