Tänään aiomme tarkastella VPN-määritysvaihtoehtoja, joita NSX Edge tarjoaa meille.
Yleisesti ottaen voimme jakaa VPN-tekniikat kahteen avaintyyppiin:
Sivustojen välinen VPN. IPSecin yleisin käyttötarkoitus on suojatun tunnelin luominen esimerkiksi päätoimistoverkon ja etäpaikassa tai pilvessä olevan verkon välille.
Etäkäyttö VPN. Käytetään yksittäisten käyttäjien yhdistämiseen yritysten yksityisiin verkkoihin VPN-asiakasohjelmiston avulla.
NSX Edgen avulla voimme käyttää molempia vaihtoehtoja.
Määritämme testipenkillä, jossa on kaksi NSX Edgeä, Linux-palvelin, jossa on asennettu demoni pesukarhu ja Windows-kannettavan etäkäytön VPN:n testaamiseen.
IPSec
Siirry vCloud Director -liittymässä Hallinta-osioon ja valitse vDC. Valitse Edge Gateways -välilehdessä tarvitsemamme Edge, napsauta hiiren kakkospainikkeella ja valitse Edge Gateway Services.
Siirry NSX Edge -liittymässä VPN-IPsec VPN -välilehteen, sitten IPsec VPN -sivustot -osioon ja lisää uusi sivusto napsauttamalla +.
Täytä pakolliset kentät:
käytössä – aktivoi etäsivuston.
PFS – varmistaa, että jokaista uutta salausavainta ei liitetä mihinkään aikaisempaan avaimeen.
Paikallinen tunnus ja paikallinen päätepistet on NSX Edgen ulkoinen osoite.
Paikallinen aliverkkos - paikalliset verkot, jotka käyttävät IPsec VPN:ää.
Vertaistunnus ja vertaispäätepiste – etäsivuston osoite.
Vertaisaliverkot – verkot, jotka käyttävät IPsec VPN:ää etäpuolella.
Salausalgoritmi – tunnelin salausalgoritmi.
Authentication - kuinka tunnistamme vertaisen. Voit käyttää esijaettua avainta tai varmennetta.
Valmiiksi jaettu avain - määritä avain, jota käytetään todentamiseen ja jonka on vastattava molempia puolia.
Diffie Hellman Group – avainten vaihtoalgoritmi.
Kun olet täyttänyt vaaditut kentät, napsauta Säilytä.
Valmis.
Kun olet lisännyt sivuston, siirry Aktivoinnin tila -välilehteen ja aktivoi IPsec-palvelu.
Kun asetukset on otettu käyttöön, siirry Tilastot -> IPsec VPN -välilehteen ja tarkista tunnelin tila. Näemme, että tunneli on noussut.
Tarkista tunnelin tila Edge-yhdyskäytäväkonsolista:
näytä palvelu ipsec - tarkista palvelun tila.
näytä palvelu ipsec -sivusto - Tietoja sivuston tilasta ja neuvotellut parametrit.
näytä palvelu ipsec sa - tarkista Security Associationin (SA) tila.
Yhteyden tarkistaminen etäsivuston kanssa:
root@racoon:~# ifconfig eth0:1 | grep inet
inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0
root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10
PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
--- 192.168.0.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
Asetustiedostot ja lisäkomennot diagnostiikkaan Linux-etäpalvelimelta:
Kaikki on valmis, sivustojen välinen IPsec VPN on käytössä.
Tässä esimerkissä käytimme PSK:ta vertaistudennuksena, mutta myös varmennetodennus on mahdollista. Voit tehdä tämän siirtymällä Global Configuration -välilehdelle, ottamalla käyttöön varmenteen todennus ja valitsemalla itse varmenteen.
Lisäksi sinun on muutettava todennusmenetelmää sivuston asetuksissa.
Huomaan, että IPsec-tunneleiden määrä riippuu käyttöönotetun Edge Gatewayn koosta (lue tästä ensimmäinen artikkeli).
SSL VPN
SSL VPN-Plus on yksi Remote Access VPN -vaihtoehdoista. Sen avulla yksittäiset etäkäyttäjät voivat muodostaa turvallisen yhteyden yksityisiin verkkoihin NSX Edge Gatewayn takana. Asiakkaan (Windows, Linux, Mac) ja NSX Edgen välille muodostetaan salattu tunneli SSL VPN-plus:n tapauksessa.
Aloitetaan määrittäminen. Siirry Edge Gateway -palvelun ohjauspaneelissa SSL VPN-Plus -välilehteen ja sitten Palvelinasetukset. Valitsemme osoitteen ja portin, jolla palvelin kuuntelee saapuvia yhteyksiä, sallimme kirjaamisen ja valitsemme tarvittavat salausalgoritmit.
