Сёння мы паглядзім на магчымасці наладкі VPN, якія прапануе нам NSX Edge.
У цэлым мы можам падзяліць VPN-тэхналогіі на два ключавыя віды:
- Сайт-сайт VPN. Часцей за ўсё выкарыстоўваецца IPSec для стварэння абароненага тунэля, напрыклад, паміж сеткай галоўнага офіса і сеткай на выдаленай пляцоўцы ці ў воблаку.
- VPN аддаленага доступу. Выкарыстоўваецца для падлучэння асобных карыстальнікаў да прыватных сетак арганізацый з дапамогай ПЗ VPN-кліента.
NSX Edge дазваляе нам выкарыстоўваць абодва варыянты.
Наладу будзем вырабляць з дапамогай тэставага стэнда з двума NSX Edge, Linux-сервера з усталяваным дэманам і наўтбука з Windows для тэставання Remote Access VPN.
IPsec
- У інтэрфейсе vCloud Director пераходзім у падзел Administration і вылучаем vDC. На ўкладцы Edge Gateways выбіраемы патрэбны нам Edge, клікаем правай кнопкай і выбіраемы Edge Gateway Services.
- У інтэрфейсе NSX Edge пераходзім ва ўкладку VPN-IPsec VPN, далей - у раздзел IPsec VPN Sites і ціснем +, каб дадаць новую пляцоўку.
- Запаўняем неабходныя палі:
- Ўключана - актывуе выдаленую пляцоўку.
- PFS – гарантуе, што кожны новы крыптаграфічны ключ не злучаны з любым папярэднім ключом.
- Local ID і Local Endpoint - вонкавы адрас NSX Edge.
- Лакальная падсеткаs - лакальныя сеткі, якія будуць выкарыстоўваць IPsec VPN.
- Peer ID і Peer Endpoint - адрас выдаленай пляцоўкі.
- Peer Subnets - сеткі, якія будуць выкарыстоўваць IPsec VPN на выдаленым баку.
- Алгарытм шыфравання - алгарытм шыфравання тунэля.
- Ідэнтыфікацыя - як мы будзем аўтэнтыфікаваць банкет. Можна выкарыстоўваць Pre-Shared Key або сертыфікат.
- Папярэдне агульны ключ – паказваем ключ, які будзе выкарыстоўвацца для аўтэнтыфікацыі і павінен супадаць абапал.
- Група Дыфі-Хеллмана - алгарытм абмену ключамі.
Пасля запаўнення неабходных палёў націскаем Keep.
- Гатова.
- Пасля дадання пляцоўкі пераходзім на ўкладку Activation Status і які актывуецца IPsec Service.
- Пасля таго, як налады будуць ужытыя, пераходзім ва ўкладку Statistics -> IPsec VPN і правяраем статут тунэля. Бачым, што тунэль падняўся.
- Праверым статут тунэля з кансолі Edge gateway:
- show service ipsec - праверка стану сэрвісу.
- show service ipsec site - інфармацыя аб стане сайта і ўзгодненых параметрах.
- show service ipsec sa - праверка статусу Security Association (SA).
- show service ipsec - праверка стану сэрвісу.
- Праверка складнасці з выдаленай пляцоўкай:
root@racoon:~# ifconfig eth0:1 | grep inet inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0 root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data. 64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms --- 192.168.0.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 msКанфігурацыйныя файлы і дадатковыя каманды для дыягностыкі са боку выдаленага Linux-сервера:
root@racoon:~# cat /etc/racoon/racoon.conf log debug; path pre_shared_key "/etc/racoon/psk.txt"; path certificate "/etc/racoon/certs"; listen { isakmp 80.211.43.73 [500]; strict_address; } remote 185.148.83.16 { exchange_mode main,aggressive; proposal { encryption_algorithm aes256; hash_algorithm sha1; authentication_method pre_shared_key; dh_group modp1536; } generate_policy on; } sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any { encryption_algorithm aes256; authentication_algorithm hmac_sha1; compression_algorithm deflate; } === root@racoon:~# cat /etc/racoon/psk.txt 185.148.83.16 testkey === root@racoon:~# cat /etc/ipsec-tools.conf #!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec esp/tunnel/185.148.83.16-80.211.43.73/require; spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/80.211.43.73-185.148.83.16/require; === root@racoon:~# racoonctl show-sa isakmp Destination Cookies Created 185.148.83.16.500 2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 === root@racoon:~# racoonctl show-sa esp 80.211.43.73 185.148.83.16 esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000) E: aes-cbc 00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d A: hmac-sha1 aa9e7cd7 51653621 67b3b2e9 64818de5 df848792 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=1 pid=7739 refcnt=0 185.148.83.16 80.211.43.73 esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000) E: aes-cbc c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044 A: hmac-sha1 cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=0 pid=7739 refcnt=0 - Усё гатова, site-to-site IPsec VPN настроены і працуе.
