Vandag gaan ons kyk na die VPN-konfigurasie-opsies wat NSX Edge ons bied.
Oor die algemeen kan ons VPN-tegnologieë in twee sleuteltipes verdeel:
Werf-tot-werf Skynprivaatnetwerk. Die mees algemene gebruik van IPSec is om 'n veilige tonnel te skep, byvoorbeeld tussen 'n hoofkantoornetwerk en 'n netwerk op 'n afgeleë terrein of in die wolk.
Skynprivaatnetwerk op afstand. Word gebruik om individuele gebruikers aan korporatiewe privaat netwerke te koppel deur die VPN-kliëntsagteware te gebruik.
NSX Edge stel ons in staat om albei opsies te gebruik.
Ons sal opstel met behulp van 'n toetsbank met twee NSX Edge, 'n Linux-bediener met 'n geïnstalleerde daemon wasbeer en 'n Windows-skootrekenaar om Remote Access VPN te toets.
IPsec
In die vCloud Director-koppelvlak, gaan na die Administrasie-afdeling en kies die vDC. Op die Edge Gateways-oortjie, kies die Edge wat ons benodig, regskliek en kies Edge Gateway Services.
In die NSX Edge-koppelvlak, gaan na die VPN-IPsec VPN-oortjie, dan na die IPsec VPN-werwe-afdeling en klik + om 'n nuwe webwerf by te voeg.
Vul die vereiste velde in:
enabled – aktiveer die afgeleë werf.
PFS – verseker dat elke nuwe kriptografiese sleutel nie met enige vorige sleutel geassosieer word nie.
Plaaslike ID en Plaaslike Eindpuntt is die eksterne adres van die NSX Edge.
plaaslike subnets - plaaslike netwerke wat IPsec VPN sal gebruik.
Eweknie-ID en eweknie-eindpunt – adres van die afgeleë webwerf.
Eweknie subnette – netwerke wat IPsec VPN aan die afgeleë kant sal gebruik.
Enkripsie-algoritme - tonnel enkripsie algoritme.
Verifikasie - hoe ons die eweknie sal verifieer. Jy kan 'n voorafgedeelde sleutel of 'n sertifikaat gebruik.
Voorgedeelde sleutel - spesifiseer die sleutel wat vir stawing gebruik sal word en moet aan beide kante ooreenstem.
Diffie Hellman Groep - sleuteluitruilalgoritme.
Nadat u die vereiste velde ingevul het, klik Hou.
Gedoen.
Nadat u die webwerf bygevoeg het, gaan na die Aktiveringstatus-oortjie en aktiveer die IPsec-diens.
Nadat die instellings toegepas is, gaan na die Statistiek -> IPsec VPN-oortjie en gaan die status van die tonnel na. Ons sien dat die tonnel verrys het.
Gaan die tonnelstatus na vanaf die Edge-poortkonsole:
wys diens ipsec - kyk na die status van die diens.
wys diens ipsec-werf - Inligting oor die toestand van die webwerf en onderhandelde parameters.
wys diens ipsec sa - kontroleer die status van die Sekuriteitsvereniging (SA).
Kontroleer verbinding met 'n afgeleë werf:
root@racoon:~# ifconfig eth0:1 | grep inet
inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0
root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10
PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
--- 192.168.0.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
Konfigurasielêers en bykomende opdragte vir diagnostiek vanaf 'n afgeleë Linux-bediener:
Alles is gereed, werf-tot-werf IPsec VPN is aan die gang.
In hierdie voorbeeld het ons PSK vir eweknie-verifikasie gebruik, maar sertifikaatverifikasie is ook moontlik. Om dit te doen, gaan na die Global Configuration-oortjie, aktiveer sertifikaatverifikasie en kies die sertifikaat self.
Boonop moet u in die werfinstellings die verifikasiemetode verander.
Ek let daarop dat die aantal IPsec-tonnels afhang van die grootte van die ontplooide Edge Gateway (lees hieroor in ons eerste artikel).
SSL Skynprivaatnetwerk
SSL VPN-Plus is een van die VPN-opsies vir afstandtoegang. Dit laat individuele afgeleë gebruikers toe om veilig aan private netwerke agter die NSX Edge Gateway te koppel. 'n Geënkripteerde tonnel in die geval van SSL VPN-plus word tussen die kliënt (Windows, Linux, Mac) en NSX Edge gevestig.
