Σήμερα θα ρίξουμε μια ματιά στις επιλογές διαμόρφωσης VPN που μας προσφέρει το NSX Edge.
Γενικά, μπορούμε να χωρίσουμε τις τεχνολογίες VPN σε δύο βασικούς τύπους:
VPN από ιστότοπο σε ιστότοπο. Η πιο κοινή χρήση του IPSec είναι η δημιουργία μιας ασφαλούς σήραγγας, για παράδειγμα, μεταξύ ενός δικτύου κεντρικού γραφείου και ενός δικτύου σε μια απομακρυσμένη τοποθεσία ή στο cloud.
VPN απομακρυσμένης πρόσβασης. Χρησιμοποιείται για τη σύνδεση μεμονωμένων χρηστών σε εταιρικά ιδιωτικά δίκτυα χρησιμοποιώντας το λογισμικό πελάτη VPN.
Το NSX Edge μας επιτρέπει να χρησιμοποιήσουμε και τις δύο επιλογές.
Θα ρυθμίσουμε χρησιμοποιώντας έναν πάγκο δοκιμών με δύο NSX Edge, έναν διακομιστή Linux με έναν εγκατεστημένο δαίμονα ρακούν και φορητό υπολογιστή με Windows για δοκιμή απομακρυσμένης πρόσβασης VPN.
IPsec
Στη διεπαφή vCloud Director, μεταβείτε στην ενότητα Διαχείριση και επιλέξτε το vDC. Στην καρτέλα Edge Gateways, επιλέξτε το Edge που χρειαζόμαστε, κάντε δεξί κλικ και επιλέξτε Edge Gateway Services.
Στη διεπαφή NSX Edge, μεταβείτε στην καρτέλα VPN-IPsec VPN, μετά στην ενότητα IPsec VPN Sites και κάντε κλικ στο + για να προσθέσετε έναν νέο ιστότοπο.
Συμπληρώστε τα απαιτούμενα πεδία:
Ενεργοποιήθηκε – ενεργοποιεί την απομακρυσμένη τοποθεσία.
PFS – διασφαλίζει ότι κάθε νέο κρυπτογραφικό κλειδί δεν συσχετίζεται με κανένα προηγούμενο κλειδί.
Τοπικό αναγνωριστικό και τοπικό τελικό σημείοt είναι η εξωτερική διεύθυνση του NSX Edge.
τοπικό υποδίκτυοs - τοπικά δίκτυα που θα χρησιμοποιούν IPsec VPN.
Peer ID και Peer Endpoint – διεύθυνση του απομακρυσμένου ιστότοπου.
Ομότιμα υποδίκτυα – δίκτυα που θα χρησιμοποιούν IPsec VPN στην απομακρυσμένη πλευρά.
Πιστοποίηση - πώς θα ελέγξουμε την ταυτότητα του ομοτίμου. Μπορείτε να χρησιμοποιήσετε ένα προ-κοινόχρηστο κλειδί ή ένα πιστοποιητικό.
Προ-κοινόχρηστο κλειδί - καθορίστε το κλειδί που θα χρησιμοποιηθεί για τον έλεγχο ταυτότητας και πρέπει να ταιριάζει και στις δύο πλευρές.
Diffie Hellman Group – Αλγόριθμος ανταλλαγής κλειδιών.
Αφού συμπληρώσετε τα απαιτούμενα πεδία, κάντε κλικ στο Διατήρηση.
Τέλος.
Αφού προσθέσετε τον ιστότοπο, μεταβείτε στην καρτέλα Κατάσταση ενεργοποίησης και ενεργοποιήστε την Υπηρεσία IPsec.
Αφού εφαρμοστούν οι ρυθμίσεις, μεταβείτε στην καρτέλα Statistics -> IPsec VPN και ελέγξτε την κατάσταση του τούνελ. Βλέπουμε ότι το τούνελ έχει σηκωθεί.
Ελέγξτε την κατάσταση της σήραγγας από την κονσόλα Edge gateway:
εμφάνιση υπηρεσίας ipsec - ελέγξτε την κατάσταση της υπηρεσίας.
Εμφάνιση τοποθεσίας υπηρεσίας ipsec - Πληροφορίες σχετικά με την κατάσταση του ιστότοπου και παραμέτρους διαπραγμάτευσης.
εμφάνιση υπηρεσίας ipsec sa - ελέγξτε την κατάσταση της Ένωσης Ασφαλείας (SA).
Έλεγχος συνδεσιμότητας με απομακρυσμένο ιστότοπο:
root@racoon:~# ifconfig eth0:1 | grep inet
inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0
root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10
PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
--- 192.168.0.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
Αρχεία διαμόρφωσης και πρόσθετες εντολές για διαγνωστικά από έναν απομακρυσμένο διακομιστή Linux:
Όλα είναι έτοιμα, το IPsec VPN από ιστότοπο σε ιστότοπο είναι σε λειτουργία και λειτουργεί.
Σε αυτό το παράδειγμα, χρησιμοποιήσαμε PSK για έλεγχο ταυτότητας ομοτίμων, αλλά είναι επίσης δυνατός ο έλεγχος ταυτότητας πιστοποιητικού. Για να το κάνετε αυτό, μεταβείτε στην καρτέλα Καθολική διαμόρφωση, ενεργοποιήστε τον έλεγχο ταυτότητας πιστοποιητικού και επιλέξτε το ίδιο το πιστοποιητικό.
Επιπλέον, στις ρυθμίσεις τοποθεσίας, θα χρειαστεί να αλλάξετε τη μέθοδο ελέγχου ταυτότητας.
Σημειώνω ότι ο αριθμός των σηράγγων IPsec εξαρτάται από το μέγεθος της αναπτυσσόμενης πύλης Edge (διαβάστε σχετικά στο πρώτο άρθρο).
SSL VPN
Το SSL VPN-Plus είναι μία από τις επιλογές απομακρυσμένης πρόσβασης VPN. Επιτρέπει σε μεμονωμένους απομακρυσμένους χρήστες να συνδέονται με ασφάλεια σε ιδιωτικά δίκτυα πίσω από το NSX Edge Gateway. Ένα κρυπτογραφημένο τούνελ στην περίπτωση του SSL VPN-plus δημιουργείται μεταξύ του πελάτη (Windows, Linux, Mac) και του NSX Edge.
Ας ξεκινήσουμε τη ρύθμιση. Στον πίνακα ελέγχου της υπηρεσίας Edge Gateway, μεταβείτε στην καρτέλα SSL VPN-Plus και, στη συνέχεια, στις Ρυθμίσεις διακομιστή. Επιλέγουμε τη διεύθυνση και τη θύρα στην οποία θα ακούσει ο διακομιστής για εισερχόμενες συνδέσεις, ενεργοποιούμε την καταγραφή και επιλέγουμε τους απαραίτητους αλγόριθμους κρυπτογράφησης.
Εδώ μπορείτε επίσης να αλλάξετε το πιστοποιητικό που θα χρησιμοποιήσει ο διακομιστής.
Αφού όλα είναι έτοιμα, ενεργοποιήστε τον διακομιστή και μην ξεχάσετε να αποθηκεύσετε τις ρυθμίσεις.
Στη συνέχεια, πρέπει να δημιουργήσουμε μια ομάδα διευθύνσεων που θα εκδώσουμε στους πελάτες κατά τη σύνδεση. Αυτό το δίκτυο είναι ξεχωριστό από οποιοδήποτε υπάρχον υποδίκτυο στο περιβάλλον NSX σας και δεν χρειάζεται να διαμορφωθεί σε άλλες συσκευές στα φυσικά δίκτυα, εκτός από τις διαδρομές που οδηγούν σε αυτό.
Μεταβείτε στην καρτέλα IP Pools και κάντε κλικ στο +.
Επιλέξτε διευθύνσεις, μάσκα υποδικτύου και πύλη. Εδώ μπορείτε επίσης να αλλάξετε τις ρυθμίσεις για διακομιστές DNS και WINS.
Η πισίνα που προκύπτει.
Τώρα ας προσθέσουμε τα δίκτυα στα οποία θα έχουν πρόσβαση οι χρήστες που συνδέονται στο VPN. Μεταβείτε στην καρτέλα Ιδιωτικά δίκτυα και κάντε κλικ στο +.
Συμπληρώνουμε:
Δίκτυο - ένα τοπικό δίκτυο στο οποίο θα έχουν πρόσβαση απομακρυσμένοι χρήστες.
Αποστολή κίνησης, έχει δύο επιλογές:
- over tunnel - αποστολή κίνησης στο δίκτυο μέσω της σήραγγας,
— παράκαμψη σήραγγας—στείλτε κίνηση στο δίκτυο απευθείας παρακάμπτοντας τη σήραγγα.
Ενεργοποίηση TCP Optimization - ελέγξτε αν επιλέξατε την επιλογή over tunnel. Όταν η βελτιστοποίηση είναι ενεργοποιημένη, μπορείτε να καθορίσετε τους αριθμούς θυρών για τις οποίες θέλετε να βελτιστοποιήσετε την κυκλοφορία. Η κίνηση για τις υπόλοιπες θύρες στο συγκεκριμένο δίκτυο δεν θα βελτιστοποιηθεί. Εάν δεν καθορίζονται αριθμοί θύρας, η κίνηση για όλες τις θύρες βελτιστοποιείται. Διαβάστε περισσότερα για αυτό το χαρακτηριστικό εδώ.
Στη συνέχεια, μεταβείτε στην καρτέλα Έλεγχος ταυτότητας και κάντε κλικ στο +. Για έλεγχο ταυτότητας, θα χρησιμοποιήσουμε έναν τοπικό διακομιστή στον ίδιο τον NSX Edge.
Εδώ μπορούμε να επιλέξουμε πολιτικές για τη δημιουργία νέων κωδικών πρόσβασης και να διαμορφώσουμε επιλογές για τον αποκλεισμό λογαριασμών χρηστών (για παράδειγμα, τον αριθμό των επαναλήψεων εάν ο κωδικός πρόσβασης έχει εισαχθεί λανθασμένα).
Εφόσον χρησιμοποιούμε τοπικό έλεγχο ταυτότητας, πρέπει να δημιουργήσουμε χρήστες.
Εκτός από βασικά πράγματα όπως όνομα και κωδικός πρόσβασης, εδώ μπορείτε, για παράδειγμα, να απαγορεύσετε στον χρήστη να αλλάξει τον κωδικό πρόσβασης ή, αντίθετα, να τον αναγκάσετε να αλλάξει τον κωδικό πρόσβασης την επόμενη φορά που θα συνδεθεί.
Αφού προστεθούν όλοι οι απαραίτητοι χρήστες, μεταβείτε στην καρτέλα Πακέτα εγκατάστασης, κάντε κλικ στο + και δημιουργήστε το ίδιο το πρόγραμμα εγκατάστασης, το οποίο θα κατεβάσει ένας απομακρυσμένος υπάλληλος για εγκατάσταση.
Πατήστε +. Επιλέξτε τη διεύθυνση και τη θύρα του διακομιστή στον οποίο θα συνδεθεί ο πελάτης και τις πλατφόρμες για τις οποίες θέλετε να δημιουργήσετε το πακέτο εγκατάστασης.
Παρακάτω σε αυτό το παράθυρο, μπορείτε να καθορίσετε τις ρυθμίσεις πελάτη για τα Windows. Επιλέγω:
εκκίνηση πελάτη κατά τη σύνδεση – ο πελάτης VPN θα προστεθεί στην εκκίνηση στο απομακρυσμένο μηχάνημα.
Δημιουργία εικονιδίου επιφάνειας εργασίας - θα δημιουργήσει ένα εικονίδιο πελάτη VPN στην επιφάνεια εργασίας.
επικύρωση πιστοποιητικού ασφαλείας διακομιστή - θα επικυρώσει το πιστοποιητικό διακομιστή κατά τη σύνδεση.
Η εγκατάσταση του διακομιστή ολοκληρώθηκε.
Τώρα ας κατεβάσουμε το πακέτο εγκατάστασης που δημιουργήσαμε στο τελευταίο βήμα σε έναν απομακρυσμένο υπολογιστή. Κατά τη ρύθμιση του διακομιστή, καθορίσαμε την εξωτερική του διεύθυνση (185.148.83.16) και τη θύρα (445). Σε αυτή τη διεύθυνση πρέπει να πάμε σε ένα πρόγραμμα περιήγησης ιστού. Στην περίπτωσή μου είναι 185.148.83.16: 445.
Στο παράθυρο εξουσιοδότησης, πρέπει να εισαγάγετε τα διαπιστευτήρια χρήστη που δημιουργήσαμε νωρίτερα.
Μετά την εξουσιοδότηση, βλέπουμε μια λίστα με τα δημιουργημένα πακέτα εγκατάστασης που είναι διαθέσιμα για λήψη. Έχουμε δημιουργήσει μόνο ένα - θα το κατεβάσουμε.
Κάνουμε κλικ στον σύνδεσμο, ξεκινά η λήψη του πελάτη.
Αποσυσκευάστε το ληφθέν αρχείο και εκτελέστε το πρόγραμμα εγκατάστασης.
Μετά την εγκατάσταση, εκκινήστε τον υπολογιστή-πελάτη, στο παράθυρο εξουσιοδότησης, κάντε κλικ στην επιλογή Σύνδεση.
Στο παράθυρο επαλήθευσης πιστοποιητικού, επιλέξτε Ναι.
Εισάγουμε τα διαπιστευτήρια για τον χρήστη που δημιουργήθηκε προηγουμένως και βλέπουμε ότι η σύνδεση ολοκληρώθηκε με επιτυχία.
Ελέγχουμε τα στατιστικά στοιχεία του προγράμματος-πελάτη VPN στον τοπικό υπολογιστή.
Στη γραμμή εντολών των Windows (ipconfig / all), βλέπουμε ότι έχει εμφανιστεί ένας πρόσθετος εικονικός προσαρμογέας και υπάρχει σύνδεση με το απομακρυσμένο δίκτυο, όλα λειτουργούν:
Και τέλος, ελέγξτε από την κονσόλα Edge Gateway.
L2 VPN
Το L2VPN θα χρειαστεί όταν πρέπει να συνδυάσετε πολλά γεωγραφικά
κατανεμημένα δίκτυα σε έναν τομέα εκπομπής.
Αυτό μπορεί να είναι χρήσιμο, για παράδειγμα, κατά τη μετεγκατάσταση μιας εικονικής μηχανής: όταν ένα VM μετακινείται σε άλλη γεωγραφική περιοχή, το μηχάνημα θα διατηρήσει τις ρυθμίσεις διεύθυνσης IP και δεν θα χάσει τη συνδεσιμότητα με άλλα μηχανήματα που βρίσκονται στον ίδιο τομέα L2 με αυτό.
Στο περιβάλλον δοκιμής μας, θα συνδέσουμε δύο τοποθεσίες μεταξύ τους, θα τις ονομάσουμε Α και Β, αντίστοιχα. Έχουμε δύο NSX και δύο δίκτυα δρομολογημένα πανομοιότυπα συνδεδεμένα σε διαφορετικά Edges. Το μηχάνημα Α έχει τη διεύθυνση 10.10.10.250/24, το μηχάνημα Β έχει τη διεύθυνση 10.10.10.2/24.
Στο vCloud Director, μεταβείτε στην καρτέλα Διαχείριση, μεταβείτε στο VDC που χρειαζόμαστε, μεταβείτε στην καρτέλα Org VDC Networks και προσθέστε δύο νέα δίκτυα.
Επιλέξτε τον τύπο δρομολογημένου δικτύου και συνδέστε αυτό το δίκτυο στο NSX μας. Βάζουμε το πλαίσιο ελέγχου Δημιουργία ως υποδιεπαφή.
Ως αποτέλεσμα, θα πρέπει να έχουμε δύο δίκτυα. Στο παράδειγμά μας, ονομάζονται network-a και network-b με τις ίδιες ρυθμίσεις πύλης και την ίδια μάσκα.
Πάμε τώρα στις ρυθμίσεις του πρώτου NSX. Αυτό θα είναι το NSX στο οποίο είναι συνδεδεμένο το Δίκτυο Α. Θα λειτουργεί ως διακομιστής.
Επιστρέφουμε στη διεπαφή NSx Edge / Μεταβείτε στην καρτέλα VPN -> L2VPN. Ενεργοποιούμε το L2VPN, επιλέγουμε τον τρόπο λειτουργίας διακομιστή, στις ρυθμίσεις Server Global καθορίζουμε την εξωτερική διεύθυνση IP NSX στην οποία θα ακούει η θύρα για το τούνελ. Από προεπιλογή, η υποδοχή θα ανοίξει στη θύρα 443, αλλά αυτό μπορεί να αλλάξει. Μην ξεχάσετε να επιλέξετε τις ρυθμίσεις κρυπτογράφησης για το μελλοντικό τούνελ.
Μεταβείτε στην καρτέλα Τοποθεσίες διακομιστή και προσθέστε έναν ομότιμο.
Ενεργοποιούμε το peer, ορίζουμε το όνομα, την περιγραφή, εάν είναι απαραίτητο, ορίζουμε το όνομα χρήστη και τον κωδικό πρόσβασης. Θα χρειαστούμε αυτά τα δεδομένα αργότερα κατά τη ρύθμιση του ιστότοπου πελάτη.
Στο Egress Optimization Gateway Address ορίζουμε τη διεύθυνση πύλης. Αυτό είναι απαραίτητο για να μην υπάρχει σύγκρουση διευθύνσεων IP, γιατί η πύλη των δικτύων μας έχει την ίδια διεύθυνση. Στη συνέχεια, κάντε κλικ στο κουμπί ΕΠΙΛΟΓΗ ΥΠΟΔΙΕΡΦΕΣ.
Εδώ επιλέγουμε την επιθυμητή υποδιεπαφή. Αποθηκεύουμε τις ρυθμίσεις.
Βλέπουμε ότι ο ιστότοπος πελάτη που δημιουργήθηκε πρόσφατα έχει εμφανιστεί στις ρυθμίσεις.
Τώρα ας προχωρήσουμε στη διαμόρφωση του NSX από την πλευρά του πελάτη.
Πηγαίνουμε στην πλευρά Β του NSX, πηγαίνουμε στο VPN -> L2VPN, ενεργοποιούμε το L2VPN, ορίζουμε τη λειτουργία L2VPN σε λειτουργία πελάτη. Στην καρτέλα Client Global, ορίστε τη διεύθυνση και τη θύρα του NSX A, τα οποία καθορίσαμε νωρίτερα ως Listening IP και Port στην πλευρά του διακομιστή. Είναι επίσης απαραίτητο να ορίσετε τις ίδιες ρυθμίσεις κρυπτογράφησης, ώστε να είναι συνεπείς όταν η σήραγγα ανυψώνεται.
Κάνουμε κύλιση παρακάτω, επιλέγουμε την υποδιεπαφή μέσω της οποίας θα κατασκευαστεί η σήραγγα για το L2VPN.
Στο Egress Optimization Gateway Address ορίζουμε τη διεύθυνση πύλης. Ορίστε αναγνωριστικό χρήστη και κωδικό πρόσβασης. Επιλέγουμε την υποδιεπαφή και μην ξεχνάμε να αποθηκεύσουμε τις ρυθμίσεις.
Στην πραγματικότητα, αυτό είναι όλο. Οι ρυθμίσεις της πλευράς του πελάτη και του διακομιστή είναι σχεδόν πανομοιότυπες, με εξαίρεση μερικές αποχρώσεις.
Τώρα μπορούμε να δούμε ότι το τούνελ μας λειτούργησε μεταβαίνοντας στο Statistics -> L2VPN σε οποιοδήποτε NSX.
Αν πάμε τώρα στην κονσόλα οποιουδήποτε Edge Gateway, θα δούμε σε καθένα από αυτά στον πίνακα arp τις διευθύνσεις και των δύο VM.
Αυτά είναι όλα για το VPN στο NSX Edge. Ρωτήστε αν κάτι είναι ασαφές. Είναι επίσης το τελευταίο μέρος μιας σειράς άρθρων σχετικά με την εργασία με το NSX Edge. Ελπίζουμε να ήταν χρήσιμοι 🙂