VMware NSX foar de lytsen. Diel 6: VPN Setup

Diel ien. ynliedend
Diel twa. Konfigurearje Firewall en NAT regels
Diel trije. DHCP konfigurearje
Diel fjouwer. Routing opset
Diel fiif. It ynstellen fan in load balancer

Hjoed sille wy de VPN-konfiguraasjeopsjes besjen dy't NSX Edge ús biedt.

Yn 't algemien kinne wy ​​VPN-technologyen ferdiele yn twa wichtige soarten:

• Site-to-site VPN. It meast foarkommende gebrûk fan IPSec is om in feilige tunnel te meitsjen, bygelyks tusken in haadkantoarnetwurk en in netwurk op in side op ôfstân of yn 'e wolk.
• VPN op ôfstân tagong. Wurdt brûkt om yndividuele brûkers te ferbinen mei bedriuwsprivee netwurken mei de VPN-kliïntsoftware.

NSX Edge lit ús beide opsjes brûke.
Wy sille konfigurearje mei in testbank mei twa NSX Edge, in Linux-tsjinner mei in ynstalleare daemon wasbeer en in Windows-laptop om VPN op ôfstân te testen.

IPsec

1. Gean yn 'e vCloud Director-ynterface nei de seksje Administration en selektearje de vDC. Selektearje op it ljepblêd Edge Gateways de Edge dy't wy nedich binne, klikje mei de rechtermuisknop en selektearje Edge Gateway Services.
   
2. Gean yn 'e NSX Edge-ynterface nei it ljepblêd VPN-IPsec VPN, dan nei de seksje IPsec VPN-siden en klikje op + om in nije side ta te foegjen.

   

3. Folje de fereaske fjilden yn:
   • Mooglik meitsje - aktivearret de side op ôfstân.
   • PFS - soarget derfoar dat elke nije kryptografyske kaai net is assosjearre mei in foarige kaai.
   • Lokale ID en lokaal einpuntt is it eksterne adres fan 'e NSX Edge.
   • lokale subnets - lokale netwurken dy't IPsec VPN sille brûke.
   • Peer ID en Peer Endpoint - adres fan 'e side op ôfstân.
   • Peer subnets - netwurken dy't IPsec VPN sille brûke op 'e ôfstân.
   • Fersiferingsalgoritme - Algoritme foar tunnelfersifering.

   
   

   • ferifikaasje - hoe't wy de peer sille authentisearje. Jo kinne in pre-dielde kaai of in sertifikaat brûke.
   • loper - spesifisearje de kaai dy't sil wurde brûkt foar autentikaasje en moat oerienkomme oan beide kanten.
   • Diffie Hellman Group - kaai útwikseling algoritme.

   Nei it ynfoljen fan de fereaske fjilden, klikje op Keep.

   

4. Done.

   

5. Nei it tafoegjen fan de side, gean nei it ljepblêd Aktivaasjestatus en aktivearje de IPsec-tsjinst.

   

6. Nei't de ynstellings tapast binne, gean nei it ljepblêd Statistyk -> IPsec VPN en kontrolearje de status fan 'e tunnel. Wy sjogge dat de tunnel opstien is.

   

7. Kontrolearje de tunnelstatus fan 'e Edge-gateway-konsole:
   • show service ipsec - kontrolearje de status fan 'e tsjinst.

     

   • show service ipsec site - Ynformaasje oer de steat fan de side en ûnderhannele parameters.

     

   • show service ipsec sa - kontrolearje de status fan de Security Association (SA).

     

8. Kontrolearje ferbining mei in side op ôfstân:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Konfiguraasjebestannen en ekstra kommando's foar diagnostyk fan in Linux-tsjinner op ôfstân:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Alles is klear, site-to-site IPsec VPN is op en rint.

   Yn dit foarbyld hawwe wy PSK brûkt foar peer-autentikaasje, mar sertifikaatferifikaasje is ek mooglik. Om dit te dwaan, gean nei it ljepblêd Globale konfiguraasje, ynskeakelje sertifikaatferifikaasje en selektearje it sertifikaat sels.

   Derneist, yn 'e side-ynstellingen, moatte jo de autentikaasjemetoade feroarje.

   
   
   
   
   Ik merk op dat it oantal IPsec-tunnels hinget ôf fan 'e grutte fan' e ynset Edge Gateway (lês hjiroer yn ús earste artikel).

   

SSL VPN

SSL VPN-Plus is ien fan 'e VPN-opsjes op ôfstân tagong. It lit yndividuele brûkers op ôfstân feilich ferbine mei privee netwurken efter de NSX Edge Gateway. In fersifere tunnel yn it gefal fan SSL VPN-plus wurdt oprjochte tusken de kliïnt (Windows, Linux, Mac) en NSX Edge.

1. Litte wy begjinne mei it ynstellen. Gean yn it Edge Gateway-tsjinstkontrôlepaniel nei it ljepblêd SSL VPN-Plus, dan nei Serverynstellingen. Wy selektearje it adres en de poarte wêrop de tsjinner nei ynkommende ferbiningen harket, logging ynskeakelje en de nedige fersiferingsalgoritmen selektearje.

