Այսօր մենք պատրաստվում ենք դիտել VPN կազմաձևման տարբերակները, որոնք մեզ առաջարկում է NSX Edge-ը:
Ընդհանուր առմամբ, մենք կարող ենք VPN տեխնոլոգիաները բաժանել երկու հիմնական տեսակի.
- Կայքից կայք VPN: IPSec-ի ամենատարածված օգտագործումը անվտանգ թունելի ստեղծումն է, օրինակ՝ հիմնական գրասենյակի ցանցի և հեռավոր կայքի կամ ամպի մեջ գտնվող ցանցի միջև:
- Հեռակա մուտքի VPN: Օգտագործվում է անհատական օգտատերերին կորպորատիվ մասնավոր ցանցերին միացնելու համար՝ օգտագործելով VPN հաճախորդի ծրագրակազմը:
NSX Edge-ը մեզ թույլ է տալիս օգտագործել երկու տարբերակները:
Մենք կկազմաձևենք՝ օգտագործելով թեստային նստարան երկու NSX Edge-ով, Linux սերվեր՝ տեղադրված դևոնով և Windows նոութբուք՝ Remote Access VPN-ը փորձարկելու համար:
IPsec
- vCloud Director ինտերֆեյսում անցեք Administration բաժին և ընտրեք vDC-ն: Edge Gateways ներդիրում ընտրեք մեզ անհրաժեշտ Edge-ը, սեղմեք աջը և ընտրեք Edge Gateway Services:
- NSX Edge ինտերֆեյսում անցեք VPN-IPsec VPN ներդիր, այնուհետև՝ IPsec VPN Sites բաժին և սեղմեք +՝ նոր կայք ավելացնելու համար:
- Լրացրեք պահանջվող դաշտերը.
- Միացված - ակտիվացնում է հեռավոր կայքը:
- PFS – ապահովում է, որ յուրաքանչյուր նոր գաղտնագրային բանալի չի կապված որևէ նախորդ բանալի հետ:
- Տեղական ID և տեղական վերջնակետt-ը NSX Edge-ի արտաքին հասցեն է:
- տեղական ենթացանցs - տեղական ցանցեր, որոնք կօգտագործեն IPsec VPN:
- Հասակակիցների ID և Peer Endpoint - հեռավոր կայքի հասցեն:
- Գործընկերների ենթացանցեր – ցանցեր, որոնք կօգտագործեն IPsec VPN հեռավոր կողմում:
- Կոդավորման ալգորիթմ - թունելի կոդավորման ալգորիթմ:
- Authentication - ինչպես ենք մենք նույնականացնելու հասակակիցը: Դուք կարող եք օգտագործել Pre-Shared Key կամ վկայական:
- Նախաբաշխված բանալին - նշեք այն բանալին, որը կօգտագործվի նույնականացման համար և պետք է համապատասխանի երկու կողմերին:
- Diffie Hellman Group - բանալիների փոխանակման ալգորիթմ:
Պահանջվող դաշտերը լրացնելուց հետո սեղմեք Պահել:
- Կատարված:
- Կայքն ավելացնելուց հետո անցեք Ակտիվացման կարգավիճակի ներդիր և ակտիվացրեք IPsec ծառայությունը։
- Կարգավորումները կիրառելուց հետո անցեք վիճակագրություն -> IPsec VPN ներդիր և ստուգեք թունելի կարգավիճակը: Մենք տեսնում ենք, որ թունելը բարձրացել է։
- Ստուգեք թունելի կարգավիճակը Edge gateway վահանակից.
