Oghje avemu da piglià un ochju à l'opzioni di cunfigurazione VPN chì NSX Edge ci offre.
In generale, pudemu dividisce e tecnulugia VPN in dui tipi chjave:
- VPN di situ à situ. L'usu più cumuni di IPSec hè di creà un tunelu sicuru, per esempiu, trà una reta di l'uffiziu principale è una reta in un situ remoto o in u nuvulu.
- VPN d'accessu à distanza. Adupratu per cunnette l'utilizatori individuali à e rete private corporative utilizendu u software client VPN.
NSX Edge ci permette di utilizà e duie opzioni.
Avemu da cunfigurà usendu un bancu di teste cù dui NSX Edge, un servitore Linux cù un daemon installatu è un laptop Windows per pruvà Remote Access VPN.
IPsec
- In l'interfaccia di vCloud Director, andate à a sezione Amministrazione è selezziunate u vDC. In a tabulazione Edge Gateways, selezziunate l'Edge chì avemu bisognu, cliccate right-click è selezziunate Edge Gateway Services.
- In l'interfaccia NSX Edge, andate à a tabulazione VPN-IPsec VPN, dopu à a sezione Siti VPN IPsec è cliccate + per aghjunghje un novu situ.
- Riempite i campi richiesti:
- Habilita - attiva u situ luntani.
- PFS - assicura chì ogni nova chjave criptografica ùn hè micca assuciata cù alcuna chjave precedente.
- ID locale è endpoint localet hè l'indirizzu esternu di u NSX Edge.
- Subnet locales - rete lucali chì utilizanu IPsec VPN.
- Peer ID è Peer Endpoint - indirizzu di u situ remoto.
- Peer subnets - rete chì utilizanu IPsec VPN da u latu remoto.
- Algoritmu di criptografia - algoritmu di crittografia di tunnel.
- prucedimentu - cumu autentificàmu u peer. Pudete aduprà una Chjave Pre-Shared o un certificatu.
- Chjave Pre-Spartita - Specificà a chjave chì serà aduprata per l'autentificazione è deve cuncordà da i dui lati.
- Diffie Hellman Group - algoritmu di scambiu chjave.
Dopu avè riempitu i campi richiesti, cliccate Mantene.
- Fattu.
- Dopu avè aghjustatu u situ, andate à a tabulazione Status d'attivazione è attivate u serviziu IPsec.
- Dopu chì i paràmetri sò appiicati, andate à Statistiche -> tab VPN IPsec è verificate u statutu di u tunnel. Avemu vistu chì u tunelu hè risuscitatu.
- Verificate u statutu di u tunnel da a cunsola Edge Gateway:
- show service ipsec - verificate u statutu di u serviziu.
- show service ipsec site - Informazioni nantu à u statu di u situ è i paràmetri negoziati.
- show service ipsec sa - verificate u statutu di l'Associazione di Sicurezza (SA).
- show service ipsec - verificate u statutu di u serviziu.
- Verificate a cunnessione cù un situ remoto:
root@racoon:~# ifconfig eth0:1 | grep inet inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0 root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data. 64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms --- 192.168.0.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 msFichi di cunfigurazione è cumandamenti supplementari per diagnostichi da un servitore Linux remoto:
root@racoon:~# cat /etc/racoon/racoon.conf log debug; path pre_shared_key "/etc/racoon/psk.txt"; path certificate "/etc/racoon/certs"; listen { isakmp 80.211.43.73 [500]; strict_address; } remote 185.148.83.16 { exchange_mode main,aggressive; proposal { encryption_algorithm aes256; hash_algorithm sha1; authentication_method pre_shared_key; dh_group modp1536; } generate_policy on; } sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any { encryption_algorithm aes256; authentication_algorithm hmac_sha1; compression_algorithm deflate; } === root@racoon:~# cat /etc/racoon/psk.txt 185.148.83.16 testkey === root@racoon:~# cat /etc/ipsec-tools.conf #!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec esp/tunnel/185.148.83.16-80.211.43.73/require; spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/80.211.43.73-185.148.83.16/require; === root@racoon:~# racoonctl show-sa isakmp Destination Cookies Created 185.148.83.16.500 2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 === root@racoon:~# racoonctl show-sa esp 80.211.43.73 185.148.83.16 esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000) E: aes-cbc 00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d A: hmac-sha1 aa9e7cd7 51653621 67b3b2e9 64818de5 df848792 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=1 pid=7739 refcnt=0 185.148.83.16 80.211.43.73 esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000) E: aes-cbc c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044 A: hmac-sha1 cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=0 pid=7739 refcnt=0 - Tuttu hè prontu, a VPN IPsec da u situ à u situ hè in funzione.
In questu esempiu, avemu usatu PSK per l'autentificazione peer, ma l'autentificazione di certificatu hè ancu pussibule. Per fà questu, andate à a tabulazione Configurazione Globale, attivate l'autentificazione di certificatu è selezziunate u certificatu stessu.
