Связаться с намиПодключиться

ViPNet Coordinator VA в Yandex Cloud

Статья создана
Обновлена 22 октября 2024 г.

Вы можете установить ViPNet Coordinator VA в облаке и использовать его как VPN-шлюз для Site-to-site VPN между ресурсами облака и ресурсами удаленной площадки (on-premises).

ViPNet Coordinator VA устанавливается на ВМ с четырьмя сетевыми интерфейсами. Один интерфейс получает публичный IP-адрес, на нем работает туннель до шлюза на удаленной площадке. Остальным интерфейсам можно выдать внутренние адреса и подключить к разным подсетям одной зоны доступности.

При работе в облаке у ViPNet Coordinator VA недоступны следующие функции:

  • Экспорт и импорт ключей и настроек в формате vbe.
  • Кластер горячего резервирования.
  • Агрегирование интерфейсов.
  • DHCP-сервер.
  • VLAN.
  • L2OverIP.
  • Экспорт системного журнала и журнала регистрации IP-пакетов на USB-носитель или по протоколу TFTP.
  • Добавление резервного набора персональных ключей.
  • Локальное обновление ПО.
  • Импорт сертификата с помощью USB-носителя.
  • Аутентификация с помощью устройства.

Чтобы развернуть ViPNet Coordinator VA в Yandex Cloud:

  1. Ознакомьтесь с описанием решения.
  2. Подготовьте облако к работе.
  3. Подготовьте окружение.
  4. Создайте образы дисков ViPNet Coordinator VA.
  5. Создайте ВМ с ViPNet Coordinator VA в облаке.
  6. Настройте ViPNet Coordinator VA.

Если созданные ресурсы вам больше не нужны, удалите их.

Описание решения

VPN-туннель работает между двумя решениями ViPNet: Coordinator VA — на стороне облачной инфраструктуры, и Coordinator HW — на стороне площадки on-premises.

Конфигурация облака:

  • ViPNet Coordinator VA:

    Интерфейс Внутренний адрес Публичный адрес Подсеть Примечание
    eth0 10.1.0.8 Автоматически public-subnet Публичный адрес транслируется во внутренний по One-to-One NAT
    eth1 10.1.1.8 Без адреса segment1-subnet -
    eth2 10.1.2.8 Без адреса segment2-subnet -
    eth3 10.1.3.8 Без адреса segment3-subnet -

  • Весь трафик до ресурсов удаленной площадки идет на внутренние интерфейсы ViPNet Coordinator VA по статическим маршрутам:

    Подсеть Префикс назначения Next hop
    segment1-subnet 192.168.200.0/24 10.1.1.8
    segment2-subnet 192.168.200.0/24 10.1.2.8
    segment3-subnet 192.168.200.0/24 10.1.3.8

На стороне удаленной площадки:

  • ViPNet Coordinator HW:

    Интерфейс Адрес Подсеть
    eth0 Публичный адрес -
    eth1 192.168.200.5 192.168.200.0/24

  • Трафик до ресурсов облака идет на внутренний интерфейс ViPNet Coordinator HW по статическому маршруту:

    Подсеть Префикс назначения Next hop
    192.168.200.0/24 10.1.1.0/24, 10.1.2.0/24, 10.1.3.0/24 192.168.200.5

Перед началом работы

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

Чтобы создать ВМ с несколькими сетевыми интерфейсами, запросите в технической поддержке включение флага MULTI_INTERFACE_INSTANCES_ALPHA на облако.

В стоимость инфраструктуры входит:

Подготовьте окружение

Установите ПО на локальной машине

Создайте облачную сеть

Если у вас еще нет облачной сети, создайте ее в каталоге для ViPNet Coordinator VA, например, в каталоге vipnet-folder:

  1. В консоли управления перейдите в каталог vipnet-folder.
  2. В списке сервисов выберите Virtual Private Cloud.
  3. Нажмите Создать сеть.
  4. Задайте имя сети, например, vipnet-network.
  5. Отключите опцию Создать подсети.
  6. Нажмите Создать сеть.

