VMware NSX do na cinn beag. Cuid 6: Socrú VPN

Cuid a haon. tosaigh
Cuid a dó. Rialacha Balla Dóiteáin agus NAT a chumrú
Cuid a trí. DHCP á chumrú
Cuid a ceathair. Socrú ródaithe
Cuid a cúig. Cothromóir ualaigh a shocrú

Inniu beimid ag féachaint ar na roghanna cumraíochta VPN a thairgeann NSX Edge dúinn.

Go ginearálta, is féidir linn teicneolaíochtaí VPN a roinnt ina dhá phríomhchineál:

• VPN suíomh-go-suíomh. Is é an úsáid is coitianta a bhaineann le IPSec ná tollán slán a chruthú, mar shampla, idir líonra príomhoifige agus líonra ag láithreán cianda nó sa scamall.
• VPN rochtain iargúlta. Úsáidtear é chun úsáideoirí aonair a nascadh le líonraí príobháideacha corparáideacha ag baint úsáide as bogearraí cliant VPN.

Ligeann NSX Edge dúinn an dá rogha a úsáid.
Déanfaimid a chumrú ag baint úsáide as binse tástála le dhá NSX Edge, freastalaí Linux le deamhan suiteáilte racoon agus ríomhaire glúine Windows chun VPN Rochtana Cianda a thástáil.

IPsec

1. Sa chomhéadan vCloud Director, téigh go dtí an rannóg Riaracháin agus roghnaigh an vDC. Ar an táb Geataí Edge, roghnaigh an Imeall atá uait, cliceáil ar dheis agus roghnaigh Seirbhísí Geata Edge.
   
2. I gcomhéadan NSX Edge, téigh go dtí an cluaisín VPN-IPsec VPN, ansin chuig an rannóg Láithreáin IPsec VPN agus cliceáil + chun suíomh nua a chur leis.

   

3. Líon isteach na réimsí riachtanacha:
   • Cumasaithe – gníomhaíonn sé an suíomh cianda.
   • PFS – áirithíonn sé nach bhfuil baint ag gach eochair chripteagrafach nua le haon eochair roimhe seo.
   • Aitheantas Áitiúil agus Críochphointe ÁitiúilIs é t seoladh seachtrach an NSX Edge.
   • Folíon Áitiúils - líonraí áitiúla a úsáidfidh IPsec VPN.
   • Aitheantas Piara agus Críochphointe Piaraí – seoladh an láithreáin chianda.
   • Subnets piaraí – líonraí a úsáidfidh IPsec VPN ar an taobh cianda.
   • Algartam Criptithe – algartam criptithe tolláin.

   
   

   • Fíordheimhniú - conas a dhéanfaimid an piara a fhíordheimhniú. Is féidir leat Eochair Réamhroinnte nó teastas a úsáid.
   • Eochair Réamh-Roinnte - sonraigh an eochair a úsáidfear le haghaidh fíordheimhnithe agus ní mór a mheaitseáil ar an dá thaobh.
   • Grúpa Diffie Hellman – algartam malartaithe eochrach.

   Tar éis duit na réimsí riachtanacha a líonadh, cliceáil Coinnigh.

   

4. Arna dhéanamh.

   

5. Tar éis duit an suíomh a chur leis, téigh go dtí an cluaisín Stádas Gníomhachtaithe agus gníomhaigh an tSeirbhís IPsec.

   

6. Tar éis na socruithe a chur i bhfeidhm, téigh go dtí an táb Staitisticí -> IPsec VPN agus seiceáil stádas an tolláin. Feicimid go bhfuil ardú tagtha ar an tollán.

   

7. Seiceáil stádas an tolláin ó chonsól geata Edge:
   • taispeáin ipsec seirbhíse - seiceáil stádas na seirbhíse.

     

   • suíomh ipsec seirbhíse a thaispeáint - Eolas faoi staid an tsuímh agus paraiméadair idirbheartaithe.

     

   • seirbhís taispeáin ipsec sa - seiceáil stádas an Chumainn Slándála (SA).