Inoltre, in i paràmetri di u situ, avete bisognu di cambià u metudu di autentificazione.
Aghju nutatu chì u numeru di tunnelli IPsec dipende da a dimensione di u Edge Gateway implementatu (leghjite nantu à questu in u nostru ).
VPN SSL
SSL VPN-Plus hè una di l'opzioni VPN di Accessu Remote. Permette à l'utilizatori remoti individuali di cunnette in modu sicuru à e rete private daretu à u NSX Edge Gateway. Un tunnel criptatu in u casu di SSL VPN-plus hè stabilitu trà u cliente (Windows, Linux, Mac) è NSX Edge.
- Cuminciamu a stallazione. In u pannellu di cuntrollu di u serviziu di Edge Gateway, andate à a tabulazione SSL VPN-Plus, dopu à Settings Server. Selezziunà l'indirizzu è u portu nantu à quale u servitore ascolterà e cunnessione entranti, attivà u logu è selezziunate l'algoritmi di criptografia necessarii.
Quì pudete ancu cambià u certificatu chì u servitore aduprà. - Dopu chì tuttu hè prontu, accende u servitore è ùn vi scurdate di salvà i paràmetri.
- In seguitu, avemu bisognu di stabilisce una piscina di indirizzi chì emettemu à i clienti dopu a cunnessione. Questa reta hè separata da qualsiasi subnet esistenti in u vostru ambiente NSX è ùn deve micca esse cunfigurata in altri dispositi nantu à e rete fisiche, eccettu per e rotte chì puntanu à questu.
Andà à a tabulazione IP Pools è cliccate +.
- Selezziunate l'indirizzi, a maschera di subnet è u gateway. Quì pudete ancu cambià i paràmetri per i servitori DNS è WINS.
- A piscina risultatu.
- Avà aghjustemu e rete chì l'utilizatori chì si cunnettenu à a VPN anu accessu. Andà à a tabulazione Reti Privati è cliccate +.
- Insememu:
- Network - una reta lucale à quale l'utilizatori remoti anu accessu.
- Mandate u trafficu, hà duie opzioni:
- over tunnel - mandate u trafficu à a reta attraversu u tunnel,
- bypass tunnel - mandate u trafficu à a reta direttamente bypassendu u tunnel. - Abilita l'Ottimisazione TCP - verificate se avete sceltu l'opzione sopra tunnel. Quandu l'ottimisazione hè attivata, pudete specificà i numeri di portu per quale vulete ottimisà u trafficu. U trafficu per i porti rimanenti in quella reta particulare ùn serà micca ottimisatu. Se ùn ci sò micca specificati numeri di portu, u trafficu per tutti i porti hè ottimizatu. Leghjite più nantu à sta funzione .
- Dopu, andate à a tabulazione Autentificazione è cliccate +. Per l'autentificazione, useremu un servitore locale nantu à u NSX Edge stessu.
- Quì pudemu selezziunà e pulitiche per generà novi password è cunfigurà l'opzioni per bluccà i cunti d'utilizatori (per esempiu, u numeru di tentativi se a password hè inserita incorrectamente).
- Siccomu usemu l'autentificazione lucale, avemu bisognu di creà utilizatori.
- In più di e cose basi cum'è un nome è una password, quì pudete, per esempiu, pruibisce l'utilizatore di cambià a password o, à u cuntrariu, ubligà à cambià a password a prossima volta chì accede.
- Dopu chì tutti l'utilizatori necessarii sò stati aghjunti, andate à a tabulazione Pacchetti d'installazione, cliccate + è crea l'installatore stessu, chì serà scaricatu da un impiigatu remoto per a stallazione.
- Press +. Selezziunate l'indirizzu è u portu di u servitore à quale u cliente hà da cunnette, è e plataforme per quale vulete generà u pacchettu di stallazione.
Sottu in questa finestra, pudete specificà i paràmetri di u cliente per Windows. Sceglite:- start client on login - u cliente VPN serà aghjuntu à l'iniziu in a macchina remota;
- creà icona di u desktop - creà un icona di u cliente VPN nantu à u desktop;
- validazione di u certificatu di sicurezza di u servitore - cunvalidarà u certificatu di u servitore dopu a cunnessione.
A configurazione di u servitore hè cumpleta.
- Avà andemu à scaricà u pacchettu di stallazione chì avemu creatu in l'ultimu passu à un PC remoto. Quandu hà stallatu u servitore, avemu specificatu u so indirizzu esternu (185.148.83.16) è u portu (445). Hè à questu indirizzu chì avemu bisognu di andà in un navigatore web. In u mo casu hè : 445.
In a finestra d'autorizazione, duvete inserisce e credenziali d'utilizatore chì avemu creatu prima.
- Dopu l'autorizazione, vedemu una lista di pacchetti di stallazione creati dispunibuli per scaricà. Avemu creatu solu unu - avemu da scaricà lu.
- Cliccate nant'à u ligame, u scaricamentu di u cliente principia.
- Unpack l'archiviu telecaricatu è eseguite u installatore.
