VMware NSX برای کوچولوها. قسمت 6: راه اندازی VPN

بخش اول. مقدماتی
بخش دوم. پیکربندی فایروال و قوانین NAT
قسمت سوم. پیکربندی DHCP
قسمت چهارم راه اندازی مسیریابی
قسمت پنجم. راه اندازی متعادل کننده بار

امروز قصد داریم به گزینه های پیکربندی VPN که NSX Edge به ما ارائه می دهد نگاهی بیندازیم.

به طور کلی، ما می توانیم فناوری های VPN را به دو نوع اصلی تقسیم کنیم:

• VPN سایت به سایت. رایج ترین استفاده از IPSec ایجاد یک تونل امن است، به عنوان مثال، بین یک شبکه اداری اصلی و یک شبکه در یک سایت راه دور یا در فضای ابری.
• دسترسی از راه دور VPN. برای اتصال کاربران فردی به شبکه های خصوصی شرکتی با استفاده از نرم افزار مشتری VPN استفاده می شود.

NSX Edge به ما امکان استفاده از هر دو گزینه را می دهد.
ما با استفاده از یک میز تست با دو NSX Edge، یک سرور لینوکس با دیمون نصب شده پیکربندی خواهیم کرد. راکون و یک لپ تاپ ویندوزی برای تست Remote Access VPN.

IPsec

1. در رابط vCloud Director به قسمت Administration رفته و vDC را انتخاب کنید. در تب Edge Gateways، Edge مورد نیاز خود را انتخاب کنید، کلیک راست کرده و Edge Gateway Services را انتخاب کنید.
   
2. در رابط NSX Edge، به تب VPN-IPsec VPN، سپس به بخش IPsec VPN Sites بروید و برای افزودن یک سایت جدید روی + کلیک کنید.

   

3. فیلدهای مورد نیاز را پر کنید:
   • فعال – سایت راه دور را فعال می کند.
   • پسوند PFS - تضمین می کند که هر کلید رمزنگاری جدید با هیچ کلید قبلی مرتبط نیست.
   • شناسه محلی و نقطه پایانی محلیt آدرس خارجی NSX Edge است.
   • زیر شبکه محلیs - شبکه های محلی که از IPsec VPN استفاده می کنند.
   • شناسه همتا و نقطه پایانی همتا – آدرس سایت راه دور
   • زیرشبکه های همتا – شبکه هایی که از IPsec VPN در سمت راه دور استفاده می کنند.
   • الگوریتم رمزگذاری – الگوریتم رمزگذاری تونل

   
   

   • تصدیق - چگونه اعتبار همتا را تأیید می کنیم. می‌توانید از یک Pre-Shared Key یا یک گواهی استفاده کنید.
   • کلید از قبل به اشتراک گذاشته شده - کلیدی را که برای احراز هویت استفاده می شود و باید در هر دو طرف مطابقت داشته باشد را مشخص کنید.
   • گروه دیفی هلمن – الگوریتم تبادل کلید

   پس از پر کردن فیلدهای مورد نیاز، روی Keep کلیک کنید.

   

4. انجام شد

   

5. پس از افزودن سایت، به تب Activation Status رفته و سرویس IPsec را فعال کنید.

   

6. پس از اعمال تنظیمات، به تب Statistics -> IPsec VPN رفته و وضعیت تونل را بررسی کنید. می بینیم که تونل بالا آمده است.

   

7. وضعیت تونل را از کنسول Edge Gateway بررسی کنید:
   • نمایش سرویس ipsec - وضعیت سرویس را بررسی کنید.

     

   • نمایش سرویس سایت ipsec - اطلاعاتی در مورد وضعیت سایت و پارامترهای مذاکره شده.

     

   • نمایش سرویس ipsec sa - وضعیت انجمن امنیتی (SA) را بررسی کنید.

     

8. بررسی اتصال با سایت از راه دور:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   فایل های پیکربندی و دستورات اضافی برای تشخیص از یک سرور لینوکس راه دور:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. همه چیز آماده است، IPsec VPN سایت به سایت راه اندازی و اجرا می شود.

