Karon atong tan-awon ang mga kapilian sa pagsumpo sa VPN nga gitanyag kanato sa NSX Edge.
Sa kinatibuk-an, mahimo natong bahinon ang mga teknolohiya sa VPN ngadto sa duha ka yawe nga matang:
- Site-to-site VPN. Ang labing kasagaran nga paggamit sa IPSec mao ang paghimo og usa ka luwas nga tunel, pananglitan, tali sa usa ka nag-unang network sa opisina ug usa ka network sa usa ka hilit nga site o sa panganod.
- Remote Access VPN. Gigamit aron makonektar ang mga indibidwal nga tiggamit sa mga pribadong network sa usa ka organisasyon gamit ang software sa kliyente sa VPN.
Gitugotan kami sa NSX Edge nga buhaton ang duha.
Atong himoon ang setup gamit ang test bench nga adunay duha ka NSX Edges, usa ka Linux server nga adunay daemon nga na-install ug usa ka Windows laptop aron sulayan ang Remote Access VPN.
IPsec
- Sa interface sa vCloud Director, adto sa Administration section ug pilia ang vDC. Sa Edge Gateways tab, pilia ang Edge nga atong gikinahanglan, i-right-click ug pilia ang Edge Gateway Services.
- Sa interface sa NSX Edge, adto sa tab nga VPN-IPsec VPN, dayon sa seksyon sa IPsec VPN Sites ug i-klik ang + aron makadugang og bag-ong site.
- Pun-a ang gikinahanglan nga mga natad:
- Maagwanta β pagpaaktibo sa hilit nga site.
- PFS β nagsiguro nga ang matag bag-ong cryptographic nga yawe wala mag-uban sa bisan unsang miaging yawe.
- Lokal nga ID ug Lokal nga Endpointt - NSX Edge sa gawas nga adres.
- Lokal nga Subnets β mga lokal nga network nga mogamit sa IPsec VPN.
- Peer ID ug Peer Endpoint β adres sa hilit nga site.
- Mga Subnet sa Peer β mga network nga mogamit sa IPsec VPN sa hilit nga bahin.
- Algoritma sa Pag-encrypt - algorithm sa pag-encrypt sa tunel.
- panghimatuud β unsaon nato pag-authenticate ang peer. Mahimo nimong gamiton ang Pre-Shared Key o usa ka sertipiko.
- Paagi nga Giandam nga Paagi β ipahibalo ang yawe nga gamiton para sa pag-authenticate ug kinahanglang motakdo sa duha ka kilid.
- Grupo sa Diffie-Hellman - key exchange algorithm.
Human mapuno ang gikinahanglan nga mga field, i-klik ang Keep.
- Nahimo.
- Human sa pagdugang sa site, adto sa Activation Status tab ug activate sa IPsec Service.
- Human ma-apply ang mga setting, adto sa Statistics -> IPsec VPN tab ug susiha ang status sa tunnel. Atong makita nga ang tunel misaka.
- Atong susihon ang kahimtang sa tunnel gikan sa Edge gateway console:
- ipakita ang serbisyo ipsec - susihon ang kahimtang sa serbisyo.
- ipakita ang serbisyo sa ipsec site - kasayuran bahin sa kahimtang sa site ug gikasabutan nga mga parameter.
- ipakita ang serbisyo ipsec sa - susihon ang kahimtang sa Security Association (SA).
- ipakita ang serbisyo ipsec - susihon ang kahimtang sa serbisyo.
