Сёння мы паглядзім на магчымасці наладкі VPN, якія прапануе нам NSX Edge.
У цэлым мы можам падзяліць VPN-тэхналогіі на два ключавыя віды:
Сайт-сайт VPN. Часцей за ўсё выкарыстоўваецца IPSec для стварэння абароненага тунэля, напрыклад, паміж сеткай галоўнага офіса і сеткай на выдаленай пляцоўцы ці ў воблаку.
VPN аддаленага доступу. Выкарыстоўваецца для падлучэння асобных карыстальнікаў да прыватных сетак арганізацый з дапамогай ПЗ VPN-кліента.
NSX Edge дазваляе нам выкарыстоўваць абодва варыянты.
Наладу будзем вырабляць з дапамогай тэставага стэнда з двума NSX Edge, Linux-сервера з усталяваным дэманам енот і наўтбука з Windows для тэставання Remote Access VPN.
IPsec
У інтэрфейсе vCloud Director пераходзім у падзел Administration і вылучаем vDC. На ўкладцы Edge Gateways выбіраемы патрэбны нам Edge, клікаем правай кнопкай і выбіраемы Edge Gateway Services.
У інтэрфейсе NSX Edge пераходзім ва ўкладку VPN-IPsec VPN, далей - у раздзел IPsec VPN Sites і ціснем +, каб дадаць новую пляцоўку.
Запаўняем неабходныя палі:
Ўключана - актывуе выдаленую пляцоўку.
PFS – гарантуе, што кожны новы крыптаграфічны ключ не злучаны з любым папярэднім ключом.
Local ID і Local Endpoint - вонкавы адрас NSX Edge.
Лакальная падсеткаs - лакальныя сеткі, якія будуць выкарыстоўваць IPsec VPN.
Peer ID і Peer Endpoint - адрас выдаленай пляцоўкі.
Peer Subnets - сеткі, якія будуць выкарыстоўваць IPsec VPN на выдаленым баку.
Алгарытм шыфравання - алгарытм шыфравання тунэля.
Ідэнтыфікацыя - як мы будзем аўтэнтыфікаваць банкет. Можна выкарыстоўваць Pre-Shared Key або сертыфікат.
Папярэдне агульны ключ – паказваем ключ, які будзе выкарыстоўвацца для аўтэнтыфікацыі і павінен супадаць абапал.
Група Дыфі-Хеллмана - алгарытм абмену ключамі.
Пасля запаўнення неабходных палёў націскаем Keep.
Гатова.
Пасля дадання пляцоўкі пераходзім на ўкладку Activation Status і які актывуецца IPsec Service.
Пасля таго, як налады будуць ужытыя, пераходзім ва ўкладку Statistics -> IPsec VPN і правяраем статут тунэля. Бачым, што тунэль падняўся.
Праверым статут тунэля з кансолі Edge gateway:
show service ipsec - праверка стану сэрвісу.
show service ipsec site - інфармацыя аб стане сайта і ўзгодненых параметрах.
show service ipsec sa - праверка статусу Security Association (SA).
Праверка складнасці з выдаленай пляцоўкай:
root@racoon:~# ifconfig eth0:1 | grep inet
inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0
root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10
PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
--- 192.168.0.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
Канфігурацыйныя файлы і дадатковыя каманды для дыягностыкі са боку выдаленага Linux-сервера:
Усё гатова, site-to-site IPsec VPN настроены і працуе.
У гэтым прыкладзе мы выкарыстоўвалі PSK для аўтэнтыфікацыі балю, але магчымы таксама варыянт з аўтэнтыфікацыяй па сертыфікатах. Для гэтага трэба перайсці ва ўкладку Global Configuration, уключыць аўтэнтыфікацыю па сертыфікатах і абраць сам сертыфікат.
Акрамя таго, у настройках сайта неабходна будзе памяняць метад аўтэнтыфікацыі.
Адзначу, што колькасць IPsec-тунэляў залежыць ад памеру разгорнутага Edge Gateway (пра гэта чытайце ў нашай. першым артыкуле).
SSL VPN
SSL VPN-Plus - адзін з варыянтаў Remote Access VPN. Ён дазваляе асобным выдаленым карыстачам бяспечна падлучацца да дзеляў сетак, змешчаным за шлюзам NSX Edge. Зашыфраваны тунэль у выпадку SSL VPN-plus усталёўваецца паміж кліентам (Windows, Linux, Mac) і NSX Edge.
