Vandag gaan ons kyk na die VPN-konfigurasie-opsies wat NSX Edge ons bied.
Oor die algemeen kan ons VPN-tegnologieë in twee sleuteltipes verdeel:
- Werf-tot-werf Skynprivaatnetwerk. Die mees algemene gebruik van IPSec is om 'n veilige tonnel te skep, byvoorbeeld tussen 'n hoofkantoornetwerk en 'n netwerk op 'n afgeleë terrein of in die wolk.
- Skynprivaatnetwerk op afstand. Word gebruik om individuele gebruikers aan korporatiewe privaat netwerke te koppel deur die VPN-kliëntsagteware te gebruik.
NSX Edge stel ons in staat om albei opsies te gebruik.
Ons sal opstel met behulp van 'n toetsbank met twee NSX Edge, 'n Linux-bediener met 'n geïnstalleerde daemon en 'n Windows-skootrekenaar om Remote Access VPN te toets.
IPsec
- In die vCloud Director-koppelvlak, gaan na die Administrasie-afdeling en kies die vDC. Op die Edge Gateways-oortjie, kies die Edge wat ons benodig, regskliek en kies Edge Gateway Services.
- In die NSX Edge-koppelvlak, gaan na die VPN-IPsec VPN-oortjie, dan na die IPsec VPN-werwe-afdeling en klik + om 'n nuwe webwerf by te voeg.
- Vul die vereiste velde in:
- enabled – aktiveer die afgeleë werf.
- PFS – verseker dat elke nuwe kriptografiese sleutel nie met enige vorige sleutel geassosieer word nie.
- Plaaslike ID en Plaaslike Eindpuntt is die eksterne adres van die NSX Edge.
- plaaslike subnets - plaaslike netwerke wat IPsec VPN sal gebruik.
- Eweknie-ID en eweknie-eindpunt – adres van die afgeleë webwerf.
- Eweknie subnette – netwerke wat IPsec VPN aan die afgeleë kant sal gebruik.
- Enkripsie-algoritme - tonnel enkripsie algoritme.
- Verifikasie - hoe ons die eweknie sal verifieer. Jy kan 'n voorafgedeelde sleutel of 'n sertifikaat gebruik.
- Voorgedeelde sleutel - spesifiseer die sleutel wat vir stawing gebruik sal word en moet aan beide kante ooreenstem.
- Diffie Hellman Groep - sleuteluitruilalgoritme.
Nadat u die vereiste velde ingevul het, klik Hou.
- Gedoen.
- Nadat u die webwerf bygevoeg het, gaan na die Aktiveringstatus-oortjie en aktiveer die IPsec-diens.
- Nadat die instellings toegepas is, gaan na die Statistiek -> IPsec VPN-oortjie en gaan die status van die tonnel na. Ons sien dat die tonnel verrys het.
- Gaan die tonnelstatus na vanaf die Edge-poortkonsole:
- wys diens ipsec - kyk na die status van die diens.
- wys diens ipsec-werf - Inligting oor die toestand van die webwerf en onderhandelde parameters.
- wys diens ipsec sa - kontroleer die status van die Sekuriteitsvereniging (SA).
- wys diens ipsec - kyk na die status van die diens.
- Kontroleer verbinding met 'n afgeleë werf:
root@racoon:~# ifconfig eth0:1 | grep inet inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0 root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data. 64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms --- 192.168.0.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 msKonfigurasielêers en bykomende opdragte vir diagnostiek vanaf 'n afgeleë Linux-bediener:
root@racoon:~# cat /etc/racoon/racoon.conf log debug; path pre_shared_key "/etc/racoon/psk.txt"; path certificate "/etc/racoon/certs"; listen { isakmp 80.211.43.73 [500]; strict_address; } remote 185.148.83.16 { exchange_mode main,aggressive; proposal { encryption_algorithm aes256; hash_algorithm sha1; authentication_method pre_shared_key; dh_group modp1536; } generate_policy on; } sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any { encryption_algorithm aes256; authentication_algorithm hmac_sha1; compression_algorithm deflate; } === root@racoon:~# cat /etc/racoon/psk.txt 185.148.83.16 testkey === root@racoon:~# cat /etc/ipsec-tools.conf #!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec esp/tunnel/185.148.83.16-80.211.43.73/require; spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/80.211.43.73-185.148.83.16/require; === root@racoon:~# racoonctl show-sa isakmp Destination Cookies Created 185.148.83.16.500 2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 === root@racoon:~# racoonctl show-sa esp 80.211.43.73 185.148.83.16 esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000) E: aes-cbc 00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d A: hmac-sha1 aa9e7cd7 51653621 67b3b2e9 64818de5 df848792 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=1 pid=7739 refcnt=0 185.148.83.16 80.211.43.73 esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000) E: aes-cbc c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044 A: hmac-sha1 cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=0 pid=7739 refcnt=0 - Alles is gereed, werf-tot-werf IPsec VPN is aan die gang.
