Создание VPN соединения для сетей Elastic Cloud #765

Создание ВМ описано здесь.

 

Для обеспечения сетевой связанности виртуальных машин в облачной сети Elastic Cloud и сетевых устройств в другом расположении (сеть в офисе, другое облако и т.п.) можно воспользоваться сервисом VPN соединения. 
Сервис позволяет создать Site-to-Site VPN туннель в соответствии со стеком протоколов IPsec

Для создания нового VPN соединения 
необходимо
1. создать или выбрать виртуальную сеть (раздел Elastic Cloud Hyper-V →  Виртуальные сети), 
к которой будет подключено VPN соединение.
2. Нажать на кнопку "VPN" в столбце "Сервисы" 

Важно: на данный момент услуга доступна для сетей созданных в регионах Казахстан, Узбекистан, Эстония. Для использования сервиса VPN в регионе Москва рекомендуем использовать виртуальные сети на платформе KVM.

3. Откроется интерфейс раздела Elastic Cloud Hyper-V -> VPN Соединения для настройки VPN выбранной в пункте 1 виртуальной сети.
    В интерфейсе есть параметр IP адрес VPN шлюза - он пригодится для настройки VPN-соединения на стороне клиента.
 
4. В интерфейсе раздела Elastic Cloud Hyper-V -> VPN Соединения нажмите кнопку "Добавить".

5. Выберите параметры: 

  • доступные параметры шифрования IPsec, 
  • адрес VPN шлюза на вашей стороне, 
  • ключ шифрования 
  • добавьте адрес(а) сетей на вашей стороне, в которые будет доставляться трафик из облачной сети.

6. Настройте VPN-соединение на стороне клиента. 
     IP адрес VPN шлюза можно посмотреть в разделе Elastic Cloud Hyper-V -> VPN Соединения (см. картинку п.3) 

     Ключ и параметры шифрования должны совпадать на обеих сторонах VPN соединения.
     При настройке VPN соединения на стороне клиента для заголовков параметр tcp mss важно выставить =1350.
     Детальнее см. пункт 8. 

7. При успешной настройке VPN шлюза на обоих сторонах соединения 
      в разделе Elastic Cloud Hyper-V -> VPN Соединения  VPN-соединение будет иметь статус Connected

 

8. На стороне клиента на этапе установления tcp сессии важно для заголовков настроить параметр tcp mss = 1350.

     Примеры настройки: 
Для juniper
   }
   flow {
       tcp-mss {
           ipsec-vpn {
               mss 1350;
           }
       }
   }


Для Vyos
policy {
   route ADJUST-MSS-IPSEC {
       rule 100 {
           destination {
               group {
                   network-group INFRA-NETS
               }
           }
           protocol tcp
           set {
               tcp-mss 1350
           }
           tcp {
               flags SYN
           }
       }
   }
}

Для Pfsense
Параметр называется MSS Clamping