Site-to-Site VPN (Соединение «сайт-сайт»)

Site-to-Site VPN — защищённое соединение между двумя корпоративными сетями (офисами, дата-центрами, филиалами), создающее единую виртуальную LAN поверх интернета. Позволяет сотрудникам из разных локаций работать как в одной локальной сети, обмениваться файлами, так и иметь доступ к внутренним серверам и принтерам.

Ключевые особенности Site-to-Site VPN

Типы туннелей:

• IPsec — стандарт де-факто (IKEv1/v2, ESP/AH)
• WireGuard — современная альтернатива для быстрого соединения
• OpenVPN — универсальный, с поддержкой TAP (L2)
• GRE over IPsec — для маршрутизации сложных протоколов

Архитектура:

Офис A (192.168.1.0/24) ← [VPN-туннель через интернет] → Офис B (192.168.2.0/24)
Firewall/Router ↔ VPN Gateway ↔ Firewall/Router

Настройка Site-to-Site VPN

IPsec IKEv2 (на MikroTik/PFSense):

Сторона A (192.168.1.1):

/ip ipsec peer add address=192.168.2.1/32 local-address=192.168.1.1
/ip ipsec policy add src-address=192.168.1.0/24 dst-address=192.168.2.0/24
/ip route add dst-address=192.168.2.0/24 gateway=ipsec-peer

Сторона B (192.168.2.1):

/ip ipsec peer add address=192.168.1.1/32 local-address=192.168.2.1
/ip ipsec policy add src-address=192.168.2.0/24 dst-address=192.168.1.0/24

WireGuard Site-to-Site:

# Офис A (wg0.conf)
[Peer]
PublicKey = <Офис B публичный ключ>
AllowedIPs = 192.168.2.0/24
Endpoint = 203.0.113.2:51820

# Офис B (wg0.conf) 
AllowedIPs = 192.168.1.0/24
Endpoint = 203.0.113.1:51820

Преимущества Site-to-Site VPN

Сравнение протоколов

Когда использовать Site-to-Site VPN

Обязателен для:

• филиалы компании (Москва+СПб+Екатеринбург);
• DevOps (CI/CD между дата-центрами);
• удалённые офисы (доступ к 1С, CRM, файловым серверам).

Рекомендации: Для 2–5 офисов — WireGuard (скорость+простота). Корпоративный стандарт — IPsec IKEv2 на PFSense/Ubiquiti EdgeRouter. VPS не подходит — нужны статические публичные IP и маршрутизаторы с VPN-клиентом.