🥇VMware NSX untuk si kecil. Bagian 6. Penyiapan VPN

Bagian satu. pengantar
Bagian kedua. Mengonfigurasi Aturan Firewall dan NAT
Bagian ketiga. Konfigurasi DHCP
Bagian empat. Pengaturan perutean
Bagian lima. Menyiapkan penyeimbang beban

Hari ini kita akan melihat opsi konfigurasi VPN yang ditawarkan NSX Edge kepada kita.

Secara umum, kami dapat membagi teknologi VPN menjadi dua jenis utama:

VPN situs-ke-situs. Penggunaan IPSec yang paling umum adalah membuat terowongan aman, misalnya, antara jaringan kantor utama dan jaringan di situs jarak jauh atau di cloud.
VPN Akses Jarak Jauh. Digunakan untuk menghubungkan pengguna individu ke jaringan pribadi perusahaan menggunakan perangkat lunak klien VPN.

NSX Edge memungkinkan kita menggunakan kedua opsi tersebut.
Kami akan mengonfigurasi menggunakan bangku uji dengan dua NSX Edge, server Linux dengan daemon yang diinstal racoon dan laptop Windows untuk menguji Remote Access VPN.

IPsec

Di antarmuka vCloud Director, buka bagian Administrasi dan pilih vDC. Pada tab Edge Gateways, pilih Edge yang kita butuhkan, klik kanan dan pilih Edge Gateway Services.
Di antarmuka NSX Edge, buka tab VPN-IPsec VPN, lalu ke bagian Situs VPN IPsec dan klik + untuk menambahkan situs baru.
Isi bidang yang wajib diisi:
- Enabled – mengaktifkan situs jarak jauh.
- PFS – memastikan bahwa setiap kunci kriptografi baru tidak terkait dengan kunci sebelumnya.
- ID Lokal dan Titik Akhir Lokalt adalah alamat eksternal NSX Edge.
- Subnet Lokals - jaringan lokal yang akan menggunakan IPsec VPN.
- ID rekan dan Titik Akhir rekan – alamat situs jarak jauh.
- Subnet rekan – jaringan yang akan menggunakan IPsec VPN di sisi jarak jauh.
- Algoritma Enkripsi – algoritma enkripsi terowongan.
- Otentikasi - bagaimana kami akan mengotentikasi peer. Anda dapat menggunakan Kunci yang Dibagikan Sebelumnya atau sertifikat.
- Kunci yang Dibagikan Sebelumnya - tentukan kunci yang akan digunakan untuk otentikasi dan harus cocok di kedua sisi.
- Grup Diffie Hellman – algoritma pertukaran kunci.
Setelah mengisi bidang yang wajib diisi, klik Simpan.
Selesai
Setelah menambahkan situs, buka tab Status Aktivasi dan aktifkan Layanan IPsec.
Setelah pengaturan diterapkan, buka tab Statistics -> IPsec VPN dan periksa status terowongan. Kami melihat bahwa terowongan telah naik.
Periksa status terowongan dari konsol Edge gateway:
- tampilkan layanan ipsec - periksa status layanan.
- tampilkan situs ipsec layanan - Informasi tentang status situs dan parameter yang dinegosiasikan.
- tampilkan layanan ipsec sa - periksa status Security Association (SA).

Memeriksa konektivitas dengan situs jarak jauh:

root@racoon:~# ifconfig eth0:1 | grep inet
        inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0

root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms

--- 192.168.0.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms

File konfigurasi dan perintah tambahan untuk diagnostik dari server Linux jarak jauh:

root@racoon:~# cat /etc/racoon/racoon.conf 

log debug;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

listen {
  isakmp 80.211.43.73 [500];
   strict_address;
}

remote 185.148.83.16 {
        exchange_mode main,aggressive;
        proposal {
                 encryption_algorithm aes256;
                 hash_algorithm sha1;
                 authentication_method pre_shared_key;
                 dh_group modp1536;
         }
         generate_policy on;
}
 
sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
         encryption_algorithm aes256;
         authentication_algorithm hmac_sha1;
         compression_algorithm deflate;
}

===

root@racoon:~# cat /etc/racoon/psk.txt
185.148.83.16 testkey

===

root@racoon:~# cat /etc/ipsec-tools.conf 
#!/usr/sbin/setkey -f

flush;
spdflush;

spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
      esp/tunnel/185.148.83.16-80.211.43.73/require;

spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
      esp/tunnel/80.211.43.73-185.148.83.16/require;

===


root@racoon:~# racoonctl show-sa isakmp
Destination            Cookies                           Created
185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 

===

root@racoon:~# racoonctl show-sa esp
80.211.43.73 185.148.83.16 
        esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
        E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
        A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
        diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
        last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
        current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 860  hard: 0 soft: 0
        sadb_seq=1 pid=7739 refcnt=0
185.148.83.16 80.211.43.73 
        esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
        E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
        A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
        diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
        last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
        current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 860  hard: 0 soft: 0
        sadb_seq=0 pid=7739 refcnt=0

Semuanya sudah siap, VPN IPsec situs-ke-situs aktif dan berjalan.
Dalam contoh ini, kami menggunakan PSK untuk autentikasi peer, tetapi autentikasi sertifikat juga dimungkinkan. Untuk melakukan ini, buka tab Konfigurasi Global, aktifkan otentikasi sertifikat dan pilih sertifikat itu sendiri.

