🥇VMware NSX za najmlađe. Dio 6. Postavljanje VPN-a

Prvi dio. uvodni
Drugi dio. Konfiguriranje Vatrozida i NAT pravila
treći dio. Konfiguriranje DHCP-a
Četvrti dio. Postavljanje usmjeravanja
Peti dio. Postavljanje balansera opterećenja

Danas ćemo pogledati opcije konfiguracije VPN-a koje nam nudi NSX Edge.

Općenito, VPN tehnologije možemo podijeliti u dvije ključne vrste:

VPN od mjesta do mjesta. Najčešća upotreba IPSec-a je stvaranje sigurnog tunela, na primjer, između mreže glavnog ureda i mreže na udaljenom mjestu ili u oblaku.
VPN za daljinski pristup. Koristi se za povezivanje pojedinačnih korisnika s korporativnim privatnim mrežama pomoću VPN klijentskog softvera.

NSX Edge nam omogućuje korištenje obje opcije.
Konfigurirati ćemo pomoću testnog stola s dva NSX Edgea, Linux poslužitelja s instaliranim demonom rakun i Windows prijenosno računalo za testiranje VPN-a s udaljenim pristupom.

IPsec

U sučelju vCloud Director idite na odjeljak Administracija i odaberite vDC. Na kartici Edge Gateways odaberite Edge koji nam je potreban, desnom tipkom miša kliknite i odaberite Edge Gateway Services.
U NSX Edge sučelju idite na karticu VPN-IPsec VPN, zatim na odjeljak IPsec VPN Sites i kliknite + za dodavanje nove stranice.
Ispunite obavezna polja:
- Omogućeno – aktivira udaljeno mjesto.
- PFS – osigurava da svaki novi kriptografski ključ nije povezan ni s jednim prethodnim ključem.
- Lokalni ID i lokalna krajnja točkat je vanjska adresa NSX Edge-a.
- Lokalna podmrežas - lokalne mreže koje će koristiti IPsec VPN.
- Peer ID i Peer Endpoint – adresa udaljenog mjesta.
- Ravnopravne podmreže – mreže koje će koristiti IPsec VPN na udaljenoj strani.
- Algoritam šifriranja – algoritam za šifriranje tunela.
- Ovjera - kako ćemo autentificirati peer. Možete koristiti unaprijed dijeljeni ključ ili certifikat.
- Unaprijed podijeljeni ključ - odredite ključ koji će se koristiti za provjeru autentičnosti i mora se podudarati s obje strane.
- Grupa Diffie Hellman – algoritam razmjene ključeva.
Nakon popunjavanja obaveznih polja kliknite Zadrži.
Gotovo.
Nakon dodavanja stranice, idite na karticu Status aktivacije i aktivirajte IPsec uslugu.
Nakon primjene postavki idite na karticu Statistika -> IPsec VPN i provjerite status tunela. Vidimo da se tunel podigao.
Provjerite status tunela na Edge gateway konzoli:
- show service ipsec - provjerite status usluge.
- show service ipsec site - Informacije o stanju stranice i dogovorenim parametrima.
- show service ipsec sa - provjerite status sigurnosne asocijacije (SA).

Provjera povezanosti s udaljenim mjestom:

root@racoon:~# ifconfig eth0:1 | grep inet
        inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0

root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms

--- 192.168.0.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms

Konfiguracijske datoteke i dodatne naredbe za dijagnostiku s udaljenog Linux poslužitelja:

root@racoon:~# cat /etc/racoon/racoon.conf 

log debug;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

listen {
  isakmp 80.211.43.73 [500];
   strict_address;
}

remote 185.148.83.16 {
        exchange_mode main,aggressive;
        proposal {
                 encryption_algorithm aes256;
                 hash_algorithm sha1;
                 authentication_method pre_shared_key;
                 dh_group modp1536;
         }
         generate_policy on;
}
 
sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
         encryption_algorithm aes256;
         authentication_algorithm hmac_sha1;
         compression_algorithm deflate;
}

===

root@racoon:~# cat /etc/racoon/psk.txt
185.148.83.16 testkey

===

root@racoon:~# cat /etc/ipsec-tools.conf 
#!/usr/sbin/setkey -f

flush;
spdflush;

spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
      esp/tunnel/185.148.83.16-80.211.43.73/require;

spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
      esp/tunnel/80.211.43.73-185.148.83.16/require;

===


root@racoon:~# racoonctl show-sa isakmp
Destination            Cookies                           Created
185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 

===

root@racoon:~# racoonctl show-sa esp
80.211.43.73 185.148.83.16 
        esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
        E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
        A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
        diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
        last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
        current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 860  hard: 0 soft: 0
        sadb_seq=1 pid=7739 refcnt=0
185.148.83.16 80.211.43.73 
        esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
        E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
        A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
        diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
        last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
        current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 860  hard: 0 soft: 0
        sadb_seq=0 pid=7739 refcnt=0

Sve je spremno, site-to-site IPsec VPN je spreman i radi.
U ovom smo primjeru koristili PSK za peer autentifikaciju, ali moguća je i autentifikacija certifikatom. Da biste to učinili, idite na karticu Globalna konfiguracija, omogućite provjeru autentičnosti certifikata i odaberite sam certifikat.

