Gaur NSX Edge-k eskaintzen dizkigun VPN konfigurazio-aukerei begirada bat emango diegu.
Oro har, VPN teknologiak bi gako motatan bana ditzakegu:
- Gunez gune VPN. IPSec-en erabilera ohikoena tunel seguru bat sortzea da, adibidez, bulegoko sare nagusi baten eta sare baten artean urruneko gune batean edo hodeian.
- Urruneko sarbidea VPN. Erabiltzaile indibidualak sare pribatu korporatiboetara konektatzeko erabiltzen da VPN bezeroaren softwarea erabiliz.
NSX Edge-k bi aukerak erabiltzeko aukera ematen digu.
Proba-banku bat erabiliz konfiguratuko dugu bi NSX Edgerekin, Linux zerbitzari bat instalatutako deabru batekin eta Windows ordenagailu eramangarri bat Urruneko Sarbide VPN probatzeko.
IPsec
- vCloud Director interfazean, joan Administrazio atalera eta hautatu vDC. Edge Gateways fitxan, hautatu behar dugun Edge, egin klik eskuineko botoiarekin eta hautatu Edge Gateway Services.
- NSX Edge interfazean, joan VPN-IPsec VPN fitxara, ondoren IPsec VPN Guneak atalera eta egin klik + gune berri bat gehitzeko.
- Bete beharrezko eremuak:
- Gaituta β urruneko gunea aktibatzen du.
- PFS β ziurtatzen du gako kriptografiko berri bakoitza ez dagoela aurreko gako batekin lotuta.
- Tokiko IDa eta Local Endpointt NSX Edge-ren kanpoko helbidea da.
- tokiko azpisareas - IPsec VPN erabiliko duten sare lokalak.
- Peer ID eta Peer Endpoint β urruneko gunearen helbidea.
- Peer azpisareak β urruneko aldean IPsec VPN erabiliko duten sareak.
- Enkriptatzeko algoritmoa β tunelaren zifratze algoritmoa.
- Autentifikazio - parekoa nola autentifikatuko dugun. Aurrez partekatutako gako bat edo ziurtagiri bat erabil dezakezu.
- Aurrez partekatutako giltza - autentifikaziorako erabiliko den gakoa zehaztu eta bi aldeetan bat etorri behar du.
- Diffie Hellman taldea β gakoak trukatzeko algoritmoa.
Beharrezko eremuak bete ondoren, egin klik Mantendu.
- Done.
- Gunea gehitu ondoren, joan Aktibazio Egoera fitxara eta aktibatu IPsec Zerbitzua.
- Ezarpenak aplikatu ondoren, joan Estatistikak -> IPsec VPN fitxara eta egiaztatu tunelaren egoera. Tunelak gora egin duela ikusten dugu.
- Egiaztatu tunelaren egoera Edge gateway kontsolatik:
- show service ipsec - egiaztatu zerbitzuaren egoera.
- show service ipsec site - Gunearen egoerari eta negoziatutako parametroei buruzko informazioa.
- show service ipsec sa - egiaztatu Segurtasun Elkartearen (SA) egoera.
- show service ipsec - egiaztatu zerbitzuaren egoera.