Чтобы создать облачную сеть выполните команду:

yc vpc network create --name vipnet-network --folder-id <идентификатор_каталога_vipnet-folder>

Где:

  • name — имя облачной сети.
  • folder-id — идентификатор каталога, в котором будет создана сеть.

Создайте подсети

Создайте подсеть public-subnet для внешнего интерфейса ViPNet Coordinator VA:

  1. В консоли управления перейдите в каталог vipnet-folder.
  2. В списке сервисов выберите Virtual Private Cloud.
  3. Выберите облачную сеть vipnet-network.
  4. Нажмите Добавить подсеть.
  5. Укажите имя подсети, например, public-subnet.
  6. Выберите зону доступности, например, ru-central1-a.
  7. Введите CIDR подсети, например, 10.1.0.0/24.
  8. Нажмите Создать подсеть.

Аналогично создайте подсети для vipnet-network или другой сети:

  • segment1-subnet, CIDR – 10.1.1.0/24;
  • segment2-subnet, CIDR – 10.1.2.0/24;
  • segment3-subnet, CIDR – 10.1.3.0/24.

Примечание

Все подсети должны находиться в одной зоне доступности.

  1. Создайте подсеть public-subnet:

    yc vpc subnet create \
--name public-subnet \
--folder-id <идентификатор_каталога_vipnet-folder> \
--network-name vipnet-network \
--zone <зона_доступности> \
--range 10.1.0.0/24

    Где:

    • name — имя подсети.
    • folder-id — идентификатор каталога, в котором размещена облачная сеть.
    • network-name — имя облачной сети.
    • zoneзона доступности, например, ru-central1-a.
    • range — CIDR подсети.

  2. Аналогично создайте подсети для облачных ресурсов:

    • segment1-subnet, CIDR – 10.1.1.0/24;
    • segment2-subnet, CIDR – 10.1.2.0/24;
    • segment3-subnet, CIDR – 10.1.3.0/24.

Примечание

Все подсети должны находится в одной зоне доступности.

Создайте таблицы маршрутизации

Создайте таблицы маршрутизации segment1-rt, segment2-rt, segment3-rt:

  1. В консоли управления перейдите в каталог vipnet-folder.
  2. В списке сервисов выберите Virtual Private Cloud.
  3. Выберите облачную сеть vipnet-network.
  4. На панели слева выберите Таблицы маршрутизации.
  5. Нажмите Создать.
  6. Укажите Имяsegment1-rt.
  7. Нажмите Добавить маршрут и укажите:
    • Префикс назначения192.168.200.0/24;
    • Next hopIP-адрес;
    • IP-адрес10.1.1.8.
  8. Нажмите Добавить.
  9. Нажмите Создать таблицу маршрутизации.

Аналогично создайте таблицы segment2-rt, segment3-rt, указав IP-адреса 10.1.2.8 и 10.1.3.8, соответственно.

Привяжите таблицы маршрутизации к подсетям:

  1. В консоли управления перейдите в каталог vipnet-folder.
  2. В списке сервисов выберите Virtual Private Cloud.
  3. Выберите облачную сеть vipnet-network.
  4. На панели слева выберите Таблицы маршрутизации.
  5. Выберите подсеть segment1-subnet и нажмите Привязать таблицу маршрутизации.
  6. Выберите таблицу segment1-rt.
  7. Нажмите кнопку Привязать.

Аналогично привяжите таблицы segment2-rt и segment3-rt к подсетям segment2-subnet и segment3-subnet, соответственно.

Создайте образы дисков для ВМ с ViPNet Coordinator VA

Создайте ВМ с ViPNet Coordinator VA на локальной машине

ВМ создается из подготовленного для Compute Cloud образа диска. Требования к образу:

  • Ключи установлены в системе.
  • Тип аутентификации ключей — по паролю.
  • Формат образа — qcow2.