Selain itu, dalam pengaturan situs, Anda perlu mengubah metode autentikasi.

Saya perhatikan bahwa jumlah terowongan IPsec bergantung pada ukuran Edge Gateway yang diterapkan (baca tentang ini di artikel pertama).

SSL VPN

SSL VPN-Plus adalah salah satu opsi VPN Akses Jarak Jauh. Ini memungkinkan pengguna jarak jauh individu untuk terhubung dengan aman ke jaringan pribadi di belakang NSX Edge Gateway. Terowongan terenkripsi dalam kasus SSL VPN-plus dibuat antara klien (Windows, Linux, Mac) dan NSX Edge.

Mari kita mulai menyiapkan. Di panel kontrol layanan Edge Gateway, buka tab SSL VPN-Plus, lalu ke Pengaturan Server. Kami memilih alamat dan port tempat server akan mendengarkan koneksi masuk, mengaktifkan logging, dan memilih algoritme enkripsi yang diperlukan.

Di sini Anda juga dapat mengubah sertifikat yang akan digunakan server.
Setelah semuanya siap, hidupkan server dan jangan lupa untuk menyimpan pengaturannya.
Selanjutnya, kita perlu menyiapkan kumpulan alamat yang akan kita berikan kepada klien setelah koneksi. Jaringan ini terpisah dari subnet mana pun yang ada di lingkungan NSX Anda dan tidak perlu dikonfigurasi di perangkat lain di jaringan fisik, kecuali untuk rute yang mengarah ke sana.
Buka tab IP Pools dan klik +.
Pilih alamat, subnet mask, dan gateway. Di sini Anda juga dapat mengubah pengaturan untuk server DNS dan WINS.
Kolam yang dihasilkan.
Sekarang mari kita tambahkan jaringan yang dapat diakses oleh pengguna yang terhubung ke VPN. Buka tab Jaringan Pribadi dan klik +.
Kami mengisi:
- Jaringan - jaringan lokal yang dapat diakses oleh pengguna jarak jauh.
- Kirim lalu lintas, ini memiliki dua opsi:
  - melalui terowongan - mengirim lalu lintas ke jaringan melalui terowongan,
  — bypass tunnel—mengirim lalu lintas ke jaringan yang langsung melewati tunnel.
- Aktifkan Optimasi TCP - periksa apakah Anda memilih opsi over tunnel. Saat pengoptimalan diaktifkan, Anda dapat menentukan nomor port yang ingin Anda optimalkan lalu lintasnya. Lalu lintas untuk port yang tersisa di jaringan tersebut tidak akan dioptimalkan. Jika tidak ada nomor port yang ditentukan, lalu lintas untuk semua port dioptimalkan. Baca lebih lanjut tentang fitur ini di sini.
Selanjutnya, buka tab Otentikasi dan klik +. Untuk otentikasi, kami akan menggunakan server lokal di NSX Edge itu sendiri.
Di sini kita dapat memilih kebijakan untuk membuat kata sandi baru dan mengonfigurasi opsi untuk memblokir akun pengguna (misalnya, jumlah percobaan ulang jika kata sandi yang dimasukkan salah).
Karena kami menggunakan autentikasi lokal, kami perlu membuat pengguna.
Selain hal-hal dasar seperti nama dan kata sandi, di sini Anda dapat, misalnya, melarang pengguna mengubah kata sandi atau, sebaliknya, memaksanya untuk mengubah kata sandi saat dia masuk lagi.
Setelah semua pengguna yang diperlukan ditambahkan, buka tab Paket Instalasi, klik + dan buat penginstal itu sendiri, yang akan diunduh oleh karyawan jarak jauh untuk penginstalan.
Tekan +. Pilih alamat dan port server tempat klien akan terhubung, dan platform tempat Anda ingin membuat paket instalasi.

Di bawah di jendela ini, Anda dapat menentukan pengaturan klien untuk Windows. Memilih:
- mulai klien saat masuk – klien VPN akan ditambahkan ke startup di mesin jarak jauh;
- buat ikon desktop - akan membuat ikon klien VPN di desktop;
- validasi sertifikat keamanan server - akan memvalidasi sertifikat server saat tersambung.
  Pengaturan server selesai.
Sekarang mari unduh paket instalasi yang kita buat pada langkah terakhir ke PC jarak jauh. Saat menyiapkan server, kami menentukan alamat eksternal (185.148.83.16) dan port (445). Di alamat inilah kita perlu masuk ke browser web. Dalam kasus saya itu 185.148.83.16: 445.
Di jendela otorisasi, Anda harus memasukkan kredensial pengguna yang kami buat sebelumnya.
Setelah otorisasi, kami melihat daftar paket instalasi yang dibuat tersedia untuk diunduh. Kami hanya membuat satu - kami akan mengunduhnya.
Kami mengklik tautan, unduhan klien dimulai.
Buka paket arsip yang diunduh dan jalankan penginstal.
Setelah instalasi, luncurkan klien, di jendela otorisasi, klik Login.
Di jendela verifikasi sertifikat, pilih Ya.
Kami memasukkan kredensial untuk pengguna yang dibuat sebelumnya dan melihat bahwa koneksi berhasil diselesaikan.
Kami memeriksa statistik klien VPN di komputer lokal.
Di baris perintah Windows (ipconfig / all), kami melihat bahwa adaptor virtual tambahan telah muncul dan ada konektivitas ke jaringan jarak jauh, semuanya berfungsi:
Dan terakhir, periksa dari konsol Edge Gateway.

