VMware NSX pienimmille. Osa 6: VPN-asetukset

Osa yksi. johdannossa
Osa kaksi. Palomuurin ja NAT-sääntöjen määrittäminen
Kolmas osa. DHCP:n konfigurointi
Osa neljä. Reitityksen asetukset
Osa viisi. Kuormantasaajan asentaminen

Tänään aiomme tarkastella VPN-määritysvaihtoehtoja, joita NSX Edge tarjoaa meille.

Yleisesti ottaen voimme jakaa VPN-tekniikat kahteen avaintyyppiin:

• Sivustojen välinen VPN. IPSecin yleisin käyttötarkoitus on suojatun tunnelin luominen esimerkiksi päätoimistoverkon ja etäpaikassa tai pilvessä olevan verkon välille.
• Etäkäyttö VPN. Käytetään yksittäisten käyttäjien yhdistämiseen yritysten yksityisiin verkkoihin VPN-asiakasohjelmiston avulla.

NSX Edgen avulla voimme käyttää molempia vaihtoehtoja.
Määritämme testipenkillä, jossa on kaksi NSX Edgeä, Linux-palvelin, jossa on asennettu demoni pesukarhu ja Windows-kannettavan etäkäytön VPN:n testaamiseen.

IPSec

1. Siirry vCloud Director -liittymässä Hallinta-osioon ja valitse vDC. Valitse Edge Gateways -välilehdessä tarvitsemamme Edge, napsauta hiiren kakkospainikkeella ja valitse Edge Gateway Services.
   
2. Siirry NSX Edge -liittymässä VPN-IPsec VPN -välilehteen, sitten IPsec VPN -sivustot -osioon ja lisää uusi sivusto napsauttamalla +.

   

3. Täytä pakolliset kentät:
   • käytössä – aktivoi etäsivuston.
   • PFS – varmistaa, että jokaista uutta salausavainta ei liitetä mihinkään aikaisempaan avaimeen.
   • Paikallinen tunnus ja paikallinen päätepistet on NSX Edgen ulkoinen osoite.
   • Paikallinen aliverkkos - paikalliset verkot, jotka käyttävät IPsec VPN:ää.
   • Vertaistunnus ja vertaispäätepiste – etäsivuston osoite.
   • Vertaisaliverkot – verkot, jotka käyttävät IPsec VPN:ää etäpuolella.
   • Salausalgoritmi – tunnelin salausalgoritmi.

   
   

   • Authentication - kuinka tunnistamme vertaisen. Voit käyttää esijaettua avainta tai varmennetta.
   • Valmiiksi jaettu avain - määritä avain, jota käytetään todentamiseen ja jonka on vastattava molempia puolia.
   • Diffie Hellman Group – avainten vaihtoalgoritmi.

   Kun olet täyttänyt vaaditut kentät, napsauta Säilytä.

   

4. Valmis.

   

5. Kun olet lisännyt sivuston, siirry Aktivoinnin tila -välilehteen ja aktivoi IPsec-palvelu.

   

6. Kun asetukset on otettu käyttöön, siirry Tilastot -> IPsec VPN -välilehteen ja tarkista tunnelin tila. Näemme, että tunneli on noussut.

   

7. Tarkista tunnelin tila Edge-yhdyskäytäväkonsolista:
   • näytä palvelu ipsec - tarkista palvelun tila.

     

   • näytä palvelu ipsec -sivusto - Tietoja sivuston tilasta ja neuvotellut parametrit.

     

   • näytä palvelu ipsec sa - tarkista Security Associationin (SA) tila.

     

8. Yhteyden tarkistaminen etäsivuston kanssa:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Asetustiedostot ja lisäkomennot diagnostiikkaan Linux-etäpalvelimelta:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Kaikki on valmis, sivustojen välinen IPsec VPN on käytössä.

   Tässä esimerkissä käytimme PSK:ta vertaistudennuksena, mutta myös varmennetodennus on mahdollista. Voit tehdä tämän siirtymällä Global Configuration -välilehdelle, ottamalla käyttöön varmenteen todennus ja valitsemalla itse varmenteen.

   Lisäksi sinun on muutettava todennusmenetelmää sivuston asetuksissa.

   
   
   
   
   Huomaan, että IPsec-tunneleiden määrä riippuu käyttöönotetun Edge Gatewayn koosta (lue tästä ensimmäinen artikkeli).

   

SSL VPN

SSL VPN-Plus on yksi Remote Access VPN -vaihtoehdoista. Sen avulla yksittäiset etäkäyttäjät voivat muodostaa turvallisen yhteyden yksityisiin verkkoihin NSX Edge Gatewayn takana. Asiakkaan (Windows, Linux, Mac) ja NSX Edgen välille muodostetaan salattu tunneli SSL VPN-plus:n tapauksessa.

