Hoxe imos dar un ollo ás opcións de configuración VPN que nos ofrece NSX Edge.
En xeral, podemos dividir as tecnoloxías VPN en dous tipos clave:
- VPN de sitio a sitio. O uso máis común de IPSec é crear un túnel seguro, por exemplo, entre unha rede de oficina principal e unha rede nun sitio remoto ou na nube.
- VPN de acceso remoto. Utilízase para conectar usuarios individuais a redes privadas corporativas mediante o software cliente VPN.
NSX Edge permítenos utilizar ambas opcións.
Configuraremos mediante un banco de probas con dous NSX Edge, un servidor Linux cun daemon instalado e un portátil con Windows para probar a VPN de acceso remoto.
IPsec
- Na interface de vCloud Director, vai á sección Administración e selecciona o vDC. Na pestana Edge Gateways, selecciona o Edge que necesitamos, fai clic co botón dereito e selecciona Edge Gateway Services.
- Na interface de NSX Edge, vai á pestana VPN-IPsec VPN, despois á sección Sitios VPN IPsec e fai clic en + para engadir un novo sitio.
- Encha os campos obrigatorios:
- Activado – activa o sitio remoto.
- PFS – garante que cada nova clave criptográfica non estea asociada a ningunha clave anterior.
- ID local e punto final localt é o enderezo externo do NSX Edge.
- subrede locals - redes locais que usarán VPN IPsec.
- Peer ID e Peer Endpoint – enderezo do sitio remoto.
- Subredes de pares – redes que usarán VPN IPsec no lado remoto.
- Algoritmo de cifrado - Algoritmo de cifrado do túnel.
- Identificación - como autenticaremos o compañeiro. Podes usar unha chave precompartida ou un certificado.
- Clave compartida previamente - especifique a clave que se utilizará para a autenticación e debe coincidir en ambos os dous lados.
- Grupo Diffie Hellman - Algoritmo de intercambio de claves.
Despois de cubrir os campos obrigatorios, faga clic en Manter.
- Feito.
- Despois de engadir o sitio, vai á pestana Estado de activación e activa o servizo IPsec.
- Despois de aplicar a configuración, vai á pestana Estatísticas -> VPN IPsec e comprobe o estado do túnel. Vemos que o túnel subiu.
- Comprobe o estado do túnel desde a consola da pasarela Edge:
- show service ipsec - verifique o estado do servizo.
- show service ipsec site - Información sobre o estado do sitio e os parámetros negociados.
- show service ipsec sa - verifique o estado da Asociación de Seguridade (SA).
- show service ipsec - verifique o estado do servizo.
- Comprobando a conectividade cun sitio remoto:
root@racoon:~# ifconfig eth0:1 | grep inet inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0 root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data. 64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms --- 192.168.0.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 msFicheiros de configuración e comandos adicionais para diagnósticos desde un servidor Linux remoto:
root@racoon:~# cat /etc/racoon/racoon.conf log debug; path pre_shared_key "/etc/racoon/psk.txt"; path certificate "/etc/racoon/certs"; listen { isakmp 80.211.43.73 [500]; strict_address; } remote 185.148.83.16 { exchange_mode main,aggressive; proposal { encryption_algorithm aes256; hash_algorithm sha1; authentication_method pre_shared_key; dh_group modp1536; } generate_policy on; } sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any { encryption_algorithm aes256; authentication_algorithm hmac_sha1; compression_algorithm deflate; } === root@racoon:~# cat /etc/racoon/psk.txt 185.148.83.16 testkey === root@racoon:~# cat /etc/ipsec-tools.conf #!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec esp/tunnel/185.148.83.16-80.211.43.73/require; spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/80.211.43.73-185.148.83.16/require; === root@racoon:~# racoonctl show-sa isakmp Destination Cookies Created 185.148.83.16.500 2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 === root@racoon:~# racoonctl show-sa esp 80.211.43.73 185.148.83.16 esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000) E: aes-cbc 00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d A: hmac-sha1 aa9e7cd7 51653621 67b3b2e9 64818de5 df848792 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=1 pid=7739 refcnt=0 185.148.83.16 80.211.43.73 esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000) E: aes-cbc c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044 A: hmac-sha1 cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=0 pid=7739 refcnt=0 - Todo está listo, a VPN IPsec de sitio a sitio está en funcionamento.