     

8. Nascacht le suíomh cianda á seiceáil:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Comhaid chumraíochta agus orduithe breise le haghaidh diagnóisic ó chianfhreastalaí Linux:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Tá gach rud réidh, tá IPsec VPN ó shuíomh go suíomh ar bun agus ag feidhmiú.

   Sa sampla seo, d'úsáideamar PSK le haghaidh fíordheimhnithe piaraí, ach is féidir fíordheimhniú deimhnithe freisin. Chun seo a dhéanamh, téigh go dtí an táb Cumraíochta Domhanda, cumasaigh fíordheimhniú teastais agus roghnaigh an teastas féin.

   Ina theannta sin, i socruithe an tsuímh, beidh ort an modh fíordheimhnithe a athrú.

   
   
   
   
   Tugaim faoi deara go mbraitheann líon na dtollán IPsec ar mhéid an Geata Edge imlonnaithe (léigh faoi seo inár chéad alt).

   

SSL VPN

Tá SSL VPN-Plus ar cheann de na roghanna VPN Cianrochtana. Ligeann sé d'úsáideoirí iargúlta aonair ceangal go daingean le líonraí príobháideacha taobh thiar de Thairseach NSX Edge. Bunaítear tollán criptithe i gcás SSL VPN-plus idir an cliant (Windows, Linux, Mac) agus NSX Edge.

1. A ligean ar tús a chur ar bun. I bpainéal rialaithe seirbhíse Edge Gateway, téigh go dtí an cluaisín SSL VPN-Plus, ansin chuig Socruithe Freastalaí. Roghnóimid an seoladh agus an calafort ar a n-éistfidh an freastalaí le haghaidh naisc isteach, cumasóimid logáil agus roghnóimid na halgartaim criptithe is gá.

   
   
   Anseo is féidir leat an deimhniú a úsáidfidh an freastalaí a athrú freisin.

   

2. Tar éis gach rud a bheith réidh, cas ar an bhfreastalaí agus ná déan dearmad a shábháil ar na socruithe.

   

3. Ansin, ní mór dúinn comhthiomsú seoltaí a chur ar bun a eiseoimid do chliaint nuair a nascfar iad. Tá an líonra seo scartha ó aon fho-líon reatha i do thimpeallacht NSX agus ní gá é a chumrú ar ghléasanna eile ar na líonraí fisiceacha, ach amháin i gcás na mbealaí a dhíríonn air.

   Téigh go dtí an IP Pools táb agus cliceáil +.

   

4. Roghnaigh seoltaí, masc subnet agus geata. Anseo is féidir leat na socruithe do fhreastalaithe DNS agus WINS a athrú freisin.

   

5. An linn snámha mar thoradh air.

   

6. Anois cuirimis na líonraí a mbeidh rochtain ag úsáideoirí a nascann leis an VPN orthu. Téigh go dtí an cluaisín Líonraí Príobháideacha agus cliceáil +.

   

7. Líonaimid isteach:
   • Líonra - líonra áitiúil a mbeidh rochtain ag cianúsáideoirí air.
   • Seol trácht, tá dhá rogha ann:
     - thar thollán - seol trácht chuig an líonra tríd an tollán,
     — seachbhóthar - seol trácht chuig an líonra ag seachaint an tollán go díreach.
   • Cumasaigh TCP Optimization - seiceáil ar roghnaigh tú an rogha ró-thollán. Nuair atá optamú cumasaithe, is féidir leat na huimhreacha calafoirt a bhfuil tú ag iarraidh trácht a bharrfheabhsú a shonrú. Ní dhéanfar an trácht do na calafoirt atá fágtha ar an ngréasán áirithe sin a bharrfheabhsú. Mura sonraítear aon uimhreacha poirt, tá an trácht do gach calafort optamaithe. Léigh tuilleadh faoin ngné seo anseo.

   

8. Ansin, téigh go dtí an cluaisín Fíordheimhnithe agus cliceáil +. Le haghaidh fíordheimhnithe, úsáidfimid freastalaí áitiúil ar an NSX Edge féin.

   

9. Anseo is féidir linn polasaithe a roghnú chun pasfhocail nua a ghiniúint agus roghanna a chumrú chun cuntais úsáideora a bhlocáil (mar shampla, líon na n-aistriailí má chuirtear an focal faire isteach go mícheart).

