Kiçiklər üçün VMware NSX. Hissə 6: VPN Quraşdırma

Birinci hissə. giriş
İkinci hissə. Firewall və NAT qaydalarının konfiqurasiyası
Üçüncü hissə. DHCP konfiqurasiyası
Dördüncü hissə. Marşrutlaşdırma quraşdırma
Beşinci hissə. Yük balanslaşdırıcısının qurulması

Bu gün NSX Edge-in bizə təklif etdiyi VPN konfiqurasiya seçimlərinə nəzər salacağıq.

Ümumiyyətlə, VPN texnologiyalarını iki əsas növə ayıra bilərik:

• Saytdan-sayta VPN. IPSec-in ən ümumi istifadəsi, məsələn, əsas ofis şəbəkəsi ilə uzaq bir saytda və ya buludda şəbəkə arasında təhlükəsiz tunel yaratmaqdır.
• Uzaqdan Giriş VPN. VPN müştəri proqram təminatından istifadə edərək fərdi istifadəçiləri korporativ şəxsi şəbəkələrə qoşmaq üçün istifadə olunur.

NSX Edge bizə hər iki variantdan istifadə etməyə imkan verir.
Quraşdırılmış demonu olan Linux serveri olan iki NSX Edge ilə sınaq stendindən istifadə edərək konfiqurasiya edəcəyik racoon və Uzaqdan Giriş VPN-i sınamaq üçün Windows noutbuku.

IPsec

1. vCloud Director interfeysində İdarəetmə bölməsinə keçin və vDC-ni seçin. Edge Gateways sekmesinde, bizə lazım olan Edge seçin, sağ klikləyin və Edge Gateway Services seçin.
   
2. NSX Edge interfeysində VPN-IPsec VPN nişanına, sonra IPsec VPN Saytları bölməsinə keçin və yeni sayt əlavə etmək üçün + düyməsini sıxın.

   

3. Tələb olunan sahələri doldurun:
   • Effektiv – uzaq saytı aktivləşdirir.
   • PFS – hər bir yeni kriptoqrafik açarın əvvəlki açarla əlaqələndirilməməsini təmin edir.
   • Lokal ID və Local Endpointt NSX Edge-in xarici ünvanıdır.
   • yerli alt şəbəkəs - IPsec VPN istifadə edəcək yerli şəbəkələr.
   • Peer ID və Peer Endpoint – uzaq saytın ünvanı.
   • Həmyaşıd alt şəbəkələr – uzaq tərəfdə IPsec VPN istifadə edəcək şəbəkələr.
   • Şifrələmə alqoritmi - tunel şifrələmə alqoritmi.

   
   

   • İdentifikasiyası - həmyaşıdı necə təsdiq edəcəyik. Siz Əvvəlcədən Paylaşılan Açardan və ya sertifikatdan istifadə edə bilərsiniz.
   • Əvvəlcədən Paylaşılan Açar - autentifikasiya üçün istifadə olunacaq və hər iki tərəfdən uyğun olmalıdır açarı göstərin.
   • Diffie Hellman Qrupu – açar mübadiləsi alqoritmi.

   Tələb olunan sahələri doldurduqdan sonra Saxla düyməsini basın.

   

4. Done.

   

5. Saytı əlavə etdikdən sonra Aktivləşdirmə Vəziyyəti sekmesine keçin və IPsec Xidmətini aktivləşdirin.

   

6. Parametrlər tətbiq edildikdən sonra Statistika -> IPsec VPN sekmesine keçin və tunelin vəziyyətini yoxlayın. Tunelin qalxdığını görürük.

   

7. Edge gateway konsolundan tunel vəziyyətini yoxlayın:
   • ipsec xidmətini göstər - xidmətin vəziyyətini yoxlayın.

     

   • show service ipsec site - Saytın vəziyyəti və razılaşdırılmış parametrlər haqqında məlumat.

     

   • ipsec sa xidmətini göstər - Təhlükəsizlik Assosiasiyasının (SA) statusunu yoxlayın.