Neste exemplo, usamos PSK para a autenticación de pares, pero tamén é posible a autenticación de certificado. Para iso, vaia á pestana Configuración global, active a autenticación do certificado e seleccione o propio certificado.
Ademais, na configuración do sitio, terás que cambiar o método de autenticación.
Observo que o número de túneles IPsec depende do tamaño do Edge Gateway implantado (le sobre isto no noso ).
VPN SSL
SSL VPN-Plus é unha das opcións de VPN de acceso remoto. Permite aos usuarios remotos individuais conectarse de forma segura a redes privadas detrás do NSX Edge Gateway. Establécese un túnel cifrado no caso de SSL VPN-plus entre o cliente (Windows, Linux, Mac) e NSX Edge.
- Imos comezar a configurar. No panel de control do servizo Edge Gateway, vai á pestana SSL VPN-Plus e despois a Configuración do servidor. Seleccionamos o enderezo e o porto no que o servidor escoitará as conexións entrantes, activamos o rexistro e seleccionamos os algoritmos de cifrado necesarios.
Aquí tamén pode cambiar o certificado que utilizará o servidor. - Despois de que todo estea listo, acende o servidor e non esquezas gardar a configuración.
- A continuación, necesitamos configurar un conxunto de enderezos que emitiremos aos clientes despois da conexión. Esta rede está separada de calquera subrede existente no seu contorno NSX e non é necesario configurar noutros dispositivos das redes físicas, excepto nas rutas que apuntan a ela.
Vaia á pestana Grupos de IP e fai clic en +.
- Seleccione enderezos, máscara de subrede e pasarela. Aquí tamén pode cambiar a configuración dos servidores DNS e WINS.
- A piscina resultante.
- Agora imos engadir as redes ás que terán acceso os usuarios que se conecten á VPN. Vaia á pestana Redes privadas e fai clic en +.
- Enchemos:
- Rede: unha rede local á que terán acceso os usuarios remotos.
- Enviar tráfico, ten dúas opcións:
- a través do túnel: envía tráfico á rede a través do túnel,
— bypass tunnel—envía tráfico á rede directamente evitando o túnel. - Activar a optimización de TCP: verifique se escolleu a opción sobre o túnel. Cando a optimización está activada, pode especificar os números de porto para os que desexa optimizar o tráfico. Non se optimizará o tráfico dos portos restantes desa rede en particular. Se non se especifican números de porto, o tráfico para todos os portos está optimizado. Ler máis sobre esta función .
- A continuación, vai á pestana Autenticación e fai clic en +. Para a autenticación, utilizaremos un servidor local no propio NSX Edge.
- Aquí podemos seleccionar políticas para xerar novos contrasinais e configurar opcións para bloquear contas de usuario (por exemplo, o número de reintentos se o contrasinal se introduce incorrectamente).
- Xa que estamos usando autenticación local, necesitamos crear usuarios.
- Ademais de cousas básicas como un nome e un contrasinal, aquí podes, por exemplo, prohibirlle ao usuario o cambio de contrasinal ou, pola contra, obrigalo a cambiar o contrasinal a próxima vez que inicie sesión.
- Despois de engadir todos os usuarios necesarios, vai á pestana Paquetes de instalación, fai clic en + e crea o propio instalador, que será descargado por un empregado remoto para a instalación.
- Preme +. Seleccione o enderezo e o porto do servidor ao que se conectará o cliente e as plataformas para as que desexa xerar o paquete de instalación.
Abaixo nesta xanela, pode especificar a configuración do cliente para Windows. Escolla:- iniciar o cliente ao iniciar sesión: engadirase o cliente VPN ao inicio da máquina remota;
- crear icona de escritorio: creará unha icona de cliente VPN no escritorio;
- validación do certificado de seguranza do servidor: validará o certificado do servidor ao conectarse.
A configuración do servidor rematou.
- Agora imos descargar o paquete de instalación que creamos no último paso nun PC remoto. Ao configurar o servidor, especificamos o seu enderezo externo (185.148.83.16) e o seu porto (445). É a este enderezo ao que necesitamos ir nun navegador web. No meu caso é : 445.
Na xanela de autorización, debe introducir as credenciais de usuario que creamos anteriormente.
- Despois da autorización, vemos unha lista de paquetes de instalación creados dispoñibles para descargar. Só creamos un: descargarémolo.
- Facemos clic na ligazón, comeza a descarga do cliente.
