VMware NSX airson an fheadhainn bheaga. Pàirt 6: VPN Setup

Pàirt a h-aon. ro-ràdhach
Pàirt a dhà. A’ rèiteachadh riaghailtean balla-teine ​​agus NAT
Pàirt a trì. A’ rèiteachadh DHCP
Pàirt a ceithir. Suidheachadh slighe
Pàirt a còig. A 'suidheachadh inneal-cothromachaidh luchdan

An-diugh tha sinn gu bhith a’ toirt sùil air na roghainnean rèiteachaidh VPN a tha NSX Edge a’ tabhann dhuinn.

San fharsaingeachd, is urrainn dhuinn teicneòlasan VPN a roinn ann an dà phrìomh sheòrsa:

• VPN làrach-gu-làraich. Is e an cleachdadh as cumanta de IPSec tunail tèarainte a chruthachadh, mar eisimpleir, eadar prìomh lìonra oifis agus lìonra aig làrach iomallach no san sgòth.
• VPN ruigsinneachd iomallach. Air a chleachdadh gus luchd-cleachdaidh fa leth a cheangal ri lìonraidhean prìobhaideach corporra a’ cleachdadh bathar-bog teachdaiche VPN.

Leigidh NSX Edge leinn an dà roghainn a chleachdadh.
Rèitichidh sinn le bhith a’ cleachdadh being deuchainn le dà NSX Edge, frithealaiche Linux le daemon stàlaichte raccoon agus laptop Windows gus deuchainn a dhèanamh air Remote Access VPN.

IPsec

1. Anns an eadar-aghaidh vCloud Director, rachaibh gu roinn Rianachd agus tagh an vDC. Air tab Edge Gateways, tagh an Edge a tha a dhìth oirnn, cliog deas agus tagh Edge Gateway Services.
   
2. Anns an eadar-aghaidh NSX Edge, rachaibh gu tab VPN-IPsec VPN, an uairsin gu roinn Làraichean IPsec VPN agus cliog + gus làrach-lìn ùr a chuir ris.

   

3. Lìon a-steach na raointean a tha a dhìth:
   • comas - cuir an gnìomh an làrach iomallach.
   • PFS - a’ dèanamh cinnteach nach eil gach iuchair criptografach ùr co-cheangailte ri iuchair sam bith roimhe.
   • ID ionadail agus puing crìochnachaidh ionadailt an seòladh taobh a-muigh den NSX Edge.
   • Subnet ionadails - lìonraidhean ionadail a chleachdas IPsec VPN.
   • ID co-aoisean agus Peer Endpoint - seòladh na làraich iomallach.
   • Subnets co-aoisean - lìonraidhean a chleachdas IPsec VPN air an taobh iomallach.
   • Algorithm crioptachaidh - algorithm crioptachaidh tunail.

   
   

   • dearbhachaidh — mar a dhearbhas sinn am pearsa. Faodaidh tu iuchair ro-roinnte no teisteanas a chleachdadh.
   • Iuchair ro-roinnte - sònraich an iuchair a thèid a chleachdadh airson dearbhadh agus feumaidh e maidseadh air gach taobh.
   • Buidheann Diffie Hellman - prìomh algairim iomlaid.

   Às deidh dhut na raointean riatanach a lìonadh, cliog Cùm.

   

4. Air a dhèanamh.

   

5. Às deidh dhut an làrach a chuir ris, rachaibh gu tab Inbhe Gnìomhachaidh agus cuir an gnìomh an t-Seirbheis IPsec.

   

6. Às deidh na roghainnean a chuir an sàs, rachaibh chun tab Staitistig -> IPsec VPN agus thoir sùil air inbhe an tunail. Chì sinn gu bheil an tunail air èirigh.

   

7. Thoir sùil air inbhe an tunail bho chonsail geata Edge:
   • seall seirbheis ipsec - thoir sùil air inbhe na seirbheis.

     

   • làrach ipsec seirbheis seallaidh - Fiosrachadh mu staid na làraich agus paramadairean barganachaidh.

     

   • seall seirbheis ipsec sa - thoir sùil air inbhe a’ Chomann Tèarainteachd (SA).

     

8. A’ sgrùdadh ceangal le làrach iomallach:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Faidhlichean rèiteachaidh agus òrdughan a bharrachd airson breithneachadh bho fhrithealaiche Linux iomallach:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Tha a h-uile dad deiseil, tha IPsec VPN làrach-gu-làraich ag obair.