Прыступім да налады. У панэлі кіравання сэрвісамі Edge Gateway пераходзім ва ўкладку SSL VPN-Plus, затым да Server Settings. Выбіраемы адрас і порт, на якім сервер будзе слухаць уваходныя злучэнні, уключаем лагіраванне і выбіраемы неабходныя алгарытмы шыфравання.
Тутака ж можна змяніць сертыфікат, які будзе выкарыстоўваць сервер.
Пасля таго як усё гатова, уключаем сервер і не забываем захаваць налады.
Далей нам неабходна наладзіць пул адрасоў, якія мы будзем выдаваць кліентам пры падключэнні. Гэта сетка аддзелена ад любой існуючай падсеткі ў вашым асяроддзі NSX, яе не трэба наладжваць на іншых прыладах у фізічных сетках, за выключэннем маршрутаў, якія на яе паказваюць.
Пераходзім ва ўкладку IP Pools і ціснем +.
Выбіраемы адрасы, маску падсеткі і шлюз. Тутака ж можна змяніць налады для DNS і WINS сервераў.
Атрыманы пул.
Зараз дадамо сеткі, доступ да якіх будзе ў карыстачоў, якія падключаюцца да VPN. Пяройдзем ва ўкладку Private Networks і націснем +.
Запаўняем:
Network - лакальная сетка, да якой будзе доступ у выдаленых карыстальнікаў.
Send traffic, у яго два варыянты:
- over tunnel – адпраўляць трафік да сеткі праз тунэль,
- bypass tunnel - адпраўляць трафік да сеткі напрамую ў абыход тунэля.
Enable TCP Optimization - адзначаем, калі абралі варыянт over tunnel. Калі аптымізацыя ўключана, можна пазначыць нумары партоў, для якіх неабходна аптымізаваць трафік. Трафік для астатніх партоў гэтай канкрэтнай сеткі не будзе аптымізаваны. Калі нумары партоў не пазначаны, трафік для ўсіх партоў аптымізуецца. Падрабязней аб гэтай функцыі чытайце тут.
Далей пераходзім на ўкладку Authentication і ціснем +. Для аўтэнтыфікацыі будзем выкарыстоўваць лакальны сервер на самай NSX Edge.
Тут мы можам абраць палітыкі для генеравання новых пароляў і наладзіць опцыі па блакаванні карыстацкіх акаўнтаў (напрыклад, колькасць паўторных спроб пры няправільным уводзе пароля).
Бо мы выкарыстоўваем лакальную аўтэнтыфікацыю, неабходна стварыць карыстачоў.
Апроч базавых рэчаў накшталт імя і пароля, тут можна, напрыклад, забараніць карыстачу змяняць пароль ці, наадварот, прымусіць яго памяняць пароль пры наступным уваходзе.
Пасля таго, як усе неабходныя карыстачы дададзены, пяройдзем на ўкладку Installation Packages, націснем + і створым сам усталёўнік, які запампуе для ўсталёўкі выдалены супрацоўнік.
Націскаем +. Выбіраемы адрас і порт сервера, да якога будзе падлучацца кліент, і платформы, для якіх трэба згенераваць усталявальны пакет.
Ніжэй у гэтым акне можна пазначыць параметры кліента для Windows. Выбіраемы:
start client on logon - VPN-кліент будзе дададзены ў аўтазагрузку на выдаленай машыне;
create desktop icon - створыць абразок VPN-кліента на працоўным стале;
server security certificate validation - будзе валідаваць сертыфікат сервера пры падключэнні.
Настройка сервера завершана.
Зараз спампаваны створаны намі ў апошнім кроку ўсталявальны пакет на выдалены ПК. Пры наладзе сервера мы паказвалі яго вонкавы адрас (185.148.83.16) і порт (445). Менавіта па гэтым адрасе нам неабходна перайсці ў вэб-браўзэры. У маім выпадку гэта 185.148.83.16: 445.
У акне аўтарызацыі неабходна ўвесці ўліковыя дадзеныя карыстальніка, якога мы стварылі раней.
Пасля аўтарызацыі перад намі з'яўляецца спіс створаных усталявальных пакетаў, даступных для загрузкі. Мы стварылі толькі адзін - яго і спампоўваем.
Клікаем па спасылцы, пачынаецца спампоўка кліента.
Распакоўваем запампаваны архіў і запускаем усталёўнік.
Пасля ўстаноўкі запускаем кліент, у акне аўтарызацыі націскаем Login.
У акне праверкі сертыфіката выбіраемы Yes.
Уводзім уліковыя дадзеныя для раней створанага карыстальніка і бачым, што падлучэнне завершана паспяхова.