- Descomprimir o arquivo descargado e executar o instalador.
- Despois da instalación, inicie o cliente, na xanela de autorización, faga clic en Iniciar sesión.
- Na xanela de verificación do certificado, seleccione Si.
- Introducimos as credenciais do usuario creado previamente e comprobamos que a conexión se completou correctamente.
- Comprobamos as estatísticas do cliente VPN no ordenador local.
- Na liña de comandos de Windows (ipconfig/all), vemos que apareceu un adaptador virtual adicional e hai conectividade á rede remota, todo funciona:
- E, finalmente, comproba desde a consola Edge Gateway.
VPN L2
L2VPN será necesario cando necesites combinar varios xeograficamente
redes distribuídas nun dominio de difusión.
Isto pode ser útil, por exemplo, ao migrar unha máquina virtual: cando unha máquina virtual se move a outra área xeográfica, a máquina conservará a súa configuración de enderezo IP e non perderá a conectividade con outras máquinas situadas no mesmo dominio L2 con ela.
No noso entorno de proba, conectaremos dous sitios entre si, chamarémoslles A e B, respectivamente. Temos dous NSX e dúas redes enrutadas creadas de xeito idéntico unidas a diferentes Edges. A máquina A ten o enderezo 10.10.10.250/24, a máquina B ten o enderezo 10.10.10.2/24.
- En vCloud Director, vai á pestana Administración, vai ao VDC que necesitamos, vai á pestana Redes VDC de organización e engade dúas redes novas.
- Seleccione o tipo de rede encamiñada e vincula esta rede ao noso NSX. Poñemos a caixa de verificación Crear como subinterface.
- Como resultado, deberíamos conseguir dúas redes. No noso exemplo, chámanse rede-a e rede-b coa mesma configuración de pasarela e a mesma máscara.
- Agora imos á configuración do primeiro NSX. Este será o NSX ao que está conectada a Rede A. Actuará como servidor.
Volvemos á interface NSx Edge / Ir á pestana VPN -> L2VPN. Activamos L2VPN, seleccionamos o modo de funcionamento do servidor, na configuración global do servidor especificamos o enderezo IP externo de NSX no que escoitará o porto para o túnel. Por defecto, o socket abrirase no porto 443, pero pódese cambiar. Non esquezas seleccionar a configuración de cifrado para o futuro túnel.
- Vaia á pestana Sitios do servidor e engade un par.
- Acendemos o peer, establecemos o nome, a descrición, se é necesario, establecemos o nome de usuario e o contrasinal. Necesitaremos estes datos máis tarde ao configurar o sitio do cliente.
En Egress Optimization Gateway Address establecemos o enderezo da pasarela. Isto é necesario para que non haxa conflito de enderezos IP, xa que a pasarela das nosas redes ten o mesmo enderezo. A continuación, prema no botón SELECCIONAR SUBINTERFACES.
- Aquí seleccionamos a subinterface desexada. Gardamos a configuración.
- Vemos que o sitio de cliente recén creado apareceu na configuración.
- Agora pasemos á configuración de NSX desde o lado do cliente.
Imos ao lado B de NSX, imos a VPN -> L2VPN, activamos L2VPN, establecemos o modo L2VPN en modo cliente. Na pestana Cliente global, configure o enderezo e o porto de NSX A, que especificamos anteriormente como IP de escoita e Porto no lado do servidor. Tamén é necesario establecer os mesmos axustes de cifrado para que sexan consistentes cando se eleve o túnel.
Desprazámonos a continuación, seleccionamos a subinterface a través da cal se construirá o túnel para L2VPN.
En Egress Optimization Gateway Address establecemos o enderezo da pasarela. Establece o ID de usuario e o contrasinal. Seleccionamos a subinterface e non esquezamos gardar a configuración. - En realidade, iso é todo. A configuración do lado do cliente e do servidor é case idéntica, con excepción dalgúns matices.
- Agora podemos ver que o noso túnel funcionou indo a Estatísticas -> L2VPN en calquera NSX.
- Se agora imos á consola de calquera Gateway Edge, veremos en cada un deles na táboa arp os enderezos de ambas máquinas virtuales.
Isto é todo sobre VPN en NSX Edge. Pregunta se algo non está claro. Tamén é a última parte dunha serie de artigos sobre o traballo con NSX Edge. Agardamos que fosen de axuda 🙂
Fonte: www.habr.com