Dnes se podíváme na možnosti konfigurace VPN, které nám NSX Edge nabízí.
Obecně můžeme VPN technologie rozdělit do dvou klíčových typů:
VPN typu Site-to-Site. Nejběžnějším použitím IPSec je vytvoření zabezpečeného tunelu, například mezi sítí hlavní kanceláře a sítí na vzdáleném místě nebo v cloudu.
Vzdálený přístup VPN. Používá se k připojení jednotlivých uživatelů k podnikovým privátním sítím pomocí klientského softwaru VPN.
NSX Edge nám umožňuje využít obě možnosti.
Nakonfigurujeme pomocí testovací stolice se dvěma NSX Edge, linuxovým serverem s nainstalovaným démonem mýval a notebook se systémem Windows k testování VPN pro vzdálený přístup.
IPsec
V rozhraní vCloud Director přejděte do sekce Správa a vyberte vDC. Na kartě Edge Gateways vyberte Edge, který potřebujeme, klikněte pravým tlačítkem a vyberte Edge Gateway Services.
V rozhraní NSX Edge přejděte na kartu VPN-IPsec VPN, poté do sekce IPsec VPN Sites a kliknutím na + přidejte nový web.
Vyplňte povinná pole:
Povoleno – aktivuje vzdálené místo.
PFS – zajišťuje, že každý nový kryptografický klíč není spojen s žádným předchozím klíčem.
Místní ID a místní koncový bodt je externí adresa NSX Edge.
Místní podsíťs - místní sítě, které budou používat IPsec VPN.
Peer ID a Peer Endpoint – adresa vzdáleného místa.
Peer podsítě – sítě, které budou na vzdálené straně používat IPsec VPN.
Vše je připraveno, site-to-site IPsec VPN je v provozu.
V tomto příkladu jsme použili PSK pro peer autentizaci, ale je možná i autentizace certifikátem. Chcete-li to provést, přejděte na kartu Globální konfigurace, povolte ověřování certifikátu a vyberte samotný certifikát.
Navíc v nastavení webu budete muset změnit způsob ověřování.
Podotýkám, že počet tunelů IPsec závisí na velikosti nasazené brány Edge Gateway (přečtěte si o tom v našem první článek).
SSL VPN
SSL VPN-Plus je jednou z možností VPN pro vzdálený přístup. Umožňuje jednotlivým vzdáleným uživatelům bezpečně se připojit k privátním sítím za NSX Edge Gateway. Mezi klientem (Windows, Linux, Mac) a NSX Edge je v případě SSL VPN-plus vytvořen šifrovaný tunel.
Začněme nastavovat. V ovládacím panelu služby Edge Gateway přejděte na kartu SSL VPN-Plus a poté na Nastavení serveru. Vybereme adresu a port, na kterém bude server naslouchat příchozím spojením, povolíme protokolování a vybereme potřebné šifrovací algoritmy.
Zde můžete také změnit certifikát, který bude server používat.
Jakmile je vše připraveno, zapněte server a nezapomeňte uložit nastavení.
Dále musíme nastavit fond adres, které po připojení vydáme klientům. Tato síť je oddělená od jakékoli existující podsítě ve vašem prostředí NSX a není nutné ji konfigurovat na jiných zařízeních ve fyzických sítích, s výjimkou tras, které na ni směřují.
Přejděte na kartu IP Pools a klikněte na +.
Vyberte adresy, masku podsítě a bránu. Zde můžete také změnit nastavení pro servery DNS a WINS.
Výsledný bazén.
Nyní přidejte sítě, ke kterým budou mít přístup uživatelé připojující se k VPN. Přejděte na kartu Privátní sítě a klikněte na +.
Vyplňujeme:
Síť – místní síť, ke které budou mít přístup vzdálení uživatelé.
Odesílat provoz, má dvě možnosti:
- přes tunel - posílat provoz do sítě tunelem,
— obcházet tunel — posílat provoz do sítě přímo a obcházet tunel.
Povolit optimalizaci TCP - zkontrolujte, zda jste zvolili možnost přes tunel. Když je optimalizace povolena, můžete zadat čísla portů, pro která chcete optimalizovat provoz. Provoz pro zbývající porty v této konkrétní síti nebude optimalizován. Pokud nejsou zadána žádná čísla portů, bude provoz pro všechny porty optimalizován. Přečtěte si více o této funkci zde.
Dále přejděte na kartu Authentication a klikněte na +. Pro autentizaci použijeme lokální server na samotném NSX Edge.
Zde můžeme vybrat zásady pro generování nových hesel a nakonfigurovat možnosti blokování uživatelských účtů (například počet opakování při nesprávném zadání hesla).
Protože používáme lokální ověřování, musíme vytvořit uživatele.
Kromě základních věcí, jako je jméno a heslo, zde můžete například uživateli zakázat změnu hesla nebo jej naopak donutit, aby si heslo změnil při příštím přihlášení.
Po přidání všech potřebných uživatelů přejděte na záložku Instalační balíčky, klikněte na + a vytvořte samotný instalátor, který si vzdálený zaměstnanec stáhne k instalaci.
Stiskněte +. Vyberte adresu a port serveru, ke kterému se klient připojí, a platformy, pro které chcete vygenerovat instalační balíček.
