🥇VMware NSX за най-малките. Част 6. Настройка на VPN

Част първа. уводна
Част две. Конфигуриране на правила за защитна стена и NAT
Част трета. Конфигуриране на DHCP
Част четвърта. Настройка на маршрута
Част пета. Настройване на балансьор на натоварването

Днес ще разгледаме опциите за конфигурация на VPN, които ни предлага NSX Edge.

Като цяло можем да разделим VPN технологиите на два ключови типа:

VPN от сайт до сайт. Най-честата употреба на IPSec е за създаване на защитен тунел, например между мрежа на главен офис и мрежа на отдалечен сайт или в облака.
VPN за отдалечен достъп. Използва се за свързване на отделни потребители към корпоративни частни мрежи с помощта на VPN клиентския софтуер.

NSX Edge ни позволява да използваме и двете опции.
Ще конфигурираме с помощта на тестов стенд с два NSX Edge, Linux сървър с инсталиран демон миеща мечка и лаптоп с Windows за тестване на VPN за отдалечен достъп.

IPsec

В интерфейса на vCloud Director отидете в секцията Администриране и изберете vDC. В раздела Edge Gateways изберете Edge, от който се нуждаем, щракнете с десния бутон и изберете Edge Gateway Services.
В интерфейса на NSX Edge отидете в раздела VPN-IPsec VPN, след това в раздела IPsec VPN сайтове и щракнете върху +, за да добавите нов сайт.
Попълнете задължителните полета:
- Enabled – активира отдалечения сайт.
- PFS – гарантира, че всеки нов криптографски ключ не е свързан с предишен ключ.
- Локален идентификатор и локална крайна точкаt е външният адрес на NSX Edge.
- Локална подмрежаs - локални мрежи, които ще използват IPsec VPN.
- Peer ID и Peer Endpoint – адрес на отдалечения обект.
- Партньорски подмрежи – мрежи, които ще използват IPsec VPN от отдалечената страна.
- Алгоритъм за криптиране – алгоритъм за тунелно криптиране.
- заверка - как ще удостоверим партньора. Можете да използвате предварително споделен ключ или сертификат.
- Предварително споделен ключ - посочете ключа, който ще се използва за удостоверяване и трябва да съвпада от двете страни.
- Diffie Hellman Group – алгоритъм за обмен на ключове.
След като попълните задължителните полета, щракнете върху Запазване.
Готово.
След като добавите сайта, отидете в раздела Състояние на активиране и активирайте услугата IPsec.
След като настройките са приложени, отидете на раздел Статистика -> IPsec VPN и проверете състоянието на тунела. Виждаме, че тунелът се е издигнал.
Проверете състоянието на тунела от конзолата на Edge gateway:
- показване на услуга ipsec - проверка на състоянието на услугата.
- show service ipsec site - Информация за състоянието на сайта и договорени параметри.
- показване на услуга ipsec sa - проверка на състоянието на асоциацията за сигурност (SA).

Проверка на връзката с отдалечен сайт:

root@racoon:~# ifconfig eth0:1 | grep inet
        inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0

root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms

--- 192.168.0.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms

Конфигурационни файлове и допълнителни команди за диагностика от отдалечен Linux сървър:

root@racoon:~# cat /etc/racoon/racoon.conf 

log debug;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

listen {
  isakmp 80.211.43.73 [500];
   strict_address;
}

remote 185.148.83.16 {
        exchange_mode main,aggressive;
        proposal {
                 encryption_algorithm aes256;
                 hash_algorithm sha1;
                 authentication_method pre_shared_key;
                 dh_group modp1536;
         }
         generate_policy on;
}
 
sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
         encryption_algorithm aes256;
         authentication_algorithm hmac_sha1;
         compression_algorithm deflate;
}

===

root@racoon:~# cat /etc/racoon/psk.txt
185.148.83.16 testkey

===

root@racoon:~# cat /etc/ipsec-tools.conf 
#!/usr/sbin/setkey -f

flush;
spdflush;

spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
      esp/tunnel/185.148.83.16-80.211.43.73/require;

spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
      esp/tunnel/80.211.43.73-185.148.83.16/require;

===


root@racoon:~# racoonctl show-sa isakmp
Destination            Cookies                           Created
185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 

===

root@racoon:~# racoonctl show-sa esp
80.211.43.73 185.148.83.16 
        esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
        E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
        A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
        diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
        last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
        current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 860  hard: 0 soft: 0
        sadb_seq=1 pid=7739 refcnt=0
185.148.83.16 80.211.43.73 
        esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
        E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
        A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
        diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
        last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
        current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 860  hard: 0 soft: 0
        sadb_seq=0 pid=7739 refcnt=0

Всичко е готово, IPsec VPN от сайт към сайт е готов и работи.
В този пример използвахме PSK за peer автентификация, но удостоверяването със сертификат също е възможно. За да направите това, отидете в раздела Глобална конфигурация, активирайте удостоверяването на сертификат и изберете самия сертификат.