     

8. Uzaq saytla əlaqə yoxlanılır:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Uzaq Linux serverindən diaqnostika üçün konfiqurasiya faylları və əlavə əmrlər:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Hər şey hazırdır, saytdan sayta IPsec VPN işləyir və işləyir.

   Bu nümunədə biz həmyaşıdların autentifikasiyası üçün PSK-dan istifadə etdik, lakin sertifikatın autentifikasiyası da mümkündür. Bunu etmək üçün Qlobal Konfiqurasiya sekmesine keçin, sertifikatın autentifikasiyasını aktivləşdirin və sertifikatın özünü seçin.

   Bundan əlavə, sayt parametrlərində autentifikasiya metodunu dəyişdirməlisiniz.

   
   
   
   
   Qeyd edim ki, IPsec tunellərinin sayı yerləşdirilən Edge Gateway-in ölçüsündən asılıdır (bu barədə bizim səhifəmizdə oxuyun) ilk məqalə).

   

SSL VPN

SSL VPN-Plus Uzaqdan Giriş VPN seçimlərindən biridir. O, fərdi uzaq istifadəçilərə NSX Edge Gateway arxasında şəxsi şəbəkələrə təhlükəsiz qoşulmağa imkan verir. SSL VPN-plus vəziyyətində müştəri (Windows, Linux, Mac) və NSX Edge arasında şifrələnmiş tunel qurulur.

1. Quraşdırmağa başlayaq. Edge Gateway xidmət idarəetmə panelində SSL VPN-Plus nişanına, sonra Server Parametrlərinə keçin. Serverin daxil olan əlaqələri dinləyəcəyi ünvanı və portu seçirik, girişi aktivləşdiririk və lazımi şifrələmə alqoritmlərini seçirik.

   
   
   Burada həmçinin serverin istifadə edəcəyi sertifikatı dəyişə bilərsiniz.

   

2. Hər şey hazır olduqdan sonra serveri yandırın və parametrləri yadda saxlamağı unutmayın.

   

3. Sonra, qoşulduqda müştərilərə verəcəyimiz ünvanlar hovuzu yaratmalıyıq. Bu şəbəkə NSX mühitinizdə mövcud olan hər hansı alt şəbəkədən ayrıdır və ona işarə edən marşrutlar istisna olmaqla, fiziki şəbəkələrdəki digər cihazlarda konfiqurasiya edilməsinə ehtiyac yoxdur.

   IP Hovuzları sekmesine keçin və + düyməsini basın.

   

4. Ünvanlar, alt şəbəkə maskası və şlüz seçin. Burada həmçinin DNS və WINS serverlərinin parametrlərini dəyişə bilərsiniz.

   

5. Nəticədə hovuz.

   

6. İndi VPN-ə qoşulan istifadəçilərin daxil ola biləcəyi şəbəkələri əlavə edək. Şəxsi Şəbəkələr sekmesine keçin və + düyməsini basın.

   

7. Biz doldururuq:
   • Şəbəkə - uzaq istifadəçilərin daxil ola biləcəyi yerli şəbəkə.
   • Trafik göndərin, onun iki seçimi var:
     - tunel üzərində - tunel vasitəsilə şəbəkəyə trafik göndərmək,
     — bypass tunel—trafikin birbaşa tuneldən yan keçərək şəbəkəyə göndərilməsi.
   • TCP Optimizasiyasını aktivləşdirin - tunel üzərindən seçim seçdiyinizi yoxlayın. Optimallaşdırma aktiv olduqda, siz trafiki optimallaşdırmaq istədiyiniz port nömrələrini təyin edə bilərsiniz. Həmin xüsusi şəbəkədə qalan portlar üçün trafik optimallaşdırılmayacaq. Heç bir port nömrələri göstərilməyibsə, bütün portlar üçün trafik optimallaşdırılır. Bu xüsusiyyət haqqında daha çox oxuyun burada.

   

8. Sonra, Doğrulama sekmesine keçin və + düyməsini basın. Doğrulama üçün biz NSX Edge-in özündə yerli serverdən istifadə edəcəyik.

