SITE TO SITE VPN: значення, типи та спосіб використання

Багато компаній у всьому світі значною мірою покладаються на віртуальні приватні мережі (VPN), і в світлі безпрецедентного характеру поточної кризи багато з цих самих компаній переглядають власні заходи безпеки, щоб визначити, які додаткові заходи захисту їм можуть знадобитися (якщо такі є). . Ви використовуєте міжсайтові VPN для з’єднання цілих мереж, як правило, з різних місць. Щоб два VPN-тунелі типу "сайт-сайт" працювали, потрібно спрямувати трафік між ними, будь то Azure або AWS. Користувачам віртуальної приватної мережі типу "сайт-сайт" потрібно лише підключитися до "сайту", щоб захистити свої дані. Їм не потрібно встановлювати програмне забезпечення віртуальної приватної мережі на свої комп’ютери (мережу). Як правило, ви економите ІТ-команду від трудомістких зусиль, пов’язаних із встановленням програмного забезпечення вручну на кожному пристрої, який потребує безпеки, використовуючи віртуальну приватну мережу «сайт-сайт».

VPN між сайтами

Віртуальні приватні мережі «сайт-сайт» (VPN) — це тип віртуальної приватної мережі, яка шифрує дані між двома сайтами, не вимагаючи клієнтського програмного забезпечення або інформації для входу на підключених пристроях. Через унікальну ситуацію, в якій ми перебуваємо, велика кількість компаній у всьому світі значною мірою покладаються на мережі VPN типу "сайт-сайт". У результаті компанії визначають ступінь вимог до безпеки для своєї організації.

Існують різні типи VPN

Так, усі вони мають різні цілі та всі реалізуються відповідно до потреб компанії. Існує три можливі типи VPN:

1. VPN для віддаленого доступу: більшість людей звикли до VPN споживчого рівня та зазвичай використовують їх. Прикладами є NordVPN і ExpressVPN.
2. Інтранет-зв'язок "сайт-сайт".: глобальні мережі (WAN), які складаються з багатьох підключених локальних мереж, корисні для безпечного спільного використання ресурсів всередині організації з численними офісами.
3. Екстранет-зв'язок «сайт-сайт».: метод, який часто використовують компанії-партнери для обміну спеціалізованою інформацією з третіми сторонами, зберігаючи безпеку мережі та обмежуючи доступ лише для персоналу.

Як підключити Vpn між сайтами

Створити віртуальну приватну мережу типу "сайт-сайт" можна за допомогою наступних кроків

• Включіть об’єкти IP-адрес для підмереж вашої локальної та віддаленої мереж.
• Додайте сертифікати для однорангової ідентифікації (необов’язково).
• Пропустіть цей крок, якщо ви хочете автентифікуватися за допомогою спільного ключа.
• Увімкніть функцію віртуальної приватної мережі "сайт-сайт" на пристрої безпеки.
• Налаштуйте правила безпеки IKE. 
• Зробіть політику трансформації. 
• Налаштуйте політики IPsec VPN. 
• Якщо політику IPsec VPN увімкнено (необов’язково), підтвердьте це, натиснувши «Підключити», щоб розпочати підключення до VPN. Якщо ввімкнено політику віртуальної приватної мережі IPsec типу "сайт-сайт", будь-який трафік, який їй відповідає, розпочне підключення. У цьому випадку VPN-тунель буде негайно налаштований. Однак, якщо для параметра «Віддалена мережа» цього маршрутизатора встановлено значення «Будь-яка», підключення не може бути встановлено автоматично для політики віртуальної приватної мережі IPsec (тунель «site-to-any»). Щоб вручну встановити з’єднання VPN, необхідно натиснути символ «Підключити».
• Доступ до інформації про статистику та статус кожного сеансу IPsec VPN.

Aws Site-to-Site VPN

AWS Site-to-Site VPN — це повністю керований варіант, який створює безпечне з’єднання між вашим центром обробки даних або філіалом і вашими ресурсами AWS за допомогою тунелів IP Security (IPSec). Використовуючи віртуальну приватну мережу Site-to-Site, ви можете підключитися до своєї віртуальної приватної хмари Amazon (VPC) і транзитного шлюзу AWS, а для кожного з’єднання використовуються два тунелі для збільшення резервування.

