VMware NSX pro nejmenší. Část 6: Nastavení VPN

První část. úvodní
Část dvě. Konfigurace firewallu a pravidel NAT
Část třetí. Konfigurace DHCP
Část čtvrtá. Nastavení směrování
Část pátá. Nastavení load balanceru

Dnes se podíváme na možnosti konfigurace VPN, které nám NSX Edge nabízí.

Obecně můžeme VPN technologie rozdělit do dvou klíčových typů:

• VPN typu Site-to-Site. Nejběžnějším použitím IPSec je vytvoření zabezpečeného tunelu, například mezi sítí hlavní kanceláře a sítí na vzdáleném místě nebo v cloudu.
• Vzdálený přístup VPN. Používá se k připojení jednotlivých uživatelů k podnikovým privátním sítím pomocí klientského softwaru VPN.

NSX Edge nám umožňuje využít obě možnosti.
Nakonfigurujeme pomocí testovací stolice se dvěma NSX Edge, linuxovým serverem s nainstalovaným démonem mýval a notebook se systémem Windows k testování VPN pro vzdálený přístup.

IPsec

1. V rozhraní vCloud Director přejděte do sekce Správa a vyberte vDC. Na kartě Edge Gateways vyberte Edge, který potřebujeme, klikněte pravým tlačítkem a vyberte Edge Gateway Services.
   
2. V rozhraní NSX Edge přejděte na kartu VPN-IPsec VPN, poté do sekce IPsec VPN Sites a kliknutím na + přidejte nový web.

   

3. Vyplňte povinná pole:
   • Povoleno – aktivuje vzdálené místo.
   • PFS – zajišťuje, že každý nový kryptografický klíč není spojen s žádným předchozím klíčem.
   • Místní ID a místní koncový bodt je externí adresa NSX Edge.
   • Místní podsíťs - místní sítě, které budou používat IPsec VPN.
   • Peer ID a Peer Endpoint – adresa vzdáleného místa.
   • Peer podsítě – sítě, které budou na vzdálené straně používat IPsec VPN.
   • Šifrovací algoritmus – tunelový šifrovací algoritmus.

   
   

   • Ověřování - jak ověříme peer. Můžete použít předsdílený klíč nebo certifikát.
   • Předsdílený klíč - zadejte klíč, který bude použit pro autentizaci a musí se shodovat na obou stranách.
   • Skupina Diffie Hellman – algoritmus výměny klíčů.

   Po vyplnění požadovaných polí klikněte na Ponechat.

   

4. Hotovo.

   

5. Po přidání webu přejděte na kartu Stav aktivace a aktivujte službu IPsec.

   

6. Po použití nastavení přejděte na kartu Statistiky -> IPsec VPN a zkontrolujte stav tunelu. Vidíme, že se tunel zvedl.

   

7. Zkontrolujte stav tunelu z konzoly brány Edge:
   • zobrazit službu ipsec - kontrola stavu služby.

     

   • show service ipsec site - Informace o stavu webu a vyjednaných parametrech.

     

   • zobrazit službu ipsec sa - kontrola stavu Asociace zabezpečení (SA).

     

8. Kontrola připojení ke vzdálenému webu:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Konfigurační soubory a další příkazy pro diagnostiku ze vzdáleného serveru Linux:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Vše je připraveno, site-to-site IPsec VPN je v provozu.

   V tomto příkladu jsme použili PSK pro peer autentizaci, ale je možná i autentizace certifikátem. Chcete-li to provést, přejděte na kartu Globální konfigurace, povolte ověřování certifikátu a vyberte samotný certifikát.

   Navíc v nastavení webu budete muset změnit způsob ověřování.

   
   
   
   
   Podotýkám, že počet tunelů IPsec závisí na velikosti nasazené brány Edge Gateway (přečtěte si o tom v našem první článek).

   

SSL VPN

SSL VPN-Plus je jednou z možností VPN pro vzdálený přístup. Umožňuje jednotlivým vzdáleným uživatelům bezpečně se připojit k privátním sítím za NSX Edge Gateway. Mezi klientem (Windows, Linux, Mac) a NSX Edge je v případě SSL VPN-plus vytvořen šifrovaný tunel.

