Oghje avemu da piglià un ochju à l'opzioni di cunfigurazione VPN chì NSX Edge ci offre.
In generale, pudemu dividisce e tecnulugia VPN in dui tipi chjave:
VPN di situ à situ. L'usu più cumuni di IPSec hè di creà un tunelu sicuru, per esempiu, trà una reta di l'uffiziu principale è una reta in un situ remoto o in u nuvulu.
VPN d'accessu à distanza. Adupratu per cunnette l'utilizatori individuali à e rete private corporative utilizendu u software client VPN.
NSX Edge ci permette di utilizà e duie opzioni.
Avemu da cunfigurà usendu un bancu di teste cù dui NSX Edge, un servitore Linux cù un daemon installatu raccoon è un laptop Windows per pruvà Remote Access VPN.
IPsec
In l'interfaccia di vCloud Director, andate à a sezione Amministrazione è selezziunate u vDC. In a tabulazione Edge Gateways, selezziunate l'Edge chì avemu bisognu, cliccate right-click è selezziunate Edge Gateway Services.
In l'interfaccia NSX Edge, andate à a tabulazione VPN-IPsec VPN, dopu à a sezione Siti VPN IPsec è cliccate + per aghjunghje un novu situ.
Riempite i campi richiesti:
Habilita - attiva u situ luntani.
PFS - assicura chì ogni nova chjave criptografica ùn hè micca assuciata cù alcuna chjave precedente.
ID locale è endpoint localet hè l'indirizzu esternu di u NSX Edge.
Tuttu hè prontu, a VPN IPsec da u situ à u situ hè in funzione.
In questu esempiu, avemu usatu PSK per l'autentificazione peer, ma l'autentificazione di certificatu hè ancu pussibule. Per fà questu, andate à a tabulazione Configurazione Globale, attivate l'autentificazione di certificatu è selezziunate u certificatu stessu.
Inoltre, in i paràmetri di u situ, avete bisognu di cambià u metudu di autentificazione.
Aghju nutatu chì u numeru di tunnelli IPsec dipende da a dimensione di u Edge Gateway implementatu (leghjite nantu à questu in u nostru primu articulu).
VPN SSL
SSL VPN-Plus hè una di l'opzioni VPN di Accessu Remote. Permette à l'utilizatori remoti individuali di cunnette in modu sicuru à e rete private daretu à u NSX Edge Gateway. Un tunnel criptatu in u casu di SSL VPN-plus hè stabilitu trà u cliente (Windows, Linux, Mac) è NSX Edge.
Cuminciamu a stallazione. In u pannellu di cuntrollu di u serviziu di Edge Gateway, andate à a tabulazione SSL VPN-Plus, dopu à Settings Server. Selezziunà l'indirizzu è u portu nantu à quale u servitore ascolterà e cunnessione entranti, attivà u logu è selezziunate l'algoritmi di criptografia necessarii.
Quì pudete ancu cambià u certificatu chì u servitore aduprà.
Dopu chì tuttu hè prontu, accende u servitore è ùn vi scurdate di salvà i paràmetri.
In seguitu, avemu bisognu di stabilisce una piscina di indirizzi chì emettemu à i clienti dopu a cunnessione. Questa reta hè separata da qualsiasi subnet esistenti in u vostru ambiente NSX è ùn deve micca esse cunfigurata in altri dispositi nantu à e rete fisiche, eccettu per e rotte chì puntanu à questu.
Andà à a tabulazione IP Pools è cliccate +.
Selezziunate l'indirizzi, a maschera di subnet è u gateway. Quì pudete ancu cambià i paràmetri per i servitori DNS è WINS.
A piscina risultatu.
Avà aghjustemu e rete chì l'utilizatori chì si cunnettenu à a VPN anu accessu. Andà à a tabulazione Reti Privati è cliccate +.
Insememu:
Network - una reta lucale à quale l'utilizatori remoti anu accessu.
