Hoxe imos dar un ollo ás opcións de configuración VPN que nos ofrece NSX Edge.
En xeral, podemos dividir as tecnoloxías VPN en dous tipos clave:
VPN de sitio a sitio. O uso máis común de IPSec é crear un túnel seguro, por exemplo, entre unha rede de oficina principal e unha rede nun sitio remoto ou na nube.
VPN de acceso remoto. Utilízase para conectar usuarios individuais a redes privadas corporativas mediante o software cliente VPN.
NSX Edge permítenos utilizar ambas opcións.
Configuraremos mediante un banco de probas con dous NSX Edge, un servidor Linux cun daemon instalado mapache e un portátil con Windows para probar a VPN de acceso remoto.
IPsec
Na interface de vCloud Director, vai á sección Administración e selecciona o vDC. Na pestana Edge Gateways, selecciona o Edge que necesitamos, fai clic co botón dereito e selecciona Edge Gateway Services.
Na interface de NSX Edge, vai á pestana VPN-IPsec VPN, despois á sección Sitios VPN IPsec e fai clic en + para engadir un novo sitio.
Encha os campos obrigatorios:
Activado – activa o sitio remoto.
PFS – garante que cada nova clave criptográfica non estea asociada a ningunha clave anterior.
ID local e punto final localt é o enderezo externo do NSX Edge.
subrede locals - redes locais que usarán VPN IPsec.
Peer ID e Peer Endpoint – enderezo do sitio remoto.
Subredes de pares – redes que usarán VPN IPsec no lado remoto.
Algoritmo de cifrado - Algoritmo de cifrado do túnel.
Identificación - como autenticaremos o compañeiro. Podes usar unha chave precompartida ou un certificado.
Clave compartida previamente - especifique a clave que se utilizará para a autenticación e debe coincidir en ambos os dous lados.
Grupo Diffie Hellman - Algoritmo de intercambio de claves.
Despois de cubrir os campos obrigatorios, faga clic en Manter.
Feito.
Despois de engadir o sitio, vai á pestana Estado de activación e activa o servizo IPsec.
Despois de aplicar a configuración, vai á pestana Estatísticas -> VPN IPsec e comprobe o estado do túnel. Vemos que o túnel subiu.
Comprobe o estado do túnel desde a consola da pasarela Edge:
show service ipsec - verifique o estado do servizo.
show service ipsec site - Información sobre o estado do sitio e os parámetros negociados.
show service ipsec sa - verifique o estado da Asociación de Seguridade (SA).
Comprobando a conectividade cun sitio remoto:
root@racoon:~# ifconfig eth0:1 | grep inet
inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0
root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10
PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
--- 192.168.0.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
Ficheiros de configuración e comandos adicionais para diagnósticos desde un servidor Linux remoto:
Todo está listo, a VPN IPsec de sitio a sitio está en funcionamento.
Neste exemplo, usamos PSK para a autenticación de pares, pero tamén é posible a autenticación de certificado. Para iso, vaia á pestana Configuración global, active a autenticación do certificado e seleccione o propio certificado.
Ademais, na configuración do sitio, terás que cambiar o método de autenticación.
Observo que o número de túneles IPsec depende do tamaño do Edge Gateway implantado (le sobre isto no noso primeiro artigo).
VPN SSL
SSL VPN-Plus é unha das opcións de VPN de acceso remoto. Permite aos usuarios remotos individuais conectarse de forma segura a redes privadas detrás do NSX Edge Gateway. Establécese un túnel cifrado no caso de SSL VPN-plus entre o cliente (Windows, Linux, Mac) e NSX Edge.
Imos comezar a configurar. No panel de control do servizo Edge Gateway, vai á pestana SSL VPN-Plus e despois a Configuración do servidor. Seleccionamos o enderezo e o porto no que o servidor escoitará as conexións entrantes, activamos o rexistro e seleccionamos os algoritmos de cifrado necesarios.
Aquí tamén pode cambiar o certificado que utilizará o servidor.
Despois de que todo estea listo, acende o servidor e non esquezas gardar a configuración.
A continuación, necesitamos configurar un conxunto de enderezos que emitiremos aos clientes despois da conexión. Esta rede está separada de calquera subrede existente no seu contorno NSX e non é necesario configurar noutros dispositivos das redes físicas, excepto nas rutas que apuntan a ela.
Vaia á pestana Grupos de IP e fai clic en +.
Seleccione enderezos, máscara de subrede e pasarela. Aquí tamén pode cambiar a configuración dos servidores DNS e WINS.
A piscina resultante.
Agora imos engadir as redes ás que terán acceso os usuarios que se conecten á VPN. Vaia á pestana Redes privadas e fai clic en +.
Enchemos:
Rede: unha rede local á que terán acceso os usuarios remotos.
Enviar tráfico, ten dúas opcións:
- a través do túnel: envía tráfico á rede a través do túnel,
— bypass tunnel—envía tráfico á rede directamente evitando o túnel.
Activar a optimización de TCP: verifique se escolleu a opción sobre o túnel. Cando a optimización está activada, pode especificar os números de porto para os que desexa optimizar o tráfico. Non se optimizará o tráfico dos portos restantes desa rede en particular. Se non se especifican números de porto, o tráfico para todos os portos está optimizado. Ler máis sobre esta función aquí.
A continuación, vai á pestana Autenticación e fai clic en +. Para a autenticación, utilizaremos un servidor local no propio NSX Edge.
Aquí podemos seleccionar políticas para xerar novos contrasinais e configurar opcións para bloquear contas de usuario (por exemplo, o número de reintentos se o contrasinal se introduce incorrectamente).
Xa que estamos usando autenticación local, necesitamos crear usuarios.
