VMware NSX pour les plus petits. Partie 6 : Configuration VPN

Première partie Introduction
Deuxième partie. Configuration des règles de pare-feu et NAT
Partie trois. Configuration de DHCP
Quatrième partie. Configuration du routage
Cinquième partie. Mise en place d'un équilibreur de charge

Aujourd'hui, nous allons examiner les options de configuration VPN que NSX Edge nous propose.

En général, nous pouvons diviser les technologies VPN en deux types clés :

• VPN de site à site. L'utilisation la plus courante d'IPSec consiste à créer un tunnel sécurisé, par exemple, entre un réseau de bureau principal et un réseau sur un site distant ou dans le cloud.
• VPN d'accès à distance. Utilisé pour connecter des utilisateurs individuels à des réseaux privés d'entreprise à l'aide du logiciel client VPN.

NSX Edge nous permet d'utiliser les deux options.
Nous allons configurer à l'aide d'un banc de test avec deux NSX Edge, un serveur Linux avec un démon installé raton laveur et un ordinateur portable Windows pour tester le VPN d'accès à distance.

IPsec

1. Dans l'interface de vCloud Director, accédez à la section Administration et sélectionnez le vDC. Dans l'onglet Passerelles Edge, sélectionnez l'Edge dont nous avons besoin, cliquez avec le bouton droit et sélectionnez Services de passerelle Edge.
   
2. Dans l'interface NSX Edge, accédez à l'onglet VPN VPN-IPsec, puis à la section Sites VPN IPsec et cliquez sur + pour ajouter un nouveau site.

   

3. Remplissez les champs obligatoires :
   • Activé – active le site distant.
   • PFS – garantit que chaque nouvelle clé cryptographique n'est associée à aucune clé précédente.
   • ID local et point de terminaison localt est l'adresse externe de NSX Edge.
   • Sous-réseau locals - réseaux locaux qui utiliseront le VPN IPsec.
   • ID de pair et point de terminaison de pair – adresse du site distant.
   • Sous-réseaux homologues – les réseaux qui utiliseront le VPN IPsec du côté distant.
   • Algorithme de chiffrement – algorithme de chiffrement tunnel.

   
   

   • Authentification - comment nous authentifierons le pair. Vous pouvez utiliser une clé pré-partagée ou un certificat.
   • Clé Pré-Partagée - spécifiez la clé qui sera utilisée pour l'authentification et qui doit correspondre des deux côtés.
   • Groupe Diffie Hellman – algorithme d'échange de clés.

   Après avoir rempli les champs obligatoires, cliquez sur Conserver.

   

4. Terminé.

   

5. Après avoir ajouté le site, accédez à l'onglet Statut d'activation et activez le service IPsec.

   

6. Une fois les paramètres appliqués, accédez à l'onglet Statistiques -> VPN IPsec et vérifiez l'état du tunnel. On voit que le tunnel s'est élevé.

   

7. Vérifiez l'état du tunnel depuis la console de la passerelle Edge :
   • show service ipsec - vérifier l'état du service.

     

   • show service ipsec site - Informations sur l'état du site et paramètres négociés.

     

   • show service ipsec sa - vérifie l'état de l'association de sécurité (SA).

     

8. Vérification de la connectivité avec un site distant :

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Fichiers de configuration et commandes supplémentaires pour les diagnostics depuis un serveur Linux distant :

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Tout est prêt, le VPN IPsec site à site est opérationnel.

   Dans cet exemple, nous avons utilisé PSK pour l'authentification par les pairs, mais l'authentification par certificat est également possible. Pour ce faire, accédez à l'onglet Configuration globale, activez l'authentification par certificat et sélectionnez le certificat lui-même.

   De plus, dans les paramètres du site, vous devrez changer la méthode d'authentification.

   
   
   
   
   Je note que le nombre de tunnels IPsec dépend de la taille de la passerelle Edge déployée (lire à ce sujet dans notre premier article).

   

VPN SSL

SSL VPN-Plus est l'une des options VPN d'accès à distance. Il permet aux utilisateurs distants individuels de se connecter en toute sécurité à des réseaux privés derrière la passerelle NSX Edge Gateway. Un tunnel chiffré dans le cas de SSL VPN-plus est établi entre le client (Windows, Linux, Mac) et NSX Edge.

1. Commençons la mise en place. Dans le panneau de configuration du service Edge Gateway, accédez à l'onglet SSL VPN-Plus, puis à Paramètres du serveur. Nous sélectionnons l'adresse et le port sur lesquels le serveur écoutera les connexions entrantes, activerons la journalisation et sélectionnerons les algorithmes de chiffrement nécessaires.