Mandate u trafficu, hà duie opzioni:
- over tunnel - mandate u trafficu à a reta attraversu u tunnel,
- bypass tunnel - mandate u trafficu à a reta direttamente bypassendu u tunnel.
Abilita l'Ottimisazione TCP - verificate se avete sceltu l'opzione sopra tunnel. Quandu l'ottimisazione hè attivata, pudete specificà i numeri di portu per quale vulete ottimisà u trafficu. U trafficu per i porti rimanenti in quella reta particulare ùn serà micca ottimisatu. Se ùn ci sò micca specificati numeri di portu, u trafficu per tutti i porti hè ottimizatu. Leghjite più nantu à sta funzione ccà.
Dopu, andate à a tabulazione Autentificazione è cliccate +. Per l'autentificazione, useremu un servitore locale nantu à u NSX Edge stessu.
Quì pudemu selezziunà e pulitiche per generà novi password è cunfigurà l'opzioni per bluccà i cunti d'utilizatori (per esempiu, u numeru di tentativi se a password hè inserita incorrectamente).
Siccomu usemu l'autentificazione lucale, avemu bisognu di creà utilizatori.
In più di e cose basi cum'è un nome è una password, quì pudete, per esempiu, pruibisce l'utilizatore di cambià a password o, à u cuntrariu, ubligà à cambià a password a prossima volta chì accede.
Dopu chì tutti l'utilizatori necessarii sò stati aghjunti, andate à a tabulazione Pacchetti d'installazione, cliccate + è crea l'installatore stessu, chì serà scaricatu da un impiigatu remoto per a stallazione.
Press +. Selezziunate l'indirizzu è u portu di u servitore à quale u cliente hà da cunnette, è e plataforme per quale vulete generà u pacchettu di stallazione.
Sottu in questa finestra, pudete specificà i paràmetri di u cliente per Windows. Sceglite:
start client on login - u cliente VPN serà aghjuntu à l'iniziu in a macchina remota;
creà icona di u desktop - creà un icona di u cliente VPN nantu à u desktop;
validazione di u certificatu di sicurezza di u servitore - cunvalidarà u certificatu di u servitore dopu a cunnessione.
A configurazione di u servitore hè cumpleta.
Avà andemu à scaricà u pacchettu di stallazione chì avemu creatu in l'ultimu passu à un PC remoto. Quandu hà stallatu u servitore, avemu specificatu u so indirizzu esternu (185.148.83.16) è u portu (445). Hè à questu indirizzu chì avemu bisognu di andà in un navigatore web. In u mo casu hè 185.148.83.16: 445.
In a finestra d'autorizazione, duvete inserisce e credenziali d'utilizatore chì avemu creatu prima.
Dopu l'autorizazione, vedemu una lista di pacchetti di stallazione creati dispunibuli per scaricà. Avemu creatu solu unu - avemu da scaricà lu.
Cliccate nant'à u ligame, u scaricamentu di u cliente principia.
Unpack l'archiviu telecaricatu è eseguite u installatore.
Dopu a stallazione, lanciate u cliente, in a finestra di l'autorizazione, cliccate Login.
In a finestra di verificazione di u certificatu, selezziunate Sì.
Insememu e credenziali per l'utilizatore creatu prima è vedemu chì a cunnessione hè stata cumpleta bè.
Cuntrollamu e statistiche di u cliente VPN nantu à l'urdinatore lucale.
In a linea di cummanda di Windows (ipconfig / all), vedemu chì un adattatore virtuale supplementu hè apparsu è ci hè una cunnessione à a reta remota, tuttu funziona:
È infine, verificate da a cunsola Edge Gateway.
L2 VPN
L2VPN serà necessariu quandu avete bisognu di cumminà parechji geograficamente
rete distribuite in un duminiu di trasmissione.
Questu pò esse utile, per esempiu, quandu migrate una macchina virtuale: quandu una VM si move in un'altra zona geografica, a macchina mantene a so paràmetri di indirizzu IP è ùn perderà a cunnessione cù altre machini situati in u stessu duminiu L2 cun ella.