   
   
   Hjir kinne jo ek it sertifikaat feroarje dat de tsjinner sil brûke.

   

2. Nei't alles klear is, skeakelje de tsjinner oan en ferjit net de ynstellings op te slaan.

   

3. Dêrnei moatte wy in pool fan adressen ynstelle dy't wy sille útjaan oan kliïnten by ferbining. Dit netwurk is apart fan alle besteande subnet yn jo NSX-omjouwing en hoecht net te konfigureare op oare apparaten op 'e fysike netwurken, útsein foar de rûtes dy't derop wize.

   Gean nei it ljepblêd IP Pools en klikje op +.

   

4. Selektearje adressen, subnetmasker en gateway. Hjir kinne jo ek de ynstellings feroarje foar DNS- en WINS-tsjinners.

   

5. De resultearjende pool.

   

6. Litte wy no de netwurken tafoegje wêrmei brûkers dy't ferbine mei de VPN tagong hawwe ta. Gean nei it ljepblêd Privee netwurken en klikje op +.

   

7. Wy folje yn:
   • Netwurk - in lokaal netwurk dêr't brûkers op ôfstân tagong sille hawwe.
   • Ferkear stjoere, it hat twa opsjes:
     - oer tunnel - stjoer ferkear nei it netwurk fia de tunnel,
     - bypass tunnel - stjoer ferkear direkt nei it netwurk troch de tunnel te omgean.
   • TCP-optimalisaasje ynskeakelje - kontrolearje as jo de opsje oer tunnel hawwe keazen. As optimisaasje ynskeakele is, kinne jo de poartenûmers opjaan wêrfoar jo ferkear optimisearje wolle. Ferkear foar de oerbleaune havens op dat bepaalde netwurk sil net wurde optimalisearre. As gjin havennûmers binne oantsjutte, wurdt ferkear foar alle havens optimalisearre. Lês mear oer dizze funksje hjir.

   

8. Gean dan nei it ljepblêd Autentikaasje en klikje op +. Foar autentikaasje sille wy in lokale server brûke op 'e NSX Edge sels.

   

9. Hjir kinne wy ​​​​belied selektearje foar it generearjen fan nije wachtwurden en opsjes konfigurearje foar it blokkearjen fan brûkersakkounts (bygelyks it oantal opnij besykjen as it wachtwurd ferkeard ynfierd is).

   
   
   

10. Om't wy lokale autentikaasje brûke, moatte wy brûkers oanmeitsje.

    

11. Neist basissaken lykas in namme en wachtwurd kinne jo hjir bygelyks de brûker ferbiede om it wachtwurd te wizigjen of, oarsom, him twinge om it wachtwurd te feroarjen de folgjende kear dat hy ynlogt.

    

12. Nei't alle nedige brûkers binne tafoege, gean nei it ljepblêd Ynstallaasjepakketten, klikje op + en meitsje it ynstallearder sels oan, dat sil wurde downloade troch in meiwurker op ôfstân foar ynstallaasje.

    

13. Druk op +. Selektearje it adres en de poarte fan 'e tsjinner wêrmei de kliïnt ferbine sil, en de platfoarms wêrfoar jo it ynstallaasjepakket wolle generearje.

    
    
    Hjirûnder yn dit finster kinne jo de kliïntynstellingen foar Windows opjaan. Kieze:

    • start kliïnt by oanmelding - de VPN-kliïnt sil wurde tafoege oan it opstarten op 'e masine op ôfstân;
    • meitsje buroblêd byldkaike - sil meitsje in VPN client ikoan op it buroblêd;
    • Validaasje fan serverfeiligenssertifikaat - sil it serversertifikaat falidearje by ferbining.
      Server opset is klear.

    

14. Litte wy no it ynstallaasjepakket downloade dat wy yn 'e lêste stap makke hawwe nei in PC op ôfstân. By it ynstellen fan de tsjinner hawwe wy it eksterne adres (185.148.83.16) en poarte (445) oanjûn. It is op dit adres dat wy moatte gean yn in webblêder. Yn myn gefal is it 185.148.83.16: 445.

    Yn it autorisaasjefinster moatte jo de brûkersbewizen ynfiere dy't wy earder makke hawwe.

    

15. Nei autorisaasje sjogge wy in list mei oanmakke ynstallaasjepakketten beskikber foar download. Wy hawwe mar ien makke - wy sille it downloade.