1. Aloitetaan määrittäminen. Siirry Edge Gateway -palvelun ohjauspaneelissa SSL VPN-Plus -välilehteen ja sitten Palvelinasetukset. Valitsemme osoitteen ja portin, jolla palvelin kuuntelee saapuvia yhteyksiä, sallimme kirjaamisen ja valitsemme tarvittavat salausalgoritmit.

   
   
   Täällä voit myös muuttaa palvelimen käyttämää varmennetta.

   

2. Kun kaikki on valmis, käynnistä palvelin ja älä unohda tallentaa asetuksia.

   

3. Seuraavaksi meidän on määritettävä osoitteiden joukko, jonka annamme asiakkaille yhteyden yhteydessä. Tämä verkko on erillinen NSX-ympäristösi olemassa olevista aliverkoista, eikä sitä tarvitse määrittää muissa fyysisten verkkojen laitteissa, lukuun ottamatta siihen osoittavia reittejä.

   Siirry IP Pools -välilehdelle ja napsauta +.

   

4. Valitse osoitteet, aliverkon peite ja yhdyskäytävä. Täällä voit myös muuttaa DNS- ja WINS-palvelimien asetuksia.

   

5. Tuloksena oleva allas.

   

6. Lisätään nyt verkot, joihin VPN:ään yhdistävillä käyttäjillä on pääsy. Siirry Yksityiset verkot -välilehteen ja napsauta +.

   

7. Täytämme:
   • Verkko - paikallinen verkko, johon etäkäyttäjillä on pääsy.
   • Lähetä liikennettä, sillä on kaksi vaihtoehtoa:
     - tunnelin yli - lähettää liikennettä verkkoon tunnelin kautta,
     — ohittaa tunnelin—lähetä liikennettä verkkoon suoraan ohittaen tunnelin.
   • Ota TCP-optimointi käyttöön - tarkista, valitsitko tunnelin yli -vaihtoehdon. Kun optimointi on käytössä, voit määrittää porttinumerot, joille haluat optimoida liikenteen. Tietyn verkon muiden porttien liikennettä ei optimoida. Jos porttinumeroita ei ole määritetty, kaikkien porttien liikenne optimoidaan. Lue lisää tästä ominaisuudesta täällä.

   

8. Siirry seuraavaksi Todennus-välilehteen ja napsauta +. Käytämme todentamiseen paikallista palvelinta itse NSX Edgessä.

   

9. Täällä voimme valita käytäntöjä uusien salasanojen luomiseksi ja määrittää asetukset käyttäjätilien estoon (esimerkiksi uudelleenyritysten lukumäärän, jos salasana on syötetty väärin).

   
   
   

10. Koska käytämme paikallista todennusta, meidän on luotava käyttäjiä.

    

11. Perusasioiden, kuten nimen ja salasanan, lisäksi täällä voit esimerkiksi estää käyttäjää vaihtamasta salasanaa tai päinvastoin pakottaa hänet vaihtamaan salasanaa seuraavan sisäänkirjautumisen yhteydessä.

    

12. Kun kaikki tarvittavat käyttäjät on lisätty, siirry Asennuspaketit-välilehteen, napsauta + ja luo itse asennusohjelma, jonka etätyöntekijä lataa asennusta varten.

    

13. Paina +. Valitse sen palvelimen osoite ja portti, johon asiakas muodostaa yhteyden, sekä alustat, joille haluat luoda asennuspaketin.

    
    
    Tämän ikkunan alla voit määrittää Windowsin asiakasasetukset. Valita:

    • käynnistä asiakas kirjautumisen yhteydessä – VPN-asiakasohjelma lisätään etäkoneen käynnistykseen;
    • luo työpöydän kuvake - luo VPN-asiakaskuvakkeen työpöydälle;
    • palvelimen suojaussertifikaatin vahvistus - vahvistaa palvelinvarmenteen yhteyden yhteydessä.
      Palvelimen asennus on valmis.

    

14. Ladataan nyt viimeisessä vaiheessa luomamme asennuspaketti etätietokoneeseen. Palvelinta määritettäessä määritimme sen ulkoisen osoitteen (185.148.83.16) ja portin (445). Juuri tähän osoitteeseen meidän on siirryttävä verkkoselaimeen. Minun tapauksessani on 185.148.83.16: 445.

    Valtuutusikkunassa sinun on syötettävä aiemmin luomamme käyttäjätunnukset.

    

15. Valtuutuksen jälkeen näemme luettelon luoduista asennuspaketeista, jotka ovat ladattavissa. Olemme luoneet vain yhden - lataamme sen.

    

16. Napsauta linkkiä, asiakkaan lataus alkaa.

    

17. Pura ladattu arkisto ja suorita asennusohjelma.

    

18. Asennuksen jälkeen käynnistä asiakas ja napsauta valtuutusikkunassa Kirjaudu sisään.

    

19. Valitse varmenteen vahvistusikkunassa Kyllä.

    

20. Annamme aiemmin luodun käyttäjän tunnistetiedot ja näemme, että yhteys on valmis.

    
    
    

21. Tarkistamme VPN-asiakkaan tilastot paikalliselta tietokoneelta.

    
    
    

22. Windowsin komentorivillä (ipconfig / all) näemme, että ylimääräinen virtuaalinen sovitin on ilmestynyt ja että etäverkkoon on yhteys, kaikki toimii:

    
    
    

23. Ja lopuksi, tarkista Edge Gateway -konsolista.

    

L2 VPN

L2VPN tarvitaan, kun haluat yhdistää useita maantieteellisesti
hajautetut verkot yhdeksi lähetysalueeksi.