- Konektibitatea egiaztatzea urruneko gune batekin:
root@racoon:~# ifconfig eth0:1 | grep inet inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0 root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data. 64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms --- 192.168.0.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 msKonfigurazio fitxategiak eta komando gehigarriak diagnostikoetarako urruneko Linux zerbitzari batetik:
root@racoon:~# cat /etc/racoon/racoon.conf log debug; path pre_shared_key "/etc/racoon/psk.txt"; path certificate "/etc/racoon/certs"; listen { isakmp 80.211.43.73 [500]; strict_address; } remote 185.148.83.16 { exchange_mode main,aggressive; proposal { encryption_algorithm aes256; hash_algorithm sha1; authentication_method pre_shared_key; dh_group modp1536; } generate_policy on; } sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any { encryption_algorithm aes256; authentication_algorithm hmac_sha1; compression_algorithm deflate; } === root@racoon:~# cat /etc/racoon/psk.txt 185.148.83.16 testkey === root@racoon:~# cat /etc/ipsec-tools.conf #!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec esp/tunnel/185.148.83.16-80.211.43.73/require; spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/80.211.43.73-185.148.83.16/require; === root@racoon:~# racoonctl show-sa isakmp Destination Cookies Created 185.148.83.16.500 2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 === root@racoon:~# racoonctl show-sa esp 80.211.43.73 185.148.83.16 esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000) E: aes-cbc 00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d A: hmac-sha1 aa9e7cd7 51653621 67b3b2e9 64818de5 df848792 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=1 pid=7739 refcnt=0 185.148.83.16 80.211.43.73 esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000) E: aes-cbc c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044 A: hmac-sha1 cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=0 pid=7739 refcnt=0 - Dena prest dago, gunez gune IPsec VPN martxan dago.
Adibide honetan, PSK erabili dugu parekoen autentifikaziorako, baina ziurtagirien autentifikazioa ere posible da. Horretarako, joan Konfigurazio Globala fitxara, gaitu ziurtagiriaren autentifikazioa eta hautatu ziurtagiria bera.
Gainera, gunearen ezarpenetan, autentifikazio-metodoa aldatu beharko duzu.
Kontuan izan dut IPsec tunel kopurua zabaldutako Edge Gateway-ren tamainaren araberakoa dela (irakurri honi buruz gure ).
SSL VPN
SSL VPN-Plus Urruneko Sarbide VPN aukeretako bat da. Urrutiko erabiltzaile indibidualak NSX Edge Gateway-ren atzean dagoen sare pribatuetara segurtasunez konektatzeko aukera ematen du. SSL VPN-plus-en kasuan enkriptatutako tunel bat ezartzen da bezeroaren (Windows, Linux, Mac) eta NSX Edgeren artean.
- Has gaitezen konfiguratzen. Edge Gateway zerbitzuaren kontrol-panelean, joan SSL VPN-Plus fitxara, gero zerbitzariaren ezarpenetara. Zerbitzariak sarrerako konexioak entzungo dituen helbidea eta ataka hautatzen ditugu, erregistroa gaitu eta beharrezko enkriptazio algoritmoak hautatzen ditugu.
Hemen zerbitzariak erabiliko duen ziurtagiria ere alda dezakezu. - Dena prest dagoenean, piztu zerbitzaria eta ez ahaztu ezarpenak gordetzea.
- Ondoren, konektatzean bezeroei emango dizkiegun helbide multzo bat konfiguratu behar dugu. Sare hau zure NSX ingurunean dagoen edozein azpisaretik bereizita dago eta ez da zertan sare fisikoetako beste gailu batzuetan konfiguratu behar, bertara zuzentzen diren bideetan izan ezik.
Joan IP Pools fitxara eta egin klik +.
- Hautatu helbideak, azpisare maskara eta atebidea. Hemen DNS eta WINS zerbitzarien ezarpenak ere alda ditzakezu.
- Ondorioz igerilekua.
- Orain gehi ditzagun VPNra konektatzen diren erabiltzaileek sarbidea izango duten sareak. Joan Sare Pribatuak fitxara eta egin klik +.
- Betetzen dugu:
- Sarea - urruneko erabiltzaileek sarbidea izango duten sare lokala.
- Bidali trafikoa, bi aukera ditu:
- tunelaren gainean - bidali trafikoa sarera tunelaren bidez,
β saihestu tunela β trafikoa sarera bidali zuzenean tunela saihestuz. - Gaitu TCP optimizazioa - egiaztatu tunelaren gaineko aukera aukeratu duzun. Optimizazioa gaituta dagoenean, trafikoa optimizatu nahi duzun ataka-zenbakiak zehaztu ditzakezu. Sare jakin horretako gainerako portuetarako trafikoa ez da optimizatuko. Portu-zenbakirik zehazten ez bada, ataka guztien trafikoa optimizatuko da. Irakurri gehiago eginbide honi buruz .