Täällä voit myös muuttaa palvelimen käyttämää varmennetta.
Kun kaikki on valmis, käynnistä palvelin ja älä unohda tallentaa asetuksia.
Seuraavaksi meidän on määritettävä osoitteiden joukko, jonka annamme asiakkaille yhteyden yhteydessä. Tämä verkko on erillinen NSX-ympäristösi olemassa olevista aliverkoista, eikä sitä tarvitse määrittää muissa fyysisten verkkojen laitteissa, lukuun ottamatta siihen osoittavia reittejä.
Siirry IP Pools -välilehdelle ja napsauta +.
Valitse osoitteet, aliverkon peite ja yhdyskäytävä. Täällä voit myös muuttaa DNS- ja WINS-palvelimien asetuksia.
Tuloksena oleva allas.
Lisätään nyt verkot, joihin VPN:ään yhdistävillä käyttäjillä on pääsy. Siirry Yksityiset verkot -välilehteen ja napsauta +.
Täytämme:
Verkko - paikallinen verkko, johon etäkäyttäjillä on pääsy.
Lähetä liikennettä, sillä on kaksi vaihtoehtoa:
- tunnelin yli - lähettää liikennettä verkkoon tunnelin kautta,
— ohittaa tunnelin—lähetä liikennettä verkkoon suoraan ohittaen tunnelin.
Ota TCP-optimointi käyttöön - tarkista, valitsitko tunnelin yli -vaihtoehdon. Kun optimointi on käytössä, voit määrittää porttinumerot, joille haluat optimoida liikenteen. Tietyn verkon muiden porttien liikennettä ei optimoida. Jos porttinumeroita ei ole määritetty, kaikkien porttien liikenne optimoidaan. Lue lisää tästä ominaisuudesta täällä.
Siirry seuraavaksi Todennus-välilehteen ja napsauta +. Käytämme todentamiseen paikallista palvelinta itse NSX Edgessä.
Täällä voimme valita käytäntöjä uusien salasanojen luomiseksi ja määrittää asetukset käyttäjätilien estoon (esimerkiksi uudelleenyritysten lukumäärän, jos salasana on syötetty väärin).
Koska käytämme paikallista todennusta, meidän on luotava käyttäjiä.
Perusasioiden, kuten nimen ja salasanan, lisäksi täällä voit esimerkiksi estää käyttäjää vaihtamasta salasanaa tai päinvastoin pakottaa hänet vaihtamaan salasanaa seuraavan sisäänkirjautumisen yhteydessä.
Kun kaikki tarvittavat käyttäjät on lisätty, siirry Asennuspaketit-välilehteen, napsauta + ja luo itse asennusohjelma, jonka etätyöntekijä lataa asennusta varten.
Paina +. Valitse sen palvelimen osoite ja portti, johon asiakas muodostaa yhteyden, sekä alustat, joille haluat luoda asennuspaketin.
Tämän ikkunan alla voit määrittää Windowsin asiakasasetukset. Valita:
käynnistä asiakas kirjautumisen yhteydessä – VPN-asiakasohjelma lisätään etäkoneen käynnistykseen;
luo työpöydän kuvake - luo VPN-asiakaskuvakkeen työpöydälle;
palvelimen suojaussertifikaatin vahvistus - vahvistaa palvelinvarmenteen yhteyden yhteydessä.
Palvelimen asennus on valmis.
Ladataan nyt viimeisessä vaiheessa luomamme asennuspaketti etätietokoneeseen. Palvelinta määritettäessä määritimme sen ulkoisen osoitteen (185.148.83.16) ja portin (445). Juuri tähän osoitteeseen meidän on siirryttävä verkkoselaimeen. Minun tapauksessani on 185.148.83.16: 445.
Valtuutusikkunassa sinun on syötettävä aiemmin luomamme käyttäjätunnukset.
Valtuutuksen jälkeen näemme luettelon luoduista asennuspaketeista, jotka ovat ladattavissa. Olemme luoneet vain yhden - lataamme sen.
Napsauta linkkiä, asiakkaan lataus alkaa.
Pura ladattu arkisto ja suorita asennusohjelma.
Asennuksen jälkeen käynnistä asiakas ja napsauta valtuutusikkunassa Kirjaudu sisään.
Valitse varmenteen vahvistusikkunassa Kyllä.
Annamme aiemmin luodun käyttäjän tunnistetiedot ja näemme, että yhteys on valmis.