- ցույց տալ ծառայությունը ipsec - ստուգեք ծառայության կարգավիճակը:
- Ցույց տալ ծառայության ipsec կայք - Տեղեկություններ կայքի վիճակի և բանակցված պարամետրերի մասին:
- show service ipsec sa - ստուգեք Անվտանգության ասոցիացիայի (SA) կարգավիճակը:
- ցույց տալ ծառայությունը ipsec - ստուգեք ծառայության կարգավիճակը:
- Ստուգելով կապը հեռավոր կայքի հետ.
root@racoon:~# ifconfig eth0:1 | grep inet inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0 root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data. 64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms --- 192.168.0.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 msԿազմաձևման ֆայլեր և լրացուցիչ հրամաններ ախտորոշման համար հեռավոր Linux սերվերից.
root@racoon:~# cat /etc/racoon/racoon.conf log debug; path pre_shared_key "/etc/racoon/psk.txt"; path certificate "/etc/racoon/certs"; listen { isakmp 80.211.43.73 [500]; strict_address; } remote 185.148.83.16 { exchange_mode main,aggressive; proposal { encryption_algorithm aes256; hash_algorithm sha1; authentication_method pre_shared_key; dh_group modp1536; } generate_policy on; } sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any { encryption_algorithm aes256; authentication_algorithm hmac_sha1; compression_algorithm deflate; } === root@racoon:~# cat /etc/racoon/psk.txt 185.148.83.16 testkey === root@racoon:~# cat /etc/ipsec-tools.conf #!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec esp/tunnel/185.148.83.16-80.211.43.73/require; spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/80.211.43.73-185.148.83.16/require; === root@racoon:~# racoonctl show-sa isakmp Destination Cookies Created 185.148.83.16.500 2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 === root@racoon:~# racoonctl show-sa esp 80.211.43.73 185.148.83.16 esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000) E: aes-cbc 00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d A: hmac-sha1 aa9e7cd7 51653621 67b3b2e9 64818de5 df848792 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=1 pid=7739 refcnt=0 185.148.83.16 80.211.43.73 esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000) E: aes-cbc c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044 A: hmac-sha1 cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=0 pid=7739 refcnt=0 - Ամեն ինչ պատրաստ է, կայքից կայք IPsec VPN-ը գործարկված է և աշխատում է:
Այս օրինակում մենք օգտագործեցինք PSK-ը գործընկերների նույնականացման համար, սակայն վկայականի իսկությունը նույնպես հնարավոր է: Դա անելու համար անցեք «Գլոբալ կազմաձևում» ներդիր, միացրեք վկայագրի նույնականացումը և ընտրեք ինքնին վկայագիրը:
Բացի այդ, կայքի կարգավորումներում դուք պետք է փոխեք նույնականացման մեթոդը:
Ես նշում եմ, որ IPsec թունելների թիվը կախված է տեղակայված Edge Gateway-ի չափից (այս մասին կարդացեք մեր ).
SSL VPN- ն
SSL VPN-Plus-ը Remote Access VPN տարբերակներից մեկն է: Այն թույլ է տալիս առանձին հեռավոր օգտվողներին ապահով կերպով միանալ NSX Edge Gateway-ի հետևում գտնվող մասնավոր ցանցերին: SSL VPN-plus-ի դեպքում գաղտնագրված թունել է ստեղծվում հաճախորդի (Windows, Linux, Mac) և NSX Edge-ի միջև:
- Եկեք սկսենք կարգավորել: Edge Gateway ծառայության կառավարման վահանակում անցեք SSL VPN-Plus ներդիր, այնուհետև՝ Server Settings: Մենք ընտրում ենք հասցեն և նավահանգիստը, որի վրա սերվերը կլսի մուտքային կապերը, միացնում է գրանցումը և ընտրում է անհրաժեշտ գաղտնագրման ալգորիթմները:
Այստեղ կարող եք նաև փոխել սերվերի օգտագործման վկայականը: - Ամեն ինչ պատրաստ լինելուց հետո միացրեք սերվերը և մի մոռացեք պահպանել կարգավորումները:
- Հաջորդը, մենք պետք է ստեղծենք հասցեների խումբ, որը մենք կտրամադրենք հաճախորդներին միանալուց հետո: Այս ցանցը առանձին է ձեր NSX միջավայրում գոյություն ունեցող ցանկացած ենթացանցից և կարիք չունի կարգավորելու ֆիզիկական ցանցերի այլ սարքերի վրա, բացառությամբ դեպի այն մատնանշող երթուղիների:
Գնացեք IP Pools ներդիր և սեղմեք +:
- Ընտրեք հասցեներ, ենթացանցային դիմակ և դարպաս: Այստեղ կարող եք նաև փոխել DNS և WINS սերվերների կարգավորումները:
- Ստացված լողավազան.
