Danas ćemo pogledati opcije VPN konfiguracije koje nam nudi NSX Edge.
Općenito, VPN tehnologije možemo podijeliti u dvije ključne vrste:
VPN od web lokacije do web lokacije. Najčešća upotreba IPSec-a je stvaranje sigurnog tunela, na primjer, između mreže glavnog ureda i mreže na udaljenom mjestu ili u oblaku.
Udaljeni pristup VPN-u. Koristi se za povezivanje pojedinačnih korisnika na korporativne privatne mreže pomoću softvera VPN klijenta.
NSX Edge nam omogućava da koristimo obje opcije.
Konfigurisaćemo koristeći test bench sa dva NSX Edge, Linux server sa instaliranim demonom rakun i Windows laptop za testiranje VPN-a za daljinski pristup.
IPsec
U sučelju vCloud Director idite na odjeljak Administracija i odaberite vDC. Na kartici Edge Gateways izaberite Edge koji nam je potreban, kliknite desnim tasterom miša i izaberite Edge Gateway Services.
U NSX Edge sučelju idite na karticu VPN-IPsec VPN, zatim na odjeljak IPsec VPN Sites i kliknite + da dodate novu stranicu.
Popunite obavezna polja:
omogućeno – aktivira udaljenu lokaciju.
PFS – osigurava da svaki novi kriptografski ključ nije povezan s prethodnim ključem.
Lokalni ID i lokalna krajnja tačkat je vanjska adresa NSX Edge-a.
Lokalna podmrežas - lokalne mreže koje će koristiti IPsec VPN.
Peer ID i Peer Endpoint – adresa udaljene lokacije.
Peer podmreže – mreže koje će koristiti IPsec VPN na udaljenoj strani.
Algoritam šifriranja – algoritam za šifrovanje tunela.
Authentication - kako ćemo autentifikovati vršnjaka. Možete koristiti unaprijed dijeljeni ključ ili certifikat.
Unaprijed podijeljeni ključ - navedite ključ koji će se koristiti za autentifikaciju i mora se podudarati na obje strane.
Diffie Hellman Group – algoritam za razmjenu ključeva.
Nakon što popunite obavezna polja, kliknite na Zadrži.
Gotovo.
Nakon što dodate lokaciju, idite na karticu Status aktivacije i aktivirajte IPsec uslugu.
Nakon što su postavke primijenjene, idite na karticu Statistika -> IPsec VPN i provjerite status tunela. Vidimo da se tunel podigao.
Provjerite status tunela na Edge gateway konzoli:
show service ipsec - provjerite status usluge.
show service ipsec site - Informacije o stanju stranice i dogovorenim parametrima.
show service ipsec sa - provjerite status Sigurnosne asocijacije (SA).
Provjera povezanosti s udaljenom lokacijom:
root@racoon:~# ifconfig eth0:1 | grep inet
inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0
root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10
PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
--- 192.168.0.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
Konfiguracijske datoteke i dodatne naredbe za dijagnostiku sa udaljenog Linux servera:
Sve je spremno, site-to-site IPsec VPN je pokrenut i radi.
U ovom primjeru koristili smo PSK za peer autentifikaciju, ali je moguća i provjera autentičnosti certifikata. Da biste to učinili, idite na karticu Globalna konfiguracija, omogućite provjeru autentičnosti certifikata i odaberite sam certifikat.
Osim toga, u postavkama stranice morat ćete promijeniti način provjere autentičnosti.
Napominjem da broj IPsec tunela ovisi o veličini implementiranog Edge Gatewaya (o tome pročitajte u našem prvi članak).
SSL VPN
SSL VPN-Plus je jedna od VPN opcija za daljinski pristup. Omogućava pojedinačnim udaljenim korisnicima da se bezbedno povežu na privatne mreže iza NSX Edge Gateway-a. Šifrovani tunel u slučaju SSL VPN-plus uspostavlja se između klijenta (Windows, Linux, Mac) i NSX Edge.
Počnimo sa postavljanjem. U kontrolnoj tabli usluge Edge Gateway idite na karticu SSL VPN-Plus, a zatim na Postavke servera. Odabiremo adresu i port na kojem će server osluškivati dolazne veze, omogućavamo evidentiranje i odabiremo potrebne algoritme šifriranja.
