Ma áttekintjük az NSX Edge által kínált VPN konfigurációs lehetőségeket.
A VPN-technológiákat általában két fő típusra oszthatjuk:
Webhelyek közötti VPN. Az IPSec legáltalánosabb használata egy biztonságos alagút létrehozása, például egy központi irodai hálózat és egy távoli helyen vagy a felhőben lévő hálózat között.
Távoli hozzáférés VPN. Egyéni felhasználók vállalati magánhálózatokhoz történő csatlakoztatására szolgál a VPN-kliens szoftver segítségével.
Az NSX Edge lehetővé teszi mindkét lehetőség használatát.
A konfigurálást egy tesztpadon fogjuk elvégezni két NSX Edge-vel, egy Linux szerverrel telepített démonnal mosómedve és egy Windows laptop a Remote Access VPN teszteléséhez.
IPsec
A vCloud Director felületen lépjen az Adminisztráció részre, és válassza ki a vDC-t. Az Edge Gateways lapon válassza ki a szükséges Edge-et, kattintson a jobb gombbal, és válassza az Edge Gateway Services lehetőséget.
Az NSX Edge felületen lépjen a VPN-IPsec VPN lapra, majd az IPsec VPN-helyek szakaszra, és kattintson a + gombra egy új webhely hozzáadásához.
Töltse ki a kötelező mezőket:
Engedélyezett – aktiválja a távoli oldalt.
PFS – biztosítja, hogy minden új kriptográfiai kulcs ne legyen társítva egyetlen korábbi kulccsal sem.
Helyi azonosító és helyi végpontt az NSX Edge külső címe.
Helyi alhálózats - IPsec VPN-t használó helyi hálózatok.
Peer ID és Peer Endpoint – a távoli oldal címe.
Egyenrangú alhálózatok – olyan hálózatok, amelyek a távoli oldalon IPsec VPN-t használnak.
Minden készen áll, a helyek közötti IPsec VPN működik és működik.
Ebben a példában a PSK-t használtuk a peer-hitelesítéshez, de a tanúsítvány-hitelesítés is lehetséges. Ehhez lépjen a Globális konfiguráció lapra, engedélyezze a tanúsítvány hitelesítését, és válassza ki magát a tanúsítványt.
Ezenkívül a webhely beállításaiban módosítania kell a hitelesítési módszert.
Megjegyzem, az IPsec-alagutak száma a telepített Edge Gateway méretétől függ (erről itt olvashat első cikk).
SSL VPN
Az SSL VPN-Plus a távelérési VPN opciók egyike. Lehetővé teszi az egyes távoli felhasználók számára, hogy biztonságosan csatlakozzanak magánhálózatokhoz az NSX Edge Gateway mögött. SSL VPN-plus esetén titkosított alagút jön létre a kliens (Windows, Linux, Mac) és az NSX Edge között.
Kezdjük a beállítással. Az Edge Gateway szolgáltatás vezérlőpultján lépjen az SSL VPN-Plus lapra, majd a Kiszolgálóbeállítások elemre. Kiválasztjuk a címet és a portot, amelyen a szerver figyelni fogja a bejövő kapcsolatokat, engedélyezzük a naplózást és kiválasztjuk a szükséges titkosítási algoritmusokat.
Itt módosíthatja a szerver által használt tanúsítványt is.
Miután minden készen van, kapcsolja be a szervert, és ne felejtse el menteni a beállításokat.
Ezután be kell állítanunk egy címkészletet, amelyet a csatlakozáskor kiadunk az ügyfeleknek. Ez a hálózat elkülönül az NSX-környezet bármely meglévő alhálózatától, és nem kell konfigurálni a fizikai hálózatok más eszközein, kivéve a rá mutató útvonalakat.
Lépjen az IP Pools fülre, és kattintson a + gombra.
Válassza ki a címeket, az alhálózati maszkot és az átjárót. Itt módosíthatja a DNS és WINS szerverek beállításait is.
A kapott medence.
Most adjuk hozzá azokat a hálózatokat, amelyekhez a VPN-hez csatlakozó felhasználók hozzáférhetnek. Lépjen a Privát hálózatok fülre, és kattintson a + gombra.
kitöltjük:
Hálózat – helyi hálózat, amelyhez a távoli felhasználók hozzáférhetnek.