- Pagsusi sa koneksyon sa usa ka hilit nga site:
root@racoon:~# ifconfig eth0:1 | grep inet inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0 root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data. 64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms --- 192.168.0.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 msMga file sa pag-configure ug dugang nga mga sugo alang sa mga diagnostic gikan sa hilit nga server sa Linux:
root@racoon:~# cat /etc/racoon/racoon.conf log debug; path pre_shared_key "/etc/racoon/psk.txt"; path certificate "/etc/racoon/certs"; listen { isakmp 80.211.43.73 [500]; strict_address; } remote 185.148.83.16 { exchange_mode main,aggressive; proposal { encryption_algorithm aes256; hash_algorithm sha1; authentication_method pre_shared_key; dh_group modp1536; } generate_policy on; } sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any { encryption_algorithm aes256; authentication_algorithm hmac_sha1; compression_algorithm deflate; } === root@racoon:~# cat /etc/racoon/psk.txt 185.148.83.16 testkey === root@racoon:~# cat /etc/ipsec-tools.conf #!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec esp/tunnel/185.148.83.16-80.211.43.73/require; spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/80.211.43.73-185.148.83.16/require; === root@racoon:~# racoonctl show-sa isakmp Destination Cookies Created 185.148.83.16.500 2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 === root@racoon:~# racoonctl show-sa esp 80.211.43.73 185.148.83.16 esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000) E: aes-cbc 00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d A: hmac-sha1 aa9e7cd7 51653621 67b3b2e9 64818de5 df848792 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=1 pid=7739 refcnt=0 185.148.83.16 80.211.43.73 esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000) E: aes-cbc c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044 A: hmac-sha1 cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=0 pid=7739 refcnt=0 - Andam na ang tanan, ang site-to-site IPsec VPN na-configure ug nagtrabaho.
Sa kini nga pananglitan, gigamit namon ang PSK aron ma-authenticate ang peer, apan ang pag-authenticate sa sertipiko usa usab ka kapilian. Aron mahimo kini, adto sa tab nga Global Configuration, i-enable ang certificate authentication ug pilia ang certificate mismo.
Dugang pa, kinahanglan nimo nga usbon ang pamaagi sa pag-authenticate sa mga setting sa site.
Namatikdan nako nga ang gidaghanon sa mga tunel sa IPsec nagdepende sa gidak-on sa gi-deploy nga Edge Gateway (basaha ang bahin niini sa among ).
SSL VPN
Ang SSL VPN-Plus usa sa mga kapilian sa Remote Access VPN. Gitugotan niini ang mga indibidwal nga hilit nga tiggamit nga luwas nga magkonektar sa mga pribadong network sa luyo sa ganghaan sa NSX Edge. Ang usa ka naka-encrypt nga tunel sa kaso sa SSL VPN-plus gitukod tali sa kliyente (Windows, Linux, Mac) ug NSX Edge.
- Magsugod ta ug set up. Sa Edge Gateway services control panel, adto sa SSL VPN-Plus tab, dayon sa Server Settings. Gipili namo ang adres ug pantalan diin ang server maminaw sa umaabot nga mga koneksyon, makapahimo sa pag-log ug pagpili sa gikinahanglan nga mga algorithm sa pag-encrypt.
Dinhi mahimo nimong usbon ang sertipiko nga gamiton sa server. - Kung andam na ang tanan, i-on ang server ug ayaw kalimti nga i-save ang mga setting.
- Sunod, kinahanglan namon nga i-configure ang usa ka pool sa mga adres nga among i-isyu sa mga kliyente kung magkonektar. Kini nga network bulag sa bisan unsang naglungtad nga subnet sa imong NSX nga palibot ug dili kinahanglan nga i-configure sa ubang mga aparato sa pisikal nga mga network gawas sa mga ruta nga nagpunting niini.
Adto sa tab nga IP Pools ug i-klik ang +.
- Pagpili og mga adres, subnet mask ug gateway. Dinhi mahimo nimong usbon ang mga setting alang sa DNS ug WINS server.
- Ang resulta nga pool.
- Karon atong idugang ang mga network diin ang mga tiggamit nga nagkonektar sa VPN adunay access. Adto ta sa tab nga Private Networks ug i-klik ang +.
- Sulati sa:
- Network - lokal nga network diin ang mga hilit nga tiggamit adunay access.