Níže v tomto okně můžete zadat nastavení klienta pro Windows. Vybrat:
spustit klienta při přihlášení – klient VPN bude přidán ke spuštění na vzdáleném počítači;
vytvořit ikonu na ploše - vytvoří ikonu klienta VPN na ploše;
ověření certifikátu zabezpečení serveru - po připojení ověří certifikát serveru.
Nastavení serveru je dokončeno.
Nyní si stáhneme instalační balíček, který jsme vytvořili v posledním kroku, do vzdáleného PC. Při nastavování serveru jsme zadali jeho externí adresu (185.148.83.16) a port (445). Právě na tuto adresu musíme přejít ve webovém prohlížeči. V mém případě ano 185.148.83.16: 445.
V okně autorizace musíte zadat přihlašovací údaje uživatele, které jsme vytvořili dříve.
Po autorizaci vidíme seznam vytvořených instalačních balíčků dostupných ke stažení. Vytvořili jsme pouze jednu - stáhneme ji.
Klikneme na odkaz, začne stahování klienta.
Rozbalte stažený archiv a spusťte instalační program.
Po instalaci spusťte klienta, v okně autorizace klikněte na Přihlásit.
V okně ověření certifikátu vyberte Ano.
Zadáme přihlašovací údaje pro dříve vytvořeného uživatele a uvidíme, že připojení bylo úspěšně dokončeno.
Kontrolujeme statistiky VPN klienta na lokálním počítači.
V příkazovém řádku Windows (ipconfig / all) vidíme, že se objevil další virtuální adaptér a existuje připojení ke vzdálené síti, vše funguje:
A nakonec zkontrolujte z konzoly Edge Gateway.
L2 VPN
L2VPN bude potřeba, když potřebujete zkombinovat několik geograficky
distribuované sítě do jedné vysílací domény.
To může být užitečné například při migraci virtuálního počítače: když se virtuální počítač přesune do jiné geografické oblasti, počítač si zachová svá nastavení IP adres a neztratí konektivitu s jinými stroji umístěnými ve stejné L2 doméně.
V našem testovacím prostředí propojíme dvě lokality k sobě, budeme je nazývat A a B. Máme dvě NSX a dvě identicky vytvořené routované sítě připojené k různým Edge. Stroj A má adresu 10.10.10.250/24, Stroj B má adresu 10.10.10.2/24.
V aplikaci vCloud Director přejděte na kartu Správa, přejděte na požadovaný VDC, přejděte na kartu Org VDC Networks a přidejte dvě nové sítě.
Vyberte typ směrované sítě a připojte tuto síť k našemu NSX. Zaškrtneme políčko Vytvořit jako dílčí rozhraní.
V důsledku toho bychom měli získat dvě sítě. V našem příkladu se nazývají síť-a a síť-b se stejným nastavením brány a stejnou maskou.
Nyní pojďme k nastavení prvního NSX. Toto bude NSX, ke kterému je připojena síť A. Bude fungovat jako server.
Vrátíme se do rozhraní NSx Edge / Přejít na záložku VPN -> L2VPN. Zapneme L2VPN, vybereme režim provozu serveru, v nastavení Server Global určíme externí IP adresu NSX, na které bude naslouchat port pro tunel. Ve výchozím nastavení se soket otevře na portu 443, ale to lze změnit. Nezapomeňte vybrat nastavení šifrování pro budoucí tunel.
Přejděte na kartu Serverové weby a přidejte partnera.
Zapneme peer, nastavíme jméno, popis, v případě potřeby nastavíme uživatelské jméno a heslo. Tyto údaje budeme potřebovat později při nastavování klientského webu.
V Egress Optimization Gateway Address nastavujeme adresu brány. Je to nutné, aby nedocházelo ke konfliktu IP adres, protože brána našich sítí má stejnou adresu. Poté klikněte na tlačítko VYBRAT PODROBNÍ ROZHRANÍ.
Zde vybereme požadované podrozhraní. Nastavení uložíme.
Vidíme, že se v nastavení objevil nově vytvořený klientský web.
Nyní přejdeme ke konfiguraci NSX ze strany klienta.
Jdeme na NSX stranu B, jdeme na VPN -> L2VPN, povolíme L2VPN, nastavíme režim L2VPN na klientský režim. Na kartě Client Global nastavte adresu a port NSX A, které jsme dříve zadali jako Listening IP a Port na straně serveru. Je také nutné nastavit stejná nastavení šifrování, aby byla konzistentní, když je tunel zvednut.
Posouváme níže, vybereme podrozhraní, přes které bude tunel pro L2VPN vybudován.
V Egress Optimization Gateway Address nastavujeme adresu brány. Nastavte uživatelské jméno a heslo. Vybereme podrozhraní a nezapomeneme uložit nastavení.
To je vlastně všechno. Nastavení na straně klienta a serveru je až na pár nuancí téměř totožné.
Nyní vidíme, že náš tunel fungoval, když jsme přešli na Statistiky -> L2VPN na libovolném NSX.
Pokud nyní přejdeme do konzole libovolné Edge Gateway, uvidíme na každé z nich v tabulce arp adresy obou VM.
To je vše o VPN na NSX Edge. Zeptejte se, pokud je něco nejasné. Je to také poslední díl ze série článků o práci s NSX Edge. Doufáme, že byly užitečné 🙂