Osim toga, u postavkama web mjesta morat ćete promijeniti metodu provjere autentičnosti.

Napominjem da broj IPsec tunela ovisi o veličini postavljenog Edge Gatewaya (o tome pročitajte u našem prvi članak).

SSL VPN

SSL VPN-Plus jedna je od opcija udaljenog pristupa VPN-u. Omogućuje pojedinačnim udaljenim korisnicima sigurno povezivanje na privatne mreže iza NSX Edge Gatewaya. Šifrirani tunel u slučaju SSL VPN-plus uspostavlja se između klijenta (Windows, Linux, Mac) i NSX Edge.

Počnimo s postavljanjem. Na upravljačkoj ploči usluge Edge Gateway idite na karticu SSL VPN-Plus, zatim na Postavke poslužitelja. Odaberemo adresu i port na kojem će poslužitelj osluškivati dolazne veze, omogućimo logiranje i izaberemo potrebne algoritme enkripcije.

Ovdje također možete promijeniti certifikat koji će poslužitelj koristiti.
Nakon što je sve spremno, uključite poslužitelj i ne zaboravite spremiti postavke.
Zatim moramo postaviti skup adresa koje ćemo izdavati klijentima nakon povezivanja. Ova mreža je odvojena od bilo koje postojeće podmreže u vašem NSX okruženju i ne treba je konfigurirati na drugim uređajima na fizičkim mrežama, osim za rute koje upućuju na nju.
Idite na karticu IP Pools i kliknite +.
Odaberite adrese, podmrežnu masku i pristupnik. Ovdje također možete promijeniti postavke za DNS i WINS poslužitelje.
Dobiveni bazen.
Sada dodajmo mreže kojima će korisnici koji se spajaju na VPN imati pristup. Idite na karticu Privatne mreže i kliknite +.
Ispunjavamo:
- Mreža - lokalna mreža kojoj će udaljeni korisnici imati pristup.
- Slanje prometa, ima dvije opcije:
  - preko tunela - slanje prometa na mrežu kroz tunel,
  — zaobići tunel—pošalji promet na mrežu izravno zaobilazeći tunel.
- Omogući TCP optimizaciju - provjerite jeste li odabrali opciju preko tunela. Kada je optimizacija omogućena, možete odrediti brojeve priključaka za koje želite optimizirati promet. Promet za preostale priključke na toj određenoj mreži neće biti optimiziran. Ako nisu navedeni brojevi priključaka, promet za sve priključke je optimiziran. Pročitajte više o ovoj značajki здесь.
Zatim idite na karticu Authentication i kliknite +. Za autentifikaciju ćemo koristiti lokalni poslužitelj na samom NSX Edgeu.
Ovdje možemo odabrati pravila za generiranje novih lozinki i konfigurirati opcije za blokiranje korisničkih računa (na primjer, broj ponovnih pokušaja ako je lozinka netočno unesena).
Budući da koristimo lokalnu provjeru autentičnosti, moramo stvoriti korisnike.
Osim osnovnih stvari poput imena i lozinke, ovdje možete, primjerice, zabraniti korisniku promjenu lozinke ili ga, obrnuto, prisiliti da promijeni lozinku prilikom sljedeće prijave.
Nakon što ste dodali sve potrebne korisnike, idite na karticu Instalacijski paketi, kliknite + i kreirajte sam instalacijski program koji će udaljeni zaposlenik preuzeti za instalaciju.
Pritisnite +. Odaberite adresu i port poslužitelja na koji će se klijent spojiti, te platforme za koje želite generirati instalacijski paket.

Dolje u ovom prozoru možete odrediti postavke klijenta za Windows. Odaberite:
- pokretanje klijenta pri prijavi – VPN klijent će biti dodan za pokretanje na udaljenom računalu;
- stvoriti ikonu na radnoj površini - stvorit će ikonu VPN klijenta na radnoj površini;
- provjera valjanosti sigurnosnog certifikata poslužitelja - potvrdit će valjanost certifikata poslužitelja nakon povezivanja.
  Postavljanje poslužitelja je dovršeno.
Sada preuzmimo instalacijski paket koji smo izradili u zadnjem koraku na udaljeno računalo. Prilikom postavljanja poslužitelja naveli smo njegovu vanjsku adresu (185.148.83.16) i port (445). Upravo na ovu adresu trebamo otići u web pregledniku. U mom slučaju jest 185.148.83.16: 445.
U prozoru za autorizaciju morate unijeti korisničke vjerodajnice koje smo prethodno izradili.
Nakon autorizacije vidimo popis kreiranih instalacijskih paketa dostupnih za preuzimanje. Napravili smo samo jedan - mi ćemo ga preuzeti.
Kliknemo na vezu, počinje preuzimanje klijenta.
Raspakirajte preuzetu arhivu i pokrenite instalacijski program.
Nakon instalacije pokrenite klijent, u prozoru za autorizaciju kliknite Prijava.
U prozoru za provjeru certifikata odaberite Da.
Upisujemo vjerodajnice za prethodno kreiranog korisnika i vidimo da je veza uspješno završena.
Provjeravamo statistiku VPN klijenta na lokalnom računalu.
U naredbenom retku sustava Windows (ipconfig / all) vidimo da se pojavio dodatni virtualni adapter i postoji povezanost s udaljenom mrežom, sve radi:
I na kraju, provjerite s konzole Edge Gateway.