Ще більшу продуктивність для глобально розподілених програм забезпечує опція прискореної віртуальної приватної мережі Site-to-Site, яка співпрацює з AWS Global Accelerator для динамічного маршрутизації вашого трафіку до найближчої кінцевої точки мережі AWS із найкращою швидкістю.

Будівельні блоки AWS Site-to-Site VPN

Нижче наведено компоненти віртуального приватного мережевого підключення AWS site-to-site

#1. Віртуальний приватний шлюз

Віртуальний приватний шлюз служить концентратором VPN на стороні Amazon VPN-з’єднання Site-to-Site. Створюється віртуальний приватний шлюз, який підключається до VPC, з якого надходить віртуальне приватне мережеве з’єднання «сайт-сайт».

#2. Транзитний шлюз

Ви можете використовувати транзитний шлюз як центр для підключення локальних мереж і віртуальних приватних хмар (VPC). Щоб дізнатися більше, перейдіть на Amazon VPC Transit Gateways. На транзитному шлюзі віртуальне приватне мережеве з’єднання типу «сайт-сайт» можна налаштувати як вкладення.

#3. Пристрій клієнтських шлюзів

Клієнтський шлюз — це фізична частина обладнання або програмного забезпечення на вашому кінці віртуального приватного мережевого з’єднання типу «сайт-сайт». Апаратне забезпечення налаштовано таким чином, що воно може підключатися до віртуальної приватної мережі типу "сайт-сайт".

#4. Вхід для клієнтів

Клієнтський шлюз — це ресурс Amazon Web Services (AWS), який замінює фізичний пристрій клієнтського шлюзу. Якщо ви хочете розповісти AWS про свій гаджет під час налаштування клієнтського шлюзу, ви повинні точно сказати їм, що це таке.

Переваги

Нижче наведено деякі з переваг AWS Site-to-Site VPN

#1. Надзвичайно доступний

AWS Site-to-Site VPN пропонує високу доступність завдяки використанню двох тунелів у різних зонах доступності в глобальній мережі AWS. У той час як другий тунель можна використовувати для резервування, щоб трафік продовжував проходити, навіть якщо один тунель недоступний, перший тунель можна використовувати для потокової передачі первинного трафіку.

№ 2. Безпечний

Так само, як ви підключаєтеся до локальних серверів, ви можете використовувати AWS site-to-site VPN для підключення до Amazon VPC або AWS Transit Gateway. Завдяки безпеці IP віртуальна приватна мережа AWS site-to-site встановлює приватні та безпечні з’єднання (IPSec).

#3. Прискорення додатків

Параметр «Прискорена віртуальна приватна мережа «сайт-сайт» пришвидшує ваше з’єднання завдяки застосуванню AWS Global Accelerator. Використовуючи AWS Global Accelerator, трафік інтелектуально направляється до найближчої та найшвидшої кінцевої точки мережі AWS.

#4. Сильний моніторинг

AWS Site-to-Site VPN взаємодіє з Amazon Cloud Watch, щоб відстежувати надійність і продуктивність ваших віртуальних приватних мережевих підключень і надавати вам бачення стану ваших локальних і віддалених мереж.

Azure Site-to-Site VPN

VPN-шлюз типу "сайт-сайт" використовується для підключення вашої локальної мережі до віртуальної мережі Azure за допомогою VPN-тунелю IPsec/IKE (IKEv1 або IKEv2). Щоб це працювало, для цього типу з’єднання необхідний пристрій віртуальної приватної мережі на місці, якому було призначено загальнодоступну IP-адресу, яку можна побачити ззовні.

