VMware NSX pou timoun piti yo. Pati 6: Enstalasyon VPN

Premye pati. entwodiksyon
Pati de. Konfigirasyon Firewall ak Règ NAT
Twazyèm pati. Konfigirasyon DHCP
Pati kat. Konfigirasyon routage
Pati senk. Mete kanpe yon balans chaj

Jodi a nou pral pran yon gade nan opsyon konfigirasyon VPN ke NSX Edge ofri nou.

An jeneral, nou ka divize teknoloji VPN an de kalite kle:

• VPN sit-a-sit. Itilizasyon ki pi komen nan IPSec se kreye yon tinèl an sekirite, pou egzanp, ant yon rezo biwo prensipal ak yon rezo nan yon sit aleka oswa nan nwaj la.
• Aksè Remote VPN. Yo itilize pou konekte itilizatè endividyèl yo nan rezo prive antrepriz lè l sèvi avèk lojisyèl an kliyan VPN.

NSX Edge pèmèt nou sèvi ak tou de opsyon.
Nou pral konfigirasyon lè l sèvi avèk yon ban tès ak de NSX Edge, yon sèvè Linux ak yon demon enstale raton ak yon laptop Windows pou teste Remote Access VPN.

IPsec

1. Nan koòdone vCloud Director, ale nan seksyon Administrasyon an epi chwazi vDC la. Sou Edge Gateway tab la, chwazi Edge nou bezwen an, klike sou dwa epi chwazi Edge Gateway Services.
   
2. Nan koòdone NSX Edge, ale nan tab VPN-IPsec VPN, apresa nan seksyon Sit VPN IPsec epi klike sou + pou ajoute yon nouvo sit.

   

3. Ranpli jaden obligatwa yo:
   • Pèmèt – aktive sit la aleka.
   • PFS – asire ke chak nouvo kle kriptografik pa asosye ak okenn kle anvan yo.
   • Didantite lokal ak pwen final lokalt se adrès ekstèn NSX Edge la.
   • sous-rezo lokal yos - rezo lokal ki pral sèvi ak IPsec VPN.
   • Peer ID ak Peer Endpoint – adrès sit la aleka.
   • Sourezo parèy yo - rezo ki pral sèvi ak IPsec VPN sou bò aleka.
   • Algoritm chifreman - algorithm chifreman tinèl.

   
   

   • Otantifikasyon - ki jan nou pral otantifye kanmarad la. Ou ka itilize yon kle Pre-Pataje oswa yon sètifika.
   • Pre-Pataje kle - presize kle a ki pral itilize pou otantifikasyon epi yo dwe matche sou tou de bò yo.
   • Gwoup Diffie Hellman - algorithm echanj kle.

   Apre w fin ranpli jaden yo mande yo, klike sou Kenbe.

   

4. Fè.

   

5. Apre ou fin ajoute sit la, ale nan tab Aktivasyon Estati a epi aktive Sèvis IPsec la.

   

6. Apre yo fin aplike paramèt yo, ale nan Estatistik -> IPsec VPN tab epi tcheke estati tinèl la. Nou wè ke tinèl la te monte.

   

7. Tcheke estati tinèl la nan konsole pòtay Edge la:
   • montre sèvis ipsec - tcheke estati sèvis la.

     

   • montre sèvis ipsec sit - Enfòmasyon sou eta a nan sit la ak paramèt negosye.

     

   • montre sèvis ipsec sa - tcheke estati Asosyasyon Sekirite Sosyal (SA).

     

8. Tcheke koneksyon ak yon sit aleka:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Fichye konfigirasyon ak kòmandman adisyonèl pou dyagnostik soti nan yon sèvè Linux aleka:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Tout bagay pare, IPsec VPN sit-a-sit ap fonksyone.

   Nan egzanp sa a, nou itilize PSK pou otantifikasyon kanmarad, men otantifikasyon sètifika posib tou. Pou fè sa, ale nan tab la Konfigirasyon Global, pèmèt otantifikasyon sètifika epi chwazi sètifika a tèt li.

   Anplis de sa, nan anviwònman yo sit, w ap bezwen chanje metòd la otantifikasyon.

   
   
   
   
   Mwen sonje ke kantite tinèl IPsec depann de gwosè Gateway Edge deplwaye a (li sou sa a nan premye atik).

   

SSL VPN

SSL VPN-Plus se youn nan opsyon VPN Aksè Remote yo. Li pèmèt itilizatè endividyèl aleka konekte byen ak rezo prive dèyè NSX Edge Gateway la. Yon tinèl chiffres nan ka SSL VPN-plus etabli ant kliyan an (Windows, Linux, Mac) ak NSX Edge.