Ademais de cousas básicas como un nome e un contrasinal, aquí podes, por exemplo, prohibirlle ao usuario o cambio de contrasinal ou, pola contra, obrigalo a cambiar o contrasinal a próxima vez que inicie sesión.
Despois de engadir todos os usuarios necesarios, vai á pestana Paquetes de instalación, fai clic en + e crea o propio instalador, que será descargado por un empregado remoto para a instalación.
Preme +. Seleccione o enderezo e o porto do servidor ao que se conectará o cliente e as plataformas para as que desexa xerar o paquete de instalación.
Abaixo nesta xanela, pode especificar a configuración do cliente para Windows. Escolla:
iniciar o cliente ao iniciar sesión: engadirase o cliente VPN ao inicio da máquina remota;
crear icona de escritorio: creará unha icona de cliente VPN no escritorio;
validación do certificado de seguranza do servidor: validará o certificado do servidor ao conectarse.
A configuración do servidor rematou.
Agora imos descargar o paquete de instalación que creamos no último paso nun PC remoto. Ao configurar o servidor, especificamos o seu enderezo externo (185.148.83.16) e o seu porto (445). É a este enderezo ao que necesitamos ir nun navegador web. No meu caso é 185.148.83.16: 445.
Na xanela de autorización, debe introducir as credenciais de usuario que creamos anteriormente.
Despois da autorización, vemos unha lista de paquetes de instalación creados dispoñibles para descargar. Só creamos un: descargarémolo.
Facemos clic na ligazón, comeza a descarga do cliente.
Descomprimir o arquivo descargado e executar o instalador.
Despois da instalación, inicie o cliente, na xanela de autorización, faga clic en Iniciar sesión.
Na xanela de verificación do certificado, seleccione Si.
Introducimos as credenciais do usuario creado previamente e comprobamos que a conexión se completou correctamente.
Comprobamos as estatísticas do cliente VPN no ordenador local.
Na liña de comandos de Windows (ipconfig/all), vemos que apareceu un adaptador virtual adicional e hai conectividade á rede remota, todo funciona:
E, finalmente, comproba desde a consola Edge Gateway.
VPN L2
L2VPN será necesario cando necesites combinar varios xeograficamente
redes distribuídas nun dominio de difusión.
Isto pode ser útil, por exemplo, ao migrar unha máquina virtual: cando unha máquina virtual se move a outra área xeográfica, a máquina conservará a súa configuración de enderezo IP e non perderá a conectividade con outras máquinas situadas no mesmo dominio L2 con ela.
No noso entorno de proba, conectaremos dous sitios entre si, chamarémoslles A e B, respectivamente. Temos dous NSX e dúas redes enrutadas creadas de xeito idéntico unidas a diferentes Edges. A máquina A ten o enderezo 10.10.10.250/24, a máquina B ten o enderezo 10.10.10.2/24.
En vCloud Director, vai á pestana Administración, vai ao VDC que necesitamos, vai á pestana Redes VDC de organización e engade dúas redes novas.
Seleccione o tipo de rede encamiñada e vincula esta rede ao noso NSX. Poñemos a caixa de verificación Crear como subinterface.
Como resultado, deberíamos conseguir dúas redes. No noso exemplo, chámanse rede-a e rede-b coa mesma configuración de pasarela e a mesma máscara.
Agora imos á configuración do primeiro NSX. Este será o NSX ao que está conectada a Rede A. Actuará como servidor.
Volvemos á interface NSx Edge / Ir á pestana VPN -> L2VPN. Activamos L2VPN, seleccionamos o modo de funcionamento do servidor, na configuración global do servidor especificamos o enderezo IP externo de NSX no que escoitará o porto para o túnel. Por defecto, o socket abrirase no porto 443, pero pódese cambiar. Non esquezas seleccionar a configuración de cifrado para o futuro túnel.
Vaia á pestana Sitios do servidor e engade un par.
Acendemos o peer, establecemos o nome, a descrición, se é necesario, establecemos o nome de usuario e o contrasinal. Necesitaremos estes datos máis tarde ao configurar o sitio do cliente.
En Egress Optimization Gateway Address establecemos o enderezo da pasarela. Isto é necesario para que non haxa conflito de enderezos IP, xa que a pasarela das nosas redes ten o mesmo enderezo. A continuación, prema no botón SELECCIONAR SUBINTERFACES.
Aquí seleccionamos a subinterface desexada. Gardamos a configuración.
Vemos que o sitio de cliente recén creado apareceu na configuración.
Agora pasemos á configuración de NSX desde o lado do cliente.
Imos ao lado B de NSX, imos a VPN -> L2VPN, activamos L2VPN, establecemos o modo L2VPN en modo cliente. Na pestana Cliente global, configure o enderezo e o porto de NSX A, que especificamos anteriormente como IP de escoita e Porto no lado do servidor. Tamén é necesario establecer os mesmos axustes de cifrado para que sexan consistentes cando se eleve o túnel.
Desprazámonos a continuación, seleccionamos a subinterface a través da cal se construirá o túnel para L2VPN.
En Egress Optimization Gateway Address establecemos o enderezo da pasarela. Establece o ID de usuario e o contrasinal. Seleccionamos a subinterface e non esquezamos gardar a configuración.
En realidade, iso é todo. A configuración do lado do cliente e do servidor é case idéntica, con excepción dalgúns matices.
Agora podemos ver que o noso túnel funcionou indo a Estatísticas -> L2VPN en calquera NSX.
Se agora imos á consola de calquera Gateway Edge, veremos en cada un deles na táboa arp os enderezos de ambas máquinas virtuales.
Isto é todo sobre VPN en NSX Edge. Pregunta se algo non está claro. Tamén é a última parte dunha serie de artigos sobre o traballo con NSX Edge. Agardamos que fosen de axuda 🙂