Залежно від обладнання VPN, яке у вас є, ви також можете завантажити сценарій конфігурації пристрою. Додаткову інформацію див. у розділі Завантаження сценаріїв налаштування пристрою VPN. Клацніть посилання нижче, щоб отримати додаткову інформацію про конфігурацію:

• Інформацію про сумісне обладнання VPN див. у розділі Пристрої VPN.
• Перш ніж налаштовувати пристрій VPN, який ви хочете використовувати, переконайтеся, що він сумісний з усіма відомими пристроями.
• Посилання на параметри конфігурації пристрою доступні на сторінці Validated VPN Devices. З ретельною ретельністю надаються посилання для налаштування пристрою. Завжди доцільно звертатися до виробника вашого продукту, щоб отримати найновіші інструкції з налаштування.
• Щоб отримати підсумок конфігурації пристрою VPN, перегляньте огляд конфігурації пристрою VPN.
• Інформацію про зміну зразків конфігурації пристрою див. у розділі Редагування зразків.
• Докладніше про криптографічні вимоги див. у статті Про криптографічні вимоги та VPN-шлюзи Azure site-to-site.
• Додаткову інформацію про параметри IPsec/IKE див. у розділі Про пристрої віртуальної приватної мережі та параметри IPsec/IKE для підключень шлюзу віртуальної приватної мережі Site-to-Site.
• Щоб зв’язати кілька VPN-пристроїв на основі політики, див. розділ Підключення шлюзів VPN Azure Site-to-Site до кількох локальних пристроїв VPN на основі політики за допомогою PowerShell.

Sonicwall Site to Site Vpn

Дотримуючись вказівок у швидкій конфігурації політики віртуальної приватної мережі, ви можете налаштувати віртуальну приватну мережу типу "сайт-сайт" на SonicWall. Наприкінці налаштування майстер генерує необхідні налаштування VPN для ідеальної політики VPN. Використовуйте інтерфейс керування SonicWall для впровадження додаткових опцій конфігурації.

1. Використання VPN Quick Configuration і Preshared Secrets для налаштування віртуальної приватної мережі типу "сайт-сайт"
2. Виберіть Швидка конфігурація з навігаційного меню вгорі.
3. У вікні «Ласкаво просимо до посібника з налаштування SonicWall» виберіть «Посібник з VPN» і натисніть «Далі».
4. На екрані типу політики віртуальної приватної мережі виберіть «Сеть-сайт», перш ніж натиснути кнопку «Далі».

• На сторінці «Створити політику міжсайтами» введіть наведену нижче інформацію.
• Дайте політиці назву, за якою ви зможете її ідентифікувати. Введіть рядок символів, який буде використовуватися як попередній ключ для IKE Phase 1 узгодження трафіку автентифікації.
• Якщо «Я знаю свою IP-адресу віддаленого вузла (або FQDN)» є ідеальним, SonicWall встановить контакт із віддаленим вузлом.
• Якщо вибрано вищезазначений параметр, введіть IP-адресу віддаленого вузла або повне доменне ім’я (FQDN).

5. Виберіть далі.
6. На екрані вибору мережі виберіть локальні та цільові ресурси, до яких підключатиметься ця VPN.
7. Виберіть Далі.
8. На сторінці «Параметри безпеки IKE» виберіть параметри безпеки для тунелю VPN і узгодження фази 2 IKE.
9. Вам потрібно буде застосувати те, що ви бачите на сторінці зведення конфігурації, до пристрою безпеки під час застосування конфігурації.
10. VPN буде створено після подання заявки.

Що потрібно для VPN типу "сайт-сайт"?

Шлюз віртуальної приватної мережі (маршрутизатор, брандмауер, концентратор VPN або пристрій безпеки), наприклад Cisco Adaptive Security Appliance (ASA), необхідний на обох сайтах, щоб налаштувати віртуальну приватну мережу між сайтами в Інтернеті. мережі між ними.

Які існують типи VPN типу "сайт-сайт"?

Віддалений доступ, мережа «сайт-сайт» на основі інтрамережі та «сайт-сайт» на основі екстранету є трьома основними підрозділами VPN.

Коли я повинен використовувати VPN типу "сайт-сайт"?

Межсетеві VPN є корисними для компаній, які надають пріоритет приватному, захищеному трафіку, і особливо корисні для компаній, які мають багато офісів у великій географічній зоні.

