В данной инструкции рассмотрим ситуацию создания VPN-подключения, когда со стороны локальной сети пользователя в качестве маршрутизатора будет использоваться машина с ОС Windows Server 2012 R2.
Содержание инструкции:
1. Создание VPN-подключения Site-to-Site для HNV сети в панели управления облакотеки
2. Настройка подключения со стороны локальной сети
Создание VPN-подключения Site-to-Site для HNV сети в панели управления облакотеки
После того как Вы в панели управления создали HNV-сеть, появляется возможность для этой сети создать VPN-подключение Site-to-Site. Для этого в колонке "VPN" нажмите кнопку "Редактирование"
В панели управления VPN-тоннелями нажмите кнопку "Создать VPN"
Далее необходимо задать следующие параметры:
1. Основная группа параметров:
- Имя тоннеля - название подключения;
- Локальная подсеть
- VPN Endpoint - внешний IP адрес маршрутизатора со стороны локальной сети (в нашем примере это будет адрес Server 2012 R2);
- Удаленная подсеть - локальна подсеть, которая будет доступна после настройки и подключения VPN;
- PresharedKey - общий ключ PSK, может содержать 8~32 символов ASCII (a-z, 0-9).
2. Переключатель, включает/выключает VPN со стороны HNV-сети
3. Метод аутентификации: рекомендуем использовать PSKOnly
4. Быстрый режим (Quick Mode) сопоставления безопасности
5. Основной режим (Main mode) сопоставления безопасности
6. Параметры проверки и обмена ключами безопасности (параметр обязательный, не рекомендуем использовать none)
7. VPN-протокол. Для сетей HNV работает только протокол IKEv2.
Примечание. Для нашего примера мы используем параметры по умолчанию.
После сохранения в окне управления HNV-сетью появляется информация о новом VPN-подключении. Параметры его всегда можно изменить, нажав кнопку "Редактировать"
Настройка подключения со стороны локальной сети
Настройку подключения на маршрутизаторе локальной сети будем выполнять с помощью командлет PowerShell. Перед настройкой необходимо установить роль "Удаленный доступ" с включенной функцией "Маршрутизация".
Далее последовательно выполняем следующие командлеты:
1.) Import-Module RemoteAccess
2.) Install-RemoteAccess -VpnType VpnS2S
2.) Install-RemoteAccess -VpnType VpnS2S
3.) Add-VpnS2SInterface -Protocol IKEv2 -AuthenticationMethod PSKOnly -NumberOfTries 3 -ResponderAuthenticationMethod PSKOnly -Name S2StoHNV -Destination 37.230.155.133 -IPv4Subnet @("10.10.110.0/24:10") -SharedSecret Qwerty12345!
4.) Restart-Service RemoteAccess
5.) Connect-VpnS2SInterface -Name S2StoHNV
Где,
S2StoHNV - название интерфейса VPN-подключения Site-to-Site
37.230.155.133 - адрес точки подключения для сети HNV, является постоянной для всех VPN-подключений (для каждого VPN этот IP-адрес свой)
10.10.110.0/24:10 - подсеть в формате CIDR, через двоеточие указывается метрика
В итоге в PowerShell получите примерно такую картинку:
В некоторых случаях соединение не устанавливается по причине несоответствия групповой политики. Тогда нужно задавать параметры шифрования принудительно, как показано в примере:
Add-VpnS2SInterface -Name S2StoHNV -Destination 37.230.155.133 -CustomPolicy -AuthenticationMethod PSKOnly -AuthenticationTransformConstants SHA256128 -CipherTransformConstants DES3 -DHGroup Group2 -EncryptionMethod AES256 -IntegrityCheckMethod SHA256 -IPv4Subnet @("10.10.110.0/24:10") -NumberOfTries 99 -PfsGroup PFS2048 -Protocol IKEv2 -ResponderAuthenticationMethod PSKOnly -SharedSecret Qwerty12345!