   در این مثال، ما از PSK برای احراز هویت همتا استفاده کردیم، اما تأیید اعتبار گواهی نیز امکان پذیر است. برای انجام این کار، به تب Global Configuration بروید، احراز هویت گواهی را فعال کنید و خود گواهی را انتخاب کنید.

   علاوه بر این، در تنظیمات سایت، باید روش احراز هویت را تغییر دهید.

   
   
   
   
   توجه داشته باشم که تعداد تونل‌های IPsec به اندازه Edge Gateway مستقر شده بستگی دارد (در مورد این در ما بخوانید مقاله اول).

   

SSL VPN

SSL VPN-Plus یکی از گزینه های Remote Access VPN است. این به کاربران از راه دور اجازه می دهد تا به طور ایمن به شبکه های خصوصی در پشت دروازه NSX Edge متصل شوند. یک تونل رمزگذاری شده در مورد SSL VPN-plus بین کلاینت (ویندوز، لینوکس، مک) و NSX Edge ایجاد شده است.

1. بیایید راه اندازی را شروع کنیم. در کنترل پنل سرویس Edge Gateway، به تب SSL VPN-Plus و سپس به تنظیمات سرور بروید. ما آدرس و پورتی را انتخاب می کنیم که سرور برای اتصالات ورودی گوش می دهد، ورود به سیستم را فعال می کند و الگوریتم های رمزگذاری لازم را انتخاب می کند.

   
   
   در اینجا می توانید گواهی استفاده شده توسط سرور را نیز تغییر دهید.

   

2. پس از آماده شدن همه چیز، سرور را روشن کنید و فراموش نکنید که تنظیمات را ذخیره کنید.

   

3. در مرحله بعد، ما باید مجموعه ای از آدرس ها را تنظیم کنیم که پس از اتصال برای مشتریان صادر می کنیم. این شبکه از هر زیرشبکه موجود در محیط NSX شما جدا است و به جز مسیرهایی که به آن اشاره می کنند، نیازی به پیکربندی در سایر دستگاه های موجود در شبکه های فیزیکی ندارد.

   به تب IP Pools بروید و روی + کلیک کنید.

   

4. آدرس ها، ماسک زیر شبکه و دروازه را انتخاب کنید. در اینجا می توانید تنظیمات سرورهای DNS و WINS را نیز تغییر دهید.

   

5. استخر حاصل.

   

6. حالا بیایید شبکه هایی را اضافه کنیم که کاربرانی که به VPN متصل می شوند به آنها دسترسی خواهند داشت. به تب Private Networks رفته و روی + کلیک کنید.

   

7. پر می کنیم:
   • شبکه - یک شبکه محلی که کاربران راه دور به آن دسترسی خواهند داشت.
   • ارسال ترافیک، دو گزینه دارد:
     - بیش از تونل - ارسال ترافیک به شبکه از طریق تونل،
     - تونل دور زدن - با عبور مستقیم از تونل، ترافیک را به شبکه ارسال کنید.
   • فعال کردن TCP Optimization - بررسی کنید که آیا گزینه over tunnel را انتخاب کرده اید یا خیر. هنگامی که بهینه سازی فعال است، می توانید شماره پورت هایی را که می خواهید ترافیک را برای آنها بهینه کنید، مشخص کنید. ترافیک برای پورت های باقی مانده در آن شبکه خاص بهینه نمی شود. اگر شماره پورت مشخص نشده باشد، ترافیک برای همه پورت ها بهینه می شود. در مورد این ویژگی بیشتر بخوانید اینجا.

   

8. سپس به تب Authentication رفته و روی + کلیک کنید. برای احراز هویت، ما از یک سرور محلی در خود NSX Edge استفاده خواهیم کرد.

   

9. در اینجا می‌توانیم خط‌مشی‌هایی را برای ایجاد رمزهای عبور جدید انتخاب کنیم و گزینه‌هایی را برای مسدود کردن حساب‌های کاربری پیکربندی کنیم (به عنوان مثال، تعداد دفعات تکرار در صورت وارد کردن اشتباه رمز عبور).

   
   
   

10. از آنجایی که ما از احراز هویت محلی استفاده می کنیم، باید کاربران ایجاد کنیم.

    

11. علاوه بر موارد اساسی مانند نام و رمز عبور، در اینجا می توانید برای مثال کاربر را از تغییر رمز عبور منع کنید یا برعکس، او را مجبور کنید که دفعه بعد که وارد سیستم می شود، رمز عبور را تغییر دهد.

    

12. پس از اضافه شدن تمامی کاربران لازم، به تب Installation Packages رفته و روی + کلیک کنید و خود برنامه نصب را ایجاد کنید که توسط یک کارمند راه دور برای نصب دانلود می شود.

    

13. + را فشار دهید. آدرس و پورت سروری را که کلاینت به آن متصل می‌شود و پلتفرم‌هایی که می‌خواهید بسته نصب را برای آن‌ها ایجاد کنید، انتخاب کنید.

    
    
    در زیر در این پنجره می توانید تنظیمات کلاینت ویندوز را مشخص کنید. انتخاب کنید:

    • شروع کلاینت در ورود به سیستم – مشتری VPN به راه اندازی در دستگاه راه دور اضافه می شود.
    • ایجاد نماد دسکتاپ - یک نماد مشتری VPN روی دسکتاپ ایجاد می کند.
    • اعتبار سنجی گواهی امنیتی سرور - گواهی سرور را پس از اتصال تأیید می کند.
      راه اندازی سرور کامل شد.

    

14. حالا بیایید بسته نصبی را که در مرحله آخر ایجاد کردیم در یک رایانه از راه دور دانلود کنیم. هنگام راه اندازی سرور، آدرس خارجی (185.148.83.16) و پورت (445) آن را مشخص کردیم. در این آدرس است که باید به مرورگر وب برویم. در مورد من اینطور است 185.148.83.16: 445.

    در پنجره مجوز، شما باید اعتبار کاربری را که قبلا ایجاد کردیم را وارد کنید.

    

15. پس از مجوز، لیستی از بسته های نصب ایجاد شده را مشاهده می کنیم که برای دانلود در دسترس هستند. ما فقط یک مورد ایجاد کرده ایم - آن را دانلود خواهیم کرد.

    

16. ما روی پیوند کلیک می کنیم، دانلود مشتری شروع می شود.

    

17. بایگانی دانلود شده را باز کنید و نصب کننده را اجرا کنید.

    

18. پس از نصب، کلاینت را راه اندازی کنید، در پنجره مجوز، روی ورود کلیک کنید.

    

19. در پنجره تأیید گواهی، Yes را انتخاب کنید.

    

20. اعتبار کاربری که قبلا ایجاد شده را وارد می کنیم و می بینیم که اتصال با موفقیت انجام شده است.

    
    
    

21. ما آمار مشتری VPN را در رایانه محلی بررسی می کنیم.

    
    
    

22. در خط فرمان ویندوز (ipconfig / all)، می بینیم که یک آداپتور مجازی اضافی ظاهر شده است و اتصال به شبکه راه دور وجود دارد، همه چیز کار می کند:

    
    
    

23. و در نهایت، از کنسول Edge Gateway بررسی کنید.

    

L2 VPN

L2VPN زمانی مورد نیاز خواهد بود که شما نیاز دارید چندین را از نظر جغرافیایی ترکیب کنید
شبکه ها را در یک دامنه پخش توزیع کرد.

این می‌تواند برای مثال هنگام مهاجرت یک ماشین مجازی مفید باشد: وقتی یک VM به منطقه جغرافیایی دیگری منتقل می‌شود، دستگاه تنظیمات آدرس‌دهی IP خود را حفظ می‌کند و ارتباط با ماشین‌های دیگر واقع در همان دامنه L2 را از دست نمی‌دهد.

در محیط آزمایشی خود، دو سایت را به یکدیگر متصل خواهیم کرد، آنها را به ترتیب A و B صدا می کنیم. ماشین A دارای آدرس 10.10.10.250/24 است، ماشین B دارای آدرس 10.10.10.2/24 است.

