Täna vaatame VPN-i konfiguratsioonivalikuid, mida NSX Edge meile pakub.
Üldiselt võime VPN-tehnoloogiad jagada kahte põhitüüpi:
Saidivaheline VPN. IPSeci levinuim kasutusala on turvalise tunneli loomine näiteks peakontori võrgu ja kaugkohas või pilves oleva võrgu vahel.
Kaugjuurdepääsuga VPN. Kasutatakse üksikute kasutajate ühendamiseks ettevõtte privaatvõrkudega VPN-klienditarkvara abil.
NSX Edge võimaldab meil kasutada mõlemat võimalust.
Konfigureerime kahe NSX Edge'iga katsestendi abil, installitud deemoniga Linuxi serveriga pesukaru ja Windowsi sülearvuti kaugjuurdepääsu VPN-i testimiseks.
IPsec
Avage vCloud Directori liideses jaotis Haldus ja valige vDC. Vahekaardil Edge Gateways valige vajalik Edge, paremklõpsake ja valige Edge Gateway Services.
Avage NSX Edge'i liideses vahekaart VPN-IPsec VPN, seejärel jaotis IPsec VPN Sites ja klõpsake uue saidi lisamiseks +.
Täitke nõutud väljad:
lubatud – aktiveerib kaugsaidi.
PFS – tagab, et iga uut krüptovõtit ei seostata ühegi eelmise võtmega.
Kohalik ID ja kohalik lõpp-punktt on NSX Edge'i välisaadress.
Kohalik alamvõrks - kohalikud võrgud, mis kasutavad IPsec VPN-i.
Peer ID ja Peer Endpoint – kaugsaidi aadress.
Sarnased alamvõrgud – võrgud, mis kasutavad IPsec VPN-i kaugküljel.
Kõik on valmis, saitidevaheline IPsec VPN on valmis ja töötab.
Selles näites kasutasime kaaslaste autentimiseks PSK-d, kuid võimalik on ka sertifikaadi autentimine. Selleks minge vahekaardile Globaalne konfiguratsioon, lubage sertifikaadi autentimine ja valige sertifikaat ise.
Lisaks peate saidi seadetes muutma autentimismeetodit.
Märgin, et IPseci tunnelite arv sõltub juurutatud Edge Gateway suurusest (selle kohta lugege meie esimene artikkel).
SSL VPN
SSL VPN-Plus on üks kaugjuurdepääsu VPN-i valikutest. See võimaldab üksikutel kaugkasutajatel turvaliselt ühenduda privaatvõrkudega NSX Edge Gateway taga. SSL VPN-plusi puhul luuakse kliendi (Windows, Linux, Mac) ja NSX Edge vahele krüpteeritud tunnel.
Alustame seadistamist. Minge Edge Gateway teenuse juhtpaneelil vahekaardile SSL VPN-Plus ja seejärel serveri sätted. Valime aadressi ja pordi, millel server sissetulevaid ühendusi kuulab, lubame logimise ja valime vajalikud krüpteerimisalgoritmid.
Siin saate muuta ka serveri kasutatavat sertifikaati.
Kui kõik on valmis, lülitage server sisse ja ärge unustage sätteid salvestada.
Järgmiseks peame seadistama aadresside kogumi, mille väljastame klientidele ühenduse loomisel. See võrk on eraldi kõigist teie NSX-keskkonnas olemasolevatest alamvõrkudest ja seda ei pea konfigureerima teistes füüsilistes võrkudes olevates seadmetes, välja arvatud sellele osutavad marsruudid.
Minge vahekaardile IP-kogumid ja klõpsake nuppu +.
Valige aadressid, alamvõrgu mask ja lüüs. Siin saate muuta ka DNS- ja WINS-serverite sätteid.
Saadud bassein.
Nüüd lisame võrgud, millele VPN-iga ühenduse loovad kasutajad saavad juurdepääsu. Minge vahekaardile Privaatvõrgud ja klõpsake nuppu +.
Täidame:
Võrk – kohalik võrk, millele kaugkasutajad saavad juurdepääsu.
Saatke liiklust, sellel on kaks võimalust:
- üle tunneli - suunata liiklust võrku tunneli kaudu,
— tunnelist möödasõit — liikluse saatmine võrku otse tunnelist mööda minnes.
TCP optimeerimise lubamine – kontrollige, kas valisite tunneli ületava suvandi. Kui optimeerimine on lubatud, saate määrata pordi numbrid, mille jaoks soovite liiklust optimeerida. Selle konkreetse võrgu ülejäänud portide liiklust ei optimeerita. Kui pordinumbreid pole määratud, optimeeritakse kõigi portide liiklus. Lugege selle funktsiooni kohta lisateavet siin.
Järgmisena minge vahekaardile Autentimine ja klõpsake nuppu +. Autentimiseks kasutame NSX Edge'i enda kohalikku serverit.
Siin saame valida uute paroolide genereerimise reeglid ja seadistada kasutajakontode blokeerimise valikuid (näiteks korduskatsete arv, kui parool on valesti sisestatud).
Kuna me kasutame kohalikku autentimist, peame looma kasutajaid.
Lisaks elementaarsetele asjadele nagu nimi ja parool, saab siin näiteks keelata kasutajal parooli muutmise või vastupidi, sundida teda järgmisel sisselogimisel parooli muutma.
Kui kõik vajalikud kasutajad on lisatud, minge vahekaardile Installipaketid, klõpsake + ja looge ise installija, mille kaugtöötaja installimiseks alla laadib.
Vajutage +. Valige selle serveri aadress ja port, millega klient ühenduse loob, ning platvormid, mille jaoks soovite installipaketi genereerida.