   San eisimpleir seo, chleachd sinn PSK airson dearbhadh cho-aoisean, ach tha dearbhadh teisteanais comasach cuideachd. Gus seo a dhèanamh, rachaibh gu taba Global Configuration, cuir an comas dearbhadh teisteanais agus tagh an teisteanas fhèin.

   A bharrachd air an sin, ann an roghainnean na làraich, feumaidh tu an dòigh dearbhaidh atharrachadh.

   
   
   
   
   Tha mi a’ toirt fa-near gu bheil an àireamh de thunailean IPsec an urra ri meud an Edge Gateway a chaidh a chleachdadh (leugh mu dheidhinn seo nar chiad artaigil).

   

SSL VPN

Is e SSL VPN-Plus aon de na roghainnean VPN ruigsinneachd iomallach. Leigidh e le luchd-cleachdaidh iomallach fa leth ceangal gu tèarainte ri lìonraidhean prìobhaideach air cùl Geata NSX Edge. Tha tunail crioptaichte ann an cùis SSL VPN-plus air a stèidheachadh eadar an neach-dèiligidh (Windows, Linux, Mac) agus NSX Edge.

1. Feuch an tòisich sinn air a shuidheachadh. Ann am pannal smachd seirbheis Edge Gateway, rachaibh gu tab SSL VPN-Plus, an uairsin gu Roghainnean an Fhrithealaiche. Bidh sinn a’ taghadh an t-seòladh agus am port air an èist am frithealaiche airson ceanglaichean a tha a’ tighinn a-steach, a’ comasachadh logadh agus a’ taghadh na h-algorithms crioptachaidh riatanach.

   
   
   An seo faodaidh tu cuideachd an teisteanas a chleachdas am frithealaiche atharrachadh.

   

2. Às deidh a h-uile càil a bhith deiseil, tionndaidh air an fhrithealaiche agus na dìochuimhnich na roghainnean a shàbhaladh.

   

3. An ath rud, feumaidh sinn cruinneachadh de sheòlaidhean a stèidheachadh a bheir sinn seachad do luchd-dèiligidh an dèidh ceangal. Tha an lìonra seo air leth bho subnet sam bith a tha san àrainneachd NSX agad agus chan fheum e a bhith air a rèiteachadh air innealan eile air na lìonraidhean fiosaigeach, ach a-mhàin na slighean a tha ga chomharrachadh.

   Rach gu taba IP Pools agus cliog +.

   

4. Tagh seòlaidhean, masg subnet agus geata. An seo faodaidh tu cuideachd na roghainnean airson frithealaichean DNS agus WINS atharrachadh.

   

5. An linne mar thoradh air.

   

6. A-nis cuir ris na lìonraidhean a bhios cothrom aig luchd-cleachdaidh a tha a’ ceangal ris an VPN. Rach gu taba Lìonraidhean Prìobhaideach agus cliog air +.

   

7. Bidh sinn a 'lìonadh a-steach:
   • Lìonra - lìonra ionadail air am bi cothrom aig luchd-cleachdaidh iomallach.
   • Cuir trafaic, tha dà roghainn ann:
     - thairis air tunail - cuir trafaic chun lìonra tron ​​​​tunail,
     - seach-rathad tunail - cuir trafaic chun lìonra gu dìreach a’ dol seachad air an tunail.
   • Dèan comas air TCP Optimization - thoir sùil air an do thagh thu an roghainn thar tunail. Nuair a bhios optimization air a chomasachadh, faodaidh tu na h-àireamhan puirt a shònrachadh airson a bheil thu airson trafaic a mheudachadh. Cha tèid trafaic airson na puirt a tha air fhàgail air an lìonra shònraichte sin a mheudachadh. Mura h-eil àireamhan puirt air an sònrachadh, thèid trafaic airson a h-uile port a mheudachadh. Leugh tuilleadh mun fheart seo an seo.

   

8. An uairsin, rachaibh chun tab Dearbhaidh agus cliog air +. Airson dearbhadh, cleachdaidh sinn frithealaiche ionadail air an NSX Edge fhèin.

   

9. An seo is urrainn dhuinn poileasaidhean a thaghadh airson faclan-faire ùra a chruthachadh agus roghainnean a rèiteachadh airson cunntasan luchd-cleachdaidh a bhacadh (mar eisimpleir, an àireamh ath-dheuchainn ma thèid am facal-faire a chuir a-steach gu ceàrr).

