VMware NSX ar gyfer y rhai bach. Rhan 6: Gosod VPN

Rhan un. rhagarweiniol
Rhan dau. Ffurfweddu Rheolau Mur Tân a NAT
Rhan tri. Ffurfweddu DHCP
Rhan pedwar. Gosodiad llwybro
Rhan pump. Sefydlu cydbwysedd llwyth

Heddiw, rydyn ni'n mynd i edrych ar yr opsiynau cyfluniad VPN y mae NSX Edge yn eu cynnig i ni.

Yn gyffredinol, gallwn rannu technolegau VPN yn ddau fath allweddol:

• VPN safle-i-safle. Y defnydd mwyaf cyffredin o IPSec yw creu twnnel diogel, er enghraifft, rhwng rhwydwaith prif swyddfa a rhwydwaith mewn safle anghysbell neu yn y cwmwl.
• VPN Mynediad o Bell. Fe'i defnyddir i gysylltu defnyddwyr unigol â rhwydweithiau preifat corfforaethol gan ddefnyddio meddalwedd cleient VPN.

Mae NSX Edge yn caniatáu inni ddefnyddio'r ddau opsiwn.
Byddwn yn ffurfweddu gan ddefnyddio mainc brawf gyda dau NSX Edge, gweinydd Linux gyda daemon wedi'i osod racwn a gliniadur Windows i brofi VPN Mynediad o Bell.

IPsec

1. Yn y rhyngwyneb vCloud Director, ewch i'r adran Gweinyddu a dewiswch y vDC. Ar y tab Pyrth Edge, dewiswch yr Edge sydd ei angen arnom, de-gliciwch a dewiswch Edge Gateway Services.
   
2. Yn y rhyngwyneb NSX Edge, ewch i'r tab VPN-IPsec VPN, yna i'r adran Safleoedd IPsec VPN a chliciwch + i ychwanegu gwefan newydd.

   

3. Llenwch y meysydd gofynnol:
   • Galluogwyd – yn actifadu'r wefan anghysbell.
   • PFS – yn sicrhau nad yw pob allwedd cryptograffig newydd yn gysylltiedig ag unrhyw allwedd flaenorol.
   • ID Lleol a Diweddbwynt Lleolt yw cyfeiriad allanol yr NSX Edge.
   • is-rwydwaith lleols - rhwydweithiau lleol a fydd yn defnyddio IPsec VPN.
   • ID Cyfoedion a Peer Endpoint – cyfeiriad y safle anghysbell.
   • Is-rwydweithiau cyfoedion – rhwydweithiau a fydd yn defnyddio IPsec VPN ar yr ochr bell.
   • Algorithm Amgryptio - algorithm amgryptio twnnel.

   
   

   • Dilysu - sut y byddwn yn dilysu'r cyfoedion. Gallwch ddefnyddio Allwedd a Rennir ymlaen llaw neu dystysgrif.
   • Allwedd a Rennir Cyn - nodwch yr allwedd a ddefnyddir ar gyfer dilysu a rhaid iddo gyfateb ar y ddwy ochr.
   • Grŵp Diffie Hellman - algorithm cyfnewid allweddol.

   Ar ôl llenwi'r meysydd gofynnol, cliciwch Cadw.

   

4. Wedi'i wneud.

   

5. Ar ôl ychwanegu'r wefan, ewch i'r tab Statws Actifadu ac actifadu'r Gwasanaeth IPsec.

   

6. Ar ôl i'r gosodiadau gael eu cymhwyso, ewch i'r tab Ystadegau -> IPsec VPN a gwirio statws y twnnel. Gwelwn fod y twnnel wedi codi.

   

7. Gwiriwch statws y twnnel o gonsol porth Edge:
   • dangos gwasanaeth ipsec - gwiriwch statws y gwasanaeth.

     

   • dangos safle gwasanaeth ipsec - Gwybodaeth am gyflwr y safle a pharamedrau a drafodwyd.

     

   • dangos gwasanaeth ipsec sa - gwirio statws y Gymdeithas Ddiogelwch (SA).

     

8. Gwirio cysylltedd â safle anghysbell:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Ffeiliau ffurfweddu a gorchmynion ychwanegol ar gyfer diagnosteg o weinydd Linux anghysbell:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Mae popeth yn barod, mae IPsec VPN o safle i safle ar waith.

