🥇VMware NSX til de mindste. Del 6. VPN-opsætning

Del et. indledende
Del to. Konfiguration af firewall og NAT-regler
Del tre. Konfiguration af DHCP
Del fire. Routing opsætning
Del fem. Opsætning af en load balancer

I dag skal vi tage et kig på de VPN-konfigurationsmuligheder, som NSX Edge tilbyder os.

Generelt kan vi opdele VPN-teknologier i to nøgletyper:

Site-to-site VPN. Den mest almindelige brug af IPSec er at skabe en sikker tunnel, for eksempel mellem et hovedkontornetværk og et netværk på et eksternt sted eller i skyen.
Fjernadgang VPN. Bruges til at forbinde individuelle brugere til virksomhedens private netværk ved hjælp af VPN-klientsoftwaren.

NSX Edge giver os mulighed for at bruge begge muligheder.
Vi vil konfigurere ved hjælp af en testbænk med to NSX Edge, en Linux-server med en installeret dæmon racoon og en Windows-laptop til at teste Remote Access VPN.

IPsec

I vCloud Director-grænsefladen skal du gå til afsnittet Administration og vælge vDC. På fanen Edge Gateways skal du vælge den Edge, vi har brug for, højreklik og vælg Edge Gateway Services.
I NSX Edge-grænsefladen skal du gå til fanen VPN-IPsec VPN, derefter til afsnittet IPsec VPN-websteder og klikke på + for at tilføje et nyt websted.
Udfyld de obligatoriske felter:
- Aktiveret – aktiverer fjernsiden.
- PFS – sikrer, at hver ny kryptografisk nøgle ikke er knyttet til nogen tidligere nøgle.
- Lokalt ID og lokalt slutpunktt er den eksterne adresse på NSX Edge.
- lokalt undernets - lokale netværk, der vil bruge IPsec VPN.
- Peer ID og Peer Endpoint – adresse på fjernstedet.
- Peer-undernet – netværk, der vil bruge IPsec VPN på fjernsiden.
- Krypteringsalgoritme – tunnelkrypteringsalgoritme.
- Godkendelse - hvordan vi vil autentificere peeren. Du kan bruge en foruddelt nøgle eller et certifikat.
- Prædelt nøgle - angiv den nøgle, der skal bruges til godkendelse og skal matche på begge sider.
- Diffie Hellman Group – nøgleudvekslingsalgoritme.
Når du har udfyldt de påkrævede felter, skal du klikke på Behold.
Udført.
Når du har tilføjet webstedet, skal du gå til fanen Aktiveringsstatus og aktivere IPsec-tjenesten.
Når indstillingerne er anvendt, skal du gå til fanen Statistik -> IPsec VPN og kontrollere status for tunnelen. Vi ser, at tunnelen er rejst.
Tjek tunnelstatus fra Edge gateway-konsollen:
- vis tjeneste ipsec - tjek tjenestens status.
- vis service ipsec-websted - Information om webstedets tilstand og forhandlede parametre.
- vis service ipsec sa - tjek status for Security Association (SA).

Kontrol af forbindelse med et eksternt websted:

root@racoon:~# ifconfig eth0:1 | grep inet
        inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0

root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms

--- 192.168.0.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms

Konfigurationsfiler og yderligere kommandoer til diagnosticering fra en ekstern Linux-server:

root@racoon:~# cat /etc/racoon/racoon.conf 

log debug;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

listen {
  isakmp 80.211.43.73 [500];
   strict_address;
}

remote 185.148.83.16 {
        exchange_mode main,aggressive;
        proposal {
                 encryption_algorithm aes256;
                 hash_algorithm sha1;
                 authentication_method pre_shared_key;
                 dh_group modp1536;
         }
         generate_policy on;
}
 
sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
         encryption_algorithm aes256;
         authentication_algorithm hmac_sha1;
         compression_algorithm deflate;
}

===

root@racoon:~# cat /etc/racoon/psk.txt
185.148.83.16 testkey

===

root@racoon:~# cat /etc/ipsec-tools.conf 
#!/usr/sbin/setkey -f

flush;
spdflush;

spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
      esp/tunnel/185.148.83.16-80.211.43.73/require;

spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
      esp/tunnel/80.211.43.73-185.148.83.16/require;

===


root@racoon:~# racoonctl show-sa isakmp
Destination            Cookies                           Created
185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 

===

root@racoon:~# racoonctl show-sa esp
80.211.43.73 185.148.83.16 
        esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
        E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
        A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
        diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
        last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
        current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 860  hard: 0 soft: 0
        sadb_seq=1 pid=7739 refcnt=0
185.148.83.16 80.211.43.73 
        esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
        E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
        A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
        diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
        last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
        current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 860  hard: 0 soft: 0
        sadb_seq=0 pid=7739 refcnt=0

Alt er klar, site-to-site IPsec VPN er oppe og køre.
I dette eksempel brugte vi PSK til peer-godkendelse, men certifikatgodkendelse er også muligt. For at gøre dette skal du gå til fanen Global konfiguration, aktivere certifikatgodkendelse og vælge selve certifikatet.