У гэтым прыкладзе мы выкарыстоўвалі PSK для аўтэнтыфікацыі балю, але магчымы таксама варыянт з аўтэнтыфікацыяй па сертыфікатах. Для гэтага трэба перайсці ва ўкладку Global Configuration, уключыць аўтэнтыфікацыю па сертыфікатах і абраць сам сертыфікат.
Акрамя таго, у настройках сайта неабходна будзе памяняць метад аўтэнтыфікацыі.
Адзначу, што колькасць IPsec-тунэляў залежыць ад памеру разгорнутага Edge Gateway (пра гэта чытайце ў нашай. ).
SSL VPN
SSL VPN-Plus - адзін з варыянтаў Remote Access VPN. Ён дазваляе асобным выдаленым карыстачам бяспечна падлучацца да дзеляў сетак, змешчаным за шлюзам NSX Edge. Зашыфраваны тунэль у выпадку SSL VPN-plus усталёўваецца паміж кліентам (Windows, Linux, Mac) і NSX Edge.
- Прыступім да налады. У панэлі кіравання сэрвісамі Edge Gateway пераходзім ва ўкладку SSL VPN-Plus, затым да Server Settings. Выбіраемы адрас і порт, на якім сервер будзе слухаць уваходныя злучэнні, уключаем лагіраванне і выбіраемы неабходныя алгарытмы шыфравання.
Тутака ж можна змяніць сертыфікат, які будзе выкарыстоўваць сервер. - Пасля таго як усё гатова, уключаем сервер і не забываем захаваць налады.
- Далей нам неабходна наладзіць пул адрасоў, якія мы будзем выдаваць кліентам пры падключэнні. Гэта сетка аддзелена ад любой існуючай падсеткі ў вашым асяроддзі NSX, яе не трэба наладжваць на іншых прыладах у фізічных сетках, за выключэннем маршрутаў, якія на яе паказваюць.
Пераходзім ва ўкладку IP Pools і ціснем +.
- Выбіраемы адрасы, маску падсеткі і шлюз. Тутака ж можна змяніць налады для DNS і WINS сервераў.
- Атрыманы пул.
- Зараз дадамо сеткі, доступ да якіх будзе ў карыстачоў, якія падключаюцца да VPN. Пяройдзем ва ўкладку Private Networks і націснем +.
- Запаўняем:
- Network - лакальная сетка, да якой будзе доступ у выдаленых карыстальнікаў.
- Send traffic, у яго два варыянты:
- over tunnel – адпраўляць трафік да сеткі праз тунэль,
- bypass tunnel - адпраўляць трафік да сеткі напрамую ў абыход тунэля. - Enable TCP Optimization - адзначаем, калі абралі варыянт over tunnel. Калі аптымізацыя ўключана, можна пазначыць нумары партоў, для якіх неабходна аптымізаваць трафік. Трафік для астатніх партоў гэтай канкрэтнай сеткі не будзе аптымізаваны. Калі нумары партоў не пазначаны, трафік для ўсіх партоў аптымізуецца. Падрабязней аб гэтай функцыі чытайце .
- Далей пераходзім на ўкладку Authentication і ціснем +. Для аўтэнтыфікацыі будзем выкарыстоўваць лакальны сервер на самай NSX Edge.
- Тут мы можам абраць палітыкі для генеравання новых пароляў і наладзіць опцыі па блакаванні карыстацкіх акаўнтаў (напрыклад, колькасць паўторных спроб пры няправільным уводзе пароля).
- Бо мы выкарыстоўваем лакальную аўтэнтыфікацыю, неабходна стварыць карыстачоў.
- Апроч базавых рэчаў накшталт імя і пароля, тут можна, напрыклад, забараніць карыстачу змяняць пароль ці, наадварот, прымусіць яго памяняць пароль пры наступным уваходзе.
- Пасля таго, як усе неабходныя карыстачы дададзены, пяройдзем на ўкладку Installation Packages, націснем + і створым сам усталёўнік, які запампуе для ўсталёўкі выдалены супрацоўнік.
- Націскаем +. Выбіраемы адрас і порт сервера, да якога будзе падлучацца кліент, і платформы, для якіх трэба згенераваць усталявальны пакет.
Ніжэй у гэтым акне можна пазначыць параметры кліента для Windows. Выбіраемы:- start client on logon - VPN-кліент будзе дададзены ў аўтазагрузку на выдаленай машыне;
- create desktop icon - створыць абразок VPN-кліента на працоўным стале;
- server security certificate validation - будзе валідаваць сертыфікат сервера пры падключэнні.
Настройка сервера завершана.
- Зараз спампаваны створаны намі ў апошнім кроку ўсталявальны пакет на выдалены ПК. Пры наладзе сервера мы паказвалі яго вонкавы адрас (185.148.83.16) і порт (445). Менавіта па гэтым адрасе нам неабходна перайсці ў вэб-браўзэры. У маім выпадку гэта : 445.
У акне аўтарызацыі неабходна ўвесці ўліковыя дадзеныя карыстальніка, якога мы стварылі раней.
- Пасля аўтарызацыі перад намі з'яўляецца спіс створаных усталявальных пакетаў, даступных для загрузкі. Мы стварылі толькі адзін - яго і спампоўваем.