   Yn yr enghraifft hon, gwnaethom ddefnyddio PSK ar gyfer dilysu cymheiriaid, ond mae dilysu tystysgrifau hefyd yn bosibl. I wneud hyn, ewch i'r tab Cyfluniad Byd-eang, galluogi dilysu tystysgrif a dewis y dystysgrif ei hun.

   Yn ogystal, yng ngosodiadau'r wefan, bydd angen i chi newid y dull dilysu.

   
   
   
   
   Sylwaf fod nifer y twneli IPsec yn dibynnu ar faint y Porth Edge a ddefnyddir (darllenwch am hyn yn ein erthygl gyntaf).

   

SSL VPN

Mae SSL VPN-Plus yn un o'r opsiynau VPN Mynediad o Bell. Mae'n caniatáu i ddefnyddwyr anghysbell unigol gysylltu'n ddiogel â rhwydweithiau preifat y tu ôl i Borth Edge NSX. Mae twnnel wedi'i amgryptio yn achos SSL VPN-plus wedi'i sefydlu rhwng y cleient (Windows, Linux, Mac) a NSX Edge.

1. Gadewch i ni ddechrau sefydlu. Ym mhanel rheoli gwasanaeth Edge Gateway, ewch i'r tab SSL VPN-Plus, yna i Gosodiadau Gweinyddwr. Rydym yn dewis y cyfeiriad a'r porthladd y bydd y gweinydd yn gwrando arnynt am gysylltiadau sy'n dod i mewn, yn galluogi logio ac yn dewis yr algorithmau amgryptio angenrheidiol.

   
   
   Yma gallwch hefyd newid y dystysgrif y bydd y gweinydd yn ei defnyddio.

   

2. Ar ôl i bopeth fod yn barod, trowch y gweinydd ymlaen a pheidiwch ag anghofio arbed y gosodiadau.

   

3. Nesaf, mae angen i ni sefydlu cronfa o gyfeiriadau y byddwn yn eu rhoi i gleientiaid ar gysylltiad. Mae'r rhwydwaith hwn ar wahân i unrhyw is-rwydwaith presennol yn eich amgylchedd NSX ac nid oes angen ei ffurfweddu ar ddyfeisiau eraill ar y rhwydweithiau ffisegol, ac eithrio'r llwybrau sy'n pwyntio ato.

   Ewch i'r tab Pools IP a chliciwch +.

   

4. Dewiswch gyfeiriadau, mwgwd is-rwydwaith a phorth. Yma gallwch hefyd newid y gosodiadau ar gyfer gweinyddwyr DNS a WINS.

   

5. Y pwll canlyniadol.

   

6. Nawr, gadewch i ni ychwanegu'r rhwydweithiau y bydd defnyddwyr sy'n cysylltu â'r VPN yn cael mynediad iddynt. Ewch i'r tab Rhwydweithiau Preifat a chliciwch +.

   

7. Rydym yn llenwi:
   • Rhwydwaith - rhwydwaith lleol y bydd defnyddwyr o bell yn cael mynediad iddo.
   • Anfon traffig, mae ganddo ddau opsiwn:
     - dros y twnnel - anfon traffig i'r rhwydwaith trwy'r twnnel,
     — twnnel ffordd osgoi - anfon traffig i'r rhwydwaith yn uniongyrchol osgoi'r twnnel.
   • Galluogi TCP Optimization - gwiriwch a wnaethoch chi ddewis yr opsiwn dros dwnnel. Pan fydd optimeiddio wedi'i alluogi, gallwch nodi'r rhifau porthladd yr ydych am wneud y gorau o draffig ar eu cyfer. Ni chaiff traffig ar gyfer gweddill y porthladdoedd ar y rhwydwaith penodol hwnnw ei optimeiddio. Os na nodir unrhyw rifau porthladd, caiff traffig ar gyfer pob porthladd ei optimeiddio. Darllenwch fwy am y nodwedd hon yma.

   

8. Nesaf, ewch i'r tab Dilysu a chliciwch +. Ar gyfer dilysu, byddwn yn defnyddio gweinydd lleol ar yr NSX Edge ei hun.

   

9. Yma gallwn ddewis polisïau ar gyfer cynhyrchu cyfrineiriau newydd a ffurfweddu opsiynau ar gyfer blocio cyfrifon defnyddwyr (er enghraifft, nifer yr ailgeisiadau os yw'r cyfrinair wedi'i nodi'n anghywir).

