VMware NSX kõige väiksematele. 6. osa: VPN-i seadistamine

Esimene osa. sissejuhatav
Teine osa. Tulemüüri ja NAT-reeglite konfigureerimine
Kolmas osa. DHCP konfigureerimine
Neljas osa. Marsruutimise seadistamine
Viies osa. Koormuse tasakaalustaja seadistamine

Täna vaatame VPN-i konfiguratsioonivalikuid, mida NSX Edge meile pakub.

Üldiselt võime VPN-tehnoloogiad jagada kahte põhitüüpi:

• Saidivaheline VPN. IPSeci levinuim kasutusala on turvalise tunneli loomine näiteks peakontori võrgu ja kaugkohas või pilves oleva võrgu vahel.
• Kaugjuurdepääsuga VPN. Kasutatakse üksikute kasutajate ühendamiseks ettevõtte privaatvõrkudega VPN-klienditarkvara abil.

NSX Edge võimaldab meil kasutada mõlemat võimalust.
Konfigureerime kahe NSX Edge'iga katsestendi abil, installitud deemoniga Linuxi serveriga pesukaru ja Windowsi sülearvuti kaugjuurdepääsu VPN-i testimiseks.

IPsec

1. Avage vCloud Directori liideses jaotis Haldus ja valige vDC. Vahekaardil Edge Gateways valige vajalik Edge, paremklõpsake ja valige Edge Gateway Services.
   
2. Avage NSX Edge'i liideses vahekaart VPN-IPsec VPN, seejärel jaotis IPsec VPN Sites ja klõpsake uue saidi lisamiseks +.

   

3. Täitke nõutud väljad:
   • lubatud – aktiveerib kaugsaidi.
   • PFS – tagab, et iga uut krüptovõtit ei seostata ühegi eelmise võtmega.
   • Kohalik ID ja kohalik lõpp-punktt on NSX Edge'i välisaadress.
   • Kohalik alamvõrks - kohalikud võrgud, mis kasutavad IPsec VPN-i.
   • Peer ID ja Peer Endpoint – kaugsaidi aadress.
   • Sarnased alamvõrgud – võrgud, mis kasutavad IPsec VPN-i kaugküljel.
   • Krüpteerimisalgoritm – tunneli krüpteerimisalgoritm.

   
   

   • Autentimine - kuidas me partneri autentimist tuvastame. Võite kasutada eeljagatud võtit või sertifikaati.
   • Eel-jagatud võti - määrake võti, mida autentimiseks kasutatakse ja mis peab mõlemal küljel ühtima.
   • Diffie Hellmani grupp - võtmevahetuse algoritm.

   Pärast nõutavate väljade täitmist klõpsake nuppu Säilita.

   

4. Valmis.

   

5. Pärast saidi lisamist minge vahekaardile Aktiveerimise olek ja aktiveerige IPseci teenus.

   

6. Pärast sätete rakendamist minge vahekaardile Statistika -> IPsec VPN ja kontrollige tunneli olekut. Näeme, et tunnel on tõusnud.

   

7. Kontrollige tunneli olekut Edge gateway konsoolist:
   • kuva teenuse ipsec – kontrollige teenuse olekut.

     

   • show service ipsec site – teave saidi oleku ja kokkulepitud parameetrite kohta.

     

   • näita teenust ipsec sa – kontrollige turvaühenduse (SA) olekut.

     

8. Ühenduse kontrollimine kaugsaidiga:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Konfiguratsioonifailid ja täiendavad käsud diagnostikaks Linuxi kaugserverist:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Kõik on valmis, saitidevaheline IPsec VPN on valmis ja töötab.

   Selles näites kasutasime kaaslaste autentimiseks PSK-d, kuid võimalik on ka sertifikaadi autentimine. Selleks minge vahekaardile Globaalne konfiguratsioon, lubage sertifikaadi autentimine ja valige sertifikaat ise.

   Lisaks peate saidi seadetes muutma autentimismeetodit.

   
   
   
   
   Märgin, et IPseci tunnelite arv sõltub juurutatud Edge Gateway suurusest (selle kohta lugege meie esimene artikkel).

   

SSL VPN

SSL VPN-Plus on üks kaugjuurdepääsu VPN-i valikutest. See võimaldab üksikutel kaugkasutajatel turvaliselt ühenduda privaatvõrkudega NSX Edge Gateway taga. SSL VPN-plusi puhul luuakse kliendi (Windows, Linux, Mac) ja NSX Edge vahele krüpteeritud tunnel.

