4.10. Создание tunnel для сетей Elastic Cloud
Создание ВМ описано здесь.
Для обеспечения сетевой связанности виртуальных машин в облачной сети Elastic Cloud и сетевых устройств в другом расположении (сеть в офисе, другое облако и т.п.) можно воспользоваться сервисом tunnel.
Сервис позволяет создать Site-to-Site туннель в соответствии со стеком протоколов IPsec
Для создания нового tunnel необходимо:
1. создать или выбрать виртуальную сеть (раздел "Elastic Cloud Hyper-V" - "Виртуальные сети"),
к которой будет подключен tunnel.
2. Нажать на кнопку "Tunnel" в столбце "Сервисы"
3. Откроется интерфейс раздела Elastic Cloud Hyper-V -> Tunnel для настройки туннеля выбранной в пункте 1 виртуальной сети.
В интерфейсе есть параметр IP адрес tunnel шлюза - он пригодится для настройки виртуального туннеля на стороне клиента.
4. В интерфейсе раздела Elastic Cloud Hyper-V -> Tunnel нажмите кнопку "Добавить"
5. Выберите параметры:
- доступные параметры шифрования IPsec;
- адрес tunnel шлюза на вашей стороне;
- ключ шифрования;
- добавьте адрес(а) сетей на вашей стороне, в которые будет доставляться трафик из облачной сети.
6. Настройте tunnel на стороне клиента.
IP адрес tunnel шлюза можно посмотреть в разделе Elastic Cloud Hyper-V -> Tunnel
Ключ и параметры шифрования должны совпадать на обеих сторонах туннеля.
При настройке tunnel соединения на стороне клиента для заголовков параметр tcp mss важно выставить =1350.
Детальнее см. пункт 8.
|
7. При успешной настройке tunnel шлюза на обоих сторонах соединения в разделе Elastic Cloud Hyper-V -> Tunnel туннель будет иметь статус "Connected".
8. На стороне клиента на этапе установления tcp сессии важно для заголовков настроить параметр tcp mss = 1350.
Примеры настройки:
Для Vyos
policy {
route ADJUST-MSS-IPSEC {
rule 100 {
destination {
group {
network-group INFRA-NETS
}
}
protocol tcp
set {
tcp-mss 1350
}
tcp {
flags SYN
}
}
}
}
Для Pfsense
Параметр называется MSS Clamping
|