- Հիմա եկեք ավելացնենք այն ցանցերը, որոնց մուտք կունենան VPN-ին միացող օգտվողները: Գնացեք «Մասնավոր ցանցեր» ներդիր և սեղմեք +:
- Մենք լրացնում ենք.
- Ցանց - տեղական ցանց, որին հասանելի կլինեն հեռավոր օգտվողները:
- Ուղարկեք տրաֆիկ, այն ունի երկու տարբերակ.
- Թունելի վրայով - Թունելի միջոցով երթևեկություն ուղարկել ցանց,
— շրջանցող թունել — ուղարկել երթևեկությունը դեպի ցանց՝ ուղղակիորեն շրջանցելով թունելը: - Միացնել TCP-ի օպտիմիզացումը. ստուգեք, թե արդյոք ընտրել եք Over tunnel տարբերակը: Երբ օպտիմիզացումը միացված է, կարող եք նշել այն նավահանգիստների համարները, որոնց համար ցանկանում եք օպտիմալացնել տրաֆիկը: Այդ ցանցի մնացած նավահանգիստների երթևեկությունը չի օպտիմիզացվելու: Եթե նավահանգիստների համարներ նշված չեն, բոլոր նավահանգիստների երթևեկությունը օպտիմիզացված է: Կարդացեք ավելին այս հատկության մասին .
- Հաջորդը, անցեք «Վիճակագրում» ներդիր և սեղմեք +: Նույնականացման համար մենք կօգտագործենք տեղական սերվերը հենց NSX Edge-ում:
- Այստեղ մենք կարող ենք ընտրել նոր գաղտնաբառեր ստեղծելու քաղաքականություն և կարգավորել օգտատերերի հաշիվների արգելափակման տարբերակները (օրինակ՝ գաղտնաբառի սխալ մուտքագրման դեպքում կրկնվող փորձերի քանակը):
- Քանի որ մենք օգտագործում ենք տեղական նույնականացում, մենք պետք է ստեղծենք օգտվողներ:
- Բացի հիմնական բաներից, ինչպիսիք են անունը և գաղտնաբառը, այստեղ դուք կարող եք, օրինակ, արգելել օգտատիրոջը փոխել գաղտնաբառը կամ, ընդհակառակը, ստիպել նրան փոխել գաղտնաբառը հաջորդ անգամ, երբ նա մուտք գործի:
- Բոլոր անհրաժեշտ օգտվողները ավելացնելուց հետո անցեք Տեղադրման փաթեթներ ներդիր, սեղմեք + և ստեղծեք հենց տեղադրիչը, որը ներբեռնելու է հեռակա աշխատողը տեղադրման համար:
- Սեղմեք +: Ընտրեք սերվերի հասցեն և նավահանգիստը, որին միանալու է հաճախորդը, և այն հարթակները, որոնց համար ցանկանում եք ստեղծել տեղադրման փաթեթը:
Ներքևում այս պատուհանում կարող եք նշել Windows-ի հաճախորդի կարգավորումները: Ընտրեք.- սկսել հաճախորդը մուտք գործելու վրա – VPN հաճախորդը կավելացվի հեռակառավարվող մեքենայի գործարկմանը.