Ovdje također možete promijeniti certifikat koji će server koristiti.
Nakon što je sve spremno, uključite server i ne zaboravite sačuvati postavke.
Zatim moramo postaviti skup adresa koje ćemo izdavati klijentima nakon povezivanja. Ova mreža je odvojena od bilo koje postojeće podmreže u vašem NSX okruženju i ne mora se konfigurisati na drugim uređajima na fizičkim mrežama, osim na rutama koje upućuju na nju.
Idite na karticu IP Pools i kliknite na +.
Odaberite adrese, masku podmreže i gateway. Ovdje također možete promijeniti postavke za DNS i WINS servere.
Rezultirajući bazen.
Sada dodajmo mreže kojima će korisnici koji se povezuju na VPN imati pristup. Idite na karticu Privatne mreže i kliknite na +.
popunjavamo:
Mreža - lokalna mreža kojoj će udaljeni korisnici imati pristup.
Slanje saobraćaja, ima dvije opcije:
- preko tunela - slanje saobraćaja na mrežu kroz tunel,
— zaobići tunel—šalji saobraćaj na mrežu direktno zaobilazeći tunel.
Omogući TCP optimizaciju - provjerite da li ste odabrali opciju preko tunela. Kada je optimizacija omogućena, možete odrediti brojeve portova za koje želite optimizirati promet. Promet za preostale portove na toj mreži neće biti optimiziran. Ako nisu navedeni brojevi portova, optimizira se promet za sve portove. Pročitajte više o ovoj funkciji ovdje.
Zatim idite na karticu Authentication i kliknite na +. Za autentifikaciju ćemo koristiti lokalni server na samom NSX Edgeu.
Ovdje možemo odabrati pravila za generiranje novih lozinki i konfigurirati opcije za blokiranje korisničkih računa (na primjer, broj ponovnih pokušaja ako je lozinka unesena pogrešno).
Pošto koristimo lokalnu autentifikaciju, moramo kreirati korisnike.
Osim osnovnih stvari poput imena i lozinke, ovdje možete, na primjer, zabraniti korisniku promjenu lozinke ili, obrnuto, natjerati ga da promijeni lozinku sljedeći put kada se prijavi.
Nakon što su svi potrebni korisnici dodani, idite na karticu Instalacijski paketi, kliknite + i kreirajte sam instalater koji će udaljeni zaposlenik preuzeti radi instalacije.
Pritisnite +. Odaberite adresu i port servera na koji će se klijent povezati, te platforme za koje želite generirati instalacioni paket.
Ispod u ovom prozoru možete odrediti postavke klijenta za Windows. Odaberite:
start client pri logovanju – VPN klijent će biti dodat pokretanju na udaljenoj mašini;
kreiranje ikone na radnoj površini - kreiraće ikonu VPN klijenta na radnoj površini;
provjera sigurnosnog certifikata servera - potvrdiće certifikat servera nakon povezivanja.
Postavljanje servera je završeno.
Sada preuzmimo instalacioni paket koji smo kreirali u zadnjem koraku na udaljeni PC. Prilikom podešavanja servera naveli smo njegovu eksternu adresu (185.148.83.16) i port (445). Upravo na ovu adresu treba da uđemo u web pretraživač. U mom slučaju jeste 185.148.83.16: 445.
U prozoru za autorizaciju morate unijeti korisničke vjerodajnice koje smo kreirali ranije.
Nakon autorizacije, vidimo listu kreiranih instalacionih paketa dostupnih za preuzimanje. Napravili smo samo jedan - mi ćemo ga preuzeti.
Kliknemo na link, počinje preuzimanje klijenta.
Raspakujte preuzetu arhivu i pokrenite instalater.
Nakon instalacije pokrenite klijent, u prozoru za autorizaciju kliknite na Login.
U prozoru za provjeru certifikata odaberite Da.
Unosimo vjerodajnice za prethodno kreiranog korisnika i vidimo da je veza uspješno završena.
