Требования:
  - IP адрес со стороны клиента должен быть постоянным статическим.
  - Со стороны удаленного клиента должна быть возможность и сконфигурировать IPSec службу с PSK авторизацией и поддержкой IKEv2.

Для ОС Linux и MacOS X мы рекомендуем пакет StrongSwan, после создания VPN соединения вы сможете скачать готовые конфигурационные файлы для установки со своей стороны.

Пример конфигурирования VPN соединения локальных сетей удаленного офиса Office (10.100.3.0/24) и датацентра dc01 (10.20.1.0/24)

+------------------------+                                 +------------------------+
|   Remote Office LAN    |                                 |          DC01          |
|     10.20.3.0/24       |                                 |      10.20.1.0/24      |
|  Gitlab                | 3.XX.XXX.XXX        4.XX.XXX.XX |            VM1 VM3 VM5 |
|  Ansible Tower         | IPSec ---- INTERNET ----- IPSec |            VM2 VM4 VM6 |
+------------------------+                                 +------------------------+

1. Перейдите в раздел VPN датацентра и включите службу VPN.

2. Нажмите Добавить VPN соединение, заполните форму, указав поля:

Удаленный IP адрес - IP адрес клиента, напоминаем, он должен быть постоянным статическим.

Маршрутизируемые сети - одна или больше локальных сетей на стороне клиентского соединения.

Если со стороны клиента нет локальной сети, можно завести локальный IP адрес на loopback интерфейсе, например:

    $ sudo /sbin/ifconfig lo:route66 10.100.3.5 netmask 255.255.255.255
  

Тогда в маршрутизируемых сетях следует указать 10.100.3.5/32

Важно: при организации связности через VPN нужно соблюдать все правила планирования маршрутов для IP сетей, в частности, сегменты сети со стороны датацентра и со стороны клиента не должны пересекаться.

PSK ключ - pre-shared key, пароль для авторизации, должен быть 32 символа минимум.

3. Установите пакет IPSec Strongswan.

Для Ubuntu Linux

 myhost$ sudo apt install strongswan 

Для Red Hat или CentOS Linux

 myhost$ sudo yum install strongswan 

4. Отредактируйте соответствующим образом файлы /etc/ipsec.conf и /etc/ipsec.secrets.
Автоматически сгенерированные файлы вы можете скачать в разделе управления VPN соединением.

5. Рестартаните ipsec службу

    myhost$ sudo ipsec restart
    Stopping strongSwan IPsec...
    Starting strongSwan 5.6.2 IPsec [starter]...

    myhost$ ipsec status
    Routed Connections:
    peer-to-dc01{1}:  ROUTED, TUNNEL, reqid 1
    peer-to-dc01{1}:  10.100.3.0/24 === 10.20.1.0/24
    Security Associations (0 up, 0 connecting): none
  

6. Запустите соединение

    myhost$ sudo ipsec up peer-to-dc01
    initiating IKE_SA peer-to-dc01[1] to 4.XX.XXX.XXX
    ...
    received AUTH_LIFETIME of 3258s, scheduling reauthentication in 3078s
    connection 'peer-to-dc01' established successfully
  

7. Дождитесь статуса активен для вашего соединения в Панели управления.

8. Если сетевые группы безопасности, еще не были сконфигурированы, добавьте правила, разрешающие входящий трафик из сети 10.100.3.0/24, в группу группу безопасности default или заведите новую группу безопасности.

Теперь вы можете подключаться к виртуальным серверам по их локальным IP адресам.