سنلقي اليوم نظرة على خيارات تكوين VPN التي توفرها لنا NSX Edge.
بشكل عام ، يمكننا تقسيم تقنيات VPN إلى نوعين رئيسيين:
- VPN من موقع إلى موقع. الاستخدام الأكثر شيوعًا لـ IPSec هو إنشاء نفق آمن ، على سبيل المثال ، بين شبكة مكتب رئيسية وشبكة في موقع بعيد أو في السحابة.
- الوصول عن بعد VPN. تستخدم لتوصيل المستخدمين الفرديين بالشبكات الخاصة للشركات باستخدام برنامج عميل VPN.
يسمح لنا NSX Edge باستخدام كلا الخيارين.
سنقوم بالتهيئة باستخدام مقعد اختبار مع اثنين من NSX Edge ، خادم Linux مع برنامج خفي مثبت وجهاز كمبيوتر محمول يعمل بنظام Windows لاختبار Remote Access VPN.
أمن بروتوكول الإنترنت
- في واجهة مدير vCloud ، انتقل إلى قسم الإدارة وحدد vDC. في علامة التبويب Edge Gateways ، حدد Edge الذي نحتاجه ، وانقر بزر الماوس الأيمن وحدد Edge Gateway Services.
- في واجهة NSX Edge ، انتقل إلى علامة التبويب VPN-IPsec VPN ، ثم إلى قسم مواقع VPN IPsec وانقر فوق + لإضافة موقع جديد.
- املأ الحقول المطلوبة:
- تمكين - ينشط الموقع البعيد.
- PFS - يضمن عدم ارتباط كل مفتاح تشفير جديد بأي مفتاح سابق.
- المعرف المحلي ونقطة النهاية المحليةt هو العنوان الخارجي لـ NSX Edge.
- الشبكة الفرعية المحليةs - الشبكات المحلية التي ستستخدم IPsec VPN.
- معرف النظير ونقطة نهاية النظير - عنوان الموقع البعيد.
- الشبكات الفرعية للأقران - الشبكات التي ستستخدم IPsec VPN على الجانب البعيد.
- خوارزمية التشفير - خوارزمية التشفير النفقي.
- التحقّق من المُستخدم - كيف سنصدق على الأقران. يمكنك استخدام مفتاح مشترك مسبقًا أو شهادة.
- مفتاح مشترك مسبقًا - حدد المفتاح الذي سيتم استخدامه للمصادقة ويجب أن يتطابق على كلا الجانبين.
- مجموعة ديفي هيلمان - خوارزمية تبادل المفاتيح.
بعد ملء الحقول المطلوبة ، انقر فوق Keep.
- القيام به.
- بعد إضافة الموقع ، انتقل إلى علامة التبويب حالة التنشيط وقم بتنشيط خدمة IPsec.
- بعد تطبيق الإعدادات ، انتقل إلى الإحصائيات -> علامة التبويب IPsec VPN وتحقق من حالة النفق. نرى أن النفق قد ارتفع.
- تحقق من حالة النفق من وحدة التحكم في بوابة الحافة:
- عرض خدمة IPSec - تحقق من حالة الخدمة.
- show service موقع ipsec - معلومات حول حالة الموقع والمعلمات التي تم التفاوض عليها.
- show service ipsec sa - تحقق من حالة اقتران الأمان (SA).
- عرض خدمة IPSec - تحقق من حالة الخدمة.