Windowsin komentorivillä (ipconfig / all) näemme, että ylimääräinen virtuaalinen sovitin on ilmestynyt ja että etäverkkoon on yhteys, kaikki toimii:
Ja lopuksi, tarkista Edge Gateway -konsolista.
L2 VPN
L2VPN tarvitaan, kun haluat yhdistää useita maantieteellisesti
hajautetut verkot yhdeksi lähetysalueeksi.
Tästä voi olla hyötyä esimerkiksi siirrettäessä virtuaalikoneen: kun virtuaalikone siirtyy toiselle maantieteelliselle alueelle, kone säilyttää IP-osoiteasetukset eikä menetä yhteyttä muihin koneisiin, jotka sijaitsevat sen kanssa samassa L2-toimialueessa.
Testiympäristössämme yhdistämme kaksi sivustoa toisiinsa, kutsumme niitä vastaavasti A ja B. Meillä on kaksi NSX:ää ja kaksi identtisesti luotua reititettyä verkkoa liitettyinä eri Edgeen. Koneen A osoite on 10.10.10.250/24, koneen B osoite 10.10.10.2/24.
Siirry vCloud Directorissa Hallinta-välilehdelle, valitse tarvitsemamme VDC, siirry Org VDC Networks -välilehteen ja lisää kaksi uutta verkkoa.
Valitse reititetty verkkotyyppi ja liitä tämä verkko NSX:ään. Laitamme valintaruudun Luo aliliittymäksi.
Tuloksena meidän pitäisi saada kaksi verkkoa. Esimerkissämme niitä kutsutaan verkko-a ja verkko-b, joilla on samat yhdyskäytävän asetukset ja sama maski.
Siirrytään nyt ensimmäisen NSX:n asetuksiin. Tämä on NSX, johon verkko A on liitetty. Se toimii palvelimena.
Palaamme NSx Edge -liittymään / Siirry VPN-välilehteen -> L2VPN. Kytkemme L2VPN päälle, valitsemme Palvelimen toimintatilan, Palvelimen globaaleissa asetuksissa määritämme ulkoisen NSX IP-osoitteen, jota tunnelin portti kuuntelee. Oletusarvoisesti socket avautuu porttiin 443, mutta tätä voidaan muuttaa. Älä unohda valita tulevan tunnelin salausasetuksia.
Siirry Palvelinsivustot-välilehteen ja lisää vertaiskäyttäjä.
Kytkemme vertaisverkkoon, asetamme nimen, kuvauksen, asetamme tarvittaessa käyttäjätunnuksen ja salasanan. Tarvitsemme näitä tietoja myöhemmin asiakassivustoa määritettäessä.
Kohdassa Egress Optimization Gateway Address asetetaan yhdyskäytävän osoite. Tämä on välttämätöntä, jotta IP-osoitteiden ristiriitaa ei synny, koska verkkojemme yhdyskäytävällä on sama osoite. Napsauta sitten VALITSE ALILIITTYMÄT -painiketta.
Näemme, että juuri luotu asiakassivusto on ilmestynyt asetuksiin.
Siirrytään nyt NSX:n konfigurointiin asiakaspuolelta.
Siirrymme NSX-puolelle B, mene VPN -> L2VPN, ota L2VPN käyttöön, aseta L2VPN-tila asiakastilaan. Aseta Client Global -välilehdellä NSX A:n osoite ja portti, jotka määritimme aiemmin Listening IP ja Portiksi palvelimen puolella. On myös tarpeen asettaa samat salausasetukset, jotta ne ovat yhdenmukaisia tunnelia nostettaessa.
Selaamme alla, valitse alirajapinta, jonka kautta tunneli L2VPN:lle rakennetaan.
Kohdassa Egress Optimization Gateway Address asetetaan yhdyskäytävän osoite. Aseta käyttäjätunnus ja salasana. Valitsemme aliliittymän ja älä unohda tallentaa asetuksia.
Itse asiassa siinä kaikki. Asiakas- ja palvelinpuolen asetukset ovat muutamaa vivahdetta lukuun ottamatta lähes identtiset.
Nyt voimme nähdä, että tunnelimme on toiminut siirtymällä kohtaan Tilastot -> L2VPN millä tahansa NSX:llä.
Jos nyt siirrymme minkä tahansa Edge Gatewayn konsoliin, näemme jokaisessa niistä arp-taulukossa molempien virtuaalikoneiden osoitteet.
Siinä kaikki NSX Edgen VPN:stä. Kysy jos jokin jäi epäselväksi. Se on myös viimeinen osa NSX Edgen kanssa työskentelemistä käsittelevään artikkelisarjaan. Toivottavasti heistä oli apua 🙂