1. Ann kòmanse mete kanpe. Nan panèl kontwòl sèvis Edge Gateway la, ale nan tab SSL VPN-Plus, apresa nan Anviwònman sèvè. Nou chwazi adrès la ak pò sou ki sèvè a pral koute koneksyon fèk ap rantre, pèmèt antre epi chwazi algoritm chifreman ki nesesè yo.

   
   
   Isit la ou ka tou chanje sètifika a ke sèvè a pral itilize.

   

2. Apre tout bagay pare, vire sou sèvè a epi pa bliye sove paramèt yo.

   

3. Apre sa, nou bezwen mete yon pisin nan adrès ke nou pral bay kliyan sou koneksyon. Rezo sa a separe de nenpòt sous-rezo ki egziste nan anviwònman NSX ou a epi li pa bezwen konfigirasyon sou lòt aparèy sou rezo fizik yo, eksepte pou wout ki montre li.

   Ale nan tab la Pisin IP epi klike sou +.

   

4. Chwazi adrès, mask subnet ak pòtay. Isit la ou ka tou chanje anviwònman yo pou sèvè DNS ak WINS.

   

5. Pisin nan ki kapab lakòz.

   

6. Koulye a, ann ajoute rezo itilizatè ki konekte nan VPN a ap gen aksè a. Ale nan tab la Rezo Prive epi klike sou +.

   

7. Nou ranpli:
   • Rezo - yon rezo lokal kote itilizatè aleka yo pral gen aksè.
   • Voye trafik, li gen de opsyon:
     - sou tinèl - voye trafik nan rezo a atravè tinèl la,
     — kontoune tinèl—voye trafik nan rezo a dirèkteman kontoune tinèl la.
   • Pèmèt TCP Optimization - tcheke si ou te chwazi opsyon sou tinèl la. Lè optimize yo aktive, ou ka presize nimewo pò ou vle optimize trafik yo. Trafik pou pò ki rete yo sou rezo patikilye sa a p ap optimize. Si pa gen nimewo pò yo espesifye, trafik pou tout pò yo optimize. Li plis sou karakteristik sa a isit la.

   

8. Apre sa, ale nan tab la Otantifikasyon epi klike sou +. Pou otantifikasyon, nou pral sèvi ak yon sèvè lokal sou NSX Edge li menm.

   

9. Isit la nou ka chwazi règleman pou jenere nouvo modpas ak konfigirasyon opsyon pou bloke kont itilizatè yo (pa egzanp, kantite retry si modpas la antre mal).

   
   
   

10. Depi nou ap itilize otantifikasyon lokal, nou bezwen kreye itilizatè yo.

    

11. Anplis de bagay debaz tankou yon non ak modpas, isit la ou ka, pou egzanp, entèdi itilizatè a chanje modpas la oswa, Okontrè, fòse l 'chanje modpas la pwochen fwa li konekte.

    

12. Apre yo fin ajoute tout itilizatè ki nesesè yo, ale nan tab la Pake Enstalasyon, klike sou + epi kreye enstalasyon an tèt li, ki pral telechaje pa yon anplwaye aleka pou enstalasyon.

    

13. Peze +. Chwazi adrès la ak pò sèvè a kote kliyan an pral konekte, ak platfòm yo pou ki ou vle jenere pake enstalasyon an.

    
    
    Anba a nan fenèt sa a, ou ka presize anviwònman kliyan yo pou Windows. Chwazi:

    • kòmanse kliyan sou koneksyon - yo pral ajoute kliyan an VPN nan demaraj sou machin nan aleka;
    • kreye ikòn Desktop - pral kreye yon icon kliyan VPN sou Desktop la;
    • validation sètifika sekirite sèvè - pral valide sètifika sèvè a sou koneksyon.
      Konfigirasyon sèvè a fini.

    

14. Koulye a, kite a telechaje pake enstalasyon nou te kreye nan dènye etap la nan yon PC aleka. Lè mete sèvè a, nou espesifye adrès ekstèn li (185.148.83.16) ak pò (445). Se nan adrès sa a ke nou bezwen ale nan yon navigatè entènèt. Nan ka mwen an se 185.148.83.16: 445.

    Nan fenèt otorizasyon an, ou dwe antre nan kalifikasyon itilizatè yo ke nou te kreye pi bonè.

    

15. Apre otorizasyon, nou wè yon lis pakè enstalasyon kreye ki disponib pou telechaje. Nou te kreye yon sèl - nou pral telechaje li.

