Существует много поставщиков облачных технологий, такие как Microsoft, MCS ( mail.ru), Selectel, Облакотека.
Каждый из поставщиков прекрасно работает и имеет свои преимущества. Рассмотрим типичный случай работы с одним из таких облачных провайдеров, а именно с Облакотекой, соединим с локальной сетью и решим проблему недоступности доменного имени удаленного сервера, по которому мы хотим к нему обращаться из локальной сети.
Содержание статьи:
- Создание облака, начало работы
- Создание сети для виртуальной машины
- Создание и конфигурирование виртуальной машины
- Настройка VPN-соединения
- Настройка IPsec на оборудовании Mikrotik
- Решение проблем
Создание облака, начало работы
Заходим в личный кабинет Облакотеки со своими учетными данными, видим главное окно, нажимаем на «Создать облако»:
После попадаем на окно создания услуги:
Выбираем нужный нам тарифный план и оформляем тестирование облака на 3 дня, в нашем случае будет небольшая виртуальная машина (далее — ВМ) с тарифным планом «WIT4», которая имеет хранилище на 150 Гб, 2 ядра процессора и 4 Гб оперативной памяти, ставим галочку напротив «Тест 3 дня», нажимаем «Продолжить». После этого попадаем в «Окно управление облаком», в котором необходимо сначала создать виртуальную сеть, после этого уже создать ВМ.
Создание сети для ВМ
Переходим во вкладку «Сеть -> Виртуальные сети»:
< p> Дальше нам потребуется создать саму сеть, нажимаем на «Создать сеть»:
Задаём параметры сети, а именно «Описание виртуальной сети» (название сети), «Описание подсети» (название подсети), IP-адрес сети, DNS оставляем без изменений. После всего нажимаем на «Сохранить»:
Виртуальная сеть создана, можем приступать к созданию ВМ.
Создание и конфигурирование виртуальной машины
Переходим в главное окно управления облаком. Нажимаем на «Добавить виртуальную машину»:
После этого мы попадаем в окно «Конфигурирования ВМ»:
В данном окне нужно задать параметры для ВМ. Выбранный нами план подразумевает 4 Гб RAM, 2 vCPU и системный диск на 150 Гб, этих данных характеристик хватит для тестирования.
Для начала выбираем ЦОД (центр обработки данных), вводим имя ВМ, после выбираем шаблон для ВМ, в нашем случае ВМ будет на ОС Centos 7.4. Окно выбора шаблона выглядит так:
После выбора вводим имя сервера, пароль администратора. Дальше нам нужно задействовать все ресурсы, выбор происходит оттягиванием ползунков вправо или влево, перетаскиваем все вправо, выбираем ранее созданную ВМ, после нажимаем «Создать виртуальную машину».
Поздравляем, виртуальная машина создана, теперь переходим к настройке VPN-соединения.
Настройка VPN-соединения
Из главного окна управления облаком переходим во вкладку «Сеть -> Виртуальные сети», видим ранее созданную виртуальную сеть, переходим во вкладку «VPN (редактирование)»:
После того, как мы перешли во вкладку «VPN» видим, что у нас «Лимит VPN исчерпан», не пугайтесь, все нормально. Облакотека предоставляет VPN, как отдельную услугу, поэтому для создания и работы VPN, нам необходимо увеличить квоту. Нажимаем на «Увеличить квоту»:
Попадаем на окно редактирования тарифа, в нём надо увеличить квоту на VPN, поэтому перетаскиваем ползунок на одну единицу вперед, либо прописываем количество вручную в окне. После нажимаем «Сохранить»:
После сохранения переходим обратно в окно создания «VPN туннеля: Сеть -> Виртуальные сети -> Редактирование VPN», нажимаем на «Создать VPN»:
Нас переносит в окно «редактирования VPN соединения», там нам необходимо заполнить «имя тоннеля», VPN endpoint, в котором прописываем ваш внешний адрес, в поле «Удаленная сеть» задаём параметры локальной сети вида 192.168.1.0/23. После необходимо сгенерировать первичный ключ шифрования, ключ должен быть от 24 символов с разными регистрами и символами. Ставим галочку напротив «Включено» и последняя настройка – это «Cipher transform constant», в которой надо выбрать шифрование AES256.
Наглядно на скриншоте ниже:
После ввода нажимаем «Сохранить изменения». Настройка параметров для работы облака, облачной сети и VPN произведена, осталось настроить туннель со стороны «Земли». Настройку будем производить на роутере Mikrotik.
Настройка IPsec на оборудовании Mikrotik
Подробная настройка роутера Mikrotik проводилась в предыдущейстатье, сейчас мы сразу перейдем к настройке IPSec туннеля с Облакотекой.