Tästä voi olla hyötyä esimerkiksi siirrettäessä virtuaalikoneen: kun virtuaalikone siirtyy toiselle maantieteelliselle alueelle, kone säilyttää IP-osoiteasetukset eikä menetä yhteyttä muihin koneisiin, jotka sijaitsevat sen kanssa samassa L2-toimialueessa.

Testiympäristössämme yhdistämme kaksi sivustoa toisiinsa, kutsumme niitä vastaavasti A ja B. Meillä on kaksi NSX:ää ja kaksi identtisesti luotua reititettyä verkkoa liitettyinä eri Edgeen. Koneen A osoite on 10.10.10.250/24, koneen B osoite 10.10.10.2/24.

1. Siirry vCloud Directorissa Hallinta-välilehdelle, valitse tarvitsemamme VDC, siirry Org VDC Networks -välilehteen ja lisää kaksi uutta verkkoa.

   

2. Valitse reititetty verkkotyyppi ja liitä tämä verkko NSX:ään. Laitamme valintaruudun Luo aliliittymäksi.

   

3. Tuloksena meidän pitäisi saada kaksi verkkoa. Esimerkissämme niitä kutsutaan verkko-a ja verkko-b, joilla on samat yhdyskäytävän asetukset ja sama maski.

   
   
   

4. Siirrytään nyt ensimmäisen NSX:n asetuksiin. Tämä on NSX, johon verkko A on liitetty. Se toimii palvelimena.

   Palaamme NSx Edge -liittymään / Siirry VPN-välilehteen -> L2VPN. Kytkemme L2VPN päälle, valitsemme Palvelimen toimintatilan, Palvelimen globaaleissa asetuksissa määritämme ulkoisen NSX IP-osoitteen, jota tunnelin portti kuuntelee. Oletusarvoisesti socket avautuu porttiin 443, mutta tätä voidaan muuttaa. Älä unohda valita tulevan tunnelin salausasetuksia.

   

5. Siirry Palvelinsivustot-välilehteen ja lisää vertaiskäyttäjä.

   

6. Kytkemme vertaisverkkoon, asetamme nimen, kuvauksen, asetamme tarvittaessa käyttäjätunnuksen ja salasanan. Tarvitsemme näitä tietoja myöhemmin asiakassivustoa määritettäessä.

   Kohdassa Egress Optimization Gateway Address asetetaan yhdyskäytävän osoite. Tämä on välttämätöntä, jotta IP-osoitteiden ristiriitaa ei synny, koska verkkojemme yhdyskäytävällä on sama osoite. Napsauta sitten VALITSE ALILIITTYMÄT -painiketta.

   

7. Täällä valitsemme halutun alirajapinnan. Tallennamme asetukset.

   

8. Näemme, että juuri luotu asiakassivusto on ilmestynyt asetuksiin.

   

9. Siirrytään nyt NSX:n konfigurointiin asiakaspuolelta.

   Siirrymme NSX-puolelle B, mene VPN -> L2VPN, ota L2VPN käyttöön, aseta L2VPN-tila asiakastilaan. Aseta Client Global -välilehdellä NSX A:n osoite ja portti, jotka määritimme aiemmin Listening IP ja Portiksi palvelimen puolella. On myös tarpeen asettaa samat salausasetukset, jotta ne ovat yhdenmukaisia ​​tunnelia nostettaessa.

   
   
   Selaamme alla, valitse alirajapinta, jonka kautta tunneli L2VPN:lle rakennetaan.
   Kohdassa Egress Optimization Gateway Address asetetaan yhdyskäytävän osoite. Aseta käyttäjätunnus ja salasana. Valitsemme aliliittymän ja älä unohda tallentaa asetuksia.

   

10. Itse asiassa siinä kaikki. Asiakas- ja palvelinpuolen asetukset ovat muutamaa vivahdetta lukuun ottamatta lähes identtiset.
11. Nyt voimme nähdä, että tunnelimme on toiminut siirtymällä kohtaan Tilastot -> L2VPN millä tahansa NSX:llä.

    

12. Jos nyt siirrymme minkä tahansa Edge Gatewayn konsoliin, näemme jokaisessa niistä arp-taulukossa molempien virtuaalikoneiden osoitteet.

    

Siinä kaikki NSX Edgen VPN:stä. Kysy jos jokin jäi epäselväksi. Se on myös viimeinen osa NSX Edgen kanssa työskentelemistä käsittelevään artikkelisarjaan. Toivottavasti heistä oli apua 🙂

Lähde: will.com