   
   
   

10. Leis gu bheil sinn a 'cleachdadh dearbhadh ionadail, feumaidh sinn luchd-cleachdaidh a chruthachadh.

    

11. A bharrachd air rudan bunaiteach leithid ainm agus facal-faire, an seo faodaidh tu, mar eisimpleir, casg a chuir air an neach-cleachdaidh am facal-faire atharrachadh no, air an làimh eile, toirt air am facal-faire atharrachadh an ath thuras a bhios e a ’logadh a-steach.

    

12. Às deidh a h-uile neach-cleachdaidh riatanach a bhith air a chur ris, rachaibh gu tab Pacaidean stàlaidh, cliog + agus cruthaich an stàlaichear fhèin, a thèid a luchdachadh sìos le neach-obrach iomallach airson a stàladh.

    

13. Brùth +. Tagh seòladh agus port an fhrithealaiche ris an dèan an neach-dèiligidh ceangal, agus na h-àrd-chabhsairean air a bheil thu airson am pasgan stàlaidh a ghineadh.

    
    
    Gu h-ìosal san uinneag seo, faodaidh tu na roghainnean teachdaiche airson Windows a shònrachadh. Tagh:

    • tòisich neach-dèiligidh air logadh a-steach - thèid an neach-dèiligidh VPN a chuir ris airson tòiseachadh air an inneal iomallach;
    • cruthaich ìomhaigh deasg - cruthaichidh e ìomhaigh teachdaiche VPN air an deasg;
    • dearbhadh teisteanas tèarainteachd an fhrithealaiche - dearbhaidh e teisteanas an fhrithealaiche nuair a thèid a cheangal.
      Tha rèiteachadh an fhrithealaiche deiseil.

    

14. A-nis leig leinn am pasgan stàlaidh a chruthaich sinn sa cheum mu dheireadh a luchdachadh sìos gu PC iomallach. Nuair a bha sinn a’ stèidheachadh an fhrithealaiche, shònraich sinn an seòladh taobh a-muigh aige (185.148.83.16) agus am port (445). Is ann aig an t-seòladh seo a dh'fheumas sinn a dhol ann am brabhsair lìn. Anns a 'chùis agam tha e 185.148.83.16: 445.

    Anns an uinneag ceadachaidh, feumaidh tu na teisteanasan cleachdaiche a chruthaich sinn na bu thràithe a chuir a-steach.

    

15. Às deidh cead, chì sinn liosta de phasgan stàlaidh cruthaichte a tha rim faighinn airson an luchdachadh sìos. Chan eil sinn air ach aon a chruthachadh - luchdaichidh sinn sìos e.

    

16. Cliogaidh sinn air a’ cheangal, tòisichidh luchdachadh sìos an neach-dèiligidh.

    

17. Unpack an tasglann a chaidh a luchdachadh sìos agus ruith an stàlaichear.

    

18. Às deidh an stàladh, cuir air bhog an neach-dèiligidh, anns an uinneag ùghdarrachaidh, cliog Log a-steach.

    

19. Anns an uinneag dearbhaidh teisteanais, tagh Tha.

    

20. Cuiridh sinn a-steach na teisteanasan airson an neach-cleachdaidh a chaidh a chruthachadh roimhe agus chì sinn gun deach an ceangal a chrìochnachadh gu soirbheachail.

    
    
    

21. Bidh sinn a’ sgrùdadh staitistig an neach-dèiligidh VPN air a’ choimpiutair ionadail.

    
    
    

22. Ann an loidhne-àithne Windows (ipconfig / all), chì sinn gu bheil inneal-atharrachaidh brìgheil a bharrachd air nochdadh agus gu bheil ceangal ris an lìonra iomallach, bidh a h-uile dad ag obair:

    
    
    

23. Agus mu dheireadh, thoir sùil air consol Edge Gateway.

    

L2 VPN

Bidh feum air L2VPN nuair a dh’ fheumas tu grunnan a chur còmhla gu cruinn-eòlasach
sgaoileadh lìonraidhean gu aon raon craolaidh.

Faodaidh seo a bhith feumail, mar eisimpleir, nuair a nì thu imrich air inneal brìgheil: nuair a ghluaiseas VM gu sgìre cruinn-eòlasach eile, cumaidh an inneal na roghainnean seòlaidh IP aige agus cha chaill e ceangal ri innealan eile a tha suidhichte san aon raon L2 leis.

Anns an àrainneachd deuchainn againn, bidh sinn a 'ceangal dà làrach ri chèile, canaidh sinn iad A agus B, fa leth. Tha dà NSX againn agus dà lìonra slighe air an cruthachadh co-ionann ceangailte ri diofar Edges. Tha an seòladh aig inneal A 10.10.10.250/24, tha an seòladh 10.10.10.2/24 aig Inneal B.