- التحقق من الاتصال بموقع بعيد:
root@racoon:~# ifconfig eth0:1 | grep inet inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0 root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data. 64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms --- 192.168.0.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 msملفات التكوين والأوامر الإضافية للتشخيصات من خادم Linux بعيد:
root@racoon:~# cat /etc/racoon/racoon.conf log debug; path pre_shared_key "/etc/racoon/psk.txt"; path certificate "/etc/racoon/certs"; listen { isakmp 80.211.43.73 [500]; strict_address; } remote 185.148.83.16 { exchange_mode main,aggressive; proposal { encryption_algorithm aes256; hash_algorithm sha1; authentication_method pre_shared_key; dh_group modp1536; } generate_policy on; } sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any { encryption_algorithm aes256; authentication_algorithm hmac_sha1; compression_algorithm deflate; } === root@racoon:~# cat /etc/racoon/psk.txt 185.148.83.16 testkey === root@racoon:~# cat /etc/ipsec-tools.conf #!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec esp/tunnel/185.148.83.16-80.211.43.73/require; spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/80.211.43.73-185.148.83.16/require; === root@racoon:~# racoonctl show-sa isakmp Destination Cookies Created 185.148.83.16.500 2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 === root@racoon:~# racoonctl show-sa esp 80.211.43.73 185.148.83.16 esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000) E: aes-cbc 00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d A: hmac-sha1 aa9e7cd7 51653621 67b3b2e9 64818de5 df848792 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=1 pid=7739 refcnt=0 185.148.83.16 80.211.43.73 esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000) E: aes-cbc c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044 A: hmac-sha1 cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=0 pid=7739 refcnt=0 - كل شيء جاهز ، IPsec VPN من موقع إلى موقع جاهز ويعمل.
في هذا المثال ، استخدمنا PSK لمصادقة الأقران ، ولكن مصادقة الشهادة ممكنة أيضًا. للقيام بذلك ، انتقل إلى علامة التبويب "التكوين العام" ، وقم بتمكين مصادقة الشهادة وحدد الشهادة نفسها.
بالإضافة إلى ذلك ، في إعدادات الموقع ، ستحتاج إلى تغيير طريقة المصادقة.
ألاحظ أن عدد أنفاق IPsec يعتمد على حجم بوابة Edge التي تم نشرها (اقرأ عن هذا في ملف ).
SSL VPN
SSL VPN-Plus هو أحد خيارات VPN للوصول عن بعد. يسمح للمستخدمين الفرديين عن بعد بالاتصال بأمان بالشبكات الخاصة خلف NSX Edge Gateway. يتم إنشاء نفق مشفر في حالة SSL VPN-plus بين العميل (Windows و Linux و Mac) و NSX Edge.
- لنبدأ في الإعداد. في لوحة تحكم خدمة Edge Gateway ، انتقل إلى علامة التبويب SSL VPN-Plus ، ثم إلى إعدادات الخادم. نختار العنوان والمنفذ اللذين سيستمع الخادم عليهما للاتصالات الواردة ، ونمكِّن التسجيل ونختار خوارزميات التشفير اللازمة.
هنا يمكنك أيضًا تغيير الشهادة التي سيستخدمها الخادم. - بعد أن يصبح كل شيء جاهزًا ، قم بتشغيل الخادم ولا تنس حفظ الإعدادات.
- بعد ذلك ، نحتاج إلى إعداد مجموعة من العناوين التي سنصدرها للعملاء عند الاتصال. هذه الشبكة منفصلة عن أي شبكة فرعية موجودة في بيئة NSX ولا تحتاج إلى تكوينها على أجهزة أخرى على الشبكات المادية ، باستثناء المسارات التي تشير إليها.
انتقل إلى علامة التبويب تجمعات IP وانقر فوق +.
- حدد العناوين وقناع الشبكة الفرعية والبوابة. هنا يمكنك أيضًا تغيير إعدادات خوادم DNS و WINS.
- التجمع الناتج.
- الآن دعنا نضيف الشبكات التي سيتمكن المستخدمون المتصلون بشبكة VPN من الوصول إليها. انتقل إلى علامة التبويب الشبكات الخاصة وانقر فوق +.
- نملأ:
- الشبكة - شبكة محلية يمكن للمستخدمين البعيدين الوصول إليها.
- إرسال حركة المرور ، لديها خياران:
- عبر النفق - إرسال حركة المرور إلى الشبكة عبر النفق ،
- نفق الالتفاف - إرسال حركة المرور إلى الشبكة عبر تجاوز النفق مباشرةً. - تمكين تحسين TCP - تحقق مما إذا كنت قد اخترت خيار النفق عبر النفق. عند تمكين التحسين ، يمكنك تحديد أرقام المنافذ التي تريد تحسين حركة المرور لها. لن يتم تحسين حركة المرور للمنافذ المتبقية على تلك الشبكة المعينة. إذا لم يتم تحديد أرقام منافذ ، فسيتم تحسين حركة المرور لجميع المنافذ. مزيد من المعلومات حول هذه الميزة .