Загрузите образ ViPNet Coordinator VA

  1. Запросите образ ViPNet Coordinator VA на сайте ИнфоТеКС:

    1. В блоке Материалы для загрузки на вкладке ПО выберите демоверсию ViPNet Coordinator VA (для развертывания в среде VMWare ESX, Oracle VM).
    2. На открывшейся странице укажите ваши данные.
    3. Подтвердите согласие с политикой обработки персональных данных и нажмите ОТПРАВИТЬ ЗАЯВКУ.

  2. Дождитесь письма со ссылкой на загрузку ViPNet Coordinator VA, информацией о размере файла и контрольной сумме по алгоритму MD5. Ссылка будет действительна в течение 5 дней с момента заполнения формы на сайте.

  3. Загрузите архив с ViPNet Coordinator VA и проверьте его целостность:

    1. Создайте каталог vipnet и загрузите в него архив:

      mkdir vipnet
cd vipnet
curl --remote-name <ссылка_на_загрузку_ViPNet_Coordinator_VA>

    2. Узнайте имя архива:

      ls -la

      Результат:

      -rw-r--r--   1 user  457853789 Aug 21 12:28 va_vipnet_base_x86_64_4.5.1-5668.ova.zip

    3. Узнайте контрольную сумму архива по алгоритму MD5:

      md5 <имя_архива>

      Результат:

      MD5 (va_vipnet_base_x86_64_4.5.1-5668.ova.zip) = 42c0f1401aa77fc5366e7eff8cc8ed4a

      Сравните контрольную сумму с той, что была указана в письме. Если значения не совпадают, повторите загрузку.

    4. Распакуйте архив:

      unzip <имя_файла>

      Результат:

      Archive:  va_vipnet_base_x86_64_4.5.1-5668.ova.zip
  inflating: va_vipnet_base_x86_64_4.5.1-5668.ova

    1. Создайте каталог vipnet и загрузите в него архив:

      mkdir vipnet
cd vipnet
curl.exe --remote-name <ссылка_на_загрузку_ViPNet_Coordinator_VA>

    2. Узнайте имя архива:

      Get-ChildItem

      Результат:

      Mode            LastWriteTime       Length    Name
----            -------------       ------    ----
------    8/24/2022   2:07 PM    457853789    va_vipnet_base_x86_64_4.5.1-5668.ova.zip

    3. Узнайте контрольную сумму архива по алгоритму MD5:

      Get-FileHash <имя_архива> -Algorithm MD5

      Результат:

      Algorithm    Hash                                Path
---------    ----                                ----
MD5          42C0F1401AA77FC5366E7EFF8CC8ED4A    C:\Users\User1\vipnet\va_vipnet_base_x86_64_4.5.1-5668.ova.zip

      Сравните контрольную сумму с той, что была указана в письме. Если значения не совпадают, повторите загрузку.

    4. Распакуйте архив:

      Expand-Archive <имя_архива>

Подготовьте USB-диск с ключами

В руководстве используются демоверсии ключей.

  1. Подключите USB-диск к компьютеру и отформатируйте его средствами операционной системы. Файловая система USB-диска — FAT32.

  2. Загрузите на USB-диск файл с ключами:

    curl --remote-name https://files.infotecs.ru/_dl/sess/vipnet_demokeys/vipnet_demokeys.zip
unzip vipnet_demokeys.zip
cp Coordinator\ 4\ MOBILE/Coordinator\ 4\ MOBILE/abn_0004.dst <путь_к_корневой_директории_USB-диска>

  3. Проверьте, что ключи записались на USB-диск:

    ls <путь_к_корневой_директории_USB-диска>

    Результат:

    abn_0004.dst

  4. Средствами операционной системы отключите USB-диск от компьютера, но не извлекайте его из USB-порта.