Selle akna all saate määrata Windowsi kliendi seaded. Valige:
käivita klient sisselogimisel – VPN-klient lisatakse kaugmasina käivitamisse;
loo töölauaikoon – loob töölauale VPN-kliendi ikooni;
serveri turvasertifikaadi valideerimine – kinnitab ühenduse loomisel serveri sertifikaadi.
Serveri seadistamine on lõpetatud.
Nüüd laadime viimases etapis loodud installipaketi kaugarvutisse alla. Serveri seadistamisel määrasime selle välisaadressi (185.148.83.16) ja pordi (445). Sellel aadressil peame minema veebibrauserisse. Minu puhul on 185.148.83.16: 445.
Autoriseerimisaknas peate sisestama meie varem loodud kasutaja mandaadid.
Pärast autoriseerimist näeme allalaadimiseks saadaolevate loodud installipakettide loendit. Oleme loonud ainult ühe - laadime selle alla.
Klõpsame lingil, algab kliendi allalaadimine.
Pakkige allalaaditud arhiiv lahti ja käivitage installiprogramm.
Pärast installimist käivitage klient, klõpsake autoriseerimisaknas nuppu Logi sisse.
Sertifikaadi kinnitamise aknas valige Jah.
Sisestame eelnevalt loodud kasutaja mandaadid ja näeme, et ühendus on edukalt lõpule viidud.
Kontrollime kohalikus arvutis VPN-kliendi statistikat.
Windowsi käsureal (ipconfig / all) näeme, et on ilmunud täiendav virtuaalne adapter ja ühendus kaugvõrguga on olemas, kõik töötab:
Ja lõpuks kontrollige Edge Gateway konsoolilt.
L2 VPN
L2VPN-i läheb vaja siis, kui peate mitut geograafiliselt kombineerima
hajutatud võrgud ühte leviedastusdomeeni.
See võib olla kasulik näiteks virtuaalmasina migreerimisel: kui VM liigub teise geograafilisse piirkonda, säilitab masin oma IP-aadressi seaded ega kaota ühendust teiste masinatega, mis asuvad sellega samas L2 domeenis.
Oma testkeskkonnas ühendame omavahel kaks saiti, nimetame neid vastavalt A ja B. Meil on kaks NSX-i ja kaks identselt loodud marsruutitud võrku, mis on ühendatud erinevate servadega. Masina A aadress on 10.10.10.250/24, masina B aadressiga 10.10.10.2/24.
Avage vCloud Directoris vahekaart Administration, minge VDC, mida vajame, minge vahekaardile Org VDC Networks ja lisage kaks uut võrku.
Valige marsruutitud võrgu tüüp ja siduge see võrk meie NSX-iga. Panime märkeruudu Loo alamliidesena.
Selle tulemusena peaksime saama kaks võrku. Meie näites nimetatakse neid võrguks-a ja võrguks-b, millel on samad lüüsiseaded ja sama mask.
Nüüd läheme esimese NSX-i sätete juurde. See on NSX, millega võrk A on ühendatud. See toimib serverina.
Naaseme NSx Edge liidese juurde / minge vahekaardile VPN -> L2VPN. Lülitame sisse L2VPN, valime serveri töörežiimi, serveri globaalsetes sätetes määrame välise NSX IP-aadressi, mida tunneli port kuulab. Vaikimisi avaneb pesa pordil 443, kuid seda saab muuta. Ärge unustage valida tulevase tunneli krüpteerimisseadeid.
Minge vahekaardile Serverisaidid ja lisage partner.
Lülitame kaaslase sisse, määrame nime, kirjelduse, vajadusel määrame kasutajanime ja parooli. Vajame neid andmeid hiljem kliendi saidi seadistamisel.
Väljapääsu optimeerimise lüüsi aadressis määrame lüüsi aadressi. See on vajalik, et ei tekiks IP-aadresside konflikti, sest meie võrkude lüüsil on sama aadress. Seejärel klõpsake nuppu VALI ALIIDESED.
Siin valime soovitud alamliidese. Salvestame seaded.
Näeme, et vastloodud kliendisait on seadetes ilmunud.
Liigume nüüd edasi NSX-i konfigureerimisega kliendi poolelt.
Me läheme NSX-i poolele B, minge VPN -> L2VPN, lubage L2VPN, seadke L2VPN-režiim kliendirežiimile. Määrake vahekaardil Client Global NSX A aadress ja port, mille määrasime serveri poolel varem kui kuulamis-IP ja port. Samuti on vaja määrata samad krüpteerimisseaded, et need oleksid tunneli tõstmisel järjepidevad.
Kerime allpool, valime alamliidese, mille kaudu L2VPN-i tunnel ehitatakse.
Väljapääsu optimeerimise lüüsi aadressis määrame lüüsi aadressi. Määra kasutajatunnus ja parool. Valime alamliidese ja ärge unustage sätteid salvestada.
Tegelikult on see kõik. Kliendi- ja serveripoole seaded on peaaegu identsed, kui mõned nüansid välja arvata.
Nüüd näeme, et meie tunnel on töötanud, minnes mis tahes NSX-is jaotisse Statistika -> L2VPN.
Kui läheme nüüd suvalise Edge Gateway konsooli, näeme arp-tabelis mõlemal neist mõlema VM-i aadresse.
See kõik puudutab NSX Edge'i VPN-i. Küsi, kui midagi jääb arusaamatuks. See on ka viimane osa artiklite seeriast, mis käsitleb NSX Edge'iga töötamist. Loodame, et neist oli abi 🙂