Kom ons begin opstel. Gaan in die Edge Gateway-diensbeheerpaneel na die SSL VPN-Plus-oortjie en dan na Bedienerinstellings. Ons kies die adres en poort waarop die bediener sal luister vir inkomende verbindings, aktiveer logging en kies die nodige enkripsiealgoritmes.
Hier kan jy ook die sertifikaat verander wat die bediener sal gebruik.
Nadat alles gereed is, skakel die bediener aan en moenie vergeet om die instellings te stoor nie.
Vervolgens moet ons 'n poel adresse opstel wat ons aan kliënte sal uitreik by verbinding. Hierdie netwerk is apart van enige bestaande subnet in jou NSX-omgewing en hoef nie op ander toestelle op die fisiese netwerke gekonfigureer te word nie, behalwe vir die roetes wat daarna verwys.
Gaan na die IP Pools-oortjie en klik +.
Kies adresse, subnetmasker en poort. Hier kan u ook die instellings vir DNS- en WINS-bedieners verander.
Die gevolglike swembad.
Kom ons voeg nou die netwerke by waartoe gebruikers wat aan die VPN koppel toegang sal hê. Gaan na die Private Networks-oortjie en klik +.
Ons vul in:
Netwerk - 'n plaaslike netwerk waartoe afgeleë gebruikers toegang sal hê.
Stuur verkeer, dit het twee opsies:
- oor tonnel - stuur verkeer na die netwerk deur die tonnel,
— omseil tonnel—stuur verkeer direk na die netwerk om die tonnel te omseil.
Aktiveer TCP-optimering - kyk of jy die oortonnel-opsie gekies het. Wanneer optimalisering geaktiveer is, kan jy die poortnommers spesifiseer waarvoor jy verkeer wil optimeer. Verkeer vir die oorblywende hawens op daardie spesifieke netwerk sal nie geoptimaliseer word nie. As geen poortnommers gespesifiseer word nie, word verkeer vir alle poorte geoptimaliseer. Lees meer oor hierdie kenmerk hier.
Gaan dan na die Verifikasie-oortjie en klik op +. Vir verifikasie sal ons 'n plaaslike bediener op die NSX Edge self gebruik.
Hier kan ons beleide kies vir die generering van nuwe wagwoorde en opsies instel om gebruikersrekeninge te blokkeer (byvoorbeeld die aantal herproberings as die wagwoord verkeerd ingevoer is).
Aangesien ons plaaslike verifikasie gebruik, moet ons gebruikers skep.
Benewens basiese dinge soos 'n naam en wagwoord, kan jy hier byvoorbeeld die gebruiker verbied om die wagwoord te verander of omgekeerd, hom dwing om die wagwoord te verander die volgende keer as hy aanmeld.
Nadat al die nodige gebruikers bygevoeg is, gaan na die Installasiepakkette-oortjie, klik + en skep die installeerder self, wat deur 'n afgeleë werknemer vir installasie afgelaai sal word.
Druk +. Kies die adres en poort van die bediener waaraan die kliënt sal koppel, en die platforms waarvoor jy die installasiepakket wil genereer.
Onder in hierdie venster kan u die kliëntinstellings vir Windows spesifiseer. Kies:
begin kliënt by aanmelding – die VPN-kliënt sal bygevoeg word om op die afgeleë masjien te begin;
skep lessenaar-ikoon - sal 'n VPN-kliënt-ikoon op die lessenaar skep;
bedienersekuriteitsertifikaatbekragtiging - sal die bedienersertifikaat bekragtig by verbinding.
Bedieneropstelling is voltooi.
Kom ons laai nou die installasiepakket af wat ons in die laaste stap geskep het na 'n afgeleë rekenaar. Toe ons die bediener opstel, het ons sy eksterne adres (185.148.83.16) en poort (445) gespesifiseer. Dit is by hierdie adres wat ons in 'n webblaaier moet gaan. In my geval is dit 185.148.83.16: 445.
In die magtigingsvenster moet u die gebruikersbewyse invoer wat ons vroeër geskep het.
Na magtiging sien ons 'n lys van geskepde installasiepakkette wat beskikbaar is vir aflaai. Ons het net een geskep - ons sal dit aflaai.
Ons klik op die skakel, die aflaai van die kliënt begin.
Pak die afgelaaide argief uit en voer die installeerder uit.
Na die installasie, begin die kliënt, in die magtigingsvenster, klik Login.
Kies Ja in die sertifikaatverifikasievenster.
Ons voer die geloofsbriewe vir die voorheen geskepde gebruiker in en sien dat die verbinding suksesvol voltooi is.
Ons kyk na die statistieke van die VPN-kliënt op die plaaslike rekenaar.