   

9. Burada biz yeni parolların yaradılması üçün siyasətləri seçə və istifadəçi hesablarının bloklanması variantlarını konfiqurasiya edə bilərik (məsələn, parol səhv daxil edildikdə təkrar cəhdlərin sayı).

   
   
   

10. Biz yerli autentifikasiyadan istifadə etdiyimiz üçün istifadəçilər yaratmalıyıq.

    

11. Ad və parol kimi əsas şeylərə əlavə olaraq, burada, məsələn, istifadəçiyə parolu dəyişdirməyi qadağan edə və ya əksinə, növbəti dəfə daxil olduqda parolu dəyişməyə məcbur edə bilərsiniz.

    

12. Bütün lazımi istifadəçilər əlavə edildikdən sonra Quraşdırma Paketləri sekmesine keçin, + düyməsini basın və quraşdırma üçün uzaq bir işçi tərəfindən yüklənəcək quraşdırıcının özünü yaradın.

    

13. + düyməsini basın. Müştərinin qoşulacağı serverin ünvanını və portunu və quraşdırma paketini yaratmaq istədiyiniz platformaları seçin.

    
    
    Aşağıda bu pəncərədə Windows üçün müştəri parametrlərini təyin edə bilərsiniz. Seçin:

    • giriş zamanı müştərini işə salın – VPN müştərisi uzaq maşında işə salınmağa əlavə olunacaq;
    • masa üstü simgesini yarat - masaüstündə VPN müştəri simvolu yaradacaq;
    • server təhlükəsizlik sertifikatının təsdiqi - qoşulma zamanı server sertifikatını təsdiq edəcək.
      Serverin quraşdırılması tamamlandı.

    

14. İndi isə son mərhələdə yaratdığımız quraşdırma paketini uzaq kompüterə endirək. Serveri qurarkən onun xarici ünvanını (185.148.83.16) və portunu (445) göstərdik. Məhz bu ünvanda veb brauzerə daxil olmalıyıq. Mənim vəziyyətimdə belədir 185.148.83.16: 445.

    Avtorizasiya pəncərəsində əvvəllər yaratdığımız istifadəçi etimadnaməsini daxil etməlisiniz.

    

15. Avtorizasiyadan sonra biz endirilə bilən yaradılmış quraşdırma paketlərinin siyahısını görürük. Biz yalnız birini yaratdıq - onu yükləyəcəyik.

    

16. Linkə klikləyirik, müştərinin yüklənməsi başlayır.

    

17. Yüklənmiş arxivi açın və quraşdırıcını işə salın.

    

18. Quraşdırıldıqdan sonra müştərini işə salın, avtorizasiya pəncərəsində Giriş düyməsini basın.

    

19. Sertifikat yoxlama pəncərəsində Bəli seçin.

    

20. Əvvəllər yaradılmış istifadəçinin etimadnaməsini daxil edirik və əlaqənin uğurla tamamlandığını görürük.

    
    
    

21. Yerli kompüterdə VPN müştərisinin statistikasını yoxlayırıq.

    
    
    

22. Windows əmr satırında (ipconfig / all) əlavə virtual adapterin göründüyünü və uzaq şəbəkəyə qoşulma olduğunu görürük, hər şey işləyir:

    
    
    

23. Və nəhayət, Edge Gateway konsolundan yoxlayın.

    

L2 VPN

Bir neçə coğrafi baxımdan birləşdirmək lazım olduqda L2VPN tələb olunacaq
şəbəkələri bir yayım domeninə payladı.

Bu, məsələn, virtual maşını köçürərkən faydalı ola bilər: VM başqa coğrafi əraziyə köçdükdə maşın IP ünvanlama parametrlərini saxlayacaq və onunla eyni L2 domenində yerləşən digər maşınlarla əlaqəni itirməyəcək.

Test mühitimizdə iki saytı bir-birinə bağlayacağıq, onları müvafiq olaraq A və B adlandıracağıq.Bizim iki NSX və müxtəlif Edge-lərə qoşulmuş iki eyni şəkildə yaradılmış marşrutlaşdırılmış şəbəkəmiz var. A maşınının 10.10.10.250/24, B maşınının 10.10.10.2/24 ünvanı var.