Derudover skal du i webstedsindstillingerne ændre godkendelsesmetoden.

Jeg bemærker, at antallet af IPsec-tunneler afhænger af størrelsen af den installerede Edge Gateway (læs om dette i vores første artikel).

SSL VPN

SSL VPN-Plus er en af Remote Access VPN-mulighederne. Det giver individuelle fjernbrugere mulighed for sikkert at oprette forbindelse til private netværk bag NSX Edge Gateway. En krypteret tunnel i tilfælde af SSL VPN-plus etableres mellem klienten (Windows, Linux, Mac) og NSX Edge.

Lad os begynde at konfigurere. I Edge Gateway-tjenestens kontrolpanel skal du gå til fanen SSL VPN-Plus og derefter til Serverindstillinger. Vi vælger adressen og porten, hvorpå serveren vil lytte efter indgående forbindelser, aktiverer logning og vælger de nødvendige krypteringsalgoritmer.

Her kan du også ændre det certifikat, som serveren skal bruge.
Når alt er klar, tænd for serveren og glem ikke at gemme indstillingerne.
Dernæst skal vi oprette en pulje af adresser, som vi vil udstede til klienter ved forbindelse. Dette netværk er adskilt fra ethvert eksisterende undernet i dit NSX-miljø og behøver ikke konfigureres på andre enheder på de fysiske netværk, undtagen ruterne, der peger på det.
Gå til fanen IP-puljer, og klik på +.
Vælg adresser, undernetmaske og gateway. Her kan du også ændre indstillingerne for DNS- og WINS-servere.
Den resulterende pulje.
Lad os nu tilføje de netværk, som brugere, der forbinder til VPN'et, vil have adgang til. Gå til fanen Private netværk, og klik på +.
Vi udfylder:
- Netværk - et lokalt netværk, som fjernbrugere vil have adgang til.
- Send trafik, det har to muligheder:
  - over tunnel - send trafik til netværket gennem tunnelen,
  — bypass tunnel — send trafik til netværket direkte uden om tunnelen.
- Aktiver TCP-optimering - tjek, om du valgte indstillingen over tunnel. Når optimering er aktiveret, kan du angive de portnumre, som du vil optimere trafikken for. Trafikken for de resterende havne på det pågældende netværk vil ikke blive optimeret. Hvis der ikke er angivet nogen portnumre, er trafikken for alle porte optimeret. Læs mere om denne funktion her.
Gå derefter til fanen Godkendelse og klik på +. Til godkendelse vil vi bruge en lokal server på selve NSX Edge.
Her kan vi vælge politikker for generering af nye adgangskoder og konfigurere muligheder for at blokere brugerkonti (f.eks. antallet af genforsøg, hvis adgangskoden er indtastet forkert).
Da vi bruger lokal godkendelse, skal vi oprette brugere.
Udover basale ting som navn og adgangskode kan du her fx forbyde brugeren at ændre adgangskoden eller omvendt tvinge ham til at ændre adgangskoden næste gang han logger ind.
Når alle de nødvendige brugere er blevet tilføjet, skal du gå til fanen Installationspakker, klikke på + og oprette selve installationsprogrammet, som vil blive downloadet af en ekstern medarbejder til installation.
Tryk på +. Vælg adressen og porten på den server, som klienten vil oprette forbindelse til, og de platforme, som du vil generere installationspakken til.

Nedenfor i dette vindue kan du angive klientindstillingerne for Windows. Vælge:
- start klient ved logon – VPN-klienten vil blive tilføjet til opstart på fjernmaskinen;
- opret skrivebordsikon - vil oprette et VPN-klientikon på skrivebordet;
- validering af serversikkerhedscertifikat - vil validere servercertifikatet ved forbindelse.
  Serveropsætningen er fuldført.
Lad os nu downloade installationspakken, vi oprettede i det sidste trin, til en ekstern pc. Da vi satte serveren op, specificerede vi dens eksterne adresse (185.148.83.16) og port (445). Det er på denne adresse, vi skal gå i en webbrowser. I mit tilfælde er det 185.148.83.16: 445.
I autorisationsvinduet skal du indtaste de brugerlegitimationsoplysninger, som vi oprettede tidligere.
Efter godkendelse ser vi en liste over oprettede installationspakker, der kan downloades. Vi har kun oprettet én - vi vil downloade den.
Vi klikker på linket, download af klienten begynder.
Pak det downloadede arkiv ud og kør installationsprogrammet.
Efter installationen skal du starte klienten, i autorisationsvinduet, klik på Login.
I certifikatbekræftelsesvinduet skal du vælge Ja.
Vi indtaster legitimationsoplysningerne for den tidligere oprettede bruger og ser, at forbindelsen blev gennemført.
Vi tjekker statistikken for VPN-klienten på den lokale computer.
I Windows-kommandolinjen (ipconfig / all) ser vi, at en ekstra virtuel adapter er dukket op, og der er forbindelse til fjernnetværket, alt fungerer:
Og endelig, tjek fra Edge Gateway-konsollen.

