VMware NSX a legkisebbeknek. 6. rész: VPN beállítása

Első rész. bevezető
Második rész. Tűzfal és NAT-szabályok konfigurálása
Harmadik rész. DHCP konfigurálása
Negyedik rész. Útválasztás beállítása
Ötödik rész. Terheléselosztó beállítása

Ma áttekintjük az NSX Edge által kínált VPN konfigurációs lehetőségeket.

A VPN-technológiákat általában két fő típusra oszthatjuk:

• Webhelyek közötti VPN. Az IPSec legáltalánosabb használata egy biztonságos alagút létrehozása, például egy központi irodai hálózat és egy távoli helyen vagy a felhőben lévő hálózat között.
• Távoli hozzáférés VPN. Egyéni felhasználók vállalati magánhálózatokhoz történő csatlakoztatására szolgál a VPN-kliens szoftver segítségével.

Az NSX Edge lehetővé teszi mindkét lehetőség használatát.
A konfigurálást egy tesztpadon fogjuk elvégezni két NSX Edge-vel, egy Linux szerverrel telepített démonnal mosómedve és egy Windows laptop a Remote Access VPN teszteléséhez.

IPsec

1. A vCloud Director felületen lépjen az Adminisztráció részre, és válassza ki a vDC-t. Az Edge Gateways lapon válassza ki a szükséges Edge-et, kattintson a jobb gombbal, és válassza az Edge Gateway Services lehetőséget.
   
2. Az NSX Edge felületen lépjen a VPN-IPsec VPN lapra, majd az IPsec VPN-helyek szakaszra, és kattintson a + gombra egy új webhely hozzáadásához.

   

3. Töltse ki a kötelező mezőket:
   • Engedélyezett – aktiválja a távoli oldalt.
   • PFS – biztosítja, hogy minden új kriptográfiai kulcs ne legyen társítva egyetlen korábbi kulccsal sem.
   • Helyi azonosító és helyi végpontt az NSX Edge külső címe.
   • Helyi alhálózats - IPsec VPN-t használó helyi hálózatok.
   • Peer ID és Peer Endpoint – a távoli oldal címe.
   • Egyenrangú alhálózatok – olyan hálózatok, amelyek a távoli oldalon IPsec VPN-t használnak.
   • Titkosítás algoritmus – alagút titkosítási algoritmus.

   
   

   • Hitelesítés - hogyan fogjuk hitelesíteni a társat. Használhat előre megosztott kulcsot vagy tanúsítványt.
   • Előre megosztott kulcs - adja meg a hitelesítéshez használt kulcsot, és annak mindkét oldalon meg kell egyeznie.
   • Diffie Hellman csoport – kulcscsere algoritmus.

   A kötelező mezők kitöltése után kattintson a Megtartás gombra.

   

4. Kész.

   

5. A webhely hozzáadása után lépjen az Aktiválás állapota lapra, és aktiválja az IPsec szolgáltatást.

   

6. A beállítások alkalmazása után lépjen a Statisztika -> IPsec VPN fülre, és ellenőrizze az alagút állapotát. Látjuk, hogy az alagút felemelkedett.

   

7. Ellenőrizze az alagút állapotát az Edge gateway konzolról:
   • szolgáltatás ipsec megjelenítése - ellenőrizze a szolgáltatás állapotát.

     

   • show service ipsec site - Információ a webhely állapotáról és a megbeszélt paraméterekről.

     

   • show service ipsec sa - ellenőrizze a Security Association (SA) állapotát.

     

8. Távoli oldallal való kapcsolat ellenőrzése:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Konfigurációs fájlok és további parancsok távoli Linux-kiszolgálóról történő diagnosztikához:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Minden készen áll, a helyek közötti IPsec VPN működik és működik.

   Ebben a példában a PSK-t használtuk a peer-hitelesítéshez, de a tanúsítvány-hitelesítés is lehetséges. Ehhez lépjen a Globális konfiguráció lapra, engedélyezze a tanúsítvány hitelesítését, és válassza ki magát a tanúsítványt.

   Ezenkívül a webhely beállításaiban módosítania kell a hitelesítési módszert.

   
   
   
   
   Megjegyzem, az IPsec-alagutak száma a telepített Edge Gateway méretétől függ (erről itt olvashat első cikk).

   

SSL VPN

Az SSL VPN-Plus a távelérési VPN opciók egyike. Lehetővé teszi az egyes távoli felhasználók számára, hogy biztonságosan csatlakozzanak magánhálózatokhoz az NSX Edge Gateway mögött. SSL VPN-plus esetén titkosított alagút jön létre a kliens (Windows, Linux, Mac) és az NSX Edge között.

1. Kezdjük a beállítással. Az Edge Gateway szolgáltatás vezérlőpultján lépjen az SSL VPN-Plus lapra, majd a Kiszolgálóbeállítások elemre. Kiválasztjuk a címet és a portot, amelyen a szerver figyelni fogja a bejövő kapcsolatokat, engedélyezzük a naplózást és kiválasztjuk a szükséges titkosítási algoritmusokat.