1. Začněme nastavovat. V ovládacím panelu služby Edge Gateway přejděte na kartu SSL VPN-Plus a poté na Nastavení serveru. Vybereme adresu a port, na kterém bude server naslouchat příchozím spojením, povolíme protokolování a vybereme potřebné šifrovací algoritmy.

   
   
   Zde můžete také změnit certifikát, který bude server používat.

   

2. Jakmile je vše připraveno, zapněte server a nezapomeňte uložit nastavení.

   

3. Dále musíme nastavit fond adres, které po připojení vydáme klientům. Tato síť je oddělená od jakékoli existující podsítě ve vašem prostředí NSX a není nutné ji konfigurovat na jiných zařízeních ve fyzických sítích, s výjimkou tras, které na ni směřují.

   Přejděte na kartu IP Pools a klikněte na +.

   

4. Vyberte adresy, masku podsítě a bránu. Zde můžete také změnit nastavení pro servery DNS a WINS.

   

5. Výsledný bazén.

   

6. Nyní přidejte sítě, ke kterým budou mít přístup uživatelé připojující se k VPN. Přejděte na kartu Privátní sítě a klikněte na +.

   

7. Vyplňujeme:
   • Síť – místní síť, ke které budou mít přístup vzdálení uživatelé.
   • Odesílat provoz, má dvě možnosti:
     - přes tunel - posílat provoz do sítě tunelem,
     — obcházet tunel — posílat provoz do sítě přímo a obcházet tunel.
   • Povolit optimalizaci TCP - zkontrolujte, zda jste zvolili možnost přes tunel. Když je optimalizace povolena, můžete zadat čísla portů, pro která chcete optimalizovat provoz. Provoz pro zbývající porty v této konkrétní síti nebude optimalizován. Pokud nejsou zadána žádná čísla portů, bude provoz pro všechny porty optimalizován. Přečtěte si více o této funkci zde.

   

8. Dále přejděte na kartu Authentication a klikněte na +. Pro autentizaci použijeme lokální server na samotném NSX Edge.

   

9. Zde můžeme vybrat zásady pro generování nových hesel a nakonfigurovat možnosti blokování uživatelských účtů (například počet opakování při nesprávném zadání hesla).

   
   
   

10. Protože používáme lokální ověřování, musíme vytvořit uživatele.

    

11. Kromě základních věcí, jako je jméno a heslo, zde můžete například uživateli zakázat změnu hesla nebo jej naopak donutit, aby si heslo změnil při příštím přihlášení.

    

12. Po přidání všech potřebných uživatelů přejděte na záložku Instalační balíčky, klikněte na + a vytvořte samotný instalátor, který si vzdálený zaměstnanec stáhne k instalaci.

    

13. Stiskněte +. Vyberte adresu a port serveru, ke kterému se klient připojí, a platformy, pro které chcete vygenerovat instalační balíček.

    
    
    Níže v tomto okně můžete zadat nastavení klienta pro Windows. Vybrat:

    • spustit klienta při přihlášení – klient VPN bude přidán ke spuštění na vzdáleném počítači;
    • vytvořit ikonu na ploše - vytvoří ikonu klienta VPN na ploše;
    • ověření certifikátu zabezpečení serveru - po připojení ověří certifikát serveru.
      Nastavení serveru je dokončeno.

    

14. Nyní si stáhneme instalační balíček, který jsme vytvořili v posledním kroku, do vzdáleného PC. Při nastavování serveru jsme zadali jeho externí adresu (185.148.83.16) a port (445). Právě na tuto adresu musíme přejít ve webovém prohlížeči. V mém případě ano 185.148.83.16: 445.

    V okně autorizace musíte zadat přihlašovací údaje uživatele, které jsme vytvořili dříve.

    

15. Po autorizaci vidíme seznam vytvořených instalačních balíčků dostupných ke stažení. Vytvořili jsme pouze jednu - stáhneme ji.