L2 VPN

L2VPN bliver nødvendigt, når du skal kombinere flere geografisk
distribuerede netværk til ét broadcast-domæne.

Dette kan for eksempel være nyttigt ved migrering af en virtuel maskine: Når en VM flytter til et andet geografisk område, beholder maskinen sine IP-adresseringsindstillinger og mister ikke forbindelsen til andre maskiner, der er placeret i det samme L2-domæne med den.

I vores testmiljø vil vi forbinde to steder med hinanden, vi vil kalde dem henholdsvis A og B. Vi har to NSX'er og to identisk oprettede routede netværk knyttet til forskellige Edges. Maskine A har adressen 10.10.10.250/24, Maskine B har adressen 10.10.10.2/24.

I vCloud Director skal du gå til fanen Administration, gå til den VDC, vi har brug for, gå til fanen Org VDC Networks og tilføje to nye netværk.
Vælg den rutede netværkstype og bind dette netværk til vores NSX. Vi sætter afkrydsningsfeltet Opret som undergrænseflade.
Som et resultat bør vi få to netværk. I vores eksempel kaldes de netværk-a og netværk-b med de samme gateway-indstillinger og den samme maske.
Lad os nu gå til indstillingerne for den første NSX. Dette vil være den NSX, som netværk A er knyttet til. Den vil fungere som en server.
Vi vender tilbage til NSx Edge-grænsefladen / Gå til fanen VPN -> L2VPN. Vi tænder L2VPN, vælger serverdriftstilstand, i Server Global-indstillingerne angiver vi den eksterne NSX IP-adresse, som porten til tunnelen vil lytte til. Som standard åbner stikket på port 443, men dette kan ændres. Glem ikke at vælge krypteringsindstillingerne for den fremtidige tunnel.
Gå til fanen Serverwebsteder, og tilføj en peer.
Vi tænder for peeren, indstiller navn, beskrivelse, om nødvendigt angive brugernavn og adgangskode. Vi får brug for disse data senere, når vi opretter klientwebstedet.
I Egress Optimization Gateway Address indstiller vi gateway-adressen. Dette er nødvendigt, så der ikke opstår konflikt mellem IP-adresser, fordi vores netværks gateway har samme adresse. Klik derefter på knappen VÆLG UNDERGRÆNSEFLADER.
Her vælger vi den ønskede undergrænseflade. Vi gemmer indstillingerne.
Vi ser, at det nyoprettede klientwebsted er dukket op i indstillingerne.
Lad os nu gå videre til at konfigurere NSX fra klientsiden.
Vi går til NSX side B, går til VPN -> L2VPN, aktiver L2VPN, indstil L2VPN tilstand til klienttilstand. På fanen Client Global skal du indstille adressen og porten for NSX A, som vi tidligere har angivet som Lytte-IP og Port på serversiden. Det er også nødvendigt at indstille de samme krypteringsindstillinger, så de er konsistente, når tunnelen hæves.

Vi ruller nedenfor, vælg den undergrænseflade, hvorigennem tunnelen til L2VPN skal bygges.
I Egress Optimization Gateway Address indstiller vi gateway-adressen. Indstil bruger-id og adgangskode. Vi vælger undergrænsefladen og glem ikke at gemme indstillingerne.
Faktisk er det alt. Indstillingerne på klient- og serversiden er næsten identiske, med undtagelse af nogle få nuancer.
Nu kan vi se, at vores tunnel har fungeret ved at gå til Statistik -> L2VPN på enhver NSX.
Hvis vi nu går til konsollen på en hvilken som helst Edge Gateway, vil vi se adresserne på begge VM'er på hver af dem i arp-tabellen.

Det handler om VPN på NSX Edge. Spørg hvis noget er uklart. Det er også sidste del af en serie artikler om at arbejde med NSX Edge. Vi håber de var hjælpsomme 🙂

Kilde: www.habr.com

VMware NSX til de mindste. Del 6: VPN-opsætning

IPsec

SSL VPN

L2 VPN

Tilføj en kommentar Annuller svar