In u nostru ambiente di teste, cunnettamu dui siti à l'altri, chjameremu rispettivamente A è B. Avemu dui NSXs è dui reti rotulati creati identicamente attaccati à Edges differenti. Machine A hà l'indirizzu 10.10.10.250/24, Machine B hà l'indirizzu 10.10.10.2/24.
In vCloud Director, andate à a tabulazione Amministrazione, andate à u VDC chì avemu bisognu, andate à a tabulazione Org VDC Networks è aghjunghje duie reti novi.
Selezziunate u tipu di rete instradata è ligate sta reta à u nostru NSX. Pudemu a casella di spunta Crea cum'è subinterfaccia.
In u risultatu, duvemu avè duie rete. In u nostru esempiu, sò chjamati network-a è network-b cù i stessi paràmetri di gateway è a stessa maschera.
Avà andemu à i paràmetri di u primu NSX. Questu serà u NSX chì a Rete A hè attaccata à u servitore.
Riturnemu à l'interfaccia NSx Edge / Andate à a tabulazione VPN -> L2VPN. Accendemu L2VPN, selezziunà u modu di funziunamentu di u Servitore, in i paràmetri di u Servitore Globale specificamu l'indirizzu IP NSX esternu nantu à quale u portu per u tunelu ascolta. Per automaticamente, u socket si apre nantu à u portu 443, ma questu pò esse cambiatu. Ùn vi scurdate di selezziunà i paràmetri di criptografia per u futuru tunnel.
Andate à a tabulazione di i siti di u servitore è aghjunghje un peer.
Accendemu u peer, stabilisce u nome, a descrizzione, se ne necessariu, stabilisce u nome d'utilizatore è a password. Avemu bisognu di sti dati più tardi quandu stabilisce u situ di u cliente.
In Egress Optimization Gateway Address avemu stabilitu l'indirizzu gateway. Questu hè necessariu per chì ùn ci hè micca cunflittu di l'indirizzi IP, perchè a porta di e nostre rete hà u stessu indirizzu. Dopu cliccate nant'à u buttone SELEZIONA SUB-INTERFACES.
Quì avemu selezziunà u subinterface bramatu. Salvemu i paràmetri.
Avemu vistu chì u situ di u cliente di novu creatu hè apparsu in i paràmetri.
Avà andemu à cunfigurà NSX da u cliente.
Andemu à NSX side B, andemu à VPN -> L2VPN, attivà L2VPN, stabilisce u modu L2VPN à u modu di cliente. In a tabulazione Client Global, stabilisce l'indirizzu è u portu di NSX A, chì avemu specificatu prima cum'è Listening IP è Port in u latu di u servitore. Hè ancu necessariu di stabilisce i stessi paràmetri di criptografia per ch'elli sò cunsistenti quandu u tunelu hè risuscitatu.
Scorremu quì sottu, selezziunate a subinterfaccia per quale u tunnel per L2VPN serà custruitu.
In Egress Optimization Gateway Address avemu stabilitu l'indirizzu gateway. Stabilisci l'ID d'utilizatore è a password. Selezziunà a subinterfaccia è ùn vi scurdate di salvà i paràmetri.
In fatti, hè tuttu. I paràmetri di u cliente è u servitore sò quasi identici, cù l'eccezzioni di uni pochi sfumature.
Avà pudemu vede chì u nostru tunelu hà travagliatu andendu à Statistiche -> L2VPN in ogni NSX.
Se andemu avà à a cunsola di qualsiasi Edge Gateway, vedemu nantu à ognunu in a tavola arp l'indirizzi di e duie VM.
Hè tuttu di VPN in NSX Edge. Dumandate se qualcosa ùn hè micca chjaru. Hè ancu l'ultima parte di una seria d'articuli nantu à u travagliu cù NSX Edge. Speremu chì sò stati d'aiutu 🙂