VPN L2

L2VPN akan dibutuhkan saat Anda perlu menggabungkan beberapa secara geografis
jaringan terdistribusi ke dalam satu broadcast domain.

Hal ini dapat berguna, misalnya, saat memigrasikan mesin virtual: saat VM berpindah ke area geografis lain, mesin akan mempertahankan pengaturan pengalamatan IP dan tidak akan kehilangan konektivitas dengan mesin lain yang terletak di domain L2 yang sama dengannya.

Di lingkungan pengujian kami, kami akan menghubungkan dua situs satu sama lain, kami akan menyebutnya masing-masing A dan B. Kami memiliki dua NSX dan dua jaringan yang dirutekan secara identik yang terpasang ke Edge yang berbeda. Mesin A beralamat 10.10.10.250/24, Mesin B beralamat 10.10.10.2/24.

Di vCloud Director, buka tab Administration, buka VDC yang kita butuhkan, buka tab Org VDC Networks dan tambahkan dua jaringan baru.
Pilih jenis jaringan yang dialihkan dan ikat jaringan ini ke NSX kami. Kami menempatkan kotak centang Buat sebagai subinterface.
Akibatnya, kita harus mendapatkan dua jaringan. Dalam contoh kami, mereka disebut network-a dan network-b dengan pengaturan gateway yang sama dan mask yang sama.
Sekarang mari kita pergi ke pengaturan NSX pertama. Ini akan menjadi NSX yang terhubung dengan Jaringan A. Ini akan bertindak sebagai server.
Kami kembali ke antarmuka NSx Edge / Buka tab VPN -> L2VPN. Kami menyalakan L2VPN, pilih mode operasi Server, di pengaturan Server Global kami menentukan alamat IP NSX eksternal yang akan didengarkan oleh port untuk terowongan. Secara default, soket akan terbuka pada port 443, tetapi ini dapat diubah. Jangan lupa untuk memilih pengaturan enkripsi untuk terowongan masa depan.
Buka tab Situs Server dan tambahkan rekan.
Nyalakan peer, atur nama, deskripsi, jika perlu, atur nama pengguna dan kata sandi. Kami akan membutuhkan data ini nanti saat menyiapkan situs klien.
Di Alamat Gateway Optimasi Jalan Keluar, kami menetapkan alamat gateway. Ini diperlukan agar tidak ada konflik alamat IP, karena gateway jaringan kami memiliki alamat yang sama. Kemudian klik tombol SELECT SUB-INTERFACES.
Di sini kami memilih subinterface yang diinginkan. Kami menyimpan pengaturan.
Kami melihat bahwa situs klien yang baru dibuat telah muncul di pengaturan.
Sekarang mari beralih ke konfigurasi NSX dari sisi klien.
Kami pergi ke NSX sisi B, pergi ke VPN -> L2VPN, aktifkan L2VPN, setel mode L2VPN ke mode klien. Pada tab Client Global, atur alamat dan port NSX A, yang kami tentukan sebelumnya sebagai Listening IP dan Port di sisi server. Pengaturan enkripsi yang sama juga diperlukan agar konsisten saat terowongan dinaikkan.

Gulir ke bawah, pilih subinterface tempat terowongan untuk L2VPN akan dibangun.
Di Alamat Gateway Optimasi Jalan Keluar, kami menetapkan alamat gateway. Tetapkan ID pengguna dan kata sandi. Kami memilih subinterface dan jangan lupa untuk menyimpan pengaturannya.
Sebenarnya, itu saja. Pengaturan sisi klien dan server hampir identik, dengan pengecualian beberapa nuansa.
Sekarang kita dapat melihat bahwa terowongan kita telah berfungsi dengan membuka Statistik -> L2VPN di NSX apa pun.
Jika sekarang kita pergi ke konsol Edge Gateway mana pun, kita akan melihat masing-masing di tabel arp alamat kedua VM.

Itu semua tentang VPN di NSX Edge. Tanyakan jika ada yang kurang jelas. Ini juga merupakan bagian terakhir dari rangkaian artikel tentang bekerja dengan NSX Edge. Kami harap mereka membantu 🙂

Sumber: www.habr.com

VMware NSX untuk si kecil. Bagian 6: Penyiapan VPN

IPsec

SSL VPN

VPN L2

Tambah komentar Membatalkan balasan