  1. Подключите USB-диск к компьютеру и отформатируйте его средствами операционной системы. Файловая система USB-диска — FAT32.

  2. Загрузите на USB-диск файл с ключами:

    curl.exe --remote-name https://files.infotecs.ru/_dl/sess/vipnet_demokeys/vipnet_demokeys.zip
Expand-Archive vipnet_demokeys.zip
Copy-Item -Path "<путь_к_директории_vipnet>\vipnet_demokeys\Coordinator 4 MOBILE\Coordinator 4 MOBILE\abn_0004.dst" -Destination <путь_к_корневой_директории_USB-диска>

  3. Проверьте, что ключи записались на USB-диск:

    Get-ChildItem <путь_к_корневой_директории_USB-диска>

    Результат:

    Mode            LastWriteTime    Length Name
----            -------------    ------ ----
-a----    1/26/2022   5:38 PM     27456 abn_0004.dst

  4. Средствами операционной системы отключите USB-диск от компьютера, но не извлекайте его из USB-порта.

Создайте ВМ с ViPNet Coordinator VA в VirtualBox

  1. С помощью Oracle VM VirtualBox откройте файл с образом ViPNet Coordinator VA в формате ova.
  2. В открывшемся окне нажмите Import и дождитесь завершения импорта настроек.
  3. Выберите ВМ с именем vm и нажмите Start.

Настройте ViPNet Coordinator VA на локальной машине

  1. В окне выбора способа загрузки ВМ выберите VA.
  2. Дождитесь появления приглашения va login: в консоли ВМ.
  3. Подключите USB-диск с ключами к ВМ: слева сверху откройте меню DevicesUSB и выберите USB-диск с ключами.
  4. В поле va login введите user.
  5. В поле Password введите user.
  6. На запрос Please select setup wizard operating mode введите 2 (full screen interface).
  7. Примите лицензионное соглашение — выберите Yes и нажмите Next.
  8. Выберите континент Europe, страну Russia, временную зону MSK+00 и нажмите Yes.
  9. При необходимости установите текущие дату и время.
  10. Выберите usb в качестве источника для загрузки информации о ключах. После чтения USB-диска будет показана информация о найденных файлах с ключевой информацией. Нажмите Next.
  11. Введите пароль 11111111 и нажмите Next. Данные из файла будут загружены в ВМ.
  12. Настройте сетевые интерфейсы eth0 и eth1:
    • Activate interface on boot.
    • Get IP-address automatically on boot (via DHCP).
  13. Настройте сетевые интерфейсы eth2 и eth3: Don't activate interface on boot.
  14. Настройте следующие параметры:
    • В поле Enable/Disable NTP server mode выберите Disable starting the DNS server on boot.
    • В поле Enter hostname укажите yc-vipnet-1.
    • На вопрос Do you want to specify custom virtual IP address range? выберите ответ Leave the default setting.
    • На вопрос Do you want to probe VPN-connection with some host in order to verify the configuration you've just made? выберите ответ No.
    • На вопрос Do you want to start VPN services before leaving the installation wizard? выберите ответ No.
  15. Нажмите FINISH и дождитесь перезагрузки ВМ.
  16. Отключите USB-диск: слева сверху откройте меню DevicesUSB и выберите USB-диск с ключами.
  17. Выключите ВМ: слева сверху откройте меню MachineACPI Shutdown.
  18. Дождитесь появления логотипа VirtualBox в окне консоли ВМ и закройте окно. Подтвердите выключение ВМ — нажмите Power off.