   
   
   

10. Gan ein bod yn defnyddio dilysu lleol, mae angen i ni greu defnyddwyr.

    

11. Yn ogystal â phethau sylfaenol fel enw a chyfrinair, yma gallwch, er enghraifft, wahardd y defnyddiwr rhag newid y cyfrinair neu, i'r gwrthwyneb, ei orfodi i newid y cyfrinair y tro nesaf y bydd yn mewngofnodi.

    

12. Ar ôl i'r holl ddefnyddwyr angenrheidiol gael eu hychwanegu, ewch i'r tab Pecynnau Gosod, cliciwch + a chreu'r gosodwr ei hun, a fydd yn cael ei lawrlwytho gan weithiwr anghysbell i'w osod.

    

13. Pwyswch +. Dewiswch gyfeiriad a phorthladd y gweinydd y bydd y cleient yn cysylltu ag ef, a'r llwyfannau yr ydych am gynhyrchu'r pecyn gosod ar eu cyfer.

    
    
    Isod yn y ffenestr hon, gallwch chi nodi'r gosodiadau cleient ar gyfer Windows. Dewiswch:

    • cychwyn cleient ar fewngofnodi - bydd y cleient VPN yn cael ei ychwanegu at gychwyn ar y peiriant anghysbell;
    • creu eicon bwrdd gwaith - bydd yn creu eicon cleient VPN ar y bwrdd gwaith;
    • dilysu tystysgrif diogelwch gweinydd - bydd yn dilysu tystysgrif y gweinydd wrth gysylltu.
      Mae gosodiad y gweinydd wedi'i gwblhau.

    

14. Nawr, gadewch i ni lawrlwytho'r pecyn gosod a grëwyd gennym yn y cam olaf i gyfrifiadur personol anghysbell. Wrth sefydlu'r gweinydd, fe wnaethom nodi ei gyfeiriad allanol (185.148.83.16) a phorthladd (445). Yn y cyfeiriad hwn y mae angen i ni fynd mewn porwr gwe. Yn fy achos i y mae 185.148.83.16: 445.

    Yn y ffenestr awdurdodi, rhaid i chi nodi'r tystlythyrau defnyddiwr a grëwyd gennym yn gynharach.

    

15. Ar ôl awdurdodi, gwelwn restr o becynnau gosod a grëwyd sydd ar gael i'w lawrlwytho. Dim ond un rydyn ni wedi'i greu - byddwn ni'n ei lawrlwytho.

    

16. Rydym yn clicio ar y ddolen, mae lawrlwytho'r cleient yn dechrau.

    

17. Dadbacio'r archif wedi'i lawrlwytho a rhedeg y gosodwr.

    

18. Ar ôl gosod, lansiwch y cleient, yn y ffenestr awdurdodi, cliciwch Mewngofnodi.

    

19. Yn y ffenestr dilysu tystysgrif, dewiswch Ie.

    

20. Rydyn ni'n nodi'r tystlythyrau ar gyfer y defnyddiwr a grëwyd yn flaenorol ac yn gweld bod y cysylltiad wedi'i gwblhau'n llwyddiannus.

    
    
    

21. Rydym yn gwirio ystadegau'r cleient VPN ar y cyfrifiadur lleol.

    
    
    

22. Yn llinell orchymyn Windows (ipconfig / all), gwelwn fod addasydd rhithwir ychwanegol wedi ymddangos a bod cysylltedd â'r rhwydwaith anghysbell, mae popeth yn gweithio:

    
    
    

23. Ac yn olaf, gwiriwch o'r consol Edge Gateway.

    

L2 VPN

Bydd angen L2VPN pan fydd angen cyfuno sawl un yn ddaearyddol
rhwydweithiau wedi'u dosbarthu i un parth darlledu.

Gall hyn fod yn ddefnyddiol, er enghraifft, wrth fudo peiriant rhithwir: pan fydd VM yn symud i ardal ddaearyddol arall, bydd y peiriant yn cadw ei osodiadau cyfeiriad IP ac ni fydd yn colli cysylltedd â pheiriannau eraill sydd wedi'u lleoli yn yr un parth L2 ag ef.

Yn ein hamgylchedd prawf, byddwn yn cysylltu dau safle â'i gilydd, byddwn yn eu galw'n A a B, yn y drefn honno Mae gennym ddau NSX a dau rwydwaith llwybredig a grëwyd yn union yr un fath yn gysylltiedig â gwahanol Edges. Mae gan Beiriant A y cyfeiriad 10.10.10.250/24, mae gan Beiriant B y cyfeiriad 10.10.10.2/24.