- Dopu a stallazione, lanciate u cliente, in a finestra di l'autorizazione, cliccate Login.
- In a finestra di verificazione di u certificatu, selezziunate Sì.
- Insememu e credenziali per l'utilizatore creatu prima è vedemu chì a cunnessione hè stata cumpleta bè.
- Cuntrollamu e statistiche di u cliente VPN nantu à l'urdinatore lucale.
- In a linea di cummanda di Windows (ipconfig / all), vedemu chì un adattatore virtuale supplementu hè apparsu è ci hè una cunnessione à a reta remota, tuttu funziona:
- È infine, verificate da a cunsola Edge Gateway.
L2 VPN
L2VPN serà necessariu quandu avete bisognu di cumminà parechji geograficamente
rete distribuite in un duminiu di trasmissione.
Questu pò esse utile, per esempiu, quandu migrate una macchina virtuale: quandu una VM si move in un'altra zona geografica, a macchina mantene a so paràmetri di indirizzu IP è ùn perderà a cunnessione cù altre machini situati in u stessu duminiu L2 cun ella.
In u nostru ambiente di teste, cunnettamu dui siti à l'altri, chjameremu rispettivamente A è B. Avemu dui NSXs è dui reti rotulati creati identicamente attaccati à Edges differenti. Machine A hà l'indirizzu 10.10.10.250/24, Machine B hà l'indirizzu 10.10.10.2/24.
- In vCloud Director, andate à a tabulazione Amministrazione, andate à u VDC chì avemu bisognu, andate à a tabulazione Org VDC Networks è aghjunghje duie reti novi.
- Selezziunate u tipu di rete instradata è ligate sta reta à u nostru NSX. Pudemu a casella di spunta Crea cum'è subinterfaccia.
- In u risultatu, duvemu avè duie rete. In u nostru esempiu, sò chjamati network-a è network-b cù i stessi paràmetri di gateway è a stessa maschera.
- Avà andemu à i paràmetri di u primu NSX. Questu serà u NSX chì a Rete A hè attaccata à u servitore.
Riturnemu à l'interfaccia NSx Edge / Andate à a tabulazione VPN -> L2VPN. Accendemu L2VPN, selezziunà u modu di funziunamentu di u Servitore, in i paràmetri di u Servitore Globale specificamu l'indirizzu IP NSX esternu nantu à quale u portu per u tunelu ascolta. Per automaticamente, u socket si apre nantu à u portu 443, ma questu pò esse cambiatu. Ùn vi scurdate di selezziunà i paràmetri di criptografia per u futuru tunnel.
- Andate à a tabulazione di i siti di u servitore è aghjunghje un peer.
- Accendemu u peer, stabilisce u nome, a descrizzione, se ne necessariu, stabilisce u nome d'utilizatore è a password. Avemu bisognu di sti dati più tardi quandu stabilisce u situ di u cliente.
In Egress Optimization Gateway Address avemu stabilitu l'indirizzu gateway. Questu hè necessariu per chì ùn ci hè micca cunflittu di l'indirizzi IP, perchè a porta di e nostre rete hà u stessu indirizzu. Dopu cliccate nant'à u buttone SELEZIONA SUB-INTERFACES.
- Quì avemu selezziunà u subinterface bramatu. Salvemu i paràmetri.
- Avemu vistu chì u situ di u cliente di novu creatu hè apparsu in i paràmetri.
- Avà andemu à cunfigurà NSX da u cliente.
Andemu à NSX side B, andemu à VPN -> L2VPN, attivà L2VPN, stabilisce u modu L2VPN à u modu di cliente. In a tabulazione Client Global, stabilisce l'indirizzu è u portu di NSX A, chì avemu specificatu prima cum'è Listening IP è Port in u latu di u servitore. Hè ancu necessariu di stabilisce i stessi paràmetri di criptografia per ch'elli sò cunsistenti quandu u tunelu hè risuscitatu.
Scorremu quì sottu, selezziunate a subinterfaccia per quale u tunnel per L2VPN serà custruitu.
In Egress Optimization Gateway Address avemu stabilitu l'indirizzu gateway. Stabilisci l'ID d'utilizatore è a password. Selezziunà a subinterfaccia è ùn vi scurdate di salvà i paràmetri. - In fatti, hè tuttu. I paràmetri di u cliente è u servitore sò quasi identici, cù l'eccezzioni di uni pochi sfumature.
- Avà pudemu vede chì u nostru tunelu hà travagliatu andendu à Statistiche -> L2VPN in ogni NSX.
- Se andemu avà à a cunsola di qualsiasi Edge Gateway, vedemu nantu à ognunu in a tavola arp l'indirizzi di e duie VM.
Hè tuttu di VPN in NSX Edge. Dumandate se qualcosa ùn hè micca chjaru. Hè ancu l'ultima parte di una seria d'articuli nantu à u travagliu cù NSX Edge. Speremu chì sò stati d'aiutu 🙂
Source: www.habr.com