Provjeravamo statistiku VPN klijenta na lokalnom računalu.
U Windows komandnoj liniji (ipconfig / all) vidimo da se pojavio dodatni virtuelni adapter i postoji veza sa udaljenom mrežom, sve radi:
I na kraju, provjerite sa Edge Gateway konzole.
L2 VPN
L2VPN će biti potreban kada trebate kombinirati nekoliko geografski
distribuirane mreže u jedan broadcast domen.
Ovo može biti korisno, na primjer, prilikom migracije virtuelne mašine: kada se VM preseli na drugu geografsku oblast, mašina će zadržati svoje postavke IP adresiranja i neće izgubiti vezu sa drugim mašinama koje se nalaze u istom L2 domenu sa njim.
U našem testnom okruženju, spojit ćemo dvije lokacije jedna s drugom, nazvat ćemo ih A i B. Imamo dva NSX-a i dvije identično kreirane rutirane mreže priključene na različite rubove. Mašina A ima adresu 10.10.10.250/24, mašina B ima adresu 10.10.10.2/24.
U vCloud Directoru idite na karticu Administracija, idite na VDC koji nam je potreban, idite na karticu Org VDC Networks i dodajte dvije nove mreže.
Odaberite tip rutirane mreže i povežite ovu mrežu za naš NSX. Stavili smo checkbox Kreiraj kao podsučelje.
Kao rezultat, trebali bismo dobiti dvije mreže. U našem primjeru, oni se zovu network-a i network-b sa istim postavkama gatewaya i istom maskom.
Sada idemo na postavke prvog NSX-a. Ovo će biti NSX na koji je priključena mreža A. Djelovat će kao server.
Vraćamo se na NSx Edge interfejs / Idite na karticu VPN -> L2VPN. Uključujemo L2VPN, biramo režim rada servera, u Global postavkama servera navodimo eksternu NSX IP adresu na kojoj će port za tunel slušati. Podrazumevano, utičnica će se otvoriti na portu 443, ali to se može promijeniti. Ne zaboravite odabrati postavke šifriranja za budući tunel.
Idite na karticu Server Sites i dodajte peer.
Uključujemo peer, postavljamo ime, opis, ako je potrebno, postavljamo korisničko ime i lozinku. Ovi podaci će nam trebati kasnije prilikom postavljanja klijentske stranice.
U Egress Optimization Gateway Address postavljamo adresu gatewaya. Ovo je neophodno kako ne bi došlo do sukoba IP adresa, jer gateway naših mreža ima istu adresu. Zatim kliknite na dugme SELECT SUB-INTERFACES.
Ovdje biramo željeni podinterfejs. Čuvamo podešavanja.
Vidimo da se novokreirana klijentska stranica pojavila u postavkama.
Sada pređimo na konfigurisanje NSX-a sa strane klijenta.
Idemo na NSX stranu B, idemo na VPN -> L2VPN, omogućavamo L2VPN, postavljamo L2VPN način rada na klijentski način. Na kartici Client Global postavite adresu i port NSX A, koje smo ranije naveli kao IP adresu slušanja i port na strani servera. Također je potrebno postaviti iste postavke šifriranja tako da budu konzistentne kada se tunel podigne.
Skrolujemo ispod, biramo podinterfejs kroz koji će se izgraditi tunel za L2VPN.
U Egress Optimization Gateway Address postavljamo adresu gatewaya. Postavite korisnički ID i lozinku. Odabiremo podsučelje i ne zaboravimo pohraniti postavke.
Zapravo, to je sve. Postavke klijentske i serverske strane su gotovo identične, sa izuzetkom nekoliko nijansi.
Sada možemo vidjeti da je naš tunel radio tako što ćemo otići na Statistike -> L2VPN na bilo kojem NSX-u.
Ako sada odemo na konzolu bilo kojeg Edge Gatewaya, vidjet ćemo na svakom od njih u arp tabeli adrese oba VM-a.
To je sve o VPN-u na NSX Edgeu. Pitajte ako nešto nije jasno. To je ujedno i posljednji dio serije članaka o radu sa NSX Edge. Nadamo se da su bili od pomoći 🙂