   
   
   Itt módosíthatja a szerver által használt tanúsítványt is.

   

2. Miután minden készen van, kapcsolja be a szervert, és ne felejtse el menteni a beállításokat.

   

3. Ezután be kell állítanunk egy címkészletet, amelyet a csatlakozáskor kiadunk az ügyfeleknek. Ez a hálózat elkülönül az NSX-környezet bármely meglévő alhálózatától, és nem kell konfigurálni a fizikai hálózatok más eszközein, kivéve a rá mutató útvonalakat.

   Lépjen az IP Pools fülre, és kattintson a + gombra.

   

4. Válassza ki a címeket, az alhálózati maszkot és az átjárót. Itt módosíthatja a DNS és WINS szerverek beállításait is.

   

5. A kapott medence.

   

6. Most adjuk hozzá azokat a hálózatokat, amelyekhez a VPN-hez csatlakozó felhasználók hozzáférhetnek. Lépjen a Privát hálózatok fülre, és kattintson a + gombra.

   

7. kitöltjük:
   • Hálózat – helyi hálózat, amelyhez a távoli felhasználók hozzáférhetnek.
   • Forgalom küldése, két lehetősége van:
     - alagúton keresztül - forgalmat küld a hálózatnak az alagúton keresztül,
     — bypass alagút — a forgalom közvetlenül az alagutat megkerülve továbbítja a hálózatot.
   • TCP-optimalizálás engedélyezése – ellenőrizze, hogy az alagút feletti opciót választotta-e. Ha az optimalizálás engedélyezve van, megadhatja azokat a portszámokat, amelyekhez a forgalmat optimalizálni szeretné. Az adott hálózat fennmaradó portjainak forgalma nem lesz optimalizálva. Ha nincs megadva portszám, akkor az összes port forgalma optimalizálva van. Olvasson többet erről a funkcióról itt.

   

8. Ezután lépjen a Hitelesítés fülre, és kattintson a + gombra. A hitelesítéshez magán az NSX Edge-en lévő helyi szervert fogjuk használni.

   

9. Itt kiválaszthatjuk az új jelszavak generálására vonatkozó házirendeket, és beállíthatjuk a felhasználói fiókok blokkolásának lehetőségeit (például az újrapróbálkozások számát, ha a jelszót helytelenül adta meg).

   
   
   

10. Mivel helyi hitelesítést használunk, létre kell hoznunk felhasználókat.

    

11. Az olyan alapvető dolgokon túl, mint a név és a jelszó, itt például megtilthatja a felhasználónak a jelszó megváltoztatását, vagy éppen ellenkezőleg, kényszerítheti a jelszó megváltoztatására a következő bejelentkezéskor.

    

12. Miután az összes szükséges felhasználót hozzáadta, lépjen a Telepítési csomagok fülre, kattintson a + gombra, és hozza létre magát a telepítőt, amelyet egy távoli alkalmazott letölt a telepítéshez.

    

13. Nyomja meg a + gombot. Válassza ki annak a kiszolgálónak a címét és portját, amelyhez az ügyfél csatlakozni fog, valamint azokat a platformokat, amelyekhez a telepítőcsomagot elő szeretné állítani.

    
    
    Az alábbiakban ebben az ablakban adhatja meg a Windows kliens beállításait. Választ:

    • kliens indítása bejelentkezéskor – a VPN-kliens hozzáadódik a távoli gépen lévő indításhoz;
    • desktop icon létrehozása – VPN kliens ikont hoz létre az asztalon;
    • szerver biztonsági tanúsítvány érvényesítése – a csatlakozáskor érvényesíti a szervertanúsítványt.
      A szerver beállítása befejeződött.

    

14. Most töltsük le az utolsó lépésben létrehozott telepítőcsomagot egy távoli számítógépre. A szerver beállításakor megadtuk a külső címét (185.148.83.16) és a portját (445). Ezen a címen kell bemennünk egy webböngészőbe. Az én esetemben az 185.148.83.16: 445.

    Az engedélyezési ablakban meg kell adnia a korábban létrehozott felhasználói hitelesítő adatokat.

    

15. Az engedélyezés után megjelenik a letölthető telepítőcsomagok listája. Csak egyet hoztunk létre - letöltjük.

    

16. A linkre kattintva elindul a kliens letöltése.

    

17. Csomagolja ki a letöltött archívumot, és futtassa a telepítőt.

    

18. A telepítés után indítsa el a klienst, az engedélyezési ablakban kattintson a Bejelentkezés gombra.

    

19. A tanúsítvány ellenőrzése ablakban válassza az Igen lehetőséget.

    

20. Beírjuk a korábban létrehozott felhasználó hitelesítő adatait, és látjuk, hogy a kapcsolat sikeresen befejeződött.

    
    
    

21. Ellenőrizzük a VPN-kliens statisztikáit a helyi számítógépen.

    
    
    

22. A Windows parancssorban (ipconfig / all) azt látjuk, hogy megjelent egy további virtuális adapter, és van kapcsolat a távoli hálózattal, minden működik:

    
    
    

23. És végül ellenőrizze az Edge Gateway konzolról.