Конвертируйте образы дисков в qcow2

  1. Перейдите в директорию, где хранятся файлы ВМ и узнайте имена файлов в формате vdi:

    cd <путь_к_директории_VirtualBox_VMs>/vm
ls -ogh *.vdi

    Результат:

    -rw-------  1    272M Aug 21 15:22 va_vipnet_base_x86_64-disk1.vdi
-rw-------  1    311M Aug 21 15:22 va_vipnet_base_x86_64-disk2.vdi

  2. Преобразуйте диски в формат qcow2 с помощью утилиты qemu-img:

    qemu-img convert -f vdi -O qcow2 <имя_файла_VDI_с_диском_1> va_vipnet_base_x86_64-disk1.qcow2
qemu-img convert -f vdi -O qcow2 <имя_файла_VDI_с_диском_2> va_vipnet_base_x86_64-disk2.qcow2

  3. Проверьте, что диски сохранились в формате qcow2:

    ls -ogh *.qcow2

    Результат:

    -rw-r--r--  1    236M Aug 21 15:32 va_vipnet_base_x86_64-disk1.qcow2
-rw-r--r--  1    246M Aug 21 15:32 va_vipnet_base_x86_64-disk2.qcow2

  1. Перейдите в директорию, где хранятся файлы ВМ и узнайте имена файлов в формате vdi:

    cd <путь_к_директории_VirtualBox_VMs>/vm
Get-ChildItem *.vdi

    Результат:

    Mode            LastWriteTime       Length Name
----            -------------       ------ ----
------    8/24/2022  10:42 PM    324009984 va_vipnet_base_x86_64-disk2.vdi
------    8/24/2022  10:42 PM    286261248 va_vipnet_base_x86_64-disk1.vdi

  2. Преобразуйте диски в формат qcow2 с помощью утилиты qemu-img:

    qemu-img.exe convert -f vdi -O qcow2 <имя_файла_VDI_с_диском_1> va_vipnet_base_x86_64-disk1.qcow2
qemu-img.exe convert -f vdi -O qcow2 <имя_файла_VDI_с_диском_2> va_vipnet_base_x86_64-disk2.qcow2

  3. Проверьте, что диски сохранились в формате qcow2:

    Get-ChildItem -Name *.qcow2

    Результат:

    ------    8/24/2022  10:52 PM    324009984 va_vipnet_base_x86_64-disk2.qcow2
------    8/24/2022  10:52 PM    286261248 va_vipnet_base_x86_64-disk1.qcow2

Загрузите образы дисков в Object Storage

  1. Создайте бакет:
    1. В консоли управления выберите каталог, в котором хотите создать бакет.
    2. Выберите сервис Object Storage.
    3. Нажмите кнопку Создать бакет.
    4. Задайте параметры бакета:
      • Имяmy-vipnet-images.
      • Макс. размерБез ограничения.
      • Доступ на чтение объектовОграниченный.
      • Доступ к списку объектовОграниченный.
      • Доступ на чтение настроекОграниченный.
      • Класс хранилищаХолодное.
    5. Нажмите Создать бакет.
  2. Загрузите в бакет образы дисков в формате qcow2:
    1. Выберите созданный бакет.
    2. Нажмите Загрузить.
    3. В появившемся окне выберите файлы и нажмите Открыть.
    4. Нажмите Загрузить.
    5. Обновите страницу.
  3. Получите ссылки на загруженные объекты:
    1. Нажмите на имя объекта.
    2. Нажмите Получить ссылку.
    3. Укажите Время жизни ссылки в часах или днях (максимум 7 дней).
    4. Нажмите Получить ссылку.
    5. Скопируйте полученные ссылки.

Создайте образы дисков в Compute Cloud

  1. В консоли управления выберите каталог example_folder.
  2. Выберите сервис Compute Cloud.
  3. На панели слева выберите Образы.
  4. Нажмите Загрузить образ.
  5. Введите имя образа — vipnet-va-disk1.
  6. Вставьте ссылку на образ первого диска в Object Storage.
  7. Нажмите Загрузить.
  8. Повторите создание для второго образа vipnet-va-disk2.