1. vCloud Director-da İdarəetmə sekmesine keçin, bizə lazım olan VDC-yə keçin, Org VDC Networks sekmesine keçin və iki yeni şəbəkə əlavə edin.

   

2. Yönləndirilmiş şəbəkə növünü seçin və bu şəbəkəni NSX-ə bağlayın. Alt interfeys olaraq yarat qutusunu qoyuruq.

   

3. Nəticədə iki şəbəkə əldə etməliyik. Bizim nümunəmizdə onlar eyni şlüz parametrləri və eyni maska ​​ilə şəbəkə-a və şəbəkə-b adlanır.

   
   
   

4. İndi birinci NSX-in parametrlərinə keçək. Bu, A Şəbəkəsinin qoşulduğu NSX olacaq. O, server kimi fəaliyyət göstərəcək.

   NSx Edge interfeysinə qayıdırıq / VPN sekmesine keçin -> L2VPN. L2VPN-i yandırırıq, Server iş rejimini seçirik, Server Qlobal parametrlərində tunel üçün portun dinlənəcəyi xarici NSX IP ünvanını təyin edirik. Varsayılan olaraq, rozetka 443 portda açılacaq, lakin bu dəyişdirilə bilər. Gələcək tunel üçün şifrələmə parametrlərini seçməyi unutmayın.

   

5. Server Saytları sekmesine keçin və həmyaşıd əlavə edin.

   

6. Peer-i işə salırıq, adı, təsviri təyin edirik, lazım olduqda istifadəçi adı və şifrəni təyin edirik. Bu məlumat bizə daha sonra müştəri saytını qurarkən lazım olacaq.

   Egress Optimization Gateway Address-də biz şluz ünvanını təyin etdik. Bu, IP ünvanlarının konfliktinin olmaması üçün lazımdır, çünki şəbəkələrimizin şlüzünün eyni ünvanı var. Sonra SEÇ SUB-INTERFACES düyməsini klikləyin.

   

7. Burada istədiyiniz alt interfeysi seçirik. Parametrləri saxlayırıq.

   

8. Parametrlərdə yeni yaradılmış müştəri saytının göründüyünü görürük.

   

9. İndi müştəri tərəfdən NSX konfiqurasiyasına keçək.

   NSX B tərəfinə gedirik, VPN -> L2VPN-ə keçin, L2VPN-ni aktivləşdirin, L2VPN rejimini müştəri rejiminə qoyun. Müştəri Qlobal sekmesinde, server tərəfində daha əvvəl Dinləmə IP və Port kimi qeyd etdiyimiz NSX A ünvanını və portunu təyin edin. Eyni şifrələmə parametrlərini belə qurmaq lazımdır ki, tunel qaldırıldıqda ardıcıl olsun.

   
   
   Aşağıya sürüşürük, L2VPN üçün tunelin qurulacağı alt interfeysi seçin.
   Egress Optimization Gateway Address-də biz şluz ünvanını təyin etdik. İstifadəçi adı və şifrəni təyin edin. Alt interfeysi seçirik və parametrləri saxlamağı unutmayın.

   

10. Əslində, hamısı budur. Müştəri və server tərəfinin parametrləri bir neçə nüans istisna olmaqla, demək olar ki, eynidır.
11. İndi hər hansı NSX-də Statistika -> L2VPN-ə keçməklə tunelimizin işlədiyini görə bilərik.

    

12. İndi hər hansı Edge Gateway-in konsoluna getsək, onların hər birində arp cədvəlində hər iki VM-nin ünvanlarını görəcəyik.

    

Bütün bunlar NSX Edge-də VPN haqqındadır. Bir şey aydın deyilsə soruşun. Bu həm də NSX Edge ilə işləmək haqqında bir sıra məqalələrin sonuncu hissəsidir. Ümid edirik ki, faydalı oldular 🙂

Mənbə: www.habr.com