1. Alustame seadistamist. Minge Edge Gateway teenuse juhtpaneelil vahekaardile SSL VPN-Plus ja seejärel serveri sätted. Valime aadressi ja pordi, millel server sissetulevaid ühendusi kuulab, lubame logimise ja valime vajalikud krüpteerimisalgoritmid.

   
   
   Siin saate muuta ka serveri kasutatavat sertifikaati.

   

2. Kui kõik on valmis, lülitage server sisse ja ärge unustage sätteid salvestada.

   

3. Järgmiseks peame seadistama aadresside kogumi, mille väljastame klientidele ühenduse loomisel. See võrk on eraldi kõigist teie NSX-keskkonnas olemasolevatest alamvõrkudest ja seda ei pea konfigureerima teistes füüsilistes võrkudes olevates seadmetes, välja arvatud sellele osutavad marsruudid.

   Minge vahekaardile IP-kogumid ja klõpsake nuppu +.

   

4. Valige aadressid, alamvõrgu mask ja lüüs. Siin saate muuta ka DNS- ja WINS-serverite sätteid.

   

5. Saadud bassein.

   

6. Nüüd lisame võrgud, millele VPN-iga ühenduse loovad kasutajad saavad juurdepääsu. Minge vahekaardile Privaatvõrgud ja klõpsake nuppu +.

   

7. Täidame:
   • Võrk – kohalik võrk, millele kaugkasutajad saavad juurdepääsu.
   • Saatke liiklust, sellel on kaks võimalust:
     - üle tunneli - suunata liiklust võrku tunneli kaudu,
     — tunnelist möödasõit — liikluse saatmine võrku otse tunnelist mööda minnes.
   • TCP optimeerimise lubamine – kontrollige, kas valisite tunneli ületava suvandi. Kui optimeerimine on lubatud, saate määrata pordi numbrid, mille jaoks soovite liiklust optimeerida. Selle konkreetse võrgu ülejäänud portide liiklust ei optimeerita. Kui pordinumbreid pole määratud, optimeeritakse kõigi portide liiklus. Lugege selle funktsiooni kohta lisateavet siin.

   

8. Järgmisena minge vahekaardile Autentimine ja klõpsake nuppu +. Autentimiseks kasutame NSX Edge'i enda kohalikku serverit.

   

9. Siin saame valida uute paroolide genereerimise reeglid ja seadistada kasutajakontode blokeerimise valikuid (näiteks korduskatsete arv, kui parool on valesti sisestatud).

   
   
   

10. Kuna me kasutame kohalikku autentimist, peame looma kasutajaid.

    

11. Lisaks elementaarsetele asjadele nagu nimi ja parool, saab siin näiteks keelata kasutajal parooli muutmise või vastupidi, sundida teda järgmisel sisselogimisel parooli muutma.

    

12. Kui kõik vajalikud kasutajad on lisatud, minge vahekaardile Installipaketid, klõpsake + ja looge ise installija, mille kaugtöötaja installimiseks alla laadib.

    

13. Vajutage +. Valige selle serveri aadress ja port, millega klient ühenduse loob, ning platvormid, mille jaoks soovite installipaketi genereerida.

    
    
    Selle akna all saate määrata Windowsi kliendi seaded. Valige:

    • käivita klient sisselogimisel – VPN-klient lisatakse kaugmasina käivitamisse;
    • loo töölauaikoon – loob töölauale VPN-kliendi ikooni;
    • serveri turvasertifikaadi valideerimine – kinnitab ühenduse loomisel serveri sertifikaadi.
      Serveri seadistamine on lõpetatud.

    

14. Nüüd laadime viimases etapis loodud installipaketi kaugarvutisse alla. Serveri seadistamisel määrasime selle välisaadressi (185.148.83.16) ja pordi (445). Sellel aadressil peame minema veebibrauserisse. Minu puhul on 185.148.83.16: 445.

    Autoriseerimisaknas peate sisestama meie varem loodud kasutaja mandaadid.

    

15. Pärast autoriseerimist näeme allalaadimiseks saadaolevate loodud installipakettide loendit. Oleme loonud ainult ühe - laadime selle alla.