Заходим в «IP – IPSec – groups» и создаем группы VPN. Необходимо создавать по одной группе на каждый туннель:
Далее заходим во вкладку «Proposal (предложения)» — это те настройки шифрования, которые будет предлагать наш роутер. Для Облакотеки настройки отличаются от других облачных провайдеров, их вы можете увидеть на скриншоте ниже (не забудьте указать понятные вам имя для идентификации соединения):
Следующим необходимо настроить «Profiles» — это аналог «предложений», но уже со стороны облачного сервиса, настройки для Облакотеки представлены на скриншоте ниже:
Следующая настройка «Peer», это наше соединение, используем наш созданный «Profile», задаем удаленный адрес в поле «Address» и локальный в поле «Local address», указываем «Exchange mode», Mikrotik поддерживает только IKEv2:
Далее заходим в «Identities» и вводим общий ключ, выбираем нашу group в policy group, остальное оставляем по умолчанию:
Далее заходим в «Policies» и уже настраиваем инициацию нашего подключения.
Выбираем нужный «рееr», нажимаем галочку «Tunnel», вводим локальный адрес в Src. address и адрес удаленной локальной сети в Dst. address:
Заходим в «Action» и выбираем наши предложения:
Нажимаем «Ok» и в итоге получаем надпись, что соединение «established», что означает правильность настройки:
и со стороны Облакотеки:
Поздравляем, VPN создан и работает.
Осталось самое главное, решить проблему с недоступностью доменного имени удаленного сервера.
Решение проблем с доступностью домена
Самая главная проблема при работе с VPN-туннелями, с которой мы столкнулись – это невозможность передать NetBIOS имена по VPN-туннелю. Вследствие этой проблемы при отсутствии своего домена и DNS-сервера мы попадаем в такую ситуацию, когда ни с одной из сторон по имени не можем обращаться к устройствам, но можем обращаться по IP. Роутер Mikrotik обладает таким функционалом, как настройка статических записей DNS, передача FQDN имен.
Так как роутер Mikrotik поддерживает протокол DHCP все манипуляции будем проводить через него. Когда речь заходит о DHCP, то обычно имеют в виду автоматическое присвоение сетевых параметров, таких как IP-адрес, маска, шлюз и DNS-сервера. Но на самом деле возможности протокола намного шире и позволяют настроить очень многие сетевые параметры. Все возможности протокола описаны в RFC 2132, но мы не будем забираться столь глубоко, а рассмотрим в качестве примера только несколько наиболее полезных нам опций.
Прежде всего это «Option 15» (DNS Domain Name) - которая позволяет автоматически настроить DNS-суффикс подключения, что позволяет снять определенный ряд проблем, связанный с использованием плоских имен.
Чтобы создать любую DHCP опцию потребуется перейти в IP - DHCP Server - Options и добавить там новую запись:
Поле Name содержит имя опции, можем задать его произвольно, так чтобы нам потом было понятно, что это такое и для чего нужно. Code - код опции, в нашем случае 15, Value - значение, в нашем случае это строка, поэтому обрамляем ее одиночной кавычкой, должно получиться: ‘test.local’ .
Опции можно (и нужно) объединять в наборы - «Option Set», даже несмотря на то, что во многих сценариях их можно указывать непосредственно. Если в будущем вы надумаете что-то поменять, то достаточно будет просто изменить состав набора, в противном случае вам нужно будет вспомнить все места, где вы использовали некую опцию и заменить ее на новую (или удалить / добавить). Перейдем на одноименную закладку и создадим новый набор. Пока в него будет входить только одна опция:
Наборам желательно давать осмысленные названия, чтобы впоследствии вы легко могли понять для чего он предназначен. Теперь назначим его для применения на всю область DHCP-сервера. Перейдем на закладку DHCP и откроем запись нашего сервера, в поле «DHCP Option Set» укажем имя созданного нами набора:
Теперь обновим параметры DHCP и сразу увидим полученный DNS-суффикс:
После этого все плоские имена, которые вы добавили на DNS-сервер следует дополнить до FQDN, т.е. вместоserverнаписатьserver.test.local(регистр записи значение не имеет). Заходим в IP - DNS - Static
Проверим:
Как видим, плоские имена нормально дополняются до FQDN и нормально разрешаются на нашем DNS вне зависимости от используемой ОС. После этого для всех машин в локальной сети стал виден наш удаленный сервер. Для того, чтобы все корректно работало на удаленном сервере, и он видел имена из локальной необходимо ему прописать DNS-суффикс поиска вручную и DNS-сервером назначить роутер из локальной сети.
На этом настройка Mikrotik закончена.
Итого:
В статье мы рассмотрели начало работы с облачным провайдером «Облакотека», настроили VPN-соединение, решили проблему с NetBIOS именами.