Освен това в настройките на сайта ще трябва да промените метода за удостоверяване.

Отбелязвам, че броят на IPsec тунелите зависи от размера на разположения Edge Gateway (прочетете за това в нашия първа статия).

SSL VPN

SSL VPN-Plus е една от опциите за VPN за отдалечен достъп. Той позволява на отделни отдалечени потребители да се свързват сигурно с частни мрежи зад NSX Edge Gateway. Криптиран тунел в случай на SSL VPN-plus се установява между клиента (Windows, Linux, Mac) и NSX Edge.

Да започнем настройката. В контролния панел на услугата Edge Gateway отидете на раздела SSL VPN-Plus, след това на Настройки на сървъра. Избираме адреса и порта, на който сървърът ще слуша за входящи връзки, активираме регистриране и избираме необходимите алгоритми за криптиране.

Тук можете също да промените сертификата, който сървърът ще използва.
След като всичко е готово, включете сървъра и не забравяйте да запазите настройките.
След това трябва да настроим набор от адреси, които ще издаваме на клиентите при свързване. Тази мрежа е отделна от всяка съществуваща подмрежа във вашата NSX среда и не е необходимо да се конфигурира на други устройства във физическите мрежи, с изключение на маршрутите, които сочат към нея.
Отидете в раздела IP Pools и щракнете върху +.
Изберете адреси, подмрежова маска и шлюз. Тук можете също да промените настройките за DNS и WINS сървъри.
Полученият басейн.
Сега нека добавим мрежите, до които потребителите, свързващи се с VPN, ще имат достъп. Отидете в раздела Частни мрежи и щракнете върху +.
Попълваме:
- Мрежа - локална мрежа, до която отдалечените потребители ще имат достъп.
- Изпращайте трафик, има две опции:
  - през тунел - изпраща трафик към мрежата през тунела,
  — заобикалящ тунел—изпраща трафик към мрежата директно заобикаляйки тунела.
- Активиране на TCP оптимизация - проверете дали сте избрали опцията over tunnel. Когато оптимизацията е активирана, можете да посочите номерата на портовете, за които искате да оптимизирате трафика. Трафикът за останалите портове в тази конкретна мрежа няма да бъде оптимизиран. Ако не са посочени номера на портове, трафикът за всички портове се оптимизира. Прочетете повече за тази функция тук.
След това отидете в раздела Удостоверяване и щракнете върху +. За удостоверяване ще използваме локален сървър на самия NSX Edge.
Тук можем да изберем правила за генериране на нови пароли и да конфигурираме опции за блокиране на потребителски акаунти (например броя на повторните опити, ако паролата е въведена неправилно).
Тъй като използваме локално удостоверяване, трябва да създадем потребители.
В допълнение към основните неща като име и парола, тук можете например да забраните на потребителя да променя паролата или, обратно, да го принудите да промени паролата следващия път, когато влезе.
След като бъдат добавени всички необходими потребители, отидете в раздела Инсталационни пакети, щракнете върху + и създайте самия инсталатор, който ще бъде изтеглен от отдалечен служител за инсталиране.
Натиснете +. Изберете адреса и порта на сървъра, към който клиентът ще се свърже, и платформите, за които искате да генерирате инсталационния пакет.

По-долу в този прозорец можете да посочите настройките на клиента за Windows. Избирам:
- стартиране на клиент при влизане – VPN клиентът ще бъде добавен при стартиране на отдалечената машина;
- създаване на икона на работния плот - ще създаде икона на VPN клиент на работния плот;
- валидиране на сертификат за сигурност на сървъра - ще потвърди сертификата на сървъра при свързване.
  Настройката на сървъра е завършена.
Сега нека изтеглим инсталационния пакет, който създадохме в последната стъпка, на отдалечен компютър. При настройването на сървъра сме посочили неговия външен адрес (185.148.83.16) и порт (445). Именно на този адрес трябва да отидем в уеб браузър. В моя случай е така 185.148.83.16: 445.
В прозореца за оторизация трябва да въведете потребителските идентификационни данни, които създадохме по-рано.
След упълномощаване виждаме списък със създадени инсталационни пакети, достъпни за изтегляне. Създадохме само един - ще го изтеглим.
Щракваме върху връзката, изтеглянето на клиента започва.
Разопаковайте изтегления архив и стартирайте инсталатора.
След инсталирането стартирайте клиента, в прозореца за оторизация щракнете върху Вход.
В прозореца за проверка на сертификата изберете Да.
Въвеждаме идентификационните данни за създадения преди това потребител и виждаме, че връзката е завършена успешно.
Проверяваме статистиката на VPN клиента на локалния компютър.
В командния ред на Windows (ipconfig / all) виждаме, че се е появил допълнителен виртуален адаптер и има връзка с отдалечената мрежа, всичко работи:
И накрая, проверете от конзолата на Edge Gateway.