Чтобы создать образы дисков в Compute Cloud, выполните следующие команды:

yc compute image create vipnet-va-disk1 --source-uri="<ссылка_на_образ_первого_диска>"
yc compute image create vipnet-va-disk2 --source-uri="<ссылка_на_образ_второго_диска>"

Создайте ВМ с ViPNet Coordinator VA в облаке

  1. Задайте переменные для создания ВМ:

    VM_NAME=vipnet-va
ZONE_ID=ru-central1-a
DISK1_NAME=vipnet-va-disk1
DISK2_NAME=vipnet-va-disk2
ETH0_SUBNET=public-subnet
ETH1_SUBNET=segment1-subnet
ETH2_SUBNET=segment2-subnet
ETH3_SUBNET=segment3-subnet

  2. Выполните команду для создания ВМ:

    yc compute instance create \
  --name=$VM_NAME \
  --hostname=$VM_NAME \
  --zone $ZONE_ID \
  --create-boot-disk name=$DISK1_NAME,type=network-hdd,image-name=$DISK1_NAME\
  --create-disk name=$DISK2_NAME,type=network-hdd,image-name=$DISK2_NAME,auto-delete=true\
  --cores=2 \
  --memory=4G \
  --core-fraction=100 \
  --network-interface subnet-name=$ETH0_SUBNET,ipv4-address=10.1.0.8,nat-ip-version=ipv4 \
  --network-interface subnet-name=$ETH1_SUBNET,ipv4-address=10.1.1.8 \
  --network-interface subnet-name=$ETH2_SUBNET,ipv4-address=10.1.2.8 \
  --network-interface subnet-name=$ETH3_SUBNET,ipv4-address=10.1.3.8 \
  --metadata serial-port-enable=1

    Где:

    • name — имя ВМ.
    • hostname — имя хоста ВМ.
    • zone — зона доступности, которая соответствует выбранной подсети для ВМ.
    • create-boot-disk — параметры загрузочного диска.
    • create-disk — параметры дополнительного диска.
    • cores — количество ядер (vCPU).
    • memory — объем памяти (RAM).
    • core-fraction — уровень производительности vCPU.
    • network-interface — параметры сетевого интерфейса.
    • metadata — метаданные ВМ.

Настройте ViPNet Coordinator VA

Подключитесь к ViPNet Coordinator VA по серийной консоли

Перейдите в серийную консоль созданной ВМ:

  1. В консоли управления выберите каталог vipnet-folder.
  2. Перейдите в сервис Compute Cloud и выберите ВМ vipnet-va.
  3. Перейдите на вкладку Серийная консоль.
  4. Введите логин user и пароль демоверсии 11111111.

После успешной аутентификации вы войдете в командную строку ViPNet Coordinator VA:

yc-vipnet-1> version
Product: ViPNet Coordinator VA
Platform: VA VIRTUALBOX
License: VA500
Software version: 4.5.1-5668
yc-vipnet-1>

Включите протокол SSH

  1. Войдите в режим администратора:

    yc-vipnet-1> enable
Type the administrator password:

  2. Введите пароль администратора для демоверсии 11111111:

    yc-vipnet-1#

  3. Включите протоколы ICMP и SSH:

    firewall service-object add name @ICMP icmp
firewall local add 1 rule LICMP src @any dst @any service @ICMP pass
firewall local add 1 rule LSSH  src @any dst @any service @SSH pass

  4. Выйдите из режима администратора и из серийной консоли:

    exit
exit

Подключитесь к ViPNet Coordinator VA по SSH

  1. Получите публичный адрес ViPNet Coordinator VA:

    VIPNET_IP=$(yc compute instance get \
  --name=$VM_NAME \
  --format=json | jq -r '.network_interfaces[0].primary_v4_address.one_to_one_nat.address')

  2. Запустите SSH-клиент:

    ssh user@$VIPNET_IP

Как удалить созданные ресурсы

Чтобы перестать платить за созданные ресурсы: