VMware NSX por la etuloj. Parto 6. Agordi VPN

Unua parto. Enkonduka
Dua parto. Agordi Firewall kaj NAT-Regulojn
Parto tri. DHCP-agordo
Kvara parto. Agordo de vojigo
Parto kvin. Agordo de Ŝarĝbalancilo

Hodiaŭ ni rigardos la VPN-agordajn elektojn, kiujn ofertas al ni NSX Edge.

Ĝenerale, ni povas dividi VPN-teknologiojn en du ŝlosilajn tipojn:

• Rete-al-reteja VPN. La plej ofta uzo de IPSec estas krei sekuran tunelon, ekzemple, inter ĉefa oficeja reto kaj reto ĉe fora loko aŭ en la nubo.
• Malproksima Aliro VPN. Uzita por konekti individuajn uzantojn al la privataj retoj de organizo uzante VPN-klientprogramaron.

NSX Edge permesas al ni fari ambaŭ.
Ni faros la agordon uzante testbenkon kun du NSX Edges, Linukso-servilo kun la demono instalita rakono kaj Vindoza tekkomputilo por testi Remote Access VPN.

IPsec

1. En la interfaco de vCloud Director, iru al la sekcio Administrado kaj elektu vDC. Sur la langeto Edge Gateways, elektu la Edge, kiun ni bezonas, dekstre alklaku kaj elektu Edge Gateway Services.
   
2. En la NSX Edge-interfaco, iru al la langeto VPN-IPsec VPN, poste al la sekcio IPsec VPN Sites kaj alklaku + por aldoni novan retejon.

   

3. Plenigu la postulatajn kampojn:
   • Enabled – aktivigas la fora retejo.
   • PFS – certigas, ke ĉiu nova kripta ŝlosilo ne estas asociita kun iu antaŭa ŝlosilo.
   • Loka ID kaj Loka Finpunktot - NSX Edge ekstera adreso.
   • Loka Subretos - lokaj retoj, kiuj uzos IPsec VPN.
   • Peer ID kaj Peer Endpoint – adreso de la fora retejo.
   • Samaj Subretoj - retoj, kiuj uzos IPsec VPN ĉe la fora flanko.
   • Ĉifrada Algoritmo - tunela ĉifrada algoritmo.

   
   

   • aŭtentokontrolo – kiel ni aŭtentikigos la kunulon. Vi povas uzi Antaŭdividitan Ŝlosilon aŭ atestilon.
   • Antaŭdividita Ŝlosilo – indiku la ŝlosilon kiu estos uzata por aŭtentigo kaj devas kongrui ambaŭflanke.
   • Diffie-Hellman Group - ŝlosila interŝanĝo-algoritmo.

   Post plenigi la postulatajn kampojn, alklaku Konservu.

   

4. Farita.

   

5. Post aldoni la retejon, iru al la langeto Aktiviga Statuso kaj aktivigu la IPsec-Servon.

   

6. Post kiam la agordoj estas aplikataj, iru al la langeto Statistiko -> IPsec VPN kaj kontrolu la staton de la tunelo. Ni vidas, ke la tunelo leviĝis.

   

7. Ni kontrolu la staton de la tunelo de la konzolo de la enirejo Edge:
   • show service ipsec - kontrolu la servostaton.

     

   • montru servo ipsec retejo - informoj pri la stato de la retejo kaj interkonsentitaj parametroj.

     

   • show service ipsec sa - kontrolu la staton de Sekureca Asocio (SA).

     

8. Kontrolante konekteblecon kun fora retejo:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Agordaj dosieroj kaj kromaj komandoj por diagnozo de la fora Linuksa servilo:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Ĉio estas preta, ejo-al-ejo IPsec VPN estas agordita kaj funkcianta.

   En ĉi tiu ekzemplo, ni uzis PSK por aŭtentikigi la kunulon, sed atestila aŭtentigo ankaŭ estas elekto. Por fari tion, iru al la langeto Tutmonda Agordo, ebligu atestilon kaj elektu la atestilon mem.

   Krome, vi devos ŝanĝi la aŭtentikigmetodon en la retejo-agordoj.

   
   
   
   
   Mi rimarkas, ke la nombro da IPsec-tuneloj dependas de la grandeco de la deplojita Edge Gateway (legu pri ĉi tio en nia unua artikolo).

   

ssl VPN

SSL VPN-Plus estas unu el la VPN-opcioj de Remote Access. Ĝi permesas individuajn forajn uzantojn sekure konekti al privataj retoj malantaŭ la NSX Edge-enirejo. Ĉifrita tunelo en la kazo de SSL VPN-plus estas establita inter la kliento (Vindozo, Linukso, Mac) kaj NSX Edge.

1. Ni komencu agordi. En la kontrolpanelo de servoj Edge Gateway, iru al la langeto SSL VPN-Plus, poste al Servilaj Agordoj. Ni elektas la adreson kaj havenon, sur kiuj la servilo aŭskultos por envenantaj konektoj, ebligas ensalutadon kaj elektas la necesajn ĉifradajn algoritmojn.

   
   
   Ĉi tie vi povas ŝanĝi la atestilon, kiun la servilo uzos.

   

2. Post kiam ĉio estas preta, ŝaltu la servilon kaj ne forgesu konservi la agordojn.

   

3. Poste, ni devas agordi aron da adresoj, kiujn ni eldonos al klientoj kiam ni konektos. Ĉi tiu reto estas aparta de iu ajn ekzistanta subreto en via NSX-medio kaj ne bezonas esti agordita sur aliaj aparatoj sur fizikaj retoj krom la itineroj kiuj montras al ĝi.

   Iru al la langeto IP Pools kaj alklaku +.

   

4. Elektu adresojn, subretan maskon kaj enirejon. Ĉi tie vi ankaŭ povas ŝanĝi la agordojn por DNS kaj WINS-serviloj.

   

5. La rezulta naĝejo.

   

6. Nun ni aldonu retojn, al kiuj uzantoj konektantaj al la VPN havos aliron. Ni iru al la langeto Privataj Retoj kaj alklaku +.

   

7. Plenigi:
   • Reto - loka reto al kiu foraj uzantoj havos aliron.
   • Sendu trafikon, ĝi havas du eblojn:
     - super tunelo - sendu trafikon al la reto tra la tunelo,
     — preterpasi tunelon—sendu trafikon al la reto rekte preterirante la tunelon.
   • Ebligu TCP-Optimumigon - marku ĉi tiun skatolon se vi elektis la opcion super tunelo. Kiam optimumigo estas ebligita, vi povas specifi la havennumerojn por kiuj vi volas optimumigi trafikon. Trafiko por la ceteraj havenoj en tiu aparta reto ne estos optimumigita. Se havenaj nombroj ne estas specifitaj, trafiko por ĉiuj havenoj estas optimumigita. Legu pli pri ĉi tiu funkcio tie.

   

8. Poste, iru al la langeto Aŭtentigo kaj alklaku +. Por aŭtentigo ni uzos lokan servilon sur NSX Edge mem.

   

9. Ĉi tie ni povas elekti politikojn por generi novajn pasvortojn kaj agordi eblojn por bloki uzantkontojn (ekzemple, la nombro da provoj se la pasvorto estas enmetita malĝuste).

   
   
   

10. Ĉar ni uzas lokan aŭtentikigon, ni devas krei uzantojn.

    

11. Krom bazaj aferoj kiel nomo kaj pasvorto, ĉi tie vi povas, ekzemple, malpermesi al la uzanto ŝanĝi la pasvorton aŭ, male, devigi lin ŝanĝi la pasvorton la venontan fojon kiam li ensalutas.

    

12. Post kiam ĉiuj necesaj uzantoj estas aldonitaj, iru al la langeto de Instalaj Pakoj, alklaku + kaj kreu la instalilon mem, kiun la fora dungito elŝutos por instalo.

    

13. Alklaku +. Ni elektas la adreson kaj havenon de la servilo, al kiu la kliento konektos, kaj la platformojn por kiuj ni devas generi instalan pakon.

    
    
    Malsupre en ĉi tiu fenestro vi povas specifi la klientajn agordojn por Vindozo. Elektu:

    • start client on logon - la VPN-kliento estos aldonita al ekfunkciigo sur la fora maŝino;
    • create desktop icon - kreos VPN-klientan ikonon sur la labortablo;
    • validigo de atestilo pri servilo - validigos la atestilon pri servilo post konekto.
      Servila agordo estas kompleta.

    

14. Nun ni elŝutu la instalan pakon, kiun ni kreis en la lasta paŝo al la fora komputilo. Agordante la servilon, ni precizigis ĝian eksteran adreson (185.148.83.16) kaj havenon (445). Ĝuste al ĉi tiu adreso ni devas iri en la TTT-legilo. En mia kazo ĝi estas 185.148.83.16: 445.

    En la rajtiga fenestro, vi devas enigi la akreditaĵojn de la uzanto, kiun ni kreis antaŭe.

    

15. Post rajtigo, ni vidas liston de kreitaj instalpakaĵoj disponeblaj por elŝuto. Ni kreis nur unu - ni elŝutos ĝin.

    

16. Alklaku la ligilon kaj la kliento elŝuto komenciĝas.

    

17. Malpaku la elŝutitan arkivon kaj rulu la instalilon.

    

18. Post instalado, lanĉu la klienton kaj alklaku Ensalutu en la rajtiga fenestro.

    

19. En la fenestro de atestilo, elektu Jes.

    

20. Ni enigas la akreditaĵojn por la antaŭe kreita uzanto kaj vidas ke la konekto estas kompletigita sukcese.

    
    
    

21. Kontrolante la statistikojn pri VPN-kliento en la loka komputilo.

    
    
    

22. En la komandlinio de Vindozo (ipconfig /all) ni vidas, ke aldona virtuala adaptilo aperis kaj estas konektebleco kun la fora reto, ĉio funkcias:

    
    
    

23. Kaj finfine, kontrolu de la Edge Gateway-konzolo.

    

L2 VPN

L2VPN estos bezonata kiam vi bezonos kombini plurajn geografie
distribuitaj retoj en unu elsenda domajno.

Ĉi tio povas esti utila, ekzemple, dum migrado de virtuala maŝino: kiam VM moviĝas al alia geografia loko, la maŝino konservos siajn IP-adresagordojn kaj ne perdos konekteblecon kun aliaj maŝinoj situantaj en la sama L2-domajno kun ĝi.

En nia testa medio, ni konektos du retejojn unu al la alia, ni nomu ilin respektive A kaj B. Ni havas du NSX kaj du idente kreitajn enrutigeblajn retojn, ligitajn al malsamaj Randoj. Maŝino A havas la adreson 10.10.10.250/24, maŝino B havas la adreson 10.10.10.2/24.

1. En vCloud Director, iru al la langeto Administrado, iru al la VDC, kiun ni bezonas, iru al la langeto Org VDC Retoj kaj aldonu du novajn retojn.

   

2. Ni elektas la senditan reton kaj ligas ĉi tiun reton al nia NSX. Marku la markobutonon Krei kiel subinterfaco.

   

3. Kiel rezulto, ni devus havi du retojn. En nia ekzemplo, ili estas nomitaj reto-a kaj reto-b kun la samaj enirejo-agordoj kaj la sama masko.

   
   
   

4. Nun ni transiru al la agordoj de la unua NSX. Ĉi tio estos la NSX, al kiu estas ligita Reto A. Ĝi funkcios kiel la servilo.

   Reiru al la interfaco NSx Edge/ Iru al la langeto VPN -> L2VPN. Ni ebligas L2VPN, elektas la operaciumon de Servilo, kaj en la agordoj de Servilo Tutmonda specifu la eksteran IP-adreson de NSX, sur kiu la haveno por la tunelo aŭskultos. Defaŭlte, la ingo malfermos sur la haveno 443, sed ĉi tio povas esti ŝanĝita. Ne forgesu elekti ĉifrajn agordojn por la estonta tunelo.

   

5. Iru al la langeto de Serviloj kaj aldonu kunulon.

   

6. Ni ŝaltas la kunulon, starigas nomon, priskribon, se necese, starigas uzantnomon kaj pasvorton. Ni bezonos ĉi tiujn datumojn poste kiam starigos la klientan retejon.

   En Egress Optimization Gateway Address ni starigas la enirejan adreson. Ĉi tio estas necesa por eviti konflikton de IP-adresoj, ĉar la enirejo en niaj retoj havas la saman adreson. Poste premu la butonon SELECT SUB-INTERFACES.

   

7. Ĉi tie ni elektas la deziratan subinterfacon. Konservu la agordojn.

   

8. Ni vidas, ke la nove kreita klienta retejo aperis en la agordoj.

   

9. Nun ni pluiru al agordo de NSX de la klienta flanko.

   Ni iras al NSX-flanko B, iru al VPN -> L2VPN, ebligu L2VPN, agordu L2VPN-reĝimon al klienta operaciumo. En la klapeto Tutmonda Kliento, agordu la adreson kaj havenon de NSX A, kiujn ni antaŭe specifis kiel Aŭskultanta IP kaj Haveno ĉe la servilo. Ankaŭ necesas agordi la samajn ĉifrajn agordojn por ke ili estu konsekvencaj kiam la tunelo estas levita.

   
   
   Rulumu malsupren kaj elektu la subinterfacon per kiu la tunelo por L2VPN estos konstruita.
   En Egress Optimization Gateway Address ni starigas la enirejan adreson. Agordu uzantidenton kaj pasvorton. Elektu la subinterfacon kaj ne forgesu konservi la agordojn.

   

10. Fakte, jen ĉio. La agordoj de kliento kaj servilo estas preskaŭ identaj, escepte de kelkaj nuancoj.
11. Nun ni povas vidi, ke nia tunelo funkcias irante al Statistiko -> L2VPN en iu ajn NSX.

    

12. Se ni nun iras al la konzolo de iu ajn Edge Gateway, ni vidos la adresojn de ambaŭ VM-oj en la arp-tabelo por ĉiu el ili.

    

Tio estas ĉio por mi pri VPN sur NSX Edge. Demandu ĉu io restas neklara. Ĉi tio ankaŭ estas la lasta parto de serio de artikoloj pri laborado kun NSX Edge. Ni esperas, ke ili estis utilaj :)

fonto: www.habr.com