- بعد ذلك ، انتقل إلى علامة التبويب المصادقة وانقر فوق +. للمصادقة ، سنستخدم خادمًا محليًا على NSX Edge نفسه.
- هنا يمكننا تحديد سياسات إنشاء كلمات مرور جديدة وتكوين خيارات لحظر حسابات المستخدمين (على سبيل المثال ، عدد مرات إعادة المحاولة إذا تم إدخال كلمة المرور بشكل غير صحيح).
- نظرًا لأننا نستخدم المصادقة المحلية ، فنحن بحاجة إلى إنشاء المستخدمين.
- بالإضافة إلى الأشياء الأساسية مثل الاسم وكلمة المرور ، يمكنك هنا ، على سبيل المثال ، منع المستخدم من تغيير كلمة المرور أو ، على العكس من ذلك ، إجباره على تغيير كلمة المرور في المرة التالية التي يقوم فيها بتسجيل الدخول.
- بعد إضافة جميع المستخدمين الضروريين ، انتقل إلى علامة التبويب حزم التثبيت ، وانقر فوق + وقم بإنشاء برنامج التثبيت نفسه ، والذي سيتم تنزيله بواسطة موظف بعيد للتثبيت.
- اضغط على +. حدد عنوان ومنفذ الخادم الذي سيتصل به العميل ، والأنظمة الأساسية التي تريد إنشاء حزمة التثبيت لها.
أدناه في هذه النافذة ، يمكنك تحديد إعدادات العميل لنظام التشغيل Windows. يختار:- بدء العميل عند تسجيل الدخول - ستتم إضافة عميل VPN لبدء التشغيل على الجهاز البعيد ؛
- إنشاء رمز سطح المكتب - سيتم إنشاء رمز عميل VPN على سطح المكتب ؛
- التحقق من صحة شهادة أمان الخادم - سيتم التحقق من صحة شهادة الخادم عند الاتصال.
اكتمل إعداد الخادم.
- لنقم الآن بتنزيل حزمة التثبيت التي أنشأناها في الخطوة الأخيرة إلى جهاز كمبيوتر بعيد. عند إعداد الخادم ، حددنا عنوانه الخارجي (185.148.83.16) والمنفذ (445). في هذا العنوان نحتاج للذهاب إلى متصفح الويب. في حالتي هو كذلك : 445.
في نافذة التفويض ، يجب عليك إدخال بيانات اعتماد المستخدم التي أنشأناها مسبقًا.
- بعد التفويض ، نرى قائمة بحزم التثبيت التي تم إنشاؤها والمتاحة للتنزيل. لقد أنشأنا واحدًا فقط - سنقوم بتنزيله.
- نضغط على الرابط ، يبدأ تنزيل العميل.
- قم بفك ضغط الأرشيف الذي تم تنزيله وتشغيل برنامج التثبيت.
- بعد التثبيت ، قم بتشغيل العميل ، في نافذة الترخيص ، انقر فوق تسجيل الدخول.
- في نافذة التحقق من الشهادة ، حدد نعم.
- نقوم بإدخال بيانات الاعتماد للمستخدم الذي تم إنشاؤه مسبقًا ونرى أن الاتصال قد اكتمل بنجاح.
- نتحقق من إحصائيات عميل VPN على الكمبيوتر المحلي.
- في سطر أوامر Windows (ipconfig / all) ، نرى ظهور محول افتراضي إضافي وهناك اتصال بالشبكة البعيدة ، كل شيء يعمل:
- وأخيرًا ، تحقق من وحدة التحكم Edge Gateway.
L2 VPN
ستكون هناك حاجة إلى L2VPN عندما تحتاج إلى الجمع بين عدة مواقع جغرافية
توزيع الشبكات في مجال بث واحد.
يمكن أن يكون هذا مفيدًا ، على سبيل المثال ، عند ترحيل جهاز افتراضي: عندما ينتقل جهاز افتراضي إلى منطقة جغرافية أخرى ، سيحتفظ الجهاز بإعدادات عنونة IP الخاصة به ولن يفقد الاتصال مع الأجهزة الأخرى الموجودة في نفس المجال L2 معها.