Forgalom küldése, két lehetősége van:
- alagúton keresztül - forgalmat küld a hálózatnak az alagúton keresztül,
— bypass alagút — a forgalom közvetlenül az alagutat megkerülve továbbítja a hálózatot.
TCP-optimalizálás engedélyezése – ellenőrizze, hogy az alagút feletti opciót választotta-e. Ha az optimalizálás engedélyezve van, megadhatja azokat a portszámokat, amelyekhez a forgalmat optimalizálni szeretné. Az adott hálózat fennmaradó portjainak forgalma nem lesz optimalizálva. Ha nincs megadva portszám, akkor az összes port forgalma optimalizálva van. Olvasson többet erről a funkcióról itt.
Ezután lépjen a Hitelesítés fülre, és kattintson a + gombra. A hitelesítéshez magán az NSX Edge-en lévő helyi szervert fogjuk használni.
Itt kiválaszthatjuk az új jelszavak generálására vonatkozó házirendeket, és beállíthatjuk a felhasználói fiókok blokkolásának lehetőségeit (például az újrapróbálkozások számát, ha a jelszót helytelenül adta meg).
Mivel helyi hitelesítést használunk, létre kell hoznunk felhasználókat.
Az olyan alapvető dolgokon túl, mint a név és a jelszó, itt például megtilthatja a felhasználónak a jelszó megváltoztatását, vagy éppen ellenkezőleg, kényszerítheti a jelszó megváltoztatására a következő bejelentkezéskor.
Miután az összes szükséges felhasználót hozzáadta, lépjen a Telepítési csomagok fülre, kattintson a + gombra, és hozza létre magát a telepítőt, amelyet egy távoli alkalmazott letölt a telepítéshez.
Nyomja meg a + gombot. Válassza ki annak a kiszolgálónak a címét és portját, amelyhez az ügyfél csatlakozni fog, valamint azokat a platformokat, amelyekhez a telepítőcsomagot elő szeretné állítani.
Az alábbiakban ebben az ablakban adhatja meg a Windows kliens beállításait. Választ:
kliens indítása bejelentkezéskor – a VPN-kliens hozzáadódik a távoli gépen lévő indításhoz;
desktop icon létrehozása – VPN kliens ikont hoz létre az asztalon;
szerver biztonsági tanúsítvány érvényesítése – a csatlakozáskor érvényesíti a szervertanúsítványt.
A szerver beállítása befejeződött.
Most töltsük le az utolsó lépésben létrehozott telepítőcsomagot egy távoli számítógépre. A szerver beállításakor megadtuk a külső címét (185.148.83.16) és a portját (445). Ezen a címen kell bemennünk egy webböngészőbe. Az én esetemben az 185.148.83.16: 445.
Az engedélyezési ablakban meg kell adnia a korábban létrehozott felhasználói hitelesítő adatokat.
Az engedélyezés után megjelenik a letölthető telepítőcsomagok listája. Csak egyet hoztunk létre - letöltjük.
A linkre kattintva elindul a kliens letöltése.
Csomagolja ki a letöltött archívumot, és futtassa a telepítőt.
A telepítés után indítsa el a klienst, az engedélyezési ablakban kattintson a Bejelentkezés gombra.
A tanúsítvány ellenőrzése ablakban válassza az Igen lehetőséget.
Beírjuk a korábban létrehozott felhasználó hitelesítő adatait, és látjuk, hogy a kapcsolat sikeresen befejeződött.
Ellenőrizzük a VPN-kliens statisztikáit a helyi számítógépen.
A Windows parancssorban (ipconfig / all) azt látjuk, hogy megjelent egy további virtuális adapter, és van kapcsolat a távoli hálózattal, minden működik:
És végül ellenőrizze az Edge Gateway konzolról.
L2 VPN
Az L2VPN-re akkor lesz szükség, ha több földrajzi területet kell kombinálnia
elosztott hálózatokat egyetlen szórási tartományba.