   
   
   

10. Ós rud é go bhfuilimid ag baint úsáide as fíordheimhniú áitiúil, ní mór dúinn úsáideoirí a chruthú.

    

11. Chomh maith le rudaí bunúsacha cosúil le hainm agus pasfhocal, anseo is féidir leat, mar shampla, cosc ​​​​a chur ar an úsáideoir an focal faire a athrú nó, os a choinne sin, iallach a chur air an focal faire a athrú an chéad uair eile a logálann sé isteach.

    

12. Tar éis na húsáideoirí riachtanacha go léir a chur leis, téigh go dtí an táb Pacáistí Suiteáil, cliceáil + agus cruthaigh an suiteálaí féin, a bheidh le híoslódáil ag fostaí iargúlta le haghaidh a shuiteáil.

    

13. Brúigh +. Roghnaigh seoladh agus calafort an fhreastalaí lena nascfaidh an cliant, agus na hardáin ar mian leat an pacáiste suiteála a ghiniúint dóibh.

    
    
    Anseo thíos sa fhuinneog seo, is féidir leat na socruithe cliant le haghaidh Windows a shonrú. Roghnaigh:

    • tús a chur leis an gcliant ar logáil isteach - cuirfear an cliant VPN leis an am tosaithe ar an gcian-inneall;
    • cruthaigh deilbhín deisce - cruthóidh sé deilbhín cliant VPN ar an deasc;
    • bailíochtú teastas slándála an fhreastalaí - bailíochtóidh sé teastas an fhreastalaí nuair a nascfar é.
      Tá socrú an fhreastalaí críochnaithe.

    

14. Anois déanaimis an pacáiste suiteála a chruthaigh muid sa chéim dheireanach a íoslódáil chuig ríomhaire iargúlta. Agus an freastalaí á bhunú, shonraigh muid a sheoladh seachtrach (185.148.83.16) agus port (445). Is ag an seoladh seo is gá dúinn dul isteach i mbrabhsálaí gréasáin. I mo chás go bhfuil sé 185.148.83.16: 445.

    Sa fhuinneog údaraithe, ní mór duit na dintiúir úsáideora a chruthaigh muid níos luaithe a chur isteach.

    

15. Tar éis údarú, feicimid liosta de na pacáistí suiteála cruthaithe atá ar fáil le híoslódáil. Níl ach ceann amháin cruthaithe againn - íoslódálfaimid é.

    

16. Déanaimid cliceáil ar an nasc, tosaíonn íoslódáil an chliaint.

    

17. Díphacáil an chartlann íoslódáilte agus rith an suiteálaí.

    

18. Tar éis a shuiteáil, seoladh an cliant, sa fhuinneog údaraithe, cliceáil Logáil isteach.

    

19. I bhfuinneog fíoraithe an teastais, roghnaigh Sea.

    

20. Cuirimid isteach na dintiúir don úsáideoir a cruthaíodh roimhe seo agus feicimid gur cuireadh an nasc i gcrích go rathúil.

    
    
    

21. Déanaimid seiceáil ar staitisticí an chliaint VPN ar an ríomhaire áitiúil.

    
    
    

22. I líne ordaithe Windows (ipconfig / all), feicimid go bhfuil adapter fíorúil breise le feiceáil agus go bhfuil nascacht leis an líonra iargúlta, oibríonn gach rud:

    
    
    

23. Agus ar deireadh, seiceáil ó chonsól Geata Edge.

    

L2 VPN

Beidh L2VPN ag teastáil nuair is gá duit roinnt a chur le chéile go geografach
líonraí dáilte in aon fhearann ​​craolta amháin.

Is féidir é seo a bheith úsáideach, mar shampla, nuair a dhéantar meaisín fíorúil a aistriú: nuair a bhogann VM chuig limistéar geografach eile, coimeádfaidh an meaisín a shuíomhanna seoltaí IP agus ní chaillfidh sé nascacht le meaisíní eile atá lonnaithe san fhearann ​​​​L2 céanna leis.

Inár dtimpeallacht tástála, nascfaimid dhá shuíomh lena chéile, cuirfimid A agus B orthu, faoi seach. Tá an seoladh 10.10.10.250/24 ag Meaisín A, tá an seoladh 10.10.10.2/24 ag Meaisín B.