Як працює VPN типу "сайт-сайт"?

Це досягається за допомогою віртуальної приватної мережі типу "сайт-сайт", яка встановлює зашифроване з'єднання між шлюзами віртуальної приватної мережі в кожному з цих місць.

Які ризики несе використання VPN?

• Не всі пристрої мають автоматичний захист. Єдиний захищений пристрій, якщо ви використовуєте програмне забезпечення VPN для захисту свого ПК або смартфона, це той. 
• Зловмисне програмне забезпечення та віруси продовжують викликати занепокоєння. Більшість VPN не захищають вашу машину від зловмисного програмного забезпечення чи вірусів. 
• Проблеми зі швидкістю.

Які є два основних типи VPN типу "сайт-сайт"?

Віртуальні приватні мережі (VPN) переважно бувають двох різновидів:

• VPN для віддаленого доступу: VPN віддаленого доступу дозволяє користувачеві приєднатися до приватної мережі та отримати віддалений доступ до всіх її ресурсів і послуг.
• VPN від сайту до сайту: Site-to-Site VPN, також відомий як Router-to-Router VPN, часто використовується у великих компаніях.

Що таке Site-to-Site VPN?

Від сайту до сайту Під час використання VPN-тунелю трафік шифрується на одному кінці та надсилається через відкритий Інтернет на інший сайт, де розшифровується та пересилається до кінцевого пункту призначення.

У чому різниця між VPN і VPN типу "сайт-сайт"?

Віддалені користувачі можуть підключатися до бізнес-мережі з будь-якого місця за допомогою VPN віддаленого доступу. Водночас мережева мережа VPN з’єднує різні мережі.

Чи потрібен загальнодоступний IP-адресу для мережі VPN між сайтами?

Загальнодоступна IP-адреса необхідна для налаштування шлюзу VPN. Зовнішньою точкою підключення VPN є публічна IP-адреса.

Чи IPsec і VPN між сайтами однакові?

Від сайту до сайту Зашифрований зв’язок між робочими місцями або «сайтами» створюється через VPN, безперервне з’єднання. Зазвичай мережеве обладнання підключається одне до одного за допомогою мережевого підключення IPsec.

Чи може OpenVPN працювати між сайтами?

Ви можете прозоро об’єднати два сайти за допомогою клієнта шлюзу OpenVPN, налаштувавши сервер доступу OpenVPN у конфігурації мосту між сайтами.

Висновок

Кожна компанія потребує VPN. Це пояснюється тим, що віртуальна приватна мережа дозволяє користувачам надсилати та отримувати зашифровані дані між віддаленими сайтами без необхідності ділитися особистою інформацією чи встановлювати спеціальне програмне забезпечення на пристрої.

Відповіді на часті запитання щодо VPN між сайтами

Що потрібно для VPN типу «сайт-сайт»?

Шлюз VPN (маршрутизатор, брандмауер, концентратор VPN або пристрій безпеки), як-от Cisco Adaptive Security Appliance (ASA), необхідний на обох сайтах, щоб налаштувати мережу VPN між ними в Інтернеті.

Що потрібно для VPN типу «сайт-сайт»?

Шлюз віртуальної приватної мережі (маршрутизатор, брандмауер, концентратор VPN або пристрій безпеки), наприклад Cisco Adaptive Security Appliance (ASA), необхідний на обох сайтах, щоб налаштувати віртуальну приватну мережу між сайтами в Інтернеті. мережі між ними.

Статті по темі

1. ВІДДАЛЕНИЙ ДОСТУП VPN: значення, як це працює та найкращий Vpn
2. Ось чому вам варто інвестувати в VPN з можливостями Domain Fronting
3. Системи керування конфігурацією та інструменти у 202 році3
4. ХМАРНІ ІНСТРУМЕНТИ КЕРУВАННЯ ВИТРАТАМИ: визначення, використання, найкращі інструменти та ціни

посилання 

• sonicwall.com
• microsoft.com
• amazon.com
• cisco.com