Ez hasznos lehet például egy virtuális gép áttelepítésekor: amikor egy virtuális gép egy másik földrajzi területre költözik, a gép megőrzi IP-címzési beállításait, és nem veszíti el a kapcsolatot a vele azonos L2 tartományban található más gépekkel.
Tesztkörnyezetünkben két telephelyet fogunk összekapcsolni egymással, ezeket A-nak, illetve B-nek nevezzük.. Két NSX-ünk és két azonosan létrehozott routered hálózatunk van különböző Edge-ekhez kötve. Az A gép címe 10.10.10.250/24, a B gépé 10.10.10.2/24.
A vCloud Directorban lépjen az Adminisztráció fülre, lépjen a szükséges VDC-re, lépjen az Org VDC Networks fülre, és adjon hozzá két új hálózatot.
Válassza ki az irányított hálózat típusát, és kösse össze ezt a hálózatot az NSX-ünkkel. Betesszük a Create as subinterface jelölőnégyzetet.
Ennek eredményeként két hálózatot kell kapnunk. Példánkban a hálózat-a és hálózat-b neve ugyanazokkal az átjáró-beállításokkal és ugyanazzal a maszkkal.
Most menjünk az első NSX beállításaihoz. Ez lesz az NSX, amelyhez az A hálózat kapcsolódik. Szerverként fog működni.
Visszatérünk az NSx Edge felületre / Lépjen a VPN lapra -> L2VPN. Bekapcsoljuk az L2VPN-t, kiválasztjuk a Szerver üzemmódot, a Server Global beállításokban megadjuk a külső NSX IP címet, amelyen az alagút portja figyelni fog. Alapértelmezés szerint a socket a 443-as porton nyílik meg, de ez módosítható. Ne felejtse el kiválasztani a titkosítási beállításokat a jövőbeli alagúthoz.
Lépjen a Kiszolgálóhelyek lapra, és adjon hozzá hasonlót.
Bekapcsoljuk a peer-t, beállítjuk a nevet, leírást, ha szükséges, beállítjuk a felhasználónevet és a jelszót. Ezekre az adatokra később, az ügyféloldal beállításakor lesz szükségünk.
Az Egress Optimization Gateway Address mezőben beállítjuk az átjáró címét. Erre azért van szükség, hogy ne legyen IP-címek ütközése, mert hálózataink átjárója ugyanazzal a címmel rendelkezik. Ezután kattintson az AL-INTERFÉSZEK KIVÁLASZTÁSA gombra.
Itt kiválasztjuk a kívánt alinterfészt. Mentjük a beállításokat.
Látjuk, hogy az újonnan létrehozott ügyféloldal megjelent a beállításokban.
Most térjünk át az NSX ügyféloldali konfigurálására.
Lépjünk az NSX B oldalára, menjünk a VPN -> L2VPN menüpontra, engedélyezzük az L2VPN-t, állítsuk az L2VPN módot kliens módra. A Client Global lapon állítsa be az NSX A címét és portját, amelyet korábban Listening IP és Port néven adtunk meg a szerver oldalon. Ugyanazokat a titkosítási beállításokat is be kell állítani, hogy azok konzisztensek legyenek az alagút felemelésekor.
Görgessünk alább, és válasszuk ki azt az alinterfészt, amelyen keresztül az L2VPN alagútja megépül.
Az Egress Optimization Gateway Address mezőben beállítjuk az átjáró címét. Állítsa be a felhasználói azonosítót és a jelszót. Kiválasztjuk az alfelületet, és ne felejtsük el menteni a beállításokat.
Valójában ez minden. A kliens és a szerver oldal beállításai néhány árnyalattól eltekintve szinte megegyeznek.
Most láthatjuk, hogy az alagútunk működött, ha bármelyik NSX-en a Statisztika -> L2VPN menüpontot választja.
Ha most bármelyik Edge Gateway konzoljára lépünk, mindegyiken látni fogjuk az arp táblában mindkét virtuális gép címét.
Ez minden az NSX Edge VPN-jéről. Kérdezd meg, ha valami nem világos. Ez egyben az NSX Edge használatáról szóló cikksorozat utolsó része is. Reméljük hasznosak voltak 🙂