    

16. Klõpsame lingil, algab kliendi allalaadimine.

    

17. Pakkige allalaaditud arhiiv lahti ja käivitage installiprogramm.

    

18. Pärast installimist käivitage klient, klõpsake autoriseerimisaknas nuppu Logi sisse.

    

19. Sertifikaadi kinnitamise aknas valige Jah.

    

20. Sisestame eelnevalt loodud kasutaja mandaadid ja näeme, et ühendus on edukalt lõpule viidud.

    
    
    

21. Kontrollime kohalikus arvutis VPN-kliendi statistikat.

    
    
    

22. Windowsi käsureal (ipconfig / all) näeme, et on ilmunud täiendav virtuaalne adapter ja ühendus kaugvõrguga on olemas, kõik töötab:

    
    
    

23. Ja lõpuks kontrollige Edge Gateway konsoolilt.

    

L2 VPN

L2VPN-i läheb vaja siis, kui peate mitut geograafiliselt kombineerima
hajutatud võrgud ühte leviedastusdomeeni.

See võib olla kasulik näiteks virtuaalmasina migreerimisel: kui VM liigub teise geograafilisse piirkonda, säilitab masin oma IP-aadressi seaded ega kaota ühendust teiste masinatega, mis asuvad sellega samas L2 domeenis.

Oma testkeskkonnas ühendame omavahel kaks saiti, nimetame neid vastavalt A ja B. Meil ​​on kaks NSX-i ja kaks identselt loodud marsruutitud võrku, mis on ühendatud erinevate servadega. Masina A aadress on 10.10.10.250/24, masina B aadressiga 10.10.10.2/24.

1. Avage vCloud Directoris vahekaart Administration, minge VDC, mida vajame, minge vahekaardile Org VDC Networks ja lisage kaks uut võrku.

   

2. Valige marsruutitud võrgu tüüp ja siduge see võrk meie NSX-iga. Panime märkeruudu Loo alamliidesena.

   

3. Selle tulemusena peaksime saama kaks võrku. Meie näites nimetatakse neid võrguks-a ja võrguks-b, millel on samad lüüsiseaded ja sama mask.

   
   
   

4. Nüüd läheme esimese NSX-i sätete juurde. See on NSX, millega võrk A on ühendatud. See toimib serverina.

   Naaseme NSx Edge liidese juurde / minge vahekaardile VPN -> L2VPN. Lülitame sisse L2VPN, valime serveri töörežiimi, serveri globaalsetes sätetes määrame välise NSX IP-aadressi, mida tunneli port kuulab. Vaikimisi avaneb pesa pordil 443, kuid seda saab muuta. Ärge unustage valida tulevase tunneli krüpteerimisseadeid.

   

5. Minge vahekaardile Serverisaidid ja lisage partner.

   

6. Lülitame kaaslase sisse, määrame nime, kirjelduse, vajadusel määrame kasutajanime ja parooli. Vajame neid andmeid hiljem kliendi saidi seadistamisel.

   Väljapääsu optimeerimise lüüsi aadressis määrame lüüsi aadressi. See on vajalik, et ei tekiks IP-aadresside konflikti, sest meie võrkude lüüsil on sama aadress. Seejärel klõpsake nuppu VALI ALIIDESED.

   

7. Siin valime soovitud alamliidese. Salvestame seaded.

   

8. Näeme, et vastloodud kliendisait on seadetes ilmunud.

   

9. Liigume nüüd edasi NSX-i konfigureerimisega kliendi poolelt.

   Me läheme NSX-i poolele B, minge VPN -> L2VPN, lubage L2VPN, seadke L2VPN-režiim kliendirežiimile. Määrake vahekaardil Client Global NSX A aadress ja port, mille määrasime serveri poolel varem kui kuulamis-IP ja port. Samuti on vaja määrata samad krüpteerimisseaded, et need oleksid tunneli tõstmisel järjepidevad.

   
   
   Kerime allpool, valime alamliidese, mille kaudu L2VPN-i tunnel ehitatakse.
   Väljapääsu optimeerimise lüüsi aadressis määrame lüüsi aadressi. Määra kasutajatunnus ja parool. Valime alamliidese ja ärge unustage sätteid salvestada.

   

10. Tegelikult on see kõik. Kliendi- ja serveripoole seaded on peaaegu identsed, kui mõned nüansid välja arvata.
11. Nüüd näeme, et meie tunnel on töötanud, minnes mis tahes NSX-is jaotisse Statistika -> L2VPN.

    

12. Kui läheme nüüd suvalise Edge Gateway konsooli, näeme arp-tabelis mõlemal neist mõlema VM-i aadresse.

    

See kõik puudutab NSX Edge'i VPN-i. Küsi, kui midagi jääb arusaamatuks. See on ka viimane osa artiklite seeriast, mis käsitleb NSX Edge'iga töötamist. Loodame, et neist oli abi 🙂

Allikas: www.habr.com