1. در vCloud Director، به تب Administration بروید، به VDC مورد نیاز خود بروید، به تب Org VDC Networks بروید و دو شبکه جدید اضافه کنید.

   

2. نوع شبکه روت شده را انتخاب کنید و این شبکه را به NSX ما متصل کنید. چک باکس Create را به عنوان subinterface قرار می دهیم.

   

3. در نتیجه باید دو شبکه داشته باشیم. در مثال ما، آنها را شبکه-a و شبکه-b با تنظیمات دروازه یکسان و یک ماسک می نامند.

   
   
   

4. حالا بریم سراغ تنظیمات اولین NSX. این NSX خواهد بود که شبکه A به آن متصل است. به عنوان یک سرور عمل می کند.

   ما به رابط NSx Edge برمی گردیم / به تب VPN -> L2VPN بروید. ما L2VPN را روشن می کنیم، حالت عملیات سرور را انتخاب می کنیم، در تنظیمات Server Global آدرس IP خارجی NSX را مشخص می کنیم که پورت تونل به آن گوش می دهد. به طور پیش فرض، سوکت در پورت 443 باز می شود، اما می توان آن را تغییر داد. فراموش نکنید که تنظیمات رمزگذاری را برای تونل آینده انتخاب کنید.

   

5. به تب سایت های سرور بروید و یک همتا اضافه کنید.

   

6. همتا را روشن می کنیم، نام، توضیحات را تنظیم می کنیم، در صورت لزوم، نام کاربری و رمز عبور را تنظیم می کنیم. بعداً هنگام تنظیم سایت مشتری به این داده ها نیاز خواهیم داشت.

   در Egress Optimization Gateway Address آدرس دروازه را تنظیم می کنیم. این برای اینکه تداخل آدرس های IP وجود نداشته باشد ضروری است، زیرا دروازه شبکه های ما همان آدرس را دارد. سپس بر روی دکمه SELECT SUB-INTERFACES کلیک کنید.

   

7. در اینجا ما زیراینترفیس مورد نظر را انتخاب می کنیم. تنظیمات را ذخیره می کنیم.

   

8. می بینیم که سایت مشتری جدید ایجاد شده در تنظیمات ظاهر شده است.

   

9. حالا بیایید به پیکربندی NSX از سمت کلاینت بپردازیم.

   به سمت NSX B می رویم، به VPN -> L2VPN می رویم، L2VPN را فعال می کنیم، حالت L2VPN را روی حالت مشتری قرار می دهیم. در تب Client Global، آدرس و پورت NSX A را که قبلا به عنوان Listening IP و Port در سمت سرور مشخص کرده بودیم، تنظیم کنید. همچنین لازم است تنظیمات رمزگذاری یکسانی را تنظیم کنید تا در هنگام بالا آمدن تونل یکسان باشند.

   
   
   ما در زیر پیمایش می کنیم، واسط فرعی را انتخاب می کنیم که از طریق آن تونل L2VPN ساخته می شود.
   در Egress Optimization Gateway Address آدرس دروازه را تنظیم می کنیم. شناسه کاربری و رمز عبور را تنظیم کنید. ما زیرواسط را انتخاب می کنیم و فراموش نمی کنیم تنظیمات را ذخیره کنیم.

   

10. در واقع، این همه است. تنظیمات سمت کلاینت و سرور تقریباً یکسان است، به استثنای چند تفاوت.
11. اکنون می‌توانیم ببینیم که تونل ما با رفتن به Statistics -> L2VPN در هر NSX کار کرده است.

    

12. اگر اکنون به کنسول هر Edge Gateway برویم، روی هر کدام از آنها در جدول arp آدرس هر دو ماشین مجازی را خواهیم دید.

    

همه چیز در مورد VPN در NSX Edge است. اگر چیزی نامشخص است بپرسید. همچنین آخرین قسمت از مجموعه مقالات در مورد کار با NSX Edge است. امیدواریم مفید بوده باشند 🙂

منبع: www.habr.com