    

16. Nou klike sou lyen an, download kliyan an kòmanse.

    

17. Depake achiv telechaje a epi kouri enstale a.

    

18. Apre enstalasyon, lanse kliyan an, nan fenèt otorizasyon an, klike sou Login.

    

19. Nan fenèt verifikasyon sètifika a, chwazi Wi.

    

20. Nou antre nan kalifikasyon yo pou itilizatè a deja kreye epi wè ke koneksyon an te konplete avèk siksè.

    
    
    

21. Nou tcheke estatistik kliyan VPN sou òdinatè lokal la.

    
    
    

22. Nan liy lòd Windows (ipconfig / all), nou wè yon adaptè vityèl adisyonèl parèt epi gen koneksyon ak rezo aleka, tout bagay ap travay:

    
    
    

23. Epi finalman, tcheke nan konsole Edge Gateway la.

    

L2 VPN

L2VPN ap bezwen lè ou bezwen konbine plizyè géographiquement
distribye rezo nan yon sèl domèn emisyon.

Sa a ka itil, pou egzanp, lè imigre yon machin vityèl: lè yon VM deplase nan yon lòt zòn jeyografik, machin nan ap kenbe paramèt adrès IP li yo epi li pa pral pèdi koneksyon ak lòt machin ki sitiye nan menm domèn L2 ak li.

Nan anviwònman tès nou an, nou pral konekte de sit youn ak lòt, nou pral rele yo A ak B, respektivman. Nou gen de NSXs ak de rezo ki idantik ki te kreye tache ak diferan Edge. Machin A gen adrès 10.10.10.250/24, Machin B gen adrès 10.10.10.2/24.

1. Nan vCloud Director, ale nan tab Administrasyon an, ale nan VDC nou bezwen an, ale nan tab la Org VDC Networks epi ajoute de nouvo rezo.

   

2. Chwazi kalite rezo wout la epi mare rezo sa a ak NSX nou an. Nou mete kaz la Kreye kòm subkoòdone.

   

3. Kòm yon rezilta, nou ta dwe jwenn de rezo. Nan egzanp nou an, yo rele yo rezo-a ak rezo-b ak menm anviwònman pòtay ak menm mask la.

   
   
   

4. Koulye a, ann ale nan anviwònman yo nan premye NSX la. Sa a pral NSX ke Rezo A tache ak Li pral aji kòm yon sèvè.

   Nou retounen nan koòdone NSx Edge / Ale nan tab VPN -> L2VPN. Nou vire sou L2VPN, chwazi mòd operasyon sèvè a, nan anviwònman yo sèvè Global nou presize adrès la ekstèn NSX IP kote pò a pou tinèl la pral koute. Pa default, priz la ap louvri sou pò 443, men sa a ka chanje. Pa bliye chwazi anviwònman chifreman pou tinèl la nan lavni.

   

5. Ale nan tab la Sit sèvè epi ajoute yon kanmarad.

   

6. Nou vire sou kanmarad la, mete non an, deskripsyon, si sa nesesè, mete non itilizatè a ak modpas. Nou pral bezwen done sa yo pita lè nou mete sou sit kliyan an.

   Nan Egress Optimization Gateway Address nou mete adrès pòtay la. Sa a se nesesè pou pa gen okenn konfli nan adrès IP, paske pòtay la nan rezo nou an gen menm adrès la. Apre sa, klike sou bouton SELECT SUB-INTERFACES.

   

7. Isit la nou chwazi subinterface a vle. Nou sove paramèt yo.

   

8. Nou wè ke sit kliyan ki fèk kreye a parèt nan paramèt yo.

   

9. Koulye a, ann ale nan konfigirasyon NSX soti nan bò kliyan an.

   Nou ale nan NSX bò B, ale nan VPN -> L2VPN, pèmèt L2VPN, mete L2VPN mòd nan mòd kliyan. Sou tab Kliyan Global la, mete adrès la ak pò NSX A, ke nou te espesifye pi bonè kòm Tande IP ak Port sou bò sèvè. Li nesesè tou yo mete menm anviwònman chifreman yo pou yo konsistan lè tinèl la leve soti vivan.

   
   
   Nou defile anba a, chwazi subkoòdone nan ki pral bati tinèl la pou L2VPN.
   Nan Egress Optimization Gateway Address nou mete adrès pòtay la. Mete id itilizatè ak modpas. Nou chwazi subkoòdone a epi pa bliye sove paramèt yo.

   

10. Aktyèlman, se tout. Anviwònman yo nan kliyan an ak bò sèvè yo prèske idantik, ak eksepsyon de kèk nuans.
11. Koulye a, nou ka wè ke tinèl nou an te travay lè nou ale nan Estatistik -> L2VPN sou nenpòt NSX.

    

12. Si nou kounye a ale nan konsole nenpòt Gateway Edge, nou pral wè sou chak nan yo nan tablo arp adrès tou de VM yo.

    

Sa a se tout sou VPN sou NSX Edge. Mande si yon bagay pa klè. Li se tou dènye pati nan yon seri de atik sou travay ak NSX Edge. Nou espere ke yo te itil 🙂

Sous: www.habr.com