In hierdie voorbeeld het ons PSK vir eweknie-verifikasie gebruik, maar sertifikaatverifikasie is ook moontlik. Om dit te doen, gaan na die Global Configuration-oortjie, aktiveer sertifikaatverifikasie en kies die sertifikaat self.
Boonop moet u in die werfinstellings die verifikasiemetode verander.
Ek let daarop dat die aantal IPsec-tonnels afhang van die grootte van die ontplooide Edge Gateway (lees hieroor in ons ).
SSL Skynprivaatnetwerk
SSL VPN-Plus is een van die VPN-opsies vir afstandtoegang. Dit laat individuele afgeleë gebruikers toe om veilig aan private netwerke agter die NSX Edge Gateway te koppel. 'n Geënkripteerde tonnel in die geval van SSL VPN-plus word tussen die kliënt (Windows, Linux, Mac) en NSX Edge gevestig.
- Kom ons begin opstel. Gaan in die Edge Gateway-diensbeheerpaneel na die SSL VPN-Plus-oortjie en dan na Bedienerinstellings. Ons kies die adres en poort waarop die bediener sal luister vir inkomende verbindings, aktiveer logging en kies die nodige enkripsiealgoritmes.
Hier kan jy ook die sertifikaat verander wat die bediener sal gebruik. - Nadat alles gereed is, skakel die bediener aan en moenie vergeet om die instellings te stoor nie.
- Vervolgens moet ons 'n poel adresse opstel wat ons aan kliënte sal uitreik by verbinding. Hierdie netwerk is apart van enige bestaande subnet in jou NSX-omgewing en hoef nie op ander toestelle op die fisiese netwerke gekonfigureer te word nie, behalwe vir die roetes wat daarna verwys.
Gaan na die IP Pools-oortjie en klik +.
- Kies adresse, subnetmasker en poort. Hier kan u ook die instellings vir DNS- en WINS-bedieners verander.
- Die gevolglike swembad.
- Kom ons voeg nou die netwerke by waartoe gebruikers wat aan die VPN koppel toegang sal hê. Gaan na die Private Networks-oortjie en klik +.
- Ons vul in:
- Netwerk - 'n plaaslike netwerk waartoe afgeleë gebruikers toegang sal hê.
- Stuur verkeer, dit het twee opsies:
- oor tonnel - stuur verkeer na die netwerk deur die tonnel,
— omseil tonnel—stuur verkeer direk na die netwerk om die tonnel te omseil. - Aktiveer TCP-optimering - kyk of jy die oortonnel-opsie gekies het. Wanneer optimalisering geaktiveer is, kan jy die poortnommers spesifiseer waarvoor jy verkeer wil optimeer. Verkeer vir die oorblywende hawens op daardie spesifieke netwerk sal nie geoptimaliseer word nie. As geen poortnommers gespesifiseer word nie, word verkeer vir alle poorte geoptimaliseer. Lees meer oor hierdie kenmerk .
- Gaan dan na die Verifikasie-oortjie en klik op +. Vir verifikasie sal ons 'n plaaslike bediener op die NSX Edge self gebruik.
- Hier kan ons beleide kies vir die generering van nuwe wagwoorde en opsies instel om gebruikersrekeninge te blokkeer (byvoorbeeld die aantal herproberings as die wagwoord verkeerd ingevoer is).
- Aangesien ons plaaslike verifikasie gebruik, moet ons gebruikers skep.
- Benewens basiese dinge soos 'n naam en wagwoord, kan jy hier byvoorbeeld die gebruiker verbied om die wagwoord te verander of omgekeerd, hom dwing om die wagwoord te verander die volgende keer as hy aanmeld.
- Nadat al die nodige gebruikers bygevoeg is, gaan na die Installasiepakkette-oortjie, klik + en skep die installeerder self, wat deur 'n afgeleë werknemer vir installasie afgelaai sal word.
- Druk +. Kies die adres en poort van die bediener waaraan die kliënt sal koppel, en die platforms waarvoor jy die installasiepakket wil genereer.
Onder in hierdie venster kan u die kliëntinstellings vir Windows spesifiseer. Kies:- begin kliënt by aanmelding – die VPN-kliënt sal bygevoeg word om op die afgeleë masjien te begin;
- skep lessenaar-ikoon - sal 'n VPN-kliënt-ikoon op die lessenaar skep;
- bedienersekuriteitsertifikaatbekragtiging - sal die bedienersertifikaat bekragtig by verbinding.
Bedieneropstelling is voltooi.
- Kom ons laai nou die installasiepakket af wat ons in die laaste stap geskep het na 'n afgeleë rekenaar. Toe ons die bediener opstel, het ons sy eksterne adres (185.148.83.16) en poort (445) gespesifiseer. Dit is by hierdie adres wat ons in 'n webblaaier moet gaan. In my geval is dit : 445.
In die magtigingsvenster moet u die gebruikersbewyse invoer wat ons vroeër geskep het.
- Na magtiging sien ons 'n lys van geskepde installasiepakkette wat beskikbaar is vir aflaai. Ons het net een geskep - ons sal dit aflaai.