1. In vCloud Director, téigh go dtí an cluaisín Riaracháin, téigh go dtí an VDC a theastaíonn uainn, téigh go dtí an táb Org VDC Networks agus cuir dhá líonra nua leis.

   

2. Roghnaigh an cineál líonra ródaithe agus ceangail an líonra seo lenár NSX. Chuireamar an ticbhosca Cruthaigh mar fho-chomhéadan.

   

3. Mar thoradh air sin, ba cheart dúinn dhá líonra a fháil. Inár sampla, tugtar network-a agus network-b orthu leis na socruithe geata céanna agus an masc céanna.

   
   
   

4. Anois, a ligean ar dul go dtí na socruithe an chéad NSX. Is é seo an NSX a bhfuil Líonra A ceangailte leis. Gníomhóidh sé mar fhreastalaí.

   Fillimid ar chomhéadan NSx Edge / Téigh go dtí an cluaisín VPN -> L2VPN. Casaimid ar L2VPN, roghnaigh an modh oibríochta Freastalaí, i socruithe Server Global sonraímid an seoladh IP seachtrach NSX ar a mbeidh an port don tollán ag éisteacht. De réir réamhshocraithe, osclóidh an soicéad ar phort 443, ach is féidir é seo a athrú. Ná déan dearmad na socruithe criptithe a roghnú don tollán amach anseo.

   

5. Téigh go dtí an cluaisín Láithreáin Freastalaí agus cuir piaraí leis.

   

6. Casaimid ar an bpiaraí, socróimid an t-ainm, an cur síos, más gá, socróimid an t-ainm úsáideora agus an focal faire. Beidh na sonraí seo de dhíth orainn níos déanaí nuair a bheidh an suíomh cliaint á bhunú.

   In Egress Optimization Gateway Address shocraigh muid an seoladh geata. Tá sé seo riachtanach ionas nach mbeidh aon choimhlint seoltaí IP ann, toisc go bhfuil an seoladh céanna ag geata ár líonraí. Ansin cliceáil ar an gcnaipe ROGHNAIGH FO-INTERFACES.

   

7. Anseo roghnaímid an fo-chomhéadan atá ag teastáil. Sábháilimid na socruithe.

   

8. Feicimid go bhfuil an suíomh cliant nuachruthaithe le feiceáil sna socruithe.

   

9. Anois, déanaimis bogadh ar aghaidh chuig NSX a chumrú ó thaobh an chliaint.

   Téann muid go dtí NSX taobh B, téigh go VPN -> L2VPN, cumasaigh L2VPN, socraigh mód L2VPN go mód an chliaint. Ar an gcluaisín Cliant Domhanda, socraigh seoladh agus calafort NSX A, a shonraigh muid níos luaithe mar Éisteacht IP agus Port ar thaobh an fhreastalaí. Is gá freisin na socruithe criptithe céanna a shocrú ionas go mbeidh siad comhsheasmhach nuair a ardaítear an tollán.

   
   
   Scrollaigh muid thíos, roghnaigh an fo-chomhéadan trína dtógfar an tollán le haghaidh L2VPN.
   In Egress Optimization Gateway Address shocraigh muid an seoladh geata. Socraigh úsáideora-aitheantas agus pasfhocal. Roghnaimid an fo-chomhéadan agus ná déan dearmad na socruithe a shábháil.

   

10. I ndáiríre, sin é go léir. Tá socruithe an chliaint agus an fhreastalaí beagnach mar an gcéanna, cé is moite de roinnt nuances.
11. Anois is féidir linn a fheiceáil go bhfuil ár dtollán ag obair trí dul go Staitisticí -> L2VPN ar aon NSX.

    

12. Má théann muid chuig consól aon Geata Edge anois, feicfimid seoltaí an dá VM ar gach ceann acu sa tábla stua.

    

Sin uile faoi VPN ar NSX Edge. Fiafraigh an bhfuil rud éigin doiléir. Is é freisin an chuid dheireanach de shraith alt ar oibriú le NSX Edge. Tá súil againn go raibh siad cabhrach 🙂

Foinse: will.com