- Ondoren, joan Autentifikazio fitxara eta egin klik +. Autentifikaziorako, NSX Edgen bertan zerbitzari lokal bat erabiliko dugu.
- Hemen pasahitz berriak sortzeko politikak hauta ditzakegu eta erabiltzaile-kontuak blokeatzeko aukerak konfiguratu ditzakegu (adibidez, pasahitza gaizki sartzen bada errepikapenen kopurua).
- Tokiko autentifikazioa erabiltzen ari garenez, erabiltzaileak sortu behar ditugu.
- Izena eta pasahitza bezalako oinarrizko gauzez gain, hemen, adibidez, erabiltzaileari pasahitza aldatzea debekatu diezaiokezu edo, alderantziz, saioa hasten den hurrengoan pasahitza aldatzera behartu.
- Beharrezko erabiltzaile guztiak gehitu ondoren, joan Instalazio paketeak fitxara, egin klik + eta sortu instalatzailea bera, urruneko langile batek deskargatuko duena instalatzeko.
- Sakatu +. Hautatu bezeroa konektatuko den zerbitzariaren helbidea eta ataka, eta instalazio paketea sortu nahi duzun plataformak.
Leiho honen azpian, Windows-en bezeroaren ezarpenak zehaztu ditzakezu. Aukeratu:- Hasi bezeroa saioa hasten denean - VPN bezeroa urruneko makinan abiarazteko gehituko da;
- sortu mahaigaineko ikonoa - VPN bezeroaren ikono bat sortuko du mahaigainean;
- zerbitzariaren segurtasun-ziurtagiriaren baliozkotzea - ββkonektatzean zerbitzariaren ziurtagiria baliozkotuko du.
Zerbitzariaren konfigurazioa osatu da.
- Orain deskarga dezagun azken urratsean sortu dugun instalazio paketea urruneko PC batera. Zerbitzaria konfiguratzean, bere kanpoko helbidea (185.148.83.16) eta ataka (445) zehaztu ditugu. Helbide horretara joan behar dugu web arakatzaile batean. Nire kasuan hala da : 445.
Baimen leihoan, lehenago sortu ditugun erabiltzailearen kredentzialak sartu behar dituzu.
- Baimenaren ondoren, sortutako instalazio paketeen zerrenda ikusiko dugu deskargatzeko eskuragarri. Bat bakarra sortu dugu - deskargatuko dugu.
- Estekan klik egiten dugu, bezeroaren deskarga hasten da.
- Deskonpaktatu deskargatutako artxiboa eta exekutatu instalatzailea.
- Instalatu ondoren, abiarazi bezeroa, baimen-leihoan, sakatu Saioa hasi.
- Ziurtagiria egiaztatzeko leihoan, hautatu Bai.
- Aurretik sortutako erabiltzailearen kredentzialak sartzen ditugu eta konexioa behar bezala amaitu dela ikusten dugu.
- VPN bezeroaren estatistikak egiaztatzen ditugu tokiko ordenagailuan.
- Windows komando-lerroan (ipconfig / all), egokitzaile birtual gehigarri bat agertu dela ikusten dugu eta urruneko sarerako konexioa dagoela, dena funtzionatzen du:
- Eta azkenik, egiaztatu Edge Gateway kontsolatik.
L2 VPN
L2VPN beharrezkoa izango da geografikoki hainbat konbinatu behar dituzunean
banatutako sareak emisio-domeinu batean.
Hau erabilgarria izan daiteke, adibidez, makina birtual bat migratzerakoan: VM bat beste eremu geografiko batera mugitzen denean, makinak bere IP helbideratze ezarpenak mantenduko ditu eta ez du galduko harekin L2 domeinu berean dauden beste makinekiko konexioa.