1. Yn vCloud Director, ewch i'r tab Gweinyddu, ewch i'r VDC sydd ei angen arnom, ewch i'r tab Org VDC Networks ac ychwanegwch ddau rwydwaith newydd.

   

2. Dewiswch y math o rwydwaith llwybredig a rhwymwch y rhwydwaith hwn i'n NSX. Rydyn ni'n rhoi'r blwch ticio Creu fel is-ryngwyneb.

   

3. O ganlyniad, dylem gael dau rwydwaith. Yn ein hesiampl ni, fe'u gelwir yn rhwydwaith-a a rhwydwaith-b gyda'r un gosodiadau porth a'r un mwgwd.

   
   
   

4. Nawr, gadewch i ni fynd i osodiadau'r NSX cyntaf. Dyma'r NSX y mae Rhwydwaith A ynghlwm wrtho. Bydd yn gweithredu fel gweinydd.

   Rydyn ni'n dychwelyd i ryngwyneb NSx Edge / Ewch i'r tab VPN -> L2VPN. Rydyn ni'n troi L2VPN ymlaen, yn dewis modd gweithredu Gweinyddwr, yn y gosodiadau Server Global rydym yn nodi'r cyfeiriad IP NSX allanol y bydd porthladd y twnnel yn gwrando arno. Yn ddiofyn, bydd y soced yn agor ar borthladd 443, ond gellir newid hyn. Peidiwch ag anghofio dewis y gosodiadau amgryptio ar gyfer twnnel y dyfodol.

   

5. Ewch i'r tab Safleoedd Gweinyddwr ac ychwanegu cyfoedion.

   

6. Rydyn ni'n troi'r cyfoedion ymlaen, yn gosod yr enw, y disgrifiad, os oes angen, yn gosod yr enw defnyddiwr a'r cyfrinair. Bydd angen y data hwn arnom yn ddiweddarach wrth sefydlu gwefan y cleient.

   Yn Egress Optimization Gateway Address rydym yn gosod y cyfeiriad porth. Mae hyn yn angenrheidiol fel nad oes gwrthdaro rhwng cyfeiriadau IP, oherwydd bod gan borth ein rhwydweithiau yr un cyfeiriad. Yna cliciwch ar y botwm SELECT SUB-INTEFACES.

   

7. Yma rydym yn dewis yr is-ryngwyneb dymunol. Rydym yn arbed y gosodiadau.

   

8. Gwelwn fod y safle cleient newydd ei greu wedi ymddangos yn y gosodiadau.

   

9. Nawr, gadewch i ni symud ymlaen i ffurfweddu NSX o ochr y cleient.

   Rydyn ni'n mynd i NSX ochr B, ewch i VPN -> L2VPN, galluogi L2VPN, gosod modd L2VPN i fodd cleient. Ar y tab Cleient Global, gosodwch gyfeiriad a phorthladd NSX A, a nodwyd gennym yn gynharach fel Gwrando IP a Phorthladd ar ochr y gweinydd. Mae hefyd angen gosod yr un gosodiadau amgryptio fel eu bod yn gyson pan fydd y twnnel yn cael ei godi.

   
   
   Rydyn ni'n sgrolio isod, dewiswch yr is-rhyngwyneb y bydd y twnnel ar gyfer L2VPN yn cael ei adeiladu drwyddo.
   Yn Egress Optimization Gateway Address rydym yn gosod y cyfeiriad porth. Gosod defnyddiwr-id a chyfrinair. Rydyn ni'n dewis yr is-ryngwyneb a pheidiwch ag anghofio arbed y gosodiadau.

   

10. A dweud y gwir, dyna i gyd. Mae gosodiadau ochr y cleient a'r gweinydd bron yn union yr un fath, ac eithrio ychydig o arlliwiau.
11. Nawr gallwn weld bod ein twnnel wedi gweithio trwy fynd i Ystadegau -> L2VPN ar unrhyw NSX.

    

12. Os awn ni nawr i gonsol unrhyw Edge Gateway, fe welwn ni ar bob un ohonyn nhw yn y tabl arp gyfeiriadau'r ddau VM.

    

Mae hynny'n ymwneud â VPN ar NSX Edge. Gofynnwch a yw rhywbeth yn aneglur. Dyma hefyd ran olaf cyfres o erthyglau ar weithio gyda NSX Edge. Gobeithio eu bod wedi bod o gymorth 🙂

Ffynhonnell: hab.com