1. Ann an vCloud Director, rachaibh chun taba Rianachd, rachaibh chun VDC a dh ’fheumas sinn, rachaibh gu tab Org VDC Networks agus cuir dà lìonra ùr ris.

   

2. Tagh an seòrsa lìonra air a stiùireadh agus ceangail an lìonra seo ris an NSX againn. Chuir sinn am bogsa seic Cruthaich mar fho-eadar-aghaidh.

   

3. Mar thoradh air an sin, bu chòir dhuinn dà lìonra fhaighinn. Anns an eisimpleir againn, canar lìonra-a agus lìonra-b riutha leis na h-aon shuidheachaidhean geata agus an aon masg.

   
   
   

4. A-nis rachamaid gu roghainnean a 'chiad NSX. Is e seo an NSX ris a bheil Lìonra A ceangailte. Bidh e na fhrithealaiche.

   Tillidh sinn chun eadar-aghaidh NSx Edge / Rach gu tab VPN -> L2VPN. Tionndaidhidh sinn air L2VPN, tagh am modh obrachaidh Server, ann an roghainnean Server Global bidh sinn a’ sònrachadh an seòladh IP NSX taobh a-muigh air an èist port an tunail. Gu gnàthach, fosglaidh an socaid air port 443, ach faodar seo atharrachadh. Na dìochuimhnich na roghainnean crioptachaidh a thaghadh airson an tunail san àm ri teachd.

   

5. Rach gu taba Server Sites agus cuir co-aoisean ris.

   

6. Bidh sinn a 'tionndadh air a' cho-aoisean, a 'suidheachadh an ainm, an tuairisgeul, ma tha sin riatanach, suidhich an t-ainm-cleachdaidh agus am facal-faire. Bidh feum againn air an dàta seo nas fhaide air adhart nuair a bhios sinn a’ stèidheachadh làrach an neach-dèiligidh.

   Ann an Egress Optimization Gateway Address shuidhich sinn an seòladh geata. Tha seo riatanach gus nach bi còmhstri ann de sheòlaidhean IP, leis gu bheil an aon sheòladh aig geata ar lìonraidhean. An uairsin cliog air a’ phutan SELECT SUB-InterfaceS.

   

7. An seo tha sinn a 'taghadh an subinterface a tha thu ag iarraidh. Sàbhailidh sinn na roghainnean.

   

8. Chì sinn gu bheil an làrach teachdaiche a chaidh a chruthachadh às ùr air nochdadh anns na roghainnean.

   

9. A-nis gluaisidh sinn air adhart gu bhith a’ rèiteachadh NSX bho thaobh an neach-dèiligidh.

   Thèid sinn gu NSX taobh B, rachaibh gu VPN -> L2VPN, cuir an comas L2VPN, suidhich modh L2VPN gu modh teachdaiche. Air an taba Client Global, suidhich seòladh agus port NSX A, a shònraich sinn na bu thràithe mar Ag èisteachd IP agus Port air taobh an fhrithealaiche. Tha e riatanach cuideachd na h-aon shuidheachaidhean crioptachaidh a shuidheachadh gus am bi iad cunbhalach nuair a thèid an tunail a thogail.

   
   
   Scrollaich sinn gu h-ìosal, tagh am fo-eadar-aghaidh tro bheil an tunail airson L2VPN air a thogail.
   Ann an Egress Optimization Gateway Address shuidhich sinn an seòladh geata. Suidhich id neach-cleachdaidh agus facal-faire. Bidh sinn a’ taghadh an fho-eadar-aghaidh agus na dìochuimhnich na roghainnean a shàbhaladh.

   

10. Gu fìrinneach, tha sin uile. Tha roghainnean taobh an neach-dèiligidh agus an fhrithealaiche cha mhòr co-ionann, ach a-mhàin beagan nuances.
11. A-nis chì sinn gu bheil an tunail againn air obrachadh le bhith a’ dol gu Staitistig -> L2VPN air NSX sam bith.

    

12. Ma thèid sinn a-nis gu consol Edge Gateway sam bith, chì sinn air gach fear dhiubh sa chlàr arp seòlaidhean an dà VM.

    

Tha sin uile mu dheidhinn VPN air NSX Edge. Faighnich a bheil rudeigin mì-shoilleir. Is e seo cuideachd am pàirt mu dheireadh de shreath artaigilean mu bhith ag obair le NSX Edge. Tha sinn an dòchas gun robh iad cuideachail 🙂

Source: www.habr.com