- Ons klik op die skakel, die aflaai van die kliënt begin.
- Pak die afgelaaide argief uit en voer die installeerder uit.
- Na die installasie, begin die kliënt, in die magtigingsvenster, klik Login.
- Kies Ja in die sertifikaatverifikasievenster.
- Ons voer die geloofsbriewe vir die voorheen geskepde gebruiker in en sien dat die verbinding suksesvol voltooi is.
- Ons kyk na die statistieke van die VPN-kliënt op die plaaslike rekenaar.
- In die Windows-opdragreël (ipconfig / all), sien ons dat 'n bykomende virtuele adapter verskyn het en daar is verbinding met die afgeleë netwerk, alles werk:
- En laastens, kyk vanaf die Edge Gateway-konsole.
L2 VPN
L2VPN sal nodig wees wanneer u verskeie geografies moet kombineer
verspreide netwerke in een uitsaaidomein.
Dit kan nuttig wees, byvoorbeeld, wanneer 'n virtuele masjien migreer: wanneer 'n VM na 'n ander geografiese gebied beweeg, sal die masjien sy IP-adresseringinstellings behou en sal nie konneksie verloor met ander masjiene wat in dieselfde L2-domein daarmee geleë is nie.
In ons toetsomgewing sal ons twee werwe aan mekaar koppel, ons sal hulle onderskeidelik A en B noem.Ons het twee NSX'e en twee identies-geskepte gerouteerde netwerke wat aan verskillende Edges gekoppel is. Masjien A het die adres 10.10.10.250/24, Masjien B het die adres 10.10.10.2/24.
- In vCloud Director, gaan na die Administrasie-oortjie, gaan na die VDC wat ons benodig, gaan na die Org VDC Networks-oortjie en voeg twee nuwe netwerke by.
- Kies die gerouteerde netwerktipe en bind hierdie netwerk aan ons NSX. Ons plaas die merkblokkie Skep as subkoppelvlak.
- As gevolg hiervan behoort ons twee netwerke te kry. In ons voorbeeld word hulle netwerk-a en netwerk-b genoem met dieselfde poortinstellings en dieselfde masker.
- Kom ons gaan nou na die instellings van die eerste NSX. Dit sal die NSX wees waaraan Netwerk A gekoppel is. Dit sal as 'n bediener optree.
Ons keer terug na die NSx Edge-koppelvlak / Gaan na die VPN-oortjie -> L2VPN. Ons skakel L2VPN aan, kies die Bediener-operasiemodus, in die Server Global-instellings spesifiseer ons die eksterne NSX IP-adres waarop die poort vir die tonnel sal luister. By verstek sal die sok oopmaak op poort 443, maar dit kan verander word. Moenie vergeet om die enkripsie-instellings vir die toekomstige tonnel te kies nie.
- Gaan na die Bedienerwerwe-oortjie en voeg 'n eweknie by.
- Ons skakel die eweknie aan, stel die naam, beskrywing, indien nodig, stel die gebruikersnaam en wagwoord in. Ons sal hierdie data later benodig wanneer ons die kliëntwebwerf opstel.
In Egress Optimization Gateway Address stel ons die poortadres in. Dit is nodig sodat daar geen konflik van IP-adresse is nie, want die poort van ons netwerke het dieselfde adres. Klik dan op die KIES SUB-koppelvlakke-knoppie.
- Hier kies ons die gewenste subkoppelvlak. Ons stoor die instellings.
- Ons sien dat die nuutgeskepte kliëntwebwerf in die instellings verskyn het.
- Kom ons gaan nou verder na die konfigurasie van NSX vanaf die kliëntkant.
Ons gaan na NSX-kant B, gaan na VPN -> L2VPN, aktiveer L2VPN, stel L2VPN-modus na kliëntmodus. Stel op die Client Global-oortjie die adres en poort van NSX A in, wat ons vroeër as Luister-IP en Poort aan die bedienerkant gespesifiseer het. Dit is ook nodig om dieselfde enkripsie-instellings in te stel sodat dit konsekwent is wanneer die tonnel gelig word.
Ons blaai hieronder, kies die subkoppelvlak waardeur die tonnel vir L2VPN gebou sal word.
In Egress Optimization Gateway Address stel ons die poortadres in. Stel gebruiker-ID en wagwoord in. Ons kies die subkoppelvlak en moenie vergeet om die instellings te stoor nie. - Eintlik is dit al. Die instellings van die kliënt- en bedienerkant is amper identies, met die uitsondering van 'n paar nuanses.
- Nou kan ons sien dat ons tonnel gewerk het deur na Statistiek -> L2VPN op enige NSX te gaan.
- As ons nou na die konsole van enige Edge Gateway gaan, sal ons op elkeen van hulle in die arp-tabel die adresse van beide VM's sien.
Dit gaan alles oor VPN op NSX Edge. Vra as iets onduidelik is. Dit is ook die laaste deel van 'n reeks artikels oor werk met NSX Edge. Ons hoop hulle was behulpsaam 🙂
Bron: will.com