L2 VPN

L2VPN će vam trebati kada trebate kombinirati nekoliko geografski
distribuirane mreže u jednu domenu emitiranja.

To može biti korisno, na primjer, kada migrira virtualni stroj: kada se VM preseli u drugo geografsko područje, stroj će zadržati svoje postavke IP adresiranja i neće izgubiti povezanost s drugim strojevima koji se nalaze u istoj L2 domeni s njim.

U našem testnom okruženju, spojit ćemo dva mjesta jedno s drugim, nazvat ćemo ih A i B. Imamo dva NSX-a i dvije identično kreirane rutirane mreže spojene na različite rubove. Stroj A ima adresu 10.10.10.250/24, Stroj B ima adresu 10.10.10.2/24.

U vCloud Directoru idite na karticu Administration, idite na VDC koji nam je potreban, idite na karticu Org VDC Networks i dodajte dvije nove mreže.
Odaberite vrstu usmjerene mreže i povežite ovu mrežu s našim NSX-om. Stavili smo potvrdni okvir Create as subinterface.
Kao rezultat, trebali bismo dobiti dvije mreže. U našem primjeru nazivaju se mreža-a i mreža-b s istim postavkama pristupnika i istom maskom.
Idemo sada na postavke prvog NSX-a. Ovo će biti NSX na koji je priključena mreža A. Djelovat će kao poslužitelj.
Vraćamo se na NSx Edge sučelje / Idite na karticu VPN -> L2VPN. Uključimo L2VPN, izaberemo način rada poslužitelja, u Globalnim postavkama poslužitelja odredimo vanjsku NSX IP adresu na kojoj će port za tunel slušati. Prema zadanim postavkama, utičnica će se otvoriti na portu 443, ali to se može promijeniti. Ne zaboravite odabrati postavke enkripcije za budući tunel.
Idite na karticu Server Sites i dodajte peer.
Uključujemo peer, postavljamo ime, opis, po potrebi postavljamo korisničko ime i lozinku. Ti će nam podaci trebati kasnije prilikom postavljanja klijentske stranice.
U Egress Optimization Gateway Address postavljamo adresu pristupnika. To je potrebno kako ne bi došlo do sukoba IP adresa, jer gateway naših mreža ima istu adresu. Zatim kliknite gumb ODABIR PODSUČELJA.
Ovdje odabiremo željeno podsučelje. Spremamo postavke.
Vidimo da se novostvorena stranica klijenta pojavila u postavkama.
Sada prijeđimo na konfiguraciju NSX-a sa strane klijenta.
Idemo na NSX stranu B, idemo na VPN -> L2VPN, omogućimo L2VPN, postavimo L2VPN način na način rada klijenta. Na kartici Client Global postavite adresu i port NSX A, koji smo ranije naveli kao Listening IP i Port na strani poslužitelja. Također je potrebno postaviti iste postavke enkripcije tako da budu dosljedne kada se tunel podigne.

Pomičemo se ispod, odabiremo podsučelje kroz koje će se izgraditi tunel za L2VPN.
U Egress Optimization Gateway Address postavljamo adresu pristupnika. Postavite korisnički ID i lozinku. Odaberemo podsučelje i ne zaboravimo spremiti postavke.
Zapravo, to je sve. Postavke na strani klijenta i poslužitelja gotovo su identične, uz iznimku nekoliko nijansi.
Sada možemo vidjeti da je naš tunel radio odlaskom na Statistika -> L2VPN na bilo kojem NSX-u.
Ako sada odemo na konzolu bilo kojeg Edge Gatewaya, vidjet ćemo na svakom od njih u arp tablici adrese oba VM-a.

To je sve o VPN-u na NSX Edgeu. Pitajte ako nešto nije jasno. To je ujedno i posljednji dio serije članaka o radu s NSX Edge. Nadamo se da su bili od pomoći 🙂

Izvor: www.habr.com

VMware NSX za najmlađe. Dio 6: Postavljanje VPN-a

IPsec

SSL VPN

L2 VPN

Dodajte komentar Odustani odgovor