I dag skal vi tage et kig på de VPN-konfigurationsmuligheder, som NSX Edge tilbyder os.
Generelt kan vi opdele VPN-teknologier i to nøgletyper:
Site-to-site VPN. Den mest almindelige brug af IPSec er at skabe en sikker tunnel, for eksempel mellem et hovedkontornetværk og et netværk på et eksternt sted eller i skyen.
Fjernadgang VPN. Bruges til at forbinde individuelle brugere til virksomhedens private netværk ved hjælp af VPN-klientsoftwaren.
NSX Edge giver os mulighed for at bruge begge muligheder.
Vi vil konfigurere ved hjælp af en testbænk med to NSX Edge, en Linux-server med en installeret dæmon racoon og en Windows-laptop til at teste Remote Access VPN.
IPsec
I vCloud Director-grænsefladen skal du gå til afsnittet Administration og vælge vDC. På fanen Edge Gateways skal du vælge den Edge, vi har brug for, højreklik og vælg Edge Gateway Services.
I NSX Edge-grænsefladen skal du gå til fanen VPN-IPsec VPN, derefter til afsnittet IPsec VPN-websteder og klikke på + for at tilføje et nyt websted.
Udfyld de obligatoriske felter:
Aktiveret – aktiverer fjernsiden.
PFS – sikrer, at hver ny kryptografisk nøgle ikke er knyttet til nogen tidligere nøgle.
Lokalt ID og lokalt slutpunktt er den eksterne adresse på NSX Edge.
lokalt undernets - lokale netværk, der vil bruge IPsec VPN.
Peer ID og Peer Endpoint – adresse på fjernstedet.
Peer-undernet – netværk, der vil bruge IPsec VPN på fjernsiden.
Alt er klar, site-to-site IPsec VPN er oppe og køre.
I dette eksempel brugte vi PSK til peer-godkendelse, men certifikatgodkendelse er også muligt. For at gøre dette skal du gå til fanen Global konfiguration, aktivere certifikatgodkendelse og vælge selve certifikatet.
Derudover skal du i webstedsindstillingerne ændre godkendelsesmetoden.
Jeg bemærker, at antallet af IPsec-tunneler afhænger af størrelsen af den installerede Edge Gateway (læs om dette i vores første artikel).
SSL VPN
SSL VPN-Plus er en af Remote Access VPN-mulighederne. Det giver individuelle fjernbrugere mulighed for sikkert at oprette forbindelse til private netværk bag NSX Edge Gateway. En krypteret tunnel i tilfælde af SSL VPN-plus etableres mellem klienten (Windows, Linux, Mac) og NSX Edge.
Lad os begynde at konfigurere. I Edge Gateway-tjenestens kontrolpanel skal du gå til fanen SSL VPN-Plus og derefter til Serverindstillinger. Vi vælger adressen og porten, hvorpå serveren vil lytte efter indgående forbindelser, aktiverer logning og vælger de nødvendige krypteringsalgoritmer.
Her kan du også ændre det certifikat, som serveren skal bruge.
Når alt er klar, tænd for serveren og glem ikke at gemme indstillingerne.
Dernæst skal vi oprette en pulje af adresser, som vi vil udstede til klienter ved forbindelse. Dette netværk er adskilt fra ethvert eksisterende undernet i dit NSX-miljø og behøver ikke konfigureres på andre enheder på de fysiske netværk, undtagen ruterne, der peger på det.
Gå til fanen IP-puljer, og klik på +.
Vælg adresser, undernetmaske og gateway. Her kan du også ændre indstillingerne for DNS- og WINS-servere.
Den resulterende pulje.
Lad os nu tilføje de netværk, som brugere, der forbinder til VPN'et, vil have adgang til. Gå til fanen Private netværk, og klik på +.
Vi udfylder:
Netværk - et lokalt netværk, som fjernbrugere vil have adgang til.
Send trafik, det har to muligheder:
- over tunnel - send trafik til netværket gennem tunnelen,
— bypass tunnel — send trafik til netværket direkte uden om tunnelen.
Aktiver TCP-optimering - tjek, om du valgte indstillingen over tunnel. Når optimering er aktiveret, kan du angive de portnumre, som du vil optimere trafikken for. Trafikken for de resterende havne på det pågældende netværk vil ikke blive optimeret. Hvis der ikke er angivet nogen portnumre, er trafikken for alle porte optimeret. Læs mere om denne funktion her.
Gå derefter til fanen Godkendelse og klik på +. Til godkendelse vil vi bruge en lokal server på selve NSX Edge.
Her kan vi vælge politikker for generering af nye adgangskoder og konfigurere muligheder for at blokere brugerkonti (f.eks. antallet af genforsøg, hvis adgangskoden er indtastet forkert).
Da vi bruger lokal godkendelse, skal vi oprette brugere.
Udover basale ting som navn og adgangskode kan du her fx forbyde brugeren at ændre adgangskoden eller omvendt tvinge ham til at ændre adgangskoden næste gang han logger ind.
Når alle de nødvendige brugere er blevet tilføjet, skal du gå til fanen Installationspakker, klikke på + og oprette selve installationsprogrammet, som vil blive downloadet af en ekstern medarbejder til installation.
Tryk på +. Vælg adressen og porten på den server, som klienten vil oprette forbindelse til, og de platforme, som du vil generere installationspakken til.
Nedenfor i dette vindue kan du angive klientindstillingerne for Windows. Vælge:
start klient ved logon – VPN-klienten vil blive tilføjet til opstart på fjernmaskinen;
opret skrivebordsikon - vil oprette et VPN-klientikon på skrivebordet;
validering af serversikkerhedscertifikat - vil validere servercertifikatet ved forbindelse.
Serveropsætningen er fuldført.
Lad os nu downloade installationspakken, vi oprettede i det sidste trin, til en ekstern pc. Da vi satte serveren op, specificerede vi dens eksterne adresse (185.148.83.16) og port (445). Det er på denne adresse, vi skal gå i en webbrowser. I mit tilfælde er det 185.148.83.16: 445.
I autorisationsvinduet skal du indtaste de brugerlegitimationsoplysninger, som vi oprettede tidligere.
Efter godkendelse ser vi en liste over oprettede installationspakker, der kan downloades. Vi har kun oprettet én - vi vil downloade den.
Vi klikker på linket, download af klienten begynder.
Pak det downloadede arkiv ud og kør installationsprogrammet.
Efter installationen skal du starte klienten, i autorisationsvinduet, klik på Login.
I certifikatbekræftelsesvinduet skal du vælge Ja.
Vi indtaster legitimationsoplysningerne for den tidligere oprettede bruger og ser, at forbindelsen blev gennemført.
Vi tjekker statistikken for VPN-klienten på den lokale computer.
I Windows-kommandolinjen (ipconfig / all) ser vi, at en ekstra virtuel adapter er dukket op, og der er forbindelse til fjernnetværket, alt fungerer:
Og endelig, tjek fra Edge Gateway-konsollen.
L2 VPN
L2VPN bliver nødvendigt, når du skal kombinere flere geografisk
distribuerede netværk til ét broadcast-domæne.
Dette kan for eksempel være nyttigt ved migrering af en virtuel maskine: Når en VM flytter til et andet geografisk område, beholder maskinen sine IP-adresseringsindstillinger og mister ikke forbindelsen til andre maskiner, der er placeret i det samme L2-domæne med den.
I vores testmiljø vil vi forbinde to steder med hinanden, vi vil kalde dem henholdsvis A og B. Vi har to NSX'er og to identisk oprettede routede netværk knyttet til forskellige Edges. Maskine A har adressen 10.10.10.250/24, Maskine B har adressen 10.10.10.2/24.
I vCloud Director skal du gå til fanen Administration, gå til den VDC, vi har brug for, gå til fanen Org VDC Networks og tilføje to nye netværk.
Vælg den rutede netværkstype og bind dette netværk til vores NSX. Vi sætter afkrydsningsfeltet Opret som undergrænseflade.
Som et resultat bør vi få to netværk. I vores eksempel kaldes de netværk-a og netværk-b med de samme gateway-indstillinger og den samme maske.
Lad os nu gå til indstillingerne for den første NSX. Dette vil være den NSX, som netværk A er knyttet til. Den vil fungere som en server.
Vi vender tilbage til NSx Edge-grænsefladen / Gå til fanen VPN -> L2VPN. Vi tænder L2VPN, vælger serverdriftstilstand, i Server Global-indstillingerne angiver vi den eksterne NSX IP-adresse, som porten til tunnelen vil lytte til. Som standard åbner stikket på port 443, men dette kan ændres. Glem ikke at vælge krypteringsindstillingerne for den fremtidige tunnel.
Gå til fanen Serverwebsteder, og tilføj en peer.
Vi tænder for peeren, indstiller navn, beskrivelse, om nødvendigt angive brugernavn og adgangskode. Vi får brug for disse data senere, når vi opretter klientwebstedet.
I Egress Optimization Gateway Address indstiller vi gateway-adressen. Dette er nødvendigt, så der ikke opstår konflikt mellem IP-adresser, fordi vores netværks gateway har samme adresse. Klik derefter på knappen VÆLG UNDERGRÆNSEFLADER.
Her vælger vi den ønskede undergrænseflade. Vi gemmer indstillingerne.
Vi ser, at det nyoprettede klientwebsted er dukket op i indstillingerne.
Lad os nu gå videre til at konfigurere NSX fra klientsiden.
Vi går til NSX side B, går til VPN -> L2VPN, aktiver L2VPN, indstil L2VPN tilstand til klienttilstand. På fanen Client Global skal du indstille adressen og porten for NSX A, som vi tidligere har angivet som Lytte-IP og Port på serversiden. Det er også nødvendigt at indstille de samme krypteringsindstillinger, så de er konsistente, når tunnelen hæves.
Vi ruller nedenfor, vælg den undergrænseflade, hvorigennem tunnelen til L2VPN skal bygges.
I Egress Optimization Gateway Address indstiller vi gateway-adressen. Indstil bruger-id og adgangskode. Vi vælger undergrænsefladen og glem ikke at gemme indstillingerne.
Faktisk er det alt. Indstillingerne på klient- og serversiden er næsten identiske, med undtagelse af nogle få nuancer.
Nu kan vi se, at vores tunnel har fungeret ved at gå til Statistik -> L2VPN på enhver NSX.
Hvis vi nu går til konsollen på en hvilken som helst Edge Gateway, vil vi se adresserne på begge VM'er på hver af dem i arp-tabellen.
Det handler om VPN på NSX Edge. Spørg hvis noget er uklart. Det er også sidste del af en serie artikler om at arbejde med NSX Edge. Vi håber de var hjælpsomme 🙂