Gure proba-ingurunean, bi gune konektatuko ditugu elkarren artean, A eta B deituko dizkiegu, hurrenez hurren.Bi NSX eta berdin-berdin sortutako bi bideratu sare ditugu Edges ezberdinetara lotuta. A makinak 10.10.10.250/24 helbidea du, B makinak 10.10.10.2/24 helbidea.
- vCloud Director-en, joan Administrazio fitxara, joan behar dugun VDCra, joan Org VDC Networks fitxara eta gehitu bi sare berri.
- Hautatu bideratutako sare mota eta lotu sare hau gure NSX-ra. Sortu azpiinterfaze gisa kontrol-laukia jarri dugu.
- Ondorioz, bi sare lortu beharko genituzke. Gure adibidean, sare-a eta sare-b deitzen dira atebide-ezarpen eta maskara berdinarekin.
- Orain goazen lehen NSX-ren ezarpenetara. Hau A Sarea atxikita dagoen NSX izango da. Zerbitzari gisa jardungo du.
NSx Edge interfazera itzuliko gara / Joan VPN fitxara -> L2VPN. L2VPN aktibatzen dugu, Zerbitzariaren funtzionamendu modua hautatzen dugu, Server Global ezarpenetan tunelaren atakak entzungo duen kanpoko NSX IP helbidea zehazten dugu. Lehenespenez, socketa 443 atakan irekiko da, baina hau alda daiteke. Ez ahaztu etorkizuneko tunelerako enkriptazio-ezarpenak hautatzea.
- Joan zerbitzari-guneak fitxara eta gehitu pareko bat.
- Peer-a pizten dugu, izena, deskribapena ezartzen dugu, behar izanez gero, erabiltzaile-izena eta pasahitza ezartzen ditugu. Datu hauek geroago beharko ditugu bezeroaren gunea konfiguratzerakoan.
Egress Optimization Gateway Address atalean atebidearen helbidea ezarri dugu. Beharrezkoa da IP helbideen gatazkarik egon ez dadin, gure sareetako atariak helbide bera baitu. Ondoren, egin klik HAUTATU AZPI INTERFAZEAK botoian.
- Hemen nahi den azpiinterfazea hautatuko dugu. Ezarpenak gordetzen ditugu.
- Ezarpenetan sortu berri den bezeroaren gunea agertu dela ikusten dugu.
- Orain pasa gaitezen NSX bezeroaren aldetik konfiguratzera.
NSX alde B-ra joango gara, joan VPN -> L2VPN, gaitu L2VPN, ezarri L2VPN modua bezero moduan. Bezero globala fitxan, ezarri NSX A-ren helbidea eta ataka, lehenago Entzuteko IP eta Portua zerbitzariaren aldean zehaztu ditugunak. Era berean, beharrezkoa da enkriptazio-ezarpen berberak ezartzea, tunela altxatzen denean koherenteak izan daitezen.
Behean mugitzen gara, hautatu L2VPNren tunela eraikiko den azpiinterfazea.
Egress Optimization Gateway Address atalean atebidearen helbidea ezarri dugu. Ezarri erabiltzailearen IDa eta pasahitza. Azpiinterfazea hautatzen dugu eta ez dugu ahaztu ezarpenak gordetzea. - Egia esan, hori da dena. Bezeroaren eta zerbitzariaren ezarpenak ia berdinak dira, Γ±abardura batzuk izan ezik.
- Orain ikus dezakegu gure tunelak funtzionatu duela Estatistikak -> L2VPN edozein NSX-ra joanda.
- Orain edozein Edge Gatewayren kontsolara joaten bagara, horietako bakoitzean arp taulan ikusiko ditugu bi VM-en helbideak.
Hori guztia VPN-n NSX Edge-n. Zerbait argi ez dagoen galdetu. NSX Edge-rekin lan egiteari buruzko artikulu sortaren azken zatia ere bada. Lagungarriak izan direla espero dugu π
Iturria: www.habr.com