   
   
   Ici, vous pouvez également modifier le certificat que le serveur utilisera.

   

2. Une fois que tout est prêt, allumez le serveur et n'oubliez pas d'enregistrer les paramètres.

   

3. Ensuite, nous devons mettre en place un pool d'adresses que nous attribuerons aux clients lors de la connexion. Ce réseau est distinct de tout sous-réseau existant dans votre environnement NSX et n'a pas besoin d'être configuré sur d'autres appareils sur les réseaux physiques, à l'exception des routes qui y pointent.

   Accédez à l'onglet IP Pools et cliquez sur +.

   

4. Sélectionnez les adresses, le masque de sous-réseau et la passerelle. Ici, vous pouvez également modifier les paramètres des serveurs DNS et WINS.

   

5. La piscine résultante.

   

6. Ajoutons maintenant les réseaux auxquels les utilisateurs se connectant au VPN auront accès. Accédez à l'onglet Réseaux privés et cliquez sur +.

   

7. Nous remplissons :
   • Réseau - un réseau local auquel les utilisateurs distants auront accès.
   • Envoyer du trafic, il a deux options :
     - over tunnel - envoie le trafic vers le réseau via le tunnel,
     — tunnel de contournement—envoie le trafic vers le réseau en contournant directement le tunnel.
   • Activer l'optimisation TCP - vérifiez si vous avez choisi l'option sur tunnel. Lorsque l'optimisation est activée, vous pouvez spécifier les numéros de port pour lesquels vous souhaitez optimiser le trafic. Le trafic des ports restants sur ce réseau particulier ne sera pas optimisé. Si aucun numéro de port n'est spécifié, le trafic de tous les ports est optimisé. En savoir plus sur cette fonctionnalité ici.

   

8. Ensuite, allez dans l'onglet Authentification et cliquez sur +. Pour l'authentification, nous utiliserons un serveur local sur le NSX Edge lui-même.

   

9. Ici, nous pouvons sélectionner des politiques pour générer de nouveaux mots de passe et configurer des options pour bloquer les comptes d'utilisateurs (par exemple, le nombre de tentatives si le mot de passe est mal saisi).

   
   
   

10. Puisque nous utilisons l'authentification locale, nous devons créer des utilisateurs.

    

11. En plus des éléments de base comme un nom et un mot de passe, vous pouvez ici, par exemple, interdire à l'utilisateur de changer de mot de passe ou, au contraire, l'obliger à changer de mot de passe lors de sa prochaine connexion.

    

12. Une fois que tous les utilisateurs nécessaires ont été ajoutés, accédez à l'onglet Packages d'installation, cliquez sur + et créez le programme d'installation lui-même, qui sera téléchargé par un employé distant pour l'installation.

    

13. Appuyez sur +. Sélectionnez l'adresse et le port du serveur auquel le client se connectera, ainsi que les plates-formes pour lesquelles vous souhaitez générer le package d'installation.

    
    
    Ci-dessous dans cette fenêtre, vous pouvez spécifier les paramètres du client pour Windows. Choisir:

    • démarrer le client à la connexion - le client VPN sera ajouté au démarrage sur la machine distante ;
    • créer une icône sur le bureau - créera une icône de client VPN sur le bureau ;
    • validation du certificat de sécurité du serveur - validera le certificat du serveur lors de la connexion.
      La configuration du serveur est terminée.

    

14. Téléchargeons maintenant le package d'installation que nous avons créé à la dernière étape sur un PC distant. Lors de la configuration du serveur, nous avons spécifié son adresse externe (185.148.83.16) et son port (445). C'est à cette adresse qu'il faut aller dans un navigateur web. Dans mon cas c'est 185.148.83.16: 445.

    Dans la fenêtre d'autorisation, vous devez entrer les informations d'identification de l'utilisateur que nous avons créées précédemment.

    

15. Après autorisation, nous voyons une liste des packages d'installation créés disponibles au téléchargement. Nous n'en avons créé qu'un - nous le téléchargerons.

    

16. Nous cliquons sur le lien, le téléchargement du client commence.

    

17. Décompressez l'archive téléchargée et exécutez le programme d'installation.

    

18. Après l'installation, lancez le client, dans la fenêtre d'autorisation, cliquez sur Connexion.

    

19. Dans la fenêtre de vérification du certificat, sélectionnez Oui.

    

20. Nous entrons les informations d'identification de l'utilisateur précédemment créé et constatons que la connexion s'est terminée avec succès.