- Ipadala ang trapiko, kini adunay duha ka kapilian:
β sa ibabaw sa tunnelβpagpadala sa trapiko sa network pinaagi sa tunel,
β bypass tunnelβpagpadala ug trapiko sa network nga direkta nga nag-bypass sa tunnel. - I-enable ang TCP Optimization - susiha kini nga kahon kung gipili nimo ang opsyon sa over tunnel. Kung ang pag-optimize mahimo, mahimo nimong ipiho ang mga numero sa pantalan nga gusto nimo nga ma-optimize ang trapiko. Ang trapiko alang sa nahabilin nga mga pantalan sa kana nga partikular nga network dili ma-optimize. Kung ang mga numero sa pantalan wala gitino, ang trapiko alang sa tanan nga mga pantalan ma-optimize. Basaha ang dugang bahin niini nga bahin .
- Sunod, adto sa Authentication tab ug i-klik ang +. Alang sa panghimatuud mogamit kami usa ka lokal nga server sa NSX Edge mismo.
- Dinhi makapili kita og mga polisiya alang sa pagmugna og bag-ong mga password ug i-configure ang mga opsyon sa pag-block sa mga user account (pananglitan, ang gidaghanon sa mga pagsulay pag-usab kon ang password nasulod sa sayop).
- Tungod kay naggamit kami og lokal nga panghimatuud, kinahanglan namon nga maghimo mga tiggamit.
- Dugang pa sa mga batakang butang sama sa usa ka ngalan ug password, dinhi mahimo nimo, pananglitan, pagdili sa user sa pag-usab sa password o, sa kasukwahi, pugson siya sa pag-usab sa password sa sunod higayon nga siya log in.
- Human madugang ang tanan nga gikinahanglan nga mga tiggamit, adto sa tab nga Mga Pakete sa Pag-install, i-klik ang + ug paghimo mismo ang installer, nga i-download sa hilit nga empleyado alang sa pag-install.
- I-klik ang +. Gipili namon ang adres ug pantalan sa server diin magkonektar ang kliyente, ug ang mga platform diin kinahanglan namon nga maghimo usa ka pakete sa pag-install.
Ubos niini nga bintana mahimo nimong ipiho ang mga setting sa kliyente alang sa Windows. Pilia:- pagsugod sa kliyente sa pag-logon - ang kliyente sa VPN idugang sa pagsugod sa hilit nga makina;
- paghimo og desktop icon β maghimo og VPN client icon sa desktop;
- pag-validate sa sertipiko sa seguridad sa server - mag-validate sa sertipiko sa server sa koneksyon.
Kompleto na ang setup sa server.
- Karon atong i-download ang instalasyon nga pakete nga atong gihimo sa katapusang lakang ngadto sa hilit nga PC. Sa pag-set up sa server, among gipiho ang eksternal nga adres niini (185.148.83.16) ug port (445). Niini nga adres nga kinahanglan natong adtoon sa web browser. Sa akong kaso kini : 445.
Sa bintana sa pagtugot, kinahanglan nimong isulod ang mga kredensyal sa tiggamit nga among gibuhat kaniadto.
- Pagkahuman sa pagtugot, nakita namon ang usa ka lista sa mga nahimo nga pakete sa pag-install nga magamit aron ma-download. Usa ra ang among gibuhat - among i-download kini.
- Pag-klik sa link ug magsugod ang pag-download sa kliyente.
- I-unpack ang na-download nga archive ug padagana ang installer.
- Human sa pag-instalar, ilunsad ang kliyente ug i-klik ang Login sa bintana sa pagtugot.
- Sa bintana sa pag-verify sa sertipiko, pilia ang Oo.
- Gisulod namo ang mga kredensyal alang sa nabuhat kaniadto nga tiggamit ug tan-awa nga ang koneksyon malampuson nga nahuman.
- Pagsusi sa istatistika sa kliyente sa VPN sa lokal nga kompyuter.
- Sa Windows command line (ipconfig / all) atong makita nga ang usa ka dugang nga virtual adapter nagpakita ug adunay koneksyon sa hilit nga network, ang tanan nagtrabaho:
- Ug sa katapusan, susiha gikan sa Edge Gateway console.
L2 VPN
Kinahanglan ang L2VPN kung kinahanglan nimo nga maghiusa sa daghang mga geograpikal
nag-apod-apod sa mga network sa usa ka broadcast domain.