L2 VPN

L2VPN ще е необходим, когато трябва да комбинирате няколко географски
разпределени мрежи в един излъчващ домейн.

Това може да бъде полезно, например, при мигриране на виртуална машина: когато VM се премести в друга географска област, машината ще запази своите настройки за IP адресиране и няма да загуби връзка с други машини, намиращи се в същия L2 домейн с нея.

В нашата тестова среда ще свържем два сайта един към друг, ще ги наречем съответно A и B. Имаме два NSX и две идентично създадени маршрутизирани мрежи, прикрепени към различни ръбове. Машина A има адрес 10.10.10.250/24, машина B има адрес 10.10.10.2/24.

Във vCloud Director отидете на раздела Администриране, отидете на VDC, от който се нуждаем, отидете на раздела Org VDC Networks и добавете две нови мрежи.
Изберете типа маршрутизирана мрежа и свържете тази мрежа към нашия NSX. Поставяме отметка Create as subinterface.
В резултат на това трябва да получим две мрежи. В нашия пример те се наричат network-a и network-b със същите настройки на шлюза и същата маска.
Сега да преминем към настройките на първия NSX. Това ще бъде NSX, към който е свързана мрежа A. Той ще действа като сървър.
Връщаме се към интерфейса NSx Edge / Отидете в раздела VPN -> L2VPN. Включваме L2VPN, избираме режима на работа на сървъра, в глобалните настройки на сървъра посочваме външния IP адрес на NSX, на който ще слуша портът за тунела. По подразбиране сокетът ще се отвори на порт 443, но това може да се промени. Не забравяйте да изберете настройките за криптиране за бъдещия тунел.
Отидете в раздела Сървърни сайтове и добавете партньор.
Включваме партньора, задаваме име, описание, ако е необходимо, задаваме потребителско име и парола. Тези данни ще ни трябват по-късно, когато настройваме клиентския сайт.
В Egress Optimization Gateway Address задаваме адреса на шлюза. Това е необходимо, за да няма конфликт на IP адреси, тъй като шлюзът на нашите мрежи има същия адрес. След това щракнете върху бутона ИЗБЕРЕТЕ ПОДИНТЕРФЕЙСИ.
Тук избираме желания подинтерфейс. Запазваме настройките.
Виждаме, че новосъздаденият клиентски сайт се е появил в настройките.
Сега нека да преминем към конфигуриране на NSX от страна на клиента.
Отиваме на NSX страна B, отиваме на VPN -> L2VPN, активираме L2VPN, настройваме L2VPN режим на клиентски режим. В раздела Client Global задайте адреса и порта на NSX A, който посочихме по-рано като Listening IP и Port от страната на сървъра. Също така е необходимо да зададете същите настройки за криптиране, така че да са последователни, когато тунелът се повдига.

Превъртаме по-долу, избираме подинтерфейса, през който ще бъде изграден тунелът за L2VPN.
В Egress Optimization Gateway Address задаваме адреса на шлюза. Задайте потребителско име и парола. Избираме подинтерфейса и не забравяйте да запазите настройките.
Всъщност това е всичко. Настройките от страната на клиента и сървъра са почти идентични, с изключение на няколко нюанса.
Сега можем да видим, че нашият тунел работи, като отидем на Статистика -> L2VPN на всеки NSX.
Ако сега отидем до конзолата на който и да е Edge Gateway, ще видим на всеки от тях в arp таблицата адресите на двете VM.

Това е всичко за VPN на NSX Edge. Попитайте, ако нещо не е ясно. Това е и последната част от поредица от статии за работа с NSX Edge. Надяваме се, че са били полезни 🙂

Източник: www.habr.com

VMware NSX за най-малките. Част 6: Настройка на VPN

IPsec

SSL VPN

L2 VPN

Добавяне на нов коментар

VMware NSX за най-малките. Част 6: Настройка на VPN

IPsec

SSL VPN

L2 VPN

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар