VMware NSX za najmlađe. Dio 6: Podešavanje VPN-a

Prvi dio. uvodni
Drugi dio. Konfiguriranje zaštitnog zida i NAT pravila
Treći dio. Konfiguriranje DHCP-a
Četvrti dio. Routing setup
Peti dio. Postavljanje balansera opterećenja

Danas ćemo pogledati opcije VPN konfiguracije koje nam nudi NSX Edge.

Općenito, VPN tehnologije možemo podijeliti u dvije ključne vrste:

• VPN od web lokacije do web lokacije. Najčešća upotreba IPSec-a je stvaranje sigurnog tunela, na primjer, između mreže glavnog ureda i mreže na udaljenom mjestu ili u oblaku.
• Udaljeni pristup VPN-u. Koristi se za povezivanje pojedinačnih korisnika na korporativne privatne mreže pomoću softvera VPN klijenta.

NSX Edge nam omogućava da koristimo obje opcije.
Konfigurisaćemo koristeći test bench sa dva NSX Edge, Linux server sa instaliranim demonom rakun i Windows laptop za testiranje VPN-a za daljinski pristup.

IPsec

1. U sučelju vCloud Director idite na odjeljak Administracija i odaberite vDC. Na kartici Edge Gateways izaberite Edge koji nam je potreban, kliknite desnim tasterom miša i izaberite Edge Gateway Services.
   
2. U NSX Edge sučelju idite na karticu VPN-IPsec VPN, zatim na odjeljak IPsec VPN Sites i kliknite + da dodate novu stranicu.

   

3. Popunite obavezna polja:
   • omogućeno – aktivira udaljenu lokaciju.
   • PFS – osigurava da svaki novi kriptografski ključ nije povezan s prethodnim ključem.
   • Lokalni ID i lokalna krajnja tačkat je vanjska adresa NSX Edge-a.
   • Lokalna podmrežas - lokalne mreže koje će koristiti IPsec VPN.
   • Peer ID i Peer Endpoint – adresa udaljene lokacije.
   • Peer podmreže – mreže koje će koristiti IPsec VPN na udaljenoj strani.
   • Algoritam šifriranja – algoritam za šifrovanje tunela.

   
   

   • Authentication - kako ćemo autentifikovati vršnjaka. Možete koristiti unaprijed dijeljeni ključ ili certifikat.
   • Unaprijed podijeljeni ključ - navedite ključ koji će se koristiti za autentifikaciju i mora se podudarati na obje strane.
   • Diffie Hellman Group – algoritam za razmjenu ključeva.

   Nakon što popunite obavezna polja, kliknite na Zadrži.

   

4. Gotovo.

   

5. Nakon što dodate lokaciju, idite na karticu Status aktivacije i aktivirajte IPsec uslugu.

   

6. Nakon što su postavke primijenjene, idite na karticu Statistika -> IPsec VPN i provjerite status tunela. Vidimo da se tunel podigao.

   

7. Provjerite status tunela na Edge gateway konzoli:
   • show service ipsec - provjerite status usluge.

     

   • show service ipsec site - Informacije o stanju stranice i dogovorenim parametrima.

     

   • show service ipsec sa - provjerite status Sigurnosne asocijacije (SA).

     

8. Provjera povezanosti s udaljenom lokacijom:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Konfiguracijske datoteke i dodatne naredbe za dijagnostiku sa udaljenog Linux servera:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Sve je spremno, site-to-site IPsec VPN je pokrenut i radi.

   U ovom primjeru koristili smo PSK za peer autentifikaciju, ali je moguća i provjera autentičnosti certifikata. Da biste to učinili, idite na karticu Globalna konfiguracija, omogućite provjeru autentičnosti certifikata i odaberite sam certifikat.

   Osim toga, u postavkama stranice morat ćete promijeniti način provjere autentičnosti.

   
   
   
   
   Napominjem da broj IPsec tunela ovisi o veličini implementiranog Edge Gatewaya (o tome pročitajte u našem prvi članak).

   

SSL VPN

SSL VPN-Plus je jedna od VPN opcija za daljinski pristup. Omogućava pojedinačnim udaljenim korisnicima da se bezbedno povežu na privatne mreže iza NSX Edge Gateway-a. Šifrovani tunel u slučaju SSL VPN-plus uspostavlja se između klijenta (Windows, Linux, Mac) i NSX Edge.