In die Windows-opdragreël (ipconfig / all), sien ons dat 'n bykomende virtuele adapter verskyn het en daar is verbinding met die afgeleë netwerk, alles werk:
En laastens, kyk vanaf die Edge Gateway-konsole.
L2 VPN
L2VPN sal nodig wees wanneer u verskeie geografies moet kombineer
verspreide netwerke in een uitsaaidomein.
Dit kan nuttig wees, byvoorbeeld, wanneer 'n virtuele masjien migreer: wanneer 'n VM na 'n ander geografiese gebied beweeg, sal die masjien sy IP-adresseringinstellings behou en sal nie konneksie verloor met ander masjiene wat in dieselfde L2-domein daarmee geleë is nie.
In ons toetsomgewing sal ons twee werwe aan mekaar koppel, ons sal hulle onderskeidelik A en B noem.Ons het twee NSX'e en twee identies-geskepte gerouteerde netwerke wat aan verskillende Edges gekoppel is. Masjien A het die adres 10.10.10.250/24, Masjien B het die adres 10.10.10.2/24.
In vCloud Director, gaan na die Administrasie-oortjie, gaan na die VDC wat ons benodig, gaan na die Org VDC Networks-oortjie en voeg twee nuwe netwerke by.
Kies die gerouteerde netwerktipe en bind hierdie netwerk aan ons NSX. Ons plaas die merkblokkie Skep as subkoppelvlak.
As gevolg hiervan behoort ons twee netwerke te kry. In ons voorbeeld word hulle netwerk-a en netwerk-b genoem met dieselfde poortinstellings en dieselfde masker.
Kom ons gaan nou na die instellings van die eerste NSX. Dit sal die NSX wees waaraan Netwerk A gekoppel is. Dit sal as 'n bediener optree.
Ons keer terug na die NSx Edge-koppelvlak / Gaan na die VPN-oortjie -> L2VPN. Ons skakel L2VPN aan, kies die Bediener-operasiemodus, in die Server Global-instellings spesifiseer ons die eksterne NSX IP-adres waarop die poort vir die tonnel sal luister. By verstek sal die sok oopmaak op poort 443, maar dit kan verander word. Moenie vergeet om die enkripsie-instellings vir die toekomstige tonnel te kies nie.
Gaan na die Bedienerwerwe-oortjie en voeg 'n eweknie by.
Ons skakel die eweknie aan, stel die naam, beskrywing, indien nodig, stel die gebruikersnaam en wagwoord in. Ons sal hierdie data later benodig wanneer ons die kliëntwebwerf opstel.
In Egress Optimization Gateway Address stel ons die poortadres in. Dit is nodig sodat daar geen konflik van IP-adresse is nie, want die poort van ons netwerke het dieselfde adres. Klik dan op die KIES SUB-koppelvlakke-knoppie.
Hier kies ons die gewenste subkoppelvlak. Ons stoor die instellings.
Ons sien dat die nuutgeskepte kliëntwebwerf in die instellings verskyn het.
Kom ons gaan nou verder na die konfigurasie van NSX vanaf die kliëntkant.
Ons gaan na NSX-kant B, gaan na VPN -> L2VPN, aktiveer L2VPN, stel L2VPN-modus na kliëntmodus. Stel op die Client Global-oortjie die adres en poort van NSX A in, wat ons vroeër as Luister-IP en Poort aan die bedienerkant gespesifiseer het. Dit is ook nodig om dieselfde enkripsie-instellings in te stel sodat dit konsekwent is wanneer die tonnel gelig word.
Ons blaai hieronder, kies die subkoppelvlak waardeur die tonnel vir L2VPN gebou sal word.
In Egress Optimization Gateway Address stel ons die poortadres in. Stel gebruiker-ID en wagwoord in. Ons kies die subkoppelvlak en moenie vergeet om die instellings te stoor nie.
Eintlik is dit al. Die instellings van die kliënt- en bedienerkant is amper identies, met die uitsondering van 'n paar nuanses.
Nou kan ons sien dat ons tonnel gewerk het deur na Statistiek -> L2VPN op enige NSX te gaan.
As ons nou na die konsole van enige Edge Gateway gaan, sal ons op elkeen van hulle in die arp-tabel die adresse van beide VM's sien.
Dit gaan alles oor VPN op NSX Edge. Vra as iets onduidelik is. Dit is ook die laaste deel van 'n reeks artikels oor werk met NSX Edge. Ons hoop hulle was behulpsaam 🙂