    

16. Klikneme na odkaz, začne stahování klienta.

    

17. Rozbalte stažený archiv a spusťte instalační program.

    

18. Po instalaci spusťte klienta, v okně autorizace klikněte na Přihlásit.

    

19. V okně ověření certifikátu vyberte Ano.

    

20. Zadáme přihlašovací údaje pro dříve vytvořeného uživatele a uvidíme, že připojení bylo úspěšně dokončeno.

    
    
    

21. Kontrolujeme statistiky VPN klienta na lokálním počítači.

    
    
    

22. V příkazovém řádku Windows (ipconfig / all) vidíme, že se objevil další virtuální adaptér a existuje připojení ke vzdálené síti, vše funguje:

    
    
    

23. A nakonec zkontrolujte z konzoly Edge Gateway.

    

L2 VPN

L2VPN bude potřeba, když potřebujete zkombinovat několik geograficky
distribuované sítě do jedné vysílací domény.

To může být užitečné například při migraci virtuálního počítače: když se virtuální počítač přesune do jiné geografické oblasti, počítač si zachová svá nastavení IP adres a neztratí konektivitu s jinými stroji umístěnými ve stejné L2 doméně.

V našem testovacím prostředí propojíme dvě lokality k sobě, budeme je nazývat A a B. Máme dvě NSX a dvě identicky vytvořené routované sítě připojené k různým Edge. Stroj A má adresu 10.10.10.250/24, Stroj B má adresu 10.10.10.2/24.

1. V aplikaci vCloud Director přejděte na kartu Správa, přejděte na požadovaný VDC, přejděte na kartu Org VDC Networks a přidejte dvě nové sítě.

   

2. Vyberte typ směrované sítě a připojte tuto síť k našemu NSX. Zaškrtneme políčko Vytvořit jako dílčí rozhraní.

   

3. V důsledku toho bychom měli získat dvě sítě. V našem příkladu se nazývají síť-a a síť-b se stejným nastavením brány a stejnou maskou.

   
   
   

4. Nyní pojďme k nastavení prvního NSX. Toto bude NSX, ke kterému je připojena síť A. Bude fungovat jako server.

   Vrátíme se do rozhraní NSx Edge / Přejít na záložku VPN -> L2VPN. Zapneme L2VPN, vybereme režim provozu serveru, v nastavení Server Global určíme externí IP adresu NSX, na které bude naslouchat port pro tunel. Ve výchozím nastavení se soket otevře na portu 443, ale to lze změnit. Nezapomeňte vybrat nastavení šifrování pro budoucí tunel.

   

5. Přejděte na kartu Serverové weby a přidejte partnera.

   

6. Zapneme peer, nastavíme jméno, popis, v případě potřeby nastavíme uživatelské jméno a heslo. Tyto údaje budeme potřebovat později při nastavování klientského webu.

   V Egress Optimization Gateway Address nastavujeme adresu brány. Je to nutné, aby nedocházelo ke konfliktu IP adres, protože brána našich sítí má stejnou adresu. Poté klikněte na tlačítko VYBRAT PODROBNÍ ROZHRANÍ.

   

7. Zde vybereme požadované podrozhraní. Nastavení uložíme.

   

8. Vidíme, že se v nastavení objevil nově vytvořený klientský web.

   

9. Nyní přejdeme ke konfiguraci NSX ze strany klienta.

   Jdeme na NSX stranu B, jdeme na VPN -> L2VPN, povolíme L2VPN, nastavíme režim L2VPN na klientský režim. Na kartě Client Global nastavte adresu a port NSX A, které jsme dříve zadali jako Listening IP a Port na straně serveru. Je také nutné nastavit stejná nastavení šifrování, aby byla konzistentní, když je tunel zvednut.

   
   
   Posouváme níže, vybereme podrozhraní, přes které bude tunel pro L2VPN vybudován.
   V Egress Optimization Gateway Address nastavujeme adresu brány. Nastavte uživatelské jméno a heslo. Vybereme podrozhraní a nezapomeneme uložit nastavení.

   

10. To je vlastně všechno. Nastavení na straně klienta a serveru je až na pár nuancí téměř totožné.
11. Nyní vidíme, že náš tunel fungoval, když jsme přešli na Statistiky -> L2VPN na libovolném NSX.

    

12. Pokud nyní přejdeme do konzole libovolné Edge Gateway, uvidíme na každé z nich v tabulce arp adresy obou VM.

    

To je vše o VPN na NSX Edge. Zeptejte se, pokud je něco nejasné. Je to také poslední díl ze série článků o práci s NSX Edge. Doufáme, že byly užitečné 🙂

Zdroj: www.habr.com