1. Počnimo sa postavljanjem. U kontrolnoj tabli usluge Edge Gateway idite na karticu SSL VPN-Plus, a zatim na Postavke servera. Odabiremo adresu i port na kojem će server osluškivati ​​dolazne veze, omogućavamo evidentiranje i odabiremo potrebne algoritme šifriranja.

   
   
   Ovdje također možete promijeniti certifikat koji će server koristiti.

   

2. Nakon što je sve spremno, uključite server i ne zaboravite sačuvati postavke.

   

3. Zatim moramo postaviti skup adresa koje ćemo izdavati klijentima nakon povezivanja. Ova mreža je odvojena od bilo koje postojeće podmreže u vašem NSX okruženju i ne mora se konfigurisati na drugim uređajima na fizičkim mrežama, osim na rutama koje upućuju na nju.

   Idite na karticu IP Pools i kliknite na +.

   

4. Odaberite adrese, masku podmreže i gateway. Ovdje također možete promijeniti postavke za DNS i WINS servere.

   

5. Rezultirajući bazen.

   

6. Sada dodajmo mreže kojima će korisnici koji se povezuju na VPN imati pristup. Idite na karticu Privatne mreže i kliknite na +.

   

7. popunjavamo:
   • Mreža - lokalna mreža kojoj će udaljeni korisnici imati pristup.
   • Slanje saobraćaja, ima dvije opcije:
     - preko tunela - slanje saobraćaja na mrežu kroz tunel,
     — zaobići tunel—šalji saobraćaj na mrežu direktno zaobilazeći tunel.
   • Omogući TCP optimizaciju - provjerite da li ste odabrali opciju preko tunela. Kada je optimizacija omogućena, možete odrediti brojeve portova za koje želite optimizirati promet. Promet za preostale portove na toj mreži neće biti optimiziran. Ako nisu navedeni brojevi portova, optimizira se promet za sve portove. Pročitajte više o ovoj funkciji ovdje.

   

8. Zatim idite na karticu Authentication i kliknite na +. Za autentifikaciju ćemo koristiti lokalni server na samom NSX Edgeu.

   

9. Ovdje možemo odabrati pravila za generiranje novih lozinki i konfigurirati opcije za blokiranje korisničkih računa (na primjer, broj ponovnih pokušaja ako je lozinka unesena pogrešno).

   
   
   

10. Pošto koristimo lokalnu autentifikaciju, moramo kreirati korisnike.

    

11. Osim osnovnih stvari poput imena i lozinke, ovdje možete, na primjer, zabraniti korisniku promjenu lozinke ili, obrnuto, natjerati ga da promijeni lozinku sljedeći put kada se prijavi.

    

12. Nakon što su svi potrebni korisnici dodani, idite na karticu Instalacijski paketi, kliknite + i kreirajte sam instalater koji će udaljeni zaposlenik preuzeti radi instalacije.

    

13. Pritisnite +. Odaberite adresu i port servera na koji će se klijent povezati, te platforme za koje želite generirati instalacioni paket.

    
    
    Ispod u ovom prozoru možete odrediti postavke klijenta za Windows. Odaberite:

    • start client pri logovanju – VPN klijent će biti dodat pokretanju na udaljenoj mašini;
    • kreiranje ikone na radnoj površini - kreiraće ikonu VPN klijenta na radnoj površini;
    • provjera sigurnosnog certifikata servera - potvrdiće certifikat servera nakon povezivanja.
      Postavljanje servera je završeno.

    

14. Sada preuzmimo instalacioni paket koji smo kreirali u zadnjem koraku na udaljeni PC. Prilikom podešavanja servera naveli smo njegovu eksternu adresu (185.148.83.16) i port (445). Upravo na ovu adresu treba da uđemo u web pretraživač. U mom slučaju jeste 185.148.83.16: 445.

    U prozoru za autorizaciju morate unijeti korisničke vjerodajnice koje smo kreirali ranije.

    

15. Nakon autorizacije, vidimo listu kreiranih instalacionih paketa dostupnih za preuzimanje. Napravili smo samo jedan - mi ćemo ga preuzeti.

    

16. Kliknemo na link, počinje preuzimanje klijenta.

    

17. Raspakujte preuzetu arhivu i pokrenite instalater.

    

18. Nakon instalacije pokrenite klijent, u prozoru za autorizaciju kliknite na Login.

    

19. U prozoru za provjeru certifikata odaberite Da.

    

20. Unosimo vjerodajnice za prethodno kreiranog korisnika i vidimo da je veza uspješno završena.

    
    
    

21. Provjeravamo statistiku VPN klijenta na lokalnom računalu.

    
    
    

22. U Windows komandnoj liniji (ipconfig / all) vidimo da se pojavio dodatni virtuelni adapter i postoji veza sa udaljenom mrežom, sve radi:

    
    
    

23. I na kraju, provjerite sa Edge Gateway konzole.

    

L2 VPN

L2VPN će biti potreban kada trebate kombinirati nekoliko geografski
distribuirane mreže u jedan broadcast domen.

Ovo može biti korisno, na primjer, prilikom migracije virtuelne mašine: kada se VM preseli na drugu geografsku oblast, mašina će zadržati svoje postavke IP adresiranja i neće izgubiti vezu sa drugim mašinama koje se nalaze u istom L2 domenu sa njim.

U našem testnom okruženju, spojit ćemo dvije lokacije jedna s drugom, nazvat ćemo ih A i B. Imamo dva NSX-a i dvije identično kreirane rutirane mreže priključene na različite rubove. Mašina A ima adresu 10.10.10.250/24, mašina B ima adresu 10.10.10.2/24.

1. U vCloud Directoru idite na karticu Administracija, idite na VDC koji nam je potreban, idite na karticu Org VDC Networks i dodajte dvije nove mreže.

   

2. Odaberite tip rutirane mreže i povežite ovu mrežu za naš NSX. Stavili smo checkbox Kreiraj kao podsučelje.

   

3. Kao rezultat, trebali bismo dobiti dvije mreže. U našem primjeru, oni se zovu network-a i network-b sa istim postavkama gatewaya i istom maskom.

   
   
   

4. Sada idemo na postavke prvog NSX-a. Ovo će biti NSX na koji je priključena mreža A. Djelovat će kao server.

   Vraćamo se na NSx Edge interfejs / Idite na karticu VPN -> L2VPN. Uključujemo L2VPN, biramo režim rada servera, u Global postavkama servera navodimo eksternu NSX IP adresu na kojoj će port za tunel slušati. Podrazumevano, utičnica će se otvoriti na portu 443, ali to se može promijeniti. Ne zaboravite odabrati postavke šifriranja za budući tunel.

   

5. Idite na karticu Server Sites i dodajte peer.

   

6. Uključujemo peer, postavljamo ime, opis, ako je potrebno, postavljamo korisničko ime i lozinku. Ovi podaci će nam trebati kasnije prilikom postavljanja klijentske stranice.

   U Egress Optimization Gateway Address postavljamo adresu gatewaya. Ovo je neophodno kako ne bi došlo do sukoba IP adresa, jer gateway naših mreža ima istu adresu. Zatim kliknite na dugme SELECT SUB-INTERFACES.

   

7. Ovdje biramo željeni podinterfejs. Čuvamo podešavanja.

   

8. Vidimo da se novokreirana klijentska stranica pojavila u postavkama.

   

9. Sada pređimo na konfigurisanje NSX-a sa strane klijenta.

   Idemo na NSX stranu B, idemo na VPN -> L2VPN, omogućavamo L2VPN, postavljamo L2VPN način rada na klijentski način. Na kartici Client Global postavite adresu i port NSX A, koje smo ranije naveli kao IP adresu slušanja i port na strani servera. Također je potrebno postaviti iste postavke šifriranja tako da budu konzistentne kada se tunel podigne.

   
   
   Skrolujemo ispod, biramo podinterfejs kroz koji će se izgraditi tunel za L2VPN.
   U Egress Optimization Gateway Address postavljamo adresu gatewaya. Postavite korisnički ID i lozinku. Odabiremo podsučelje i ne zaboravimo pohraniti postavke.

   

10. Zapravo, to je sve. Postavke klijentske i serverske strane su gotovo identične, sa izuzetkom nekoliko nijansi.
11. Sada možemo vidjeti da je naš tunel radio tako što ćemo otići na Statistike -> L2VPN na bilo kojem NSX-u.

    

12. Ako sada odemo na konzolu bilo kojeg Edge Gatewaya, vidjet ćemo na svakom od njih u arp tabeli adrese oba VM-a.

    

To je sve o VPN-u na NSX Edgeu. Pitajte ako nešto nije jasno. To je ujedno i posljednji dio serije članaka o radu sa NSX Edge. Nadamo se da su bili od pomoći 🙂

izvor: www.habr.com