Теперь вы можете сами выбирать, какие туннельные опции использовать при организации VPN-соединения. Это позволяет обеспечить требуемый уровень защиты соединения, а также расширяет совместимость облачного VPN с клиентским оборудованием. Например, теперь можно без проблем связать облачную инфраструктуру и Mikrotik, используя IPSec в туннельном режиме, а также настроить соединение между облаком и Cisco ASA с версией прошивки, не поддерживающей IPSec VTI.

В дополнение к IKEv1 реализована вторая версия протокола обмена ключами IKEv2. Для шифрования наряду с AES теперь поддерживаются AES-CTR, AES-GCM, AES-CCM, Camelia и ChaCha20-Poly1305, а для хэширования помимо SHA-1 можно использовать SHA-256, SHA-384 и SHA-512. Список доступных групп Диффи-Хелмана включает все группы с 14 по 21, а также 2 и 5 для совместимости с устаревшим оборудованием.

Конкретный перечень поддерживаемых алгоритмов зависит от выбранной версии IKE и фазы процесса согласования. Кстати, для каждой фазы стало возможно задавать её длительность. Подробнее о поддерживаемых туннельных опциях и ограничениях на них читайте в документации.

При создании соединения в туннельном режиме можно также указать подсети со стороны клиента и облака, которым разрешено использовать шифруемый туннель (подробнее см. документацию). А доступное адресное пространство для задания внутреннего IP CIDR для VPN-туннеля было расширено с 169.254.255.0/24 до 169.254.252.0/22.

Дополнительные параметры соединения и туннеля VPN описываются в опциях VpnConnectionOptionsSpecification и VpnTunnelOptionsSpecification. Их можно задавать как посредством API, так и в веб-интерфейсе. Для этого новые опции добавлены в кастомизированную библиотеку boto, а в мастере создания VPN-соединения появились новые поля и опциональный шаг Параметры туннеля.