    

16. Wy klikke op de keppeling, de download fan 'e kliïnt begjint.

    

17. Pake it ynladen argyf út en fier it ynstallearder út.

    

18. Nei ynstallaasje, start de kliïnt, yn it autorisaasjefinster, klikje op Oanmelde.

    

19. Selektearje yn it finster fan sertifikaatferifikaasje Ja.

    

20. Wy ynfiere de bewiisbrieven foar de earder oanmakke brûker en sjogge dat de ferbining mei súkses foltôge is.

    
    
    

21. Wy kontrolearje de statistiken fan 'e VPN-kliïnt op' e lokale kompjûter.

    
    
    

22. Yn 'e Windows kommandorigel (ipconfig / all), sjogge wy dat in ekstra firtuele adapter is ferskynd en d'r is ferbining mei it eksterne netwurk, alles wurket:

    
    
    

23. En as lêste, kontrolearje fan 'e Edge Gateway-konsole.

    

L2 VPN

L2VPN sil nedich wêze as jo ferskate geografysk moatte kombinearje
ferdielde netwurken yn ien útstjoerdomein.

Dit kin bygelyks nuttich wêze by it migrearjen fan in firtuele masine: as in VM nei in oar geografysk gebiet ferpleatst, sil de masine syn IP-adresynstellingen behâlde en de ferbining net ferlieze mei oare masines dy't yn itselde L2-domein dêrmei lizze.

Yn ús testomjouwing sille wy twa siden oan elkoar ferbine, wy sille se respektivelik A en B. Wy hawwe twa NSX's en twa identike oanmakke rûte netwurken ferbûn oan ferskate Edges. Machine A hat it adres 10.10.10.250/24, Machine B hat it adres 10.10.10.2/24.

1. Gean yn vCloud Director nei it ljepblêd Administration, gean nei de VDC dy't wy nedich binne, gean nei it ljepblêd Org VDC Networks en foegje twa nije netwurken ta.

   

2. Selektearje it routed netwurktype en bine dit netwurk oan ús NSX. Wy sette it karfakje Meitsje as subinterface.

   

3. As gefolch moatte wy twa netwurken krije. Yn ús foarbyld wurde se netwurk-a en netwurk-b neamd mei deselde gateway-ynstellingen en itselde masker.

   
   
   

4. Litte wy no gean nei de ynstellingen fan 'e earste NSX. Dit sil de NSX wêze dêr't Netwurk A oan ferbûn is. It sil fungearje as in tsjinner.

   Wy geane werom nei de NSx Edge-ynterface / Gean nei de VPN-ljepper -> L2VPN. Wy skeakelje L2VPN yn, selektearje de tsjinner operaasje modus, yn 'e Server Global ynstellings spesifisearje wy it eksterne NSX IP-adres wêrop de haven foar de tunnel sil harkje. Standert sil de socket iepenje op poarte 443, mar dit kin feroare wurde. Ferjit net de fersiferingsynstellingen te selektearjen foar de takomstige tunnel.

   

5. Gean nei it ljepblêd Server Sites en foegje in peer ta.

   

6. Wy skeakelje de peer yn, set de namme, beskriuwing yn, as it nedich is, set de brûkersnamme en wachtwurd yn. Wy sille dizze gegevens letter nedich hawwe by it ynstellen fan de kliïntside.

   Yn Egress Optimization Gateway Address sette wy it gatewayadres yn. Dit is nedich sadat der gjin konflikt fan IP-adressen is, om't de poarte fan ús netwurken itselde adres hat. Klikje dan op de SELECT SUB-INTERFACES knop.

   

7. Hjir selektearje wy de winske subinterface. Wy bewarje de ynstellings.

   

8. Wy sjogge dat de nij oanmakke klantside is ferskynd yn 'e ynstellings.

   

9. Litte wy no trochgean mei it konfigurearjen fan NSX fan 'e kliïntkant.

   Wy geane nei NSX side B, gean nei VPN -> L2VPN, ynskeakelje L2VPN, set L2VPN modus yn client modus. Stel op it ljepblêd Client Global it adres en de haven fan NSX A yn, dy't wy earder spesifisearre hawwe as Listening IP en Port op 'e serverkant. It is ek nedich om deselde fersiferingsynstellingen yn te stellen sadat se konsekwint binne as de tunnel opheft wurdt.

   
   
   Wy rôlje hjirûnder, selektearje de subinterface wêrmei de tunnel foar L2VPN sil wurde boud.
   Yn Egress Optimization Gateway Address sette wy it gatewayadres yn. Stel brûkers-id en wachtwurd yn. Wy selektearje de subinterface en ferjit net de ynstellings op te slaan.

   

10. Eins is dat alles. De ynstellings fan de client en server side binne hast identyk, mei útsûndering fan in pear nuânses.
11. No kinne wy ​​sjen dat ús tunnel wurke hat troch te gean nei Statistyk -> L2VPN op elke NSX.

    

12. As wy no nei de konsole fan elke Edge Gateway gean, sille wy op elk fan har yn 'e arp-tabel de adressen fan beide VM's sjen.

    

Dat is alles oer VPN op NSX Edge. Freegje as der wat ûndúdlik is. It is ek it lêste diel fan in searje artikels oer wurkjen mei NSX Edge. Wy hoopje dat se wiene behelpsum 🙂

Boarne: www.habr.com