- ստեղծել աշխատասեղանի պատկերակ - աշխատասեղանի վրա կստեղծի VPN հաճախորդի պատկերակ;
- սերվերի անվտանգության վկայագրի վավերացում - կվավերացնի սերվերի վկայականը միանալուց հետո:
Սերվերի կարգավորումն ավարտված է:
- Հիմա եկեք ներբեռնենք տեղադրման փաթեթը, որը մենք ստեղծել ենք վերջին քայլում դեպի հեռավոր համակարգիչ: Սերվերը կարգավորելիս մենք նշել ենք նրա արտաքին հասցեն (185.148.83.16) և պորտը (445): Հենց այս հասցեում մենք պետք է գնանք վեբ բրաուզերում: Իմ դեպքում այդպես է : 445.
Թույլտվության պատուհանում դուք պետք է մուտքագրեք օգտվողի հավատարմագրերը, որոնք մենք ստեղծել ենք ավելի վաղ:
- Թույլտվությունից հետո մենք տեսնում ենք ստեղծված տեղադրման փաթեթների ցանկը, որոնք հասանելի են ներբեռնման համար: Մենք ստեղծել ենք միայն մեկը՝ մենք այն կներբեռնենք։
- Մենք սեղմում ենք հղման վրա, սկսվում է հաճախորդի ներբեռնումը:
- Բացեք ներբեռնված արխիվը և գործարկեք տեղադրիչը:
- Տեղադրվելուց հետո գործարկեք հաճախորդը, թույլտվության պատուհանում սեղմեք Մուտք գործեք:
- Վկայագրի ստուգման պատուհանում ընտրեք Այո:
- Մենք մուտքագրում ենք նախկինում ստեղծված օգտատիրոջ հավատարմագրերը և տեսնում, որ կապը հաջողությամբ ավարտվել է:
- Մենք ստուգում ենք VPN հաճախորդի վիճակագրությունը տեղական համակարգչում:
- Windows հրամանի տողում (ipconfig / all) մենք տեսնում ենք, որ լրացուցիչ վիրտուալ ադապտեր է հայտնվել, և կապ կա հեռավոր ցանցին, ամեն ինչ աշխատում է.
- Եվ վերջապես, ստուգեք Edge Gateway վահանակից:
L2 VPN
L2VPN-ն անհրաժեշտ կլինի, երբ ձեզ անհրաժեշտ է աշխարհագրականորեն միավորել մի քանիսը
բաշխված ցանցերը մեկ հեռարձակման տիրույթում:
Սա կարող է օգտակար լինել, օրինակ, վիրտուալ մեքենա տեղափոխելիս. երբ VM-ը տեղափոխվում է այլ աշխարհագրական տարածք, մեքենան կպահպանի իր IP հասցեավորման կարգավորումները և չի կորցնի կապը իր հետ նույն L2 տիրույթում տեղակայված այլ մեքենաների հետ:
Մեր թեստային միջավայրում մենք կկապենք երկու կայք միմյանց հետ, դրանք կանվանենք համապատասխանաբար A և B: Մենք ունենք երկու NSX և երկու նույնականորեն ստեղծված երթուղավորված ցանցեր, որոնք կցված են տարբեր Edges: Ա մեքենան ունի 10.10.10.250/24 հասցե, Բ մեքենան՝ 10.10.10.2/24:
- vCloud Director-ում գնացեք Administration ներդիր, անցեք մեզ անհրաժեշտ VDC, անցեք Org VDC Networks ներդիր և ավելացրեք երկու նոր ցանց:
- Ընտրեք ուղղորդված ցանցի տեսակը և կապեք այս ցանցը մեր NSX-ին: Մենք վանդակը դնում ենք Ստեղծել որպես ենթաինտերֆեյս:
- Արդյունքում մենք պետք է ստանանք երկու ցանց։ Մեր օրինակում դրանք կոչվում են network-a և network-b՝ նույն դարպասի կարգավորումներով և նույն դիմակով:
- Այժմ եկեք գնանք առաջին NSX-ի կարգավորումներին: Սա կլինի NSX-ը, որին կցված է ցանց A: Այն կգործի որպես սերվեր:
Մենք վերադառնում ենք NSx Edge ինտերֆեյսին / Գնացեք VPN ներդիր -> L2VPN: Մենք միացնում ենք L2VPN-ն, ընտրում ենք Սերվերի շահագործման ռեժիմը, Server Global-ի կարգավորումներում մենք նշում ենք արտաքին NSX IP հասցեն, որի վրա կլսի թունելի նավահանգիստը: Լռելյայնորեն, վարդակը կբացվի 443 նավահանգստում, բայց դա կարող է փոխվել: Մի մոռացեք ընտրել ապագա թունելի գաղտնագրման կարգավորումները:
- Գնացեք «Սերվերի կայքեր» ներդիր և ավելացրեք գործընկեր:
- Մենք միացնում ենք հասակակիցը, սահմանում ենք անունը, նկարագրությունը, անհրաժեշտության դեպքում սահմանում ենք օգտվողի անունը և գաղտնաբառը: Այս տվյալները մեզ ավելի ուշ պետք կգան հաճախորդի կայքը կարգավորելիս:
Egress Optimization Gateway Address-ում մենք սահմանում ենք դարպասի հասցեն: Սա անհրաժեշտ է, որպեսզի IP հասցեների կոնֆլիկտ չլինի, քանի որ մեր ցանցերի դարպասն ունի նույն հասցեն։ Այնուհետև սեղմեք SELECT SUB-INTERFACES կոճակը:
- Այստեղ մենք ընտրում ենք ցանկալի ենթաինտերֆեյսը: Մենք պահպանում ենք կարգավորումները:
- Մենք տեսնում ենք, որ նորաստեղծ հաճախորդի կայքը հայտնվել է կարգավորումներում։
- Այժմ եկեք անցնենք հաճախորդի կողմից NSX-ի կազմաձևմանը:
Մենք գնում ենք NSX կողմ B, գնում ենք VPN -> L2VPN, միացնում ենք L2VPN, դնում ենք L2VPN ռեժիմը հաճախորդի ռեժիմին: Client Global ներդիրում սահմանեք NSX A-ի հասցեն և նավահանգիստը, որը մենք ավելի վաղ նշել էինք որպես Listening IP և Port սերվերի կողմից: Անհրաժեշտ է նաև սահմանել նույն գաղտնագրման կարգավորումները, որպեսզի դրանք համահունչ լինեն, երբ թունելը բարձրանում է:
Մենք ոլորում ենք ներքևում, ընտրում ենք ենթաինտերֆեյսը, որի միջոցով կկառուցվի թունելը L2VPN-ի համար:
Egress Optimization Gateway Address-ում մենք սահմանում ենք դարպասի հասցեն: Սահմանեք օգտվողի ID-ն և գաղտնաբառը: Մենք ընտրում ենք ենթաինտերֆեյսը և չենք մոռանում պահպանել պարամետրերը: - Իրականում այսքանը: Հաճախորդի և սերվերի կողմի կարգավորումները գրեթե նույնական են, բացառությամբ մի քանի նրբությունների:
- Այժմ մենք կարող ենք տեսնել, որ մեր թունելն աշխատել է՝ գնալով Վիճակագրություն -> L2VPN ցանկացած NSX-ի վրա:
- Եթե հիմա գնանք որևէ Edge Gateway-ի կոնսոլ, ապա arp աղյուսակում նրանցից յուրաքանչյուրի վրա կտեսնենք երկու VM-ների հասցեները:
Այս ամենը VPN-ի մասին է NSX Edge-ում: Հարցրեք, եթե ինչ-որ բան անհասկանալի է: Սա նաև NSX Edge-ի հետ աշխատելու մասին հոդվածների շարքի վերջին մասն է։ Հուսով ենք, որ նրանք օգտակար էին 🙂
Source: www.habr.com