في بيئة الاختبار الخاصة بنا ، سنقوم بتوصيل موقعين ببعضهما البعض ، وسوف نسميهما A و B على التوالي ، ولدينا شبكتان من NSX وشبكتان متماثلتان تم إنشاؤهما بشكل متماثل ومُلحقين بحواف مختلفة. عنوان الجهاز A هو 10.10.10.250/24 ، بينما عنوان الجهاز B هو 10.10.10.2/24.
- في vCloud Director ، انتقل إلى علامة التبويب الإدارة ، وانتقل إلى VDC الذي نحتاجه ، وانتقل إلى علامة التبويب Org VDC Networks وأضف شبكتين جديدتين.
- حدد نوع الشبكة الموجهة واربط هذه الشبكة بـ NSX الخاص بنا. نضع مربع الاختيار إنشاء كواجهة فرعية.
- نتيجة لذلك ، يجب أن نحصل على شبكتين. في مثالنا ، يطلق عليهم اسم network-a و network-b مع نفس إعدادات البوابة ونفس القناع.
- الآن دعنا ننتقل إلى إعدادات أول NSX. سيكون هذا هو NSX الذي تتصل به الشبكة A. وسيعمل كخادم.
نعود إلى واجهة NSx Edge / انتقل إلى علامة التبويب VPN -> L2VPN. نقوم بتشغيل L2VPN ، حدد وضع تشغيل الخادم ، في إعدادات Server Global نحدد عنوان IP الخارجي NSX الذي سيستمع إليه منفذ النفق. بشكل افتراضي ، سيتم فتح المقبس على المنفذ 443 ، ولكن يمكن تغيير ذلك. لا تنس تحديد إعدادات التشفير للنفق المستقبلي.
- انتقل إلى علامة التبويب مواقع الخادم وقم بإضافة نظير.
- نقوم بتشغيل النظير ، بتعيين الاسم والوصف ، إذا لزم الأمر ، قم بتعيين اسم المستخدم وكلمة المرور. سنحتاج هذه البيانات لاحقًا عند إعداد موقع العميل.
في عنوان بوابة تحسين الخروج ، قمنا بتعيين عنوان البوابة. يعد هذا ضروريًا حتى لا يكون هناك تعارض في عناوين IP ، لأن بوابة شبكاتنا لها نفس العنوان. ثم انقر فوق الزر SELECT SUB-INTERFACES.
- هنا نختار الواجهة الفرعية المطلوبة. نحفظ الإعدادات.
- نرى أن موقع العميل الذي تم إنشاؤه حديثًا قد ظهر في الإعدادات.
- الآن دعنا ننتقل إلى تكوين NSX من جانب العميل.
نذهب إلى NSX الجانب B ، نذهب إلى VPN -> L2VPN ، قم بتمكين L2VPN ، اضبط وضع L2VPN على وضع العميل. في علامة التبويب Client Global ، قم بتعيين عنوان ومنفذ NSX A ، والذي حددناه سابقًا باسم Listening IP and Port على جانب الخادم. من الضروري أيضًا تعيين نفس إعدادات التشفير بحيث تكون متسقة عند رفع النفق.
نقوم بالتمرير أدناه ، حدد الواجهة الفرعية التي سيتم من خلالها بناء نفق L2VPN.
في عنوان بوابة تحسين الخروج ، قمنا بتعيين عنوان البوابة. تعيين معرف المستخدم وكلمة المرور. نختار الواجهة الفرعية ولا ننسى حفظ الإعدادات. - في الواقع ، هذا كل شيء. إعدادات جانب العميل والخادم متطابقة تقريبًا ، باستثناء بعض الفروق الدقيقة.
- الآن يمكننا أن نرى أن النفق الخاص بنا قد نجح بالذهاب إلى الإحصائيات -> L2VPN على أي NSX.
- إذا انتقلنا الآن إلى وحدة التحكم في أي بوابة Edge ، فسنرى على كل منها في جدول arp عناوين كلا الجهازين الظاهريين.
هذا كل شيء عن VPN على NSX Edge. اسأل إذا كان هناك شيء غير واضح. إنه أيضًا الجزء الأخير من سلسلة المقالات حول العمل مع NSX Edge. نأمل أن يكونوا متعاونين 🙂
المصدر: www.habr.com