Mahimong mapuslanon kini, pananglitan, kung mobalhin sa usa ka virtual nga makina: kung ang usa ka VM mobalhin sa lain nga lokasyon sa heyograpiya, ang makina magpadayon sa mga setting sa IP addressing ug dili mawala ang koneksyon sa ubang mga makina nga nahimutang sa parehas nga domain sa L2 uban niini.
Sa among pagsulay nga palibot, kami magkonektar sa duha ka mga site sa usag usa, tawgon nato sila nga A ug B, sa tinagsa. Ang makina A adunay adres nga 10.10.10.250/24, ang makina B adunay adres nga 10.10.10.2/24.
- Sa vCloud Director, adto sa Administration tab, adto sa VDC nga atong gikinahanglan, adto sa Org VDC Networks tab ug idugang ang duha ka bag-ong network.
- Gipili namo ang giruta nga tipo sa network ug gihigot kini nga network sa among NSX. Susiha ang Paghimo isip subinterface nga checkbox.
- Ingon usa ka sangputanan, kinahanglan kita adunay duha ka network. Sa among pananglitan, sila gitawag nga network-a ug network-b nga adunay parehas nga mga setting sa gateway ug parehas nga maskara.
- Karon magpadayon kita sa mga setting sa una nga NSX. Kini ang NSX nga gilakip sa Network A. Kini molihok isip server.
Balik sa interface sa NSx Edge/ Adto sa tab sa VPN -> L2VPN. Among gi-enable ang L2VPN, pilia ang Server operating mode, ug sa Server Global settings ipiho ang external IP address sa NSX diin ang port para sa tunnel maminaw. Sa kasagaran, ang socket mag-abli sa port 443, apan kini mahimong usbon. Ayaw kalimti ang pagpili sa mga setting sa pag-encrypt para sa umaabot nga tunel.
- Adto sa tab sa Server Sites ug idugang ang peer.
- Gi-on namo ang kaedad, nagbutang usa ka ngalan, paghulagway, kung kinahanglan, magbutang usa ka username ug password. Kinahanglan namon kini nga datos sa ulahi kung i-set up ang site sa kliyente.
Sa Egress Optimization Gateway Address atong gibutang ang gateway address. Kinahanglan kini aron malikayan ang panagsumpaki sa mga IP address, tungod kay ang ganghaan sa among mga network adunay parehas nga adres. Unya pindota ang SELECT SUB-INTERFACES button.
- Dinhi atong pilion ang gusto nga subinterface. I-save ang mga setting.
- Nakita namon nga ang bag-ong nahimo nga site sa kliyente nagpakita sa mga setting.
- Karon magpadayon kita sa pag-configure sa NSX gikan sa bahin sa kliyente.
Moadto kami sa NSX side B, adto sa VPN -> L2VPN, pagana ang L2VPN, itakda ang L2VPN mode sa client operating mode. Sa Client Global tab, itakda ang adres ug pantalan sa NSX A, nga among gipiho kaniadto nga Listening IP ug Port sa server side. Kinahanglan usab nga ibutang ang parehas nga mga setting sa pag-encrypt aron kini makanunayon kung ang tunel gipataas.
Pag-scroll sa ubos ug pilia ang subinterface diin ang tunel alang sa L2VPN pagatukuron.
Sa Egress Optimization Gateway Address atong gibutang ang gateway address. Ibutang ang user-id ug password. Pilia ang subinterface ug ayaw kalimti nga i-save ang mga setting. - Actually, mao ra. Ang mga setting sa kilid sa kliyente ug server halos parehas, gawas sa pipila nga mga nuances.
- Karon atong makita nga ang atong tunel nagtrabaho pinaagi sa pag-adto sa Statistics -> L2VPN sa bisan unsang NSX.
- Kung moadto kita karon sa console sa bisan unsang Edge Gateway, atong makita ang mga adres sa duha ka VM sa arp table alang sa matag usa kanila.
Kana ang tanan alang kanako bahin sa VPN sa NSX Edge. Pangutan-a kung adunay nagpabilin nga dili klaro. Kini usab ang katapusang bahin sa serye sa mga artikulo sa pagtrabaho kauban ang NSX Edge. Kami nanghinaut nga sila mapuslanon :)
Source: www.habr.com