    
    
    

21. Nous vérifions les statistiques du client VPN sur l'ordinateur local.

    
    
    

22. Dans la ligne de commande de Windows (ipconfig/all), on voit qu'un adaptateur virtuel supplémentaire est apparu et qu'il y a une connectivité au réseau distant, tout fonctionne :

    
    
    

23. Et enfin, vérifiez depuis la console Edge Gateway.

    

VPN L2

L2VPN sera nécessaire lorsque vous avez besoin de combiner plusieurs géographiquement
réseaux distribués dans un domaine de diffusion.

Cela peut être utile, par exemple, lors de la migration d'une machine virtuelle : lorsqu'une VM se déplace vers une autre zone géographique, la machine conservera ses paramètres d'adressage IP et ne perdra pas la connectivité avec les autres machines situées dans le même domaine L2 avec elle.

Dans notre environnement de test, nous allons connecter deux sites l'un à l'autre, nous les appellerons respectivement A et B. Nous avons deux NSX et deux réseaux routés créés de manière identique attachés à différents Edges. La machine A a l'adresse 10.10.10.250/24, la machine B a l'adresse 10.10.10.2/24.

1. Dans vCloud Director, accédez à l'onglet Administration, accédez au VDC dont nous avons besoin, accédez à l'onglet Org VDC Networks et ajoutez deux nouveaux réseaux.

   

2. Sélectionnez le type de réseau routé et liez ce réseau à notre NSX. Nous avons mis la case à cocher Créer comme sous-interface.

   

3. En conséquence, nous devrions obtenir deux réseaux. Dans notre exemple, ils sont appelés réseau-a et réseau-b avec les mêmes paramètres de passerelle et le même masque.

   
   
   

4. Passons maintenant aux réglages de la première NSX. Il s'agira de la NSX à laquelle est attaché le réseau A. Il agira en tant que serveur.

   On revient sur l'interface NSx Edge / Allez dans l'onglet VPN -> L2VPN. Nous activons L2VPN, sélectionnons le mode de fonctionnement du serveur, dans les paramètres globaux du serveur, nous spécifions l'adresse IP NSX externe sur laquelle le port du tunnel écoutera. Par défaut, le socket s'ouvrira sur le port 443, mais cela peut être modifié. N'oubliez pas de sélectionner les paramètres de cryptage pour le futur tunnel.

   

5. Accédez à l'onglet Sites de serveur et ajoutez un pair.

   

6. Nous allumons le pair, définissons le nom, la description, si nécessaire, définissons le nom d'utilisateur et le mot de passe. Nous aurons besoin de ces données ultérieurement lors de la configuration du site client.

   Dans Egress Optimization Gateway Address, nous définissons l'adresse de la passerelle. Ceci est nécessaire pour qu'il n'y ait pas de conflit d'adresses IP, car la passerelle de nos réseaux a la même adresse. Cliquez ensuite sur le bouton SÉLECTIONNER LES SOUS-INTERFACES.

   

7. Ici, nous sélectionnons la sous-interface souhaitée. Nous enregistrons les paramètres.

   

8. Nous voyons que le site client nouvellement créé est apparu dans les paramètres.

   

9. Passons maintenant à la configuration de NSX côté client.

   Nous allons au côté B de NSX, allons à VPN -> L2VPN, activons L2VPN, réglons le mode L2VPN sur le mode client. Dans l'onglet Client Global, définissez l'adresse et le port de NSX A, que nous avons spécifiés précédemment comme IP d'écoute et port côté serveur. Il est également nécessaire de définir les mêmes paramètres de chiffrement afin qu'ils soient cohérents lors de la montée du tunnel.

   
   
   Nous faisons défiler ci-dessous, sélectionnons la sous-interface à travers laquelle le tunnel pour L2VPN sera construit.
   Dans Egress Optimization Gateway Address, nous définissons l'adresse de la passerelle. Définissez l'ID utilisateur et le mot de passe. Nous sélectionnons la sous-interface et n'oublions pas de sauvegarder les paramètres.

   

10. En fait, c'est tout. Les réglages côté client et côté serveur sont quasiment identiques, à l'exception de quelques nuances.
11. Nous pouvons maintenant voir que notre tunnel a fonctionné en allant dans Statistiques -> L2VPN sur n'importe quel NSX.

    

12. Si nous allons maintenant sur la console de n'importe quelle passerelle Edge, nous verrons sur chacune d'elles dans la table arp les adresses des deux VM.

    

C'est tout à propos de VPN sur NSX Edge. Demandez si quelque chose n'est pas clair. Il s'agit également de la dernière partie d'une série d'articles sur l'utilisation de NSX Edge. Nous espérons qu'ils vous ont été utiles 🙂

Source: habr.com