Правяраем статыстыку VPN-кліента на лакальным кампутары.
У камандным радку Windows (ipconfig /all) бачны, што з'явіўся дадатковы віртуальны адаптар і складнасць з выдаленай сеткай ёсць, усё працуе:
І напрыканцы праверка з кансолі Edge Gateway.
L2 VPN
L2VPN спатрэбіцца ў тым выпадку, калі трэба аб'яднаць некалькі геаграфічна
размеркаваных сетак у адзін broadcast-дамен.
Гэта можа быць карысна, напрыклад, пры міграцыі віртуальнай машыны: пры пераездзе ВМ на іншую геаграфічную пляцоўку машына захавае налады IP-адрасацыі і не страціць складнасць з іншымі машынамі, змешчанымі ў адным L2-дамене з ёй.
У нашым тэставым асяроддзі злучым сябар з сябрам дзве пляцоўкі, назавем іх, адпаведна, A і B. У нас ёсць два NSX і дзве аднолькава створаныя маршрутызуемыя сеткі, прывязаныя да розных Edge. Машына A мае адрас 10.10.10.250/24, машына B - 10.10.10.2/24.
У vCloud Director пераходзім на ўкладку Administration, заходзім у патрэбны нам VDC, пераходзім на ўкладку Org VDC Networks і дадаем дзве новыя сеткі.
Выбіраемы тып сеткі routed і прывязваем гэтую сетку да нашага NSX. Ставім чэкбокс Create as subinterface.
У выніку ў нас павінны атрымацца дзве сеткі. У нашым прыкладзе яны называюцца network-a і network-b з аднолькавымі настройкамі gateway і аднолькавай маскай.
Цяпер пяройдзем у налады першага NSX. Гэта будзе NSX, да якога прывязана сетка A. Ён будзе выступаць у якасці сервера.
Вяртаемся ў інтэрфейс NSx Edge/ Пераходзім на ўкладку VPN -> L2VPN. Уключаем L2VPN, выбіраемы рэжым працы Server, у наладах Server Global паказваем вонкавы IP-адрас NSX, на якім будзе слухацца порт для тунэля. Па змаўчанні, сокет адкрыецца на 443 порце, але яго можна памяняць. Не забываем абраць налады шыфравання для будучыні тунэля.
Пераходзім ва ўкладку Server Sites і дадаем баль.
Уключаем баль, задаём імя, апісанне, калі трэба, задаём імя карыстальніка і пароль. Гэтыя дадзеныя нам спатрэбяцца пазней пры наладзе кліенцкага сайта.
У Egress Optimization Gateway Address задаем адрас шлюза. Гэта трэба для таго, каб не адбываўся канфлікт IP-адрасоў, бо шлюз у нашых сетак мае адзін і той жа адрас. Пасля чаго націскаем на кнопку SELECT SUB-INTERFACES.
Тут выбіраемы патрэбны сабітэрфейс. Захоўваем наладкі.
Бачым, што ў наладах з'явіўся толькі што створаны кліенцкі сайт.
Цяпер пяройдзем да налады NSX з боку кліента.
Заходзім на NSX боку B, пераходзім у VPN -> L2VPN, уключаем L2VPN, усталёўваны L2VPN mode у кліенцкі рэжым працы. На ўкладцы Client Global задаём адрас і порт NSX A, які мы паказвалі раней як Listening IP і Port на серверным боку. Таксама неабходна выставіць аднолькавыя налады шыфравання, каб яны ўзгадніліся пры падняцці тунэля.
Прамотваем ніжэй, выбіраем сабітэрфейс, праз які будзе будавацца тунэль для L2VPN.
У Egress Optimization Gateway Address задаем адрас шлюза. Задаем user-id і пароль. Выбіраемы сабітэрфейс і не забываем захаваць налады.
Уласна, гэта ўсё. Налады кліенцкага і сервернага боку практычна ідэнтычныя, за выключэннем некалькіх нюансаў.
Цяпер можам паглядзець, што наш тунэль зарабіў, перайшоўшы ў Statistics -> L2VPN на любым NSX.
Калі зараз зойдзем у кансоль любога Edge Gateway, то ўбачым на кожным з іх у arp-табліцы адрасы абедзвюх VM.
На гэтым пра VPN на NSX Edge у мяне ўсё. Пытайце, калі нешта засталося незразумелым. Таксама гэта апошняя частка з серыі артыкулаў па працы з NSX Edge. Спадзяемся, яны былі карысныя 🙂