- Клікаем па спасылцы, пачынаецца спампоўка кліента.
- Распакоўваем запампаваны архіў і запускаем усталёўнік.
- Пасля ўстаноўкі запускаем кліент, у акне аўтарызацыі націскаем Login.
- У акне праверкі сертыфіката выбіраемы Yes.
- Уводзім уліковыя дадзеныя для раней створанага карыстальніка і бачым, што падлучэнне завершана паспяхова.
- Правяраем статыстыку VPN-кліента на лакальным кампутары.
- У камандным радку Windows (ipconfig /all) бачны, што з'явіўся дадатковы віртуальны адаптар і складнасць з выдаленай сеткай ёсць, усё працуе:
- І напрыканцы праверка з кансолі Edge Gateway.
L2 VPN
L2VPN спатрэбіцца ў тым выпадку, калі трэба аб'яднаць некалькі геаграфічна
размеркаваных сетак у адзін broadcast-дамен.
Гэта можа быць карысна, напрыклад, пры міграцыі віртуальнай машыны: пры пераездзе ВМ на іншую геаграфічную пляцоўку машына захавае налады IP-адрасацыі і не страціць складнасць з іншымі машынамі, змешчанымі ў адным L2-дамене з ёй.
У нашым тэставым асяроддзі злучым сябар з сябрам дзве пляцоўкі, назавем іх, адпаведна, A і B. У нас ёсць два NSX і дзве аднолькава створаныя маршрутызуемыя сеткі, прывязаныя да розных Edge. Машына A мае адрас 10.10.10.250/24, машына B - 10.10.10.2/24.
- У vCloud Director пераходзім на ўкладку Administration, заходзім у патрэбны нам VDC, пераходзім на ўкладку Org VDC Networks і дадаем дзве новыя сеткі.
- Выбіраемы тып сеткі routed і прывязваем гэтую сетку да нашага NSX. Ставім чэкбокс Create as subinterface.
- У выніку ў нас павінны атрымацца дзве сеткі. У нашым прыкладзе яны называюцца network-a і network-b з аднолькавымі настройкамі gateway і аднолькавай маскай.
- Цяпер пяройдзем у налады першага NSX. Гэта будзе NSX, да якога прывязана сетка A. Ён будзе выступаць у якасці сервера.
Вяртаемся ў інтэрфейс NSx Edge/ Пераходзім на ўкладку VPN -> L2VPN. Уключаем L2VPN, выбіраемы рэжым працы Server, у наладах Server Global паказваем вонкавы IP-адрас NSX, на якім будзе слухацца порт для тунэля. Па змаўчанні, сокет адкрыецца на 443 порце, але яго можна памяняць. Не забываем абраць налады шыфравання для будучыні тунэля.
- Пераходзім ва ўкладку Server Sites і дадаем баль.
- Уключаем баль, задаём імя, апісанне, калі трэба, задаём імя карыстальніка і пароль. Гэтыя дадзеныя нам спатрэбяцца пазней пры наладзе кліенцкага сайта.
У Egress Optimization Gateway Address задаем адрас шлюза. Гэта трэба для таго, каб не адбываўся канфлікт IP-адрасоў, бо шлюз у нашых сетак мае адзін і той жа адрас. Пасля чаго націскаем на кнопку SELECT SUB-INTERFACES.
- Тут выбіраемы патрэбны сабітэрфейс. Захоўваем наладкі.
- Бачым, што ў наладах з'явіўся толькі што створаны кліенцкі сайт.
- Цяпер пяройдзем да налады NSX з боку кліента.
Заходзім на NSX боку B, пераходзім у VPN -> L2VPN, уключаем L2VPN, усталёўваны L2VPN mode у кліенцкі рэжым працы. На ўкладцы Client Global задаём адрас і порт NSX A, які мы паказвалі раней як Listening IP і Port на серверным боку. Таксама неабходна выставіць аднолькавыя налады шыфравання, каб яны ўзгадніліся пры падняцці тунэля.
Прамотваем ніжэй, выбіраем сабітэрфейс, праз які будзе будавацца тунэль для L2VPN.
У Egress Optimization Gateway Address задаем адрас шлюза. Задаем user-id і пароль. Выбіраемы сабітэрфейс і не забываем захаваць налады. - Уласна, гэта ўсё. Налады кліенцкага і сервернага боку практычна ідэнтычныя, за выключэннем некалькіх нюансаў.
- Цяпер можам паглядзець, што наш тунэль зарабіў, перайшоўшы ў Statistics -> L2VPN на любым NSX.
- Калі зараз зойдзем у кансоль любога Edge Gateway, то ўбачым на кожным з іх у arp-табліцы адрасы абедзвюх VM.
На гэтым пра VPN на NSX Edge у мяне ўсё. Пытайце, калі нешта засталося незразумелым. Таксама гэта апошняя частка з серыі артыкулаў па працы з NSX Edge. Спадзяемся, яны былі карысныя 🙂
Крыніца: habr.com