    

L2 VPN

Az L2VPN-re akkor lesz szükség, ha több földrajzi területet kell kombinálnia
elosztott hálózatokat egyetlen szórási tartományba.

Ez hasznos lehet például egy virtuális gép áttelepítésekor: amikor egy virtuális gép egy másik földrajzi területre költözik, a gép megőrzi IP-címzési beállításait, és nem veszíti el a kapcsolatot a vele azonos L2 tartományban található más gépekkel.

Tesztkörnyezetünkben két telephelyet fogunk összekapcsolni egymással, ezeket A-nak, illetve B-nek nevezzük.. Két NSX-ünk és két azonosan létrehozott routered hálózatunk van különböző Edge-ekhez kötve. Az A gép címe 10.10.10.250/24, a B gépé 10.10.10.2/24.

1. A vCloud Directorban lépjen az Adminisztráció fülre, lépjen a szükséges VDC-re, lépjen az Org VDC Networks fülre, és adjon hozzá két új hálózatot.

   

2. Válassza ki az irányított hálózat típusát, és kösse össze ezt a hálózatot az NSX-ünkkel. Betesszük a Create as subinterface jelölőnégyzetet.

   

3. Ennek eredményeként két hálózatot kell kapnunk. Példánkban a hálózat-a és hálózat-b neve ugyanazokkal az átjáró-beállításokkal és ugyanazzal a maszkkal.

   
   
   

4. Most menjünk az első NSX beállításaihoz. Ez lesz az NSX, amelyhez az A hálózat kapcsolódik. Szerverként fog működni.

   Visszatérünk az NSx Edge felületre / Lépjen a VPN lapra -> L2VPN. Bekapcsoljuk az L2VPN-t, kiválasztjuk a Szerver üzemmódot, a Server Global beállításokban megadjuk a külső NSX IP címet, amelyen az alagút portja figyelni fog. Alapértelmezés szerint a socket a 443-as porton nyílik meg, de ez módosítható. Ne felejtse el kiválasztani a titkosítási beállításokat a jövőbeli alagúthoz.

   

5. Lépjen a Kiszolgálóhelyek lapra, és adjon hozzá hasonlót.

   

6. Bekapcsoljuk a peer-t, beállítjuk a nevet, leírást, ha szükséges, beállítjuk a felhasználónevet és a jelszót. Ezekre az adatokra később, az ügyféloldal beállításakor lesz szükségünk.

   Az Egress Optimization Gateway Address mezőben beállítjuk az átjáró címét. Erre azért van szükség, hogy ne legyen IP-címek ütközése, mert hálózataink átjárója ugyanazzal a címmel rendelkezik. Ezután kattintson az AL-INTERFÉSZEK KIVÁLASZTÁSA gombra.

   

7. Itt kiválasztjuk a kívánt alinterfészt. Mentjük a beállításokat.

   

8. Látjuk, hogy az újonnan létrehozott ügyféloldal megjelent a beállításokban.

   

9. Most térjünk át az NSX ügyféloldali konfigurálására.

   Lépjünk az NSX B oldalára, menjünk a VPN -> L2VPN menüpontra, engedélyezzük az L2VPN-t, állítsuk az L2VPN módot kliens módra. A Client Global lapon állítsa be az NSX A címét és portját, amelyet korábban Listening IP és Port néven adtunk meg a szerver oldalon. Ugyanazokat a titkosítási beállításokat is be kell állítani, hogy azok konzisztensek legyenek az alagút felemelésekor.

   
   
   Görgessünk alább, és válasszuk ki azt az alinterfészt, amelyen keresztül az L2VPN alagútja megépül.
   Az Egress Optimization Gateway Address mezőben beállítjuk az átjáró címét. Állítsa be a felhasználói azonosítót és a jelszót. Kiválasztjuk az alfelületet, és ne felejtsük el menteni a beállításokat.

   

10. Valójában ez minden. A kliens és a szerver oldal beállításai néhány árnyalattól eltekintve szinte megegyeznek.
11. Most láthatjuk, hogy az alagútunk működött, ha bármelyik NSX-en a Statisztika -> L2VPN menüpontot választja.

    

12. Ha most bármelyik Edge Gateway konzoljára lépünk, mindegyiken látni fogjuk az arp táblában mindkét virtuális gép címét.

    

Ez minden az NSX Edge VPN-jéről. Kérdezd meg, ha valami nem világos. Ez egyben az NSX Edge használatáról szóló cikksorozat utolsó része is. Reméljük hasznosak voltak 🙂

Forrás: will.com